Adrian Munteanu (1. 1970) a absolvit Faculatea de Stiinje Economice Iasi, seotia Comabilitate
si Informatica de Gestiune. Ia prezeat este lector doctor si preda disciplinele ,Retele de calculatoare"
si ,Auditul sistemelor informationale” in cadrul Catedrei de Informatic’ Economica, Facultatca
de Economie si Administrarea Afacerilor (www.feaa.uaic.ro), Universitatea ,Al.1. Cuza” Iasi.
Valericé Greavu Serban (n, 1976) a absolvit Facultatea de Stiinte Economice lagi, sectia
Contabilitate si Informatics de Gestiune. in prezent este administrator de retea Ja Facultatea de
Economie si Administrarea Afacerilor si doctorand in domeniul informaticii economice.
© 2003 by Editura POLIROM
www.polirom.ro
Editura POLIROM
asi, B-dul Carol f nr. 4, P.O. BOX 266, 700506
Bucuresti, B-dul 1.C. Bratianu nr. 6, et. 7, ap. 33, O.P. 37; P.O. BOX 1-728, 030174
Descrierea CIP a Bibliotecii Nafionale a Rominici :
MUNTEANU, ADRIAN
Rejele locale de cateulatoare : proiectare si administrare | Adrian Munteanu,
Valeric’ Greavu Serban ~ lasi: Polirom, 2003
304 9.5 24 em
ISBN ; 973-681-457-2
1. Greavu Serban, Valeried
004.732(190)
Printed in ROMANIA
Preambul
De ce ne-am apucat de scris o asifel de carte cind oricum existé oferta? Toati lumea este de
acord c¥ intre teorie si practici sint diferenje. Problema este cX, teoretic, golu! dintre teorie si
practic este ceva mai mic decit cel care exist in practic’.
De-a lungu! ultimifor ani am imbinat munca fizic& cu cea stiintificd in catedra si facultate pe
aceastd tema. Pornind de aici, am zis ci nu ar fi ru sd punem pe hirtic ceea ce am acumulat. Cele
300 de pagini cuprind lucruri cunoscute. Sint culese din carfi si din experienta noastri practic’.
Pentru cf nu este de ici de colo si luerezi intr-o instituyie care are o reyea cu o duzini de servere,
peste 400 de statii si aproximativ 10.000 de utilizatori. $i, spre multumirea noastr’, reyeaua asta
chiar functioneaz4! Cartea se doreste un ghid, un how to pentru cei care doresc ¢ initieze in
acest domeniu,
Am inceput cu putin’ teorie pentru ck este nevoie de un astfel de fundament, dar am cuprins
in mai pugin de 100 de pagini ceca ce am considerat eX trebuie cunoscut despre anumite tehnologii.
Nu am abordat subicctele care se intilnesc in alte c&rti despre refele, dar mai rar in practic
(tehnologia Token Ring de exemplu).
Ne-am axat mai mult pe partea practic’: care sint echipamentele folosite intr-o rejea, ce
reprezinid adresele IP si cuin se calcuicazd, modul de functionare al switch-urilor si reqele virtuale
cu o scurtd inifiere in sistemul de operare al switch-urilor CISCO, protocuale pentru rutare $i
configurarea routerelor, proiectarea unei retele si instrumente pentru proiectare si, nu in wltimul
rind, ce pot face script-urile pentru Windows-ul 2000 Server si XP. Nu avem pretentia ck am
epuizat tot ce tine de acest subiect, pentru c& nu ne-am propus aga ceva. Dup& cum vei observa,
pe ling exemplele oferite, cartea este prestiratd cu o multime de trimiteri la adrese de pe Web
Nu ne adrestm numai avansayilor, ci si celor care vor si se apuce de treaba, dar nu sti de unde
sf inceap’ si cum si continue.
Autorii
Iasi, julie 2003
Adrian Munteanu, Valericé Greavu Serban
Retele locale
de calculatoare
Proiectare si administrare
POLIROM
2003
Tabla de materii
Preambut
Partea I
Arhitecturi si standarde
Capitotul 1
Modele gi standarde
Ll. A fost odati
1.2. Definirea rejelelor .
1.2.1, Local Area Network (LAN - regele Tocale) . aes:
1.2.2. Wide Area Nework (WAN ~ rejele cu arie mare de intindere)
1.3. Modelul de refering OSL..
1.4. Modeltul TCP/IP
Capitolul 2
Infrastructura refelei .
2.1, Cartela de rejea ...
2.2, Medii de transmisie
2.3, Echipamente de transmisic a datelor .
Capitotul 3
Nivelul legiturd date .
3.1, Functiile MAC
3.2. Incadrarea (framing) si standardu! Ethernet
3.2.1, Cadrul Ethernet ...
3.2.2. Half-Duplex Ethernet (CSMA/CD Access Protocol) .
3.2.3. Full-Duplex Ethernet .
3.3, FDDI
3.4, Domenii de coliziune
Capitolut 4
Nivelul rejea .. : 47
4.1, Identificarea trascului .. 41
148
4.2. Protocolul IP.
4.3. Adresarea IP.
4.4. Adresarca IP in subretete
4.5. Agregarea adreselor IP si NAT ..
Capitolul §
Nivelul transport .....
5.1. TCP Transmission Control Protocol
2. UDP - User Datagram Protocol
3. ARP - protocolul de rezolutie a adres
4. ICMP - protocolul mesajelor de contro!
ti ss
Capitotul 6
Nivelurile sesiune gi prezentare .......+..ese00
6.1. Citeva consideratii generale dese © sesiune .
6.2, Prezentare
Capitolut 7
Nivelul aplicatie .
7.1, DNS ~ Domain Name System .
7.2, SNMP ~ Protocolul simplu pentru administrarea refeletor .
7.3. Posta electronica... pies eee)
7.4. File Transfer Protocol (Protocol pentru transferul fisierelor) + 80
7.5. Wortd Wide Web . lease: . +
Partea a Il-a
Proiectarea refclelor de calcuiatoare
Capitotul 8
Cablarea structurata a unei refele de calculatoare
8.1, Standardul ANSI/TIA/EIA $68 .........
8.2. Instalarea cabluritor .....-s..esesssees
8.3, Factori care afecteaz semnalele dintr-o rejea
8.4, 10BaseT (Ethernet) .
8.5, 100 BaseTX (Fast Ethernet)
apitolul 9
Comutarea pachetelor in refetete de calculatoare .....
101
9.1. Puncyiile unui switch
9.2. Functionarea switch-ului ..., = 103
9.3. Metode de comutare a pachetelor = 105
9.4. Spanning Tree Protocol (STP) .. 106
Capitolut 10
Refele virtuale ........cssssessssecsssssessesvesessnsiaess
10.1. Tipoiogia VLAN-urilor
10.2. Configurarea VLAN-urilor
10.3, VLAN Trunking Protocol (VTP)
10.4, Comenzite 10S
10.5. Exemplu ..
Capitolul 11
Privire general asupra routerelor ........... .
11.1, Componentele routerolui si moduri de configurare .......-
11.2. Pornirea unui router ..
11.3. Configurarea routerului ..
11.4, Accesul la alte routere
11.5, Protocoale pentru rutare
RIP ~ Routing Information Protocol ...
. IGRP ~ Interior Gateway Routing Protocol
OSPF ~ Open Shortest Path First.
Comenzi 10S ......
. Studiu de caz
Capitolul 12
Proiectarea si administrarea refelelor ....
12.1. Proiectarca structuratt a unei rejele de calculatoare
12.2, Securitatea refelei
12.2.1. Aspecte legislative
12.2.2. Tipuri de atacuri intr-o retea
12.2.3. Mecanisine de protectie .
12.3. Proiectarea unei retele. Studiu de caz ....
Capitolul 13
Instalarea si configurarca logic a unei refcle locale
13.1, Care este cel mai bun sistem de operare? !
13.2. Instalarea Windows 2000 Server
13.3, Configurarea serverului W2
in vederea realizirii unui domeniu W2
13.4. Crearea unui server pentru un nou domeniu
13.5. Instalarea Windows XP in mod automat ..
13.6. Configurarea Active Directory. Crearea
utilizatorilor. Definirea politicilor de securitate .
13,7. Instalarea si configurarea unui server de Web
13.8. Configurarea serverului ca un Gateway ...........
13.9. Monitorizarea gi inregistrarea activit%{ii ...
: sesseeee 260
13.10, Instrumente pentru depanare..... eases 268
Capitolul 14
Utilitare de administrate .........cscseseessees sees IB
14.1, Utilitare pentru accesul centralizat la resursele rejetei 273
14,2. Utilitare de monitorizare a traficului ... 274
14,3. Utilitare pentru accesul 1a WMI Penannr i)
14,4, Utilitare pentru conectarea la distany eats 276)
14,5, Simulatoare si instrumente de invijare aes 278
14.6. Instrumente de proiectare a rejelelor ......scenseesssseeees 280
ANEXE csssssssseese
Bibliografie
Partea I
Arhitecturi si standarde
CAPITOLUL 1
Modele gi standarde
1.1. A fost odata
Cite calculatoare sint racordate 1a Internet? Se aproximeazi c& ar fi peste 40 de milioane,
dar nimeni nu are curajul st avanseze o cift’ exact. Popularitatea Internetului se
datoreaza in principal World Wide Web-ului si postei ctectronice.
Pe net gisesti de toate. Este unul dintre motivele pentru care cei din bransi au ajuns
si fie numigi netocrati dupa o evolutie care a durat vreo 40 de ani, Citi dintre noi mai pot
trai astazi fard portia zilnicd de Internet?
Toate tucrurile rele au si o parte bun’. De ce avem curajul si afirmam aga ceva?
Pentru ct, daci in 1957 URSS nu ar fi plasat pe orbita Pamintului primul satelit artificial
(Sputnik), astzi nu am fi avut probabil Internet, Ca rispuns la aceast’ palma primita, in
cadrul Departamentului de Aparare al SUA (DoD) ia fiingi Advanced Research Projects
Agency (ARPA). Americanii doreau s& recupereze handicapul si sf devin& lideri mondiali
in domeniul stiintelor si tehnologiilor cu aplicatii militare. Cinci ani mai tirziu (1962),
Paul Baran de la Rand Corporation a fost insircinat de c&tre US Air Force s& intocmeasca
un studiu cu privire la posibititatea mentinerii comenzilot si controlului asupra rachetelor
intercontinentale in cazul unui atac nuclear din partea URSS, Trebuia dezvoltata o rejea
informatick descentralizata, astfel incit orice orag american ar fi fost atacal, armata s&
poatd declansa un contraatac nuclear.
Baran descric mai multe variante prin care se putea ajunge Ja rezultatul scontat, iar
in final face o propunere concreti: comutarea pachetelor presupune descompunerea
datelor in pachete (sau datagrame) care vor contine informatii cu privire la originea gi
destinatia lor. Aceste pachete vor circula prin rejea pind cind ajung Ja destinatic.
Sfirsitul anului 1968 si inceputul lui 1969 marcheaza nasterea Internetului. in 1968,
National Physical Laboratory din Marea Britanie realizeaz% si testeazi prima rejca
construit dupi principiile lui Baran, La scurt timp, Advanced Research Projects Agency
din cadrul Pentagonului decide realizarea unei rejele mai mari. in toamna anului 1969,
la UCLA se realizeaza prinwl nod al acestei refele, iar pind in decembrie mai apar inca
: University of California (Los Angeles), SRI (Stanford), University of California
(Santa Barbara) si University of Utah, Aceastd refea va fi denumit? ARPANET dupa
numele sponsorului agentici Pentagonului. Cele patru noduri puteau transmite informatii
intre ele prin intermediul unor Jinii dedicate si chiar puteau fi programate de ta distant
4 ARHITECTURI $1 STANDARDE
Pina in 1972 ARPANET va ajunge la 35 de noduri, principalul trafic al rejelei constind
in stiri si mesaje personale.
In acelasi an, Ray Tomlison de la BBN realizeaz& primul program de posti electronica,
Interesant este cd acesta a fost folosit in principal pentru discujii intre impatimitii de
science fiction (lista se numea SF-Lovers).
Standardul original pe care se bazau comunicatiile rejelei ARPA s-a numit NCP ~
Network Control Protocol. inst pe m4sur4 ce anii au trecut si tehnica a avansat, Vinton
Cerf de la Stanford impreund cu Bob Kahn de ta DARPA (nowa denumire a retelei ARPA)
au inlocuit, in 1973, NCP cu TCP/IP ~ Transmission Control Protocol/Internet Protocol.
Acest now protocol oferca suport pentru comunicasic calculatoarelor cu arhitecturi
diferite. Mai mult, TCP/IP a fost folosit pentru a lega intre ele calculatoare care nu
ficeau parte din ARPANET (in 1983, reyeaua militar s-a desprins sub denumirea MILNet).
Anul 1976 este unul al realizirilor deosebite, Dr. Robert M. Metcalfe dezvolti
(ehnologia Ethernet care permite transferul de date pe cablu coaxial. A fost o realizare
crucial pentru domeniul rejelelor. fn acelasi an ia nastere SATNET reteaua care lega
SUA de Europa. Chiar daci pare surprinzator, aceasta rejea folosea satelitii INTELSAT
aflati in proprietatea unui consortiu de {ri europene.
Trei ani mai tirziu, un tintr absolvent al Universit’gii North Carolina, Steve Bellovin,
impreuna cu programatorii Tom Truscott si Jim Ellis dezvolté USENET. Era prima rejea
descentralizatd dedicat in exclusivitate stirilor. Aceast& rejea se baza pe protocolul
UUCP (Unix-to-Unix CoPy) dezvoltat de AT&T Bell Labs si distribuit impreun’ cu
sistemul de operare Unix
Similar cu USENET, rejeaua BITNET (Because It's Time Network) conecta mainframe-
urile IBM din mediut educational pentru a oferi servicii de posta electronic’,
Despre anul 1983 putem spune c& este anul Internet: se infiinteazi IAB - Internet
Activities Board. incepind cu prima zi a acestui an, toate calculatoarele conectate la
ARPANET folosesc TCP/IP si renunja la NCP. in sprijinul IAB a venit Universitatea din
Wisconsin care a creat Domain Name System - DNS. Acesta permitea pachetelor s& fie
direcjionate cdtre un nume de domeniu unde i se aloca adresa IP corespunziitoare.
Utilizatorii au putut astfel s4 acceseze mult mai usor serverele refelei.
Cercetarile si dezvoltarile continua pe parcursul urmatorilor ani. Astfel, autoritatea
care dirijeaza evolugia Internetului este ISOC (Internet SOCiety)' , infiinyat’ in ianuarie
1992, cu scopul de a promova utilizarea Internetului si de a prelua administrarea sa. fn
cadrul acestei organizatii, o parte din membri sint reuniti in cadrul IAB (Internet
Architecture Board)? care are responsabilitatea telinicd a evolusiei rejelei si defineste
standardele Web. Membrii acestui consiliu au intilniri regulate in care sint acceptate noi
standarde, aloc& adresele si pistreazA o list a numelor care trebuie si rimin& unice.
Comunicarile sint puse la dispozisie printr-o serie de rapoarte tehnice, numite RFC-uri
(Request For Comments)’, care sint memorate online si pot fi citite de oricine este
imteresat de ele
Consiliul IAB este format din patru grupuri principale si anume: IRTF (Internet
Research Task Force) care are rolul de a rezolva problemele pe termen lung, IETF
1 S06.018.
2. www.iab.org.
3. http: /www.rfe-editor.org sau hitp : //www.ietf.org/rfe.html.
MODELE $I STANDARDE 15
(Internet Engineering Task Force) care are sarcina de a rezolva problemele pe termen
scurt, IESG (Internet Engineering Steering Group) si IRSG (Internet Research
Steering Group). Aceste grupuri sint responsabile cu evaluarea $i testarea proiectelor si
standardelor propusc, pentru a determina daci o propuncre merit’ sX devinii un standard
Internet
Pe tot parcursul anilor care s-au scurs de atunci dezvolt&rile au continuat. Comuni-
carea in Internet a devenit 0 surs inepuizabila si rapid’ de documentare, depasind
complet toate celelalte surse de documentare, Internetu! pune la dispozitia utilizatorilor
(cel putin) cinci servicii extrem de importante si anume :
1. posta electronic (e-mail) : poate fi folositi pentru a expedia mesaje unor persoane
din orice colt al lumii;
2. transferul fisierelor (ftp : File Transfer Protocol) : este folosit la transferul fisierelor
(text sau binare) intre dou’ calculatoare ;
3. conectare la o masin& la distanf& (telnet, ssh, Terminal Services): folosit la
deschiderea unor sesiuni de lucru pe masini aflate la distang% ;
4, buletine de stiri (usenet) : utilizatorii se pot inscrie la grupuri de discutii ;
5. Word Wide Web (sau WWW): faciliteaz’ transferul informatiei intre servere Web.
Primele programe (browsere, cliengi de e-mail si fip) Internet aveau o interfag’
exclusiv bazat& pe linia de comand. Acest lucru a fost schimbat de World Wide Web,
care ofera o prezentare graficd a Internetului fri a mai impune cunoasterea unor
comenzi cu sintaxa mai mult sau mai pujin complicati. Desi utilizeaz4 Internetul pentru
functionare, Web-ul se bazeazi pe un concept total diferit: hypertextul. Diferenta intre
un text static (un articol de ziar) si hypertext este uriasi: in cazul hypertextului,
calculatorul poate aduce direct pe ecran toate fragmentele la care textul curent are
legaturi (cu doar un click!), far a strica impresia de document unitar. Word Wide Web
ofer% hypertext si, mai mult, dep&seste simpla interconectare a documentelor text.
Caracteristicile Web (JavaScript, CGI etc.) permit paginilor individuale de Web s&
interactioneze cu utilizatorul, iar serverele Web pot crea pagini Web bazate pe informatii
dinamice.
WWW este, astizi, cel mai ,vizibil” instrument Internet. Web-ul prezint& informatia
sub forma de text si grafici si oferd afacerilor cea mai motivata ragiune pentru conectarea
la Internet: uguringa gi rapiditatea comunicatiilor.
Am inceput cu evolusia rejelelor prin prisma Internetului dintr-un singur motiv: in
cele mai multe cazuri, cei din afara bransei asociaz’ rejelele cu Internetul, $i nu cred c&
gresesc,
Pind 1a aparitia Internetului, evolutia rejelclor a fost la fel de interesant4.
fn faza lor incipient, refclele nu se bazau pe o legaturA fizici intre calculatoare
(Sport-Shoe Networking). Mediul de comunicatie era discheta, iar viteza de transmisie
era determinati de viteza de deplasare a utilizatorului de Ia un calculator la altul (de unde
si mumele). Astizi, am ajuns s% discutim de rejele pe fibri optic’ sau de cele Park fire.
Intrebarea fireasc& este cum s-a ajuns aici?
Firmele care detineau calculatoare au fost nevoite si giseascX 0 solujie prin care s&-si
poatd partaja resursele, si objind o fiabilitate ridicata prin accesul la echipamente si si
economiseasc’ bani. Toate aceste probleme au fost rezolvate prin dezvoltarea tehno-
logiilor retelelor.
16 ARHITECTURI $1 STANDARDE
Daci in anii '70-'80 cele mai multe companii puneau la dispozitia angajajilor terminale
conectate la calculatoare puternice, popularitatea rejelelor a crescut In momentul in care
re(elele formate din calculatoare persoraie au oferit un raport prej/performant’ optim.
Incepind cu anii '90 accesul de la distarsé la informatii, comunicatiile interpersonale gi
divertismentul interactiv au contribuit wlecisiv la expansiunea retelelor. La acestea se
adaugi sistemele de operare disponibile comercial,
1.2. Definirea retelelor
in termeni foarte simpli, o refea reprezinti un sistem de oameni si obiecte conectate intre
ele. Oriunde privim in jurul nostru putem observa un anumit tip de refea (sistemul
nervos, sistemul cardiovascular, sistemul de inc&lzire (sic]). Refelele de comunicatii sint
proiectate astfel incit dou’ calculatoare, focalizate oriunde in lume, s& fie capabile s&
comunice intre ele, indiferent de tipul acestora (PC, Mac, mainframe etc.). Acest lucru
este posibil prin intermediul unei limbi comune, numiti protocol.
Protocolul este definit ca un set formal de reguli si convenjii cu ajutorul cdrora este
guvernat schimbul de informatii intre echipamentele unei refele.
Majoritatea refelelor sint clasificate in LAN’ (localizate de obicei intr-o clidire,
campus) sau WAN (acoper’ o arie geografict mai mare). Ele sint rezultatul dezvoltirii
aplicatiilor pentru mediui afacerilor. Dar fiecare dintre aceste aplicatii avea 0 manieri
proprie de operare, independent de calculator. Eficienta disp&rea in acest caz. Orga-
nizatiile aveau nevoie de o solutie care si rezolve urmitoarele probleme :
© cum si fie evitatd duplicarea echipamente'~-?
cum se poate comunica eficient ?
© cum se poate gestiona o rejea?
O prima solusie la problemele org:nizatiei a fost realizarea refelelor locale (LAN).
Deoarece puteau conecta toate stajiile de lucru si perifericele dintr-o clidire, LAN-urile
au fcut posibild utilizarea eficienta a tehnologiilor informationale.
Ins’, pe masur& ce calculatoarele au inceput sii fie folosite pe scar tot mai larg’ in
domeniul economic, LAN-urile nu mai erau suficiente. A aprat necesitatea schimbului
de informatii intre organizajii, iar solujia a reprezentat-o aparitia WAN.
La fnceput, dezvoltarea re{elelor LAN si WAN a fost haotic’. Ani '80 pot fi
caracterizati printr-o expansiune extraordinar’ a rejelelor. Companiile au inceput s& fie
constiente de economiile rezultate in wrma folosirii tehnologiei rejelelor.
La mijlocul anilor '80 ins, aceast& crestere s-a oprit brusc. Multe dintre tehnologiile
folosite in rejele se bazau pe solutii hard si soft diferite, fapt care a dus Ia incompa-
tibilitatea dintre acestea. Devenea din ce in ce mai dificil’ comunicarea intre retelele care
foloseau specificatii diferite.
1. A aparut si o denumire m
nouk: CAN - Campus Area Network
MODELE $I STANDARDE ”
1.2.1. Local Area Network (LAN - retele locale)
Rejele de tip LAN (Local Area Network) reprezinti cea mai comuni implementare a
tehnologiei rejelelor pentru firmele de murime micd-medic. O asifel de rejea se caracie-
rizeaza prin:
operare intr-o arie geografict limitatt ;
permite accesui utilizatorilor la medii de transmisie cu 1ajime de band% mare
ofr conectivitate continua pentru serviciile locale ;
conecteazi fizic echipamente adiacente.
Daci privim acest tip de retele prin prisma sistemelor de operare ce pot fi folosite,
vom putea clasifica aceste retele in peer-to-peer si refele bazate pe servere,
Refelele peer-to-peer nu implic& existenja unui server care sX asigure serviciile tn
retea. Fiecare dintre calculatoarele retelei poate indeplini si functia de server. Utilizatoru!
este cel care hot&raste ce periferic sau informajic doreste sii tie accesatt gi de cvilalti
membri ai reelei. Acest tip de rejele se preteaza cel mai bine pentru firmele mici, unde
datoritd complexitasii relativ reduse a activitatilor, nu este nevoie de servicii solisticac
La polul opus, rejelele bazate pe server(e) implicd existenta cel putin a unui calculator
care si joace rolul de server. in acest caz, informatiile care trebuie partajate in cadrul
firmei vor fi gestionate de server. Aceasta cste solutia adoptatt de majoritatea firmelur
si ca urmare a posibilitatii gestion&rii centalizate a securititii rejelei, Serverete dintr-o
astfel de retea pot indeplini urmatoarele roluri
+ servere de fisiere si imprimare - ofer’ un suport sigur pentru toate datele companici
si gestioneaza tipirirea la imprimantele partajate in reica ;
© servere pentru aplicaii - asigurA componenta cu acelesi nume pentry aplicatiile
client-server. Exemple de astfel de servere: Web-serverele, serverele pentro baze
de date ;
servere de mail ~ gestioneaz mesajele clectronice pentru clienjii unei retele ;
servere pentru gestiunea securitafii ~ asigur’ securitaica unei refele locale cind
aceasta este conectatd la o refea de tipul Internetului, Pot fi incluse in accasti
categorie firewall-urile, proxy serverele ;
© servere pentru comunicafii - asiguri schimbul de informagii intre reqva si clicntii
din afara acesteia (accesul prin dial-up, de exemplu)
Pentru desemnarea manierei de proiectare a unei rejele se foloseste termenul! fopologie
Trebuie s& preciztim c& existi dou’ tipuri de topologii : fizicd si logic’. Topologia fiziea
a unei rejele se referd la configuratia medijlor de transmisie, a calculatoarelor si a
perifericelor. Topologia logict reprezint’ metoda folositi pentru transferul informatiilor
de la un calculator Ia altul. Despre aceste topologii vom discuta pe larg inu-un alt
capitol. Pentru moment, facem o scurti trecere in revisti a topologiilor fizice
© bus (magistrala) ;
star (stea) ;
ring (inel) ;
tree (arbore).
Se cuvine s& facem o mica observatic: aceasta clasificare mu are cartcter absolut,
Sint lucrri in care topologia refelelor este prezentata in alti manier’.
18 ARHITECTURI $1 STANDARDE,
Refele de tip magistralé (Bus!)
‘Topologia magistrala este cea mai simpla modalitate de conectare a calculatoarelor intr-o
rofea: un singur mediu de transmisic (cablu) la care se conecteazi toate calculatoarele
si perifericele, denumite in continuare noduri (fig. 1.2.1). Fiecare calculator verifict
daca informatiile pe care le primeste ii sint adresate sau nu. Despre acest mecanism yor
discuta pe larg intr-un alt capitol,
AE ‘Avantaje I Dezavantaje
Usuringa in conectarea calculatoarelor. | Rejeaua nu funcjioneaz& dacd apar intreruperi in eablu,
Necesarul de cablu este redus, Este nevoie de terminatori la amabele capete ale
cablului.
Problemele sint greu de identificat dact rejeaua cade.
Figura 1.2.1, Topologie de rejea magistralt
Refele de tip stea (star)
{ntr-o astfel de reyea, fiecare nod este conectat direct la un Aub sau concentrator.
Figura 1.2.2. Topologie de reyea stea
1. A nu se confunda cu system bus a} calculatorului,
MODELE $1 STANDARDE 19
Informatiile sint transmise de la calculatorul surs& ciitre cel destinagie prin intermediul
hubu-lui. Acesta este principalul dispozitiv care gestioneaz’ si controleaz functiile regelei.
‘Avantaje
Usuringl in instalare.
Refeaua nu este afectaté daca sint adaugate sau
retrase calculatoare.
ing in detectarea problemelor.
‘Dezavantaje
Necesité cablu mai mult.
Sint mai costisitoare,
Daci un hub se defecteaza, toate calculatoa-
tele din acel nod devin nefunctionabile.
Regele de tip inel (ring)
Din exterior, 0 astfel de retea seamnd foarte mult cu o refea star. Din punctul de vedere
al topologiei logice ins’, MAU (Multistation Access Unit) este dispozitivul care permite
informajiilor s& treac& de la un nod la altul fn cadrul unui inel comunicational.
Figura 1.2.3. Topologie de rejea inet
Refele de tip arbore (tree)
Topologia de refea tree combin& caracteristicile topologiilor bus si star. Nodurile sint
srupate in mai multe topologii star care la rindul lor sint legate la un cablu central.
Acestea pot fi considerate topologiile cu cea mai bunt scalabilitate.
Figura 1.2.4, Topologie de rejea arbore
20 ARHITECTURI $1 STANDARDE,
Avantaje Dezavantaje
‘Segmentele individuale au legituri directe. | Lungimea maxima a unui segment este limitata.
Daca apar probleme pe conexiunea principald,
sint afectate toate calculatoarele de pe acel
segment
1.2.2. Wide Area Network (WAN -
retele cu ..rie mare de intindere)
Pe misura ce utilizarea calculatoarclor in domeniu! economic a devenit omniprezenta,
S-a ajuns la concluzia ci LAN-urile nu mai corespundcau nevoilor firmelor.
intr-o refea LAN, fiecare departament era privit ca 0 ,insuld electronica”, A apirut
ins& necesitatea schimbului de informatii intre aceste insule, iar solutia a reprezentat-o
crearea WAN-urilor (Wide Area Network) : rejele care interconecteazi LAN-uri, furnizind
acces la calculatoare din alte locatii geografice.
Tehnologiile folosite in cadrul WAN : modem-uri, ISDN (Integrated Services Digital
Network), DSL (Digital Subscriber Loop), Frame Relay, ATM (Asynchronous Transfer
Mode), T-Carrier Series (in SUA T1, T2, T3), SONET (Synchronous Optical Network).
1.3. Modelul de referintaé OSI
Conceptul de nivel este fol ne ajuta si injelegem acyiunile si procesele ce
apar in timpul transmite lor de la un calculator la altul. intro rejea,
comunicarea are la origine 0 sursi, apoi informatia circulli pind la o destinatie. Informa-
(lle care traverseazA rejeaua sint referite ca dare, pachete sau pachete de date.
Adresa surs% a unui pachet de date specifica identitatea calculatorului care transmite
respectivul pachet. Adresa destinatie precizeaza identitatea calculatorului care va receptiona
pachewl, Datele sint grupate in uniti{i logice de informatii. Ele includ utilizatorul
respectivelor informatii si alte clemente pe baza clirora este posibils comunicarea.
Datele dintr-un calculator sint reprezentate prin biti. Daca un calculator ar transmite
doar unul sau doi biti, nu ar fi o manier’ prea eficienté de comunicare. Prin urmare, are
Joc o grupare a acestora in kilo, mega sau gigabytes.
An {Scut deja referire la un alt element intilnit in retelele de calculatoare : ,,mediul”.
Acesta reprezinté un material prin care sint transmise datele si poate fi unul dintre
urmitoarele clemente :
cablu telefonic ;
cablu UTP ;
cablu coaxial (cablu TV) ;
fibri optic ;
alte tipuri de cabluri bazate pe cupru.
Mai exist& si alte tipuri de media, ins ele nu vor fi luate in calcul in aceast& carte,
in primul rind, este vorba de atmosfera prin care se propaga undele radio, microundele
MODELE $1 STANDARDE. 21
si lumina. in al doilea rind, este vorba de undele electromagnetice care traverseazt
Cosmosul, unde in mod virtual nu exist molecule sau atomi. in aceste cazuri, comu-
nicafia este denumit’ fard fir, iar refelele sint de tip wireless.
Protocolul reprezintt un set de reguli pe baza cdrora se determing forma datelor si
transmisia acestora. Exemplul lui Andrew Tanenbaum! (comunicarea intre doi filosofi)
este un inceput bun pentru a infelege ce presupune comunicarea bazat’ pe niveluri si
protocoale (fig. 1.3.1.).
Nivelul n al unui calculator poate comunica cu nivelul 1 al altuia, Prin urmare, se
spune cX regulile folosite in comunicare se numese proiocoale de nivel n
Un alt exemplu pentru explicarea transferului intre douk calculatoare este modul in
care putem citi o pagin’ Web aflat pe un calculator situat la mare distant:
* utilizatorul lanseaz un program pentru vizualizarea paginilor Web (browser) ;
* browserul este entitatea aplicatie care va .negocia” pentru noi obtinerea paginii ;
* nivelul aplicatie va identifica existenja resursei cerute de client (clientui este
browserul, care-I reprezint& pe utilizator in aceasti ,tranzaciie") si a posesorului
acesteia (secverul ~ injeles ca flind entitatea ce ofer% resursa ceruti, nu calculatorul
central al unei refele; in cazul nostru, aver de-a face cu un server de Web). Se
realizeaz’ autentificarea serverului (se verificd daca partenerul este intr-adevir
cine pretinde c& este si se stabileste dact acesta esie disponibil) ;
* nivelul sesiune va stabili o conexiune intre procesul client si procesul server ;
+ nivelul transport se va ocupa de intrefinerea conexiunii i de corectarea crorilor
netratate 1a nivelul rejca ;
* nivelul rejea va asigura transferul datelor in secvente (pachete), stabilind drumul
acestora intre server si client.
Filosof A Filosof B
Reguli intre filosofi
: <>
Informatii
pentru translator : f
¥
Reguli infre translator’. | Translator |
<>
Reguli specifice
activitifii suportului de
comunicatie
r¥
Translator
Informati
pentru secretark
Wy Secretari = |<———-_____>|" Secretaria
Figura 1.3.1, Modetul de comunicare intre filosofi
Lucrurile sint ceva mai complicate dectt in cele prezentate mai sus. Datele sosese prin
intermediul mediului de comunicafie ca un flux de biti. La nivelul legaturii de date, biii
1, Adaptare dup Andrew S, Tanenbaum: Rejele de calculatoare,
‘Tg. Mures, 1998, pg. 18.
Edijia a treia, Editura Agora
22 ARHITECTURI $1 STANDARDE,
sint transtormati in cadre, iar la nivelul refea in pachete (vom vedea mai tirziu cum arat
un pachet). in cele din urma, datele ajung la nivelul aplicatie unde sint preluate de
browser si ne sint prezentate, Fiecare nivel adaugd sau sterge o parte din informatiile de
control atasate datelor de celelalte niveluri
Spuneam ca dezvoltirile timpurii din zona rejelelor au fost haotice si c& inceputul
anilor ‘80 se caracterizéaz4 printr-o expansiune a acestora, Singura modalitate prin care
deyinitorii, de refele puteau sa ,,vorbeasci aceeasi limbi” a fost agrearea din partea
vinzatoritor si productioritor de echipamente de rejea
a unui set comun de standarde.
International Organization for Standardization (ISO)
este organizajia care a cercetat si dezvoltat scheme de 7, APLICATIE
retele precum DECNET, SNA, TCP/IP. Rezultatul ceree- ===
Uirilor s-a coneretizat intr-un model de rejea care i-a /¢ PREZENTARE
ajutat pe producdtori si creeze echipamente compatibile
intre ele. eae
Modelul de referintd OSI (Open Systems Intercon- || §, SESIUNE
nect), realizat In 1984, nu este altceva decit o schemi eee
descriptivd care a pus la dispozitia vinzatorilor stan-
dardele necesare asigurarii compatibilit’yii si inter- 4, TRANSPORT
operabilitagii intre diferitele tehnologii. $i este cel mai —=
bun instrument pentru invatare.
Modelul de referin4 OSI este primul model pentru
standardizarca comunicatiilor in rejele, Exist’ si alte
modele, dar majoritatea producatorilor de echipamente
respect aceste standarde. Modelul permite utilizato-
rilor s4 vada functiile refelei pe m&surf ce ele apar la
fiecare nivel in parte. Chiar dac4 pare destul de abstract,
este un instrument foarte bun pentru a ilustra modul in
care informatiile taverseaz’ o rejea: explici vizual
circulasia datelor de la o aplicasie catre mediul fizic de transmisie si apoi catre o alt&
aplicatie localizat& pe un calculator din rejea, chiar dact expeditorul si destinatarul fac
parte din rejele cu topologii diferite. Dup% cum se vede si din figura alaturat4, in modelul
de refering OSI existi 7 niveluri, fiecare dintre acestea ilustrind o functie particulari a
rojelei, Separarea intre funcjiile refelei este denumitd nivelare (layering).
Modelul OSI este doar un model de arhitectur& de rejea, deoarece spune numai ceea
ce ar trebui s& faci fiecare nivel, dar nu specifica serviciile si protocoalele utilizate la
fiecare nivel. Fiecare nivel al modelului OSI are un set predeterminat de functii pe care
le realizeaz pentru a duce Ja bun sfirsit comunicarea.
oo
2. LEGATURA DATE
1. FIZIC
Nivelul 7: Aplicagie
Poetic vorbind, este nivelul situat cel mai aproape de inima utilizatorului. Prin ce difera
de celelalte niveluri ale modelului? Oferd servicii pentru aplicasiile utilizatorilor, dar nu
ofera servicii celorlalte niveluri.
Nivelul aplicasie identific& si stabileste disponibilitatea partenerului de comunicatie,
sincronizeazA aplicasiile intre ele si stabileste procedurile pentru controlul integritasii
MODELE $1 STANDARDE 23
datelor i erorilor. De asemenea, identific’ dacd existd suficiente resurse pentru a sprijini
comunicatia intre parteneri. Pentru a fi mai usor s& va amintiti despre acest nivel,
gindiji-va la telecomanda TV: o folositi, dar nu stigi ce se intimpla in interiorul sau.
Nivelul 6: Prezentare
Este nivelul care asiguri c& informatiile, pe care nivelul aplicafie al unui sistem le
ma, Atuncl cid esie necesar,
nivelul aplicatie face translatie intre diferitele formate ale datelor folosind un format
comun pentru reprezentarea acestora. Trebuie si priviti acest nivel ca cel la care are loc
codificarea datelor in format ASCII, de exemplu.
Nivelul 5: Sesiune
Dup& cum spune chiar numele stu, acest nivel stabileste, gestioneaz& si finalizeaz&
sesiunile de comunicatie intre aplicasii. Prin sesiune se intelege dialogul intre dowd sau
mai multe entitigi. Nivelul sesiune sincronizeaz& dialogul intre nivelurile sesiune ale
entititilor si gestioneaz& schimbul de date intre acestea. In plus, acest nivel ofera garantii
in ceea ce priveste expedierea datelor, clase de servicii si raportarea erorilor. in citeva
cuvinte, acest nivel poate fi asemuit cu dialogul uman.
Nivelul 4: Transport
Este nivelul la care are loc segmentarea si reasamblarea datelor. El furnizeazi un
serviciu pentru transportul datelor cAtre nivelurile superioare si, in special, cauta s vada
cit de sigur este transportul prin refea, Nivelul transport ofer’ mecanisme prin care
stabileste, intretine si ordona inchiderea circuitelor virtuale ; detecteaz4 ,c&derea” unui
transport si dispune refacerea acestuia; controleazi fluxul de date pentru a preveni
rescrierea acestora. Ginditi-va la calitatea serviciilor sau la incredere !
Nivelul 3: Retea
Este unul dintre cele mai complexe niveluri; asigur& conectivitatea si selectia ctilor de
comunicafie intre doua sisteme ce pot fi localizate in zone geografice diferite. Ginditi-va
la selectarea liniilor de cale ferat& intr-o gard.
Nivelul 2: Legdturd date
Este nivelul care asigura tranzitarea datelor de la nivelul fizic pe baza adresirii fizice,
topologiei rejelei, notificérii erorilor, ordonarea cadrurilor si controlul fluxului informa-
tional. Gindigi-va la controlul accesului pe un aeroport.
Nivelul 1: Fizic
Defineste specificajiile electrice, mecanice, procedurale si functionale necesare activarii,
intretinerii si dezactivarii legaturii fizice intre sisteme. Specificajiile vizeaz4 nivelul
voltajului, ratele de transmisie a datelor, distanta maxima de transmisie, conectorii fizici.
Gindigi-va la semnale si medii de transmisii.
24 ARHITECTURI $I STANDARDE,
1.4. Modelul TCP/IP
Am inceput acest capitol cu modelul OST deoarece reprezint’ abeccdarul acestui domeniu.
Cu toate acestea, pentru transmisiile de date din cea mai mare refea existent& - Internetul,
standardul folosit este TCP/IP (Transport Controt
Protocol/Int Protocol), Acest mode fe at
de Ministerul Ap&rarii din SUA care a dorit si con- 4, APLICATIE.
struiasc& 0 rejea capabilX sii reziste In orice condigii,
chiar si intr-un riizboi nuclear. Era extrem de important
si fie creatii o refea capabil si opereze cu o infra-
structur& distrus% in proportie de peste 90%, far si
aiba vreo important’ starea fizic a anumitor segmente |)" 9- INTERNET
ale refelei.
Spre deosebire de OSI, modelul TCP/IP are doar
patru niveluri: aplicatie, transport, internet si retea. 1. RETEA.
Desi exista doua niveluri cu acelagi numne ca la modelul
OSI, nu trebuie confundate cu acelea pentru ca fiecare
nivel are funcfii total diferite.
3. TRANSPORT
Nivelul aplicagie
Proiectantii TCP/IP au considerat c& protocoalele de nivel inalt din acest model trebuie
s& includ detalii cu privire la sesiunite de lucru gi modul de prezentare a datelor. Astfel,
run singur nivel sint combinate toate facilitatile legate de reprezentarea datetor,
codificarea $i controlul dialogului.
Nivelul transport
Acest nivel vizeazi calitatea serviciilor oferite : increderea in transmisie, controlul
fluxului de date si corectarea erorilor. Unul dintre protocoalele intilnite la acest nivel
(Transport Control Protocol) oferi o modalitate flexibili de realizare a comunicatiilor in
rejea. Fiind un protocol orientat conexiune, dialogul dintre sursk si destinagie se realizeaztt
prin impachetarea informajiilor de la acest nivel in segmente.
Orientarea citre conexiune nu inseamni ci intre calculatoarele care comunici exist’
vreun cireuit, ci c& segmentele cu date ale nivelului 4 circul inainte gi inapoi intre cele
doua calculatoare intr-o- perioada de timp dati.
Nivelul internet
Scopul acestui nivel este de a trimite pachetele sursi din orice rejea citre o alta gi sk fack
astfel incit acestea si ajungi la destinatie indiferent de ruta si refeaua din care au fost
transmise. Protocolul care guverneazi acest nivel este I:ternet Protocol, functiile indepli-
nite de acesta fiind determinarea si comutarea pachetelor (ginditi-vi la sistemuul postal).
MODELE $! STANDARDE .
Mivelul refea
Numele acestui nivel este cam general si de multe ori creeazi confuzie. Este nivelul care
include detalii despre tehnologiile LAN/WAN, precum si toate detaliile incluse in
nivelurile fizie si legétura date din modelul OST.
De ce trebuie s4 invagati despre doud modele cind unul (vel mai adesea TCP/IP) ar fi
suficient? Specialistii prefer’ modelul OSI pentru analize mai atente gi ca finndament in
orice discutie legata de retele. Este adevirat ci TCP/IP este mai folositor pentru ca este
implementat in lumea real. Ca utilizatori finati aveti de-a face numai cu nivelul aplicatie,
dar cunoasterea detaliati a nivelurilor este vital pentru realizarea unei retcle. Este
adevarat cX majoritatea utilizatorilor nu stiu mai nimic despre protocoale de rutare sau
alte detalii, dar este de asemenea adeviirat c& acesti utilizatori na trebuie si realizeze rejele
scalabile si sigure (si nici nu au de dat examene la astfel de discipline). Prin urmare,
discusia legat’ de TCP/IP continua in capitolele viitoare.
CAPITOLUL 2
Infrastructura retelei
Clientii, serverele, imprimantele, bazele de date relafionale, dispozitivele de
interconectare formeaz% componentele unei rejele locale. Acestea realizeazd incapsularea
si decapsutarea datelor pentru a-si indeplini toate sarcinile (transmitere mail-uri, editare
texte, scanare, acces la baze de date). Continu&m prezentarea tebnologiilor prin prisma
modelului OSI.
2.1. Cartela de retea
Ce relatie exist’ intre o placa de rejea (Network Interface Card) si un computer? NIC
este o plac cu circuite ce permite comunicarea in rejea de Ja si c&tre un computer,
Denumit si adaptor LAN, ea se monteaz intr-un slot de
extensie (PCI) al placii de bazi avind un port prin care se
realizeaz conectarea in rejea a computerului
Similar altor dispozitive hardware, cartela de refea are
nevoie de un driver prin care s& poat’ fi controlata. in cazul
in care cartela este plugé&play, resursele sint configurate in
mod automat simplificindu-se instalarea. fn general, orice
cartel& de rejea indeplineste urmatoarele functii :
pregiteste datele pentru a putea fi transmise printr-un mediu ;
transmite datele ;
controleaza fluxul datelor de la PC la mediul de transmisie.
Prin rejea datele circula in serie (un bit o data), in timp ce in interiorul calculatorului
circula in paralel (16, 32 sau 64 biti o dat, in functie de bus-ul sistemului). Prin urmare,
cartela de rejea trebuie s& converteasc& datele care circuld in interiorul PC-ului in format
serial.
Pentru a funciona, fiecare NIC necesit& o intrerupere (IRQ - Interrupt Request
Line), 0 adres’ I/O si o adres’ de memorie. intreruperea o puteti asocia unei resurse
prin care procesorul gi celelalte componente ale PC-ului tsi acord% atentie unele
altora. Unele din aceste intreruperi sint atribuite anumitor dispozitive chiar dacd
acestea nu au fost inc& instalate fizic in calculator (de exemplu, LPT2 pentru o a
doua imprimant’).
8 ARHITECTURI $1 STANDARDE
fn cazul plicilor de reyea, atribuirea unei intreruperi depinde de numérul intreruperii
disponibile pe calculator si de numirul intreruperii prin care placa de refea a fost
proiectati si acceseze sistemul. Dac intreruperea pe care este proiectatt si lucreze
placa de rejea este ocupati de alt dispozitiv, trebuie sX rezolvati conflictul care apare
reconfigurind cartela si lucreze pe alti intrerupere. Detalii despre toate intreruperile
unui PC gisiti la adresa http : /hvww.pcguide, com/refimbsys/res/ira.
Adresa de memorie (Memory 1/O Address) va confine informayii despre zona de
memorie pe care respectivul dispozitiy si sistemul de operare © vor folosi pentru a-si
transmite date. Intervalul uzual de adrese pe care o plact de rejea il foloseste este
0x240-0x360. O parte dinire aceste adrese sint deja atribuite unor dispozitive. De
exemplu, adresa 0x278 este folositt de cel de al doilea port paralel, iar 0x378, de
primul. Cartelele de sunet pot folosi 0x220, iar drive-urile CDROM pot folosi 0x300.
2.2. Medii de transmisie
Dacd PC-ul este.dotat cu o NIC, nu inseamn eX avem si o retea. Ca si tn cazul
telefonului, mai este nevoie de un clement prin care PC-ul nostru s& poati fi legat la
rejea. In aceasti categorie intrd mediile de transmisie sau cablurile, in limbaj retelistic.
Vom face in continuare 0 prezentare a principalelor medi de transmisie in funcyie de
gradul lor de utilizare in practic’,
Unshielded Twisted-Pair (UTP)
Acest mediu de transmisic este format din patru perechi de fire, izolate intre ele. Prin
torsadarea perechilor de fire apare efectul de anulare, efect ce limiteazi degradarea
semnalelor din cauza interferentelor magnetice
sau radio
LZ. UTP-ul este un cablu usor de instalat (are
un diametru de aproximativ 0,4 em) si mult
ao mai ieftin decit alte tipuri de cabluri, Desi este
Cee” = Bus
multimod
1000BaseT [UTP categoria | 1000Mbps | 100 mewri_| Star bus
2.3. Echipamente de transmisie a datelor
Chiar daca acest capitol trateazi subiecte legate de nivelul 1 OSI, vom extinde pusin
discutia prezentind si echipamentele care corespund nivelurilor 2 si 3.
Repetorul
Termenul ,repetor” vine tocmai de la inceputurile comunicarii vizuale cind 0 persoan&
aflat pe un deal repeta semnalul pe care tocmai il primise de la 0 persoani aflata pe un
alt deal situat in vecindtatea sa, pentru a-l transmite mai departe. Telegrafia, telefonia
(mai ales cea mobil) folosesc repetoare de semnal pentru a asigura transmiterea
informatiilor la distanje foarte mari.
JAZ, Repetoarele pot fi single port in - single port out, stackable
(modulare) sau multi port (cunoscute mai ales sub denumirea de
hAub-uri). Ele sint clasificate ca fiind componente de nivel 1, deoa-
rece acjioneaz& doar la nivel de biti. Nu uitaji: scopul unui hub este de a amplifica sia
retransmite sernnale, la nivel de bit, c&tre un numar mai mare de utilizatori: 8,16, sau
24, Procesul prin care se realizeaz aceast% funclie se numeste concentrare.
Fiecare hub are propriul sau port prin care se conecteazi la retea si mai multe porturi
disponibile pentru calculatoare. Unele hub-uri au un port prin care pot fi legate de o
consol4, ceea ce inseamni ci sint hub-uri gestionabile/cu management. Majoritatea,
ins&, sint dumb hubs (hub-uri proaste), deoarece doar preiau un semnal din refea si il
repet c&tre fiecare port in parte.
INFRASTRUCTURA RETELEL 31
Switch-ul
La prima vedere un switch seamand foarte bine cu un hub, dar dup’ cum vedeti, simbolul
stu arati un flux informational bidirectional.
Menirea acestui dispozitiv este dc a concentra conectivitatea,
garantind in acelasi timp latimea de band. Switch-ul este un dispozitiv
ce combina conectivitatea unui hub cu posibilitatea regularizarii
traficului pentru fiecare port, Ca manier’ de lucru, el comut pache-
tele de pe porturile transini natare, asigurind flecécui pori Hjimea
de bandd maxima a rejelei.
Aceast& comutare a pachetelor se face pe baza adresei MAC, ceea ce face din switch
un dispozitiv de nivel 2.
Routerul’
Simbolul routerului descrie foarte bine cele dou’ funcii ale sale: selectia c&ii de
transmitere a informatiilor si comutarea pachetelor citre cca mai
bund ruta.
Fizic, routercle se prezinti sub 0 multime de forme, in functie de
model si de producitor. Componentele principale ale routerului sint
interfejele prin care refeaua proprietara se conecteazi la alte segmente
de rejea. Din acest motiv el este considerat un dispozitiv inter-refele.
Scopul routerului este si examineze pachetele receptionate, s& aleag’ cea mai bunt
cale de transmitere a acestora si, in final, s& le transfere cAtre portul corespunzitor.
Pentru rejelele mati, el reprezint& cel mai important dispozitiv prin care se regleaz’
traficul retelei. Deciziile routerului, in cea ce priveste selectarea c&ii de rutare, se iau
pe baza informatiilor de la nivelul 3 (adresele de retea), motiv pentru care sint considerate
echipamente de nivel 3. De asemenea, ele asigura conectivitate pentru diferitele tehno-
logii ale nivelului 2: Ethernet, Token Ring, FDDI.
in conchuzie :
Echipament fee Protocol Domeniu Cu ce lucreazd
Repetoare/hub-urt L Transparent |Amplifici semnatul | Biti
Bridge 2 Transparent _|Domeniu de coliziune __| Cadre
‘Switch 2 Transparent |Domeniu de coliziune | Cadre
Router 3 Dedicat Domeniu de broadcast _| Pachete
Dac& lucrurile nu sint prea clare ine&, incercati s& cititi gi materialele de la urmatoarele
adrese :
http : //www. whatis.com/encapsul.him,
http : //www.jyu.fi/,
hutp : //www.cs.mun.ca/,
hitp : //www.erg.abdn.ac.uk/users/gorry/course/intro-pages/encapsulation.hunl.
1, {nm unele lucrari de la noi este denumit si repartitor.
CAPITOLUL 3
Nivelul legatura date
Pind in acest moment am discutat mai mult despre ce se intimpla la nivel fizic intr-o
refea: medii de transmisic, bitii care traverseazi aceste medii, componente care
transmit semnale clectrice si topologii. Nivelul | joac& un rol important in comunicatia
dintre calculatoare, dar efortul siu singular nu este de ajuns. Fiecare dintre functiile
nivelului 1 are propriile limitari, dar acestea sint eliminate prin ceea ce se intimpla la
nivelul 2.
The Institute of Electrical and Electronic Engineers (IEEE)' este organizatia profe-
sionala care a definit standardele aplicabile in domeniul reelelor de calculatoare
802.1- modul de interconectare in rejea;
* 802.2- controlul leg&turii Jogice (LLC) ;
802.3- retele LAN cu acces muttiptu si cu detectarea purtitoarci si a coliziunitor
CSMA / CD, sau refelele Ethernet? ;
802.4- refele LAN cu transfer de jeton pe magistrali (Token Bus) ;
802.5- refele LAN cu transfer de jeton in inel (Token Ring) ;
802.6- retele metropolitane (MAN) ;
802. 11- rejele fara fir ;
802.12-reyele LAN cu prioritate la cerere.
.
Conform standardutui Ethernet, o refea local este compusa din noduri si medi de
interconectare. Nodurile pot fi impartite in douk categorii :
© Data terminal equipment (DTE) - sint echipamentele care funcioneaz\ ca sursi
sau destinatie a cadrelor transmise prin rejea. Cel mai adesea, in aceasta categorie
intr’ PC-urile.
* Data communication equipment (DCE) - sint dispozitive intermediare care
receptioneazi si transmit cadrele prin refea. Se includ in aceast& categorie hub-urile.
switch-urile, routerele, NIC-urile sau modem-urile,
in timp ce modefu! OSI reprezinti teoria care a stat la baza dezvoltirii retelelor.
standardele IEEE au ap&rut in momentul in care rejeiele au devenit cind
problemele practice trebuiau rezolvate. Chiar dacé modelul OSI este folosit in continuare,
1. hup: //standards.ieee.org.
2. Pe larg la adresa hup : //www.cisco,com/univered/ce/td/doe/cisintwksito_doc/ethernet hum,
34 ARHITECTURI $I STANDARDE,
cind se vorbeste de nivelul 2, se au in vedere si cele dou’ noi componente aptrute in
timp : LLC si MAC:
* Media Access Control (MAC) - realizeaz& tranziia in jos, c&tre mediul fizic de
transmnisie.
* Logical Link Control (LLC)? - realizeazi tranzigia in sus, c&tre nivelul rejea.
Subnivelul LLC este independent de tehnologia folosit, in timp ce MAC este
dependent de ivhnologia folosit’.
3.1. Functiile MAC
Subnivelul LLC a fost introdus de catre IEEE din nevoia de a asigura independenta
tehnologica a unora dintre functiile nivelului legétura date, Oarecum inconsistent in
serviciile pe care lc ofer& protocoalelor de la nivelul rejea, subnivelul LLC comunic’ cu
tehnologiile specifice nivelurilor dinaintea sa.
LLC preia datele protocolului rejea si le adaugi mai multe informasii de control
pentru a transmite pachetele IP citre destinatie. Pachetul IP astfel reimpachetat este
transmis subnivelului MAC unde urmeazi a fi incapsulat,
‘Organizational Unique
‘identifier (OUD)
€{ sire in nea [p> geal sce in nos Po
00 60 2F 3A. 07 BC
Numir serial
REL aisporitiv | a>
Subnivelul LLC raspunde de gestionarea comunicatiilor intre echipamentele de pe 0
singurd linie/legatur’ a rejelei. LLC este definit prin specificajiile EEE 802.2, specificatii
care se refer’ atit la serviciile orientate conexiune, cit si la cele far& conexiune, servicii
folosite de protocoalele superioare.
Subnivelul MAC se ocupi de protocoalele pe care un calculator le foloseste
accesa mediul fizic de transmisie a datelor. Adresa MAC are o lungime de 48 de bi
exprimats tn hexazecimal (12 cifre). Primele 6 care formeazi OUI (Organizational Unique
Identifier) sint administrate de citre IEEE, identificind producttorul sau vinzdtorul
1. Definit prin IEEE 802.2
NIVELUL LEGATURA DATE 35
produsului, Celelalte 6 descriu numérul interfesei (Serial Number Interface) sau 0 alt
valoare administrat& de fiecare producator sau vinzitor.
‘Adresa MAC este ,scrisi” in memoria ROM a cartelei de rejea, de unde este apoi
copiat in RAM la initializarea cartelei. Prin urmare, dac& 0 cartel este inlocuitd, se va
schimba si adresa fizici a calculatorului.
Cind un dispozitiv din cadrul unei rejele Ethernet incearc& si transmit date c&tre alt
dispozitiy, va cliuta st deschid% un canal de comunicatie cu acesta, folosind adresa MAC :
datele transmise vor transporta gi adresa MAC a destinajiei. Pe masurd ce dateie traver-
seaz& mediul fizic de transmisie, NIC-ul fiec&rui calculator din refea verific& dact adresa
sa MAC corespunde adresei destinajie incluse in pachet. Daca adresele nu sint identice,
NIC ignora datele din pachet, date ce continua sé circule catre urmAtoarea destinatie.
Daca adresele sint identice, NIC face o copie a pachetului cu date si plaseaza aceasti
copie in calculator, la nivelul leg’turd de date, Pachetul original va continua s& circule
prin refea, c&tre alte destinajii, unde se va verifica corespondenta dintre adresele MAC.
Dezavantajul major al adresérii MAC const& in faptul c& aceste adrese nu au 0
structura strict definité : vinzdtorli au OUI-uri diferite. Altfel spus, adresarea MAC nu
este o adresare ierarhic’, dup’ cum se va vedea c& este adresarea IP. Pe masura ce
refeaua ,creste”, acest dezavantaj devine o problema majora. Nu uitati: de fiecare data
cind se discuti de adresa MAC, trebuie si vi gindiji la nivelul legitura date,
3.2. Incadrarea (framing) si standardul Ethernet
Framing-ul sau fncadrarea este un mecanism prin care se dbtin informatii complexe, operatic
ce nu poate fi realizata prin simpla transmisie a bitilor prin mediul fizic al rejelei. Care
sint calculatoarele ce dorese s& comunice intre ele? Cind incepe comunicarea intre dowd
calculatoare gi cind se termina? Cind fi vine rindul unui calculator s% comunice?
Spuneam ci nivelul fizic al unui calculator se ocup’ doar de biti. fn timp ce inceare&
SA transmit acesti biti c&tre destinatie, nivelul fizic nu garanteaz% cX nu existd si erori.
Aici intervine nivelul legiturd date. Prin incadrare, bitii transmigi de nivelul fizic sint
incapsulati la nivelul 2 in unitai de date ale protocolului de nivel 2 (PDU de nivel 2) sau
cadre (frame-uri).
Exist mai multe tipuri de cadre, in funcgie de standardele folosite la descrierea lor.
Standardul Ethernet este definit de IEEE (Jnstitute for Electrical and Electronic Engineers)
ca IEEE 802.3. Acest standard defineste regulile pentru configurarea unei rejele Ethernet
precum si modul de interactiune intre diferitele elemente ale unei astfel de rejele (exist
18 variante ale acestui standard !).
in mod generic, un cadru este impartit in sectiuni numite cimputi, fiecare cimp find
aleatuit din bytes:
Cifra de
Be Date ntrol
oo
lungime
Figura 3.2.1, Structura general a unui cadre
36 ARHITECTURI $1 STANDARDE,
Orice calculator conectat la o ree trebuie s& detin’ un mecanism prin care si poati
atrage atengia celorlalte calculatoare din rejea cu privire la transmiterea unui cadru.
Acest lucru este posibil prin intermediul cimpului svar din formatul cadrului,
Orice cadru confine informagii cu privire la numele calculatorului surs& (sub forma
adresei MAC) si numele calculatorului destinagie (tot adresa MAC), Un cadru are insi si
cimpuri specializate: lungimea exacté a cadrului sau tipul siu, pentru a specifica
protocolul de nivel 3 ce face posibila transmiterea sa prin retea.
Datel transmise prin retea sint imparjite in doud componente : datele propriu-zise si
un set de bytes incapsulati, denumiti padding bytes sau bytes de umplere. Acesti bytes
sint adiugati cadrului pentru ca acesta si aib’ o lungime minim’ gi s& poatt respecta
intervalul de timp in care este transmis.
le conginute de un cadru sint susceptibile de a suporta erori ce pot si aibX
surse diferite, Cadrele care conjin erori sint retransmise. Acest lucru este realizat cu
ajutorul cimpului secventa/cifri de contro! al cadrului. Aceast’ cifr este un numar
objinut pe baza datelor din cimpul de date al cadrului. Cifra de control este cititt de
calculatorul destinatie pentru a verifica in ce masura cadrul recepyionat este corect sau
este alterat de zgomotele refelei.
Calculatorul sursi calculeaz’ o cifrd de control pe care o adaug’ cadrului. La
destinatie, se calculeaz’ o noua cifra de control pe baza datelor continute de cadrul
receptionat, cifr’ care este comparatd cu cea calculaté de sursa mesajului. Daca cele
doui cifre de control sint identice, datele din cadru vor fi acceptate. fn situatia in care
cifrele de control nu sint identice, sursa va fi atengionatii c& trebuie s& retransmitd datele.
Pentru ca transmisia si se termine in condigii optime, sursa mesajului trebuie si atrag’
atentia celorlalte calculatoare asupra momentului in care cadrul se termin’.
3.2.1, Cadrul Ethernet!
Fiecare calculator echipat cu o plac de rejea Ethernet funcjioneaza independent de toate
celelalte stajii din rejea: nu exist un control centralizat. Toate statiile atasate la reyea
sint conectate la acelasi sistem de transport pentru seminal, denumit mediu de comuni-
catie. Informatia este transmis’ serial, bit cu bit prin linia de comunicagie catre toate
stafiile atagate acesteia. Figura urmatoare ilustreaz§ formatul unui cadru Ethernet asa
cum este el prezentat in specificatiile IEEE 802.3? (cifrele reprezinté lungimea cimpurilor
in bytes).
Years de conte
figura 3.2.2. Structura cadrului Ethernet
Conform acestui standard, cimpurile care alc’tuiesc un cadru Ethernet sint:
1. Vezi detalii la http : /Avww.ethermanage.com/ethernet/ethernet. html
2. hep: Hwww.cisco,com/univered/cc/td/doc/cisintwksito_doc/ethernet htm#xtocid8,
NIVELUL LEGATURA DATE ”
* Preambul
Aceast secventa de 56 biti este folosit pentru sincronizarea transmisiei. Acesti bifi
permit componentelor unei rejele si detecteze prezenta unui semnal si s% inceapi citirea
acestui semnal inainte de sosirea datelor confinute in cadrul respectiv. Prin intermediul
acestor bifi, stafia destinatard este avertizatA cu privire la sosirea unui cadru.
© Start cadru
Conform specificafiilor IEEE 802.3, byte-ul care delimiteaz’ inceputul cadrului de
restul confinutului siu se termina cu doi biti consecutivi cu valoarea 1 (I01010I1). Acesti
biti servesc la sincronizarea receptiei cadrului de citre toate statiile.
© Adresa destinagie si adresd sursd
Primii 3 bytes ai acestui cimp sint precizati de c&tre IEEE in functie de cerintele
produc&torilor de echipamente pentru refele. Urméatorii 3 sint descrisi chiar de produ-
catori. Adresa sursi este o adresi unicast (single node). Adresa destinativ poe {i unicast
(un singur calculator), multicast (mai multe calculatoare) sau broadcast (toate calcu-
latoarele),
+ Lungimestip
Acest cimp indict numérul de bytes de date care urmeaz’ in cadra dupa acest eimp
sau tipul cadrului, daci acesta este asamblat folosind un format optional.
© Date
Dupi ce procestrile de la nivelurile fizic si legitura date s-au terminat, datcle
continute in cadru sint transmise c¥tre un protocol de nivel superior, care trebuie definit
in cadrul acestui cimp. Daca datele din cadru nu ocup’ cel putin 46 bytes, vor fi inserati
bytes de umplere pink Ia atingerea acestei valori.
© Cifra de control
Acest cimp contine o cifri de verificare pe 4 bytes, cifri ce este calculatt de catre
dispozitivul care transmite datele, urmind a fi recalculat de ciitre receptor si compuratt
cu originalul in scopul identificérii eventualelor diferente.
Dispozitivele Ethernet trebuie si permit un interval minim de timp intre doud cadre
care se transmit pe un medi. Acest interval se numeste interframe gap (IFG) sau
interpacket gap (IPG) si foloseste pentru pregitirea receptionarii urmatorului cadru
transmis de o static. Accst interval este de 9,6 microsecunde pentru re{elele pe 10 Mbps,
960 nanosecunde pentru 100 Mbps si 96 nanosecunde pentru 1 Gbps.
in continuare vom prezenta cele dou protocoale prin care se controleaz% accesul la
mediul de transmisie intr-o refea Ethernet : half-duplex si full-duplex.
3.2.2. Half-Duplex Ethernet! (CSMA/CD Access Protocol)
Half Duplexul reprezint’ forma tradisionala de control in Ethernet, bazatt pe protocolul
CSMA/CD = Carrier Sense Multiple Access/Collision Detection (acces multiplu cu
detectia purtitoarei si coliziunii).
38 ARHITECTURI $I STANDARD!
Pe baza acestui protocol, statiile care partajeaz% acelasi mediu si care doresc si
initieze 0 tansmisie trebuie s% asculte canalul pentru a vedea dacd nu cumva transmite
alicineva in acel moment. {n cazul in care canalul este ocupat, statia agteapta pina la
eliberarea acestuia. Atunci cind canalul este liber, stajia transmite un cadru catre toate
celelalte statii (operatie care se numeste broadcast sau difuzare). Exist’ insti probabilitatea
ca, imediat ce aceasta statie incepe s& transmitd, 0 alta static s& fie pregatité de transmisie
si s& asculte canalul. in situatia in care cadrul difuzat in retea nu a ajuns inca la cea de
adoua statie, aceasta din urmd va detecta canalul ca fiind liber si va initia, la rindul sau,
0 transmisie, rezultind o coliziune.
Coliziunite pot fi detectate urmarind puterea sau litimea impulsului semnalului
recepjionat i compurindu-le cu semnalul transmis. in acest caz, statia care a initiat
transmisia lanseazi in rejea 0 secventi jam (de blocare) de 32 biti prin care se asigura c&
toate celelalte stafii din rejea au fost informate cu privire la esuarea transmisiei. Apoi,
stajia surs& isi abandoneaza transmisia, asteaptd o perioada de timp si incearcd iarisi,
daca nici o altd staie nu a inceput sd transmit intre timp. Acest proces se repet& pind
cind cadrul este transmis cu succes la destinatie.
In sinteza, principalele etape in transmiterea unui cadru sint:
1. statia care doreste s& transmit asculta reteaua cu scopul detect&rii prezentei unei
stati care transmite (carrier sense - detecia purt&toarei) ;
2. dact este detectatt o purtitoare activa, transmisia este aminat’, Statia continua si
monitorizeze reteaua pind in momentul disparitiei purtatoarei ;
3. dac& nu este detectatA o purt&ioare activa, statia sursi initiazd transmiterea
cadrelor ;
4. 0 dat& cu transmiterea cadrului, stajia surst supravegheazi mediul in vederea
detectarii coliziunilor ;
5. daca este detectati o coliziune, stafia sursi opreste transmisia cadrelor
‘© secvenja de blocare pentru a se asigura ca toate celelalte stati iau cunostinja de
existenja coliziunii ;
6. dupa ce a transmis secventa de blocare, statia sursd asteaptd o perioada de timp
inainte de a reincepe transmisia (de la punctul 1), Acest proces se numeste backoff
algorithm! (algoritm de regresie): se reduce probabilitatea de aparitie a coli-
ziunilor prin adaptarea dinamic& a num&rului stafiilor care incearc s4 transmit’
(interval de intirziere generat aleatoriu) ;
7, dac& totusi reapar coliziuni, intervalut de generare aleatorie creste exponential.
Algoritmul asigura o intirziere minima cind se ,ciocnesc” numai citeva stati, dar
garanteaza cd ciocnirea este rezolvata intr-un interval rezonabil cind este vorba de
mai multe stafii;
8. procesul se repeta pind cind o statie transmite un cadru fara coliziuni.
Un parametru important al operdrii in modul half duplex este slot time (marimea
cuantei). Acest parametru a fost definit ca avind 512 intervale de bit (51,2 microsecunde)
pentru rejelele Ethernet care opereazi la viteze de 10 si 100 Mbps, respectiv 4096
1. Binary exponential backoff.algorithm (algoritm de regresie binark exponential’). Pentru detalii,
veri A. Tanenbaum, Rejele de calculatoare, Ed, Agora 1998.
NIVELUL LEGATURA DATE 39
intervale de bit pentru rejelele Gigabit. Marimea cuantei se refer la intervalul de timp
pe care un dispozitiv il asteaptd inainte de a retransmite dupa aparitia unci coliziuni
Pe misur& ce traverseaz% refeaua, semnalele transmise suferi intirzieri. Aceste
intirzieri reprezinta timpul necesar unui semnal s& tranziteze prin componentele electronice
ale refelei. Cu cit lungimea segmentelor si numarul de repetoare (hub-uri) se apropie de
maximul admis de standardele Ethernet (2500 metri si 4 repetoare), cu atit se mareste si
intervalul de timp necesar unui seninal pentru a traversa refeaua de la un capat la altul.
Acest interval de timp se numeste intirziere la propagare.
Suma dintre intirzierea dus-intors la propagare (maxima) si timpul necesar pentru a
transmite o secvensi de blocare sint componentele care definesc marimea cuantei in
Ethernet.
O cuant& cu marimea de 512 intervale de bit stabileste marimea minima a unui cadru
Ethernet la 64 bytes (in cazul Gigabyte, cele 4096 intervale de bit impun adaugarea unui
cimp de extensie la cadru pentru a se atinge marimea minima de 512 bytes). Orice cadru
a cdrui dimensiune este mai mic’ de 64 bytes este considerat fragment de coliziune si este
distrus in mod automat de stajia care il recepjioneaza
Marimea cuantei impune o limit’ maxima in ceea ce priveste dimensiunea unei
rejele: lungimea segmentelor de cablu si numarul repetoarelor pe o singur& cale. Dact
rejeaua este dezvoltat dincolo de aceste limite, apare fenomenul de coliziune intirziatd.
Acestea sint coliziunile care apar prea tirziu in timpul transmiterii unui cadru pentru a
mai putea fi gestionate prin functia de control al accesului. Cadrele afectate vor fi
distruse, fiind necesara reinitierea transmisici
Mirimea cuantei este cea care asigurd cl aceasta va fi identificata in primii 512 biti
transmisi sub forma de cadre, dacd este posibil sa apard o coliziune.
Revenim acum la algoritmul de regresie pentru a explica mai in detaliu ce se intimpla.
Prin intermediul acestui algoritm stafia care a inijiat transmisia determina intervalul de
timp care trebuie s& treack dup& aparijia unei coliziuni, fnainte ca un cadru si fie
retransmis. De ce este nevoie de asa ceva? Daca toate stajiile ar astepta acelasi interval
de timp, atunci in mod sigur va aparea o noua coliziune. Acest lucru este evitat prin
algoritmul amintit: ficcare stajie genereaz aleator un numir care va determina timpul
cit trebuie sd astepte inainte de a trece la identificarea purtitoarei. Acest interval de timp
se numeste intirziere de regresie.
Dupa aparitia primei coliziuni, fiecare stajie asteaptd 0 sau 1 cuante inainte de a
incerca o noui transmisie. Daca apare 0 noud coliziune, intervalul de asteptare va fi intre
0 $i 3 cuante, pentru o a treia coliziune, intre 0 si 7 (2°-1). In general, dup’ i coliziuni
se asteaptd intre 0 si 2'-1 cuante. Dacd se ajunge la un numir de 10 coliziuni, intervalul
de asteptare este inghefat la 1023 cuante. Dupa 16 coliziuni, funcyia MAC raporteazi
esecul calculatorului (excessive collision error), iar cadrul care trebuia transmis este
distrus, aplicajia care il folosea fiind nevoitl s& initieze 0 noua transmisic.
De ce atitea vorbe despre acest algoritm? Pentru c& erorile care apar ca urmare a
coliziunilor in exces dintr-o retea reprezinté cel mai bun indiciu c& rejeaua nu mai este
cficienta,
Timpul necesar transmiterii unui cadru este invers proportional cu rata de transmisie.
Pentru o retea cu o lajime de banda de 100Mbps, un cadru cu © dimensiune minim’ este
transmis intr-un timp egal cu 1/10 din marimea cuantei. Prin urmare, 0 coliziune care
apare in timpul acestei transmisii nu va putea fi detectata de statiile care emit semnal.
40 ARHITECTURI St STANDARDE
Este motivul pentru care diametrul maxim al unei refele pe 10 Mbps nu poate fi utilizat
in cazul refelelor pe 100Mbps (Fast Ethernet). Solutia in acest caz a fost reducerea
diametrului rejei
Parametra 10 Mbps 100 Mbps 1000 Mbps
Mirimea minima a unui cadru | 64 byies 6 bytes 520 bytes
Dissvetrul maxim a vp | 100 mete OTP 100 metri UTP
domeniului de coliziune 100 metri UTP | 19 mets fbrd optick | 316 metr fibed optica
Diametral maxim al
domeniului de coliziune eind | 2500 meri | 208 meiri 200 metri
| se folosesc repetoare
‘Numirul maxim de repetoare : : i
peo rut LAN
3.2.3. Full-Duplex Ethernet!
Cel de-al doilea mod de operare al refelclor Ethernet depaseste limitirile impuse prin
protocolul CSMA/CD : 0 statie, fa un moment dat, poate fie si transmitd date, fie s& le
recepjioneze. Niciodati nu se intimpla acest lucru simultan.
in cazul full-duptex-ului, doud statii pot s& schimbe simultan informatii, dac& exist’
o legitur’ care si permita acest lucru. In acest caz, throughput-ul agregat al refelei se
dubleazi!
Operatea in modu full-duplex este restrictionatt de respectarea mai multor criterii.
in primul rind, mediul fizic de transmisie trebuie s& suporte transmiterea si receptionarea
simultand de informatii, {rd a exista interferente. Mediile ale ciror specificatii respectd
aceste cerinje sint: 10-Base-T, 10Base-FL, !00Base-TX, 100Base-FX, 100Base-T2,
1000Base-CX, 1000Base-SX, 1000Base-LS si 1000Base-T. Urmitoarele specificatii nu
suport modul full-duplex : 10Base5, 10Base2, 10Base-FP, 10Base-FB, 100Base-T4,
inal doilea rind, pentru a opera in acest mod, legaturile trebuie s& fie point-to-point
(punct-la-punct) sau, altfel spus, legitura tebuie si fie direct intre doud statii. Atit timp
cit nu exist conflicte ca in cazul mediilor partajate, nu vor aparea coliziuni si, prin
urmare, nici protocolul CSMA/CD nu mai este necesar. Ambele statii trebuie sx suporte
si s& fie configurate pentru a opera in modul full-duplex.
Desi mai sint destule de spus, ne oprim aici cu descrierea Ethernetului nu inainte de
a mai aminti despre agregarea legdturii sau trunking-ul disponibil in modul full-duplex,
Acest lucru inseamni cX mai multe legituri fizice de tip point-to-point pot fi agregate
pentru a functiona ca o singurd legxtur’ logic’.
in concluzie. nivelul legitur’ date indeplineste urmatoarele functii
arbitrare: determink dact se poate folosi mediul fizic de transmisie a datelor ;
© adresare: asigura c& datele au fost recepjionate $i procesate de cAtre destinatarul
corect ;
© detectarea erorilor: determink dact datele au ajuns la destinatie nealterate.
1, Duplex integral
NIVELUL LEGATURA DATE 4
3.3. FDDI'
Comitetul de standardizare ANSI X3T9.5 este primu! autor al standardului Fiber
Distributed Data Interface (FDDI). Dupi completarea tuturor specificatiilor, ANSI a
transmis standardul FDDI Organizajiei Internationale pentru Standardizare (ISO) care a
realizat o versiune international a standardului FDDI, versiune perfect compatibili cu
versiunea ANSI, Chiar dac ast&zi rejeleie FDDI nu sint atit de comune precum cele
Ethernet, pe masurii ce costurile de implementare se vor reduce, ele vor deveni accesibile
pe o scar mai mare.
EDDI prezint& 4 specificatii:
Media Access Control (MAC) ~ defineste modul in care se realizcazd accesul la
mediul fizic de transmisie, incluzind : formatul cadrului, adresarea, manipularea jetonului,
algoritmul prin care se calculeazi CRC (verificarca redundantei ciclice) si mecanismele
pentru refacerea stirii inigiale ca urmare a aparigiei unei erori.
Physical Layer Protocol - protocolul nivelului fizic defineste procedurile pentru
codificarea/decodificarea datelor, incluzind : cerinjele ceasului (frecventa), incadrarea gi
alte functii.
Physical Layer Medium ~ mediul nivelului fizic defineste caracteristicile mediulti de
transmisie, incluzind : conexiunile fibrei optice, ratele de eroare la nivel de bit, compo-
nemtele optice.
Station Management ~ defineste configuratia statiilor intr-o reea FDDI, incluzind :
configuratia inelului, ad%ugarea si eliminarea stafiilor, inifializarea, izolarea ciderilor,
statistici.
Dupi cum se vede si din figura urmitoare, cimpurile ce aleatuiese un cadru FDDI
sint:
* Preambul - pregiteste fiecare static pentru a putea receptiona cadrul.
© Delimitator de start ~ indic4 inceputul unui cadru.
© Control - indick marimea cimpurilor adres si contine informatii de control (de
exemplu, dacd datele sint asincrone sau sincrone).
Vreambul Le Control [I] vestmage [I] sera [[T vate [[] cus [IP serve [IP ste
‘TOKEN
Figura 3.3.1. Structura cadrului FDDI
+ Adresa destinagie - contine o sigur adresi (unicast), un grup de adrese (multicast)
sau adresele tuturor statiilor (broadcast). Adresele au 6 bytes.
Vezi si http ://www.ieng.comfunivercd/cc/td/doc/cisintwk/ito_doc/fadi. tum
42 ARHITECTURI $I STANDARDE,
+ Adresd sursd ~ identified statia care trimite cadrul (are 6 bytes).
* Date - conjine informajii de control sau informagii destinate unui protocol de
nivel superior.
© Cifrd de control - este completatd de statia surs% care calculeazi o CRC. Accasta
valoare depinde de confinutul cadrului. Stajia destinatie recalculeazd aceastt
valoare pentru a determina dac& a fost modificat cadrul in timpul tranzit&rii prin rejea.
Delimitator de sfirsit - indick sfirsitul cadralui.
Stare - permite stafiei sursi s determine aparitia erorilor si dacd la destinatie
cadrul a fost recepsionat si copiat de respectiva statie,
Strategia folosita in retelele FDDI pentru transmiterea jetonului este similar’ cu cea
din rejelele token-ring, FDDI permite alocarea lajimii de banda in timp real, fapt ce le
face ideale pentru o mare varietate de aplicatii. Acest lucru este posibil prin cele doud
tipuri de trafic ce pot fi implementate : sincron si asincron.
‘Traficul sincron poate consuma doar o portiune din totalul Kitimii de banda a unei
rejele (sé zicem 100Mbps), in timp ce traficul asincron consumi restul. Latimea de
banda pentru traficul sincron este alocata
sta{iilor care necesita transmiterea con-
tinua a datelor (de exemplu, voce sau
video). Specificatiile FDDI SMT definesc
© schema distribuitd prin care se alocd
\ijimea de banda,
in traficul asincron, lagimea de band’
este alocatii folosind o schema de prio-
rititi pe opt niveluri. Fiecare static are atri-
buit un nivel de prioritate asincron si poate folosi la un moment dat toati lzsimea de
banda asincron&. Mecanismul de prioritate poate bloca statiile care nu folosesc lasimea
de banda sau care au un nivel de prioritate prea mic.
Specificasiile FDDI definesc doua tipuri de fibri: single mod (sau mono-mod) si
multi mod. Aceste moduri se refera la fascicolul de lumina care intra in fibra optic sub
un anumit ungbi
Mono-modul, dupa cum fi spune si numele, permite unui singur tip de fascicol si se
propage prin fibra, in timp ce multi-modul suporté mai multe tipuri de fascicole.
Deoarece in multi-mod lumina care se propagi prin fibri poate parcurge distanie diferite
(in funcyie de unghiul de incidenta), iar semnalele pot s& ajungy la destinatie la intervale
diferite de timp, mono-modul ofera Vitime de band’ mai mare. Acesta este si motivul
pentru care fibra mono-mod este folositi mai ales la cablarile intre clidiri in timp ce
fibra malti-mod se foloseste pentru cablirile intra-clidiri.
Dispozitivele prin care se genereaz lumind sint LED-urile pentru fibra multi-mod si
laserul pentru fibra mono-mod.
Conform specificatiilor FDDI, pentru realizarea conexiunilor fizice se foloseste un
inel (ring) dublu. Prin fiecare dintre aceste inele, traficul se desfasoard in sensuri opuse.
Fizic, inelele sint alcdtuite din douA sau mai multe conexiuni punct-la-punct intre statiile
adiacente. Unul dintre cele dowd inele se numeste inel principal si este folosit pentru
transmiterea datelor. Cel de-al doilea inel se numeste secundar si este folosit, in general,
pentru back-up
in FDDI se intilnese dowd catego
de stajii:
NIVELUL LEGATURA DATE 43
Single Attachement Stations (SAS) sau statii
din clasa B, atagate inelului principal prin
intermediul unui concentrator care ofera
conectivitate pentru mai multe astfel de stati
si asigur& continuitatea rejelei in cazul intre-
tuperilor de tensiune sau ,,c4derilor” oricareia
dintre stagii.
Dual Attachemeni Stations (DAS) sau stajii
din clasa A atagate ambelor inele. Fiecare
dintre aceste statii are dou’ porturi (A si B)
prin care se conecteaz&’ la ambele inele ale
FDDI.
3.4. Domenii de coliziune
Coliziunea apare in momentu! in care bitii transmisi de dou’ calculatoare se intilnesc pe
acelasi mediu de transmisie. Fizic, in cazul cablurilor bazate pe cupru acest lucru
inseamna un plus de voltaj in respectivul mediu, lucru care nu este permis in sistemele
binare care sint capabile s& infeleagd doar dout valori ale voltajului.
Majoritatea tehnologiilor de reyea sc confrunté cu aceasti problema. in unele cazuri,
coliziunile sint parte component a reqelei. Prea multe coliziuni ins& pot conduce la
incetinirea rejelei sau chiar la intreruperea funcjionarii acesteia. Daci exist reguli in
baza c&rora aceasti problema si poata fi controlata, lucrurile nu sint deloc complicate.
Retelele Ethernet folosesc mecanismul CSMA/CD prin care identificd coliziunile
aparute la un moment dat.
Figura 3.4.1, Domenii de coliziune si domenii de broadcast
44 ARHITECTURI $1 STANDARDE
Portiunea de rejea in care pachetele transmise intr in coliziune se numeste domeni
de coliziune. Acest fenomen apare in toate cazurile in care mediul de transmisie este
partajat intre mai multe caiculatoare. Toate conexiunile care se fac prin intermediul
dispozitivelor de nivel 1 fac parte dintr-un domeniu de coliziune.
Pachetele implicate intr-o coliziune sint distruse bit cu bit. Spuneam c& pentru a se
evita astfel de situatii, rejeaua trebuie si detini un mecanism (CSMA/CD, de exemplu)
prin care s& gestioneze conflictele care apar. in functie de tehnologia folosit’, numarul
calculatoarelor care pot folosi impreuna un mediu de transmisie (denumit segment) este
limitat.
Despre hub-uri (repetoare) am spus ci sint dispozitivele care regenereaz’ traficul
unei reele fird insi a filtra in vreun fel informasiile pe care le receptioneaz3/transmit.
Informatiile primite de un port al unui hub sint transmise tuturor celorlalte porturi. Prin
urmare, folosirea acestor dispozitive conduce la extinderea unui domeniu de coliziune.
Exist o regula care trebuie respectatd tn refelele Ethernet: mumdrul maxim de
hub-uri intre doud calculatoare din refea trebuie sé fie 4! Aceasta deoarece fiecare hub
induce latent, iar depasirea acestui numar duce la cresterea numirului de coliziuni
intirziate, Coliziunea intirziatd apare dup’ transmiterea primilor 64 bytes din cadru.
Chipseturile placilor de refea nu au capacitatea de a retransmite informa
aparijici unei coliziuni intirziate.
in practicd aceasta regula este cunoscut sub denumirea 5-4-3-2-1: cinci sectiuni de
rejea, 4 repetoare, 3 segmente cu host-uri, 2 segmente de leg’turi gi un domeniu de
coliziune.
ora)
WN
Hub
Saal
\
es =
Workstation Workstation
Figura 3.4.2. Regula 5-4-3-2-1
Workstation Workstation
Chiar dact sint dispozitive ieftine, repetoarele sint principalele echipamente care
contribuie la extinderea domeniilor de coliziune. Rezolvarea acestui neajuns const in
segmentarea refelei cu ajutorul switch-urilor si routerelor.
Dou’ sint motivele pentru care vom dori s& segmentim o rete
* izolarca traficului intre segmentele rejelei
© objinerea uni létimi de band mai mari pentru utilizatori, prin crearea unor
domenii de coliziune reduse.
NIVELUL LEGATURA DATE 45
Fri segmentare, 0 re(ea mai mare decit cea destinat unui grup de lucru (de obicei,
maximum 10 calculatoare) va deveni foarte repede ,inundati” de coliziuni, ba chiar
virtual ar ajunge in situagia de a nu mai avea disponibil& latime de banda.
O retea Ethernet care foloseste switch-uri conduce la 0 topologie care se comporta ca
si cind ar exista doar doum noduri in respectiva rejea: un nod sursi si un nod destinatic.
Aceste doua noduri partajeazi, de exemplu, 10 Mbps intre ele, ccea ce inseamna intreaga
Tigime de banda disponibilé pentru transmisia datelor. Folositea acestor echipamente
permite rejelei s& funcyioneze mult mai eficient, deoarece disponibilitatea litimii de
banda se apropic de 100%
in cazul unui switch, fiecare nod reprezinté o conexiune c&tre un segment de rejea
Crearea acestor microsegmente de rejea conduce la climinarea coliziunilor dintr-un
domeniu. Fiecare nod este conectat direct la un port al switch-ului sau la un segment care
este conectat la un port, Prin aceasta se creeaz o conexiune pe 10 Mbps intre figcare nod
si pentru fiecare segment al switch-ului. Un calculator conectat direct 1a un port al
switch-ului va reprezenta propriul siu domeniu de coliziune si va avea acces la intreaga
atime de band’: I0Mbps.
Switch-ul citeste adresa surst si/sau destinatic a fiecdrui cadru pe care il primeste. In
functie de informagiile acumulate va hot&ri ce decizie trebuie luatd : dact wrebuie comutat
citre un alt segment sau nu.
Daca switch-ul este considerat un echipament pasiv ce actioncaza doar la nivelul
leg&tur& date, routerul actioneaza la nivelul rejea si ia decizii pe baza adreselor folosite
de protocoalele acestui nivel. Acest lucru presupune examinarea adreselor destinatic
continute in ficcare pachet si consuttarea tabelelor de rutare cu privire ta instructiunile
ce trebuie urmate.
Cu ajutorul acestor echipamente se atinge cel mai ridicat nivel de segmentare datoriti
capacititii lor de a decide cu cxactitate unde trebuic si ajunga un pachet si ce eale trebuie
si urmeze. Aceste actiuni induc ins%, inevitabil, latent.
CAPITOLUL 4
Nivelul retea
Nivelul rejea joact un rol important in transmisia datelor: foloseste o schema de
adresare pe care se bazeazi echipamentele pentru a determina care este destinatia datelor
transmise.
Protocoalele care nu sint suportate de nivelul 3 pot fi folosite doar in rejelele de
dimensiuni mici. Acestc protocoale folosesc, de obicei, un nume pentru a identifica un
calculator din retea (cum ar fi adresa MAC). Dar, pe masur& ce rejeaua se dezvolta,
organizarea acestor nume devine un calvar. Dac& vrem s& interconectim intre ele dou
subrefele, va trebui si verificim dac& numele calculatoarelor din cele doua subrejele nu
sint duplicate.
Internetul a ajuns astizi o colectie de segmente de retea care partajeazi in comun
resurse informationale. Echipamentele de nivel 3 folosite la interconectarea refelelor sint
routerele, Acesiea sint capabile st ia decizii logice cu privire la traseul cel mai bun pe
care trebuie si-l urmeze un pachet prin retea.
4.1. Identificarea traseului
Traseul (ruta) pe care il are de parcurs un pachet este determinat in cadrul nivelului
retea. Funcfia prin care este identificat traseul permite routerului si evalueze posibilele
trasee pe care le are la dispozitie un pachet pentru a ajunge la destinatie. Serviciile pentru
tutare folosesc informatiile despre topologia refelci pentru a evalua aceste rute. Deter-
minarea traseului (se mai numeste si rutare) reprezint procesul Ja care face apel un
router pentru a alege cea mai bunk cale pe care irebuie si o urmeze un pachet pentru a
ajunge la destinatie.
Acest proces poate fi comparat cu conducerea unei masini de la Iasi la Neptun, de
exemplu. Avem nevoie de o harti pentru a stabili care este traseul optim (din punct de
vedere al timpului si combustibilului consumat) pe care trebuie si-l parcurgem pentru a
ajunge la Neptun,
Adresele de refea identificd partial drumul folosit de un router pentru transmisia unui
Pachet intr-o rejea: care este sursa si destinatia unui pachet. Gindigi-va la sistemul de
telefonie: fiecare oras, ara, continent au un cod unic de identificare, Fiecare abonat are
un numéar de telefon!
Dac la nivelul 3 nu ar exista 0 schema de adresare similard cu exemplul anterior,
Tutarea nu ar putea avea loc. Routerul are nevoic de adrese de retea (atribuite in mod
48, ARIITECTURI $1 STANI
ARDE
ierarhic) pentru a putea transfera in mod corespunzitor pachetele c&tre destinatie (vezi si
http : /hvww.rad.com/networks/1997/nettut/router.himl).
Majoritatea dispozitivelor de rejea detin atit o adresi MAC, cit si o adresi specifict
unui anumit protocol. Cind un calculator este mutat dintr-o retea in alta, isi pastreaz&
adresa MAC, dar isi modifica adresa de rejea. Adresa MAC o putem compara cu numele
noastre; 0 data declarat, numele unei persoane poate fi mai greu schimbat. Adresa de
re{ea o putem compara cu adresa domiciliului: ast’zi sinteti flotanti. Mtine...
Principala functic a nivelului rejea o reprezintd giisirea celui mai bun drum pe care
trebuie si-I parcurg’ un pachet prin refea, de la surs& la destinatie. Aminteam, la un
moment dat, c& sint dou metode de adresare: icrarhizat’ si non-ierarhizata.
Schema de adresare non-ierarhizat4 atribuie unui echipament urmatoarea adresi
disponibilZ dintr-o list dat&. Aceast& schem& se aseamini cu mecanismul dup’ care se
alock marcile angajatilor intr-o firm’.
Adresele MAC funcjioneaz’ in aceasta manierA. Un producator de plici de rejea
primeste 0 secvenji de numere ce pot fi atribuite respectivelor dispozitive.
Spre deosebire de aceasta, adresarea ierarhizat& nu foloseste alocarea aleatorie a unei
adrese, ci mai degrab’ in functie de localizarea unei stafii de lucru. O astfel de schema
de adresare este adresarea IP, care are o structurd specificd si care nu alocd aleator
adresele.
Internet Protocol reprezint4 cea mai folosita schema de adresare ierarhicd 1a nivelul 3.
Dac& aruncim o privire asupra modelului OSI, vom observa ca pe misur& ce informatiile
strbat in jos nivelurile acestui model, datele sint incapsulate la fiecare nivel. La nivelul
retea datele sint transformate in datagrame, si daca rejeaua foloseste adresarea IP, datcle
sint transformate in datagrame IP.
4.2. Protocolul IP!
iene eo tee Elementul central al Internetului
tension rere rae iclos este protocolul de nivel refea numit
Type af Seevice) oxs0 to IP (Internet Protocol), Sarcina aces-
Foxtine tui protocol este de a oferi o cale
esa) betay
Norxal Throughput
Normal Reliability
Total Length = 284 conte
Tdentifiers = 13973 ©3685)
Flags: 0x00 «00>
May Fragnent
Last Fregnent
Fragnont Olfeet = 0 (Bytes] — <00002
Tine to Live's 15 [Seconds/Hops)
Destination Adirece = 200.200,200,2
Option = 1 [No operation} «o>
‘Copy Flag = 0
pentru a transporta datagramele de
lasurst la destinatie, fai a tine seama
daci masinile sint sau nu in aceeasi
retea, sau dac& sint sau nu alte retele
intre ele. Teoria spune ci datagramtele
IP pot si aib& fiecare pint Ja 64K
octeti, dar in practic acestea au in
jur de 1500 octeti. Fiecare dintre
Gption Class + 0 (Datagram or network contro!)
Option Yusber = 1
Option = 1 (No Operation] ov
Copy Fle = 0
Option Class + 0 [Datagram or netvork control)
1, Aga cum este descris prin IETF RFC791
aceste datagrame este transmis prin
Internet, eventual fragmentat% in uni-
titi mai mici. Cind toate aceste unit3fi
ajung la destinatie, ele sint reasamblate
NIVELUL RETEA 49
de nivelul rejea formind datagrama original’, care este pasatit nivelutui transport de pe
magina receptoare,
O datagrama IP este alcituiti dintr-o parte de antet (header) si o parte de text
Anfetul are o parte fix de 20 octeti si o parte optional cu lungime variabili. Structura
antetului IP este prezentat’ in continuare :
4 biti abit | sbi | 16 biti |
Versiune | IHL | Tip serviciu_| Lungime touali
Identificare Flags (3biti) Beaten ea
Timp de viasd (TTL) Protocol Sumi de control
‘Adresi surst
‘Adresii destinatie
Opgiuni
Cimpul Versiune memoreazi versiunea protocolului cAruia fi apartine datagrama
transmis&, Astfel devine posibil& tranzitia dintre versiunile aceluiasi protocol (de Ia IPv4
la IPv6, de exemplu).
Cimpul JHL (Internet Header Length) specifica cit de lung este antetul (spuneam ci
lungimea sa nu este constant) in cuvinte de 32 biti. Valoarea minima este 5 si se aplict
atunci cind nu sint prezente alte opiuni.
Tip serviciu este cimpul care permite sursei sk comunice ce tip de serviciu doreste
fiabil, rapid sau o combinatie, La rindul s&u, acest cimp contine un subeimp numit
precedenja si 3 flaguri (indicatori): D, T, R. Subcimpul precedensa are o lungime de 3
biti si stabileste prioritatile de la 0 la 7:
Valoare Desei
0 | Normal,
1 Prioritate,
2 __ | tmediat
3 Flash.
4__ [Flash override.
5 CRITICIECP. =
6 __| Internetwork control,
7 Network control,
Cei trei indicatori (Aaguri) permit sursei si stabileascd care factori 0 afecteazi cel
mai mult: intirzierea, throughput-ul' (productivitatea) sau fiabilitatea, Aceste cimpuri
au fost introduse pentru a sprijini deciziile pe care Je au de luat routerele, Majoritatea
routerelor ignor’ ins acesti indicatori.
1. Cantitatea de date pe care un protocol de la nivelul transport o poate transfera pe unitatea de timp,
50 ARHITECTURI $1 STANDARDE
‘Yaloare D Descriere Valoare T Deseriere —|
0 intirziere normal’. ° Productivitate normal.
1 Intirziere redusa. 1 Productivitate ridicati. |
Valoare R Deseriere
0 Fiabilitate normala.
1 Fiabilitate ridicatt
Cimpul lungime rotala se refer la intregul conginut al datagramei : antetul si datele,
Lungimea maxima este de 65535 octeti. La ora actual’ pot fi transmise datagrame mai
mari de aceasti dimensiune doar in m&sura in care destinatarul este capabil sa le accepte.
Prin intermediul cimpului identificare destinatarul unei datagrame determina carei
datagrame apartine un anumit pachet. Toate fragmentele unei datagrame contin aceeasi
valoare de identificare.
Cimpul deplasamentul fragmentului este precedat de dou’ indicatoare: DF si MF.
DF (Don’t Fragment) indica routerelor si nu fragmenteze o datagram’ deoarece calcu-
katorul destinatie nu este capabil si o asambleze la loc. Toate calculatoarele trebuie s&
accepte fragmente de 576 octesi sau mai mici.
Valoare DF Deseriere
Fragmenteazi dack este
necesar,
1 Nu fragmenta.
ME (More Fragments) este indicatorul care arat& daci toate fragmentele unei datagrame
au ajuns ta destinatie. Toate fragmentele, cu exceptia ultimului, au acest indicator
activat.
Valoare MF Descriere
; ‘Acesta este ultimul frag-
ment.
1 ‘Urmeazit alte fragmente
Dupa acesti indicatori spuneam ci urmeazi deplasamentul fragmentului care indic&
locul fragmentului curent in cadrul datagramei. Toate fragmentele unei datagrame, cu
exceptia ultimului, trebuie sa fie multipli de 8 octeyi, Cum acest cimp are o lungime de
13 biti, inseamn% cA existé maximum 2) fragmente pe datagram’ (8192) si o lungime
maxima a acesteia de 65536 octesi!
Timpul de viafa este un contor folosit pentru a limita durata de viasé a pachetelor.
Acest timp cste masurat in secunde, avind o valoare maxim de 255 secunde. Prin
intermediul su se previne ca un pachet sa circule la infinit prin reyea. fn practic’, TTL
comorizeaz doar hop-urile (salturile, routerele) dintr-o refea in alta,
Dupa ce reasambleazi datagramele, nivelul reyea trebuie s& tie ce si faci mai departe
cu aceasta, in acest moment intervine cimpul protocol care spune nivelului refea c&rui
NIVELUL RETEA 31
proces de transport trebuie pasati datagrama (in continuare sint prezentate cele mai
cunoscute protocoale')
‘Valoare Protocol
1 ICMP ~ Internet Control Message Protocol.
IGMP - Internet Group Management Protocol.
RGMP - Router-port Group Management Protocol.
6 ‘TCP ~ Tra 1m Control Protocol. i
8 EGP - Exterior Gateway Protocol.
9 IGRP ~ Interior Gateway Routing Protocol.
17 UDP ~ User Datagram Protocol.
41 IPV6 over IPv4,
88 EIGRP.
89 ‘OSPF ~ Open Shortest Path First Routing Protocol.
MOSPF - Multicast Open Shortest Path First,
255 Reserved,
Suma de control a antetului trebuie recalculat’ de fiecare data cind antetul unei
datagrame se modifica’ (de obicci, la trecerca dintr-o retea in alta) si detecteaz4 erorile
generate de memoria routerelor.
Despre cimpurile adresd sursd si adres destinajie discutm in paragrafele urmitoare.
Ele indicd cine este la originea datagramei si cine este destinatarul accsteia.
Ctmpul opfiuni, a clrai Jungime este variabila, a fost inclus pentru a permite
dezvoltarea versiunilor viitoare ale protocolului
Cele mai importante optiuni sint :
Optiune Valoare | Lungime Descriere
2- Securitate 430 [11 [Cit de secreta este datagrama
3— Dirijare aproximativa pe Lista routerelor care nu trebuie
131 | Variabila | ote
Fiecare router isi adauga adresa si 0
adresi de timp
7 ~ Inregistreaza calea 7_| Variabiti [Fiecare router igi adaugi adresa
9- Dirijare strict pe baza sursei | 137 _| Variabili | Indic calea complet de parcurs
baza sursei
4— Amprenta de imp
68 | Variabita
4.3. Adresarea IP
Daca ati injeles cele spuse pind acum, nu ar trebui s& aveti prea multe probleme in
continuare. Dac nu, s-ar putea ca rindurile care urmeaza s4 va inducd un usor disconfort.
O adresa IP conjine informatiile necesare pentru a transporta un pachet cu date prin
refea gi este reprezentatd printr-un numir binar cu o valoare egal& cu 32 biti.
1, Numerotarea protocoalelor este definits prin RFC1700,
52 ARHITECTURI $1 STANDARDE,
Pentru a putea fi usor de
citit, adresa IP a fost impar-
{iti in patru octeti, fiecare
octet continind 8 biti. Valoa-
rea maxima a fiec&rui octet
(in zecimal) este 255.
Orice adresi IP este logic
imptrjiti in dou zone. Prima
zon& se numeste network id
gi identificd rejeaua céreia ti
apartine un echipament. Cea
de a doua zona se numeste ost id si identifica, in mod unic, dispozitivul conectat la
retea. Deoarece 0 adresi IP este alc‘tuit% din patru octei separati prin punct, primul, al
doilea sau al treilea dintre accstia pot fi folositi pentru a identifica refeaua din care face
parte un dispozitiv. La fel si pentru identificarea dispozitivului in sine,
Exist trei clase de adrese IP comerciale, clase gestionate de InterNIC!: clasa A, B
sau C (mai exist D si E, dar acestea nu sint comerciale). Clasa A este rezervati de InterNIC
organizatiilor guvernamentale (mai mult guvernelor) din lumea intreagd; clasa B este
rezervats organizatiilor medii-mari, iar clasa C este rezervati orictrui alt tip de organizatic.
Cind o adresa din clasa A este scrisi in format binar, primul bit este intotdeauna 0.
Primii doi bifi ai unei adrese din clasa B sint 10, iar primii trei biti ai unei adrese din
clasa C sint intotdeauna 0. Un exemplu de adresd IP din clasa A: 124.95.44.15.
Primul octet (124) identifict numirul reelei, atribuit de ImerNIC. Administratorul
acestei rejele va atribui valori pentru restul de 24 bifi. O manieri usoard, prin care puteti
si recunoaste{i daca un dispozitiv face parte dintr-o retea de clas A, presupune si
analizaji primwul octet al adresei IP. Numerele din primul octet al adreselor din clasa A
sint cuprinse intre 0 si 127.
yee 3
one SOS
S} Network (Refea)
Toate adresele IP din clasa A folosesc doar
primii 8 biti pentru a identifica portiunea ,net-
work” din cadrul unci adrese. Restul de trei octeti
din cadrul adresei sint rezervati portiunii ,host”.
Cea mai mick adrest ce poate fi atribuiti unui
host va avea toti bisii din cadrul ultimilor trei
octefi la valoarea 0, Cel mai mare numar ce
poate fi atribuit portiunii host va avea tofi bifii
din wltimii trei octeti la valoarea 1.
Orice rejea care face parte dintr-o clasé A de
adrese IP poate si con{in’ teoretic 2™ host-uri (adicd 16.777.214).
Unexemplu de adresi din clasa B: 151.10. 13.28. Primii doi octeti identificd numarul
rofelei atribuit de InterNIC. Administratorul unei astfel de reyele poate s& atribuie valori
urmitorilor 16 biti. Cind vreti si recunoasteti dac& o adresi este din clasa B, analizati
primii doi octeti ai adresei. Aceste adrese au intotdeauna valori cuprinse intre 128-191
pentru primul octet si intre 0-255 pentru cel de al doilea octet
Toate adresele din clasa B folosesc primii 16 bifi pentru a identifica portiunea
network” din cadrul unei adrese. Ultimii 2 octeti sint rezervati portiunii ,,host", Orice
1. Vezi www.Internic.net
NIVELUL RETEA 33
rejea care foloseste adrese din clasa B poate atribui teoretic 2'° (65.534) adrese IP
echipamentelor care sint atagate acesteia.
adres& din clasa C: 201, 110.213.28. Primii trei octeti identificd numarul retelei
atribuit de c&tre InterNIC. Administratorul de rejea poate atribui valori doar ultimului
octet. Cum puteti recunoaste o adres din clasa C? Analizati primii trei octeti: primul
octet ia valori intre 192-223, al doilea si al treilea octet pot sa ia valori intre 1-255. Toate
adresele din clasa C folosesc primii 24 biti pentru a identifica refeaua din care face parte
un dispozitiy. Doar ultimul octet esie rezervat portiunii host”. Orice rejea care foloseste
adrese din clasa C poate aloca teoretic 2° (256) adrese echipamentelor atasate acesteia.
Orice adres IP identificd un echipament intr-o refea si refeaua ciruia aparfine. Daca,
spre exemplu, calculatorul vostru vrea si comunice cu altul din reqea, ar trebui sf stiti
adresa IP al celui din urma. De fapt, ar trebui s& stiti adresele tuturor calculatoarelor cu care
vreti sd comunicagi. Ar fi complicat, nu? Din fericire acest neajuns este rezolvat de alfii.
Adresele IP care au toat portiunea host” cu valoarea 0 sint rezervate ca adrese de
refea. De exemplu, o adresi din clasa A 113.0.0.0 reprezinta adresa IP pentru refeaua
113, Un router va folosi aceast& adrest pentru a transmite datele in Internet.
Sa ludm ca exemplu o adres& din clasa B. Primii doi octe{i nu pot fi zero pentru cf
valorile lor sint atribuite de InterNIC si reprezint& numerele rejelelor respective. Doar
ultimii doi octesi pot fi 0, deoarece numerele din acesti octeti reprezintt numérul
host-urilor si sint rezervate dispozitivelor atagate respective: rejele. Pentru a putea
comunica cu toate dispozitivele din rejea, adresa IP trebuie si contin’ 0 in ultimii doi
octeti. O astfel de adrest ar fi, de exemplu, 176. 10.0.0.
Cind se transmit date etre toate echipamentele dintr-o rejea, trebuie creat o adresi
de broadcast (difuzare). Broadcast-u! apare cind stajia sursi transmite date citre toate
celelalte dispozitive din refea. Dar pentru a fi sigur c& toate aceste dispozitive sint
watente” Ia mesajul broadcast, statia sursd trebuie si foloseasc3 0 adres IP pe care si 0
Tecunoascd toate celelalte echipamente din refea. De obicei, intr-o astfel de adresa, bitii
din portiunea host au tofi valoarea 1. Pentru rejeaua folosit’ in exemplul anterior, adresa
de broadcast va fi 176.10.255.255 (vezi si http://www. ralphb.net/{PSubnet).
intr-o refea, host-urile pot comunica intre ele doar daca au acelasi identificator de
rolea (portiunea network id este identic). Acestea pot si partajeze acelasi segment fizic
de retea, dar, daci au identificatori de refea diferiti, nu pot comunica decit daca exist
un alt dispozitiv care s& realizeze conexiunea intre segmentele logice ale rejelei (sau
identificatorii acestora). (Putei asemui acesti identificatori de retea cu codul postal.)
Dup& cum am aritat deja, fiecare clasa de adrese IP permite un numar fix de host-uri.
Dar nu trebuie si uitati ct prima adres din fiecare rejea este rezervati pentru a identifica
refeaua, iar ultima adresd este rezervat& pentru broadcast.
Numirul | Numiral
Valoarea Numirul | Numarul de | de bytes | de bytes
Clasa} zecimali a Refele i. host. din ain
primului octet ia -uri/retea_| portiunea | portiunca
anata network host
1.0.0.0 ; ap
A a 22 22 1 3
128.1.0.0 7 in
Be eee erage 2462 2 2
190.0.1.0 a 5
ee ee 22 3 1
4.4, Adresarea IP in subretele
De cele mai multe ori, in practica, pentru o mai mare flexibilitate, administratorii de
rejea sint nevoiti sd impart& o rejea in mai multe subrejele. Similar cu portiunea ,,host”
din cele trei clase de adtese, adresele pentru subretele pot fi atribuite de catre admi-
nistratorul de refea, Mai mult, ca si in cazul general, adresele subrefelelor sint unice.
RETEA | SUBRETEA | GAZDA
Adresa pentru o subretea include; numArul (identificatorul) rejelei, numarul sub-
rejelei si numirul host-ului. Pentru a crea o subrejea, administratorul trebuie s& ,impru-
mute” biti din portiunea de host a unei clase gi si-i foloseasci in cadrul cimpului
asubrefea”. Num&rul minim de biti ce pot fi imprumutati din zona host este 2! Dact se
doreste a se imprumuta doar un bit pentru a crea o subrefea, atunci vom fi in situatia de
a avea un singur numéar pentru retea (0) si o adrest de broadcast (1). Numarul maxim de
biti ce pot fi imprumutagi din portiunea host poate fi oricare, cu conditia de a pastra cel
putin 2 biti pentru identificatorul de host.
‘Termenul traditional ,prefix” pentru retele extinse sau subnet mask, sau mask se
refers ta identificatorul care spune dispozitivelor dintr-o reqea care parte dintr-o adres%
IP reprezinti prefixul refelei, care parte reprezinté numirul subrejelei si care este
numrul host-ului, O masc& de subretea este 0 adres IP si are tot 32 de biti. Bitii di
portiunea network id si subnet au valoarea 1, in timp ce bigii din portiunea host au
valoarea 0.
intr-o retea IP, cea mai mic& adres& este adresa de rejea sau identificatorul acesteia.
Aceasté afirmatic este valabila si in cazul subrefelelor: adresa cea mai mic& este adresa
subrejelei. Routerul este dispozitivul de rejea care realizeazi operajii booleane (pentru a
sti pe ce traseu trebuie s& trimiti informagiile), iar dintre acestea cea mai important’ este
AND. Pentru a identifica o subrejea, routerul ,inmulteste” logic adresa IP si subnet
mask-ul, rezultatul objinut reprezentind numérul refelei/subretelei.
Spuneam despre masca unei subrefele cA este tot o adres IP: are 32 de biti imparsiti
in patru octefi. Intr-o masc& de refea, tofi biti din portiunea network/subnetwork au
valoarea 1, iar cei din portiunea host, 0.
Daca nu s-au ,,imprumutat” biti pentru calcularea subrejelelor, masca de rejea pentru
0 retea de clas& B va fi implicit 255.255.0.0. Daca s-ar imprumuta 8 biti din portiunea
host, masca de subrefea a acestei clase ar deveni 255.255.255.0. Deoarece portiunea
host are doar doi octeti, numarul maxim al bitilor ce pot fi imprumutati pentru obtinerea
de subrefele este 14!
S& aruncim o privire i asupra clasei C. Porfiunea host a adreselor din aceasta clas&
are un singur octet. Prin urmare, maximumul de biti ce pot fi imprumutati pentru a crea
subrejele este 6, iar minimumul este 2. Subrejelele care conjin adresa de rejea gi adresa
de broadcast nu pot fi folosite, Altfel spus, dact imprumutati un singur bit, se vor crea
dou& subreyele, dar nici una dintre acestea nu va putea fi folosita.
Valoarea oricdrui octet este dat4 de numarul bitilor folosisi. Valoarea zecimal4 maxim’
a fiec&rui octet este 255, iar cel mai mare numar pe 8 Digi, in binar, este LULL.
NIVELUL RETEA 35
Daca citim valorile zecimale ale acestor biti, de la stinga la dreapta vom obtine:
128+64+32+ 16+8+4+2+1=255 (27+ 2°+25 +2442 +2742! 42%)!
Primul lucru pe care trebuie si-I faceti atunci cind doriti s4 creafi subrejele: extindenti
partial portiunea rejea din cadrul adresei peste porjiunea host
$4 lum ca exemplu adresa de clasd B 130.5.0.0, cu subnet mask-ul 255.255.255.0.
Aceasta inseamn& cd au fost imprumutafi 8 bifi pentru subrejea, iar portiunea retea a
adresci a fost extins’ cu 8 biti.
Sa lum ca exemplu si o adresd de clas C (sint cele mai folosite pe la
197.15.22.31 cu subnet mask-ul 255.255.255.224. Cum ultimul octet din subnet mask
are valoarea 224 (11100000 in binar), inseamna cA portiunea network a adresci a fost
extins& cu 3 bigi, ajungindu-se la un total de 27 (2443).
De fiecare dat cind imprumutim biti din porsiunea host a unei adrese este important
s& notim numérul subre(elelor create. Am stabilit deja cl nu putem imprumuta un singur
bit pentru c& nu ne foloseste la nimic. Imprumutind 4 biti vom crea 4 subretele. De
fiecare dat cind vom mai imprumuta un bit din portiunea host, numrul retelelor create
va ereste cu o putere a lui 2. Dac imprumutim 3 bifi, vom objine 8 subrejele sau, altfel
spus, 2°, Dac& imprumutim 4 biji, vom objine 16 subrefele sau 2°.
Este bine sd ineti minte: de fiecare data cind imprumutaji cite un bit din porfiunea
host, numdrul subrefelelor create creste cu 2 la puterea numérului bitilor imprumutati.
Efectul imediat al unui astfel de calcul? De fiecare daté cind imprumutagi un bit din
porfiunea host a unei adrese, numdrul adreselor disponibile pentru o subrejea se reduce
cu o putere a lui 2.
$4 continu’m exemplul cu o adres’ din clasa C. Daca nu folosim nici o masc& de
rejea, inseamna cA toti bifii ultimului octet sint folositi pentru portiunea host. Putem
astfel atribui, teoretic, 256 (28) adrese pentru host-uri, S& presupunem c& vrem sa
impirjim o astfel de clas de adrese in subretele si Imprumutdm un bit din portiunea
host. Aceasta inseamna ci numiarul bitilor ce pot fi alocaji pentru host-uri se reduce la
7, iar numarul maxim al adreselor ce pot fi obsinute se reduce la 128 (2).
Dac& imprumutam 2 biti din portiunea host, numiarul bitilor ce pot fi atribuiji pentru
adresele host-urilor se reduce la 6. Num&rul maxim al host-urilor ce pot fi objinute
pentru fiecare subrejea in parte se reduce la 64 (2%).
Numarul adreselor ce pot fi atribuite host-urilor dintr-o subrejea este in strins&
legitur& cu numérul subrejelejor create. Pentru adresele din clasa C, cu masca de rejea
255.255.255.224, inseamna cA s-au imprumutat 3 biti din portiunea host. S-au objinut
astfel 8 subrejele, fiecare cu cite 32 host-uri (dintre care doar 30 utilizabile! ! !).
Dacd tot am deslusit subrejelele, sA vedem cum se calculeaza numarul de retea pentru
© subretea creat (operatia se numeste ANDing).
Vom lua ca exemplu o retea din clasa B? ({ntr-o firm din Iasi): 172.16.0.0, in care
vrem s imprumutim 8 biti pentru a crea subrefele. In acest caz, masca de subrejea va
fi 255.255,255.0. De la Bucuresti, cineva doreste si transmita un mesaj c&tre calculatorul
cu adresa 172.16.2.120.
Pentru a decide unde trebuie sd transmit’ datele, routcrul ,inmulteste” (AND) aceasta
adres& (transformata in binar) cu subnet mask-ul (tot binar). Cind aceste dou’ numere
sint inmulfite, portiunea host a adresei se pierde pentru ci devine zero. Cea ce ramine
3):
1. Chiar dac& aceste adrese nu sint rutabile, vi rugm s& acceptayi exemplul
56 ARHITECTURI St STANDARDE,
in urma acestei operatiuni reprezint= numirul retelei, inclusiv numirul subrefelei. Prin
urmare, datele vor fi transmise subretelei 172.16.2.0, iar ullimul router din cadrul
retelei va sti c& pachetul trebuie transmis host-ului 120 din cadrul acestei subrejele.
Refer Subrefea I Gazdi
Adrest IP e928 11091100 00010000 0000010 01111000
172.162.190
Subnet mask
sere | veuunuun tuunsiiy iuinnit ‘00000000
70701100 60010000 00000010 100000000,
: 172 6 2 0
Sa presupunem acum cd pentru aceeasi rejea, 172, 16.0.0, am hotirit s4 imprumutém
7 biti pentru a calcula subretele, Masca de subreea va fi in acest caz 255.255.254.0 (cit
inseamna in binar?). De la Bucuresti se transmite un mesaj cftre host-ul 172.16.2.160.
Routerul va inmulji adresa host-ului cu subnet mask-ul. Diferenta obfinutt reprezint
numirul refelei si al subretclelor disponibile. Dac am imprumutat 7 bifi, inseamna cl
obfinem 126 de subrejele (128-2). Cite host-uri va confine fiecare subretea?
Daca lucrurile s-ar opri aici ar fi aproape bine. Din picate, atunci cind decideyi si
creati subretele, trebuie sa aveti in vedere si maniera in care veti optimiza aceste subretele
si host-urile asociate lor. De ce? Am amintit deja ci nu se pot folosi prima si ultima
subrejea. De asemenea, nu se pot folosi prima si ultima adres din cadrul fiectrei
subrejele: una este adresa de broadcast a refelei, iar cealaltd este adresa de retea.
Prin urmare, atunci cind se realizeaza subrefele, se pierd ceva adrese. Administratorul
de refea trebuie sf fie atent la procentul adreselor care se pierd in urma unor astfel de calcule,
De exemplu, cind imprumutim 2 biti din portiunea host, vom obtine 4 subrefele,
fiecare a cite 64 de host-uri. inst doar doua dintre aceste rejele vor putea fi folosite, si
doar 62 de host-uri pe retea vor fi disponibile. Ce inseamna acest Iueru? CX avem la
dispozitie 124 de adrese in loc de 256 cite ar fi fost inainte de implryirea reqelei in
subretele, ceea ce se traduce printr-o picrdere de 52% !
‘Numirul bifilor ‘Numirul Numérut host- | Nunxirul total | Procent
imprumutafi__| subrefelelor create | -urilor pe subretea | al host-urilor | utilizare
2 2 02 124 49
3 6 30 180 7
4 14 14 196 7
3 30 6 180 i
6 ] 2 2 (24 49
fn fiecare clasi de adrese IP, exist anumite adrese care nu sint atribuite de InterNIC.
Acestea_sint denumite adrese private sau rezervate.
‘Adresa 127.0.0.1 este rezervati, flind alocati caleulatorului local (local host). Se mai
numeste $i adres de loop back (buck), Acest numir va fi selectat pentru accesarea
serverului Web instalat pe calculatorul propriu sau pentru a testa functionarea cartelei de
rete
NIVELUL RETEA 31
Pentru clasa A este utilizat ID 10, adici adresele de la 10.0.0.0 ta 10.255.255.255
Pentru clasa B, se folosesc [D-urile de la 172.16.0.0 pin& la 172.31.0.0. Pentru clasa C
sint disponibile adresele incepind cu 192. 168.0.0 pind la 192. 168.255.0 (256 de adrese)
Vom incheia discutia legat’ de subrefele cu un ultim exemplu. Pentru adres
172,31.100.100 si subnet mask-ul 255.255.224.0 vem sa aflim care este numirul de
subrejele si numarul de host-uri pentru fiecare subrejea.
Informatia | mplu | Regula z
‘Adresa IP 172.31,100.100 =
Subnet mask 255,255.224.0 =
Numarul de biji din zona network 16 Sint daji de clasa din care face parte
adresa (A, B sau C)
Numarul de biti din zona host : ‘Numérui de bigi cu valoarea 0 din
subnet mask
Numarul de biti din zona subnet 3 32 (numirul de biti din zona net~
work-+numirul de biti din zona host)
‘Qo tr din set >
Numiirul de subrejele
Numerul de host-uri pe subreyea
‘Sranira ie am 5
O lista cu toate adresele virtuale corespunzitoare clasei B o gisiti in Anext
4.5. Agregarea adreselor IP si NAT
La inceputul anilor '90, IETF anunja, pe un ton sumbru, c& in marti 1994 adresele IP
de clasi B vor fi epuizate. in absenta unui nou mecanism de adresare, scalabilitatea
Internetuluj urma si fie compromisi, Singura solusic viabil’ pe termen lung 0 reprezenti
crearca unui nou IP cu un spajiu de adresare mult mai larg: [Png ~ Internet Protocol
Next Generation sau Ipv6 (adresare pe 128 biti). Pe termen scurt neajunsurile au fost
eliminate prin adoptarca unci arhitecturj mai flexibile : CIDR' - Classless Inter-Domain
Routing.
Pind la IPng, la neajunsurile ridicate de reducerea adresclor IP si de satura 2a
tabelelor de rutare au aptirut gi alte soluiii: Variable Length Subnet Masking (VLSM) ~
numai in cazul anumitor protocoale de rutare, Address Allocation for Private Internets,
Network Address Translation, CIDR.
Schema folositd de CIDR nu se deosebeste prea mult de Ipv4, fiind de fapt o extensie
a acestuia. Flexibilitatea noii scheme este dati de bijii care identificd cele trei clase
principale de adrese, cu un prefix de rejea. Conceptul de clas dispare fiind inlocuit cu
cel de prefix.
Superneting-ul presupune, de fapt, combinarea a dou’ sau mai mulic adre:
consecutive.
Si ludm ca exemplu o adres din fosta clasi C: 192.168.8.0. Dacd la aceasta adresi
se aplici prefixul /22 inseamn’ cd ramin 10 bigi ce pot fi afectati host-urilor, O adresti de
de reea
L. Conventie definita in REC 1817 (www.iett org/tfe/efel 817.tx0).
58 ARHITECTURI $1 STANDARDE,
clasa C nu poate inst avea 1022 de host-uri, Vom putea, de exemplu, forma patru rejele
de clasi C pornind de la 192.168.8.0/22, Routerul va intelege ca inca trei retele sint
atagate la accsta si orice pachet citre 192,168.9.0, 192.168. 10.0 sau 192.168. 11.0 va fi
rutat cu referire la 192.168.8.0/22. CIDR nu functioneaza decit cu blocuri de adrese IP
continue.
Alocarea adreselor in astfel de blocuri conduce la ceea ce se numeste rutare ierarhicd
sau agregarea rutelor ; o singurd rut de nivel superior poate reprezenta mai multe rute
inferior in tabelele de rutare. Schema dupa care se face rutarea este similard
sistemului telefonie : centrala apelantd analizeaza doar prefixul apelant dupa care ruteazi
apelul ciitre respectiva centrala.
Cum se face agregarea retelelor?
de ni
——
Ref in binar
192.168.8.0 11000000. 10101000,00001000,00000000
192.168.9.0 11000000. 10101000, 00001001 00000000
192.168.10.0 11000000, 10101000,00001010.00000000
192,168.11. 11000000, 10101000,00001011 00000000
SM 255.255.252.0 TITEL 1111500,00000000
Dupai cum se vede din tabelul de mai sus
adreselor de retea este identic. Urmind ace
face parte dintr-o singurd rejea.
A presupunem ins’ ci dorim si facem superneting pornind cu reteaua 192.168.10.0/
2.2, Inseamna ci vom avea ined trei refele: 192.168. 11.0, 192.168.12.0, 192,168.13.0
‘Transtormind in binar aceste adrese vom observa ci cel de-al saselea bit al celui de-al
treilea octet nu este identic. Rejele 192.168.10.0 si 192.168.11.0 vor face parte dintr-o
cel de al saselea bit din octetul trei ab
reguli, toate host-urile acestor refele vor
alti superrejea.
Pentru a afla cite refele au fost agregate, vom sciidea din valorea celui de-al treilea
octet valorea subnet mask-ului: 256-252. .
NAT (Network Address Translation) este o functie implementati (in principal) la
nivelul sistemului de operare al routerului (IOS) prin care un calculator care nu are o
adres 1P public poate comunica totusi cu alte calculatoare din Internet. Funcyia NAT
este de a schimba adresa IP privat intr-o adres public. Adresa IP a fiecirui pachet
sursd este schimbatd cind respectivul pachet pardseste organizatia. Adresa destinatie va
fi si ea modificatd de fiecare dat cind un pachet ajunge la respectiva organizatie.
Refeaua in binar
192,168.10.0 11000000. 1010 1000.00001110.00000000
)192.168.11.0 11000000. 1010 1000.0000107 1.000000
|192.168.12.0 11000000. 10101000.00001100.00000000
192.168.13.0 11000000. 10101000.00001 10100000000
155.255.252. TILL E.LL111111.11111100,00000000
CAPITOLUL 5
Nivelul transport
Cind am vorbit putin la inceput despre acest nivel, am spus c& principala sa
responsabilitate se refers la asigurarea calit&tii serviciilor pe care le oferi 0 rejea.
Principala sarcind a nivelului 4 o reprezint4 transportarea si controlarea fluxului infor-
mational de la sursi c&tre destinatie. Informatiile trebuie s4 ajunga in mod sigur curate”
Ja destinatie.
Inainte de a merge mai departe s& lum drept excmplu o reyea Ethernet format din
doua calculatoare denumite Florin si Marius. Florin isi cunoaste numele, adresa IP si
adresa MAC, deoarece acestea au fost configurate mai inainte (cind a fost instalat
sistemul de operare). inainte ca orice aplicatie s& poat functiona, Florin trebuie s& afle
adresele IP si MAC ale lui Marius.
Pentru a intra in posesia acestor dowd informafii, Florin va apela la DNS (Domain
Name System) si ARP (Address Resolution Protocol). Florin stie adresa DNS pentru ci
aceasta a fost configurat’ o data cu instalarea plcii de rejea. Prin urmare, Florin va lansa
o cerere DNS catre DNS-ul local, intrebindu-l pe acesta care este adresa IP a lui Marius.
DNS-ul ii va rispunde c& adresa solicitata este 10,1.1.2. Dar Florin mai are nevoie si de
adresa MAC folosité de 10.1.1.2. Pentru aceasta va difuza (broadcast) o cerere ARP. O
astfel de cerere este transmis& cAtre o adres Ethernet de difuzare (broadcast), astfel incit
oricine din rejea so poati receptiona. Deoarece adresa IP a lui Marius este 10.1.1.2,
iar cererea ARP cauti adresa MAC asociatt acestei adrese, Marius va réspunde cu
propria adres’ MAC.
NS Florin Marius
! V 10.1.1.2
‘Care este adresa IP 10.1.4.4
To |patuiMarus? H 0200.1111.1111 jo200.2222 2222
jie Mice feel ee
p Adresa Pati 1
Maris este 101.4.2
ee eee
Figura 5.1. Identificarca adresci IP
60 ARHITECTURI $1 STANDARDE.
Cu aceste informatii obfinute, Florin ii va putea trimite cadre lui Marius. Teoretic. in
practic&, acest lucru s-ar putea s& nu functioneze. $i daci i! intrebafi pe programator, va
spune c& e din cauza refelei. Administratorul rejelei va spune cl, dact Marius rispunde
la ping, problemele sint din cauza aplicatici.
ONS. Florin Marius
10,4.1.1 H 10.1.1.2
Y ozoo.its1a914 y{ 9200.2222.2222
1
Ho
Cine este 10.1.1.2sé-mi | Sint 10.1.1.2 gi am adresa
spund ce MAC are MAC 020.222.2222
ee eae a
Figura 5.2. Cererea ARP
5.1. TCP Transmission Control Protocol!
Parte integranté a suitei TCP/IP, TCP reprezinta protocolul orientat conexiune care ofer’
transmisia datelor in modul full-duplex. in figura de mai jos este prezentat& structura
unui fragment TCP. {nainte de a prezenta semnificatia elementelor din figura urm&toare,
facem citeva precizari,
Prin intermediul TCP, calculatoarele schimba informajii intre ele sub forma de
segmente. Un segment este format dintr-un antet de 20 de octe{i urmat de zero sau mai
multi octeti de date. Programul decide singur care este mirimea acestor segmente {inind
cont de dou’ situatii. Fiecare segment nu trebuie si depiseasc& cei 65535 octeti de
informatie utild IP, Mai mult, fiecare rejea are o unitate maxima de transfer (MTU -
maximum transfer unit) in care trebuie sé incap’ segmentul TCP, Un segment care ajunge
intr-o rejea cu o MTU mai mici decit dimensiunea sa, va fi fragmentat de cXtre routerul
respectivei retele.
32 bifi
Port surs& (16 biti) Port destinatie (16 bifi)
‘Numérul secventei
‘Numarul confirmarii
UJATP [RS [F
HLEN | Rezervat |R gla S|¥|I Dimensiunea ferestrei
G[K| HI] TININ
Surna control Indicator urgent
Opsiuni (cuvinte pe 32 bist)
Date (optional)
1. Deseris in RFC793,
NIVELUL TRANSPORT 6
Fiecare nou segment format prin fragmentare are propriife antete TCP gi IP, accasti
sitvatie conducind Ia cresterea gradului de incdrcare a retelei (fiecare segment primeste
un antet de 40 octe{i de informagic suplimentara),
Port sursd (16 bifi) si port destinafie (16 bifi) sint cimpurile care identifica punctul
initial gi pe cel final al conexiunii (in paragraful urmator vom Jmuri cum std treaba cu
porturile),
Cimpul numédrul secvengei (32 biti) este folosit pentru a asigura la destinatie ordonarea
corecti a informatiilor. Numdrul confirmdrii (32 biti) se refer la urmatorul octet care
este asteptat la destinatie.
HLEN - lungimea antetului TCP indica numarul de cuvinte de 32 de biti care si..t
continute in antetul TCP, deoarece cimpul opfiuni este de lungime variabila, Acest cimp
este urmat de 6 biti nefolositi (rezervati pentru dezvoltirile ulterioare, dar de care nua
mai fost nevoie).
Cole 6 cimpuri de un bit au urmatoarea semnificatic :
© URG (Urgent) ~ indici deplasamentul in octeti fay de numarul curent de secventit
Ja care se afl4 informatia urgent. Foloseste indeosebi la inlocuirea mesajelor de
intrerupere.
© ACK (Confirmare) - indic& validitatca numarului de confirmare. Daca acest bit
are valoarea zero, este ignorat cimpul numir de confirmare al segmentului
respectiv.
© PSH (Push - Forfare) ~ acest bit indici destinatarului s& livreze aplicatict infor
matia imediat ce este recepiionati, fri ao mai memora fn buffer.
© RST (Reset) - desfiinteaz’ 0 conexiune care a devenit inutilizabil’.
° SYN (sincronizare) - stabileste conexiunea intre calculatoare.
© FIN (Sfirsit) - termina 0 conexiune.
TCP-ul foloseste pentru controlul fuxului informational feresire glisante de dimen
siune variabilé, Cimpul dimensiunea ferestrei indica numirul de octeti care pot fi
twimigi, incepind cu octetul confirmat.
Cimpul sumd de control este calculat pentru antet si informatia propriu-zist. Initial,
acest cimp are valoarea zero, iar cimpul de date este completat cu un octet suplimentar
nul, dac& lungimea sa este un numar impar.
Projectat pentru a suporta facilitayi ulterioare, cimpul opjinne este folosit mai ales
pentru a indica lungimea maxima a unui segment TCP.
In conformitate cu RFC 793, TCP a fost proicctat
© multiplexare ;
refacerea in urma erorilor ;
controlul fluxului folosind ferestr
stabilirea si inchiderea conexiunilo!
transferul datelor.
A realizeze urmatoarele functii
Multiplexarea
Este procesul prin care un calculator decide ciirei aplica(ii fi sint destinate datele
receptionate si face apel Ia conceptui de socket. in acest context, wn socket este aledituit
din trei lucruri: adresa IP, protocolul de transport folosit si un numar de port
0 ARHITECTURI $1 STANDARDE,
Continuind exemplul cu care am inceput acest capitol, s4 presupunem ca browserul
de pe calculatorul lui Florin apeleaz serverul Web de pe calcutatorul lui Marius. fn acest
caz, socketul de pe calculatorul lui Marius va fi: 10.1.1.2, TCP, 80. Socketul folosit de
Florin va fi: 10.1.1.1, TCP, 1030. in general, calculatoarele care lanseazi cereri aloct
in mod dinamic porturi mai mari de 1024.
Portul este o component de bazii a soketului folosit& pentru a transmite informatiile
niveturitor superioare si pentru a urmari conversafiile care au loc in acelasi timp in retea.
ii sint nevoifi si foloseascd numarul porturilor definite prin
RFC 1700'. Conversatiilor care nu folosesc aplicatii cu porturi definite li se atribuie
aleator numere pentru porturi. Acestea vor fi folosite ca adrese sursi si destinagie in
cadrul segmentului TCP.
Pentru a discuta despre © conexiune TCP, trebuie stabilité mai intii 0 conexiune
inir-un soclu de pe masina surs& si unul de pe masina destinagie. Un soclu poate fi folosit
penteu nrai multe conexiuni.
Numerele de port mai mici de 255 se numesc porturi general cunoscute si stint
rezervate serviviilor standard. Porturile din intervalul 256-1023 sint folosite de companiile
publice care dezvolta aplicatii specifice, iar cele peste 1024 se atribuie aleator.
Fiecare calculator face apel la un anumit port pentru a rula o aplicatie, Calculatorul
sursd foloseste un port atribuit dinamic in momentul in care lanseazi o cerere, port care
de obicei are un numar mai mare decit 1023.
Lista completa cu numerete porturilor o gasi{i la adresa hup://www.iana.org/
nments/port-numbers. Noi te vom aminti aici doar pe cele mai uzuale :
‘Nunwirul portului TCP Descriere
20 FTP server (canalul pentru date)
21 FTP server (canalul de control)
eaeaia23: “Telnet server
33 Domain Name System
: 80 ‘Web server (HTTP)
aa 139 NetBIOS
Refacerea in ura erorilor (sigurantd)
Pentru a oferi siguranta in timpul transportului, TCP numira bytes folosind cimpurile
numdrul secvenfei si numdrul de confirmare din antetul segmentului.
in figura urmatoare, cimpul confirmare (ACK) trimis de client catre server atentio-
neazi asupra urmitorului byte care trebuie receptionat. Aceast& situatie se numeste
forward acknowledgment.
Sa presupunem ins& cd cet de-al doilea segment transmis de server confine erori sau
s-a pierdut pe dram. in acest caz, clientul transmite un cimp confirmare egal cu 2000,
cvea ce inseamna cA asteaptd bytes cu numirul 2000. Funcjia TCP a serverului Web
poate reface datele prin retransmiterea segmentului cu numérul 2000 gi apoi asteapti
confirmarea recepfici celor 400 de bytes.
1 wwwar
editor.org.
NIVELUL TRANSPORT 63
Server Browser
Web” Wee
1000 bytes de date, secvi 1900 Am receptional
ee | tatice! 2000 bytes,
Trim confimmarea,
4000 bytes de date, secventa=2000
1000 bytes de date, secvenja=3000
Nu mai sint date, Confirmare=4000
Figura 5.1.1, Numirul sceventei si confirmarea
Controlul fluxului folosind ferestre
Cimpu! dimensiunea ferestrei din cadrul segmentului TCP determina cantitatea de date
care poate fi transmis simultan, fri a fi nevoie de vreo confirmare. Despre ce este
vorba! Cind un calculator transmite numirul de bytes care determina m&rimea ferestrei,
trebuie s& primeascd o confirmare din partea destinatarului inainte de a transmite alt
mesaj. De exemplu, dacd m&rimea ferestrei este 1, calculatorul sursa trebuie s& confirme
receptia fiec&rui segment inainte ca sursa si-] transmiti pe urmitorul. De aici rezulti o
utilizare total ineficient& a latimii de banda,
Three-way handshake/open connection sau infelegerea in trei pasi este folosita pentru
a sincroniza conexiunca intre calculatorul sursa gi cel destinagie inainte ca datele s& fic
transferate intre acestea. Schimbul numerelor care reprezintA secvenfa este folosit pentru
a se asigura c& datele ce se pierd din cauza problemelor care pot aparea in refea pot fi
recuperate.
TCP foloseste un sistem de confirmare in expectativa (tehnic& care se numeste sliding
window - fereastra glisanté), adici numarul confirmarii se refer& la urmatorul octet care
se agteaptd a fi receptionat. Partea glisanti din cadrul ferestrei se refera la faptul c&
mirimea ferestrei este negociati in mod dinamic in timpul unei sesiuni TCP.
TCP ordoneaz& segmentele intr-o anumit& secventa prin transmiterea catre destinatie
a unei informari ce poart’ denumirea de confirmare. Fiecare datagrama este numerotata
inainte de a fi transmis’. La destinatie, TCP reasambleazi segmentele pentru a forma
mesajul initial. Dacd numérul unei secvente lipseste din cadrul seriei pe care trebuia si
© receptioneze statia destinafie, segmentul va fi retransmis. Segmentele a c&ror receptie
nu este confirmat intr-o perioad’ dati de timp trebuie retransmise.
Stabilirea si inchiderea conexiunilor
Stabilirea conexiunii se refer la procesul prin care sint initializate cimpurile numarul
secvenjei si confirmare precum si porturile care vor fi utilizate. Aici intra in actiune, pe
de o parte, cimpul SYN (sincronizeaz& numerele de secvenf’) care este componenta in
64 ARHITECTURI $l STANDARDE,
baza c&reia se initializeaz’ sesiunea TCP, iar pe de alt parte, cimpul ACK (cimpul
confirmare este valid pentru acest antet), Pind ce nu este initializat numérul secventei,
cimpul confirmare nu joact nici un rol
Browser
‘Web Web
Secventa=200
SYN, DPORT=20, SPORT=1027
E yO
5 Secventa=1450, ACK=201
“SYN, ACK, DPORT=80, SPORT=1027
El
Secventa=201, ACK= 454
ACK, DPORT=80, SPORT=1027
—_—_______»
Figura 5.1.2. Stabilirea si inchiderea unei conexiuni
Dupa cum se vede si din fig. 5.1.2, in primul segment TCP nu este inclus nici un
numar de confirmare, deoarece inc nu putem avea un astfel de numar valid sau, altfel
spus, nu exist nimic de confirmat.
Pentru inchiderea unei sesiuni intrd in actiune cimpul FIN prin care se atrage atentia
asupra faptului cX una dintre parti intrecupe sesiunea si nu va fi nevoie de retransmiterea
unor segmente.
Transferul datelor
Se refer nu numai la retransmiterea segmentelor care contin erori, ci si la ordonarea
segmentelor ale c&ror numere de secven{4 nu sint consecutive.
5.2. UDP - User Datagram Protocol!
UDP reprezinti protocolu! nivelului transport care nu este orientat conexiune. Acest
protocol este folosit pentru a transmite datagrame fri a fi nevoie de confirmarca
receptiei sau de garantarea transmiterii acestora. Retransmiterea datelor in caz de erori
trebuie ,ordonatX” de alte protocoale,
32 bifi
Port sursi (16 biti) [Port destinatie (16 biti)
Lungime UDP ‘Sumé de control UDP.
UDP este proiectat pentru aplicafiile ce nu trebuie si recompund segmentele cu date.
Altfel spus, protocoalele de la nivelul aplicatii sint direct rispunzitoare de siguranta
datelor transmise. Protocoalele care folosesc UDP sint: TFTP, SNMP, DHCP, DNS.
1. Deseris in RFC768.
iL TRANSPORT 65
Diferenta principal fay de TCP const in faptul ci nu exist’ nici un mecanism de
detectare a erorilor. Apticatiile care fac apel la UDP, dacd nu au propriul mecanism de
recuperare a informaiilor, sint susceptibile si le piard’ si s% fie nevoite s8 le transmit
in totalitate. Pe de alt parte, aceste aplicajii nu mai sint ,incetinite” de procesul de
confirmare si memoria este mult mai rapid disponibilizata pentru lucru:
Principalele porturi UDP sint:
‘Numarul portului UDP : Descriere
33 DNS
a Trivial Fils Transfer Protocol CTFTP)
137 NetBIOS - serviciul de mume
138 NetBIOS » servieiul datagrame
16 Simple Nowork Management Protocol (SNMP)
520 Routing Injormation Protocol (RIP)
5.3. ARP — protocolul de rezolutie a adresei!
Spuneam c& un pachet trebuic s& conting atit adresa MAC, cit si adresa IP a destinatarului
Dack una dintre aceste adrese lipseste, datele nu vor mai fi transferate de 1a nivelu! 3
citre celelalte niveluri ale modelului OSI. fn acest caz, ccle dou’ adrese se verific’ una
pe cealalti. Dup ce o stafie identifict adresa IP a destinatarului, poate si adauge
pachetului si adresa MAC.
Exist o multime de variante prin care un calculator poate determina adresa MAC pe
care trebuie sk 0 adauge datelor in timpul incapsularii. Cele mai multe dintre acestea
presupun inregistrarea tuturor adreselor MAC si IP ale echipamentelor care sint conectate
in acceasi refea. Aceste inregistrari se numesc tabele ARP (Adress Resolution Protocol)
si prin intermediul lor, 0 adres IP este mapat% pe adresa MAC corespunzitoare
Tabelele ARP reprezinta sectiuni din memoria RAM a statiilor de lucru. Ficcare
calculator din refea are propria tabel’ ARP, si cind doreste si transmit ceva, face apel
Ia aceasta.
Cind statia surs% transmite citre o destinasie a ciirei adres IP este cunoscutit, se va
consulta tabela ARP pentru a se localiza adresa MAC a destinajiei. Daca IP localizeazt
© astfel de inregistrare in tabela ARP (adres IP destinatie-adres& MAC destinatie), va
asocia adresa IP adresei MAC identificat’ si va folosi aceste adrese pentru incapsularea
datelor.
Ce se intimpla ins cind statia sursd nu identifica in tabela ARP adresa MAC a statici
destinatie? in acest caz, stajia surst inijiaz’ un proces numit cerere ARP, proces care fi
permite s& descopere adresa MAC a statici destinatie.
Cererea ARP implica crearea unui pachet care va fi trimis tuturor stagiilor din reve
Pentru a se asigura c4 toate calculatoarcle vor receptiona cererea ARP, stajia st
foloseste 0 adres MAC de broadcast: conform schemei de adresare MAC, intro astiel
de adresi toate valorile sint F (adresa de broadcast va avea formatul FF-FF-FF-FF-FF-FF).
1. Deseris in RFC826.
66 ARHITECTURI $1 STANDARDE
Deoarece pachetele care congin cererea ARP traverseaza re{eaua in modul broadcast,
vor fi recepjionate de citre toate calculatoarele. Cind o statie receptioneaza un astfel
de pachet, il transmite spre examinare nivélului rejea, Dac& adresa IP a statiei respective
corespunde adresei IP din cererea ARP, accasta va raspunde stajiei surs% prin
transmiterea propriei adrese MAC. Aceast& operatic este denumit&, de obicei, raspuns
ARP.
in momentul in care stajia care a lansat cererea ARP primeste rispuns, extrage adresa
MAC din antet si isi actualizeazi tabela ARP. in acest moment, stafia surs& va putea
incapsula datele (la nivelul 3 si 4), folosind ambele adrese ale statiei destinatie,
Ce se va intimpla inst la destinajie? Nivelul legiturk date al statiei destinatare
extrage din antet adresa MAC pe care compar cu adresa sa, Dac’ cele doud adrese sint
identice, datele sint transferate nivelului refea. Acesta le examineazd si ,vede" c& adresa
IP destinatie continut& in antetul IP corespunde cu adresa sa. Tot nivelul rejea extrage
antetul IP gi tansfer& restul datelor incapsulate nivelului transport. Acest proces se
repetd pin in momentul in care restul pachetului, partial decapsulat, ajunge la nivelul
aplicatie unde vor putea fi citite datele.
Am aflat deja c& pentru a putea comunica, doua calculatoare aflate in retele diferite
mai au nevoie pe ling adresa IP si de adresa default gateway: adresa IP a interfetei
routerului prin care se conecteaza respectivul segment de refea. Adresa IP a gateway-ului
trebuie s& fie in acecasi rejea ca gi stajia respectiva.
1 20288322;
EN: 202.58.32.1; 0:
: 8M 255.256.2560;
$1 255,256,255 0 Gateway
20258321
Figura 5.3.1. Default gateway
Dac nu se precizeaza care este gateway-ul rejelei, comunicarea devine posibila doar
intre calculatoarele aflate pe acelasi segment logic de retea, Calculatorul care doreste s4
transmita date trebuie s4 compare adresa IP a destinatarului cu inregistrarile din tabela
ARP. Dacia in ARP nu se gasesc inregistrari, calculatorul sursa nu are nici o adres’ IP
destinasie si datele nu vor putea fi transmise.
Nu incerca{i sii vedeti pe buc4i lucrurile prezentate pind acum, pentru c& ajungem la
una dintre problemcle cele mai importante : cum comunicd dou calculatoare care se afla
‘in segmente de rejea diferite (atit fizic, cit si logic). Calculatorul surs& trebuie totusi s&
stie catre cine irimite datele. Si calculatorul destinatie trebuic s& stie cum s& interpreteze
datele primite.
Am vazut deja cd ARP foloseste pachete broadcast in anuntite momente. Routerul, in
schimb, nu transmite mai departe pachetele broadcast (cu excepfiile de rigoare). Un
calculator care doreste s& trimitd date catre o stajie care se afla in alt segment de retea
va trimite aceste date citre gateway. Prin ,inmuljirea” (AND) adresei IP cu subnet
mask-ul, calculatorul sursd determina adresa de rejea a segmentului respectiv. Dac’
NIVELUL TRANSPORT or
stajia destinajie nu este in acelagi segment de rejea, sursa transmite datele catre gateway.
Dack statia sursi nu cunoaste adresa MAC a gateway-ului (nu exista in tabela ARP),
lanseaz¥ 0 cerere ARP la care raspunde gateway-ul, Tabela ARP a routerului contine
inregistrarile tuturor retelelor conectate direct la acesta.
Mai existd o variantS ARP denumitd proxy ARP, folosita in reyele de dimensiuni mici
si lipsite de complexitate. {n aceast& variant, o singura adres IP este mapatd pe mai
multe adrese MAC. Un router pe care ruleazi proxy ARP, capteazi pachetele ARP si
raspunde cu adresa MAC corespunzatoare.
Spuncam c& interfata sau portul prin care routerul se conecteazd la rejea este
considerat& parte a regelei si, prin urmare, are propria adres4 IP. Routerul transmite gi
receptioneaz datele din rejea, construind tabele ARP prin care mapeaz adresele IP la
adresele MAC ale participantilor. Routerul poate fi conectat la mai multe refele sau subretele.
in general, echipamentele unei rejele mapeazit adresele IP la adresele MAC doar in
cazul dispozitivelor pe care le ,vad” in mod regulat. Aceasta inseamni cd un anumit
echipament conjine astfel de informayii numai cu privire la alte doua dispozitive ale
rejelei din care face parte. Despre ce se intimpla in afara reyelei/subreelei din care face
parte, se cunose foarte putine informatii.
Tabelele ARP realizate de un router contin informajii despre toate rejclele/subrejelele
conectate la acesta. Pe ling maparea adreselor IP la adrescle MAC, routerul mapeazi si
porturi/interfete,
Ce se intimpli dacd la un router ajunge un pachet a c&rui destinatie este o retea la care
respectivul router nu este conectat? Pe lingd adresele IP si MAC ale echipamentelor din
rejelele la care este conectat, routcrul mai define si adresele IP $i MAC ale altor routere.
Acestea sint folosite pentru a directiona datele catre destinajia final& atunci cind adresa
destinatie a unui pachet receptionat nu se afla in tabela sa de rutare. Routerul transmite
acest pachet ctre un alt router care pare si conjind informasii despre destinatar in tabela
sa de rutare.
Tabela ARP este folositi doar pentru a rezolva cererile din rejelele locale. Cum se
desftisoara procesul de rutare, cind o staie cere servicii care nu pot fi satisfacute de
routerul local, dar nici nu stie adresa altui router?
eh
1P:197,15,22.33 \P197415.2244 1P:707,100.108.4 1; 201.100.101.37
MAC:02-60-8C-01-02-03 yyac-90-00-47-06-09-89 MAC:00-00-05-03-13-7D MAC:00-80-29-£3-95-92
WP: 201.100.101.141
IP: 197.18.22.4 MAC:00-40-33-2B-35-77
MAC:08-00-02-30-90-90
Figura 5.3.2, Cerere ARP catre router
68 ARHITECTURI $I STANDARDE
fn aceste situatii, stajia sursi lanseazi 0 cerere ARP. Routerul, care este conectat la
aceeasi refea ca si stafia sursd, preia cererea ARP si raspunde statici respective. Acest
rispuns conjine adresa MAC a unui router care nu face parte din refeaua local’, Daca
cererea ARP pe care o lanseazi statia sursi nu ar ,trece” de granitele refelei locale,
aceast& statie nu ar putea objine informatii despre adresele destinatarului.
Si recapitulim pugin. Avem doud stati (surst gi destinatie) aflate in retele diferite
(cea ce inseamna ci identificatorii de retea sint diferiti). Stajia sursd nu cunoaste adresa
MAC a statiei destinatic. Prin urmare, sursa face apel la serviciile unui router pentru a
putea transmite date destinatarului. Routerul care oferd astfel de servicii este denumit
default gateway.
Pentru a putea obsine serviciile mai sus-amintite, statia surs& incapsuleaza datele cu
adresa MAC a routerului. Adresa IP folosita in antetul datagramei IP este cea a statiei
destinatare, si nu cea routerului. De ce? Pentru ci statia sursi doreste s& transmit datele
uni alte statii, si nu routerului. Cind routerul receptioneaz& datele, extrage si analizeaza
informatiile specifice nivelului 2, restul datelor find transferate nivelului rejea. Aici este
examinati adresa IP destinatie. Routerul compari aceasté adres’ cu informatiile conyinute
in tabelele de rutare. Daca gaseste 0 corespondenté, adresa IP-adresi MAC si destinatarul
face parte din una dintre retelele la care este atasat, routerul incapsuleaz datele cu noua
adres MAC si le transmite destinatiei.
Daca, in schimb, in tabelele de rutare nu se regiisesc informatii cu privire la
Gestinatarul pachetului, routerul cauti adresa MAC a unui alt router si fi transferd
acestuia datele. Acest tip de rutare este cunoscut si sub denumirea de rutare indirect
Cum ,,invayi” un router atitea informasii? Prin dou’ metode: staticd si dinamicd.
Spus in citeva cuvinte, aceste lucruri ar suna cam asa: dacd informatiile din tabelele de
Tutare trebuie scrise de ,.cineva”, se spune ci este vorba de rutare static ; dacd routerul
poate invita singur cum se va face rutarea, se spune cX este o rutare dinamict
Cind se foloseste una sau alta dintre cele dou variante? Daca administratorul de
rejea doreste si controleze cu ,minujele” Jui care vor fi cAile folosite de router pentru a
transmite pachetele 1a destinie sau daci orice pachet va fi transmis pe un singur drum
la destinajie, se va folosi rutarea static’.
5.4, ICMP - protocolul mesajelor de control!
Spuneam ca in cadrul IP, unitatea de baz folosit’ in transferul datelor o reprezintt
datagrama IP. Procesarea acestor datagrame se face la nivelul software-ului, Altfel spus,
confinutul si formatul unei datagrame nu sint dependente de hardware.
Trebuie mengionat ci alte protocoale de comunicajie au propriul format pentru
datagrame. Datagrama IP este specific IP.
O alti componenti major a IP este ICMP (Internet Control Message Protocol)
Acest protocol este folosit de echipamentele dintr-o re{ea pentru a raporta sursei proble-
mele care au aparut in timpul transmiterii unui mesaj. Au fost definite mai multe astfe!
de mesaje, cele mai importante fiind cele care urmeaz’ :
1. Deseris in REC792
NIVELUL TRANSPORT. 0
Destination unrechable (Destinajie inaccesibila) este mesajul folosit atunci cind
subrejeaua sau un router nu pot localiza destinatia unei datagrame sau cind un pachet cu
bitul DF nu poate fi livrat, deoarece trebuie si tranziteze 0 rejea cu pachete mici
Time exceeded (Timp depasit) este mesajul transmis cind un pachet este eliminat ca
urmare a ajungerii contorului sdu la zero. De obicei, prin acest mesaj se identifica
blocajele din retea.
Mesajul Parameter problem (Problema de p
intr-un cimp din antetul datagramei.
Prin Redirect (Redirectare), routerul avertizeaz ci un pachet pare a fi dirijat pe un
traseu gresit
O caracteristicd a ICMP 0 reprezinti echo-request/echo-reply, prin care se testeazi
dac& un pachet poate s& ajung% la destinayie prin ,pinguirea” acesteia. Trebuie si
mentionim ci mesajele de tipul destination wireachable au Ja rindul lor mai multe
subcategorii.
Famnetru) arati 0 valoare nepermist
CAPITOLUL 6
Nivelurile sesiune si prezentare
6.1. Citeva consideratii generale despre o sesiune
Nivelul sesiune este cel care coordoneaz% aplicatiile ce interactioneaz’ cind dowd
caleulatoare comunicd intre ele.
Comunicarea intre dou’ calculatoare implicd derularea unor mini-conversatii pentru
asv asigura c& cele dowd calculatoare pot efectiv comunica. in timpul acestor mini-conversatii
fiecare dintre participani joaci un rol dublu: ca si in cazul unui client, pot s4 ceard la
un moment dat un serviciu, dar, ca si in cazul unui server, pot sa ofere un serviciu.
Procesu! prin care se determin ce rol joaca, la un moment dat, unul dintre calculatoare
se numeste controlul dialogului. Tot nivelul sesiune este cel care stabileste, gestioneaza
si incheie sesiunile de lucru intre aplicatii.
Nivelul sesiune este cel care decide cind are loc 0 comunicare in ambele sensuri
simultan sau cind are loc o comunicare in ambele sensuri alternativ (controlul dialogului).
Dacd se permite o comunicare in ambele sensuri simultan, nivelul sesiune devine mai pugin
activ in ceea ce priveste gestionarea conversajiei si permite celorlalte niveluri ale celor
doua calculatoare s& controleze intregul proces. in acest caz este posibil s& apara coliziuni
in cadrul acestui nivel, coliziuni care sint diferite de coliziunile care apar la nivel fizic.
Coliziunile de la nivelul sesiune se manifesta doar sub forma a doud mesaje transmise
unul c&tre celalalt si care creeaz4 confuzie fie la nivelul unui calculator, fie in ambele.
Dact aceste coliziuni nu sint tolerate, controlul dialogului apeleaz la o comunicare in
ambele sensuri alternativ. In acest caz se foloseste un jeton specific nivelului sesiune,
prin care cele dou calculatoare stabilesc ordinea in comunicare (similar cu jetonul de la
nivelul 2). fn acest moment se pot pune doud intrebari: Cum se realizeaz4 separarea
dialogului in timpul comunicarii? Cum se sincronizeaz’ comunicarea?
Separarea dialogului face apel la punctele de control (checkpoint). Aceste puncte
actioneaza similar cu momentul in care se declanseazi AutoSave-ul Word-ului in timpul
tchnoredactirii. Ele separa parjile dialogului dintre cele dow’ calculatoare. Separarea
dialogului se refera la initierea ordinii, gestionarea $i terminarea comunicarii.
in ceea ce priveste sincronizarea comunicirii, aceasta poate fi minor& sau major’. Ce
presupune sincronizarea minord?
La momentul t (momentul declansarii checkpoint-ului), nivelul sesiune al unui
calculator transmite un mesaj de sincronizarc citre calculatorul cu care dialogheaz’. In
acest moment ambele calculatoare vor executa urmitoarele rutine :
+ realizeaz§ copii de sigurang& pentru fisierele particuiare ;
n ARHITECTURI $1 STANDARDE,
saiveaza setarile refelei ;
salveaza setirile ceasului ;
* iau la cunostint’i de terminarea conversatiei
Sincronizarea majora este mult mai complexa si implicd mult mai multe etape.
Si dac3 tor am pomenit in acest curs de protocoale de nivel superior, protocoalele
nivelulul 3 pot fi i icate in timpul login-ului sau in cadrul unei aplicaii: NFS
(Network File System), SQL (Structured Query Language), RPC (Remote Procedure
Call), X-Window System, ASP (Apple Talk Session Protocol), DNA (Digital Network
Architecture), SCP (Session Conirol Protocol).
6.2. Prezentare
Nivelul prezentare este cel care rispunde de prezentarea datelor intr-o forma pe care
calculatorul surs& s& 0 poatt ,injelege”. Acest nivel acjioneaz ca un traducdtor pentru
echipamentele care comunicd intr-o refea si indeplineste trei functii principale :
© prezentarea datelor (sau formatul acestora) ;
© criptarea datelor ;
* compresia datelor.
Dup& ce primeste datele de la nivelul aplicatie, dar inainte de a le transmite nivelului
sesiune, nivelul prezentare execut una sau mai multe dintre funetiile prezentate anterior.
La destinajie, nivelul prezentare preia datcle de 1a nivelul sesiune, execut% functiile
necesare si apoi transfer respectivele date nivelului aplicayie
S& presupunem ci statia pe care lucraji vrea si comunice cu un mainframe. Sistemul
vostru foloseste codurile ASCII pentru reprezentarea caracterelor, in timp ce main-
frame-ul foloseste codurile EBCDIC. Traducerea informasiilor dintr-un cod in altul este
realizat cu ajutorul nivelului 6.
Dincolo de reprezentarea caracterelor, standardele nivelului 6 vizeaz’ si modalitigile
de prezentare a imaginilor grafice :
+ PICT - format pentru imagini, utilizat pentru transferul imaginilor grafice QuieDraw
intre programele sistemelor MAC ;
* TIFF ~ format pentru imagini bit-map cu rezolutie mare;
* JPEG - formatul joint photographic experts group.
Alte ceringe ale nivelului 6 se referd ta formatul de prezentare a sunetelor si filmelor :
© MIDI - pentru sunet digital (Musical Instrument Digital Interface) ;
* MPEG - standard pentru compresia si codificarea filmelor video pe suport CD
etc. (Motion Picture Experts Group) ;
* QuickTime ~ standardul pentru pentru lucrul cu fisiere audio-video pe masini
MAC (diferenti fati de QuickTime for Windows)
Codurile ASCII si EBCDIC sint folosite pentru formatarea textelor. Figierele text
bazate pe coduri ASCII nu fac apel 1a comenzi ultra-sofisticate. Ginditi-va la Notepad.
NIVELURILE SESIUNE $I PREZENTARE B
Este destul de simplu de seris un text cu acest utilitar. EBCDIC este un cod similar cu
ASCII, singura diferenji major constind in tipul caiculatorului pentru care sint dedicate
Majoritatea fisierelor realizate cu ajutorul unui editor de texte au extensia .txt.
Un alt format destul de utilizat in cazul fisierelor este formatul binary (binar). in
aceste figiere datele sint codificate astfel incit nu pot fi citite decti cu aplicatii specifice
Un exemplu de program care foloseste fisiere binare este FTP-ut
Aminteam, mai inainte, de citeva formate folosite in cazul fisierelor grafice in
Inietnet, cele mai folosite formate de fisicre pentru aligarea imaginilor sint : GIF (Graphic
Interchange Format) si JPEG.
fn categoria fisierelor binare intra si formatul de fisiere multimedia: capabile sa
memoreze suncte $i imagini la un loc. Fisierele audio pot fi ascultate prin dows metode
tie mai intti sint desc&rcate gi apoi ascultate, fie sint ascultate in timp ce sint descreate
(streaming audio). Windows-ul foloseste formatul WAV pentru sunet si AVI pentru
imaginile animate. Pentru fisierele video, cele mai cunoscute formate sint variantele
MPEG.
Un alt format de fisiere, format ce actioneaz ca un set de reguli pentru afisarea $i
gestiunea documentelor de c&tre browsere, este markup language. HTML (HyperText
Markup Language) este limbajul (nu de programare) folosit in Internet pentru afisarca
paginilor.
Folosind un soft specializat, 1a nivelul 6 se poate realiza si criptarca datelor. De ce
este nevoie de criptare? Pentru a proteja informatiile in timpul transmiterii lor prin
rejea. Majoritatea tranzactiilor financiare ce se deruleazi prin Internet fac apel la criptare
De cele mai multe ori, 0 astfel de aplicatie foloseste o cheie de criptare peniru a codifica
datele intr-o now’ forms si o cheie de decriptare pentru a te aduce in forma initials.
Tot nivelul prezentare este cel care rispunde si de compresia figierclor, o tehnic’ prin
care se reduce mrimea lor folosind algoritmi destul de complecsi.
CAPITOLUL 7
Nivelul aplicatie
Nivelul aplicatie este cel mai apropiat de utilizatorul calculatorului, Este nivelul
tesponsabil cu identificarea partenerilor disponibili sX comunice, sinctonizarea aplica~
tiilor, stabilirea procedurilor pentru recuperarea datelor si controleaza integritatea acestora.
Este singurul nivel care nu ofera servicii celorlalte niveluri ale modelului OSI.
7.1. DNS - Domain Name System!
Cind am prezentat nivelul rejea spuneam cé foloseste 0 schema de adresare ierarhizata.
Programele ins fac referire destul de rar la sistemele gazd& prin adresa lor IP, De cele
mai multe ori se utilizeaz siruri ASCII de genul : adim@yahoo.com, www.feaa.uaic.ro
sau www.crap.ro, Chiar si in aceast4 situatie Internetul stie numai de adresele binare
despre care am discutat deja. Prin urmare, a fost nevoie de un mecanism care s&
converteasci sirurile ASCII in adrese binare. Pentru majoritatea dintre noi este mult mai
usor de memorat un nume decit o adres binard. Din acest motiy, proiectansii Internetului
au creat DNS (Sistemul Numelor de Domenii) care permite referirea calculatoarelor
gazdi cu ajutorul numelor.
DNS este, practic, un soft cate transform numele (feaa.uaic.ro) in adresd IP si
invers. Pentru a face o astfel de transformare, DNS are nevoie de citeva informatii.
Aceste informajii sint stocate pe mai multe calculatoare din Internet (servere DNS). in
fond, DNS este un exemplu tipic de baze de date distribuite. O baza de date distribuita
poate fi vazutd ca o sumi de fisiere memorate pe calculatoare diferite din Internet -
localizate in spatii geografice diferite, Softul pentru baza de date distribuiti gestioneaz
si controleaza intreaga colectie de date ca pe o singusz4 bazA de date.
DNS este aleituit din trei mari componente :
* Spatiul numelor de domeniu,
* Servere de nume,
+ Resolvere.
Spagiul numelor de domenii reprezint& informatia consinuta in baza de date distribuitt
din Internet. Putem s& ne imaginim aceasté informajie ca o structur§ arborescent& :
* arpa - este un domeniu Internet special, care transforma adresele IP in nume ;
1. Deseris in RFC1034,1035.
16 ARHITECYURI SI STANDARDE,
* grupul generic sau ai organiza!
caractere (com, edu, gov, mil);
© grupul geografic al {Srilor ~ are etichete de domeniu compuse din 2 caractere (us,
ro, fr)
jor ~ are etichete de domeniu compuse din trei
int com edu gov, mil corg. Sancta
|
susie
sfeaa
Stagial
Figura 7.1.1. Structura DNS
Internet Assigned Numbers Authority (IANA)! este organismul care administreazi.
la nivel mondial numele de domenii. La nivel conceptual, Internetul este divizat in
domenii de nivel superior care, la rindul lor, sint divizatc in subdomenii etc.
Componentele unui nume pot avea maximum 64 de caractere, iar intreaga cale nu
poate depiisi 255 de caractere. Numele de domenii ar trebui si contin’ doar litere, desi
in practica se intilnesc situagii care nu respect aceasta cerint& (atunci cind se doreste ca
site-ul s& fie mai ugor de regisit de catre motoarele de ciutare se introduc si cifre). O
astfel de situatie poate crea probleme aplicajiilor care analizeaz& doar primul caracter al
unei adrese pentru a identifica DNS-ul cireia apartine.
Fiecare domeniu controleaz& maniera de alocare a subdomeniilor sale, motiv pentru
care atunci cind se creeaz& un nou domeniu, se cere permisiunea domeniului in care va
fi inclus.
Serverele de nume sint programe server care stocheaza informatia DNS si rispund
ceterilor adresate de alte programe. Un server de nume nu trebuie s& stie adresele
celorlalte servere de nume din DNS. in schimb, trebuic si stie cum s& contacteze
serverele de nume radacina, care, la rindul lor, trebuie si stie numele si adresele IP ale
tuturor serverelor de nume de nivel doi. Arborele serverelor de nume este foarte larg si
cu foarte pujine niveluri, Deci, serverul nu trebuie s& transmit’ cererca la prea multe
servere.
1. Vezi www iona.org.
NIVELUL APLICATIE n
Domeniile de responsabilitate poarti denumirea de zone, Organizatia responsabild
pentru o anumita zoni poate divide mai departe zona, fragmentind-o pind cind o singura
persoan& poate gestiona alocarea numelor. Aceasti persoand este numité, de obicei,
administrator DNS.
Deoarece serviciile de cautare DNS sint operafii critice (dacd un program nu poate
objine adresa IP ciutati, nu poate realiza conexiunea doriti), Internet a impus, pentru
fiecare zona, un server DNS primar si unul sau mai multe servere secundare. in general.
serverele secundare conjin acecasi informasic ca serverul primar. Ele sint folosite pentru
a crea ,copii de siguranji”, in cazul in care serverul primar se defecteaz’ sau este
suprainearcat cu cereri.
Un server de nume primar stocheazi informajia DNS local in fisiere speciale. Un
server de nume secundar preia datele de la serverul primar al zonei, printr-un proces
care poartt numele de transfer zonal. in general, un server secundar interogheazi
serverul primar o data la citeva ore.
Resolverele sint programe care extrag informatiile din servercie de nume, ca rispuns
la cererile unor clienti. Un client contacteaza serverul de nume pentru zona din care face
parte. Serverul examineazA cererea pentru a determina dacd are autoritate pentru dome-
niul specificat. in caz. afirmatiy, se face transformarea numelui in adresa IP si se trimite
rispunsul inapoi la client. in cazul in care serverul nu poate face transformarea direct,
rispunsul depinde de tipul cererii rimise de client. Un client poate cere o transformare
a numelor in dous moduri :
© cu rezolvare recursivd - serverul va contacta la rindul tui un alt server de nume,
de obicei de pe un nivel superior din arborele scrverelor de nume. Acesta, la
rindul lui, va examina cererca si dack nu poate si faci transformarea, va contacta
un alt server. $i tot aga, pind cind va fi contactat un server care poate rezolva
aceasta cerere;
* cu rezolvare iterativa ~ serverul va comunica clientului ce server si contacteze
mai departe. Clientul va adresa 0 cerere acestui server, trimis de serverul zonal,
si tot asa mai departe pind cind cererea va ajunge 1a un server care va face
transformarea. Cind un server receptioneaz’ o cerere cu rezolvare iterativa gi nu
poate traduce numele de domeniu, acesta va transmite clientului ce server s&
contacteze mai departe
7.2. SNMP - Protocolul simplu
pentru administrarea retelelor'
SNMP (Simple Network Management Protocol) este protocolul nivelului aplicatie proiectat
pentru a oferi posibilitatea schimbului de informagii de administrare intre dispozitivele
unei refelc. Parte a suitei TCP/IP, SNMP permite administratorilor de rejea si gestioneze
performantele unei refele, si identifice si s& rezolve problemele care apar precum gi si
planifice dezvoltirile ulterioare ale refelei.
1, Deseris in RECIIS7.
78 ARHITECTURI $I STANDARDE,
in termeni simpli, despre SNMP se poate spune ci este un protocol asimetric de tip
request-reply care schimb& informafii intre o statie de administrare si un agent. Agentul
nu este altceva decit dispozitivul care se doreste a fi administrat.
SNMP este alcatuit din trei elemente de baz:
© Management stations ~ stajii de administrare ;
* Agent - noduri administrate ;
* Management Information Base (MIB) - informagii de administrare.
ie de administrare (NMS - Network Management Station) pot fi oricare dintre
calculatoarele rejelei pe care se execut4 programele de administrare. Acestea comunict
cu agentii prin intermediul SNMP, trimijind comenzi si primind in schimb rispunsuri.
Dialogul dintre aceste doud componente are la bazX MIB care reprezintd o colectie de
informatii organizate ierarhic, ce descriu obiectele care sint administrate.
Protocolul SNMP permite stafiei de administrare s& interogheze un agent cu privire
la starea obiectelor locale gi s& le modifice dac’ este necesar. Exist situa(ii in care dac&
un agent observ ci s-a produs un eveniment, raporteazi citre toate statiile de admi-
nistrare (rap SNMP). Stajia de administrare interogheazi apoi agentul pentru a afla
detalii despre evenimentul care a avut loc.
in cazul in care in rejea existé dispozitive care nu sint capabile sii ruleze un agent
SNMP. se face apel la un proxy agent (agent intermediar) care va prelua sarcinile
agentului clasic.
Spuneam c& nucleul SNMP-ului il reprezint& baza de informagii. Pentru a se asigura
comunicarea intre diferitele dispozitive ale unei refele, este esential ca obiectele 5% aibi
© definitie standardizata, independent de producitorul respectivului echipament.
Limbajul standard folosit de SNMP pentru definirea obiectelor si a regulilor de
codificare se numegte ASN.1 (Abstract Syntax Notation One) - notafia sintactic’
abstracté unu.
7.3. Posta electronica
Pe la inceputurile sale, Internetul de astézi a avut patru aplica(ii principale :
© posta electronica ;
© stiri;
* conectarea la distanta ;
© transferul de figiere.
Posta electronica nu este o aplicatie chiar atit de simpla pe cit pare. E drept cA puteti
si o folosiji si fird s& stiti cele ce urmeaza!
Pentru a putea transmite un mesaj prin intermediul postei electronice este nevoie de
citeva ingrediente : un calculator, o conexiune la rejea (modem, de exemplu), un program
care permite utilizarea acestui serviciu de Internet, o conexiune fa Internet (oferitd de un
provider ~ ISP ~ sau de un serviciu online) si o banal adresa de e-mail.
Mesajul pe care il transmite{i este preluat in rejeaua Internet de citre un server si apoi
livrat caleulatorului mengionat in adresa de e-mail.
NIVELUL APLICATIE 9
Cum este alcatuita o adrest de e-mail? Adresa de post electronica este o adresd
Internet formatt din dou parti, desp&rgite de caracterul @:
© prima parte a adresei reprezinti numele de conectare al persoanei c&reia fi este
destinat mesajul (ID_user) ;
© a doua parte reprezinté denumirea domeniului din care face parte persoana
(identifica nodul destinatie - adresa_nod) ;
Daci aveti instalat un browser ca Netscape Navigator/Communicator sau Microsoft
Internet Explorer, aveti si aplicasiile necesare pentru e-mail. Exist si altele nu numai
cele ale rivalilor amintisi: Pine (pentru Unix), EudoraPro, America Online (AOL),
HotCast, Calypso, Messenger.
Pentru a primi sau a trimite un mesaj, calculatorul trebuie ins& sé comunice cu un
server de e-mail, folosind un anumit protocol de livrare. Acest protocol se stabileste, de
obicei, in momentul configurarii softului de e-mail
POP - Post Office Protocol (protocol de posta), este un protocol simplu utilizat
pentru aducerea mesajelor dintr-o cutie postal aflatt la distansX. Scopul acestui protocol
este de a aduce posta electronica de la distant si de a o depozita pe calculatorul local al
utilizatorului, pentru a fi citit% mai tirziu. Este cel mai vechi protocol, prima versiune a
fost definitivata in anul 1984, ajungindu-se in prezent la POP3.
IMAP - Interactive Mail Access Protocol (protocol interactiv de acces 1a post),
este un protocol care a fost proiectat pentru a ajuta utilizatorii care folosesc mai multe
calculatoare (un calculator la birou, un calculator acas4 sau un notebook). in acest caz,
servet-ul de e-mail p&streazi un depozit central de mesaje la care accesul poate fi realizat
de pe orice calculator. in comparatie cu protocolul POP3, IMAP nu copiazi posta
electronica pe calculatorul personal al utilizatorului
DMSP - Distributed Mail System Protocol (protocol! distribuit pentru sistemul de
Post), este un protocol care permite utilizatorilor sé aduc% posta electronica de pe
serverul de e-mail pe un calculator si apoi s4 se deconecteze de la server.
Cind se alege un client de e-mail, trebuie avute in vedere urmatoarele :
* ce standarde suporté: IMAP4 sau POP3? ;
* capabilitatea de lucru cu conturi de e-mail multiple ;
* posibilitatea de a aduce de pe server doar mesajele dorite, celelalte fiind eliminate
prin filtre ;
© posibilitatea de arhivare a mail-urilor, precum si importul si exportul textelor ;
* ergonomia (interfata cu utilizatorul, modul de explicitare a erorilor intervenite,
documentatia) ;
* functionalitatca: in ce misur& clientul de e-mail indeplineste si atinge ccrinjele
utilizatorului, prin opsiunile puse la dispozisie ;
* resurse necesare sistemului pentru fiecare aplicatie in parte, pentru a rula optim
si fra intreruperi ;
© dac& suport format HTML.
Toate programele de e-mail functioneaza pe baza unor protocoale de comunicasie, in
afara celor de livrare, care asigur& accesul la serverul de post electronica precum si
livrarea mesajelor. Cele mai cunoscute standarde de posta electronica (protocoalele de
acces) sint:
80 ARMITECTURI $1 STANDARDE.
ISO - locatizeaz activitiile de procesare a mesajelor electronice Ja nivelul 7 al
modelului OSI. Acesta permite ca reele diferite s& poat’ comunica, indiferent de
deosebirile existente intre sistemele de operare folosite ;
SMTP - Simple Mail Transfer Protocol (protocol simplu de transfer de post’)
este un protocol pentru transferul mesajelor intre dou% calculatoare din rejea aflate la
distang. Este un protocol folosit in Internet si face parte din stiva de protocoale TCP/IP.
Funcjioneazi impreundi cu programe de posta electronic’, oferind atit pentru client, cit
si pentru server functii de transmitere si receptionare a mesajelor e-mail.
MHS ~ Message Handlig Service este un standard popularizat de cAtre firma Novell.
Serverul MHS transmite mesaje intre calculatoare care folosesc sisteme e-mail diferite.
MIME - Multipurpose Internet Mail Extensions (extensii de posti cu scop
multiplu) este un protocol prin intermediul c&ruia se pot transmite si receptiona si
mesaje non ASCII: imagini, audio, video etc.
7.4, File Transfer Protocol!
(Protocol pentru transferul fisierelor)
FTP este protocolul care oferk facilitéti pentru transferul fisierelor pe sau de pe un
calculator din rejea. De multe ori, pentru aceasti actiune utilizatorul este nevoit s& se
autentifice pe calculatorul de pe care doreste s& incarce/descarce fisiere. Facilitatea
cunoscuti sub numele de anonymous fip lucreazi cu un cont public implementat pe
calculatorul gazd%, numit guest
O sesiune ftp presupune interactiunea a cinci componente soft:
Interfaja utlizator_| Oferd inerfata de lucru si gestioneaza interpretorul protocolului client,
Interpretorul protocolului client. Un interpretor este cel care transmite
PI Client comenzile citre interpretorul serverului aflat la distanj& i gestioneazi
transferul datelor edtre client.
Interpretorul protocolulul server rispunde comen:
f lansate de client $i
ba Rahae gestionear transferul datctor de pe server.
Procesul de transfer ai datelor eitre client rispunde Je comunicarea cu
Client DTP :
procesul serverului si fisierele locale
oo Procesul de transfer al datelor de pe server réspunde de comunicarea cu
procesul client si figierele aflate la distant’.
in timpul unei sesiuni ftp se realizeaz dou’ conexiuni separate: una intre Pl-uri si
una intre DTP-uri. Prima este cunoscut sub denumirea de conexiune de control, iar ce
de a doua se numeste concxiunea datelor.
Cind functioneaz’, un server fip .ascult{” portul 21 pentru a vedea daci exist cereri
de conexiune. Alegerea portului pentru conexiunea datelor depinde de comenzile transmise
prin conexiunea de control. De obicei, clientul transmite un mesaj de control prin care
se indic4 numérul portului de pe masina client pe care se accept o cerere de conexiune
a datelor.
1. Deseris in RFC 959.
NIVELUL APLICATIE 81
Folosirea celor doua tipuri de conexiuni oferd avantajul select&rii corespunzitoare a
serviciilor : intirziere minima pentru conexiunea de control si productivitate (sitroughput)
maxima pentru conexiunca datelor.
in general, cind se initiaz un transfer prin fip, trebuie precizate urmitoarele aspect
J, Tipul fisierului.
Se specifick maniera in care datcle continute de un fisier vor fi aduse intr-un format
prin rejea:
© fisiere ASCII - calculatorul care transmite fisierul il converteste din formatul
local text in format ASCUI ;
* fisiere EBCDIC - similar cu ASCIT;
© fisiere binare (binary) - fisierul este transmis exact cum cste memorat pe caloula-
torul sursi si memorat Ja fel pe calculatorul destinajie
* figiere locale - folosite in meditle in care cel ce transmite precizeaza numarul de
biti/byte.
2. Controlul formatului - se referd la fisierele text care sint transferae direct citre o
imprimanti :
* No printing controls (default) ;
* telnet printing controls ;
* fortran printing controls.
3. Structura ~ fisicrele pot s4-si pistreze structura interna in timpal t
acest lucru se ocupa procesul pentru transferul datelor (DTP). Exist tei pos:
© Structura fisierului - fisierul este vi
structur’ intern’,
* Structura inregistrarii - fisierul este stracturat ca 9 serie de inregistrari (valabyil in
camul fisierclor text).
+ Structura paginii (structura bloc) - fiecare pagin’ este numerotati pentru a putea
fi transmis in orice ordine.
sisi
il
zul ca un flux continuu sie bytes, Fira o
4. Modul de transmitere implic’ trei posibilitai :
Stream (in flux) ~ figierul este transferat intr-o serie de bytes,
Bloc ~ figieru! este transferat bloc cu bloc, fiecare cu un header.
Compresat ~ se foloseste o schema de comprimare a seeventelor de bytes identici
in timpul unui transfer prin fip nu exist nici un mecanism de negociere a transmisici
7.5. World Wide Web
Conceptul care 4 stat la baze WWW este hypertextul.
Prin hypertext se infelege 0 colectie de documente unite intre cle prin legaturi (link)
ce permit parcurgerea acestora bidirectional.
#2 ARHITECTURI $1 STANDARDE,
HTTP este acronimul pentru Hyper'Text Transfer Protocol sau protocolul ce stabileste
regulile de transfer al documentelor hypermedia. Aplicatiile care folosesc acest protocol
sint considerate entit’si abstracte din punctul de vedere al protocolului. Ele trebuie st
poatt formula cereri si/sau receptiona raspunsuri (modelul client-server).
Unul dintre conceptele de bazit este cel de resursit si desemneaz4 un calculator, 0
bazi de date, un document sau, spus la modul general, un serviciu. Resursa trebuie si
poati fi referit& corect si fir echivoc, Pentru referirea unei resurse in Internet, se
foloseste termenul generic URI - Uniform Resource Identifier. Daca se face referire la
© locatie, spunem ci avem de a face cu un URL - Universal Resource Locator, Dac se
face referire la un nume, avem de-a face cu un URN - Universal Resource Name.
Protocolul se bazeazd pe paradigma cerere/rispuns. Clientul cere accesul la o resursi,
aceasta fiind identificatd prin URI, iar serverul rispunde printr-o linie de stare (contine,
prinire altele, un cod de succes sau eroare $i, in primul caz, urmeaz& datele cerute).
Adresarea unei resurse in Internet se face prin constructii de forma :
protocol ://|scrviciu].nume_dns[.nume_local/cale/subcale/nume_document
Serverul care rispunde cererilor privitoare la documente hypermedia se numeste
server WWW: ,cunoaste” protocolul http si oferd serviciul www.
Partea a Il-a
Proiectarea retelelor
de calculatoare
CAPITOLUL 8
Cablarea structurata a unei retele
de calculatoare
Ce reprezinti cablarea structurati ? in cuvinte simple, reprezinti o arhitectura pentru
comunicatiile prin cabiu, specificata de cAtre comitetul EIA/TIA TR42! si folosit’, in
mod voluntar, ca standard de c&tre producatorii de echipamente.
Un sistem de cablare structurata include mediile de transmisic si hardware-ul asociat
cu scopul de a furniza o infrastructuré de comunicatii cuprinzdtoare. Aceasti infra-
structuri nu trebuie si fie dependent% de un anumit dispozitiv, Mai mult, un sistem de
cablare structurati incepe din punctul in care se termina infrastructura (urnizorului de
servicii. Chiar dact respect acceasi metodologie, orice sistem de cablare structuraia
este unic in felul stu din mai multe motive:
* structura arhitecturalé a cladirii in cave se realizeaz instalarea ;
* produsele folosite ;
* functia indeplinitt de sisternul de comunicaii ;
* configuratia echipamentelor ;
* cerinjele i limitirile clientului
8.1. Standardul ANSI/TIA/EIA 568
Conform acestui standard, un sistem de cablare structurata cuprinde sase clemente:
cablarea orizontali ;
cablarea principal (coloana vertebrald a refelei*) ;
zona (spatiul) de lucru (birourile) ;
panoul pentru telecomunicatii (rack-ul sau cabinetul in care sint depozitate echipa-
mentele de retca) ;
* sala echipamentelor ;
© facilititile de acces.
1, Electronics Industry Alliance/Telecommunications Industry Association ~ asoci
mod voluntar standardele pentru interoperabilitatea echipamentelor de comuni
memibrii sii
2. Backbone - p
ie care asigurd in
Wig produse de
1 de regea care sprijin’ traficul principal al retelei.
86 PROIECTAREA RETELELOR DE CALCULATOARE
Cablarea orizontala
Acest subsistem acoperi suprafata cuprinsa intre priza din zona de lucru (birou) si
panoul pentru telecomunicatii. Cablarea orizontal& trebuie configuratd intr-o topologie
stea, fiecare rack din zonele de lucru fiind conectat printr-o conexiune incrucisata la sala
cut echipamente pentru telecomunicatii
Distanta maxima a unui segment va fi de 90 metti la care se adauga cablurile din zona
de Wweru cue de maximum 10 Pe ling’ cablurile din acest subsist
fac parte : conectorii pentru telecomunicatii (prizele), conectori si cablurile din interiorul
rack-ului,
Mediile de transmisie recunoscute de standard sint :
* cablul UTP de 100 ohm ;
* cablul STP de 150 ohm;
+ fibra opticd multimod (62.5/125 um).
in fiecare zon& de lucru trebuie s& existe o prizi cu doud module:
+ un modul pentru cablu UTP cet puyin categoria 3, de 100 ohm ;
+ un modul pentru unul dintre mediile de transmisic prezentate mai sus.
Ceringele Icgate de montaj trebuie sa respecte specificatiile standardului ANSI/TIA/
EIA-607.
Cablarea principalé (backbone)
Backbone-ul refelei suport’ cantitatea cea mai mare de trafic si interconccteaza intre ele
cabinetele cu echipamente, silile cu echipamente sau facilitaile de acces. fn acest caz,
topologia este stea ierarhicd si poate fi completata, in functie de situatie, si cu topologii
inel sau magistral’,
Distantele maxime admise' pentru mediile de transmisie sint:
‘Mediu de transmisie Distanf’i maxim admis’ pentru backbone
100 ohm UTP (24 or 22 AWG) 800 metri pentru voce, 90 metri pentru date
150 ohm STP. 90 metri pentru date
Fibra optica multimod 62.5/125 um 2000 metri
Fibra optic’ single-mode 8.3/125 um 3000 metti
Patch cordurile nodului central si cele din nodurile secundare nu ar trebui si
deptseasci 20 de metri. Cablurile pentru conectarea celorlalte echipamente nu ar trebui
s& depiseasci 30 de metri.
1. Aceste distante sint dependente de aplicatiile implementate,
CABLAREA STRUCTURATA A UNEI RETELE DE CALCULATOARE 87
Sala echipamente
Main
Cross-connect
Sala echipamente
Intermediate
Cross-connect
Panouri telecomunicatii
Figura 8.1.1, Topologie star cu dout niveluri interconectate
(Sursa: http: //faculty.petra.ac, id/resmana/jarkom/structured_cabling/tiabook2.htm)
Zona de lucru
Aceasti component’ se intinde de la priza pentru comunicatii pind la stafia de lucru sau
alt echipament de lucru. Este zona in care se regisesc utilizatorii refelei. Cablarea in
acest caz trebuie si permit adaptarea rapid’ la modificarile care intervin: adZugarea
unor stati noi, de exemplu.
Componentele acestui subsistem includ ;
stafiile de lucru, terminalele, telefoanele etc ;
cablurile de prelungire (patch cablurile) ;
* diferite adaptoare.
Panoul (cabinetul) pentru telecomunicafii
Panoul pentru telecomunicatii reprezintd zona in care sint concentrate echipamentele
prin care se interconecteaz& mediile de transmisie : terminatorii mecanici si sistemul de
cabluri cross sau backbone, Specificafiile tebnice ale acestui panow sint definite prin
standardul EIA/TIA 569A.
838 PROIECTAREA RETELELOR DE CALCULATOARE
Sala echipamentelor
Specificatiile pentru proiectarea silii echipamentelor sint prezentate in standardul EIA/
TIA 569A. O asifel de sali poate prezenta oricare dintre facilititile unui panou pentru
telecomunicatii.
Facilitéfile de acces
Aceast component se refer la punctul de interactiune dintre cablurile din interiorul
cladirii si cele ale backbone-ului. Cerintele fizice sint definite prin EIA/TIA 569A.
Aceast zona trebuie si fie, in fapt, o incpere sigur’ de unde inceteazA responsabilitaile
furnizorului de servicii gi intr in actiune proprietarul retelei.
Specificatii in legituri cu acest subiect gasiti si la Autp ://cablingdb.com/
Glossary Pages.
8.2. Instalarea cablurilor
Chiar dac& am facut o prezentare generala a acestui mediu de transmisie, vom reveni
acum cu aspectele legate de instalarea sa. Cele mai multe probleme legate de retele
apar din cauza cablurilor: performantele rejelei sint strins legate de cele ale
cablurilor.
Instalarea refelei trebuie facut& pe baza unei documentatii si a unui proiect inigial,
care s& {ind cont de aspectele prezentate pind acum. Vom reveni asupra instrumentelor
disponibile pentru proiectare si documentare.
Majoritatea cutiilor in care este ,impachetat” cablul sint proiectate astfel incit
desfasurarea acestuia sa fie cit mai usoara. O astfel de cutie contine aproximativ 300
de metri de cablu pe care este marcat distan{a din metru in metru (sau in picioare).
De fiecare data cind folositi cablu dintr-o cutie, notati pe aceasta numarul de metri
utilizati, Veti sti astfel, in orice moment, cit cablu aveti Ia dispozitie pentru o
lucrare.
O dati extras cablui din cutie, marcati pe e! portul sau locatia in care il amplasati.
Figura 8.2.1. Marcarea cablurilor
CABLAREA STRUCTURATA A UNEI RETELE DE CALCULATOARE, 89
Evitagi astfel multe dintre neplacerile ulterioare.
Perechile torsadate din cablul UTP au pe ling’ culori si cifre dupa cum urmeaza :
Numtirul gi culoarea
perechii
L-albastru
2-orange
separator
3-verde
4-maro
Structura cablului UTP
Este important de stiut cifra corespunz.itoare unei perechi pentru cd un tester! pentru
cabluri raporteazi intotdeauna perechea cu probleme, si nu culoarea acesteia. De cele
mai multe ori, in depanarea cablurilor se face apel la un astfel de instrument, care in
funetie de performante, pe ling perechea cu probleme, poate calcula latenta pe un
segment sau realizeazi harta cablurilor dintr-o zona.
EIA/TIA | Perechea : Culoarea Ethernet | _ Ethernet 100
S68B Ping | Lila firatui | 10/100 Base-t | BAses7% $i 1000
5 2 |Transmite | Alb- portoealiu Da Da
2 2 | Receptioneaztt | Portocaliu Da Da
3 3__[Transmite | Alb-verde Da Da
4 1 Nu se foloseste | Albastru Nu Da
3 1 [Nurse foloseste | Alb-albastru Nu Da
6 3__[Receplioneazi_| Verde Da Da
7 4 Nu se foloseste | Alb-maro Nu Da
8 4__[Nuse foloseste | Maro Nu Da
in jack-ul RJ 45, perechile sint dispuse dup% cum urmeaz’
1, Va recomandim echipamentele de ta Fluke, seria Micro (www. fluke.com),
90 PROIECTAREA RETELELOR DE CALCULATOARE
Perechea S68A(S68B) 20)
Figura 8.2.3. Ordinca perechilor
Scevenja de culori pentru realizarea conexiunilor este urmstoarea :
etamia seee
a |
2 48
IATA S680,
* conexiune inversati (crossover) : s |
ya :
rere
4
+ conexiune directd (conectare standard) :
«7 oe
Vom detalia aceste aspecte deoarece nu toatt lumea isi permite sX cumpere cablurile
gata pregitite de pe piat’.
Cablul prin care se conecteaza porturile din interiorul unui panou sau un echipament
ta o prizd din zona de lucru se numeste patchcord. Pentru realizarea sa este nevoie de
cablul propriu-zis, conectori RJ45, protectori pentru aceste mute si un clegte de sertizat.
Cablarea unui patchcord se poate face standard, daci se doreste interconectarea
calculatoarelor la prizele de rejea sau la hub-uri/switch-uri, sau inversat, dact se doreste
interconectarea switch-urilor, de exemplu.
‘Manvfacturarea propriu-zisa a cablului presupune inlaturarea izolagiei de pe cablu cu
ajutorul stripperului clestelui de sertizat pe o distant de 1-1,5 cm. Se aranjeaza firele
conform ordinii dorite (conexiune direct sau cross) si se scurteaz’ la o distanga de circa
1 cm de izolajie. Capatul astfel rezultat se introduce in mufa RJ45 cu precizarea c&
izolatia webuie s p&trunda si ea in interiorul conectorului, cit s4 poat’ fi prins’ de clema
din plastic a acestuia, Se evitd, astfel, tensionarea si detorsddarea firelor in timpul
manipulitii cablului
Cu ajutorul clestelui de sertizat se fixeaz’ firele in conector. in final se recomandd
verificarea cablului cu ajutorul unui (ester, deoarece, aga cum veti vedea in paragraful
urnvitor, semnalele electrice pot fi influengate.
CABLAREA STRUCTURATA A UNEI RETELE DE CALCULATOARE 2
Vom incheia acest subiect cu citeva reguli ce trebuie respectate atunci cind faceti
instalari de cabluri :
* toate componentele trebuie sd fie de categoria Se pentru a se atinge performantele
corespunzitoare ;
* cablurile trebuie instalate fra a avea deformatii sau noduri ;
* cablurile nu trebuie trase pe ling& colturi care formeaza unghiuri drepte ;
* a instalarile verticale este preferabil si se dea drumul cablului, si nu s& fie tras,
pentru a se evita tensiunile ;
* folositi pe cit posibil cabluri de la producatori certificafi in acest sens.
8.3. Factori care afecteazd semnalele dintr-o retea’
Jn cadrul sistemelor electronice, informatiile sint reprezentate cu ajutorul unei cifre
binare: O sau 1. Concret, intr-un mediu de transmisic bazat pe cupru, cifra 0 este
reprezentat& prin O volsi, in timp ce cifra 1 este reprezentatd prin 5 vol{i. Prin urmare,
bitul de care tot se vorbeste este un puls electric de 0 sau 5 volti!
in cazul semnalelor optice, lucrurile nu diferé prea mult: bitul 0 este codat prin
absena luminii sau o lumina cu intensitate sczuti, in timp ce bitul 1 este codat prin
prezenta luminii.
Nu de putine ori, retelele sint proiectate fara a exista cerinje legate de performanta
acestora. $i asta nu din vina proiectantilor, ci a clientilor care dezvolta sistemele fara a
respecta o metodologie anume.
Propagarea
Functionarea corecti a mecanismului prin care se realizeaz3 controlul accesului la mediu
impune ca toate interfetele Ethernet si raspunda la semnalele receptionate intr-o perioada
de timp data.
Propagarea se referd la bisii (reprezentati prin energie electric) ce traverseaz& un
mediu de transmisie, Viteza cu care acestia se propagd depinde de materialul din care
este realizat respectivul mediu, geometria cablajului si structura acestuia, precum si de
frecventa pulsului electric al dispozitivelor prin care tranziteaza semnalul.
Timpul necesar unui bit s& traverseze de la un capit la altul si inapoi mediul se
numeste Round Trip Time (RTT), sau timp de intoarcere. Timpul de intoarcere maxim
este strict limitat pentru a asigura c& fiecare interfafi de retea poate receptiona toate
semnalele din linia de comunicatie intr-o perioada de timp specificat. Cu cit este mai
lung un segment de rejea, cu atit mai mult timp fi ia unui semnal sé il parcurga.
Functionarea corect a unei refele Ethernet depinde de mediul de transmisie folosit in
cadrul segmentelor si de respectarea regulilor de proiectare.
RIT-ul este o prima misuratoare ce se poate efectua cu privire la intirzierile care pot
sé apar& la un moment dat.
1. Veai si htap : www.cabletesting.com/CableTesting,
92 PROIECTAREA RETELELOR DE CALCULATOARE
i\ping £99.226.23.4
inging 193.226.23.4 with 32 bytes of data:
eply from 193.226 23.4: bytesn32 binevine
leply from 193.226 23.4
Figura 8.3.1, Fereastra de rispuns la comanda ping
Timpul de propagare nu reprezintd o problema, ci o situatie pe care trebuie sa fiti
siguri ci o puteji stpini. Dac este prea mare, irebwtie si reevaluati modul in care rejeaua
va face fai intirzierilor care apar in transmisia datelor. Daca, in schimb, acest timp este
prea scurt, trebuie sa stisi cum sa-i ,,frinasi”, sau sa-i salvati temporar (buffering) astfel
incit celelalte echipamente din refea s4 aib& acces Ia ei.
intr-o rejea Ethernet cu o lajime de band de 10 Mbps, timpul necesar transmiterii
unui bit! este de 100 nanosecunde. in continuare, va prezentim valorile intirzierilor pe
un segment, valori ce pot fi folosite la calcularea intirzierii totale (valori exprimate in bit
time):
Tipul segmentutui | L¥asimen ‘asim a segmental | ies
500) 0.0866
185 | 0.1026
100 | 0.113
1OBASE-TL 2000 On
in calcularea intirzierii totale a unci rejele se porneste de la intirzierea cea mai mare
identificata pe fiecare segment de retea (sau cea mai mare intirziere care poate s4 apart
pe fiecare segmemt). Prin insumarea respectivelor valori ale RTT se objine valoarea
totald a intirzierii din rejea. Standardele recomanda ca la aceastt valoare si se adauge 0
marjé de 5 bit time, Daca rezultatul este egal sau mai mic de 512 bit time (adicd 51.2
microsecunde), ruta respectiva este considerati bund. Acest lucru inseamn’ c& ultima
stajie situat pe cel mai slab segment din aceast& rejea primeste notificari cu privire la
aparitia coliziunilor intr-un interval naxim de 57512 bit time: SUI biti ai cadrului plus
64 din preambul i delimitatorul de start, Dacd lucrurile merg bine cu cel mai slab
segment de refea, ar trebui sa nu existe probleme cu celelalte,
Lucrurile nu se terming aici, pentru c& exist’ o situagie aparte care trebuie Iuatt in
calcul ; ruta pentru care se realizeaza calculele sii aibi la extremitati segmente de alt tip
decit restul reselei.
1. Bit time ~ numérul de biti transportagé intre dispozitivele din revea intr-o perioada de timp dati (de
obicei, o secundé.
CABLAREA STRUCTURATA A UNEI RETELE DE CALCULATOARE 9
Daci valoarea intirzierii nu este specificatd de producdtorul cablului respectiv, trebuie
calculat. Timpul de propagare este specificat de producstori ca procent din viteza de
propagare a luminii!
‘Semnal de incidem’ ‘Semnal atenuat
oT : ae
T=503 nsec
Figura 8.3.2. intirzicrea pe cablu
intirzierea normala la propagare pentru un cablu UTP categoria 5 este 5 nanosecunde
pe metru, iar cea maxim’ admisi este de 5,7 ns/metru, Pentru un segment cu o lungime
de 100 metri, intirzierea poate fi cea din figura de mai sus.
Atenuarea
Atenuarea este cuvintul prin care se descrie pierderea de energie in timpul propagtrii
semnalului printr-un mediu de transmisie, Aceasta inseamna ci un bit isi pierde din
voltaj sau din amplitudine, pe msuri ce energia este transferatd de Ia calculator etre
cablul prin care circul’, Pierderea se exprima in decibeli pe kilometru, iar cnergia
pierduti depinde de frecventa semnalului.
Daci se aleg cu grija mediile de transmisie, daca se pozitioncazii corect, atenuarea
electric poate fi redusii. Nu poate fi ins eliminati, pentru ci nu poate fi eliminatd
rezistenja materialelor. Atenuarea apare si in cazul fibrei optice care absoarbe si distruge
© parte din pulsul de luming, pe masur% ce acesta o traverseazl. Acest tucru poate fi
redus prin alegerea unei lungimi de undi corespunziitoare, a culorii etc.
Retineti ins’ ci, deocamdaté, pierderea de semnal din mediile de transmisie est
inevitabili. Ea apare si in cazul undelor radio sau al microundelor care sint absorbite de
moleculele specifice atmosferei.
Atenuarea poate afecta reeaua dack nu sint impuse unele limitari in ceea ce priveste
cablul prin care sint transmise semnaiele. Dac un cablu este prea lung, un bit care la
surst este 1, poate si ajung’ la destinayie ca 0. Bfectele atenudrii pot fi reduse prin
folosirea unor medii de transmisie de calitate superioar’, prin structurarea rejelei si
instalarea de repetoare.
Cel mai adesea, atenuarea oste influenjati de Iungimea mediului de transmisic si de
frecventa semnalului.
1. Nominal Velocity of Propagation. Un cablu cu NVP de 75 transmite semnalut eu o vitezd ¢:
75% din viteza luminii. Majoritatea cablurilor au NVP cuprins® in intervalul 0.6 ~ 0.9¢ Ce*viteza
huminii),
ba PROIECTAREA RETELELOR DE CALCULATOARE
Reflectia
Reflectia apare in semnalcle electrice, cind din cauza discontinuit’tii pe care bili o
intilnese in cablu, o parte din energia electric se reflect. Dac nu este controlata in mod
corespunzator, aceasti energie poate induce confuzie printre ceilalti biti care traverseaza
linia. fn functie de cablul si conexiunea folosite, reflectia poate fi o problem’ sau nu.
in cazul semnalelor optice, acestea se reflect indiferent daca sticla prezinta discon-
Uinuitati sau nu. Aduceti-va aminte c& noaptea, cind priviti pe fereastra, va vedeti propria
reflecic, Acest fenomen apare si in cazu! undelor radio si al microundelor atunci cind
acestea circuld prin atmosferd.
Pentru ca rejeaua sf ajungi la performange optime, este important ca mediul de
transmisie s& aib& o anumité impedanti care s& rispunda cerintelor componentelor
electrice de la nivelul NIC. fn caz contrar, se poate ajunge la interferente de semnale,
bitii transmisi ajungind st fie confuzi.
Zgomotul
in sistemele de comunicatii, interferengele statice care distrug integritatea unui semnal ce
traverscaza acea linie sint referite ca zgomote, Cu alte cuvinte, este vorba de modificarea
voltajului, a semnalului optic sau a undei electromagnetice ca urmare a captarii de
energie din alte surse, Nu exist semnal electric care s4 nu aibi ,zgomote” : fiecare bit
care traverseazi liniile de tansmisie recepjioneaza semnale de la diferite surse.
Cind zgomow! dintr-un cablu are la origine semnalele care traverseazi alte fire, se
spune ci avem de a face cu o incrucigare (crosstalk), Dac& dou’ fire aflate in apropiere
unuf de altul nu sint corect ecranate, energia dintr-un fir poate fi transferata celuilalt si
viceversa (ginditi-va la principiul de functionare a antenelor)
Zgomotele datorate liniilor de tensiune reprezintd o alt& problema crucial a retelelor,
Vrem, nu vrem, in interiorul cladirilor, peretii sint traversati de liniile de tensiune, Dact
nu sint izolate corespunzitor, acestea pot afecta traficul refelei. Poate sinteti surprinsi
dact aflati c& pind si .zgomotul” datorat tensiunii dintr-un monitor sau hard disk poate
provoca cfecte negative! Toate aceste efecte negative pot fi combatute cu ajutorul
impamintirii”.
Interferen{ele care pot si apard intre doi conductori sint destul de greu de idemtificat,
cu atit mai mult cu cit firele actioneaz’, de cele mai multe ori, ca niste antene pentru
»zgometele” electrice (daca nu sint torsadate). Calculatorul trebuie s& poat’ s4 discearni
intre semnalele digitale si impulsurile elecirice ce interfereaz% cu acestea.
Alte surse externe ale semnalelor electrice ce pot afecta calitatea acestor semnale
sint: motoarele electrice, sistemele radio si chiar lumina. {n limbajul ,,refelistic” acestea
sint denumite interferenge electromagnetice si interferente radio.
Spuneam ci fiecare cablu in parte poate actiona cao antend, Dac& ne referim la UTP,
sint opt fire care se pot manifesta astfel. Ce se intimplé de fapt? Fiecare fir din cablu
absoarbe semnalele electrice din celelalte fire ale cablului si din sursele externe ale
acestuia, Dact ,zgomotul” astfel rezultat este destul de ridicat, cartela de retea nu va mai
sti sa facd diferenga intre acest zgomot si semnalele care reprezinti date.
Problema interferentelor este deoscbit de important’ daci tinem cont de faptul c&
majoritatea LAN-urilor folosese frecvente cuprinse intre 1-100 megahertzi, banda in
care opereazi multe dintre posturile de radio FM sau semnalele TV.
CABLAREA STRUCTURATA A UNEI RETELE DE CALCULATOARE, 95
Ideal ar fi ca inainte de proiectarea cladirii si se poarte discusii cu cel care va realiza
instalagia electric, pentru a sti cu exactitate pe unde vor fi trase firele de alimentare cu
electricitate. Se va incerea, astfel, ca liniile de comunicatie ale retelei st nu fie in
apropierea (si nu se intersecteze) liniilor electrice, Pentru a evita neajunsurile create de
acest tip de emisii, proiectantii de materiale pentru retea folosesc dou’ tehnici: prote-
jarea/izolarea si anularea.
Protejarea presupune cA fiecare pereche de fire sau grup de perechi este izolatt de
celelalte printr-un invelig izolant. Acesta actioneazi ca o barierd impotriva oric&ror
interferenje. Dar accasta nu este 0 solutie tocmai viabiid, deoarcce infisurarea unui
material protector pe fiecare pereche de fire duce, pe de o parte, la cresterea diametrului
cablului, iar pe de alt parte, la crestere costului de productie a acestuia.
Prin urmare, astzi, cea mai folosit’ tehnic’ de protectie impotriva interferenjelor
© reprezint& anularea. Circulatia curentului electric prin fire creeaz& un cimp magnetic
circular in jurul acestora. Directia forjelor acestui cimp este dati de directia de
circulagie a curentului electric prin respectivul fir. Daca dou’ fire fac parte din acelasi
circuit, electronii se deplaseazi de la polul negativ surs%, prin fir, cdtre destinatie.
Apoi, de la destinatie se intore cdtre polul pozitiv surs%, Aflindu-se in apropiere,
cimpurile magnetice ale celor doud fire se vor anula reciproc si vor reusi s& anuleze $i
orice alt cimp magnetic din exteriorul circuitului din care fac parte. infagurarea firelor
intre ele (torsadarea) poate creste efectul anulirii (http : //epics.aps.anl.gov/techpub/
lsnotes/1s232/ts232.htm),
La trecerea curentului printr-un fir se creeaz4 un cimp electromagnetic care poate si
interfereze cu cel creat in firele adiacente. in cazul cablului UTP, fiecare pereche de fire
este torsadati pentru a se anula cimpurile electromagnetice create in cele doua fire. Cu
cit sint mai des torsadate firele, cu atit mai mult creste efectul anulfrii si rata reali de
transfer a datelor prin respectivul cablu. Daca firele nu sint corect torsadate, efectul este
aparitia NEXT (near-end crostalk ~ incrucisare' masurat la plecare).
Fenomenul este similar cu ce se intimpla in cazul telefoniei cind se ating dou’ fire si
se aud simultan dowd convorbiri. in cazul rejelelor, fenomenul apare in momentul in care
semnalul mai puternic dintr-o pereche de fire este receptionat de o pereche adiacenta de
fire. NEXT reprezinta acea portiune a semnalului transmis care se cupleaz electro-
magnetic cu semnalul recepjionat.
Simplificat, lucrurile se prezinta astfel :
Semnal de incident Semnal atenuat
fin Ne
Vig D> LE cates OT clin IT ae > Vo
2 your semnal
Vc YL IIIT tea PILL NB V
roa
NeXt
Figura 8.3.3. Zgomotul pe cablu
Termenul exact este diafonie.
96 PROIECTAREA RETELELOR DE CALCULATOARE
FEXT (far end crosstalk - incrucisare masurati 1a sosire) este similar cu NEXT,
diferenga constind in faptul cd incrucisarea este masuratA la capitul cel mai indepartat
fap de punctul de generare.
‘Am insistat ceva mai mult asupra acestui subiect, deoarece este bine de stiut ci
folosirea cablurilor din categoria 5, a prizclor si conectorilor de calitate nu conduce in
mod automat Ia obfinerea performantelor unei rejele din aceasti categorie
Latenja
in cadrul unei refele, latenta este de multe ori sinonima intirzierii : timpul necesar unui
pachet s% ajungi de la sursi la destinatie. in practicd, acest fenomen are mai multe surse.
Putem vorbi, in primul rind, despre dispersia caracteristicd materialului din care este
realizat un cablu. Este posibil ca 1 bit sd interfereze atit cu precedentul, cit si cu
urmatorul, lar cind se transmit milioane de biti, este posibil ca acest lucru s& depaseasca
limitele normale in ceca ce priveste timpul de transmisie,
Toate sistemele digitale au un ceas (sau o frecventA de tact la care lucreaz), cea ce
inseamni cd pulsurile acestui ceas conduc Ja aparitia unui eveniment sau altul: CPU si
realizeze un anumit calcul, datele s& fie scrise in memoria calculatorului, cartela de refea
si transmiti mai departe biti pe care i-a recepfionat... Dacd ceasul unei surse care
transmite date nu este sincronizat cu cel al destinatarului, se poate ajunge la distorsionarea
in timp a transmisiei, ceea ce face ca biti sX ajunga la destinayie mai tirziu dectt ar fi
normal.
Latenta, cunoscut’ si sub denumirea de intirziere, are dou& cauze principale. Prima
se datoreazi teoriei relativititii. Prin firele metalice si prin fibra optic, semnalele se
propaga cu o vitezd mai mica decit a refelei (2,3*{0* m/s, respectiv 2*10® m/s ). Prin
urmare, pentru a traversa o anumiti distant, bitii au nevoie de un anumit timp. La
aceasta se mai adaugi si faptul c& majoritatea componentelor clectronice ale calculatorului
induc lateny’ (este vorba despre fractiuni de secunda!)
Dispersia poate fi ,combatut&” prin proieciarea corespunzatoare a cablurilor, redu-
cerea lungimii acestora si folosirea impedantei corespunzatoare. in cazul fibrei optice,
limitarea dispersiei presupune folosirea unei lumini laser cu o lungime de unda specifict.
in cazul distorsiunii, lucrurile sint ceva mai complicate deoarece este vorba de
sincroniziri complexe la nivel hardware.
Latenja se reduce cu ajutorul echipamentelor de rejea si a protocoalelor specifice
nivelurilor modelului OSI.
8.4. 10BaseT (Ethernet)
Pentru cii tot sint la moda ,refelele de cartier”, continutim cu un exemplu pentru astfel
de cazuri
Din punctut de vedere al topologiei si cablurilor folosite, rejelete Ethernet 10BaseT
folosese ca mediu de transmisic UTP cat3 (sau mai bun) intr-o topologie stea. Fiecare
nod din retea are propria sa legdtura la un repetor (wb), legdturd care nu poate depisi
100 de metri.
CABLAREA STRUCTURATA A UNBI RETELE DE CALCULATOARE 97
Se poate folosi si o topologie tip arbore, in care un repetor central este coneciat la alte
tepetoare. Nu este exclus& nici posibilitatea combinarii tehnologiilor (10Base-T cu
10Base-2, pentru a reveni la exemplu) ;
Cablu coaxial
Saas Fisaea sal
\
a oo
i
Cy CI C4} IC L_]
Figura 8.4.1. © rejea 10BaseT
in aceasta situatie, nu uitati de regula numarului maxim de repetoare pe un segment,
$i acum se pune intrebarea de baz: cind se preteazii o astfel de rejea? Avantajele o
recomanda pentru anumite aplicatii, dar, in acclasi timp, sint situatii cind este bine si fie
evitata.
Atit timp cit fiecare nod dintr-o astfel de rejca are propria sa conexiune, este climinatt
probabilitatea ca defectarea sa s& provoace intreruperi in intregul sistem. Mai mult,
repetoarele au implementat& o functie de ,partijionare” prin care detecteaz4 eventualele
probleme ap%rute la nivelul porturilor si deconecteaz% respectivul nod. Efectul unei
astfel de facilitati constd in uguringa cu care poate fi depanald o astfel de retea.
Deconectarea unui nod sau addugarea unuia nou nu pune probleme pentru ceilalti
membri ai refelei.
Problema cea mai spinoasa legatd de 10Basc-T fine de lungimea maxima a segmen-
tului, limitare care trebuie depisitt prin folosirea altor tehnologii
8.5. 100 BaseTX (Fast Ethernet)
Mediile de transmisie folosite in rejelele Fast Ethernet depind de varianta care se doreste
a fi dezvoltata :
* 100 Base-TX foloseste cablui UTP catS ;
* 100 Base-T4 foloseste patru perechi de UTP cat3 ;
* 100 Base FX foloseste fibra opticé multimod.
Daci ne intoarcem citeva pagini la subiectul Iegat de intirzierca indusa de mediile de
transmisie, in cazul rejelelor Fast Ethernet, aceasta reprezinta aproximativ 10% din ceca
ce se intimpli in rejelele cu Hatime de banda de 10 Mbps!
98 PROIECTAREA RETELELOR DE CALCULATOARE,
Prin urmare, proiectarea unei retele Fast Ethernet porneste de la calcularea vitezei de
propagare a semnalului. Pentru aceasta trebuie identificate doua statii ale viitoarei rejele
aflate 1a distanja maxima si unde va fi localizat repetorul intre aceste stajii. Dacd se
respect’ toate specificatiile tebnice i intirzierea nu este mai mare de 512 bit time pe un
segment, atunci totul este in regula. in caz contrar, rejeaua trebuie segmentat3 (folosim
un switch)
Dup& cum se vede din fig. 8.5.1, avem o rejea 100 BaseTx intre doud PC-uri
con a un hub, Cablurile prin care se conecteaza cele doud PC-uri au lungimea
maxima admis& de standarde.
Pentru cele dou& scgmente de cablu intirzierea total va fi 222,4 bit time
(111,2+111,2 conform tabelului de mai jos). La aceasta se adauga intirzierea indus4
de repetor, care este 92, si cea a placilor de rejea ale celor doua PC-uri, care este
100. In total, rezultd o intirziere de 414.4 bit time. Dupa cum observati, valoarea este
mai mici decit 512, ceea ce Inseamna c4 refeaua noastr4 este bund din acest punct de
vedere.
at& gi clteva valori ale intirzierii induse de fiecare tehnologie folosit in cadrul Fast
Ethernet :
irzierea dus-intors Ia propagare (RTT) in bit time!
Echipament intirziere/metra Intirzierea totalit
ZNIC TXFX = 100
‘Segment cablu UTP Cai 5 iat 111,2 (100 Metri)
Segment fibri opticd 1,00 412 (412 Meri)
Repetor Clasa = 140
Repetor Clasa Il (toate porturile sint TX/EX) ~ 92
Convertor 100 Base-TX la 100 Base-FX = 50 — 100
Asa stau lucrurile in teoric. SA ne apropiem insi ceva mai mult de realitate (vezi
fig. 8.5.2).
De unde pornim? Trebuie s& identificm cea mai lung’ cale intre doua calculatoare.
Dup’ cum se vede si din schema, este vorba de PC1 si PC3 intre care distanja este de 185
metri. Echipamentele cu care ne intilnim pe acest traseu sint:
* doud plici de refea 1OOTX (100 bit time) ;
* doua repetoare clasa II (2*92= 184 bit time) ;
* 80 metri cablu de Ja PCI Ia repetor (80*1,112=88,96 bit time) ;
+ 5 metri cablu intre repetoare (5*1,112=5,56);
100 metri cablu de Ja PC3 la repetor (100*1, 112= 11,2 bit time).
1, Conform IEEE 802.3u-1995, ,Media Access Control (MAC) Parameters, Physical Layer, Medium
Attachment Units and Repeater for 100 Mb/s Operation, Type 100BA.
CABLAREA STRUCTURATA A UNEI RETELE DE CALCULATOARE 99
Workstation
Figura 8.5.1, Latenja pentru o rejea Fast Ethernet
intirzierea total’ va fi 489,72 bit time, cea ce inscamn cA refeua este in regul’.
Daci ins vom fi nevoiti si mai adiiugim un repetor (adic o intirziere suplimentar’ de
92 bit time), vom depagsi valoarea de 512 bit time!
Cum se rezolvi o astfel de problemi? O solutie o reprezinti repetoarele stackable
(modulare). Acestea sint hub-uri conectate intre ele prin porturi speciale (stack). Toate
hub-urile dintr-o astfel de stiv’ formeazi o singur’ unitate logic’.
Cea de a doua solugic se referd Ja folosirea switch-urilor sau a fibrei optice, dact
trebuie conectate dispozitive aflate la o distan{i mai mare de 100 metri.
fe Loom UTP Cats
Workstation 3
—
es
Repetor (Basa tt)
Sm UTP Cats
BOmUTPCAS SO MUTP Cars
Workstation 1
Workstation 2
Figura 8.5.2, Exeinplu de refea pentru caleularea latengci
CAPITOLUL 9
Comutarea pachetelor in retelele
de calculatoare
Switching-u! (comutarea pachetelor) reprezintd o tehnologie ce contribuie la diminuarea
congestiei in rejelele Ethernet, Token Ring si FDDI prin reducerea traficului si cresterea
disponibilitatii lagimii de banda. Astizi, switch-urile au ajuns s& inlocuiasc’ tot mai mult
hub-urile, deoarece sint proiectate sa functioneze in infrastructura existenta deja in retea,
fird a perturba traficul acesteia
9.1. Functiile unui switch
Switch-urile au ajuns astizi sd fie considerate componenta fundamentala prin care se
realizeazi segmentarea celor mai multe retele'. Ele permit utilizatorilor dintr-o reyea si
transmit4 informaii, prin acelasi mediu, in acelasi timp, fird a incetini traficul. Asa cum
routerele permit diferitelor retele s4 comunice unele cu altele, switch-urile permit dife-
ritelor noduri (nod = un punet de conexiune dintr-o rejea, de obicei un calculator) din
rejea si comunice direct unele cu altele, intr-o manicri cficienta.
Prin porturile sale, un switch imparte refeaua in mai multe canale de comunicatie.
Aceste canale independente cresc randamentul switch-ului in ceca ce priveste 1ajimea de
banda folosita. Switch-urile mai simple. sint autoconfigurabile, prin urmare, nu este
nevoie de personal specializat pentru punerea lor in functiune.
in cuvinte simple, modul de funcsionare al unui switch este urm&torul : pentru un
segment de refea atagat la un port al switch-ului, CSMA/CD va controla accesul Ia
mediul de transmisie pentru respectivul segment. Dac& la respectivul port este atasati
© singura statie de lucru, nu este nevoie de nici un mecanism prin care si se
controleze accesul la mediu. Switch-ul verified adresele MAC sursé $i destinatie ale
cadrelor pe care le receptioneaz% si transmite respectivele cadre c&tre porturile
corespunzatorare,
Prin urmare, comutarea pachetelor la nivelul 2 OSI se bazeazi pe hardware sau, altfel
spus, foloseste adrese fizice (MAC).
1, hutp : /www.cisco.com/warp/public/473/lan-switeh-cisco.shtntl,
102 PROIECTAREA RETELELOR DE CALCULATOARE
Un switch indeplineste doua functii principale :
* Comutarea cadrelor. Aceasta funcjie are loc atunci cind un cadru ajunge la switch
dintr-un anumit mediu sau de pe un anumit port si este transferat c&tre un alt
mediu/port.
* Gestionarea operajiilor de comuare. Switch-ul creeaz& si intretine tabele de
comutare sau de filtrare folosind ASIC ~ Application Specific Integrated Circuits.
Ficcare switch folosit intr-o rejea Ethernet induce latenj. Un switch interpus intre un
server si o statie de lucru creste timpul de transmisie cu 21 microsecunde. Un pachet de
1000 bytes are un timp de transmisie de 800 microsecunde. Dac& comutarea realizati de
switch este de tip store-and-foreward, latenta indus creste.
Tot la capitolul generalitdti menjionim cele doud tipuri de switching: de nivel 2 sau
de nivel 3. Diferenta intre aceste dou’ tipuri de comutiri const& in tipul informatiilor
confinute in cadru: {a nivel 2 se foloseste adresa MAC, iar la nivel 3 informatiile
nivelului 3.
Switch-ul nu analizeazA informatiile de nivel 3 conjinute de un cadru, ci doar adresa
MAC a destinatarului, Daca adresa este cunoscutd, cadrul este transmis c&tre interfaja/
portul corespunzitoare. Switch-ul construieste tabele cu adresele MAC corespunzitoare
fiecdrui port in parte, Dac nu se cunoaste adresa destinatarului, cadral este transmis
ciire toate porturile (broadcast) pentru ca switch-ul s4-i poatd invita” destinatia corect’.
Cind este reprimit cadrul, switch-ul adauga adresa in tabela cu adrese MAC a portului
respectiv.
Cu exceptia SNA (Systems Network Architecture), utilizatorii nu au control asupra
adreselor de nivel 2. In majoritatea re{elelor, administratorilor le revine sarcina de a
atribui doar adrese de nivel 3. fn acest caz, putem spune c& administratorii creeaza refele
locale ce se comport ca un singur spatiu de adresare (blocul-strada-orasul-jara) .
Un switch Ethernet poate ,,invaja” adresa orictrui dispozitiv din refea prin citirea
adresei surs& confinuta in fiecare pachet si notarea portului prin care cadrul a , intrat” in
switch. Aceste adrese sint memorate intr-o baz de date. Adresele echipamentelor din
re{ea sint memorate in mod dinamic, altfel spus, pe m&sur ce apare un dispozitiv nou,
adresa sa este citit, nvayat% si memorata intr-o zonk de memorie (CAM - content
addressable memory). Cind switch-ul identifici 0 adresi pe care nu o regiseste in CAM,
© memoreazi pentru o utilizare viitoare. {n momentul memor&rii, adresa este ,,stampilata”
sicu data cind a fost adaugati in CAM. Ori de cite ori o adres este referitti sau addugati
in CAM, i se inregistreazi si noua dat (inclusiv ora) la care a avut loc operatiunea.
Adresele la care nu se face referire o anumitd perioada de timp sint sterse din CAM. Prin
acest mecanism, baza de date cu adresele MAC ale dispozitivelor din rejea este actualizati
in mod constant.
COMUTAREA PACHETELOR IN RETELELE DE CALCULATOARE 103
9.2. Functionarea switch-ului
234
0000.8001.1111 0000.8¢01.33:
0/0: 0000.8001.1111
ss ==
0000.8001.2222 EQ/1: 0000.8001.3333 0000.8¢01.44+
£03: 0000.6001.4444
Figura 9.2.1, Functionarea unui switch
(Sursa hup : //www.cisco.com/warp/public/473/lan-switch-cisco.shtml)
Pornind de la imaginea de mai sus, vom incerca si vedem mai in detaliu cum
functioneaza un switch. La pornire, tabela cu adrese MAC nu contine nici o inregistrare.
Cind un calculator (1) transmite si un port receptioneaz4 un cadru, switch-ul preia adresa
MAC a calculatorului sursi si o plaseaza in tabela de filtrare impreund cu portul de unde
a fost preluat. Avind in vedere ci destinatarul nu este cunoscut, switch-ul nu va avea de
ales si va trebui sti ,inunde” refeaua cu acest cadru.
Daca un calculator din rejea (3) rispunde $i trimite inapoi un cadru, switch-ul va
prelua adresa sursé din acest cadru $i o va inregistra in baza de date cu adrese MAC in
asociere cu portul de pe care a fost primit. Din acest moment, switch-ul va putea
realiza 0 conexiune punct-la-punct, cadrele flind transmise doar intre cele dou’
calculatoare.
De fiecare dat& cind un cadru este receptionat pe un anumit port, adresa MAC
destinajie va fi comparat& cu inregistririle din baza de date a switch-ului. Dac aceast&
adres& este cunoscutd si apare in baza de date, cadrul va fi transmis catre portul
corespunzitor. fn caz contrar, cadrul este transmis broadcast (mai putin portul pe care a
fost receptionat), adresa calculatorului care rispunde la broadcast urmind a fi inregistraté
in baza de date cu adrese MAC.
Daca tot am pomenit de broadcast, trebuie Picuti o precizare: cadrele broadcast gi
multicast nu specific adrese MAC destinatare. Adresa surs& va fi intotdeauna adresa
MAC a dispozitivului care transmite cadrul, in timp ce adresa destinatie poate fi o adres’
broadcast (tofi bisii 1) sau una multicast (bigii din portiunea host au valoarea 1).
Broadcast-ul va fi transmis c&tre toate rejelele gi host-urile acestora, in timp ce multicastul
va fi transmis tuturor host-urilor unei anumite rejele.
104 PROIECTAREA RETELELOR DE CALCULATOARE
Ce se intimpla ins& atunci cind o legiturd se intrerupe? Am putea spune c& intr-o
rejea ar fi bine si existe legdturi redundante. Corect, Aceastd rezolvare ins, mai mult
incurca decit ajuté. Atit timp cit broadcast-ul este transmis tuturor refelelor, furtuna
broadcast sau, altfel spus, circula(ia mesajelor in buck’ nu poate fi evitata, Ce se intimpli
in astfel de situajii? Un calculator va primi copii ale aceluiasi cadru, dar de la surse
diferite, de pe segmente de rejea diferite. Tabela cu adrese MAC de pe switch nu mai stic
ce sk inregistreze. Switch-ul nu stic care cadru trebuie transmis in rejea, deoarece tabela
MAC este actualizatd continu. Aceasti situajie are o rezolvare si se numeste Spanning
Tree Protocol
Comutarea simetric’ a pachetelor caracterizeazA o rejea in care switch-ul alocd
Titimea de banda in mod egal fiec&rui port. Un switch simetric ofera deci conexiuni intre
porturi cu aceeasi latime de band’: IOMbps sau 100Mbps. Spre deosebire de acesta, un
switch asimetric ofera conexiuni intre porturi cu létimi de banda diferite, cum ar fi o
combinatie 10-100Mbps.
Switch-urile asimetrice sint folosite mai ales in cazul traficului generat de aplicatii
client-server. intr-un astfel de switch, bufferingul memoriei trebuie s4 permit’ traficului
de pe portul pe 100Mbps sé fie transmis catre portul pe 10Mbps, fard si conducd la
blocarea acestuia din urma.
Un switch Ethernet foloseste 0 tehnic& buffering prin care memoreazi gi transmite
pachetele cdtre porturile corecte. Zona de memorie in care se pistreaza datele ce trebuie
transmise se numeste buffer. Aceasti zon de memoric poate folosi dou metode de
transmisic a pachetelor; port-based memory buffering sau shared memory buffering.
{n bufferingul de tip port-based, pachetele sint memorate intr-o coada de asteptare,
in functie de portul pe care au ,intrat”. Un pachet este transmis cdtre destinagie abia cind
toate pachetele dinaintea sa au fost transmise. Acest lucru face posibil ca un singur
pachet s% intirzie intreaga transmisie a pachetelor din memorie, ca urmare a ocupirii
portului destinayie (de exemplu.). Aceasta intirziere apare chiar daca alte pachete pot fi
transmise cdtre porturi care sint libere.
in bufferingul de tip shared memory, switch-ul depoziteaz& pachetele intr-o zona de
memorie care este partajati intre toate porturile. Memoria alocati unui port depinde de
cit cere” fiecare port la un moment dat, altfel spus, este alocati in mod dinamic.
Pachetele din buffer sint asociate dinamic portului care transmite. Aceasta ofera posibi-
litatea ca un pachet s3 fie receptionat pe un port si transmis pe un altul, fara ca datele si
mai_,,stea la coadai”.
Switch-ul intretine o hart a tuturor porturilor c&tre care trebuie transmis un pachet.
Dupa ce transmisia pachetului s-a flicut cu succes, accast& hart este stearst, Ca efect al
memoriei partajate, dimensiunea unui pachet este limitat% la dimensiunea bufferului gi
nu doar la cea alocat unui anumit port. Ce inseamna aceasta? Se pot transmite pachete
mai mari daci se distrug citeva pachete de dimensiuni reduse. Este o facilitate foarte
important in cazul switch-urilor 10/100Mbps, in care un port pe 100 poate s& transmita
un pachet cdtre un port pe 10 Mbps.
COMUTAREA PACHETELOR IN RETELELE DE CALCULATOARE 10s
9.3. Metode de comutare a pachetelor
Latenta pachetelor intr-un switch depinde, in primul rind, de modul in care se realizea7a
comutarea acestora. Exist trei astfel de metode.
Store-and-forward reprezinté cea mai cunoscut metoda de switching intr-o retea.
{nainte de a fi transmis, cadrul este receptionat in totalitate: se citeste adresa sursi si/
sau destinatie si se aplic’ anumite filtre, se calculeaz’ o cifr de verificare a redun-
danjei. in timpul recepgion&rii cadrului apare si latenta. Cu cit cadrul este mai mare,
cu atit este mai mare si latenta indus& ca urmare a timpului necesar citirii sale.
Detectarea erorilor mai consuma si ea ceva timp, deoarece switch-ul trebuie s2 astepte
receptionarea intregului cadru. Daca exist erori, cadrul este distrus, Daci este prea
mic (mai putin de 64 bytes) sau prea mare (mai mult de 1518 bytes), este de asemenea
distrus. Dac& totul este bine, switch-ul cauti adresa MAC destinajie si determin
portul de iesire.
Cut-through (in timp real) este cea de-a doua metod’ de comutare. fnainte de a
astepta receptionarea intregului cadru, switch-ul citeste adresa destinatie si lanseazi
transmiterea sa. De fapt, switch-ul copie doar adresa destinatie (primii 6 bytes de dup%
preambul) in memorie si caut& aceasti adresit in tabela sa pentru a determina care este
portul de iesire. Aceast& tehnica reduce latenta si, in plus, nici nu detecteaza erorile asa
cum se intimpla in store-and-forward.
Cut-through are dou’ variante
+ Fast-forward switching. Aceast’ variant’ induce cea mai mica latent, deoarece un
pachet este transmis imediat ce a fost identificatt adresa destinagie. Dezavantajul
const& in faptul c& sint transmise mai departe si pachetele ce contin erori. Chiar
dacit aceste situatii nu apar in mod constant si NIC-urile renunti ta eadrele ce
contin erori, aparijia unui trafic inutil in rejea nu este digerats de nici un
administrator sirguincios. Switch-ul misoar& laten{a pornind de la primul bit
receptionat si terminind cu primul transmis (FIFO)
+ Pragment-free switching. Aceasti variant presupune filtrarea si transmiterca numai
a fragmentelor de pachete ce nu contin erori.-In mod obignuit, un fragment ce ia
nastere in urma unei coliziuni trebuie s& fie mai mic de 64 bytes. Orice pachet mai
mare decit aceast% valoare este considerat valid si, prin urmare, este recepionat
fara erori. in aceast& situatie, switch-ul asteapti pind cind un pachet receptionat
este validat si apoi il transmite c&tre portul destinatie.
Latenfa fiecdruia dintre modurile prezentate depinde de cum se realizeaz& transmisia
pachetelor. Cu cit este mai rapid modul de transmitere, cu atit este mai redus& tatenta.
Dar, pentru a se ajunge in accast situatie, inseamna cX switch-ul alocz mai pugin timp
pentru verificarea erorilor. Si, cu cit verificarea erorilor este mai redusi, cu atit mai mult
creste numarul retransmisiilor.
106 PROIECTAREA RETELELOR DE CALCULATOARE
9.4, Spanning Tree Protocol (STP)
Principala menire a acestui protocol este de a impiedica apariia asa-ziselor circuite in
buclé, STP monitorizeazt‘in mod constant refeaua, izolind buclele si trecind anumite
conexiuni in stand-by.
Sa exemplificim :
Marius
Figura 9.4.1. Comutarca pachetelor fara STP
Figura de mai sus vrea s& arate cum circula un singur cadru trimis de calculatorul lui
Florin, daca STP-ul nu ar fi activat
Florin trimite un singur cadru unicast citre adresa MAC a lui Marius. Calculatorul
Jui Marius nu este pornit si, prin urmare, switch-ul nu are de unde s& fi stie adresa MAC.
Acest cadru va circula in retea Ja infinit (sau pind la expirarea timpului de viay’) si va fi
transmis de citre switch c&tre toate porturile active pind in momentul in care una din
legaturi pict.
in lipsa unui astfel de protocol, o rejea devine inutilizabila. Algoritmul spanning tree
atribuie fiecdrui port de pe switch mai multe stiri:
* Blocking ~ nu se transmite nici un cadru.
* Listening - nu se transinite nici un cadru, se ,asculta”,
+ Learning ~ nu se transmite nici un cadru, se invagi adrese.
* Forwarding ~ se transmit cadre, se invaté adrese.
* Disabled ~ inactiv.
COMUTAREA PACHETELOR IN RETELELE DE CALCULATOARE 107
Revenind la exemplul anterior, cind Florin va transmite cadre c&tre calculatorul lui
Marius, acestea nu vor mai circula in bucl&, SW1 va trimite o copie a cadrului transmis
de Florin c&tre SW2, dar SW3 nu va putea s& transmit’ aceast4 copie citre portul 0/27,
deoarece acesta este blocat, Pe de altX parte, daca Vali doreste s& transmit& un cadru catre
Marius, va trebuie si o faci prin intermediul SW1, si nu direct. Dacd legatura dintre
SW1 si SW3 cade, atunci SW va schimba starea portului 0/27 in forwarding.
Florin
Blocking
Marius
Figura 9.4.2. Spanning Tree Protocot
CAPITOLUL 10
Retele virtuale
Am vizut ci folosirea switch-ului inur-o rejea Ethernet are ca efect segmentarca
acesteia in domenii de coliziune individuale. Numdrul total de segmente ce Se pot obfine
prin folosirea unui switch alcituieste domeniul de broadcast. Acest lucru inseamni ci
toate nodurile apartinind tuuror segmentelor pot si vad broadcast-ul transmis de un
nod al unui segment.
O refea virtual& presupune gruparea logic a cchipamentelor si/sau utilizatorilor unei
relele fri a mai exista restrictii legate de segmentul fizic din care fac parte’. Altfel spus.
© relea virtuali reprezint& un domeniu de broadcast dintr-o rejea cu switch-uri
Cu ajutorul switch-urilor se poate crea o singura refea virtualé sau mai multe, fu cel
de al doilea caz, broadcast-ul unei astfel de rejele nu va fi ,vizut” de catre celelalte.
Implementarea rejelelor virtuale permite administratoritor diminuarea domeniilor de
broadcast si cresterea disponibilitatii lAtimii de banda. $i cum in proiectarea unei rejele
de multe ori se impune crearea unor astfel de componente, ne-am gindit si tratim acest
subiect intr-un capitol distinct, chiar daca el ar fi trebuit, in mod firesc, sa fie prezentat
in capitolul precedent.
10.1. Tipologia VLAN-urilor
Telinologia pust la dispozitie de VLAN-uri ofer4 posibilitatea grupirii porturilor si a
ulilizatorilor in grupuri logice. Dact aceasti grupare implicit folosirea mai multor
switch-uri, VLAN-urile pot partaja acceasi cladire, mai multe cladiri sau chiar WAN-uri.
Pentru orice arhitectur’ VLAN, important este posibilitatea iransferului de informagii
intre switch-uri gi routere.
In mod tradigional, routerul gestioneaz4 broadcast-ul si proceseaza rutele pacheteior,
Chiar dact switch-urile unei VLAN preiau o parte din aceste sarcini, routerul ramine
vital pentru arhitectura orictrei rejele, deoarece prin intermediul lui se pot interconceta
VLAN-uri diferite.
. Facem precizarea cl datorit nenumératelor solugii gi strategii de implementare existente pe pits
este destul de dificil de dat o definitie cit mai exact a VLAN
10 PROIECTAREA RETELELOR DE CALCULATOARE
VLAN 20
VLAN 10
\,
160 Mops
YUAN 20,
YUAN 10
yuan 20* 100 hbase
To nbpe
Figura 10.1.1, Exemplu de rejea virtuald
(Sursa: http : /www.cisco.com/univered/cc/td/doc/cisintwk/idg4/nd2023.htm—xtocid3)
Gruparea dupé porturi
Inigial, multe implementari de VLAN-uri defineau apartenenta la un VLAN prin interme-
diul unei grupari dupa porturile din switch. in plus, in majoritatea implementrilor
iniiale, VLAN-urile erau realizate pentru un singur switch.
Figura 10.1.2. VLAN cu grupare dup’ porturi
RETELE VIRTUALE mL
Pentru'a doua generatie de implementiri, se poate forma un VLAN prin conectarea
mai multor porturi de pe switch-uri diferite.
Gruparea dup’ porturi este cea mai des intilnit’ metoda, iar configurarea este destul
de usor de realizat, Definirea VLAN-urilor doar pe baza porturilor nu permite unor
VLAN-uri diferite st includa acelasi segment fizic (sau port de switch). fns&, principala
limitare in cazul grup&rii dup& porturi este c& administratorul rejelei trebuie s4 recon-
figureze VLAN-ul de fiecare dat cind un utilizator este comutat de pe un port pe altul.
Gruparea dupa adresa MAC
Apartenenta la un VLAN se realizeazi pe baza adresei MAC a stajiei. Switch-ul urmareste
adresa MAC care apartine fiectrui VLAN. Cum adresa MAC e 0 component’ a plicii de
refea, cind se schimbX pozitia unei stafii, nu mai este necesar& nici o reconfigurare
suplimentara pentru ca stajia respectiva s& rimini in acelasi VLAN
Gruparea intr-un VLAN pe baza adreselor MAC are si avantaje, si dezavantaje. Din
moment ce adresele MAC sint la nivelul 2 al modelului OSI gi sint ,arse” in placile de
rejea, VLAN-urile le permit administratorilor de rejea s& schimbe pozitia fizic& a unui
calculator in rejea, iar acesta s& riminf in continuare in VLAN-ul din care facea parte,
in mod automat. In acest fel, un VLAN definit pe baza adreselor MAC poate fi considerat
ca find ,bazat pe utilizatori”,
Unul dintre dezavantajele VLAN-urilor bazate pe adresa MAC e faptul c&, inigial,
fiecare statie trebuie si fie ad%ugat’ manual la VLAN, mai precis fiecare adrest MAC de
pe placa de rejea. Dupi configurarea manuala initial’, urmarirea si repozitionarea
statiilor (si implicit a utilizatorilor) sint automatizate, acest luctu fiind specific fiectrui
echipament, in funcie de produc&torul stu. Acest dezavantaj al unei configurari manuale
inigiale este cu adevarat problematic in cazul in care, in faza initial’, e necesari
repartizarea la VLAN-uri a unui num&r foarte mare de utilizatori, de ordinul miilor, in
re{elele foarte mari. Unii produc&tori au venit cu solujii automatizate intermediare, prin
care diferite instrumente software creeaz’ VLAN-uri, pe baza adreselor MAC, la nivel
de subretea.
VLAN-urile bazate pe adresele MAC ale stajiilor, implementate in medii distribuite,
vor intimpina probleme mari in cea ce priveste performanfa refelei, pentru ci traficul
dinspre si spre stajii din VLAN-uri diferite va trece prin aceleasi porturi. in plus, metoda
primara de comunicare a informajiilor de apartenen{a la un VLAN bazat pe adrese MAC
va avea ca efect sciderea performanjelor pentru implementari la scar’ mare.
© alti Jimitare a gruparii intr-un VLAN pe baza adreselor MAC e atunci cind un
utilizator foloseste un notebook si pentru a se putea conecta la rejea, conecteaz’
notebook-ul su la aga-nummitele stajii de andocare (docking stations). Notebook-urile
bineingeles c& au 0 adresi MAC care rimine aceeasi, indiferent de locajia utilizatorului
Statiile de andocare au si ele o adres’ MAC unic’, dar cum utilizatorul isi modific’
mereu pozisia, adresele MAC ale stajiilor de andocare vor fi mereu altele. Adresa MAC
variind mereu, va fi imposibil& si réminerea utilizatorului mereu in acelasi VLAN.
VLAN-urile bazate pe nivelul 3 OSI
VLAN-urile bazate pe informajiile de la nivelul 3 al modelului OSI folosesc tipul
protocolului (in cazul in care suport’ mai multe tipuri de protocoale) sau adresele de la
12 PROIECTAREA RETELELOR DE CALCULATOARE
nivelul retea (adresa de subrejea pentru retelele TCP/IP) pentru a putea determina
apartenenja la un anumit VLAN. Desi aceste VLAN-uri lucreaz& cu informagii de Ja
nivelul 3, aceasta nu € o functie de rutare si nu trebuie confundata cu rutarea la nivelul
rejea. Desi un switch analizeazi adresa IP » pachetului pentru a determina apartenena
la un VLAN, ou se calculeaza nici o ruti a pachetului. Noile switch-uri ins gtiu s4
interpreteze gi informatiile incapsulate de protocoalele RIP sau OSPF. Cadrele ce
traverseazi un switch sint trimise pe un port sau altul pe baza algoritmului Spanning
Tree. Astfel, din perspectiva unui switch ce e folosit intr-un VLAN bazat pe nivelul 3
OSI, acesta e vizut ca o retea plata, ca topotogie, fara nici o ierarhie, ca si cind ar lucra
numai la nivelul legaturé-date.
O data facuti diferenta intre VLAN-urile bazate pe informasii de la nivelul rejea si
tutare, trebuie menfionat ci anumiti producatori au dotat swhitch-urile pe care le
realizeazi cu capacitisi de procesare a informatiilor de nivel 3. Aceste capacitiji au dus
la manifestarea unor funetii ce sint asociate in mod obignuit cu rutarea. Mai mult,
switch-urile ,multi layer” au functii de forwarding ale pachetelor datoriti chip-set-urilor
ASIC incorporate. ins&, indiferent unde ar fi localizate switch-urile sau routerele
intr-un VLAN, rutarea este necesar& pentru a asigura conectivitatea intre VLAN-uri
distincte.
Exist citeva avantaje evidente in definirea VLAN-urilor Ja nivelul 3 OSI. fn primul
tind, ele asigurd partitionarea pe baza tipului de protocol. Aceasta se poate dovedi 0
optiune atractiva pentru administratorii de retea, care trebuie s& implementeze o strategie
de VLAN pe baza unui serviciu sau a unei aplicagii. fn al doilea rind, utilizatorii isi pot
modifica locafia fizicd fara a mai fi nevoie si reconfigureze adresa de retea a statiei lor
(acesta este un avantaj in special pentru cei ale c&ror sta{ii sint configurate pe TCP/IP).
In al weilea rind, definirea VLAN-urilor la nivelut 3 poate elimina nevoia pentru ,,frame
tagging”, necesar pentru a comunica intre switch-uri informafii referitoare la apartenenta
la un VLAN, Se reduce astfel traficul general.
Unul dintre dezavantajele definirii VLAN-urilor la nivelul 3 al modelului OST (in
comparatie cu definirea pe baza adreselor MAC, sau pe baza porturilor) este per-
formanta. Analiza adreselor de la nivelul rejea in pachete este o actiune care necesiti
mai mult timp decit analiza adreselor MAC din frame-uri. Din acest motiy, switch-urile
care folosesc informatii de la nivelul retea pentru definirea VLAN-urilor au o latent
mai mare decit cele care folosese informatii de la nivelul legituré-date, Aceasti
diferentiere se intilneste 1a majoritatea producttorilor de switch-uri, insi nu este o
reguli general valabila.
VLAN-urile definite la nivelul reyea sint cficiente in refele bazate pe protocoalele
TCP/IP, dar sint mai pusin eficiente pentru refelele bazate pe protocoalele IPX, DECnet
sau AppleTalk, care nu presupun contigurarea manual& la desktop. In plus, VLAN-urile
definite la nivelul rejea al modelului OSI intimpind dificultati la procesarea pachetelor
unor protocoale nerutabile, precum Ne(BIOS. Statiile finale care ruleazi protocoale
nerutabile nu pot fi diferensiate intre ele, astfel c& nu pot fi definite ca si p&rti componente
ale unui VLAN configurat la nivelul retea.
B VIRTUALE Wa
10.2. Configurarea VLAN-urilor
Manual
Configurarea VLAN-ului se face doar manual. Atit setarea inifiala, cit si modificarile gi
repozifionarile ulterioare de echipamente in retea sint convolate de catre administrator
de reyea, Configurarea manual are insd si avantajul controlului total asupra rejelei. ins
cu cit complexitatea rejelei si dimensiunea acesteia creste, cu atit devine mai dificil
intretinerea acesteia, astfel incit mentenanja manual este aproape imposibil¥.
In plus, administrarea manual inliturd ins&si unul dintre avantajele pe care le
presupune existenta unui VLAN, si anume eliminarea timpului necesar penuru admi-
nistrarea schimbérilor si mutirilor (desi mutarea unui utilizator in interiorul unui VLAN
este mai usor de realizat decit mutarea unui utilizator dintr-o subrejea in alta).
Semi-Automat
Configurarea semi-automatd se referd la existenta posibilititii de a automatiza fie
configurarea initiala, fie modifictrile gi mutirile ulterioare, fic ambele. Avtomatizarea
inigial& e realizaté de obicei printr-un set de instrumente care mapeazAd VLAN-urile ki
subrefelele existente. Contigurarea semi-automata poate de asemenca insemna ci initial,
configurarea se realizeazi manual, urmind ca toate modificarile gi mutirile ulterioare si
fie indeplinite automat. Combinarea configurarii initiale automate cu urnvirires auto
matizatd a schimbirilor tot presupune configurare semti-automat, pentru cX administr
torul are inc’, in orice moment, posibilitatea de a interveni manual si de a face orice
schimbare.
Automat
Un sistem care are automatizatd functia de configurare a unui VLAN presupune ca
stafiile de lucru se conecteaz automat si dinamic la VLAN, in funejie de aplicatic, 1D-ul
utilizatorului sau alte politici predefinite de cXtre administrator.
10.3. VLAN Trunking Protocol (VTP)!
Procesul prin care unui cadru al unei reyele i se adaug® un antet pentru a identifica cArui
VLAN aparfine se numeste VLAN tagging (urmftirea VLAN-ului). in documentatiile
CISCO acest proces este denumit trunking
Pentru Ethernet, CISCO ofer’ dou optiuni in ceea ce priveste trunking-ul: ISI. si
IEEE 802.1Q. ISL (Inter-Switch Link) urmareste cadrele folosind 0 optiune proprietara
CISCO in timp ce IEEE 802.1Q modified antetul Ethernet prin adugarea unui identifi-
cator pentru fiecare VLAN creat.
1, Pentru detalii, vizitagi hutp : /Jwww.cisco.com/warp/public/473,
14 PROIECTAREA RETELELOR DE CALCULATOARE
VTP este un protocol de nivel doi care asigura consistenta VLAN-urilor prin crearea
unui domeniu comun de administrare. Acest protocol gestioneaz% adiugarea, stergerea,
modificarea VLAN-urilor intre mai multe switch-uri.
Configuratiile se realizeazi pe un singur switch numit server vip si sint propagate
prin legaturi de tip trunchi (irunk) c&tre toate switch-urile din cadrul aceluiasi domeniu.
VTP poate opera in trei moduri:
* Server. Serverele pot crea, modifica sau sterge VLAN-uri precum si alfi parametri
de configurare pentru un domeniu vip.
* Client. Switch-urile care functioneazi ca si clienti vtp vor primi informatiile
necesare de la server (un switch) fir’ a necesita prea multe configur&ri individuale.
* Transparent. Un switch care functioneaz in acest mod nu transmite informatiile
cu privire la modificdrile efectuate asupra sa gi celorlalte switch-uri din dome
Aceste modificiri afecteazX doar switch-ul respectiv.
Pentru ci prea mult& teorie fri practic& nu foloseste, ne-am gindit ca in cele ce
urmeaza s& exemplificim partea de switching.
inainte de a trece la fapte, se cuvine si facem citeva mentiuni. In primul rind, ne
bazim pe experiena acumulatd in cadrul rejelei FEAA : aproximativ 400 de statii, 12
servere, o duzina de switch-uri si un rest de hub-uri. in al doilea rind, switch-urile
folosite sint Catalyst-uri de la CISCO (din seria 1900 si 2950), motiv pentru care in
exemplele ce vor urma vom prezenta facilitiile acestor produse. fn al treilea rind, nu
pretindem ed le stim pe toate
Familia de switch-uri Catalyst de la CISCO incepe cu seria 1900 si continua cu 2950,
3500XL, 4000, 5000 si 6000. Facilitatile (si preturile! ! !) variazi de la un model la
altul, dar majoritatea switch-urilor au propriul sistem de operare (IOS - Internetworking
Operating System).
Un switch din seria 1900' poate fi configurat in trei moduri :
* De la o consol prin intermediul unui meniu,
© Prin intermediul browserului (Web based Visual Switch Manager ~ VSM?).
* Dintr-o fereastri comand’ (CLI - Command Line Interface).
Ne vom indrepta atentia asupra variantei de-configurare CLI, deoarece varianta
browserului nu oferd toate facilititile de care ar avea nevoie un administrator. Inainte de
a prezenta principalele comenzzi ale IOS, trebuie spus c4 la pornirea switch-ului, acesta
afiseaz4 anumite valori implicite in functie de model. Pentru un switch 1900, cele mai
importante sint :
* IP address: 0.0.0.0;
* CDP: enabled;
* Switching mode: FragmentFree ;
1. Aceste modele sint depasite ca performange, deoarece au doar cite dou% porturi pentru legaturi de
tip trunk, ceca ce pentry o relea mai mare poate constitui un mare dezavantaj. Pentru noi,
momentan, este de ajuns.
2. fn funetie de modelul de switch detinut, softul poate fi descdrcat de 1a adresa http : //www.cisco.com/
public/sw-center/sw-tan. shtml.
RETELE VIRTUALE us
* 100BaseT port: Autonegotiate duplex mode ;
* 10BaseT port: Half duplex ;
* Spanning Tree: Enabled ;
* Console password; None.
10.4. Comenzile IOS!
Pentru cei care sint familiarizati cu mediile tip Linux/Unix, navigarea la prompter este
asemindtoare: cu tab se afigeaz prima comanda care incepe cu litera tastati, iar cu
stigeat-sus se apeleazi history-ul comenzilor tasiate. Tastarea unei Jitere urmata de ?
apeleaz& helpul. Mai pot fi folosite urmatoarele combinatii:
Cirl+E - salt la sfirsit de linie ;
Cirl+A ~ un caracter inainte ;
Ctrl+B ~ un caracter inapoi ;
Ctrl+P ~ repeti ultima comanda ;
Show history - afigeaz ultimele 10 comenzi.
Pentru a se evita accesul neautorizat la facilitaile switch-ului, trebuie configurate
parolele de acces. Activarea modului de configurare globald se face prin comanda
enable, urmat de activarea terminalului config t:
>enable
feonfig t
Enter configuration commands, one per line. End with CNTL/2.
(config) #
Activarea parolei se face prin enable password :
(config) #enable password?
level Set exec level password
(config) #enable password level?
<1-15> Level number
Pentru activarea modului de configurare wtilizator se foloseste Level. Pentru modul
configurare se foloseste Level 15.
(config) #enable password level 1
(config) fenable password level 15
(config) #exit
IOS instalati pe switch, aceste comenzi pot fi diferite. in
exemplul nostru, 10S-ul switch-ului este enerprise edition. In cazul unui switch din seria 2950,
apar citeva modificari, ca urmare gi a facilitagilor oferite (DNS; DHCP etc).
16 PROLECTA! 3A RETELELOR DE CALCULATOARE
Vizualizarea configurajiei d: se switch se face cu show running-config sau show run :
Current configurat
enable secret $ $1/upkKn$KepmokI3NvkEVB6AnOcn0/
enable password level 1 “ADIM"
enable password level 15 "ADIML"
1
interface
!
interface Ethernet 0/2
interface Ethernet 5/3
interface Ethernet 3/4
!
Pentru setarea numelui switch-ului, din modul de configurare se foloseste comanda
hostname :
(config) #hostname 1900A
j 1900 (config) #
Din acest moment, numele switch-ului va preceda prompterul. La instalare, switch-ul
nu cunoaste nici o adres IP sau alte informatii de acest gen. Aceste setiri implict
aceleasi operatii ca si in cazii unui calculator obisnuit. Cu ajutorul comenzii show ip
afisaji informagii despre setirite ip.
1900#sh ip
IP Address: 0.0.0.9
Subnet Mask: 0.0.0.0
Default Gateway: 0.0.0.0
Management VLAN: i
Domain name:
Name server 1: 0.0.0.0
Name server 2: 0.0.0.0
HTTP server : Enabled
HTTP port : 60
Pentru setarea adresei IP! (urmata de subnet mask) se foloseste comanda ip address ;
pentru gateway, ip default-gateway :
1900 (config) fip address 172.16.10.2 255.255.255.0
1900 (config) tip default-gateway 172,16.10.1
1. in cazul switch-urilor 2950, acest lucru trebuie realizat pe 0 rejea VLAN administrativa.
RETELE VIRTUALE WwW
Pentru configurarea porturilor unui switch se lucreaz’ in modul global. Se foloses
yanda interface sau varianta scurta int:
1900#config
Enter configuration commands, one per linc, End with CNTL/Y
1900(config)#int ethernet?
<0-0> IEEE 802.3
Mesajui de mai sus indicd faptul cd switch-ul nu are sloturi disponibile. Pentra
area porturilor se foloseste aceeagi comand’ urmatd de un slash (/):
1900#config t :
Enter configuration commands, one per line. End with CNTL/Y
1900 (config) #int ethernet 0/?
<1-25> JERR 802.3
Pentru a incepe configurarea unui port comanda va fi:
1900A(config)#int ethernet 0/1
fn acest moment se va schimba si promptul consolei de configurar
1900 (config-if) #?
Interface configuration commands:
cdp cdp interface subcommands
description Interface specific description
duplex configure duplex operation
exit exit from interface configuration mode
help description of the interactive help system
no negate a comand or set its defaults
port perform switch port configuration
shutdown shutdown the selected interface
spantree spanning tree subsystem
vlan-membershyp VLAN membershyps configuration
Cum un switch poate st aib{ atit porturi Ethernet, cit gi Fast Ethernet, se vor folosi
nenzi diferite. Pentru configurarea unui port Fast Ethernet, se foloseste comanda
zrface fast ethernet :
1900 (config) #int fastEthernet?
<0-0> FastEthernet IEEE 802.3
1900 (config) #int fastEthernet 0/?
<26-27> FastEthernet IEEE 802.3
1900 (config) #int fastEthernet 0/26
1900(config-if)#int fast 0/26
118 PROIECTAREA RETELELOR DE CALCULATOARE
Dupa ce afi schimbat configuratia implicit’ a switeh-ului, verificati modific&rile cu
ajutorul comenzii show interface:
1900#show int e0/1
i Ethernet 0/1 is Suspended-no-linkbeat
i Hardware is Built-in 10Base-T
§ Address is 0030.80CC.7D01
i MTU 1500bytes, BW 10000 Kbits
802.1d STP state: Forwarding Forward Tran:
ions: 1
1900#show int £0/26
FastEthernet 0/26 is Suspended-no-linkbeat
Hardware is Built-in 100Base-Tx
Address is 0030.80CC.7D1A
MTU 1500bytes, BW 100000 Kbits
802.1d STP state: Forwarding Forward Transitions: 0
Pentru a nu uita ce conexiune exist’ pe o interfay’/port, este bine s4 facem 0 scurtt
descriere a acesteia, Din modul de configurare al acesteia se foloseste comanda description :
1900 (config) #int e0/1
1900 (config-if) #description VLAN Contabilitate
1900(config-if)#int £0/26
1900 (config-if) #description trunk_la_Corpul_B
Spuneam ci numarul si tipul porturilor disponibile pe un switch difera de la un medel
ta altul. Pentru activarea modului duplex se foloseste comanda cu acelasi nume din
modui de configurare a interfeyei
1900 (config) # int £0/26
1900 (config-if) #duplex?
auto Enable auto duplex configuration
full Force full duplex configuration
fvll-flow-control Force full duplex with flow control
half Forece half duplex operation
Parametrii de mai sus au urm&toarea semnificatie :
* Auto - seteazit portul in modul de lucru autonegociere, Este setat implicit pentru
porturile 100BaseTX.
* Full - forteaz4 Jucrul in modu! full-duplex pentru porturile pe 10 sau 100Mbps.
* Full-flow-control - este valabil numai pentru porturite 100BascTX.
* Half - Setarea implicit pentru porturile 10BaseT, forjeaz% porturile si lucreze
numai in acest mod.
Dac& se doreste stergerea configuratiei introdus si revenirea La setarile produ-
c&torului, se foloseste comanda delete:
RETELE VIRTUALE 119
1900# delete?
nvram — NVRAM configuration
vtp Reset VTP configuration to defaults
1900 (config) # delete avram
Reset system with factory defaults, [YJes or [NJ]o? Yes
Pentru configurarea unei VLAN pe un switch cu sistem de operare, se foloseste
comanda vlan.
1900 (config)#vlan 2 name Contabilitate
1900 (config) #vlan 3 name Vinzari
1900 (config) #vlan 4 name IT
Dup& crearea VLAN-urilor, se foloseste comanda show vlan pentru a vizualiza
informatiile configurate pentru vlan.
1900# show vlan
VLAN Name Status Ports
eee fderaulc ae Bnabled ~ 1712, aUI, A, B
2 Contabilitate Enabled
3 Vinzari Enabled
4 It Enabled
1002 fddi-default Suspended
1003 token-ring-defau Suspended
1004 fddinet-default Suspended
1005 trnet-default
Fiecare port al switch-ului poate fi configurat in continuare ca membru al unui vlan
cu ajutorul comenzii vlan-membership.
1900(config)# int e0/2
1900 (config-if) #vlan-membership?
dynamic Set VLAN membership type as dynamic
static Set VLAN membership type as static
1900 (config-if) #vlan-membership static 2
1900 (config-if)#int ¢0/4
1900 (config-if) #vlan-membership static 3
1900 (config-if)#int e0/S
1900 (config-if) #vlan-membership static 4
1900 (config-if) texit
Pentru a vizualiza maniera de alocare a porturilor pe VLAN-uri folositi show vlan sau
show vlan-membership.
Legaturile trunk sint legaturi pe 100 sau 1000Gbps intre dou dispozitive : switch:
-switch, switch-router. O interfafi poate suporta o legitura tip trunk doar daca este
120 PROIECTAREA RETELELOR DE CALCULATOARE
activa (setath pe on sau desirab/e) si daca exists un dispozitiv conectat. Dac dispozitivul
conectat este on, desirable sau auto, va incerca st treact portul pe legiturd tip trunk.
Pentru a se verifica starea unei interfete se foloseste comanda show trunk:
1900(config)#int £0/26
1900 (config-if) #trunk?
auto Set DISL state to AUTO
desirable Ser NTSL state to DESIRABLE
nonegotiate Set DISL state to NONEGOTIATE
off Set DISL state to OFF
on Set DISL state to ON
1900 (config-if) #trunk on
Majoritatea switch-urilor cu management sint configurate implicit ca servere vtp.
‘Vom configura, in continuare, un switch ca server vtp pentru domeniul test :
1900 (config) #vtp?
client vtp client
domain Set VTP domain name
password Set VTP password
pruning VTP pruning
server VTP server
transparent VTP transparent
trap VIP trap
1900 (config) #vtp server
1900 (config) #vtp domain test
1900A#show vtp
Configuration revison 0
Maximum VLANs supported locally: 1005
VTP domain name itest
VIP password :
VIP operating mode server
VTP pruning mode :Disabled
VIP traps generation Enabled
Configuration last modified by: 0.0.0.0 at 00-00-0000 00:00:00
10.5. Exemplu
Asa stind lucrurile, ipoteza de lucru este prezentat’ in figura urm&toare gi implicd
configurarea switch-urilor astfel incit cele doud servere s& facd parte din doud VLAN-uri.
Primu} lucru cu care trebuie si incepem se refer’ la alocarea porturilor switch-urilor
din schema.
iat
‘SW_Stud!
SW_stud2 ora
) SW_Stwes
a on
Web_Server Mail_Server
Figura 10.8.1. Rejea
Switch-urile din seria 1900 au doar dou% porturi pe 100Mbps. Atit ISL, cit si 802.1Q
necesita pentru legdturile de tip trunk (legdturi switch-la-switch sau switch-la router)
porturi pe 100Mbps. Prin urmare, legitura dintre Router A si SW_Stud1 va folosi unul
din porturile pe 100Mbps ale switch-ului. Pentru conectarea acestuia la SW_Stud2, se va
folosi ultimul port pe 100Mbps, iar pentru SW_Stud3, se vor folosi dou% porturi pe
l0Mbps deoarece avem nevoie de douz VLAN-uri. Nu uitati: legaturile de tip trunk nu
sint permise pe porturi la J0Mbps. Am ales acest model pentru a scoate in evidenya cit
de importanti este scalabilitatea in proiectarea unci rejele.
Vom incepe cu SW_Stud1,
Pentru activarea consolei switch-ului din meniu se va alege opfiunea K.
Pentru a se evita accesul neautorizat la facilitttile switch-ului, trebuie configurate
parolele de acces, Pot fi configurate dou’ parole (enable password), una pentru modul de
lucru utilizator (se foloseste Level {) si una pentru accesul in modu! configurare (Level
15). Parolele trebuie si aib& minimum 4 caractere si maximum 8!.
1, Dact uitagi parolele vizit
wwww.cisco.com pentra a afta cum mai puteti accesa respectivul switel
m2 PROIECTAREA RETELELOR DE CALCULATOARE,
| (config) #enable password level 1 pentaxl
(config) #enable password level 15 pentax15
(config) #exit
fn continuare, vom configura numele acestui switch (hostname ),
adresa ip (ip address ), gateway-ul' (ip default-gateway) si
porturile/interfejele ( interface) :
(config) #hostname SwW_studl
SW_Studl (config) #sh ip
IP Address: 0.0.0.0
Subnet Mask: 0.0.0.0
Default Gateway: 0.0.0.0
Management VLAN: 1
Domain name:
Name server 1: 0.0.0.0
Name server 2: 0.0.0.0
HTTP server : Enabled
HTTP port : 80
BarmeNarece eee CEI AES
SW_Studl (config) #ip address 172.16.10.2 255.255.255.0
SW_Studl (config) #ip default-gateway 172.16.10.1
SW_Studl (config) #interface fastEthernet 0/?
<26-77> FastEthernet IEEE 802.3
SW_Studl (config-if)#int fast 0/26
W_Studl (config-if) #description trunk_la_RouterA
SW_Studl (config-if) Ftrunk on
SW_Studi (config-if) int fast 0/27
SW_Studl (config-if) #description trunk_la_SW_Stud2
SW_Studl (config-if) #trunk on
SW_Studl (config-if)#interface ethernet0/3
SW_Studl (config-if) #description Legatura_la_sW_Stud3
SW_Studl (config-if)#interface ethernet0/4
SW_Studl (config-if) #description Legatura_la_SW_Stud3
seston
i
Activarea modului duplex pentru porturile Fast Ethernet:
W_Studl (config) #int £0/26
SW_Studl (config) #duplex full
SW_Studl (config) #int £0/27
SW_Stud] (config) #duplex full
Pe switch-ul SW_Stud1 vom crea domeniul VTP ( vfp domain ):
). Adresa IP a interfeyei routerului la care se conecteazi.
RETELE VIRTUALE 123
SW_Studl (config) #vtp domain Studenti
SW_Studl (config) #vtp server
Vom crea pe acest switch dod VLAN-uri; Web si Mail (vlan
name ) si vom asocia (vlan-membership static ) porturile 3 si 4
acestor VLAN-uri:
SW_Studl (config) #vlan 2 name Web
SW_Studl(config)#vlan 3 name Mail
SW_Studl (config) #interface ethernet 0/3
SW_Studl(config-if) #vlan-membership static 2
SW_Studl (config) #interface ethernet 0/4
SW_Studl (config-if)#vlan-membership static 3
Cu ajutorul comenzilor show vlan sau show vlan-membership vom verifica informatiile
referitoare la VLAN-urile create.
SW_Studli#sh vlan
VLAN Name Status Ports
1 default Enabled 1-2,5~12, AUI, A, B
2 web Enabled 3
3 mail Enabled ¢
1002 fddi-default Suspended
1003 token-ring-default Suspended
1004 fddinet-default Suspended
1005 trnet-default Suspended
Ne mutim acum la switch-ul SW_Stud2 pentru care cea mai mare parte a configurarii
este identict cu SW_Studl. Conform schemei, acest switch se conecteazd la SW_Studl
prin portul Fast Ethernet 26 si la SW_Stud3 prin portul Fast Ethernet 27. Portul Ethernet,
1 trebuie configurat ca membru in VLAN-ul 2 (Web.)
>enable
fconfig t
Enter configuration commands, one per tine. End with CNTL/Z.
config) #hostname SwW_stud2
SW_Stud2 (config) #enable password level 1 pentax
SW_Stud2(config)#enable password level 15 pentax15
SW_Stud2 (config) #ip address 172.16.10.3 255.255.255.0
SW_Stud2(config)#ip default-gateway 172.16.10.1
SW_Stud2(config-if)#int fast 0/26
SW_Stud2(config-if) #description trunk_la_SW_Studl
SW_Stud2 (config-if) #trunk on
SW_Stud2(config-if)#int fast 0/27
SW_Stud2(config-if) #description trunk_la_SW_Stud3
124 PROIECTAREA RETELELOR DE CALCULATOARE
SW_Stud2(config-if! #trunk on
SW_Stud2(config-if:#interface ethernet0/1
SW_Stud2(config-if)#description Legatura_la Web Server
SW_Stud2(config-if) fexit
SW_Stud2(config)#vtp domain Studenti
SW_Stud2(config)#vtp client
SW_Stud2 (config) #interface etherne.0/t
SW_Stud2(config-if) #vlan-membership static 3
Lucrurile sint ceva mai delicate in cazul SW_Stud3, pentru cd trebuie asociate corect
porturile in functie de VLAN-urile create. Portul Ethernet 3 face parte din VLAN-ul 2,
iar portul Ethernet 4 din VLAN-ul 3. Portul Ethernet | prin care se conecteazi Mail
serverul face parte tot din VLAN-ul 3.
>enable
fconfig t
Enter configuration commands, one per line. End with CNTL/Z.
config) #hostname SW_Stud3
SW_Stud3 (config) fenable password level 1 pentaxl
sw_Stud3 (config) #enable password level 15 pentax15
SW_Stud3(config)#ip address 172.16.10.4 255.255.255.0
SW_Stud3 (config) Hip default-gateway 172.16.10.1
SW_Stud3(config-ifj}#int fast 0/26
SW_Stud3 (confi: )#description trunk_la_Sw_Stud2
SW_Stud3 (config-if) #trunk on
SW_Stud3(config-if)#interface ethernet0/3
swW_Stud3 (config-if} #description Legatura_la_SW_Stud1
SW_Stud3 (config-if)#interface ethernet0/4
SW_Stud3 (config-if) #description Legatura_la_SwW_Studl
SW_Stud3 (config-if) #exit
SW_Stud3 (config) #vtp domain Studenti
SW_Stud3(config)#vtp client
sW_Stud3 (config) #interface ethernet0/3
SW_Stud(config-if) #vlan-membership static 2
SW_Stud3 (config) @interface ethernet0/4
SwW_Stud(config- f)#vlan-membership static 3
SW_Stud3 (config) #interface ethernet0/1
SW_Stud(config-if)#vlan-membership static 2
ES SAR RTS RENTER ARE TES
Pentru ca cele dou servere si se poat ,vedea” in afara VLAN-urilor din care fac
parte, ar trebui ca pe routerul din schem& s& mai configurim si tipul de rutare pentru
exemplul ales. Dar despre acest subiect vomn discuta in capitolele urmitoare.
CAPITOLUL Il
Pri
ire generala asupra routerelor
Routerul are aceleasi componente ca PC-ul : procesor, memorie, interfeye si magistrald.
Poate fi asemuit unui calculator care este dedicat executrii unei sarcini mai speciale
rutarea informatiilor in retele.
Ca si in cazul calculatoarelor, care au nevoie de un sistem de operare pentru a putea
rula aplicatii clasice, si routerul are nevoic de un asifel de sistem de operare care mu este
nici Linux, nici Unix, nici macat Windows. Sistemul de operare al routerului se numeste,
ca si la switch-uri, Internetworking Operating Software (10S) si foloseste la rularea
figierelor de configurare ale routerului. Prin intermediul acestor fisiere se controleaz%
traficul dintre routere, control care se bazeaz pe protocoalele de rutare prin intermediu!
clrora se directioneaz4 protocoalelc rutabile yi tabelele de rutare.
Pentru ca toate acestea s& aiba loc, routerul trebuic configurat asa cum se configureazi
orice alt calculator (aproape).
11.1. Componentele routerului
si moduri de configurare
Tehnic vorbind, routerul este un calculator care selecteazi cel mai bun traseu (path) si
gestioneaza comutarea pachetelor intre doua retele difcrite. Un router poate fi configurat
in mai multe moduri:
de Ia un terminal in timpul instalarit sale ;
via un modem, folosind un port auxiliar ;
de Ia un terminal virtual (VTO-4), dup’ ce a fost instalat in rejea ;
de pe un server TFTP din rejea.
SA vedem, in continuare, care sint componentele interne ale unui router :
+ RAM/DRAM - reprezint memoria in eare se pastreazi tabelele de rutare, cache-ul
ARP, fast switching cache-ul si ,coada” pe care 0 formeaza pachetele cc urmeazi
a fi rutate, RAM ofera, de asemenea, memoria de lucru necesari (chiar dac& sun&
a pleonasm) fisicrelor de configurare a routerului. fn momentul tntreruperii
alimentarii cu tensiune a routerului sau restartérit acestuia, conginutul RAM se
pierde!!!
126 PROIECTAREA RETELELOR DE CALCULATOARE
* NVRAM - Memorie RAM nonvolatili, pastreazi fisierele startup/backup ale
rouierului. Dupa cum fi spune si numele, nu se pierde daci routerul nu mai este
alimentat cu tensiune.
+ Flash ~ memorie ROM reprogramabild, pastreazi imaginea sistemului de operare
si microcodul acestuia. Permite actualizarea software-ului fri a se schimba
chipurile procesorului. Poate pastra versiuni diferite ale sistemului de operare.
+ ROM ~ contine instrumente de diagnosticare, un program bootstrap si sistemul de
operare. Dacd se doreste upgrade la 108, trebuie inlocuite chip-urile micro-
procesorului.
+ Interfefe ~ reprezint& conexiunile rejelei prin care pachetele intra i ies din router.
Pot fi amplasate direct pe placa de baz sau in module separate.
La o prima vedere, cam asa stau lucrurile, Cum inst RAM-ul este componenta cea
mai importanta a routerului, trebuie. sd o privim cu mai mult& atentie,
RAM NVRAM | [ Flash
{ 10s
| a Backup-ul
risie
Programe | active de Tabele si_| fisiorelor de tos
i ; configurare
configurare | butfere
mnAnnAmAZA
Figura 11.1.1, Componentele routerului
Aceast memorie reprezint& principala zon’ de Jucru a unui router. La pornire, in
memoria ROM se execut un program bootstrap ce realizeaz’ anumite teste si incarc&
10S-ul in memorie (aveam in vedere 1OS-ul folosit de routerele CISCO). Autoritatea
exeeutiva sau EXEC reprezint& una dintre componentele cele mai importante ale CISCO
IOS. EXEC este cea care primeste si executi comenzile prin care administratorul
configureaz routerul.
Memoria RAM este folositi si pentru pistrarea fisierului de configurare activa, a
tabelclor ARP gi a tabelelor de rutare. Continutul fisierului de configurare poate fi afisat
prin intermediul unui terminal sau al unei console. © versiune a acestui fisier este
pastrata si in NVRAM. Acest figier este inctircat in memorie la fiecare initializare a
routerului. Despre informatiile continute de acest fisier vom discuta in paginile urma-
toare:
Spre deosebire de fisierul de configurare, imaginea IOS nu poate fi afisat& pe ecranul
unui terminal. Aceast imagine este de obicei executati in memoria RAM. Sistemul de
operare este organizat in rutine ce gestioneazi sarcinile asociate diferitelor protocoale :
transferul datelor, gestiunea tabelelor gi a bufferelor, actualizarea tabelelor de rutare,
exeeutarea comensilor introduse ete.
PRIVIRE
ENERALA ASUPRA ROUTERELOR 127
Indiferent de modul in care este accesat (de la o consol, prin intermediul unei
sesiuni Telnet), un router se poate afla in diferite moduri care s& ofere funcyionalitayi
diverse :
* Modul user EXEC ~ este modul in care un utilizator poate s& vizualizeze anumite
informatii despre router, dar nu poate efectua nici o schimbare asupra stirii
acestuia.
* Modul privileged EXEC ~ este modul in care se pot introduce comenzi de testare
si debug, se poate examina in detaliu starea routerului, se poate lucra asupra
figierelor de configurare si se pot accesa celelalte moduri de configurare.
* Modul setup ~ este modul care permite crearea primei configurari a routerului de
la promptul unei console.
* Modul global configuration ~ este modul in care se obtine accesul la comenzile de
configurare.
* Modul RXBOOT - este un mod de intrefinere carv se foloseste mai ales in cazul
pierderii parolelor.
* Alte moduri de configurare : oferi optiuni mai detaliate de configurare.
Modul User EXEC Modu! de configurare global
Router > Router(config)#
Modul EXEC privilegiat Alte moduri de configurare
Router# Router(config-mode)#
Modul Setup Modul RXBOOT
Figura 11.1.2, Moduri de configurare
11.2. Pornirea unui router
De ce credeti ci am prezentat comenzile de mai inainte si abia acum discutam despre
setarea routerului?
Initializarea unui router presupune inc&rcarea programului bootstrap, a sistemului de
operare sia figierului de configurare. Daca routerul nu giseste un fisier de configurare,
trece automat in modul de lucru setup dup care memoreazt in NVRAM o copie a noii
configurari.
La pornire, routerul executd 0 rutin’ de autodiagnozi, denumit& Power-On-Self-Test.
in timpul acestei test&ri, asupra modelelor hardware se exccut programele de diagnozi
din ROM pentru a se verific’ gradul de operabilitate al CPU, memoriei si interfeyelor.
Dacd totul este in regula, routerul continua cu initializarza sistemului de operare.
VARGA R
STELPLOR DE CALCULATOARE
Dupa POST, pe misura ce se desfagoara initia
evenimente :
1. Se executi bootstrap-ul. Acesta este un program simplu prin care se incarct
instructiuni al c&ror efect este incrcarea in memorie a altor instructiuni care
conduc spre modurile de configurare a routerului.
2. Se cauti sistemul de operare dupi locatia indicat in cimpul boot din registrul de
configurare.
. Se incarcd imaginea sistemului de operare. Dup’ ce devine operational, sistemul
de operare localizeazt componentele hard si soft pe care le listeazi la consola.
4, Figierul de configurare salvat in NVRAM este incarcat in memoria principala si
executat linie cu linie. Comenzile de configurare pornesc procesul de rutare,
atribuie adrescle interfetelor, seteazd caracteristicile mediilor de transmisie etc.
5. Daci in NVRAM nu exist& nici un fisier de configurare valid, sistemul de operare
execut o rutind de interogare denumit8 setup dialog.
arca routerului, au loc urmatoarele
Setup-ul este folosit pentru a oferi routerului o configurare minima. Cu ajutorul
comenzilor show startup-config si show running-config se afiscaz’ cele doua figiere de
configurare : activ, respectiv backup. Dacii se doreste stergerea backup-ului fisierulvi de
configurare din NVRAM, se foloseste comanda erase startup-config. Apoi, cu ajutorul
comenzii reload se rebooteaza routerul, actiune ce are ca efect reluarea intregului proces
de startup. Pentru a se ajunge in modul de lucru setup, se tasteazi comanda cu acelagi
nume : setup.
Aminteam, cu citeva rinduri mai inainte, c scopul modului setup este de a ofcri
routerului o configuratie minima in cazul in care nu giseste informasiile necesare in alte
surse. Majoritatea prompt-urilor din timpul configurarii routerului prin comanda secup
ofera rispunsul default intre paranteze patrate. Setup-ul se poate anula in orice moment
cu Ctrl+C, toate interfetele find oprite.
Dupd terminarea configurarii, aceasta va fi afisat pe ecran o dat cu intrebarea daci
doriti si folositi aceasti configurare. Raspunsul ,,Yes” la aceast& intrebare va avea ca
efect executarea instructiunilor de configurare si salvarea Jor in NVRAM. Daci raspun-
deti cu ,No”, configurarea nu va fi saivata si procesul va reincepe.
Dupa vizualizarea unui sumar al interfetei curente, pe ccran este afisat promptul
corespunzitor introducerii parametrilor globali ai routerului. Acesti parametri reprezinti
valorile de configurare pe care le selectati
Primul parametru global va permite stabilirea unui nume de host pentru router. Accst
nume va deveni parte a prompturilor [0S-ului de la CISCO pentru toate modurile de
configurare. in timpul configurarii initiale, numele implicit al routerului va fi afisat intre
paranteze piitrate, [Router].
Unmitorul parametru global ce va fi folosit se refer’ la parolele utilizate pentru
protejarea routerului, La inceput, trebuie introdusi o parol valida (,enable”). Algoritmul
de criptare CISCO preia parola dup% ce a fost introdusi de la prompt (,Enter enable
secret”), Astfel, oricine ar lista continutul fisierului de configurare de pe router nu va
putea vizualiza parola in clar.
in timpul setup-ului se recomand’ ca ,enable password” (parola) s& fie diferiti de
enable secret word”, ‘Toate parolele sint case sensitive si pot contine caractere alfanumerice.
Dupa ce se rispunde afirmativ la ultima intrebare din cadrul configurarii initiate,
routerul este gata de utilizare.
11.3, Configurarea routerului
La startare, routerul foloseste urmitoarele informatii din cadrul fisicrului de configurare
* Versiunea Cisco a 10S-ului;
Identificarea routerului ;
Locatia (iile) fisierului folosit la bootare ;
Informatii despre protocoale ;
Configurarea interfejelor.
Daca nu este disponibila nici o configurare, se porneste dialogul de configurare (setup).
Informatiile privind configurarca routerului pot fi generate in mai multe moduri. [n
modul privilegiat EXEC se poate folosi comanda configure de la un terminal virtual sau
Oconsola. Aceastii variantd permite modificari asupra unci configurari existente. Acceasi
comandi se poate folosi pentru a incdrca o configuratie de pe un server TETP, lata, i
continuare, citeva dintre optiunile disponibile 1a configurare.
* configure terminal ~ configurarea manual a routerului de !2 un terminal ;
* configure memory - incircarea informatiilor de configurare din memoria NVRAM ;
© copy tftp running-config ~ incdrcarea informasiilor de configurare de pe un server
TFTP in memoria RAM ;
* show running-config - afisarca configurarii curente in RAM ;
* copy running-config startup-config - memorarea configurarii curente din memoria
RAM in NVRAM;
* copy running-config tftp - memorarea contiguririi curente din memoria RAM pe
un server TFTP ;
* show startup-config - afisarea configurarii salvate in NVRAM ;
* erase startup-config ~ stergerea continutului NVRAM
11.4. Accesul la alte routere
Este posibil ca in acest moment s& v4 intrebati ce si cum se intimpl4 cu routerele din
imediata apropiere a routerului pe care i administrati voi.
Cisco Discovery Protocol (CDP) furnizeaz% 0 comand& show proprietara, comand
ce permite administratorului si acceseze informatii despre cum sint configurate routerele
conectate direct 1a routerul administrat, CDP rufeaz4 la nivelul legtturi date, motiv
pentru care echipamentele ce lucreaza cu alte protocoale de nivel 3 pot afla uncle de
aliele (vi amintiji c& adresele nivelului legttur’ date sint similare adreselor MAC)
Cind un router pe care ruleaz’ 10S (Release 10.3 sau mai nou) bootea7%, in mod
automat se starteaz si CDP. Acesta permite routerului si detecteze routercle aflate in
vecinitatea sa, pe care ruleaz’ CDP.
Administratorul de rejea va folosi comanda show cdp neighbors pentru a afisa
actualizirile ficute de CDP pe router sau, altfel spus, despre rejelele conectate direct la
espectivul router. Orice router pe care ruleazx CDP schimba cu ,vecinii" sii informatii
cu privire la protocoalele cu care lucreazi.
130 PROIECTAREA RETELELOR DE CALCULATOARE
Chiar dacd CDP ruleazi implicit a pornirea routerului, administratorul trebuie si
activeze explicit acest protocol pentru fiecare din interfetele routerului, folosind comanda
cdp enable. Routerul pastreazi informafiile pe care le primeste de la ,,vecini” intr-o zon’
de memorie cache. Dac primeste un cadru care indicd schimbarea unei informatii cu
privire la respectivul vecin, routerul va inlocui informafiile vechi cu cele noi.
Comanda show cdp interface afigeazA valorile pentru timerii CDP, starea interfetei si
tipul incapsularii folosite de CDP. Valorile implicite ale timerilor sint setate la 60 de
secunde pentru frecventa actualizarilor, respectiv 180 de secunde pentru durata de viat’
a intrarilor CDP. Daca routerul primeste o actualizare mai devreme decit este stabilit
prin timer sau daci durata de viafi a expirat, renung& la vechile informatii.
Cu ajutorul comenzii show cdp entry se va afisa continutul memor
cache afefente unei singure intriri CDP, inclusiv toate adresele de nivel 3 prezente in
routerul specificat.
Pentru a vizualiza update-urile receptionate de routeru! local, se foloseste comanda
show cdp neighbors.
11.5. Protocoale pentru rutare
Exist trei metode prin care un router frvafd traseul unui pachet citre destinati
* mute statice - sint definite manual de c&tre administratorul de rejea sub forma
urmatorului hop (urmatorul router sau gateway) c&tre destinatie. Sint folosite mai
ales in retelele mici, cind se doreste reducerea traficului. ;
* tute implicite ~ sint definite manual de citre administratorul de retea sub forma
traseului pe care il urmeaz4 un pachet, atunci cind nu se cunoaste calea cdtre destinatie ;
* mute dinamice - routerul invayi traseele c&tre destinagie prin receptionarea actuali-
zarilor oferite de alte routere din rejea.
Identificarea traseului pe care trebuie si il urmeze un pachet este functia routerului
prin care acesta evalueaza traseele cAtre destinatic si care dintre acestea este cel mai bun.
Rutarea se refer la procesul prin care se alege cel mai bun traseu pentru transmiterea
pachetelor c&tre destinasie.
Toate protocoalele pentru rutare au acelasi obiectiv: partajarea informatiilor despre
rejea intre routerele participante. Acest obiectiv este ins& atins in moduri diferite, Unele
protocoale transmit tabele de rutare intre routere, in timp ce altele transmit informatii
doar despre conexiunile directe pe care le gestioneazi. Deosebirile nu se limiteazi numai
la cele mentionate anterior. Caracteristicile cu privire la performante si scalabilitate sint
diferite de la un protocol la altul.
Protocoale distance-vector (vector-distanya)
in categoria protocoalelor distance-vector (si derivatele acestora) sint incluse :
RIP- Routing Information Protocol, versiunile 1 si 2;
IGRP - Interior Gateway Routing Protocol ;
RTMP - AppleTalk Routing Table Maintenance Protocol ;
AURP ~ AppleTalk Update-Based Routing Protocol ;
EIGRP ~ Enhanced IGRP ;
* BGP - Border Gateway Protocol.
PRIVIRE GENERALA ASUPRA ROUTERELOR 131
Ce inseamna de fapt vector-distance? Termenul se refer la directia (si informatiile
aferente) pe care trebuie 4 o parcurg& pachetele pind la destinatie, directie exprimat&
de cele mai multe ori sub forma de hop count-uri. Hop count reprezint’ numérul
routerelor care trebuie traversate de un pachet pentru a ajunge la teteaua destinayie
(pentru unele protocoale aceast4 unitate de m&surX se refer la numérul legaturilor).
Un protocol distance-vector intretine si transmite tabele de rutare in care sint listate
toate refelele cunoscute si distanfele citre fiecare dintre acestea. O tabel& de rutare arat&
cam aga:
Refea Distanfa in hop-uri Hop-ul urmitor
10.0.0.0 0 (conexiune directs) Interfata 1
172,16.0.0. 0 (conexiune directa) Interfaga 2
172,17.0.0. i 172.16.0.2.
172,18.0.0, 2 172.16.0.2.
192,168.1.0 l 10.0.0.2
192.168.2.0 2 10.0.0.2
Protocolul pentru rutare transmite o astfel de tabel& tuturor routerelor c&tre care
exist o conexiune directa. Tabela de rutare imbrac& forma unui packet broadcast
care este transmis la anumite intervale de timp, Dac& protocolul de rutare suportt
tehnica denumit& split horizon, routerul transmite doar rutele care pot fi atinse.
Aceast tehnick reduce intervalul la care trebuie ficuté actualizarea tabelelor de
rutare si creste acuratetea informatiilor despre rutare. Mai mult, informagiile care
pot fi gestionate mai bine local de c&tre un router nu vor fi transmise celorlalte
routere.
© alti tehnick implementat de aceste protocoale se refer la hold down timer:
maniera standard prin care routerul incearei si rezolve problema buclelor. Pentru a fi
mai clari, vom exemplifica pe cele dou’ rejele din imaginea urmatoare.
172.16,0.0
Refeaua | Distanfa | Urmitorul hop | [ Refeaua Urmitorul hop
172.16.0.0 | 0 Inerfaja 1 [192.168.2.0 | 0 Interfaga 1
192.168,2.0 1 Router B 172.16.0.0 Router A
132 PROIECTAREA RETELELOR DE CALCULATOARE
Cind routerul isi transmite tabela de rutare, el distribuie doar informatiile cu privire
la rejeaua i distana pind 1a acea refea, nu si urmitorul hop. Acesta este motivul pentru
care apar buclele. Secventa unui eveniment care poate conduce la o rutare in bucla este
cam asa:
1. Conexiunea routerului A la rejeaua 172. 16.0.0 pica.
2. Routcrul A sterge din tabela de rutare informatiile cu privire la reteaua 172.16.0.0.
3. in baza informatiilor precedente objinute de la routerul A, routerul B isi transmite
tabela de rutare anun{ind c& poate gisi rejeaua 172.16.0.0.
4. Routerul A adauga in tabela de rutare rejeaua 172.16.0.0 cu distanta 2 si urmatorul
hop routerul B.
Routerul A primeste un cadru de fa un calculator din reteaua 172. 16.0.0,
Routerul A transmite cadrul routerului B.
Routerul B transmite cadrul routerului A,
. Se continu’ pind cind valoarea TTL din cadru expira.
wrIaH
Dac nu ar exista mecanismul split horizon, problemele s-ar complica si mai mult. La
un moment dat, routerul A va transmite o actualizare a rutelor sale prin care anunta c&
poate ajunge in refeaua 172. 16.0.0. Ca urmare, routerul B va actualiza ruta respectiva cu
© distanjX egal cu 3, Ambele routere vor continua si-si trimiti actualiziri pint cind
cimpul distant ajunge 1a 0 valoare infinita (16 in cazul RIP-ului). in acest moment,
routerul sterge respectiva ruta din tabela.
Problema actualizarii informatiilor de c&tre router este cunoscut& sub denumirea
count-to-infinity, Functia hold down este cea care spune routerului s& nu adauge tn tabela
de rutare informatii despre o rutd care a fost modificats, ping cind nu expird timpul
pentru hold-down.
in cazul nostru, dac& routerul A face apel la aceasti functie, nu va adauga ruta pentru
refeaua 172. 16.0.0. trimisé de routerul B, Acest lucru se intimpla si dac& routerul B face
apel la split horizon, pentru c& nu va transmite routerului A informajii despre refeaua
172.16.0.0.
Protocoale link state (starea legdturii)
Aceast% categorie de protocoale pentru rutare nu schimbé intre ele tabele de rutare sub
forma prezentat& anterior, Informafiile transmise de routere vizeaz4 starea legaturilor
(re{elelor) conectate direct. Routerul care foloseste un astfel de protocol transmite
periodic un pachet multicast prin care oferi informatii despre starea conexiunilor sale.
Routerele care primesc acest pachet il vor transmite mai departe routerelor conectate
direct.
Se includ in aceast% categorie urmiitoarele protocoale :
« OSPF - Open Shortest Path First ;
¢ IS-IS - Intermediate System - to - Intermediate - System ;
* NLSP - NetWare Link Services Protocol.
in general, convergenta realizati de aceste protocoale este mult mai rapida fata de
protocoalcle distance-vector, dar acest avantaj are in spate puterea crescuta a procesoarelor
PRIVIRE GENERALA ASUPRA ROUTERELOR 133
si memoriei de care trebuie si dispund routerul. La cele spuse anterior se mai adaugit
uguringa cu care poate fi administrat un protocol distance-vector faj4 de unul link-state.
Unitditi de mésurd, ierarhii $i convergenta
Pentru a determina ruta pe care trebuie transmis un pachet, protocoalcle de rutare fac
apel la diferite unittsi de masura. in mod obignuit, protocoalele de tip distance-vector
folosese dup cum am pomenit deja, hop count-ul. Protocoalele mai noi pot calcula
rutcle finind cont si de alte caracteristici ale rejelei: intirzicrea, lijimea de banda
disponibil& etc. Scalabilitatea unei refele este direct afectatt de unitZjile de masura
folosite, De exemplu, un protocol precum RIP-ul poate s& nu selecteze o ruta cu o lajime
de banda mai bun’, dar care depaseste limita de 15 hop count-uri.
Chiar dac& toate routerele indeplinesc accleasi sarcini, anumite protocoale nu suport
ierarhii, Protocoalele din aceasta categorie grupeazi routerele in zone de lucru, sisteme
autonome sau domenii de lucru. intr-o astfel de organizare, unele routere comunici cu
cele din zona local, in timp ce allele au ca sarcina interconectarea domeniilor sau
sistemelor autonome.
Daca privim protocoalcle prin prisma locatiei in care sint folo:
in dou’ categorii: de interior si de exterior.
Protocoalele de interior (RIP, OSPF, IGRP) sint folosite de routerele din cadrul
aceleiasi organizafii sau sistem autonom (sistem autonom = grup de routere aflat sub o
administrare centralizata). La polul opus, protocoalele de exterior (BGP) ruteaza intre
diferite sisteme autonome.
O alté caracteristicd a protocoalelor de rutare vizeazd maniera de tratare a adreselor
IP, Protocoalele de rutare de tip class/ul (RIP v.1, IGRP) calculeazi lungimea prefixului
(portiunea network) unei adrese pentru a determina din ce clasii face parte. Un astfel de
protocol nu transmite nici o informasie cu privire la lungimea prefixului calculat. Notatia
care se foloseste tot mai des in acest caz este urmitoarea: 10.1.0.1/16. Acest lucru
inseamnd ci prefixul retelei are o lungime de 16 biti, ceea ce inseamnd o masca de rejea
cu valoarea 255.255.0.0.
Protocoalele de rutare de tip classless (RIP v.2, EIGRP, OSPF, BGP, IS-IS) transmit
lungimea prefixului impreun cu adresa IP. In aceasti manier%, rejelele pot fi grupate
sub forma unei singure intriri in tabela de rutare, folosind lungimea prefixului pentru a
specifica care rejele au fost grupate.
Convergenja se refer’ la timpul necesar unui router pentru a intelege de o maniera
consistent topologia unei rejele, atunci cind au avut loc schimbari in cadrul acesteia.
Prin schimbari in cadrul unei retele vom intelege segment&ri, defectarea unui router,
adiugarea unui router etc. Convergenta este 0 componenti critica in cadrul proiectirii
‘unei refele,
Acest proces este inijiat cind routerul este notificat c& o legdtura cAtre umu! dintre
routerele pereche devine inactiva (de exemplu). Un router de la CISCO transmite cadre
keepalive la fiecare 10 secunde pentru a determina starea unei legaturi.
intr-o rejea WAN, routerul transmite aceste cadre citre routerul aftat la capatul
unei legaturi, in timp ce intr-o rejea LAN, aceste cadre sint transmise catre o adresh
multicast.
, Ie putem imparti
134 PROIECTAREA RETELELOR DE CALCULATOARE.
11.6. RIP - Routing Information Protocol!
RIP a fost primul protocol standardizat dezvoltat pentru mediile TCP/IP. Dup& cum
aminteam si mai devreme, acesta este un protocol dé tip distance-vector destul de usor
de utilizat si administrat.
‘Acest protocol transmite broadcast tabela sa de mitare Ia fecare 30 de secunde, Un
pachet poate si conjini pind la 25 de rut, ceea ce pentru rejele mari reprezinti un
dezavantaj. Pentru rejelele care vor folosi acest protocol trebuie {inut cont de faptul ch
foloseste hop count-ul ca unitate de m&sura (maxim 15 routere) chiar dac& alte mute au
0 I&time de band’ mai bun’, congestie redusi etc.
IETF a dezvoltat cea de a doua versiune a acestui protocol prin care unele dintre
probiemele legate de scalabilitate au fost rezolvate, RIP versiunea 2 adaugi urmitoarele
cimpuri intrarilor din tabela de rutare :
* Route tag - un indicator care face diferenta intre rutele interne din cadrul
domeniului RIP si rutele externe care au fost importate de la alte protocoale de
rutare sau de la sisteme autonome diferite.
* Subnet mask - conjine masca de rejea care va fi aplicatt prefixului din cadrul
adresei IP.
Next hop ~ specificd adresa IP a urmitorului router citre care va fi transmis pachetul.
Cimpul route tag este cel care uniformizeaz’ retelele ce folosesc RIP cu cele non-RIP.
Faptul c& in versiunea 2 a fost ad&ugat si cimpul subnet mask ofera suport pentru rutarea
de tip classless. Mai multe detalii in RFC 1723.
11.7. IGRP - Interior Gateway Routing Protocol”
IGRP este un protocol dezvoltat de CISCO ia mijlocul anilor '80. Multe dintre rejele au
inceput s& foloscasca acest protocol pentru ca depiseste limitérile la care erau supuse de
citre RIP. IGRP efectueazi actualizarea tabelelor de rutare la fiecare 90 de secunde, fapt
care conduce la 0 utilizare mai eficient& a 1&simii de banda,
In calcularea rutelor disponibile, IGRP ia in caloul urmatorii factori :
* La&timea de band’ - administratorul poate configura litimea de band& disponibila
pentru un segment de rejea sau 0 poate folosi pe cea implicité, care este specifica
tipului legaturii existente.
« Intirzierea - nu este calculata in mod dinamic. Se are in vedere suma fntirzierilor
de pe fiecare interfaja de iesire din cadrul unci rute.
* Increderea - este calculata dinamic in functie de posibilitatea transmiterii si
receptionarii pachetelor de tip keepalive. Trebuie configurat prin intermediul
comenzii metric weights.
« Incdrcdtura - nu este folositd dac& nu este configurat’ comanda precedent’. In
acest caz, gradul de inc&rcare al refelei este calculat in mod dinamic.
1. Detalii la http : /www.cisco.com/univered/ceftd/doc/cisintwk/ito_doe/rip-htm.
2) Detalii Ia hp ://www.ciseo.com/univered/ee/td/doc/cisintwk/ito doe/igrp im
PRIVIRE GENERALA ASUPRA ROUTERELOR 135
Spre deosebire de RIP, protocolul IGRP detine un algoritm mai eficient prin care
selecteaza ruta implicit. Cind se foloseste RIP, administratorul stabileste 0 singuré ruth
implicit, care este identificati ca fiind rejeaua 0.0.0.0.
IGRP-ul permite ca refelele reale st fie marcate ca fiind candidate la rute implicite.
Periodic, are loc 0 scanare a acestor rute candidate si se alege cea care are cele mai bune
valori ale unitijilor de masurd pentru a deveni ruta implicita.
11.8. OSPF - Open Shortest Path First!
La inceputul anilor *80, IETF recunostea nevoia existentei unui protocol de interior care st
depAseasc’ limitirile impuse de RIP. Rezultatul muncii IETF s-a concretizat in aparitia
OSPF.
Dintre avantajele acestui protocol de rutare amintim :
Este un standard deschis acceptat de majoritatea producitorilor de echipamente ;
Convergenja este mai rapid& decit la RIP;
Ofer o securitate mai bun’;
Ofera suport pentru VLSM (variable-length subnet mask) ;
Transmite cadre multicast in loc de broadcast ;
Nu consumi prea mult din latimea de banda a refelei.
Pentru a diminua utilizarea latimii de band%, OSPF transmite in rejea doar schimbarile
intervenite in cadrul tabelelor de rutare, Traficul in rejea se limiteaza la sincronizarea
bazelor de date, sincronizare ce apare la fiecare 30 de minute.
Routercle care ruleaz% acest protocol acumuleaz% informafii cu privirea la starea
leg&turilor existente si caiculeaz’ cel mai scurt drum c&tre 0 anumit& rejea. Acest
algoritm de calcul se numeste SPF (shortest path first) sau Dijkstra. Rezultatul acestui
calcul este 0 baz de date cu topologia cunoscut (link state database).
Din aceast’ baz4 de date, fiecare router construieste un arbore cu cele mai scurte
mute, arbore in care routerul care realizeaz& acest calcul este ridacina.
Vom dezvolta pugin refeaua din capitolul 12 adaugind citeva dispozitive. Cum v-ati
obignuit deja inainte, vom fac o scurt& trecere in revista a comenzilor disponibile.
11.9. Comenzi IOS
Lucrul de la prompter este identic cu prezentarea ficuti la switch-uri.
Comanda enable permite vizualizarca si modificarea configuratiei routerului in modul
de lucru privilegiat :
| Router>enable
1, Definit prin RFC 2178. Detalii la http ://www.cisco.com/univered/cc/td/doc/cisintwk/ito_doc/
ospf. hem.
136 PROLECTAREA RETELELOR DE CALCULATOARE
PArisirea acestui mod de lucru se face cu ajutorul comenzii disable. Partsirea consolei
de lucru se face prin comanda Jogout sau exit. Ca $i in cazul switch-ului, configurarea
routerului se face cu ajutorul comenzii config.
Router#config
Configuring from terminal, memory, or network [terminal]?
Pentru a modifica setarile unei interfete se foloseste comanda interface :
Router (config) #interface?
Asyne Asyne interface
BVI Bridge-Group Virtual Interface
Dialer Dialer interface
Ethernet IEEE 802.3
Group-Async Asyne Group interface
Lex Lex interface
Loopback Loopback interface
Null Null interface
Port-channel Ethernet Channel of interfaces
Serial Serial
Tunnel Tunnel interface
Virtual-Template Virtual Template interface
Virtual-TokenRing Virtual TokenRing
Unele router nu suporta interfete fast ethernet, caz in care in loc de comanda
interface fast Ethernet tebuie s& folositi interface ethernet:
{ Router (config) #interface ethernet 0
Router (config~if) #
Pe ficcare interfaga a unui router se pot crea sub-interfeje (interfete virtuale pentru
situagiile in care avem VLAN-uti). Dac routerul suport este Fast Ethernet, comanda va
fi int f0/0.1
Router (config-if)#interface ethernet 0.1
Router (config-subif) #
Nici in cazul routerului nu trebuie s& trecem cu vederea partea de securitate. Pentru
configurarea parolelor pentru modul de lucru utilizator se foloseste comanda line:
Router (config) #line?
<0-6> First Line number
aux Auxiliary line
console Primary terminal line
vey Virtual terminal
Se pot activa dou’ parole pentru modul de configurare global :
ff Routerfconfig
PRIVIRE GENERALA ASUPRA ROUT!
RELOR 137
Configuring from terminal, memory, or network [terminal] ?t
Enter configuration commands, one per line. End with CNTL/Z.
Router (config) tenable?
last-resort Define enable action if no TACACS servers
respond
password Assign the privileged level password
secret Assign the privileged level secret
use-tacacs Use TACACS to check enable passwords
Pentru modu! de lucru utilizator parola se va seta folosind comanda line :
Router (config) fline?
<0-6> First Line number
aux Auxiliary line
console Primary terminal line
vty Virtual terminal
aux - se foloseste pentru parola utilizator pentru portul auxiliar de configurarc
vty = seteazi o parol Telnet pentru conexiunea la router. Daci nu se scteazi 0
astfel de parol, telnetul nu poate fi folosit pentru conectarea la router ;
* console ~ seteazi parola pentru configurarea routerului de !a consol
Pentru configurarea parolei modului utilizator se alege linia dorita si optiunea login
sau no login, prin care va spune routerului cum s& se comporte la autentificare (cere sau
nu parola). .
Router (config) #line aux 0
Routex (config-line) flogin
Router (config-line) #password ...... (parola)
Pentru a seta parola consolei folosiji comanda line console 0.
Router (config) #line console?
<0-0> First Line number
Router (config) #line console 0
Router (config-line) #fpassword.... (parola)
Am ales line 0, pentru c& exist doar un port pentru configurare de la consol. Pentru
configurarea consolei exist citeva comenzi optionale care este bine s& nu fie trecute cu
vederea:
‘© Exec-timeout 0.0 ~ intervalul de timp cit se poate lucra de la consol
* Logging synchronous ~ inhibit afigarea mesajelor pop-up ale consolei in timp ce
lucrati.
Router(config)#line con 0
Router (config-line) fexec-timeout?
<0-35791> Timeout in minutes
138 PROIECTAREA RETELELOR DE CALCULATOARE
Router (config-line) #exec-timeout 0?
<0-2147483> Timeout in seconds
Router (config-line) texec-timeout 0 0 (lucru fara timeout)
Router (config-Line) #logging synchronous
Luind in calcul toate lucrurile rele ce se pot intimpla, vom seta si o parol pentru 0
sesiune Telnet. Se acceseaz% modul de lucru utilizator cu ajutorul comenzii line vty,
Pentru a vedea cite linii suport versiunea IOS de pe router, folositi line vty 0:
Router (config) #line vty 0?
<1-4> Last Line number
Router (config) #line vty 0 4
Router (config-line) #login
Router (config~line) fpassword.....
Daca incercati s v8 conectati prin Telnet la un router care nu are setat’ parol’ pentru
oastfel de conexiune, primiti un mesaj de avertizare in acest sens. Se poate trece de acest
neajuns folosind comanda no login, ceea ce va permite conexiune fari parole. Nu este
insa sigur! !! Parolele folosite pot fi criptate folosind service password-encryption:
Routerfconfig t
Enter configuration commands, one per line. End with CNTL/Z.
Router (config) #service password-encryption
Router (config) #enable password adim
Router (config) #line vty 0 197
Router (config-line) #login
Router (config-line) #password adim1
Router (config-line)#line con 0
Router (config-line) #login
Router (config-line) tpassword adim2
Router (config-line)#line aux 0
Router (config-line) #login
Router (config-line) password adim3
Router (config-line) #exit
Router (config) #no service password-encryption
Router (config) #*Z
%SYS-5-CONFIG_I: Configured from console by console
Routerfsh run
Current configuration:
'
version 12.0
service timestamps debug uptime
# service timestamps log uptime
no service password-encryption
PRIVIRE GENERALA ASUPRA ROUTERELOR 139
hostname Router
!
!
enable password 7 7C410¥9F
ip subnet-zero
!
interface Ethernet
no ip address
no ip directed-broadcast
shutdown
!
interface Serial
no ip address
no ip directed-broadcast
shutdown
interface Seriall
no ip address
no ip directed-broadcast
shutdown
line con 0
password 7 7N9W4L525D
login
line aux 0
password 7 7V7X8P910A
line vty 0 4
line vty 0 197
password 7 6X5S2Y5Q5d
login
Configurarea protocoalelor de rutare suportate de router se face folosind comanda
router :
Router (config) #router rip
Router (config-router) #
SA presupunem c& vrem si configuram data si ora de pe router:
Router#clock?
set Set the time and date
Routerficlock set?
hhimm:ss Current Time
Router#clock set 20:05:25 27 march 2003
140 PROIECTAREA RETE
OR DE CALCULATOARE
Router#show clock
20:05:25,526 UTC 25 July 2003
Comanda prin care se pot obtine principalele informatii despre un router este show
version. Pentru a vizualiza informatiile despre configurajia care ruleaz& pe router se
foloseste show running-conjig, iar pentru a vedea configuratia care se incare’ la pornirea
sa, comanda este show startup-conjig :
Router#sh run
Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
hostname Router
!
ip subnet-zero
interface Ethernet
no ip address
no ip directed-broadcast
shutdown
interface Serial0
no ip address
no ip directed-broadcast
shutdown
interface Seriall
no ip address
no ip directed-broadcast
Configuratia cu care starteaz% routerul poate fi stearsii cu ajutorul comenzii erase
startup-conjig :
Router#erase startup-config
Erasing the nvram filesystem will remove all files! Continue? [confirm]
Configuratia introdus% de ta prompt se salveazi in NVRAM folosind comanda copy
running-config, startup-config sau copy run start (la versiunile mai noi de 10S). Dack
sesiunile de lucru nu se finalizeazi cu aceast comand sau o alta care permite salvarea,
ati muncit degeaba !
PRIVIRE GENERALA ASUPRA ROUTERELOR, 14
Routerfcopy run start ~ in acest moment fisierul de configurare creat va fi plasat in
NVRAM de unde va fi folosit la urmatoarea bootare a routerului
Ca si in cazul switch-urilor, interfejele unui router se configureazi din modul global
Router (config) #interface?
Async Async interface
BVI Bridge~Group Virtual Interface
Dialer Dialer interface
Ethernet IEEE 802.3
Group-Asyne Async Group interface
Lex Lex interface
Loopback Loopback interface
Null Null interface
Port-channel Ethernet Channel of interfaces
Serial Serial
Tunnel Tunnel interface
virtual-Template Virtual Template interface
Virtual-TokenRing Virtual TokenRing
Router (con
g) tinterface
Observagi c&, spre deosebire de switch-uri, routerul are mai multe tipuri de interfere
in acest moment, pe noi ne intereseaz% doar cele seriate! si ethernet
Router (config) f#interface serial?
<0-1> Serial interface number
Comanda de mai sus indic& faptul ci acest model de router are dou’ interfete seriale.
Routex (config) #interface Ethernet?
Ethernet interface number
Comanda de mai sus indic& faptul ci routerul folosit are o singura interfagi Ethernet.
Se cuvine s% facem o precizare Iegatt de notatia interfetelor. in cazul routerelor mici
(seriile mici), num&rul interfefei este format dintr-o singur& cif. La modelele mai
complexe, numtrul interfejei este aleituit din numfrul slotului in care este montati
cartela, un slash urmat apoi de numérul portului de pe cartel&?.
Pentru routerele care suporti si sloturi, comanda de configurare a interfefci este
similar cu cea a switeh-urilor: interface . Dup’
configurare, interfefele trebuie activate pentru a deveni operationale. Activarea/dezacti-
varca unei interfete se face cu ajutorul comenzilor shutdown/no shutdown. Dact o
interfati este dezactivati, acest lucru va fi afisat daca folositi comanda show interface. La
pornirea unui router, interfetele sint implicit dezactivate.
1. Interfetele seriale sint folosite pentru a conecta routerele intre ele pe distante scurte
De exemplu, portu! Ethernet 3 de pe cartela montata in slotul doi va fi numerotat E2/3, Pentew
detalii legate de interfetele fiectrui modet de router, vizitayi wwwecisco.com/univercdfechd/dac!
peat
142 PROIECTAREA RETELELOR DE CALCULATOARE
Routerfsh int e0
Ethernet0 is administratively down, line protocol is down
Hardware is Lance, address is 0010.7b81.65e9(bia 0010.
7b81.65e9)
Description:
Internet address is 0.0.0.0
MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec, rely 252/
255, load 1/255
Encapsulation ARPA, loopback not set, keepalive set (10 sec)
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output 02:11:34, output hang never
Last clearing of "show interface" counters never
Queueing strategy: fifo
Output queue 0/40, 0 drops; input queue 0/75, 0 drops
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
Activarea interfetei :
Router (config-if) tno shutdown
%LINEPROTO-5-UPDOWN: Line protecol on Interface Ethernet0,
changed state to up
SLINK-3-UPDOW Interface Ethernet0, changed state to up
Router (config-if) #exit
Router (config) texit
Router#sh int e0
Ethernet0 is up, line protocol is up
Hardware is Lance, address is 0010.7b81.65e9(bia 0010.
7b81.65e9)
Description:
Internet address is 0.0.0.0
MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec, rely 252/
255, load 1/255
Encapsulation ARPA, loopback not set, keepalive set (10 sec)
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output 02:11:34, output hang never
Last clearing of "show interface" counters never
Queueing strategy: fifo
Output queue 0/40, 0 drops; input queue 0/75, 0 drop
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
Router (config}#int e0
PRIVIRE GENERALA ASUPRA ROUTERELOR 143
Nu uitaji deci s& activati fiecare imerfagé care doriti si fie activi pe routerul
administrat. $4 lum ca exemplu o interfayi cu adresa 172.16.10.1/24:
Router (config) #int e0
Router (config-if)#ip address 172.16.10.2 255.255.255.0
f] Router (config-if)#no shut
Spuneam mai devreme cd routerul are si interfefe seriale. Pentru aceste interfeye
tebuie configurati conexiunea DCE (am mentionat deja ce inseamné acest lucru) :
Router (config)# int sO
Router (config-if) #clock rate?
Speed(bits per second)
1200
2400
4800
9600
19200
38400
56000
64000
72000
125000
148000
250000
500000
800000
1000000
1300000
2000000
4000000
<300-8000000> Choose clockrate from list above
Daca interfaja respectiva nu are conexiune la DCE, veti objine un mesaj de eroare.
De ce trebuie configurate totusi aceste interfete (Iatimea de band’)? Lasimea de banda
de pe intefetele seriale este folosit4 de ctre protocoalele de rutare (GRP, EIGRP, OSPF)
pentru a calcula cel mai bun transport catre un host din rejea. In cazul protocolului RIP
(mai bitrin), Lijimea de banda a unei astfel de interfee nu prezint’ importanga.
Router (config-if) #bandwidth?
<1-10000000> Bandwidth in kilobits
Router (config-if) #bandwidth 64
144 PROIECTAREA RETELELOR DE CALCULATOARE
11.10. Studiu de caz
Din vechea diagram mai trebuie configurati rutarea intre serverele din cele dows
VLAN-uri. Dar pind acolo trebuie si vedem de ce mai este nevoie.
Router A si router B sint conectate intre ele printr-o legitura serial’. Sw_Stud4 se
conecteaz’ la r B prin interfata Fast Fthernet 0/26, iar conectarea serverului
studenti se face prin interfata Ethernet 0/1. Acest server face parte din reteaua
172.16.20.0/24.
Pornim la lucru incepind cu Router A cu mentiunea ci se conecteaza la dou rejele:
172.16.10.0/24 (din exemplul precedent) si 172. 16.20.0/24.
vom configura patolele de acces si interfejele.
Router>enable
Routerficonfig t
Router (config) thostname Router _A
Rovter_A(config) tenable secret adim
Router A(config)#line console 0
Router_A(config-line) flogin
Router _A(config-line) #password adim
Router A(config-line)#line aux 0
Router_A(config-line) #login
Router_A(config-line) #password adim
Router_A(config-line)#line vty 0 4
Router_A(config-line) #login
Router _A(config-line)#password adim
Router _A(config-line) finterface etherneto
Router_A(config-if)#ip address 172.16.10.1 255.255.255.0
Router_A(config-if)#description Conectare la reteaua 10
Router _A(config-if)#no shutdown
Router_A(config-if)#interface serial0
Router A(config-if)#ip address 172.16.20.1 255.255.255.0
Router_A(config-if) #description Conectare la routerul Router_B
Router_A(config-if)#no shutdown
Router_A(config-if) #exit
Routerul A este conectat la rejelele 172.16.10.0 si 172.16.20.0, Pentru fiecare dintre
refelele care nu sint conectate direct la acest router ar trebui configurat’ o rutt.
Observaii din schema ci urmatorul hop va fi intotdeauna 172.16.20.1, adic& routerul
B. Pentru a configura rutele statice se va folosi comanda ip route.
Router_A(config)#ip route 172,16.10.0 255.255.255.0
172.16.20.1
PRIVIRE GENERALA ASUPRA ROUTERELOR 145
= Router A Server_Studenti
SW_Stud1
BR
Te
SW_Stud: ova
‘SW_stud3
=|
=
|
Mall_Server
Figura 11.10.1. Diagrami de rejea
Pentrv a vizualiza rutele introduse se apeleazi comanda show ip route
Router_Afsh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M -
mobile, B - BGP
D - EIGRP, EX - BIGRP external, 0 ~ OSPF, IA - OSPF
inter area
Nl - OSPF NSSA external type 1, N2 - OSPF NSSA
external type 2
El - OSPF external type 1, £2 - OSPF external type
2,8 - EGP
i - IS-IS, Ll - IS-IS level-1, L2.- IS-IS levei-2,
- candidate default
~ per-user static route, o - ODR
a +e.
Gateway of last resort is not set
172.16.0.0/24 is subnetted, 2 subnets
146 PROIECTAREA RETELELOR DE CALCULATOARE
172.16.20.0 is directly connected. Serial0
172.16.10.0 [1/0] via 172.16.20.1.
172,16.10.0 is directly connected. Ethernet0
soncyaes
awa
Daca rejeaua este mare, varianta rutelor statice nu mai reprezint& solutia optima. Se
apeleazi Ja varianta rutelor implicite (default). Default route diferi de configurarea
default gateway-ul de pe o statie, deoarece routerul insusi este un gateway. Ceea ce poate
fi configurat in acest caz pe un router se numeste Gateway of Last Resort, ceea ce
inscamna cA daca un pachet are ca destinatie o retea care nu apare in tabela de rutare, va
fi transmis catre o destinatie implicit’.
Dupi cum se vede din schem4, routerele noastre primesc informagii dintr-o rejea si
trebuie si le transmita c&tre o alta, Este o situafie tipicd de configurare a unor astfel de
rute. Pentru aceasta, mai intii trebuie sterse rutele introduse (no ip route). Pentru
Router_A ruta implicit% (default) este citre Router_B :
Router_A(config)#no ip route 172.16.10.0 255.255.255.0
172.16.20.1
Router_A(config) #exit
Router_Afsh ip route
Codes: C - connected, S - static, I - IGRP, R ~ RIP, M -
mobile, B ~ BGP
D - EIGRP, EX - EIGRP external, 0 - OSPF, IA - OSPF
inter area
Nl - OSPF NSSA external type 1, N2 - OSPF NSSA
external type 2
Fl - OSPF external type 1, E2 ~ OSPF external type 2,
4
H E - GP
d i - IS-IS, Ll - IS-I8 level-1, L2 - I8-I$ level-2,
* - candidate default
U - per-user static route, o - ODR
Gateway of last resort is not set
172.16.0.0/24 is subnetted, 2 subnets
(co 172.16.20.0 is directly connected. Seriald
ic: 172.26.10.0 is directly connected. EthernetO
Router_A(config)#ip route 0.0.0.0 0.0.0.0 172.16.20.1
Router_A(config) #ip classless
Router_A(config) fexit
Router _Afish ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M -
mobile, B - BGP
D - EIGRP, EX ~ EIGRP external, 0 - OSPF, IA ~ OSPF
inter area
"SASSER ORR SEN RTI
PRIVIRE GENERALA ASUPRA ROUTERELOR 147
Ni - OSPF NSSA external type 1, N2 - OSPF NSSA
external type 2
Bl ~ OSPF external type 1, E2 - OSPF external type
2, BE - EGP
i - IS-IS, Ll - IS-IS level-1, L2 - IS-IS level-2,
* - candidate default
U - per-user static route, o - ODR
Gateway of last resort is 172.16.20.1 to network 0.0.0.0
172.16.0.0/24 is subnetted, 2 subnets
c 172.16.20.0 is directly connected. Serial0
c 172.16.10.0 is directly connected. Bthernetd
s* 0.0.0.0 [1/0] via 172.16.20.1
Router_A¢
in comanda ip route am folosit numai zero pentru numarul refelei si subnet mask
pentru a scoate in eviden{i c4 este vorba de toate refelele si toate subnet mask-urile.
Comanda ip classless spune routerului si nu distrug’ pachetele recepjionate, ci s& le
transmita cAtre ruta implicit’.
Vom configura acum rutarea dinamica cu ajutorul protocoalelor pentru rutare. Pentru
inceput vom apela la RIP, nu inainte de a sterge rutele implicite create anterior :
Router_A(config)#no ip route 0.0.0.0 0.0.0.0 172.16.20.2
Router_A(config)# router rip
Router_A(config~router) #network 172.16.0.0
Dac& se doreste configurarea IGRP (situatia in care refeaua este mai complex), se
procedeaz4 aproape similar, cu mengiunea cA routerele trebuie s& facd parte din cadrul
aceluiasi sistem autonom (in cazul nostru vorn folosi 10). Mai intii trebuie s& stergeti
routarea cu RIP (no router rip):
Router_A(config)#router igrp 10
Router _A(config-router) #network 172.16.0.0
Router_A(config-router) exit
Ne mut&m la routeru! B din schema noastr’. Multe dintre configurari sint identice.
Diferenja apare in cazul interfefei seriale unde trebuie configurata conexiunea DCE:
Router>enable
Routerfconfig t
Router (config) thostname Router_B
Router_B (config) #enable secret adim
Router_B(config)#line console 0
Router_B(config-line) #login
Router_B(config-line) #password adim
148 PROIECTAREA RETELELOR DE CALCULATOARE
Router_B(config-line)f#line aux 0
Router_B(config-line) #login
Router _B(config-line) tpassword adim
Router _B(config-line)fline vty 0 4
Router_B(config-line) #login
Router B(config-line) password adim
Router _B(config-line) finterface ethernet0
Router _B(config-if)#ip address 172.16.30.1 255.255.255.0
Router _B(config-if) #description Conectare la reteaua 30
Router _B(config-if} #no shutdown
Router _B(config-if)#interface serialo
Router B{config-if)#ip address 172.16.20.2 255.255.255.0
)f#description Conectare la routerul
Router_B(config-
Router_A
Router _B(config-if) #no shutdown
Router_B(config-if)#clock rate 64000
Router_B(config-if) texit
Router_B(config)#router igrp 10
Router _B(config-router) #network 172.16.0.0
Vom vizualiza rutele si protocoalele care ruleaz% pe cele dow’ routere. Pentru routerul B :
Router_B#sh ip route
Codes: C - connected, $ ~ static, I - IGRP, R - RIP, M -
mobile, B - BGP
D - EIGRP, EX - EIGRP external, 0 - OSPF, IA - OSPF
inter area
NI - OSPF NSSA external type
external type 2
El - OSPF external type 1, B2 - OSPF external type
2, EB ~ EGP
i - IS-IS, Ll - IS-IS level-1, L2 - IS-IS level-2,
* - candidate default
U - per-user static route, o - ODR
N2 - OSPF NSSA
Gateway of last resort is not set
172.16.0.0/24 is subnetted, 3 subnets
172.16.30.0 is directly connected. Ethernetd
172.16.20.0 is directly connected. Serialo
I 172.16.10,0 [100/1] via 172.16.20.1.
00:00:18. Seriald
ao
Router_B¥sh ip protocols
Routing Protocol is “igrp 10”
PRIVIRE GENERALA ASUPRA ROUTERELOR 149
Sending updates every 90 seconds, next due in 37 seconds
Invalid after 270 seconds, hold down 280, flushed after 630
Outgoing update filter list for all interfaces is
Incoming update filter list for all interfaces is
Default networks flagged in outgoing updates
Default networks accepted from incoming updates
IGRP metric weight K1=1, K2=0, K3=1, K4=0, K5=0
IGRP maximum hopcount 100
IGRP maximum metric variance 1
Redistributing: igrp 10
Default version control: send version 1, receive any
version
Interface Send Recv Key-chain
Ethernet0 1 a
Serialo 1 12
Routing for Networks:
172.16.0.0
Routing Information Sources:
Gateway Distance Last Update
172.16.20.1 100 00:00:21
Distance: (default is 100)
Pentru routerul A:
Router_Afsh ip route
Codes: C - connected, $ - static, I - IGRP, R - RIP, M -
mobile, B ~ BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF
inter area
N1 ~ OSPF NSSA external type 1, N2 ~ OSPF NSSA
external type 2
El - OSPF external type 1, E2 - OSPF external type
2, B ~ EGP
i - IS-IS, Ll - IS-IS level-1, L2 - IS-IS level-2,
* - candidate default
U - per-user static route, o - ODR
Gateway of last resort is not set
172.16.0.0/24 is subnetted, 3 subnets
I 172.16.30.0 [100/1}] via 172.16.20.2.
00:00:18. Seriald
c 172.16.20.0 is directly connected. Serial0
c 172.16.10.0 is directly connected. Ethernet
Router_A#sh ip protocols
iso PROIECTAREA RETELELOR DE CALCULATOARE
Routing Protocol is “igrp 10"
Sending updates every 90 seconds, next due in 37 seconds
Invalid after 270 seconds, hold down 280, flushed after 630
Outgoing update filter list for all interfaces is
Incoming update filter list for all interfaces is
Default networks flagged in outgoing updates
Default networks accepted from incoming updates
IGRP metric weight Ki=1, K2=0, K3=1, K4=0, K5=0
IGRP maximum hopcount 100
IGRP maximum metric variance 1
Redistributing: igrp 10
Default version control: send version 1, receive any version
PESADOS
if
ee
u Interface Send Recv Key-chain
2 Ethernet i 12
i Serial 1 12
# = Routing for Networks:
: 172.16.0.0
Routing Information Sources:
i Gateway Distance Last Update
: 172.16.20.2 100 00:00:21
‘ Distance: (default is 100)
Ce ar mai fi de cut? Destul de multe. Nu ne-am propus si le rezolvam chiar pe
toate, aga cd vom mai trata doar dowa subiecte : cum se pot crea tabele cu host-uri pe un
router gi listele pentru controlul accesului.
Aji observat c&, in practic’, de multe ori folositi numele calculatorului, si nu adresa
sa IP, Este mult mai comod. Acelasi lucru este valabil si in cazul routerelor. Acestea
trebuie ins si fie capabile s transforme numele dispozitivului intr-o adres IP.
O tabela cu host-uri rezolv4 aceast problema doar pe routerul pe.care a fost creat!
‘Vom exemplifica o asifel de situatie pentru routerul B si switch-ul SW_Stud4: cum purem
rezolva aceste nume de pe Router A, Comanda folositi este ip host :
Router_A(config)#ip host router _B?
<0-65535> Default telnet port number
A.B.C.D Host IP address (maximum of 8)
Router_A(config)#ip host router _B 172.16.20.2
Router_A(config)#ip host SH_Stud4 172.16.30.2
Router A(config)#exit
Router_A#sh host
Default domain is not set
Name/address lookup uses domain service
Name servers are 255.255.255.255
Host Flags Age Type Address(es)
PRIVIRE GENERALA ASUPRA ROUTERELOR 1st
sw stud4 (perm, OK) 0 IP 172.16.30.2
router b (perm, OK) 0 IP 172.16.20.2
in acest moment ne putem conecta de pe routerul A pe B doar tastind numele
routerului la prompt (acum va dati seama de ce este bine s& avem parole setate pentru
fiecare tip de conexiune) :
Router _Afrouter_b
Trying 172.16.20.2 ... Open
Router _A#SwW_Stud4
Trying 172.16.30.2 ...
Catalyst 1900 Management Console
Copyright (c) Cisco Systems, Inc, 1993-1999
All rights reserved.
Enterprise Edition Software
Ethernet Address: 00-30-80-C7-BE-CO
PCA Number: 73-3122-04
PCA Serial Number: FABO33723WI
Model Number: WS-C1912-A
System Serial Number: FABO338S10A
APQO32404SA
FABO33723WJ, 73-3122-04
Power Supply S/
PCB Serial Number
1 user(s) now active on Management Console.
User Interface Menu
[M] Menus
{K] Command Line
Enter Selection:
Enter password:
Daca doriti s& renuntati la tabele, folositi comanda no ip host.
© problema spinoast cu care se confrunt’ administratorii de reea o reprezint&
traficul mai putin dorit in rejeaua lor.
Routerele ofera facilitlji de filtrare a traficului prin intermediul Jistelor pentru
controlul accesului (Access Control Lists - ACL!). Aceste liste nu reprezint& altceva decit
1. Pentru mai multe detalii vizitagi hip : //www.cisco.com/univercd/ce/td/doc/product/software/
iosll3ed/113ed_cr/secur_c/scpri3/scacls.htm.
152 PROLECTAREA RETELELOR DE CALCULATOARE
un set de instructiuni secventiale care se aplict interfe(elor routerului. Instructiunile
respective indic& routerului care sint pachetele pe care trebuie si le accepte si pe care nu.
Cum subiectul este destu! de vast, in rindurile urmatoare vi vom oferi doar elementele
care si vA orienteze in continuare.
Ca regula general, ACL-urile se creeaz& pentru fiecare protocol care se doreste a fi
filtrat prin intermediul routerului: se specific’ protocolul, se asociazé un num&r de
identificare a listei si se definesc criteriile care se aplicd in filtrarea pachetelor.
Iniervalul 1-99 identified listele standard, iar intervalul 100-199 fistele extinse.
ACLe-urile standard sint cele care verificd adresa sursi a pachetului (motiv pentru care
trebuie create pe routerul cel mai apropiat de refeaua destinatie) in timp ce ACL-urile
extinse verificd atit adresa sursi, cit si pe cea destinatic.
in exemplul nostru, vom bloca accesul serverului Studenti in reteaua 172.16.10.0,
dar vom permite accesul catre aceasti retea oric&rui alt calculator. Pentru aceasta, ne
vom conecta la routerul cel mai apropiat de rejeaua destinatari, Router_A, pe care vom
crea o lista standard :
Router_A(config)#access-list 10 deny host 172.16.30.10
Router_A(config) #taccess-list 10 permit any
Lista astfel creaté trebuie asociatd unei interfete. in cazul nostru este vorba de
interfaga serial SO:
Router_A(config)#interface serial 0
Router _A(config-if)#ip access-group 10 in
fn acest moment, dact vom folosi comanda ping pe serverul Studenti, vom observa
c& nici unul dintre celelalte servere nu mai raspunde.
‘S& prespunem acum c& dorim si bloc&m accesul Ia serverul de mail (telnet) din
rejeava 172.16.30.0. Pentru aceasta, pe acelasi router vom crea o list’ extinsé, dup% ce
in prealabil stergem lista creati anterior:
Router_A(config)#no access-list 10
Router_A(config) #interface serial 0/0
Router _A(config-if)#no ip access-group 10 in
Router_A(config) #access-list 101 deny tcp host 172.16.30.10
172.16.10.0 0.0.0.255 eq telnet
Router_A(config)#access-list 101 permit ip any any
Router_A(config)#int fast 0/0
Router _A(config-if)#ip access-group 101 out
Pentru detalii privind acest subiect nu ezitati sA vizitati hup : //www.cisco.com/univercd/
cc/td/doc/product/software/ios l13ed/I13ed_cr/secur_c/scprt3/scacls. htm#xtocid2689513.
CAPITOLUL 12
Proiectarea si administrarea retelelor
Proiectarea rejelelor inseamn& intotdeauna mai mult decit conectarea a doua sau mai
multe calculatoare intre ele. Prima ctap’ a oricdrui astfel de proiect! consti in stabilirea
unor obiective, specifice fiecarei organizatii in parte. Chiar daca avem in vedere specificul
firmei, cind proiecttm o rejea, trebuie si yinem cont de :
+ Funcfionalitate: rejeaua trebuic si functioneze optim.
* Scalabilitate: reteaua trebuie si ofere posibilititi de dezvoltare ulterioara,
* Adaptabilitate : rejeaua trebuie dezvoltatd astfel incit si nu includ4 elemente care
fi vor restrictiona dezvolt&rile ulterioare.
* Gestionare: rejeaua trebuie dezvoltat’ astfel incit si permitd monitorizarea.
in functie de situatia de pe teren exist’ dou cazuri : proiectare si reproiectare. Cea
dea doua variant este de cele mai multe ori si cea mai dificil. Ne propunem in cele ce
urmeazi doar o scurtd inijiere in ceea ce inseamna un proiect de rejea, din mai multe motive.
in primul rind, trebuie s tinem cont de punctul de vedere al utilizatorilor care isi
doresc o rejea fark intirzieri, frX constringeri legate de protocoale sau medii de
transmisie, rd erori, cit mai portabila si usor de utilizat. in realitate ins proiectantul
se loveste de limitirile tehnologiilor existente, de bugetul de care dispune firma, de
aplicatiile care ruleazi in firma etc.
12.1. Proiectarea structurata a unei retele
de calculatoare*
Literatura de specialitate? recomandi un model ierarhic pe trei niveluri in baza ciritia si
fie proiectate topologiile rejelelor. Acesta este modelul traditional folosit in proiectarea
rejelelor :
* Niveluf central (Core):
1. Vezi si Oprea D., Managementu! profectelor. Teorie si cazuri practice, Tal, Sedcom Libris, Ja
2. Detalii privind particularitttile proiectarii ta adresa hp : //www.cisca.comiunivered/eciul/doe?
cisintwk/idg/index. htm
3, Ne referim mai ales la publica(ile Cisco Systems Inc, Bay Networks, Nertell. Pot fi luate in ealeut
si modele care au in vedere in primul rind securitatea retelei
tsa PROLECTAREA RE’
FLELOR DE CALCULATOARE
* Nivelul distributie (Distribution) ;
+ Nivelul acces (Access),
Nivelul central reprezinti coloana vertebrala a viitoarei retele (backbone-ul). Dup&
cum ii spune gi numele, trebuie s& fie nivelul cu capacitatea cea mai rapid’ de adaptare
la schimbéiri si si detin’ componente redundante. Viteza de comutare a pachetelor este
criticd: pe routerele instalate la acest nivel nu se vor efectua filirari de pachete. Latenta
lrebute 83 fie cit mai mic’.
BS WAN f 2
Nivehul Central > Backbone
Nivelul Distributie
Nivelul Acces 4 ay
Figura 12.1.1, Modelul icrarhic de proiectare a unci re{cle
hup : /www.cisco.com/univercd/ccitd/doc/ cisintwk/idg 4/index. htm)
Pentru firmele care doresc conexiuni la filiale prin intermediul extra sau Internetului,
acest nivel trebuie si includ’, in mod obligatoriu, una sau mai multe legéturi spre
exterior. Administratorii de la nivel central trebuie si descurajeze realizarea in filiale a
propriilor conexiuni (este softul celor de la Cisco), Motivul? Centralizarea acestor
functii reduce problemele legate de rutare si securitate,
PROIECTAREA $1 ADMINISTRAREA RETELELOR 155
Nivelut distributie are rotul de a controla accesul 1a resurse (securitatea rejelei),
traficul refelei si domeniile de broadcast. in cazul in care se apeleaza la solutia VLAN-urilor,
acest nivel va realiza rutarea intre rejelele virtuale.
Pentru a creste performantele protocoalelor pentru rutare, pe routerele din cadrul
acestui nivel pot fi introduse rutele de Ja nivelul acces sau, daca este nevoie, rutele
implicite c&itre nivelul acces.
Tot acest nivel poate s& ofere suport pentru NAT (nerwork address translation), astfel
incit dispozitivile de la nivelul acces s& poaté folosi adrese IP private.
Nivelul acces este cel care ofer& utilizatorilor acces la segmentu! local al rejelei. Este
posibil s& fie incluse routere chiar si la acest nivel.
Pina acum citiva ani, cind se punea problema proiect&rii unei rejele, se spunea c&
trebuie respectatd regula 80-20: 80% din traficul unei rejele este intern si doar 20%
trebuie rutat c&tre exterior. Astizi, aceast reguld nu mai este respectat’, in principal
datorit& aplicatiilor folosite in firme.
Caracterizarea refelei existente
Nu putem proiecta o refea fark a sti care este situafia de fapt de pe teren. Altfel spus,
proiectarea unei rejele trebuic si respecte principiile generale ale proiectirii structurate.
Prin urmare, inceputul este dat de etapa de analiza! Ce aspecte intereseaza? La aceasta
intrebare vom rispunde in continuare. Un proiect de refea are la baz% cerintele utili-
zatorilor $i tehnologiile existente la un moment dat. Nu avem pretentia c& cele prezentate
in continuare acoper’ toate aspectele ce intereseazd intr-un astfel de proiect. Lista
reprezint& doar un punct de plecare ce poate fi dezvoltat in funcie de caracteristicile si
obiectivele firmei,
1, Identificarea aplicasiilor care ruteazd in rejea
Rejeaua va fi cea care va oferi suport pentru aplicatiile utilizatorilor, si nu invers. Acest
lucru inseamna ca toate aplicatiile care ruleazd sau vor rula in firma trebuie s& fie
documentate. Fiecare aplicafie are propriile sale cerinje legate de trafic si circuitul
informatiilor, Este primul si cel mai important pas in proiectarea unci refele.
Tabelul 12.1.1, Inventarul aplicatiilor care ruleazA in rejea
Denumirea Numirul de Segmental :
aplicatiet Tipul utilizatori de refea | Comentarii
Se completeazi | Se precizeaz | Numirul de |Numrul de ser- | Pe care seg-
cu denumirea } dacheste vorba |utilizatori | vere pe care | ment de
fiectrei aplica- | de o bazXde | care lucreaza | ruleazi aplicatia | rejea ruleazit
fii care ruleazd | date, aplicajie [cu respec- | sihosturile | aplicatia res-
in rejea pentru grupuri | tiva aplicatie | care 0 acceseaza | pectiv’
de lucru,
intranet etc.
Informatiile culese in aceastl faz v4 ajut s4 injelegeti viitorul trafic al rejelei. Dack
stiji care este echipamentul surs% si destinajie, veti identifica si modul cum circul&
156 PROIECTAREA RETELELOR DE CALCULATOARE.
informatiile intre acestea (spre exemplu, dac& este vorba de un client si un server Web,
trebuie s& aveti in vedere gi protocolul folosit).
2. Protocoalele care ruleazd in rejea
Dup’ cum spuneam gi mai sus, o dati cu identificarea aplicatiilor trebuie s& aver in
vedere si protocoalele care sprijink acele aplicafii
Tabelul 12.1.2, Inventarul protocoalelor care ruleazi in rejea
Tipul Numarul de Numarul de .
Protocol! | protocolului utilizatori servere/hosteuri_| Comentarii
Se compleieaza | Se precizeaza | Numarul de utiliza: | Numaral de
cu denumirea fie-| dacd este vorba | tori eare lucreaai | servere gi host-uri
clrui protocol |de un protocol | cu respectivul pro- | care ruleazt
care ruleaza in | rutabil, nerutabi, | tocol protocotul
rejea pentru rutare ete,
3. Documentarea rejelei
fn aceast& etap3 trebuie objinute informafii cit mai detaliate despre topologia rejelei si
schema de adresare folosit’.
Existenja unei documentatii a refelei (chiar si o schema) este punctul de pornire
pentru viitorul proiect. in lipsa unui astfel de instrument nu va rimine decit s& creati o
hart& a actualei rejele si si o documentaji. Schema rejelei trebuie si includ’ atit
componenta logick (cum sint conectate dispozitivele intre ele), cit si pe cea fizict
(descrierea dispozitivelor, adresele folosite etc.). Cind dezvoltati o astfel de schema,
sineji cont de urmitoarele aspecte :
* Trebuie reprezentate toate segmentele refelei, chiar si cele mai simple.
* Toate segmentele de rejea trebuie si aib% asociati o topologie si o tebnologie.
* Schema de adresare folosit’, maniera de alocare a adreselor (static, dinamic,
NAT).
4. Identificarea constringerilor proiectului
Pentru a asigura reusita proiectului este nevoie si infelegem obiectivele firmei. Cisco!
pune la dispozitia proiectantilor o list de control pentru a verifica daca s-au obfinut toate
informajiile prin care pot fi identificate constringerile firmei :
Structura organizatorici a firmei
Circuitul informajiilor.
Datele gi activitaile considerate critice.
Politicile cu privire la furnizorii de solujii hard si soft,
Distribuirea autorizatiilor cu privire la achizitionarea/implementarea solutiilor.
Experienja clientului.
Politicile firmei care pot afecta proiectul.
1, CCDA Exam Certification Guide.
PROIECTAREA $I ADMINISTRAREA RETELELOR 1897
5. Caracteristicile actuale ale rejelei
O caracteristict important a rejelei o reprezinta timpul cit aceasta nu este functionabili.
8% ne gindim ce ar insemna acest lucru pentru o agentie de stiri? Prin urmare, culegersa
de date statistice despre modut de functionare a retelei este un mijloc prin care puteti
caracteriza situatia actuald ;
* Ce segmente de refea sint considerate critice ?
Care este timpui mediu de nefunctionare a refelei intr-0 7
Care sint motivele nefunctionarii?
Care sint pierderile datorate nefunctiona
i/lund ?
i?
Raspunzind Ja aceste intrebari vom putea identifica mai ugor cerinjele legate de
redundanta unor seginente de retea si de costurile implicate. De asemenea, trebuie sk
avem in vedere performanjele: timpul de raspuns intre dou% calculatoare, dispozitive
sau aplicatii. Ne intereseazd acest aspect pentru a putea compara timpii de réspuns
actuali cu cei obtinuti dup’ reproiectare.
Tot in aceasti fazii, ne intereseazi gradul de utilizare a refelei gi siguranta acesteia
Pentru aceasta este nevoie de injelegerea cit mai exact a traficului pentru a capta si
analiza date relevante. Este una dintre ctapele consumatoare de timp, deoarece
documentarea si infelegerea traficului fiecirui segment de rejea, fark a afecta
productivitatea acesteia, poate si dureze. Pe de alt parte, trebuie s& faceti apel la
aplicatii specializate de genul analizoarelor de trafic sau pentru protocoale. Infor-
matiile culese vizcazi :
© Numarul total de MB transmisi pe un segment.
Numarul de cadre.
Numfrul de erori.
Numirul de coliziuni aparute
Numirul de cadre broadcast sau multicast.
Pentru a caracteriza gradul de siguranji a traficului rejelei, CISCO recomanda
documentarea aspectelor mentionate anterior.
Trebuie si mai verificati:
1. dact exist’ segmente Ethernet saturate de trafic (maxim 40% utilizare) ;
2. daci pe un segment exist mai mult de 20% trafie broadcast sau multicast ;
3. pe un segment sti nu existe mai mult de o croare CRC la un milion de bytes ;
4, pe un segment si nu existe mai mult de 0.1% pachete in colizi
Analiza cerintelor!
fn acest moment, ar trebui s% stim care este situatia de pe teren gi si putem decide care
sint noile cerinje legate de proiectare. Pentru aceasta vom face apel tot la CISCO, care
ne pune la dispozitie o list de control cu pasii care trebuie urmati pentru a organiza cit
mai bine proiectul.
1. Vezi si P. Oppenheimer, Top-Down Network Design, Cisco Press, 1999.
158 PROIECTAREA RETELELOR DE CALCULATOARE.
1. Consiringeri de natura economica
Ne relecim aici in primul rind la injelegerea mediului in care isi desfisoara firma
activitatea si la bugetul alocat unui astfel de proiect. Pentru ca proiectul si aib% succes,
sint necesare discutii cu persoana care controleaz bugetul.
‘Trebuie identificate cu exactitate resursele disponibile, gradul de instruire a utili-
zatorilor si data a care reteaua trebuie dati in folosiny’
2. Cerinfe legate de securitate
Daca proiectarea are la baz un model structurat, trebuie precizat gradul de securitate
dorit in rejea si maniera de implementare a politicilor de securitate : firewall, liste pentru
controlul accesului etc.'. Trebuie avut in vedere modul in care se vor realiza autentificarea
utilizatorilor si drepturile de acces ale acestora, Acest Iucru presupune cunoasterea
exact a resurselor sistemului si a manierei de utilizare a acestora (cine, ce, cind, cum).
4. Cerinje legate de administrare
Un prim aspect ce intereseaza il reprezinta toleranta la cideri. in caz de nefunctionare a
rejelei, administratorul este principalul raspunzator. El trebuie s% poati administra eft
nai bine contiguratiile echipamentelor care functioneazi in rejea precum si performantele
dorite. Administratorul trebuie s& fie capabil s& identifice, s& izoleze si s& corecteze
problemele intr-un timp cit mai scurt.
Aspectul cel mai important legat de administrare se refera la scalabilitatea? retelei.
Din acest punct de vedere, administratorul este interesat de urmitoarele aspecte :
+ Numérul de servere si stafii ce vor fi addugate in rejea.
* Numérul de utilizatori care vor folosi resursele retelei.
+ Numérul de segmente independente de rejea ce vor trebui interconectate.
Aceastd prognoza trebuie sa acopere o perioad’ de minimum 2 ani.
4. Cerinje legate de aplicatii
Aplicatiile specifice utilizatorilor care vor rula tn rejea trebuie identificate si clasificate
dup4 cum urmeazi :
© Postd electronica ;
+ Acces la fisiere si imprimante ;
+ Aplicajii pentru grupuri de lucru ;
+ Transfer de figiere ;
* Acces la baze de date;
« Videoconferinge ;
+ Comer, electronic;
+ Proiectare asistati de calculator ;
eee
* Controlul proceselor tehnologice etc.
1, Asa, dupé cum existd certificate in domeniul rejelelor, bazelor de date sau program&rii, pentru cet
care doresc s& se specializeze pe partea de securitate a unui sistem se poate objine o certificare
internationala: CISSP (Computer Information System Security Professional). Vezi si www.cissp.
vom,
2. Scala
acest
ilitatea se refers 1a capacitatea de dezvoltare a rejelei fri a fi nevoie de reproiectarea
a
PROIECTAREA $! ADMINISTRAREA RETELELOR 159
Trebuie avute in vedere si aplicagiile denumite de sister :
* Autentificarea utilizatorilor ;
Instalarea si configurarea stagiilor de lucru de la distanga ;
Realizarea copiilor de siguranta in retea ;
Distribujia de software ;
Managementul rejclei.
5. Ceringe legate de trafic
De multe ori, cind se proiecteazi o rejea, nu exist’ specificafii cu privire la performantele
pe care trebuie si le ating’ reteaua dupa ce aceasta devine functional’. Dact utilizatorii
igi pot desfasura activitatea, cotul este in regula. Pe de alta parte, existé situafii tn care
se impun anumite cerinje si proiectantii nu stiu cum sa le satisfacd.
Tata care sint principalele elemente care trebuie specificate in orice proicct :
« Latimea de banda dorit& ;
Gradul maxim de utilizare a refelei;
Gradul optim de utilizare a retelei ;
Randamentul refelei (throughput-ul) ;
Acuratejea traficului ;
Latenta ;
Timpul de raspuns
rformante
formange
Gradul de utilizare a reselei este exprimat de cele mai multe ori ca procent din lajimea
de band’ a acesteia. in baza cercetarilor cute de cltre IEEE, se consider ca in retelele
Ethernet care folosesc medii partajate, gradul mediu de utilizare nu trebuie st deptseasct
37% din lasimea disponibila. Peste aceasta valoare se considera c& rata coliziunilor nu
mai poate fi acceptata. Pentru refele FDDI, procentul acceptat este de 70%
Pentru multi utilizatori, indicatorul cel mai la indemina este timpul de raspuns.
Afirmagii de genul ,rejeaua merge greu” se aud in mod frecvent. Cind pentru o aplicagie
banala acest timp este mai mare de 100 ms, inseamn& ci in rejea sint probleme. Aceast&
valoare se aplicd in general aplicafiilor interactive. Pentru transferul de fisiere cu
dimensiuni impresionante sau pagini Web cu grafic in exces, acest timp poate s4 ajung4
pina la citeva zeci de secunde.
Cei mai mulgi producatori de echipamente specific pentru produsele lor numarul de
pachete pe secunda (PPS) pe care acestea le pot procesa. Aceste valori reprezintd de fapt
throughput-ul la nivel de echipament: numarul maxim de pachete pe care le poate
transmite fara erori. Este un indicator important de care trebuie {inut cont in selectarea
dispozitivelor de rejea.
Exist& si un throughput la nivel de aplicagie. Ca si in cazul retelei, si acesta poate
afecta performanga, dar, din fericire, aici efectele se datoreaz altor factori: rata de
transfer a hard discului, bus-ul calculatorului, timpul de acces al memoriei, procesorul etc.
Acuratefea se referd la bifii care traverseazi mediile de transmisie de la sursi la
destinatie. Sint destul de dificil de identificat astfel de probleme, deoatece majoritatea
analizoarelor de trafic se ocupa de cadrele care traverseazi refeaua si mai putin de bifi.
Chiar si aga, in baza informatiilor oferite de aceste aplicagii, puteti compara numirul de
cadre ce contin erori din totalul numarului de cadre transmise in rejea.
160 PROIECTAREA RETELELOR Bi CALCULATOARE
6. Cerinjele specifice utilizatorilor
Se referd la orice alt& specificatie rational care vine din partea utilizatorilor.
Caracteristici ale traficului intr-o refea
incele ce urmeazai, vom prezenta citeva din valorile relative Ia traficul unei rejele pentru
a vi face o idee despre impactul tehnologiilor existente asupra unui astfel de proiect. Sti
deja c& transferul de informatii sub form’ de text nu va consuma aceleasi resurse ca ©
discufie prin intermediul unei camere Web.
Numirul pachetelor care circulA in retea la initializarea unui client NetBIOS sint
prezentate in tabelul urmitor :
Tabelul 12.1.3. Caracterizarea traficului rejelei
pentru un client NetBIOS
Miirimea
Pachet, Sursi | Destinatie | pachetului ee eee
in bytes Pas y
Verificare nume | Client [Broadcast | 44 [6 264
Ciutare nume pentru | Client | Broadcast | 44 | Depinde de 44 (Gack este
fiecare server numirul de servere | doar un server)
Raspunsul la Server | Client 44 | Depinde de 44 (dacil exte
cfutarea numelui numarul de servere | doar un server)
Initializare sesiune | Client | Server 14 |Depinde de 14 (dacd este
pentru fiecare server nnumfrul de servere | doar un server)
Confirmarea sesiunii | Server | Client 14 | Depinde de 14 (@acd este
numrul de servere | doar un server)
in cazul unei sesiuni TCP/IP, fa initializarea unui client situafia se prezinti dup cum
‘urmeaza :
‘Tabelul 12.1.4. Caracterizarea traficului reelei
pentru o sesiune TCP/IP
Marimea
a . | Numarul de | Numdrul total
Pachet Sursi_| Destinatie | pachetuiui | NWO Tas
in bytes
Cererea ARP
pentra verificarea | Client Broadcast 28 1 28
lnicivitii adresei
Cerere ARP care Depinde de | Depinde de
fiecare server | Client, Broadcast 28 | numtrul de | numarul de
servere servere
Corere ARP cite) Cron Broadeast 2 | ot 28
un router
‘Raspunsul Ja cere- : aa 1 8
ie Server/router | Client |
PROIECTAREA $I ADMINISTRAREA RETELELOR 161
Daci in reyea clientii folosese DHCP, 1a informatiile prezentate anterior se mai
adaug’
Tabelul 12.1.5, Caracterizarea traficului rejelei
pentru un client DHCP
Marimea fa
Pachet | Sursi | Destinajie | pachetului | NumArut de pachete bee
a de bytes
in bytes
Cautarea | Oy, | (O dati la citeva secunde,
pucp {Client | Broadcast 576 _| sind cind serverul este gasit_| SPINY
Oferta
pice {Server | Broadcast 328 1 328
Bes Client | Broadcast 576 i 576
DHCP
Rok. [Server | Broadcast 328 ! 328
in aceasta situatie, cererea prin care un client verificd unicitatea adresei va contine 3
pachete.
12.2. Securitatea retelei!
Nu ne-am propus s acoperim in citeva pagini un subiect despre care se scriu cArti
specializate. in primul rind, este foarte posibil ca pind la aparitia acestor rinduri s& se fi
inregistrat lucruri noi in domeniu, $i asta deoarece ,biietii rai” sint mai miulgi decit
»baiefii buni”, Vom face inst o prezentare a celor mai comune atacuri, dar sia metodelor
de protectie a retelelor,
Metodele prin care se incearct ptrunderea neautorizatt intr-o reqea sint diverse. La
inceput, majoritatea politicilor de sccuritate se indreptau impotriva atacurilor din exte-
rioral firmei. Astiizi se consider’ c& neprotejarea sistemului si impotriva atacurilor din
interiorut organizatiei reprezint’ 0 mare croare.
12.2.1. Aspecte legislative
Avind in vedere gradul de sensibititate a subiectului pe care incerctim sf il tratim in acest
paragraf, considerdm ci este necesar s& stiti cd exist o lege care sanctioneaza activitatile
ilicite dintr-o reea: LEGEA nr. 161 din 19 aprilie 2003 privind unele masuri pentru
asigurarea transparenfei in exercitarea demnititilor publice, a func{iilor publice si
in mediul de afaceri, prevenirea si sanctionarea coruptiei face referire gi la crimi-
nalitatea informatici.
1. Pentru mai multe detalii legate de securitate sistemelor informajionale, vezi si D. Oprea, Provecriat
$i securitatea sistemetor informationale, Editura Polirom, lagi, 2002
162
PROIECTAREA RETELELOR DE CALCULATOARE
TITLUL WI: Prevenirea si combaterea criminalitifii informatice
CAPITOLUL 1: Dispozitii generale
Art. 34
Prezentul titlu reglementeazi prevenirea si combaterea criminalit&ti
informatice,
prin masuri specifice de prevenire, descoperire si sanctionare a infractiunilor sAvirsite
prin intermediul sistemelor informatice, asigurindu-se respectarea drepturilor omului si
protectia dateior personaic.
Art. 35
(1) in prezentul titlu, termenii si expresiile de mai jos au urmatorul inteles :
a) prin sistem informatic se infelege orice dispozitiv sau ansamblu de dispozitive
interconectate sau aflate in relagie functional’, dintre care unul sau mai multe
asigura prelucrarea automat a datelor, cu ajutorul unui program informatic
b) prin prelucrare automata a datelor se injelege procesul prin care datele dintr-un
sistem informatic sint prelucrate prin intermediul unui program informatic ;
¢) prin program informatic se injelege un ansamblu de instructiuni care pot fi
executate de un sistem informatic in vederea objinerii unui rezultat determina;
d) prin date informatice se injelege orice reprezentare a unor fapte, informatii sau
concepte intr-o forma care poate fi prelucrati printr-un sistem informatic. in
aceast& categorie se include si orice program informatic care poate determina
realizarea unei functii de cAtre un sistem informatic ;
e) prin furnizor de servicii se infelege :
1. orice persoana fizic’ sau juridicd ce ofera utilizatorilor posibilitatea de a
comunica prin intermediul sistemelor informatice ;
2. orice alté persoand fizicd sau juridicd ce prelucreaz& sau stocheazi date
informatice pentru persoanele prevazute la pet. 1 si pentru utilizatorii servi-
ciilor oferite de acestea ;
f) prin date referitoare la traficul informational se injelege orice date informatice
referitoare la 0 comunicare realizat& printr-un sistem informatic si produse de
acesta, care reprezinti o parte din lanjul de comunicare, indicind originea,
destinajia, ruta, ora, data, m&rimea, volumul si durata comunicdrii, precum gi
tipul serviciului utilizat pentru comunicare ;
g) prin date referitoare la utilizatori se infelege orice informatie care poate conduce
la identificarea unui utilizator, incluzind tipul de comunicatie si serviciul folosit,
adresa postali, adresa geografica, numere de telefon sau alte numere de acces $i
modalitatea de plata a serviciului respectiv, precum si orice alte date care pot
conduce la identificarea utilizatorului ;
h) prin masuri de securitate se injelege folosirea unor proceduri, dispozitive sau
programe informatice specializate, cu ajutorul cfrora accesul la un sistem
informatic este restrictionat sau interzis pentru anumite categorii de
utilizatori ;
i) prin materiale pornografice cu minori se infelege orice material care prezinté un
minor avind un comportament sexual explicit sau 0 persoan major& care este
prezentati ca un minor avind un comportament sexual explicit ori imagini care,
PROIECTAREA SI ADMINISTRAREA RETELELOR 163
+ desi nu prezint& o persoand reala, simuleazi, in mod credibil, un minor avind un
comportament sexual explicit
(2) in sensul prezentului titlu, actioneaz& fara drept persoana care se afl in una
dintre urmatoarele situasii:
@) nu este autorizati, in temeiul legii sau al unui contract ;
b) depiseste limitele autoriza
c) nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit
legii, de a acorda, de a folosi, administra sau controla un sistem informatic ori de
a desfigura cercet&ri stiintifice sau de a efectua orice alt& operafiune intr-un
sistem informatic.
CAPITOLUL II: Prevenirea criminalitatii informatice
Art. 36
Pentru asigurarca securit&tii sistemelor informatice si a protectiei datelor personale,
autoritijile si instituyiile publice cu competenje in domeniu, furnizorii de servicii,
organizatiile neguvernamentale si alti reprezentanti ai societatii civile desfasoara activitayi
comune si programe de prevenire a criminalitatii informatice
Art, 37
Autoritigile si institusiile publice cu competente in domeniu, in cooperare cu furnizorii
de servicii, organizatiile neguvernamentale si alji reprezentangi ai societ§{ii civile pro-
moveaza politici, practici, masuri, proceduri si standarde minime de securitate a siste-
melor informatice.
Art. 38
Autorit&tile si institutiile publice cu competente in domeniu, in cooperare cu furnizorii
de servicii, organizaiile neguvernamentale $i alti reprezentangi ai societitii civile orga-
nizeaz& campanii de informare privind criminalitatea informatica gi riscurile la care sint
expusi utilizatorii de sisteme informatice.
Art. 39
(1) Ministerul Justitiei, Ministerul de Interne, Ministerul Comunicajiilor si Tehnologiei
Informatiei, Serviciul Roman de Informatii si Serviciul de Informajii Externe constituie
si actualizeazi continuu baze de date privind criminalitatea informatica.
(2) Institutul National de Criminologie din subordinea Ministerului Justiici efectueaz’
studi periodice in scopul identifictrii cauzelor care determin’ si a condifiilor ce
favorizeaza criminalitatea informatica.
Art. 40
Ministerul Justitiei, Ministerul de Interne, Ministerul Comunicatiilor si Tehnologiei
Informatiei, Serviciul Roman de Informatii si Serviciul de Informayii Externe desfasoar&
programe speciale de pregatire si perfectionare a personalului cu atributii in prevenirea
si combatcrea criminalitatii informatice.
Art. 41
Proprietarii sau administratorii de sisteme informatice, la care accesul este interzis
sau restricjionat pentru anumite categorii de utilizatori, au obligatia de a avertiza
utilizatorii cu privire la conditiile legale de acces si utilizare, precum gi cu privire la
164 PROIECTA 2A RETELELOR DE CALCULATOARE,
consecintele juridice ale accesy'1i fara drept la aceste sisteme informatice. Avertizarea
trebuie s& fie accesibila oricir:: utilizator.
CAPITO?.i III: Infractiuni si contraveni
SECTIUNEA 1: Infrae;
elor informatice
Art. 42
(1) Accesul, Piré drept, la s.: .istem informatie constituie infractiune si se pedepseste
cu inchisoare de la 3 Juni la ‘oi sau cu amend.
(2) Fapta prevazut la alin. (2), sivirgita in scoput obtinerii de date informatice, se
pedepseste cu inchisoare de |: & luni la 5 ani.
(3) Daca fapta prevazutd la sfin. (1) sau (2) este sivirsitd prin incilearea masurilor de
securitate, pedeapsa este inchissarea de la 3 la 12 ani.
Art. 43
(1) Interceptarea, rd
public’ si care este destinata u
sau se efectueaza in cadrui un:
cu inchisoare de la 2 la 7 ani
(2) Cu aceeasi pedeapsi se sanctioneaz% si interceptarea, fird drept, a unei emisii
clectromagnetice provenite ditr-un sistem informatic ce conjine date informatice care
nu sint publice
Art. 44
(1) Fapta de a modifica, s:rge sau deteriora date informatice ori de a restrictiona
accesul la aceste date, ftiri dicpt, constituic infractiune si de pedepseste cu inchisoare de
la 2 Ia 7 ani.
(2) Transferul neautorizat -Je date dintr-un sistem informatic se pedepseste cu inchi-
soare de la 3 la 12 ani.
(3) Cu pedeapsa previzuié la alin. (2) se sanctioneazi si transferul neautorizat de date
dintr-un mijloc de stocare a ‘iaiclor informatice.
Art. 45
Fapta de a perturba ern, fri drept, functionarea unui sistem informatic, prin
introducerea, transmiterea, modificarea, stergerea sau deteriorarea datelor informatice
sau prin restrictionarea accesutlui la aceste date constituie infractiune si se pedepseste cu
inchisoare de la 3 1a 15 ani
Art. 46
(1) Constituie infracgiune si se pedepseste cu inchisoare de Ia 1 la 6 ani:
a) fapta de a produce, «i: a vinde, de a importa, de a distribui sau de a pune la
dispozitie, sub orice até forr’:, Piri drept, un dispozitiv sau program informatic conceput
sau adaptat in scopul sivirsis:i uneia dintre infractiunile prevazute la art. 42-45;
b) fapta de a produce, de a vinde, de a importa, de a distribui sau de a pune le
dispozitie, sub orice alta form‘, Prk drept, o parol, cod de acces sau alte asemenea date
informatice care permit accesul total sau partial la un sistem informatic fn scopul
sivirgirii uneia dintre infractiunile prevzute la art, 42-45.
sf contra confidentialitStii si integritiii datelor gi
i, a unei transmisii de date informatice care nu este
‘aui sistem informatie, provine dintr-un asemenea sistem
sistem informatic constituie infractiune si se pedepseste
PROIECTAREA $1 ADMINISTRAREA RE OR 165
(2) Cu aceeasi pedeapsi se sanctioneaza si detinerea, fArx drept, a unui dispozitiv,
program informatic, parol, cod de acces sau dati informaticd dintre cele previzute ta
alin. (1) in scopul savirsirii uneia dintre infractiunile previzute la art. 42-45.
Art. 47
Tentativa infracjiunilor prevazute Ia art. 42-46 se pedepseste.
SECTIUNEA 2: Infractiuni informatice
Art. 48
Fapta de a introduce, modifica sau sterge, fara drept, date informatice ori de a
restrictiona, fir drept, accesul la aceste date, rezultind date necorespunzitoare ade-
varului, in scopul de a fi utilizate in vederea producerii unei consecinte juridice; constituie
infractiune si se pedepseste cu inchisoare de Ja 2 la 7 ani,
Art, 49
Fapta de a cauza un prejudiciu patrimonial unei persoane prin introducerea, modi-
ficarea sau stergerea de date informatice, prin restrictionarea accesului la aceste date ori
prin impiedicarea in orice mod a functionarii unui sistem informatic, in scopul de a
objine un beneficiu material pentru sine sau pentru altul, constituie infractiune si se
pedepseste cu inchisoare de Ia 3 la 12 ani.
Art. 50
Tentativa infractiunilor prevazute la art. 48 si 49 se pedepsesie.
SECTIUNEA 3: Pornografia infantil prin sisteme informatice
Art. 51
(1) Constituie infracjiune $i se pedepseste cu inchisoare de la 3 la 12 ani si interzicerea
unor drepturi, producerea in vederea rispindirii, oferirea sau puncrea la dispozitic,
Vspindirea sau transmiterea, procurarea pentru sine sau pentru altul de materiale
pornografice cu minori prin sisteme informatice ori detinerea, fr drept, de materiale
pornografice cu minori intr-un sistem informatic sau un mijloc de stocare a datelor
informatice,
(2) Tentativa se pedepseste.
SECTIUNEA 4: Contraveni
Art. 52
Nerespectaren obligatiei previizute la art. 41 constituie contravengie si se sancyioneazd
cu amenda de fa 5.000.000 tei 1a 50.000.000 lei.
Art. 53
(1) Constatarea contraventici prevaizute 12 art, 52 si aplicarea sanctiunii se fac de cXtre
personalul imputernicit in acest scop de citre ministrul comunicatiilor si tehnologici
informatiei, precum si de citre personalul special abilitat din cadru! Ministerului de
Interne.
(2) Contraventiei previzute la art. 52 ii sint aplicabile dispozitiile Ordonanyei
Guvernului nr. 2/2001 privind regimul juridic a! contravemtiilor, aprobatt cu modificdri
si completari prin Legea nr. 180/2002, cu modificarile ulterioare,
166 PROIECTAREA RETELELOR DE CALCULATOARE,
inainte de a prezenta principalele categorii de atacuri gi modalitatile de realizare a
acestora, facem o precizare. Dac nu ati mai folosit astfel de aplicatii inainte, incercati
s& nu le testati Intr-o refea cu iegire la Internet. Daca din gregeala scanati un calculator
care nu v4 priveste, este posibil s& fiti luat drept hacker, iar activitatea dumneavoastra
s& fie considerat& infractiune. Prin urmare, scanati doar calculatoarele din refeaua
dumneavoastra si informati utilizatorii si/sau sefii cu privire la actiunile dumnea-
voastra !
Riscim cu accast& prezentare, pentru ci multe dintre aceste aplicatii, daca sint
folosite in mod pasnic, reprezint& un instrumnet foarte bun pentru imbunatatirea secu-
rit{tii proprici retele !
12.2.2. Tipuri de atacuri intr-o retea!
1. Scanning (scanarea)
Scanarea unei refele poate fi privitd din dou% puncte de vedere.
in primul rind, scanarea poate fi procesul prin care sint transmise informatii c&tre
dispozitivele din rejea pentru a primi un raspuns cit mai explicit din partea acestora,
rispuns in baza cdiruia si poatd fi identificata structura refelei. in al doilea rind, scanarea
poate presupune identificarea vulnerabilitatilor existente intr-o refea cu scopul de a le
elimina/reduce.
fn majoritatea cazurilor, atacatorul nu cunoaste structura si/sau topologia rejelei pe
care doreste si o compromitd sau si 0 atace,
Prima etapa consti in culegerea de informagii cu scopul de a schija harta rejelei
(network mapping). Pentru aceasta este nevoie s& se identifice calculatoarele active gi
serviciile pe care acestea le ruleaz’. Atacatorul face apel la aplicafii specilizate in acest
sens.
in urmatoarea etapa, el va incerca si objina cit mai multe informatii despre statiile
identificate ca fiind active in retea: numele conturilor folosite, resursele partajate in
re{ea, aplicasiile deschise etc. Chiar daci multe informatii obtinute par inofensive la
prima vedere, ele pot fi folosite pentru a afla vulnerabilit&tile sistemului de operare sau
aplicatiile rulate.
Accesul neautorizat intr-o refea se objine, de obicei, pe dou’ ci: prin intermediul
unui nume de utilizator si o parold valide sau prin folosirea abuziva a privilegiilor
utilizatorilor. Analiza parolelor sau, mai bine zis, folosirea unor programe pentru
spargerea parolelor poate da rezultate satisfacatoare.
© SuperScan este o aplicatie cu interfayi graficl ce ofert o palett destul de
bogat’ de optiuni de scanare. in plus, nici nu tebuie s% ai prea multe
cunostinje. Este de ajuns s& stii o adres IP (sau mai multe) si ce reprezinti
porturile scanate.
Subiectut este tratat
pentru Unix/Linux.
detaliu in Hack Proofing yor Network, Syngress 2002, cu exemple mai multe
TELELOR 167
PROIECTAREA SI ADMINISTRAREA
* Winfingerprint este o aplicatie care ruleaz pe platform’ Windows, capabild st
determine sistemul de operare, utilizatorii sau grupurile de utilizatori, serviciile gi
logurile. Partea mai intereseanti este c& acensiii aplicagie are posibilitatea de a
specula sesiunile nule care pot fi create pe snasinile Windows, dact aceasti
posibilitate nu a fost anulati de catre administrstor.
fis2 16812 ee |
| Resoved ffUnkrawnt Me | Interfaces
Timeout: -~--- ~~ ~~ Sean ype
oa IP
Stee fise 7680-2 1 Resolve hostnames
jig — | Only scan responsive rings
je ps2t6ar2 Show host respory
Fig only
Every pot in ist
hg Ignore IP zero. i All selected pots i
Ignore P 255 © Alist pots tom [i
F Bntcttom fie __| | © Atpots tem
Figura 12.2.1. SuperScan
* LCA este ultima variant& a celei mai populare aplicajii pentru spart parolele
masinilor Windows : LOphtcrack. Noua varian'% ofera date statistice cu privire
la timpul necesar spargerii parolei fiecdrui con: in parte, modalit&i de obtinere
a parolelor criptate (in Windows 2000 si XP icestea sint p&strate sub forma
criptata).
168 PROIECTA::, . RETELELOR DE CALCULATOARE
CwRange CIP List 11 © NT Domain ® Active Directory > WMI saad
@ Single Host Neighborhood |. sran Options : : exit
IP Address: ‘5
2 % OS Version «Users Registry
! Aull Sessions Services NST a
Information
& wete10s Shares Disks Sessions | Save
% Date and Time 7 Groups @ Eventlog | Help
General options a : eae
F Show Error Messages Ping Host(s) I TCP Portscan Range:
|
Timsout (in seconds) for [g——-_ RPC Bindings F_UDP Portsean Range: ja joa |
‘TCP/UDP/ICMP/SNMP:
7 IF snme Community String: [public
Retries: [3 ie ce ity String: [ps
Max Connections:
Figura 12.2.2. Winfingerprint
* NMAP (Network Manper) este un utilitar pentru explorarea rejelei si audi-
tarea securitasit acesteix, Aplicatia identifica ce statii sint active intr-o rejea,
care sint serviciile (porturile) deschise pe acele stajii, ce sistem de operare
ruleaza (inclusiv vers:unea), dac& este folosit un firewall sau alt4 aplicatie
pentru filtrarea pachetelor etc, Este disponibilé atit in versiune grafic, cit si
in varianta consol. Lucreaz% silentions, find destul de greu de descoperit
(stealth scanner).
PROIECTAREA $I ADMINISTRAREA RETELELOR 169
a)
[MSVAt Aitobrandyer ws BSc Eeueeeacs Z
rhe [osnancod Ta Luienerd [onion Trea EET
Bicewer . qiseicnesauseomnod urna’ setae tata)!
Ire tscctinmncnweiarrscnn —tearoue 98-828
ne Grcecorisencuctiowracesd —— cewrveet|
we srwnaencnomien | Rebar
ron EEA aj
Sisey Ose
Prabal
Desonay it
x0
| the ise Caktna aint was a wc Kiba ucceat best
sere Tetons vey atone wasn per
Dieu ae iil ok oon oo
B toune FS cnanctan opoie
[ES omntnste cond
1 Commentate nbs ruc snr
| etetmenase hic perme Ot ae ere tem
| inode Repeats acho Dasa aden
| apm
fees
| Thee Fare Cue te pest oe ates ge sen ete
It td ge mea ag
| Sescwa Set lees poines
Ce ee)
Figura 12.2.3, LC4
Lista ar putea continua, dar ne oprim aici. Pentru a v4 testa vulnerabilititile din reyea
puteti apela si la o firma specializati pentru a vi scana rejeaua din exterior. Daca insti nu
veti lua in calcul si eventualele probleme care pot st apara chiar de !a propriii angajati,
s-ar putea ca mai tirziu si avefi surprize nu chiar plicute.
2. Denial of Service (DoS)
Reprezint’ incercarea explicit 2 unui intrus de a impiedica utilizatorii si foloscasc& un
serviciu asupra c&ruia au drepturi. In documentele CERT (Computer Emergency
Response Team) se spune c atacurile de tip DoS au wei torme generale de manilestare :
* utilizarea neautorizat a unor resurse limitate ;
* distrugerea sau alterarea informatiilor ;
© distrugerea sau alterarea componentelor unei retele.
Dac grupim cele spuse de CERT, ajungem s& vorbim despre doud tipuri de atacuri
DoS: atacarea sistemelor de operare si atacarea refelei. in primul caz, se au in vedere
vulnerabilitatile sistemului de operare, Aceasta este si cea mai cunoscut varinnta
a acestui tip de atac. De obicei, problemele acestea sint rezolvate prin patch-urile
sav service-pack-urile pe care Je pune la dispozitia utilizatorilor producitorul res-
pectivulué SO.
10 PROIECTAREA RETELELOR DE CALCULATOARE
in cel de al doilea caz ins%, atacul se bazeazi pe limitirile inerente care exist intr-o
refea, limitdri care sin mai ales de tehnologie. Atacurile impotriva unor site-uri precum
Amazon sau Yahoo au demonstrat c& pind si cei mai mari au probleme. Oricite clasificari
se fac ins, toatt lumea e de acord ci buffer overflow, syn, teardrop sau smurf sint atacuri
de tip DoS.
Buffer Overflow
Ce poate fi mai simplu decit s& generezi c¥tre o adres& de retea un trafic mai mare decit
poate duce buffer-ul programului receptor? Cel care incearcd acest lucru nu trebuie si
cunoasca neaparat exploit-ul sistemului tint. Ataci pur si simplu, poate merge. Cel mai
cunoscut atac care se baza pe caracteristicile buffer-ului unui program/sistem este ping
of death - transmiterea de pachete ICMP mai mari decit 65,527 octeti (se foloseste un
utilitar care stie s& creeze astfel de pachete).
SYN Attack (SYN flooding)
Va mai amintigi ce presupunea
stabilirea unei conexiuni
TCP? Statia surs& transmite
c&tre server un mesaj prin care
Buna ziua
— cere si se autentifice (mesaj
Intra SYN). Serverul returneazi
\e aprobarea (mesaj SYN-ACK),
Multumese iar statia surst confirma
receptionarea acesteia (mesaj
ACK). Atacul poate s& apari
in momentul in care serverul
Tispunde clientului cu mesajul SYN-ACK, dar nu primeste de la acesta mesajul ACK,
speculindu-se timpul necesar schimbului de amabilitai dintre cele doua sisteme. Pache-
tele care se transmit in timpul stabilirii conexiunii includ un cimp SYN care identifica
numdrul secvenjei din cadrul mesajului. Cererile de conexiune TCP (SYN-ul) sint
transmise calculatorului tint. Adresa sursi din pachetul cerere este inlocuité cu o alt
adresé (de exemplu, a altui calculator), Calculatorul care receptioneaz’ cererea rispunde
cu un mesaj SYN-ACK cite adresa identificat in cerere, dar nu primeste nici un ACK
din partea acestei statii pentru cX nu este ea cea care a lansat cererea. O masind Windows
retransmite mesajul SYN-ACK de cinci ori dublind valoarea time-out la fiecare incercare.
Initial, valoarea time-out este de 3 secunde, deci incercrile vor dura 3, 6, 12, 24 si 48
secunde !
Daca exist suspiciuni c& sistemul este supus unui atac SYN, se pot verifica conexiu-
nile cu ajutorul comenzii netstat -n -p tep. Dac’ sint afigate prea multe conexiuni a cror
stare este SYN-RECEIVED, existd posibilitatea ca sistemul si fie atacat.
Aceastd problemi jine mai mult de sctarile sistemului de operare : m&rimea buffer-ului
si perioada de time-out, Atacatorul lucreazd de pe mai multe masini: una de pe care
coordoneaz& atacul si inai multe de pe care lanseazt cererile.
PROIECTAREA $I ADMINISTRAREA RETELELOR im
Teardrop
Atacul se bazeazi pe modul in care are loc reasamblarea packetelor IP la destinatic.
Fragmentarea apare ca rlspuns la diferitele tipuri de rejele pe care le traverseaz un
mesaj pentru a ajunge la destinatie. Atit mediile de transmisie, cit si protocoalele au
reguli diferite in ceca ce priveste m&rimea maxima a datagramelor care le traverseazi
(MTU). Prin urmare, 0 datagrama care are o MTU mai mare decit a pachetului ce
fe transmis va fi fragmentati, Pentru a putea fi reasamblat la destinatie, un pachet
care a fost fragmentat contine in headerul IP urmitoarcle informatii : id-ul fragmentului,
pozifia in cadrul pachetului original (cimpul se numesic offset, are o lungime de 13 biti,
si pentru primul fragment are valoarea 0), lungimea datelor transportate si dack dup’ el
mai exist’ alte fragmente.
Un astfel de atac implick modificarea valorii cimpului offset din cel de al doilea
fragment (sau din urmitoarcle) astfel incit sistemul stafiei destinatare s% nu poatt
reasambla fragmentele.
Smurf
Aceast’ variant de atac DoS presupune trimiterea unei cereri ping de pe masina fint&
cltre adresa de broadcast a re{elei din care face parte. Stajiile din rejeaua victimei vor
genera pachetul de rispuns citre stajia acesteia, inundind rejeaua cu pachete ICMP
(transmiterea unui pachet cu alt adrest surst decit cea de origine se numeste spoofing).
form’ mult mai complex o reprezint atacurile DoS distribuite (DDoS), care se
bazeazi pe modelul client server. Intrusul atac& si prcia controlul unui numar mic de
stajii de pe care controleaz4 un numar mai mare de stalii din domeniul lor. Aceste din
urm stafii lanseazi simultan sau grupat, in mod centrolat si susfinut, atacuri citre
calculatorul victima.
3. Sniffing
Sniffing (ascultarea porturilor de comunicafie) sau man-in-the-middle este atacul prin
care atacatorul afecteaz& securitatea refelei intr-o maniera pasiva.
Spuneam despre cartela de rejea ci receptioneaz’ si interpreteaz4 doar pachetele care
ii sint destinate (contin adresa MAC respectiva), celeialte fiind ignorate. Cartelele pot
functiona ins& si in modul promiscuous, care le permite s4 receptioneze tot traficul din
refea.
Ce informatii intereseazi? Multe dintre informatiile conginute in pachetele TCP/IP
sint reziduale pentru un hacker, dar uneori pot contine informatii despre numele de
utilizator, parole, conjinuturi ale e-mail-urilor. Mai ales dac& transmisia nu este criptata !
Prin urmare, cel mai adesea se urmiresc porturile pe care ruleaz’ aplicatii in care
autentificarea utilizatorilor nu este securizat4: telnet (portul 23), ftp (portul 21), IMAP
(Internet Message Access Protocol lucreaz% pe portul !43), http (portul 80).
Dintre aplicatiile dedicate acestor activitati amintisa :
* NetworkActiv Sniffer permite captarea si anulizarea pachetelelor IP, filtrarea
acestora dup’ adres’ IP-port-protocol. Optiunea File Sniffer permite captura de
fisiere HTTP (pagini Web, poze, download-uri).
172
ee
ELELOR DE CALCULATOARE
oan pte See eel =
SeaPotjtoPat | Date Cte
COE Ty
Erte
Metueica tiv BIAECTH ;
VALS. 2 2002.apet.os), z
errant gers
eerrEtintrans
Soeur ota
: Ristearatiesraet
feere ietaratcettan
BERET seas ertrs eer Carry
ieee
Fenose: (a we Foe Waa BRT
3 rae emo
te: ies, Pesta” cate HB
{Boaters pte
Hsecchnentinte>
Fevrsery Chey iben tines ites
ost
es
ihn
tical
169,100.00 (SYA. /2V540 ACK HLSW
[Pewee nce sore ion mioea aeRO
Bt Sowa 12 69 1 4np He mre 2m ACEI
PROIECTAREA $I ADMINISTRAREA RETELELOR ims
* Sniphere este un alt sniffer de retea care permite filtrarea pachetelor captate in
functie de adresa IP, adresa MAC, porturile sau protocoalele dorite. Decodeazi
pachetele captate.
* Ethereal Network Analyzer ofer& posibilitatea de a vizualiza in detaliu fiecare
pachet. Facilitatea care fl deosebeste de celelalte este posibilitatea de a vizualiza
si reface o sesiune TCP, putind citi pachetele captate cu alte utilitare de acest gen.
la JE Coptve ssl Tos :
Tine [Souco ___Jestnaion Precat Plt Coptrea Frames
5 SSNS — Tee R aa BHT aoe
Rosesss taseradso Sineiin eg (Zal 17 000%)
tere fatima bniestoiso fo 20 eo")
ee sis Ors)
Se coy olen ToP ream 2 Om)
Soihee S38 oon io em
Foabross Gaile Oeoee Ae o eon
8 o.i66066 64.36 Dislay Fi 0%)
$8: sta ee 9 80%)
10 0.212140 64, 58 Merk Frome 2 0%)
Haddin 0 bom
Boga os 2 pm)
Bavan feces | oaTe
Er oso Necsus | ou & Su)
Baden poasencea | Te oom)
ae Or Selected "7 = Running 0001-34
TBF aT Show Pac 0
fb Ethernet Tr, sre 09: oemsrtme sent Mew i
I tncornee branocoi, sre AGG"! 298 TEB.2-302 GW ovat suiead PAT AM: 6
Meader lenge: 20 bytes
wapieferenetacad Services F4e1d: 0x00 (OScP 0x00: Oafaute: Few: 0x00)
Total vengene 479
Toenc #teation? oxacze
rags: 0x00
Fragnent offsec: 0
Fine eo. ver Gt
SENS YS Povey V
‘Stop
a OF BSE OF IE OP oe pTan ewe
0019 OL ge ac 2e OG G0 0 05 7a a6 <0 a8 OL GS 4038.
020 ac be Os 5 09 89 38 ar ge bY SoM Sse Goad it
Bese ff FF eG 36 90 G9 of oF EF 08 on 03 49 Be Ze 27
Ge a9 a7 43 Se 20 SF #73 30 Sh od BL 74 20 ja
103363 13 80 74 3p bs G9 73 Bo Gd Gt 70 Gc Bo 26 be sated? shapteth
ogo 7 3 25 58 tu fa G0 12 be 77 Sb 1b ek od 7a Ge Sashoaer rmeraaan
Fite fy64158.76 150) and (ep pon oq 2752 ana ep por eq 80) _A| Recol] Apply ve capture in pogiene>
Figura 12.2.6, Ethereal Network Analyzer
Cind se va incerca monitorizarea unei reele in care exist switch-uri, majoritatea
aplicatiilor de mai sus nu vor putea dep&si segmentul de retea din care face parte
calculatorul de pe care ruleaz3. in acest caz, trebuie folosite aplicatii care au posibilitatea
de a asculta tabclele ARP ale switch-urilor sau care capteaz% traficul direct dlin router.
4, Hijacking
Hijacking (piraterie sau deturnare) reprezint& o alta varianté de man-in-the-middle ce
presupune substituirea unei identitaqi pentru a avea acces la informatii. Este un atac activ,
care necesit4 ins& un efort mai mare din partea atacatorului si o injelegere exact& a
modului in care functioncaz’ o sesiune TCP sau UDP. Patrunderea in retea se face prin
imermediul unui utilizator autorizat. Atacul efectiv poate incepe prin bombardarea cu
14 PROIECTAREA RETELELOR DE CALCULATOARE
pachete (DoS) a unei stajii autorizate, eliminarea sa din refea $i configurarea propriei
staii cu setirile stagiei atacate.
Majoritatea aplicatiilor de tip IDS (Intrusion Detection System) detecteazi aceste
tipuri de atacuri.
5. Atacul pe usile din spate (backdoors) a
Presupune apelarea 1a o subrutind nedocumentat din anumite aplicafii sau prin inter-
mediui unei parole ,,uitate” de realizatorul aplicatiei respective. Cele mai multe atacuri
ramin necunoscute, dar daca sint descoperite, constituie o grava problema de securitate,
Dintre utilitare care identifica ,gaurile” dintr-un sistem amintim
* Verified Security PC Center - este un ansamblu de 6 aplicatii dintre care cele
mai importante sint detectarea cailor troieni, mecanisme de ap&rare impotriva
hackerilor si monitorizarea traficului. Poate cripta figiere sau directoare si oferd
posibilitatea analizarii securit&tii sistemului pentru a detecta posibilele puncte
slabe.
ae senate sae (comer
Figura 12.2.7. Verified Security PC
PROIECTAREA $I ADMINISTRAREA RETELELOR 175
‘© Tauscan este un scanner de cai troieni capabil si{ detecteze si si elimine majoritatea
virusilor de acest tip. Ruleaz4 in background si se actualizeaz’ singur cu ultimele
definigii.
Figura 12.2.8, Tausesn
12.2.3. Mecanisme de protectie
1. Firewall’
Pentru un administrator de rejea este foarte important si cunoasc’ cele mai bune mecanisme
prin care poate realiza o politica de securitate cit mai bine adaptata specificului firmei sale.
Firewall-ul poate fi considerat un sistem sau un ansamblu de sisteme care asigura
securitatea refelei interne in relatie cu celelalte reyele cu care intra in contact. Din punct
de vedere fizic, el poate fi un simplu PC sau static de lucru, un router sau chiar un
mainframe. Din punct de vedere logic, el determina care sint informatiile sau serviciile
care pot fi accesate din afara refelei locale si cine are dreptul de a utiliza aceste resurse.
Ca localizare, firewall este amplasat, in general, i: zona in care reteaua interna face
Jonctiunea cu cea extern, zon denumit& punct de control. Dac& privim refeaua ca pe o
cladire, firewall este singurul punct prin care se pou:: intra.
in functie de cerinfe, un firewall poate confine wrsidtoarele componente functionale
care pot fi implementate ca un tot:
* Router pentru filtrarea pachetelor ;
* Gateway la nivel de aplicatie (proxy) ;
© Gateway Ja nivel de circuit.
1, O lucrare ce trateazA acest subiect g&siti la hap :/secinf.n'“rewalls_and_VPN/Firewalls_Complete/,
176 PROIECTARY. . RETELELOR DE CALCULATOARE
Routerul pentru filtrarea pack ‘elor este cel care transmite pachetele in reyea pe baza
regulilor de filtrare implementate. Am dat un mic exemplu cind am prezentat ACL-urile
ce pot fi implementate pe un ro’
ind primeste un pachet, route 11 poate extrage din antetul stu urmatoarele informatii :
* Adresa IP sursa;
Adresa IP destinatie ;
Portul TCP/UDP sursa ;
Portul TCP/UDP destinati: ;
Tipul mesajului ICMP ;
Informatii despre protocol! incapsulat.
in functie de politica de secur’sate a firmei se stabilesc si regulile de filtrare. Cel care
incearcl s% atace reteaua trebui: si cunoascd aceasta politic’ precum si restrictiile
impuse la nivel de serviciu. Cunoscind numirul porturilor TCP/UDP utilizate de
setviciile care ruleaza in retea, rsuterul poate filtra accesul la aceste servicii.
Atunci cind se cunosc adrese!¢ sursi sau destinatie, regulile de filtrare de pe router
pot accepta sau refuza un pachet in functie de aceste informagii. in cele mai multe cazuri,
doar anumite servere pot fi accesat- din afara organizatici. Pachctelor, care au alta destinatie
decit adresa IP a respectivelor scrvere, nu li se va permite accesul in refeaua local.
Mecanismele de filtrare mai evansate pot lua in calcul alte optiuni ale cadrului IP, cum
ar fi deplasamentul fragmentului sau cifra de control. Implementarea singular a acestui
mecanism nu ofera insd un grad mare de securitate, cind reteaua se dezvolta si regulile de
filtrare devin complexe si greu do gestionat.
Controlut ta nivel de aplicatie se realizeazi cel mai adesea prin intermediul unei porti
(gateway) sau proxy server. Pe gateway trebuie instalat proxy codul corespunzitor fiecdrei
aplicatii care doreste sA treact Je part’
in timpul unui dialog intre un client si un server, proxy-ul actioneazi ca si server
pentru clientul respectiv si devine, la rindul su, client pentru serverul destinatie. Pentru
clientu! initial proxy serverul funcjioneazi in mod transparent, dar este capabil sX
monitorizeze si s& filtreze anumi:e informaiii sau comenzi. Proxy serverul este un server
dedicat aplicafiilor care ruleaz pe calculatorul ce face legttura dintre refeaua noastr& si
restul lumii. Spre deosebire de firewall, el controleaz% schimbul de informatii la nivel de
aplicatie, si nu de pachet IP.
Daca lum ca exemplu proteiarea unui server FTP care este accesat din afara rejelei
locale, proxy scrverul de FTP vs fi configurat s& nu permitt executarea comenzilor PUT
sau MPUT,
Pentru ca un client s% poatt accesa un proxy server, softul client trebuie modificat
astfel incit sit suporte conexiuni de tip proxy si si se autentifice pe proxy server. Aceasti
cering& poate fi consideratd ca fiind un dezavantaj al acestui mecanism de protectie.
Pe larg despre acest subiect putefi citi la adresele:
© hutp : /Avww2.rad.comy/networks/1998/proxy/proxy.htm,
© hup : //www,serverwatch.com/tutorials/article. php/10825_1354991_3.
Portile la nivel de circuit (canoscute gi ca transparent gateway) sint considerate un caz
particular al portilor la nivel de aplicajie. Aceasta deoarece pot fi configurate s& execute
anumite operatii dupa ce s-a rcalizat autentificarea utilizatorului. Chiar dac& gestioneazi
PROIECTAREA $I ADMINISTRAREA RETELELOR 7
conexiuni TCP sau UDP, aceste por{i nu filtreazt pachetele respective. Ne oprim aici cu
prezentarea pentru ci un tip de astfel de poarti (SOCKS) il vom prezenta imediat.
2. Network Address Translation (NAT)'
NAT sau masquerading, cum este denumiti aceasta tehnicd in mediul Linux, translate:
© adres IP intern’ (nerutabil§) intr-una public (rutabila). Mecanismul NAT are ta
origine doua realit&ti: pe de o parte, doar o parte dintre calculatoarele unci firme au
nevoie de acces in exteriorul rejelei acesteia, iar pe de alt’ parte, adresele IP publice sint
limitate (si, in plus, cost’)
De cele mai multe ori, calculatoarele folosesc in refeaua intern’ adrese IP private, iar
pentru dialogul cu calculatoarele din exterior fac apel Ja NAT/masquerade. Cum functio-
neazi acest mecanism ? :
Pentru fiecare pachet care ,iese” din refeaua locala, magina pe care este configurat
NAT-ul verificd adresa surs4. Dac aceasta se regaseste printre regulile implementate, va
fi transformat% intr-o adres% publict dintre cele predefinite. Pentru fiecare pachet care
intra” in retea NAT verifick daca are o adres destinatie pe care 0 stie. Dac rispunsu!
este afirmativ, adresa va fi transformati in una interna,
Mecanismul este ceva mai complicat decit ccea ce se vede. Pentru fiecare pachet
c&ruia i se schimba adresa NAT trebuie si-i modifice si cifra de control. Daca ne referim,
Ja pachetele FTP, lucrurile se complic& si mai mult, deoarece acestea pot s% conjina in
cimpul date adrese (comanda fip port contine o adres IP in format ASCII, de exemptu).
NAT poate fi implementat pe un firewall, router sau PC si poate lucra in mai multe
moduri:
+ Static NAT - mapeaza o adres% IP privat la una public conform principiul
unu-la-unu. Se foloseste mai ales atunci cind calculatoarele din reieaua localt
trebuie s% fie accesate din exteriorul organizatiei.
© Dynamic NAT ~ mapeazi o adresi IP privat la una public sclectatt dintr-un
grup de adrese.
* Overloading - este o form’ a NAT-ului dinamic prin care mai multe adrese IP
private sint mapate la o singur& adres IP public, dar folosind porturi diferite.
Aceast% variant! se mai numeste si PAT (Port Address Translation) sau NAT
multiplexat la nivel de port. :
Mai multe detalii puteyi afla citind articolul de la adresa http: //computer,
howstuffworks.com/nat.htm,
3. IPSec (Internet Security Protocol)
IPSec reprezintd setul de protocoale dezvoltate de IETF cu scopul de a securiza schimbul
de pachete la nivelul IP. IPSec suport dou% modalittti de criptare : transport si tunnel
in modul transport este criptatt doar porjiunea cu date a fiecrui pachet, headerul find
Msat intact. Modul tunnel este mult mai sigur, deoarece cripteazi si headerul pachetului
Pentru a putea fi implementat [PSec, sursa si destinatarul mesajelor trebuie st partajeze
o cheie public de criptare. Modelul de securitate folosit de IPSec este de tip ertd-to-end
1. Definit prin RFC 1631.
2. Definit prin RFC 2401
178 PROIECTAREA RETELELOR DE CALCULATOARE
sau, altfel spus, singurele caleulatoare care stiu despre IPSec sint sursa si destinatarul
datelor transmise prin rejea.
Implementarea IPSec se bazeaz pe standardele dezvoltate de Internet Engineering
‘Task Force (IETF) si are dou’ obiective principale :
protejarea pachetelor IP ;
+ apararca refelei impotriva atacurilor.
Ambele obiective sint atinse prin folosirea serviciilor de protectie bazate pe cripto-
grafic, a protocoalelor de securitate si managementul dinamic al cheilor de criptare.
Nu intram in amanunte legate de mecanismele interne ale acestui protocol, ci ne vom.
referi, in continuare, la maniera de implementare in sistemul de operare de la Microsoft.
in acest caz, IPSec se bazeazi pe trei componente: IPSec policy agent, ISAKMP! /
Oakley Key Management Service si IPSec driverul.
IPSec Policy Agent este un mecanism de securitate rezident pe orice masin’ W2K.
Mai cxact, este un serviciu ce porneste automat in momentul start&rii caleulatorului. tn
functic de intervalul specificat prin politica [PSec, acest mecanism functioneazd astfel :
* incarc& din Active Directory politica IPSec corespunztoare calculatorului respectiv ;
© daca in Active Directory nu exist& nici o astfel de politic sau dact agentul nu se
poate conecta fa serviciul director (se mai intimpl’), cauti politica in registrii
calculatorului. Dac& nici aici nu gaseste o politic, agentul se opreste automat ;
* dac& serviciul director identifica o politica de securitate, aceasta este transferatd
in format criptat calculatorului respectiv. Informafiile din aceasti politic’ sint
transniise apoi driverului IPSec, serviciului ISAKMP/Oakely si registrilor.
ISAKMP/Oakley Key Management Service este tot un mecanism rezident pe fiecare
magind W2K. Inainte ca datagramele IP si fie transmise de la surs& c&tre destinatie, intre
cele doud calculatoare trebuie s& se realizeze o asociere. Aceast4 asociere reprezint& un
set de parametri prin care se definesc serviciile de securitate gi mecanismele comune ce
vor fi folosite pentru protejarea comunicatiilor, cheia de criptare, propriet&ti etc.
Protocolul Oakley genereazi cheile ce vor fi folosite pentru criptarca/decriptarea
datelor care se transferd prin-reea. ISAKMP functioneaz in dowd etape :
* mai intii, stabileste un canal de comunicare sigurd intre surs& si destinayie. Aceasta
presupune autentificarea celor dou& masini si schimbul datelor care vor alcatui
cheia de criptare pe care cele dou% masini o vor folosi;
* apoi, realizeazd asocierea intre cele dou’ calculatoare, asociere care este transmis
driverului IPSec de pe cele doud masini, impreund cu cheia de criptare.
Agentul IPSec porneste in mod automat serviciul ISAKMP/Oakley. Dac intre cele
doui calculatoare nu se poate realiza 0 asociere, se poate configura o politic IPSec care
fic blocheaz comunicatiile, fie accept comunicatii despre care nu se stie cit de sigure sint.
IPSec driver este de fapt fisierul IPSEC.SYS, fisier care exist’ pe orice masint W2K
(C:\WINNTisystem32\drivers). Acest driver analizeazi toate datagramele IP pentru a
vedea dacd respecti filtrele impuse prin politica de securitate a calculatorului respectiv.
Aceste filtre sint grupate intr-o list gi detinesc, in fapt, care sint calculatoarele si re{elele
1, ISAKMP = Internet Security Association and Key Management Protocol.
PROIECTAREA $I ADMINISTRAREA RETELELOR 179
care necesit’ comunicatii securizate. Cind condigiile impuse prin filire sint indeplinite,
driverul IPSec de pe calculatorul sursa face apel la asocierea IPSec si la cheia de criptare.
Datele sint apoi transmise criptat citre destinatie. Aici, driverul IPSsec decripteaz& datele
si le transmite aplicatiei care a stat la baza transmisici
4, SOCKS'
Dup& cum spuneam citeva pagini mai inainte, acesta este un protocol folosit pentru
gateway-urile la nivel de circuit.
Cind un client doreste si se conecteze fa un server, aplicatia client se va conecta, mai
intli, la un proxy server SOCKS care se va conecta, apoi, la serverul de aplicafii.
Schimbul de date dintre client si serverul de aplicasii se va realiza prin intermediul
serverului SOCKS.
Exist dou& versiuni ale acestui protocol: SOCKSv4 si SOCKSvS. Prima versiune
indeplineste trei functii : lanseaza cererile de conexiune, stabileste circuitele si realizeaza
schimbul de date intre aplicatii. Versiunea 5 adaugi la aceste facilitati si posibilitatea
autentificarii clientului.
Mai multe detalii puteti afla la adresa hut : //www.socks.permeo.com.
5. Secure Shell (SSH)
Dezvoltat de catre SSH Communications Lid, Secure Shell este o aplicatie care permite
accesarea unui calculator aflat la distang’ prin intermediul unei conexiuni securizate,
Informagiile transmise intre cele dou calculatoare sint criptate si pot fi comprimate.
Clientul trebuie si se autentifice printr-o parola sau cheie de criptare. Criptarea poate fi
folosit’ si pentru identificarea sistemului.
Exist doa variante ale acestui standard: SSH1 si SSH2. Ambele variante ofera
variante impotriva atacurilor de tip spoofing.
Pentru mai multe detalii v3 recomanddm http : //www.employees.org/satch/ssh/ faq/
ssh-faq-1.html—sss1.1.
6. Secure Sockets Layer (SSL)
Probabil vi s-a intimplat s4 accesati un site a cArui adresd era de forma ,fittps ://...” in
loc de varianta clasicl. in termeni simpli, acest lucru inseamna ci sesiunea dintre
browserul dumneavoastra si serverul accesat este securizatt
SSL este un protocol de securitate dezvoltat initial de Netscape si RSA Data Security.
El realizeaza un canal privat de comunicatie intre doui calculatoare asigurind integritatea
si confidensialitatea datelor, dar si autentificarea partenerilor de dialog.
SSL are dou’ componente :
* un protocol pentru transferul datelor (SSL Record Protocol) folosind chei predefinite
si combinatii de autentificare ;
* un protocol pentru autentificarea inigiala a cliensilor si transferul cheilor de eriptare
(SSL Handshake Protocol).
Mai multe detalii pot fi obsinute direct de la sursi:
docs/manuals/security/sslin/contents.htm,
bhuep : //developer.netscape. com/
1. Definit in RFC 1928, 1929.
180 PROIECTAR:.\ RETELELOR DE CALCULATOARE.
7. Virtual private networks ‘VPN)
VPN reprezint’ un mod de a ce :cta locatii aflate la distan,a (filiale, utilizatori mobili,
clienti, farnizori etc.) intr-o uni: : retca virtual’, asigurindu-se mecanisme de securitate.
Pentru a realiza un VPN se #loseste un mediu public de transmisie - de exemplu,
Internetul - in locul liniilor de:'!cate care sint foarte scumpe sau ,,remote access” prin
dial-up la mari distanje geograf'~c. Prin folosirea serviciilor unui aga-numit furnizor de
servicii Internet (ISP - Internet Service Provider), se realizeaza foarte rapid conectarea
la Internet. Pentru cd acesti IS! sint foarte raspinditi, se pot alege in functie de zona
geografick in care se aflé sedis: central sau filialele companiei, asigurindu-se pentru
fiecare dintre acestea 0 conectare ‘oftin la Internet prin dial-up sau linie inchiriat& locala -
in functie de marimea si necesi::tile de comunicafie ale biroului sau filialei respective.
Spre exemplu, fiecare conect:::< la Internet prin dial-up implic’ doar costul unei
convorbiri locale (cu TSP-ul }:-cal). Prin folosirea unor mecanisme de securitate se
asigura confidentialitatea datel: r, Se pot utiliza mecanisme de criptare a datelor vehi-
culate, ceea ce inseamna c& numii expeditorul care posed’ cheia de criptare si destinatarul
care posed cheia de decriptare pot avea acces la date, De asemenea, prin mecanisme de
autentificare, se poate asigura ca numai utilizatorii autorizati s& aib& acces la informatiile
confidentiale ale companiei. V}’N creeaz4 asa-numitele tuncluri care strabat Internetul
intre sursa de date si destinajic. Acest tunel este invizibil pentru utilizatorii din afara
VPN; in plus, toate datele care se transmit prin tuneluri sint criptate. Fiecare utilizator
din VPN este verificat si comp:rat cu baza de date existent si i se aplicd nivelul de
securitate specific.
Virtual Private Network rez: !vii cea mai stringent problemi a Internetului : asigi
rarea confidentialit&tii datelor pin criptarea si incapsularea datelor in timpul transmiteri
Datele sint comprimate si apni incapsulate pentru a ascunde adresa fiecdrui pachet,
Datele incapsulate sint transinise princr-un tunel sigur care este initializat la fiecare
sesiune de transmisic date. Accst tunel se foloseste pentru a transmite numai date din
interioru! VPN. Dupa inigializarea tunelului, utilizatorul care doreste s4 comunice este
autentificat pe baza informatiilor introduse in baza de date a mecanismului central al
VPN. O data autentificat, utilizatorul are drept de acces Ja acele resurse din rejea la care
a fost autorizat de citre adminisiratorul retelei.
La capatul celalalt al tuneluisi - reyeaua locala a companiei - datele sint autentificate,
reasamblate si rutate cdtre calculatorul din reyea c&ruia i-au fost destinate, Datele din
tunel sint inaccesibile altor utilizatori din Internet, eliminindu-se astfel posibilitatea de
interceptare a pachetelor de d:
12.3. Proiectarea unei retele. Studiu de caz
1. Ipoteze de lucru
Daci pin’ in acest moment am prezentat aspectele generale cu privire la proiectarea unei
refele locale, 2 sosit momentul sk vedem si cum stau lucrurile din punct de vedere
practic. Vom lua ca exemplu dezvoltarea unei refele de dimensiuni mici! (maximum 100
de utilizatori). in scenariul nosiru trebuie s& tinem cont de:
1. Cele medii se considers eX au 199-500 utilizatori, iar cele mari, peste $00.
PROIECTAREA $1 ADMINISTRAREA RETELELOR it
Bugetul de care dispune firma pentru acest proiect ;
Aplicafiile care ruleazi sau care vor fi implementate intr-un vitor apropiat ;
Toleranja la cidere ;
Configuratia ;
Managementul rejelei ;
Experienta utilizatorilor si evolutia retelei.
Dupa cum spuneam la inceputul acestui capitol, proiectarea unei re(ele demareazi cu
etapa de identificare a aplicatiilor ce vor fi folosite in firm. De obicei, intr-o astfel de
re{ea, aplicatiile care ruleazi sint relativ simple: procesoare de text, programe de calcul
tabelar, e-mail, o aplicafie client-server, Web.
Prin urmare, astfel de aplicatii nu sint consumatoare de litime de banda, deoarece, in
majoritatea timpului, utilizatorii Iucreaz& cu figiere de pe propriile stati de lucru
Consumul de latime de banda apare in momentul autentifictrii utilizatorilor sau cind se
deschid fisierele de pe server.
Dac& tot am ajuns la servere, se poate presupune c&, in cele mai multe cazuri.
serverele sint Windows (de la NT la 2003 Server) sau Linux/Unix si ruleazi un sigur
protocol: TCP/IP. Refelele care ruleazi doar un protocol sint mai usor de proiectat si
depanat in situafia in care apar probleme. in eventualitatea in care se doreste utilizarea
unui router, acesta va putea fi unul mai ieftin care s& stie doar IP (nu va fi nevoie de un
router multiprotocol).
Din punctul de vedere al resursei umane, vom intilni unul sau doi administratori de
retea/ingineri de sistem. Se cuvine s& amintim c& in practica roméneasci este obligatoriu
s% ai cunostinte despre sistemul de operare daci te aventureai pe tirimul rejelelor.
Administrarea unef rejele nu este ined vizut’ distinet fai de sistemul de operare folosit,
iar administratorul de retea este in cele mai multe cazuri un fel de ,medic generalist”
care se pricepe mai mult la sistemul de operare decit la switch-urile/routerele din rejea
Daci ne intoarcem Ja aspectele cu care am inceput disculia, putem trage citeva
coneluzii :
* Din punctul de vedere al bugetului, intr-o astfel de refea echipamentele trebuie si
coste cit mai putin.
* Aplicatiile care ruleazA pot partaja in cele mai multe cazuri latimea de banda a
refelei. Pentru exceptii se va face apel la switch-uri.
© Pentru backbone este suficient% solutia oferits de switch-uri
* Configuratia va fi stea extins’.
* Ceringele legate de management sint minime. De obicei, administratorul rezolva
la fata locului toate problemele.
© Cregterea previzionati pe termen mediu este de 25-50%
Aici se cuvine s% facem o scurti precizare, Previzionarea dezvoltirii re{elei este etapa
cea mai dificil& din practic’, dup& parerca noastra ca efect a cel putin trei stiri de fapt
Pe de 0 parte, administratorul de refea se ocup3, dup’ cum spuneam, mai mult de
servere, iar pe de alt parte, in multe firme IT-u! este vizut ca un consumator de mari
resurse financiare si mai pujin producttor de profit. in al treilea rind, sint multe situatii
in care mai intii se aloct un buget pentru realizarea rejelei, iar 1a scurt timp se atl gi
sint aplicatiile care trebuie obligatoriu si ruleze in reqea!
182 PROIECTAREA RETELELOR DE CALCULATOARE
Asa stind lucrurile, nu ne rimine decit s4 enumeram cerintele proiectului :
© 75 de utilizatori;
© un server pentru autentificare gi fisiere. in viitor se vor mai ad’uga dowd: unul
pentru baze de date si unul pentru acces la Internet ;
© 10 imprimame ;
* mail intern;
+ acces la Internet pentru anumiti utilizatori (Web, frp, e-mail) ;
* un server Web.
2. Identificarea ceringelor hardware - proiectarea fizicd
Conectica unei astfel de rejele nu implic& resurse sofisticate, dar inainte de a ajunge la
aceste componente, trebuie intelese functiile pe care le indeplinesc serverele si modul de
amplasare a acestora. Daca e s& facem o clasificare a serverelor din punctul de vedere al
utilizatorilor pe care fi deservesc, putem vorbi de servere organizafionale si servere
pentru grupuri de Iucru. Serverele organizationale ar trebui si fie cele care oferd servicii
tuturor utilizatorilor firmei: e-mail, www.
Cisco recomanda ca serverele organizationale s& fie amplasate in MDF (Main
Distribution Facility) pentru a se evita ca traficul cdtre acestea s& traverseze gi celelalte
rejele. MDF este o sald in care va fi localizat nodul principal al retelei firmei, amplasat&
de obicei cit mai aproape de locul in care se face legatura cu reteaua extern,
Ideal ar fi ca serverele grupurilor de lucru s& fie amplasate in IDF (Intermediate
Distribuiton Facility) sau, altfel spus, cit mai aproape de utilizatorii care au nevoie de
aplicatiile gizduite de aceste servere. in acest mod, traficul informational va traversa
infrastructura IDF-ului respectiv fri a mai afecta gi alti utilizatori. Pentru a lega
IDF-urile de MDF se recomanda folosirea unor switch-uri care si ofere o ligime de
banda de cel pugin 100Mbps.
Selecia si amplasarea echipamentelor reprezint& o decizie care trebuie s& aibt la baz
in primul rind reducerea coliziunilor in retea. Numarul broadcast-urilor devine excesiv
in momentul in care exist prea multe pachete-client ce necesit& servicii sau prea multe
pachete-server care anunja servicii, actualiziri ale tabelelor ARP etc,
Pe mésura ce re{eaua se dezvolt, incluzind din ce in ce mai multe noduri pe acelasi
segment, sansa ca un astfel de nod s& nu mai functioneze este destul de mare: creste
numérul coliziunilor. Chiar dac& acest fenomen este ceva normal in cazul Ethernet, un
numa excesiv de coliziuni contribuie la reducerea latimii de band’. fn majoritatea
cazurilor, lasimea de banda teoreticd se reduce cu pind la 40% din cauza coliziunilor.
Solutia o reprezinté bineinfeles segmentarea.
Utilizatorii acestei rejele vor fi impirtiti in dow’ categorii, in functie de aplicatiile pe
care le folosesc: productivi (cei care folosesc aplicatii in mod constant, imprima
documente etc) si administrativi (folosesc calculatorul ocazional pentru mai] sau tehno-
redactare). Este nevoie de o astfel de clasificare pentru a putea oferi fiecdrei categorii de
utilizatori resursele exacte de care are nevoie.
La o prima vedere, refeaua noastra va putea arita ca in figura urmitoare, dac& lum
in calcul doar alocarea unui buget cit mai mic.
PROIECTAREA $I ADMINISTRAREA RETELELOR 183,
seneffisiere
MDF |
|
|
eq 100s:
Ty
Product
Impaenania
Figura 12.3.1, Structura unc reyele
‘Am folosit un hub cu porturi pe 10Mbps pentr a conecta utilizatorii din grupul
administrativ, pentru ci am considerat c& acestia 2 au nevoie de mai mult pentru
sarcinile curente. in plus, este si mai ieftin decit un switch.
Pentru utilizatorii din grupul productiv am luat in calcul doud legaturi: una pe
10Mbps si cealalt4 pe 100Mbps. Switch-urile din ML2F si IDF 1 sint Catalyst 1900 si,
chiar dac& au cite 24 porturi pe 10 Mbps, pentru lAjime de band’ mai mare nu dispun
decit de dou’ porturi pe 100 Mbps.
Rejeaua de mai sus nu fine cont insi de dezvoliirile viitoare: aparitia unor noi
servere, cresterea numéarului de utilizatori, accesul |i: internet.
Daca ins& vom cduta si tinem cont de toate spectele enumerate la inceputul
scenariului si vom aloca ceva mai multe resurse finayiciare, se impun citeva schimbari.
O solutie ar fi ca switch-ul din MDF sa fie unul ci: maj multe porturi pe 100Mbps
pentru a putea conecta cit mai multe servere sau switch-uri. {n al doilea rind, ca efect
al acestei schimbari, backbone-ul rejelei interne trsduie si ofere gi e! tot 100Mbps.
Propunem deci ca switch-urile din IDF2 si fie din acceagi categorie, iar cel din IDF 1
si fie unul cu cel putin 2 porturi pe 1OOMbps, iar restul pe 10 Mbps. Daéi se doreste
economie in bugetul proiectului, se poate renunj2 la switch-ul din IDF 1 si este
recomandabila inlocuirea acestuia cu un hub.
184 PROIECTAR
ELELOR DE CALCULATOARE
Diagrama fizicd a noii re{ele «i. putea arta ca in fig. 12.3.2:
Senerweayrall
sefertowe Srna
es
teenie
a
Product
Figur 12.3.2. Diagrama fizick a rejelei
Nu am luat in calcul caracicvisticile cladirii pentru care se realizeaz& acest proiect.
3. Proiectarea logicd
In proiectarea logic’ a refelei :
vedere al securit%tii sau al ac:
varianta amplas%rii tuturor disp
din diagrama anterioar’ (exis
varianta pe care am ales-o.
duie s4 pornim de la ceea ce se doreste din punctul de
sului. Dac& nu se impun restrictii se poate opta pentru
itivelor intr-o singur rejea. Dup& cum se observa si
singurd legaturd intre router si switch), aceasta este si
Adresarea
Pentru o refea cu pint la 100 de .tilizatori vom folosi o rejea din clasa C: 192.168. 1.0/24.
Pentru a fi mai ugor de s,
in mod implicit, dar accasti combinatie poate fi schimbat& cu una mai rapid& apisind pe
butonul Change Key Sequence si se poate schimba combinagia de taste in ,
dupa care se actioneazi butonul OK. inchideti aceasta fereastra prin butonul OK si
treceji 1a pasul urméitor apisind butonul Next.
Pasul 7 ~ Personalizarea software-ului
fn aceast’ etapa se introduc informatii generale despre numele celui care a achizitionat
licenta pentru sistemul de operare (completati cAsuja Name) si numele organizatci
(cAsuja Organization).
INSTALAREA $I CONFIGURAREA LOGICA A UNEI RETELE LOCALE 197
Actionarea butonului Next vi aduce in fata ferestrei de introducere a cheii de
verificare a autenticititii software-uliti pe care+1 folositi. Dact nu aveti un astfel de
numér, instalarea se poate opri aici, Utilizarea altui numér serial decit cel oferit de
licenta pe care ati achizitionat-o reprezinti o fraud’ si se pedepseste conform legilor in
vigoare.
Pasul 8 - Modul de licenjiere
Windows 2000 server suporta 2 tipuri de licentiere :
© per server, pentru stabilirea de ciitre server a numarului de conexiuni concurente ;
* per seat, in care fiecare statie de lucru din domeniu are propriul stu C.A.L.
(Client Access License) achizitionat o data cu sistemul de calcul.
$i totusi, prima varianta pare a fi mai valabil& pentru c& intr-o reyea pot exista sisteme
hibride cu diferite sisteme de operare care ar putea s¥ nu aibi un C.A.L.
in modul de licentiere per server, numérul de conexiuni este dat de numi&rul cliengilor
care a fost achizijionat o data cu sistemul de operare. Acest numir poate fi schimbat si
se stabileste in funcie de necesitajile fiecdrei retele: de exemplu, daci aveti o retea de
50 de calculatoare, numarul optim de conexiuni simultane poate fi 100 sau 150, numarul
minim fiind de 50.
Pasul 9 ~ Numele calculatorutui si parola de administrator
in aceasta etapa trebuie si se stabileascd numele calculatorului, care trebuie si fie diferit
de alte denumiri din retea pentru a nu intra in conflict. Numele implicit este generat
automat (de exemplu: FEAA-T0306UGO0ID), dar pentru o mai bunt recunoastere in
relca 0 stil schimb&m cu o denumire sugestiva mai usor de refinut: Server-O1. Nu puteti
folosi in denumirea calculatoarelor o scrie de caractere speciale sau caractere romanesti,
aga cX VE recomand’m si folosili doar caractere, litere si underscore (Jinie jos) sau
cratima,
Parola utilizatorului Administrator trebuie s& reprezinte 0 combinatie de caractere :
Tiere, cifre sau caractere speciale in asa fel Incit s4 nu dep%seasci 127 caractere gi sd nu
se bazeze pe cuvinte uzuale, date de nastere sau numirul de la masin’. Utilizarea
caracterului spatiu sau a caracterelor speciale (numere in combinatie cu tasta ALT din
stinga tastaturii) face dintr-o parol una mai puternici care ar lua foarte mult timp
ptogramelor de decriptare a parolei sic descopere. Dup’ cum v-ati imaginat, parola nu
este vizibil&, dar in exemplul nostru, vom folosi o parol format din 6 caractere asterix
(*). Dac in cisuja de confirmare a parolei nu afi introdus aceeasi parola, nu puteti trece
a pasul urmator,
Pasul 10 - Stabilirea componentelor care vor fi instalate
Componentele pe care doriti s& le instalati sint dependente de necesitatile viitorului
server, Din aceasti fereastra anumite componente au si subcomponente pe care le puteti
vizualiza apisind butonul Details. Vi oferim, in continuare, o configuratie minima
necesari unui viitor server de domeniu.
198 PROIECTAREA RETELELOR DE CALCULATOARE
Witiinecae
‘Windows 2000 Components
You can add or remove components of Windows 2000,
"Tot wis teuat
isk
Figura 13.2.3. Alegerea componentelor care vor fi instalate
Din subcomponentele categoriei Accessories and Utilities;
© dezactivati Accessibility Wizard, dac& persoana care va administra serverul nu are
probleme de natura fizica ;
* din Communications, dezactiva\i Phone Dialer, dac& nu va conectati la Internet de
pe acest server printr-un modem ;
© Games... de obicei noi le dezactivam, dar.., daci preconizati c& va veti plictisi la
serviciu puteti si le Asati. Dati-mi voie s4 dezactivez in configuratia mea jocurile
Freecell si Minisweeper pentru cA nu le-am injeles niciodata ;
© dact aveti plack de sunet pe server, puteti s& pastrati componentele Multimedia,
dar... un server de obicei se instaleaz%, se configureaz%, se pune tntr-un dulap sub
chcie si se maj verificd din cind in cind. Opinia noastra este ci ,serverul e server,
‘nu statie de jocuri sau pentru ascultat muzica”! Asadar, am dezactivat deja
optiunea Multimedia.
Aceste componente pot fi instalate sau dezinstalate ulterior.
Certificate Service reprezinté suportul pentru aplicatiile care utilizeaza chei publice
de securitate, permijind instalarea si configurarea certificatelor de autoritate (Certificate
Authority). Nu instaliim aceast component’ in aceasti etapa.
Indexing Service reprezinta serviciul care face disponibil cdutarca rapid’ a figierelor
bazati pe textul din conjinutul acestora. Acest serviciu este ins unul care ocup’ si
foloseste sistematic destul de multe resurse logice, mai ales in cazul serverelor de figiere.
Dezactivim in aceast& etapa si serviciul respectiv.
INSTALAREA $1 CONFIGURAREA LOGICA A UNEI RETELE LOCALE 199
Internet Information Service (US) reprezinta serviciul care se instaleaza si se configureaza
pentru a putea pune !a dispozitie fisiere via Web, utilizind serviciul HTTP. Atentie: nu
instalai acest serviciu pe serverele de domeniu, pentru c& accesul prin HTTP reprezinté
un risc de securitate suplimentar intr-o rejea de calculatoare.
Daca serverul pe care instalati nu este server de domeniu, puteti instala acest serviciu,
dar o si intrim putin in detaliile acestuia :
ea oi carive a eshpenant cll hw check box A sede box means shat or pat
of the component wil be instaled. 70 see Whats nchaded in @ component. clck Otel
“subcomponents ofinleme Infotnaticn Services (1S)
fA <> Common Files
| |i CYOocumentstion
CI E-File Transfer Protocol (FTP) Server
“1M & FrontPage 2000 Server Extensions
[24 Inteinet [nformation Services Snapin
1 Q Internet Services Manage: (HTML)
! EI fA NNTP Service
i: Tota dk spade weaved, “ag2k MB
"Space dyiste on disks 5° 1012.3 MB
Figura 13.2.4. Prozentarea detaliat a componentelor serviciului 11S
* Serviciul de transfer al fisierelor (FTP) este dezactivat si vi recomandim si-l
Lisati aga;
dezactivati opjiunea Internet Service Manager (HTML) pentru c& un personaj
negativ cu pujin mai mult experiengé intr-ale dedesubturilor [1S-ului va poate
schimba paginile de pe serverul d-voastra de Web ;
dezactivati si optiunea de SMTP Service si trecesi mai departe prin actionarea
butonului OK.
Notdé: Dac se tntrerupe curentul in timpul instalArii sau configurdrli, nu intragi in panic& :
luaji-o cu calm de ta capat (pentru cd toate setarile si personalizarile efectuate in
etapa aceasta au fost pierdutc!) si notati in planul d-voastra de achizitii necesitatea
unei surse neintreruptibile de curent (UPS).
Serverul pe care il instaltim in aceasti etapa va fi configurat drept server de domeniu,
de aceea noi dezactivam optiunea IIS.
Din componenta Management and Monitoring Tools vom activa Network Monitor
Tools pentru c& va fi nevoie de ea la urmérirea traficului pe retea
200 LOR DE CALCULATOARE
Celelalte componente pot ramine neselectate in aceast’ ctap’, dar dac& doriti sé vi
accesafi serverul de pe alta siatie sau dintr-o alti rejea, trebuie s& activati optiunea
Terminal Services.
in total, dup’ specificagitie de mai sus, componentele vor ocupa 30.2 Mb pe disc.
Treceji mai departe apasind butonul Next!
Pasul I] ~ Personalizarea datei si a orei
De obicei data si ora sint preluate automat din BIOS-u! sistemului, dar dacd exist& erori
corectati-le. Zona oraré (Time Zone) pentru Romania este GMT +2.
Pasul 12 - Parametrii de cunfigurare a serviciului Terminal Services
Terminal Services este un serviciu care poate fi utilizat in doud moduri:
© in mod administrativ (remote administration mode), posibilitate prin care un
numér limitat de utilizatori se pot conecta la server de la distangi in scopuri
administrative (numarul maxim de conexiuni este 2);
* In mod server de aplicatii (Application server mode) - permite utilizatorilor care
se conecteazi la server s ruleze una sau mai multe aplicatii instalate pe acesta.
Aceasté modalitate este foarte uzuala in cazui retelelor de calculatoare care
utilizeaza sisteme de calcul perisate moral. Modul de licentiere este separat,
fiecare statie client trebuind s& aiba o licenga de lucru individuala.
Peniru ci serverul pe cxre-l instalim nu va fi unul de aplicatii, selectim prima
optiune si trecem la pasul urmator.
Pasul 13 - Setdrile pentru refea
Aceast etapa incepe cu instiarea componentelor, care dureazi aproximativ un minut (in
functie de configuratia hardware pe care o aveti), dupa care trebuie s& configurém
parametrii prin selectarea opyinii Custom Settings. Din fereastra care urmeazii ne intereseazi
optiunea Internet Protocol (TCP/IP). Click pe optiunea specificata si apoi pe butonul
Properties. in fereastra Internet Protocol (TCP/IP) Properties selectati optiunea Use the
following IP address si introduceti datele de identificare a serverului d-voastra tn rejea.
Nott: De unde stim care sint datele de configurare pe care sf le introducem in accastA etapt! ?
intr-unul din capitolete ‘anterioare ati invagat cum se calculeazA adresele de retea. in
cazul in care serverul pe care il folosigi sc afl intr-o retea nou%, atribuigi primul IP
din plaja de IP-uri pe care afi obtinut-o in urma calculetor. De exemplu, dack doriti
si realizati o retea cu maximum 254 de hostauri, o adrest de retea poate fi 172.172.172.0
cu valoarea 255,255.255.0 pentru Subnet Mask. Adress pe care 0 vom folosi pentru
primul server din rejea va fi 172.172.172.1. Nu este obligatori acest Iucru !
in aceasti etapa, cind nu sint cunoscute prea multe detalii, puteti completa doar
cimpurile JP address si Subnet Mask.
Puteti trece, apoi, mai departe la stabilirea apartenentei serverului la un domeniu de
calculatoare (dac& cxist un astfel de domeniu configurat) sau intr-un workgroup (grup
de lucru) a cérui nume trebuie specificat in cAsuja de text Workgroup or computer domain.
INSTALAREA $] CONFIGURAREA LOGICA A UNE! RETELE LOCALE 201
Dup’ specificarea numelui grupului de lucru (in cazul nostru Grup/) aplicaia Serup
transmite informatiile de configurare in rejea pentru a verifica dact nu exist’ alte
dispozitive in rejea care au acelasi nume sau acelasi IP.
Etapa ulterioard este aceea a copierii, instal&rii si configurarii componentelor specificate
in etapele anterioare.
Ultima etap’, inaintea repornirii finale, este Performing Final Tasks in care se
instaleazt clile scurte (shorteut) pentru anumite componente si aplicagii in meniul Starr,
se inregistreaz4 componentele, se salveaza setirile si se sterg figierele temporare utilizate
la procesul de instalare. Ultima interventie : la sfirsit ap&sati butonul Finish, repornirea
calculatorului realizindu-se automat.
Este posibil ca, in functie de dispozitivele hardware, dupa prima logare s4°va apara
un mesaj de repornire a calculatorului pentru inisializarea corect’ a acestora. fn cazul in
care unul dintre dispozitivele hardware nu se afla in HCL (Hardware Compatible List ~
Lista dispozitivelor fizice compatibile), folositi driverele de instalare obtinute 0 dat cu
achizitia sisterului respectiv.
13.3. Configurarea serverului W2K
in vederea realizarii unui domeniu W2K
Dup& prima conectare pe server se va deschide automat o fereastr’ de configurare
(fig. 13.3.1) care va poate ajuta si vi configurati serverul d-voastr4, principalele optiuni
pe care le aveti sint:
* Active directory ~ serviciul pentru configurares si administrarea utilizatorilor
Settings +> Control Panel — Administrative
Tools.
20 PROIECTAREA RETELEIOR DE CALCULATOARE
Figura 13.3.1. Fereastra de configurare a rolului serverului
‘Tabelul 13.3.1. Principalele instrumente de administrare
Categorie Explicatii|
Componenta de configurare si gestionarea a aplicatiilor COM-+.
Component
Services
= eee ; ;
a Conjine diferite instrumente pentru administrarea sistemului local, dar gi a
Computer _| altor sisteme precum si gestionarea discurilor locale,
Management
Personalizarea si configurarea serviciilor Windows precum si a componen-
telor de rejea. Aceasta este componenta care lanseaz% aplicajia prezentatd tn
Configure figura nr, 13.3.1,
Your Server
g x
2 Addugarea, stergerea si configurarea componentelor ODBC (Open DataBase
Data Sources | Connectivity).
(ODBC)
a.
Componenta de create si gestionare a unui sistem de fisiere logic, compus
Distributed File | din directoare puse la dispozitie pe diferite calculatoare din rejea.
‘System
INSTALAREA $I CONFIGURAREA LOGICA A UNEI RETELE LOCALE
Categorie ‘Explicatii
id
2 Afigeazii diferite mesaje de la sistemul de operare precum si de Ja alte
Event Viewer aplicapii.
iat Gestionarea accesului clientilor catre diferite produse de tip server.
ticensing
a Vizualizarea si modificarea politicilor locale de securitate, de exemplu,
tocal Security | drepturile utilizatorilor.
Policy
2 ‘Capturarea pachetelor din refea pentru a V4 ajuta si detectati si analizati dife-
Network, rite probleme din rejea.
Monitor
5
{ Afisarea in mod grafic a performantelor sistemului precum si configurarea
f sistemului de inregistrare si alertare.
Performance
Se Configurarea si gestionarea serviciului de rutare precum si a serviciului de
Routing and acces la distan\é.
Remote
&& Pornirea, configurarea si oprirea serviciilor Windows.
Services
be
Telnet Server
Administration
Vizualizarea si modificarea setarilor $i conexiunilor prin serviciul Telnet.
=
Terminal
Services Cli...
Crearea suportului pentru instalarea clientului de conexiune la serverele de
Terminal Services.
Terminal
Services C...
Gestionarea parametrilor pentru Terminal Services.
Gestiunea si monitorizarea utilizatorilor de Terminal Services conectati la unul
dintre serverele din refea.
204 PROIECTAREA RETELELOR DE CALCULATOARE
Pe ling’ anumite componente care au fost deja succint prezentate anterior, Computer
Management include gi alte utilicare care vor fi prezentate in sectiunea urmatoare :
A. Event Viewer (aplicatia de vigualizare a mesajelor despre diferite evenimente)
include 3 categorii de inregistrari :
© monitorizarea mesajelor de la aplicatiile instalate ;
* monitoarizarea mesajelor de securitate ;
© monitorizarea mesajelor de sistem.
Pentru a vizualiza un mesaj in mod detaliat trebuie deschis prin dublu click. Exist’
trei tipuri de mesaje : Jnformation (mesaje de informare), Warning (mesaje de alarms) si
Error (mesaje de eroare).
SWAT paereoa preva ly
640KB (OSES byes)
“Monday, Jane 09, 2003 25243 AM
Morley dude 09,2008 215353 AM
Meiney die 09,2008 25359 aM
27), @ Overwta events sider than [7
“f20: Dondk oraamte events
{fo pe lear t6g mandaly) 2
Figura 13.3.2. Fereastra de proprietati a unei categorii de mesaje Application
Fiecare categorie din Event Viewer poate fi parametrizat’, prin click dreapta al
mouse-ului pe ea si alegerea optiunii Properties din meniul contextual afisat.
Principalele opjiuni sint:
* Maximum log size (mirimea maxim’ a figierului care stocheazt inregistrarile) -
exprimat in Kb. Va recomandim s& miriti de 2-3 ori capacitatea de stocare 2
fisierului respectiv pentru fiecare categorie in parte.
* Actiunea care se va efectua in momentul in care fisierul de log a ajuns la
dimensiunea maxima unde putem alege: suprascrierea evenimentelor dact este
INSTALAREA $1 CONFIGURAREA LOGICA A UNE RETELE LOCALE 205
nevoie (Overwrite events as needed); suprascrierea evenimentelor mai vechi de 7
zile; stergerea manual& a inregistraritor.
© Stergerea cu posibilitatea de salvare a inregistrZrilor (butonu! Clear Log). inre-
gistrarile din Event Viewer pot fi salvate in formatul proprietar EVT sau intr-un
format mai larg CSV (coma separated value) care permite importul si analiza
informatiilor in aplicajii de calcul tabelar gi nu numai.
Nu mai insistim prea mult pe acest utilitar, pentru c& vom reveni intr-un capitol
separat de monitorizare si inregistrare a accesului. Trebuie, in schimb, si mentionam c&,
pin in momentul in care nu se activeazi politica de securitate pe sistemul local sau pe
domeniu, in categoria Security nu se va inregistra nici un mesaj
Nu recomand’im activarea politicii de securitate in aceast’ etap’, dar pentru aired
totusi aceast& operatiune trebuie si parcurgeti urmiitoarele ctape :
1, Start + Programs -> Administrative Tools — Local Security Policy.
2. In fereastra Local Security Settings in categoria Local Policies activati de la
subcategoria Audit Policy optiunile pentru: Audit account logon events, Audit
account management, Audit logon events, Audit policy change.
3. Dupa efectuarea schimbirilor respective si inchiderea ferestrelor deschise,
redeschizind Event Viewer o s& constataji c& deja au inceput sa apara inregistrari
in Security.
B. System information - ofer% un set de informatii generale asupra sistemului curent
grupate pe 5 categorii, neconfigurabile.
C. Shared Folders - prezint& informaii despre:
© directoarele puse la dispozitie i refea (Shares) cu posibilitatea schimbarii
permisiunilor sau a datelor despre share-ul respectiv precum $i a crearii de noi
informagii shared. Informatiile shared implicite sint: discurile locale (in cazul
nostru, singurul disc existent este C$), directorul WinNT care poarti numele de
share Admin8, precum si share-ul [PC$ care este destinat utilizatorilor din rejea in
vederea conectirii la viitoarcle imprimante, instalate in sistem, Comanda pentru
puncrea la dispozitic a unei informatii in retea este net share. Un mod de apelare
si utilizare a unei resurse puse la dispozitie in refea se poate realiza cu ajutorul
comenzii net use.
Not: Toate share-urile care sint postfixate cu caracterul dolar ($) sint cunoseute sub denu-
mirea de share-uri administrative. Administratorul unui sistem poate crea share-uri
administrative sub rezerva faptului e& acestea nu sint vizibile In mod normal in rejea, Acest
mod de ercare a shate-urilor este recomandat pentru ascunderea informatiilor private
+ sesiunile deschise pe sistemul curent (Sessions) cu posibilitatea deconeetarii unui
utilizator sau a inchiderii unei sesiuni. Aceast optiune este echivalenta comenzii
net sessions.
* fisierele deschise de pe sistemul curent (Open Files) - in care se specifica numele
utilizatorului, numele fisierului deschis, calea de pe server in care se afid figierul
respectiv precum si modul de deschidere a figicrului : pentru citire (read), scriere
206 PROIECTAREA RETELELOR DE CALCULATOARE
sicitire (Write + Read). Comanda folosita in mod text pentru vizualizarea acestor
informatii este net file.
D. Device manager - folosit pentru afisarea informatiilor si configurarea dispo-
zitivelor hardware.
E. Local Users and Groups este opjiunea care nu apare pe serverele configurate ca
servere de domeniu gi care permite crearea de utilizatori $i grupuri de utilizatori locali,
Crearea unui utilizator local :
1. In Local User and Groups, RClick Users > New User.
2. Scrieti numele de utilizator la cAsuta User Name, numele complet la Full Name,
© scurti descriere la Description, parola si confirmarea parolei la Password si
Confirm password.
3. Create.
Cele 4 opjiuni din fereastra de creare a utilizatorilor vor fi detaliate in capitolul
dedicat Active Directory.
F, Configurarea discurilor (Disk Management)
Una din cele mai importante optiuni este configurarea discurilor, optiune care poate
fi accesati din Computer Management — Storage > Disk Management.
Dacii serverul d-voastri este dotat cu mai multe hard discuri SCSI, se va declansa
automat aplicajia de semnare a discurilor (Write Signature and Update Disk Wizard) care
Vi va ajula si v& configurati un sistem de organizare RAID (Redundant Array of
Independent Disks) a discurilor d-voasta.
Parcurgeti pas cu pas etapele semnérii discurilor, nu inainte de a le selecta din lista
care apare dupa fereastra de intimpinare. Dupi terminarca acestei etape, toate discurile
in afard de discul 0 (primul disc) sint dinamice, adic& pot fi configurate in partitii
RAID.
Pentru a include si primul disc intr-un sistem RAID, trebuie transformat si acesta
intr-un disc de tip dinamic :
1. ‘RClick pe primul disc > Upgrade to Dynamic Disk > OK.
2. ‘Upgrade in fereastra Disks to Upgrade —» Yes in fereastra de informare Disk
Management.
3. Click Yes in fereastra de atentionare Upgrade Disks, click OK in fereastra de
confirmare a acfiunii de repornire a serverului.
4, Dupa repornire, trebuie s% mai efectuati inck 0 dat& operatiunea de repornire,
pentru inifializarea corecté a discurilor. Se poate continua $i fri aceasti nouk
operajiune de repornire, dar nu v4 recomand&m pentru ci este posibil s& obtinefi
anumite erori in procesul de configurare dinamici a discurilor.
Nord: Dac aveti un singur disc, nu sint necesare aceste operatiuni.
INSTALAREA $I CONFIGURAREA LOGICA A UNEI RETELE LOCALE 207
Wate [pepper ate > [Sas apy
3 (C:) Partition Basic NTFS Healthy (System) 1.46 GB
| 29 winz000_EN (0:) Partition Basic ‘COFS Heatthy 485 MB.
¢ ea
1.46 GB NTFS
Healthy (System)
2.00 6B
[Unalocated
|WIN2000_EN (0:)
487 MB COFS
Healthy
Figura 13.3.3. Fereastra de prezentare a 3 discuri neconfigurate in Disk Management
Dup& repornire, intrati din nou in Computer Management la Disk Management si veti
observa in acest moment cd si discul 0 este dinamic. Acest lucru va permite o clonare a
partigiei de startare a sistemului de operare pe oricare dintre discurile 1 sau 2:
1. RClick pe partitia C: > Add Mirror.
2, Alegesi din fereastra in care apare Discul 1 -» OK —> OK in fereastra de
atentionare cu privire la schimbirile pe care trebuie s& le efectuati in figierul
boot.ini pentru a putea porni sistemul de operare de pe al doilea disc. Aceasti
operatiune este foarte util pentru siguranta sistemului d-voastra, pentru c, dac
unul din discurile 0 sau 1 sufer% o defectiune fizicd, veti putea folosi serverul fark
nici o problema, sistemul de operare fiind salvat si pe al doilea disc (Disk 1).
3. Urmeazd un proces de regenerare a figierelor sistemului de operare (Regenerating).
Spatiul rimas liber dupa operagiunea de protejare in oglind& poate fi transformat in
partitii
1, RClik (pe spafiul nealocat) > Create Volume — Next.
2, Pe sistemele pe care sint instalate mai multe discuri putem crea urm&toarele tipuri
de partigii:
o Simple volume - utilizeaz& spatiul de pe un singur disk. in fereastra care
urmeazi dupa apasarea butonului Next, avem posibilitatea de specificare a
dimensiunii noii partigii, dimensiune care nu poate depisi spatiul maxim
disponibil. La pasul urmator, se asigneazd o liter noii partitii, apoi la urm’-
toarea fereastra (fig. 13.3.4) se specificd sistemul de figiere care va fi utilizat
(File System to use): FAT, FAT32, recomandarea noastr& fiind NTFS, la
Volume label specificati o etichetd dorit’ pentru partigia respectiva (de exemplu,
208 LELOR DE CALCULATOARE
Format Volume
You can curterize the fonsaing of the pation
Specly mutt you nect is ornate volume,
© Donat erate velame
© Format bis veti9 a8 flows: .
Peden » Quick Format.” Enable fle and ode eonncessioh:
+ Fomaing :
| Flegitanioure, z t
i Allocation une size: Detauit iE
| Vokame later [New Volume
Figura 13.3.4. Fereastra de formatare a partitiilor
© Spanned volume ~ presipune crearea unei partitii prin alocarea de spatiu de pe
mai multe discuri, sau de pe toate discurile. Se poate crea o partifie din tot
spatiul rimas pe discuri sau numai de pe o parte din discuri, sau numai o parte
din spafiul disponibil. Suma alocirilor de pe fiecare dise reprezint& volumul
total al viitoarei partisii.
0 Striped volume - presupune crearea unei partigii utilizind spatiul de pe 2 sau
mai multe discuri, prin alocarea aceluiasi spatiu pe fiecare din discurile alese,
volumu! total al viitozrei partifii fiind egal cu nr.discurilor*spatiul alocat.
Not: $tergerca unei partitii: RClick (pe partitia care se doreste a fi stearst, in afard de
partigia system) ~» Delete volume + Yes
© RAID-5 volume - presupune alocarea de spatiu egal de pe fiecare disc,
dimensiunea total’ a viitoarei partitii find egal’ cu nr.partitiilor*volumul_alo-
cat ~ volumul_alocat pe o partitie. Avantajul acestor tipuri de partitii este acela
c& securitatea datelor este mult mai bund decit in cazul celorlalte tipuri, alt
avantaj fiind viteza dv acces la date mai mare.
in cazul in care avei prea multe partigii si acest ucru va provoact probleme privind
gestionarea acestora, vi recomandam schimbarea literelor partifiilor, precum si a etiche-
telor acestora, corespunz&tor destinatiei fiecarei partitii
fn figura nr. 13.3.5 este pre-entat’ o posibild structurd pentru un server de domeniu:
INSTALAREA $1 CONFIGURAREA LOGICA A UNE! RETELE 209
ea Tiere [nee TFS [a [set ree Spoce_[efiee [ou [overs]
[Eanes ro Seemed Dyer IFS. Heathy Tae 1208 Oe
[aravaie ‘iced Oyarsz TPS ——_Heay Voce saree Hmm
ssi Oyanie. TFS) Heaty oe GU Nw Oe
[Dsysem(c) Mir yramic TFS Hea (Sytem) abe OSEMG 4% es SH
[Buse Sneie yan NTFS —aathy mM wm
jedwin2000_EN Perthion — Basie COFS, Heakhy 486 MB ome 0% moh
[ePraoae(S) RAIDS ame NFS Healy ersva CEB 5% yes
Bibs
Dymaenic [sqiDate (5:) i
oe feanines
Std feat yen) teat
Seon | i eee
Drone» ‘system ce) les 7) sibare
Pobay ll Meee? rears nes eran
orton | ety tend ret sea
ealbate far) other (©)
scevnnrs Seeters a0 Ses
seth est ready J
ot (2)
irre co
ety
I Unetocted Bt Frisay Panton [8 Single Volo Bf Spenned Volune BY Stiped Votre B Mitwed Valen [= RAMOS Voke
Figura 13.3.5. Configuratia discurilor
Schimbarea etichetei unei partijii: RClick pe partitie > Properties + introduceti
noua etichet& in c&suta Label > OK.
Schimbarea literei unei partitii: RClick pe partitie + Change Driver Letter and
Path > Edit ~ alegeji o liter& disponibil4 din lista Assign @ drive letter » OK — Yes
in fereastra Confirm.
13.4. Crearea unui server pentru un nou domeniu
Una dintre cele mai importante etape in realizarea unei refele Windows este acccz de
creare a unui nou domeniu.
in Windows NT 4.0, serverele de domenii puteau fi de 2 tipuri: Primary Domain
Controller (PDC) si Backup Domain Controller (BDC), intr-o retea neputind exista decit
un singur PDC gi de la unul la mai multe BDC-uri, Configurarea ca PDC sau BDC se
tealiza de ta instalare.
in Windows 2000, serverul este un termen generic, care poate fi configurat in functic
de necesititi. Un server de domeniu este recunoscut generic sub denumirea de Domain
Controler (DC), intr-o retea putind exista mai multe astfel de servere care partajeazi
informatia din Active Directory in scopul unei mai mari sigurante a retelei
Proprietatea de Domain Controler este vazut in Windows 2000 ea un rol care poate
fischimbat usor intre diferitele servere din rejea, asigurind astfel o mai mare flexibilitate
a refelci. fn unele cazuri, primul server care a fost configurat ca DC in rejea este
recunoscut si ca Master Domain Controller (MDC), toate celelalte servere fiind Secondary
Domain Controller (SDC).
210 PROIECTAREA RETELELOR DE CALCULATOARE
Instalare Active Directory
Pasul | ~ Lansarea in executie a ferestrei de configurare
Start — Programs —> Administrative Tools > Configure Your Server.
Pasul 2 ~ Instalare Active Directory
in fereastra care s-a deschis se apast pe Active Directory si in josul ferestrei exist
hyperlink-ul Start.
in fereastra de Welcome apasati Next, apoi in alegerea tipului serverului: pentru un
domeniu nou (Domain controller for a new domain) sau ca un server suplimentar pentru
un domeniu existent (Additional domain controller for an existing domain).
Atengie : Dac& aveti conturi de utilizatori locale precum si alte setiri de securitate si
csuje de e-mail pe serverul pe care doriti s& configurati Active Directory, aceste vor fi
gterse automat.
in cazul nostru, instalind primul server, vom alege prima opjiune si trecem la etapa
urma&toare.
Pasul 3 - Crearea unui arbore de domenii
in Active Directory rejelele locale sint organizate arborescent, momentul configurarii
primului server din rejea coincide cu crearea unui nou arbore de domenii. Alegeti,
asadar, prima optiune (Create a new domain tree) si trecegi la pasul urmitor unde va
trebui si creafi o nou’ ,padure” (forest).
Pasul 4 - Crearea unui nou nume de domenii
Active Directory presupune existenta unei alte structuri arborescente care reprezint
scheletul de comunicatie intre stagiile din viitorul domeniu. Acest nou serviciu care
trebuie instalat este DNS (Domain Name System - Sistemul numelor de domenii),
Programele utilizate, in mod curent, se refera rareori la sistemele gazda, cutii postale
si alte resurse prin adresa lor binara (IP), in locul acesteia fiind folosite siruri de
caractere de forma:
nume_host.subdomeniul...subdomeniu_n.domeniu
Folosirea unor siruri de caractere in locul adreselor binare duce la utilizarea usoara
a adreselor, fiind mult mai usor de rejinut decit niste numere care nu spun mare lucru
utilizatorilor obignuiji. Va fi necesar un mecanism care s& permitd convertirea unci
adrese din format ASCII in format IP, singurul format recunoscut in rejea. De exemplu,
reteaua ARPANET avea un site ce continea un fisier text numit host.txt, care cuprindea
toate sistemele gazda si adresele lor, Conversia intre adrese era realizatS pe baza acestui
fisier, ins& aceast& modalitate este rezonabil& doar intr-o retea ce contine citeva sute de
masini gazd’,
Structura arborescenta a DNS permite utilizarea de domenii cu acelasi nume. Pentru
a se stabili corespondenja intre nume si adresa IP se procedeazi astfel :
* programul de aplicatie apeleaz o procedura de bibliotect (resolver), transferindi
a parametru numele de domeniu ;
* resolver-ul trimite un pachet UDP la serverul local DNS, care cautd numele gi
returneaza adresa IP asociat& acestuia ;
* avind adresa IP, programul apelant poate stabili o conexiune TCP cu destinatia.
INSTALAREA SI CONFIGURAREA LOGICA A UNEI RETELE LOCALE 21
Extinderea domeniilor de la diferite niveluri ale arborelui DNS se poate realiza prin
crearea de proxy servere, care permit calculatoarelor unei refele st acceseze in sens unic
resursele retelei Internet, acestea nefiind ,vazute” din exterior.
in Windows 2000 Server, numele de DNS contine si numele de NetB/OS al viitorului
nume al domeniului de calculatoare.
in cazul nostru, vom folosi drept denumire a domeniului mydom.myorg.ro. Numele
complet al fiecrei stajii din viitorul domeniu va fi format din numele acesteia (NetBIOS
Name) urmat de numele domeniului DNS.
Pasul urmator este reprezentat de specificarea numelui de NetBIOS al domeniului,
propunerea implicit’ find reprezentat’ de prima categorie: mydom.
Locatia implicita a bazei de date cu informatiile din Active Directory este in directorul
WINNT, subdirectorul NTDS, pe discul pe care a fost instalat sistemul de operare (in
cazul nostru, partijia C:). AceastA locajie poate fi schimbata (prin apasarea butonului
Browse), dar nu vi deranjeazi cu nimic dact rimine acolo. De asemenea, log-urile
Gurnalul de activitate) sint salvate implicit 1a aceeasi adres de pe disc.
Pentru ca anumite obiecte din Active Directory s& poat fi accesibile din orice punct
al re{elei, acestea trebuie sX fie puse la dispozitie in retea prin crearea unui share. Locul
de salvare a acestor obiecte este in ditectorul WINNT, subdirectorul SYSVOL. V4
recomandim si folositi optiunile implicite !
L:( {The wizard cari contact the DNS server that handles the neme "mydom.myorg.r0" to
MLA determine if t supports dynamic update. Confirm your ONS configuration, ot instal and
°° configure @ DNS server on this Computer.
Figura 13.4.1. Fereastra care preceda instalarea serviciului DNS
Aparigia ferestrei de informare din figura 13.4.1 denot& faptul ca in refeaua d-voastr&
nu exist nici un server configurat ca DNS care si poarte numele specificat intr-o etapa
anterioard. Utilitarul de instalare si configurare a Active Directory vA ofert posibilitatea
de configurare in aceasta etapd a acestui serviciu.
Apasafi butonul OK si alegeti optiunea de instalare si configurare automat& (reco-
mandat2) a serviciului DNS pe calculatorul curent.
Pasul 5 ~ Permisiunile
Aceasti etapa este foarte importanté din punctul de vedere al structurii refelei d-voastra.
Prima optiune (Permissions compatible with pre-Windows 2000 servers) va ofera pos!
bilitatea de a conecta la serverul d-voastra stafii care au instalat sisteme de operare mai
vechi decit Windows 2000. A doua opfiune (Permissions compatible only with Windows
2000 servers) asigura 0 securitate mult mai bun’ domeniului d-voastra.
in cazul in care toate stajiile si servercle din domeniul d-voastra au drept sistem de
operare Windows 2000 sau un sistem Windows mai nou, vi recomandim cu cildur& a
doua optiune. Daca nu, atunci obligatoriu este si folosifi prima optiune.
212 PROIECTAREA RETELFLOR DE CALCULATOARE
in cazul in care pe viitor pot exista cXderi ale serviciului Active Directory, serverul
poate fi pornit in Directory Service Restore Mode care permite o recuperare a informa-
fiilor. Pentru accesul la aceastt opjiune aveti nevoie de o parola pe care o puteti specifica
in fereastra urm&toare. Pentru a accesa optiunea de Restore, introduceti CD-ul cu kit-ul
de instalare a sistemului de operare in unitatea de CD-ROM gi reporniti sistemul. Dup
repornire, se lanseazi aplicatia Setup de pe CD si alegeti optiunea Restore (tasta R).
Pasul 6 - Ultima etapa
Ultima etap% ne prezinta un scurt sumar al informatiilor configurate, dup’ care se trece
la configurarea efectiva a Active Directory.
Pentru a putea configura Active Directory aveti nevoie de CD-ul de instalare a
sistemului de operare W2K Server. intr-o etapa anterioara, litera CD-ROM-ului a fost
schimbat cu Z: asa cd fisierele de instalare trebuie c&utate la aceast nou’ locatie, in
directorul 1386 de pe discul d-voastra.
Finalizarea instalarii presupune in acelasi timp repornirea serverului pentru inigiali-
zarea noilor parametri de configurare a acestuia.
Dupi repornire, in fereastra de conectare (Log On to Windows) apare o nou’ list de
optiuni din care putesi alege domeniul la care va veji conecta. Pe fiecare stajie de lucru
inclusi in viitorul domeniu va aparea, pe ling’ numele domeniului, numele de NetBIOS
al statiei.
Pentru a nu mai vizualiza de fiecare dati la repornire fereastra de configurare a
serverului, dezactivati optiunea Show this screen at startup si inchideti fereastra,
Una dintre ultimele modificari pe care trebuie si le efectuati este reprezentatt de
schimbarea adresei DNS de la configurarea adaptorului de retea din 127.0.0.1 (adresa de
loopback) in adresa serverului care reprezintd in acest moment si server de DNS:
1. RClick (pe pictograma My Network Places) —> Properties.
2. RClick (pe Locai Area Connection) -> Properties.
3. Internet Protocol (TCP/IP) —> Properties > introduceti adresa serverului la
sectiunea Prefered DNS server —» OK —> (pentru vizualizarea in bara de aplicatii
a informatiilor despre conexiunea la refea, activati optiunea Show icon in taskbar
when connected) — OK
Dezinstalarea serviciului Active Directory
Aceast4 optiune permite administratorilor de sistem schimbarea destinatiei unui server
din cadral unei refele, Alte cazuri in care aceastt optiune se poate aplica este aceca in
care unui server i se atribuie rolul de server de Web intr-un domeniu.
Pentru acest lucru trebuie si parcurgeti urmitoarele etape :
1. Start + Run — scrieti depromo — OK —> Next.
2. in fereastra de informare (fig. 13.4.2) apasati OK.
3. in caaul in care nu aveti un server de domeniu secundar, toate informatiile despre
conturile de utilizatori vor fi eliminate, de asemenea politicile de securitate precum
sicheile publice de acces la diferite resurse. Domeniul nu va mai exista! Selectaji
optiunea This server is the last domain controller in the domain in cazul tn care
nu maj exist nici un alt server de domeniu in rejea si aptisati Next.
EAs ere et
‘This domain controller is a Global Catalog server. “Giobal Catalogs are used to pracess
user logons, "You should make sure other Global Catalogs are accessible to users of this
domain before removing Active Directory From this computer.
Figura 13.4.2, Fereastra de informare privind rolul serverului in reyea
4. Introduceti parola administratorului de domeniu, urmati de confirmarea acesteia
~> Next —> Next —> Finish.
5. Reporniti sistemul.
Desigur c& daca dorigi s& creaji un nou domeniu, puteti parcurge pasii de la capitolul
anterior.
13.5. Instalarea Windows XP in mod automat
Pe CD-ul d-voastri de instalare in calea \Support\Tools\Deploy.cab\ exist mai multe
fisiere executabile destinate pregttirii instalirii automate a sistemului de operare WindowsXP,
cel mai important fiind setupmgr. exe.
Copiati fisierele intr-o anumit’ locatie pe discul d-voastra si lansati in executie.
Pasul I - Fereastra de tnttmpinare
Cititi dact va interescazt si aptsati Next.
Pasul 2 - Crearea unui nou fisier de réspuns
Fisierul unattended care se va crea reprezintii un fisier de rispunsuri destinat instalarii,
echivalentul click-urilor care se dau la instalarea clasic’.
Din cele 2 optiuni alegesi prima optiune: Create a new answer file dupa care apisati
butonul Next.
Pasul 3 - Stabilirea tipului de instalare
Exist 3 modalitaji de instalare automata a sistemelor de operare Windows :
* Windows Unattended Installation (WU);
+ Sysprep Install (Syl) ;
* Remote Installation Services (RIS).
Vom detalia pe parcurs aceste moduri de instalare.
Alegeji prima variant’ (WUN) si apisafi butonul Next,
Pasul 4 ~ Alegerea platformei care va fi instalatd
+ Windows XP Home Edition ;
214 PROIECTAREA RETELELOR DE CALCULATOARE
Windows XP Professional ;
* Windows 2002 Server, Advanced Server or Data Center.
fn cazul nostru, alegem varianta a doua si trecem Ia pasul urmator.
Pasul 5 - Selectarea modului de interacfiune a instaldrii cu utilizatorul
Optiunea a doua Fully automated este cea pe care 0 recomandam pentru cf ocup’ cel mai
putin timp operatorilor de rejea.
Select the level of user interaction ding Windows Setup:
© Biovide defaaky
© Bully automated
(© Hide pages
© Bead only
© GUI attended
Desorption = === a
'
| The antwars you supply in the answer fle ae the default anewors and Windows
| Sctup prompts the user lo review them. The uset may change any answers that
‘you supply.
Figura 13.5.1. Modul de interactiune cu utilizatorut in timpul instal&rii
Pasul 6 ~ Stabilirea locasiei fisierelor de instalare
in momeptul instalarii, dupa cum v-aji imaginat, este nevoie si de fisiere, care pot fi
postate undeva pe un director accesibil din rejea sau de pe CD-ROM-ul original, Avantajul
cre&rii unui director pe disc este acela al vitezei de accesare, mai ales dac& instalarea se
realizeaz& de pe un server cu discuri SCSI.
Alegeti asadar varianta 1 si treceti mai departe.
Pasul 7 - Specificarea locafiei fisierelor de instalare
in mod uzual, instalarea se realizeaz& de pe CD (prima opfiune), dar pot exista si cazuri
in care figierele de instalare (kit-ul de instalare) se afl pe un anumit disc local sau din
Tejea care vor fi localizate prin apasarea butonului Browse.
in cazul nostru, fisierele de instalare sint localizate pe CD-ROM. Activim asadar
optiunea Copy the files from CD si trecem la pasul urmitor.
INSTALAREA $I CONFIGURAREA LOGICA A UNEI RETELE LOCALE 215
Exceptie; 1n cazul in care veti intimpina mesajul de croare prezentat in figura 13.5.2,
apisagi butonul OK, si din fereastra anterioard alegeti a doua optiune, apasati
butonul Browse si localizati fisierul dosner.inf din directorul 1386 de pe CD-ROM,
apisagi butonul Open si dupi accea treceti in sfirgit la pasul urmitor.
iia
] ennyarcotorson const sp oh nto, sets Cb etc
Figura 13.5.2. Mesaj de eroare
Pasul 8 - Stabilirea locasiei si a numelui directorului pentru distributia instalarii
Tae
Distribution Folder Name
‘You can create or modily a distribution folder.
© Mody an existing distribution folder
Distibution folder:
IC:\whistlerdist
Share as:
wistlerdist
Figura 13.5.3. Stabilirea locajici punctului de distribusie
Daca sinteyi la prima instalare, veti folosi optiunca Create a new distribution folder.
Acest nou director poate fi creat pe discul C: sau pe oricare disc pe care il puteti
schimba apasind pe butonul Browse. Pentru a putea {i accesat prin rejea, directorul
trebuie sX poarte un sharename, implicit fiind whistlerdist. De asemenea, si acest
sharename poate fi schimbat, noi o sd exemplific’m pe valorile implicite (nu vom
schimba aceste valori) si trecem la pasul urmitor.
216 PROIECTAR A RETELELOR DE CALCULATOARE.
Pasul 9 ~ Acceptarea licenjei
Pentru a putea instala un sistem e operare sau oricare altd aplicatie, trebuie s& acceptim
condisiile si termenii de utilizare.a acestora. Activati, asadar, optiunea J Accept the terms
of the License Agreement si trec~{i la pasul urmitor.
Pasul 10 - Personalizarea instaldrii
Fereastra Windows Setup Manacer Wizard se inchide automat si putem personaliza in
continuare instalarea automat%, in aceasta sectiune stabilindu-se parametrii echivalenti
etapei GUI din instalarea clasic’.
Customize the Soltware
‘Cutonize te Sonate ‘ou can euttonze the station of Wed by proving a default name and
Disray Setings eee : a
Tine Zona “ype the deleut name are ganization you wart 9 use. youleave
Proving te Poduct Koy [ne the name and eagaizabon wl ot be specie in ihe anwar fl,
Netware Setiege aaanisniaioni
Conus Names Kage:
Adriierac Pasevend
Netwetking Components
Woakgoup 0: Domain
Advereed Setirgs
Telephony
RegonalSatings
Lenguoges
Browesr and She Seinae
Inetatin Fee
toatl Pitre
FunOnce
‘Addions! Commands
paniaation
Figura 13.5.4. Fereastra de personalizare a instalarii
in aceast& parte se specific un anumit nume de utilizator (Name) (de obicei, numele
celui ciruia fi aparfine licenta) precum si numele organizatiei care a achizitionat respectiva
Hicent& de utilizare (Organization)
Pasul 1 - Stabilirea parametrilor pentru display
In aceasta etapa se stabileste numérul de culori care vor fi folosite in viitor (adincimea
16, 256, High Color (16 bit), True Color (24 bit), True Color (32 bit). Stabiligi
numarul de culori in funcie de resursele hardware pe care le detineti.
in lista Screen area se stabileste rezolusia pe care o vefi utiliza in viitor, rezolutia
comuni fiind: 1024x768, dar putefi opta si pentru versiunile 640x480, 800x600,
1280x1024, iar la lista Refresh frequency se stabileste frecventa cu care vor lucra
calculatoarele d-voastri. in acest exemplu vom utiliza o frecven{i comun’ 75 Hertz.
in cazul in care una sau mai multe valori specificate in listele din aceasti fereastr’ nu
corespund valorilor pe care le doriti, puteti personaliza valorile respective apisind
butonul Custom (fig. 13.5.5).
INSTALAREA $1 CONFIGURAREA LOGICA A UNEI RETELE LOCALE 207
Colors (bite per pine
Screen area (X resolution} froze
Screen area (¥ resolution} {rea aeue
Reftesh hequency (Hertz) Prete
aK Cancel
Figura 13.5.5, Personalizarea valorilor pentru Display
Pasul 12 - Time Zone
fn aceastt etapa se stabileste tipul de ord corespondent locatiei geografice a viitoarelor
stafii de lucru, Pentru Romania, valoarea care se sclecteaza din lista este: (GMT +02 : 00)
Bucharest.
Pasul 13 - Introducerea cheii de instalare a produsului
in mod normal, aceast% cheie, care verifici autenticitatea produsului, se afl specificatd in
Jicenta oferita de firma furnizoare a statiei de lucru, pe CD-ul de instalare sau pe coperta
acestuia.
Fasul 14 ~ Detalii despre statiile care vor fi instalate
= he
ee
ano ee
sagen :
eee ie nema
ecm
narrate Reet er Teint cot ees nme a coo ae pa ck It
Caetrh crew
erases eos - :
eee a He
Woikgoup of Domain Computer tobe inealed.
© Advanced Settings Faas
Te a
Meare
topo
poor
Instatation Fer 7 Auonstcaly goniste computer names beted on organization name. An
Sone ‘aorta ameter
on
ae aa
i
Figura 13.8.6. Declararea statiilor care vor fi instalate in mod automat
218 PROIECTAREA RETELELOR DE CALCULATOARE
jn aceasta ctap& se specific’ numele tuturor statiilor din rejea care vor fi instalate in
mod automat. Nu cunoastem o limitare a numirului de stafii care pot fi specificate in
acest moment. in urma acestei etape va fi creat un figier care va conjine detalii despre
fiecare static.
in cazul in care nu cunoastem denumirea fiecdrei viitoare statii, putem activa optiunea
Automatically generate computer name based on organization name, care presupune
generarva automata de denumiri de sta(ii de lucru,
Pasul 15 - Specificarea parolei pentru utilizatorul Administrator
Optiunea este activati implicit cu scopul de a obliga pe cel care realizeaz4 instalarea si
active7e aceast optiune. Numirul maxim al caracterelor care pot fi specificate este de 127.
in cazul in care se doreste 0 securizare a parolei pentru administratorul local, activati
optiunea Encrypt administrator password in answer file si daca se planific& alte instal&ri
ulterioare, se poate activa optiunea When the computer starts, automatically log on as
Administrator cu posibilitatea de a alege numirul de log on-uri ulterioare. Atensie !
Aceasta informatie este trecutit in registrii sistemului de operare asa cA nu specificati un
numir prea mare la optiunea Number of times to auto log on.
‘he te
[F GeneiiSsings Networking Components
Cueto the Satine To nd. componnrt chk Aus
| Disoloy Setinge
Tie Zoro © Typical Senge
Proving the Pade ey Sekt niet TCPP,erabo DHCP, adit the Cn ar Wirral Neer
= Namek Setingt Dotecel fo each dedinon conor
eens Nome: eae
1 ekwett Passat settee
Networking Componerts & [Ciera ior Mesesck Neworks
Wotraup ci Doman (Shae ar Pine Sharing tr Merosch Metwaik
| = Advinies Senge I> iene Prtcol TCPAP)
| Teghony
| egeoal Sates
Langeanes be. Benove
| Grows ad She Sein Detciptin e+: oe TE
| __Urtalaion Fier Tranenittion Corts PiotseeVintersetPolceal. The delouk wide area neta
| erica) piolocel thal povides communication octoss dvetzerleteannerced networks
| Sob aemni |
i
Figura 13.5.7. Configurarea adreselor IP
in mod implicit este activatd optiunea Typical Settings, care presupune existenja unui
server DHCP in rejea, care s& permitd alocarea dinamic& de IP-uri.
in cazul in care doriti ca fiecare stafie de lucru din viitoarea rejea s& dispuni de
propriul IP, v4 recomandim s& alegeti optiunea a doua: Customize Settings dup’ care
selectati optiunea Internet Protocol (TCP/IP) si apoi butonul Properties si completati
clsujele [P address, Subnet Mask, Default Gateway, Primary DNS server $i eventual
(optional) Secondary DNS server cu valori specifice rejelei d-voastré de calculatoare.
INSTALAREA $I CONFIGURAREA LOGICA A UNEI RETELE LOCALE 219
(ae
You can get IP settings assigned automaticaly #f your network suppotts
this capabilly. Otherwise, you need to ask your network acministrator for
the appropriate IP settings.
OQ Obizin an'P addiess auiomaicaly
® Use the following IP addess:
IP address:
‘Subnet mask:
Detaut gateway:
Geran MS ceiver arenes Re
© Use the folowing DNS server adciesses:
Preferred DNS server: aii
Alternate DNS server:
Figura 13.5.8. Proprietitile protocolului TCP/IP
fn cazul in care dorisi instalarea unor servicii de rejea suplimentare, activayi butonul
Advanced. in exemplul nostru mergem pe varianta implicit’.
Pasul 17 ~ Specificarea apartenenjei la un Workgroup sau la un domeniu
O statie/calculator poate aparjine unui grup de calculatoare (workgroup) sau, in cazul
in care ai configurat deja un domeniu, poate apartine acestuia. in cazul nostru
domeniul se numeste MYDOM, utilizatorul care are dreptul de addugare a unei noi
stafii in domeniu este Administrator, iar parola este ***... s.a, dup’ care se trece la
pasul urm&tor.
Pasul 18 ~ Parametrii pentru telefon
Aceste informatii se configureaz& numai pentru sistemele care detin un modem si care
vor fi conectate la Internet prin intermediul acestuia. in cazul in care nu detineti un astfel
de echipament treceti la pasul urmator.
Pasul 19 - Personalizarea regiunii
Poate fi configurata de cei care doresc s4-si personalizeze modul de afisarea a informatiilor
de sistem (data, ora, simboluri monetare etc.) intr-o alti limba/forma decit in engleza.
Noi vom folosi in acest exemplu valorile implicite.
220 PRO[ECTAREA RETELELOR DE CALCULATOARE
Pasul 20 - Addugarea de opjiuni suplimentare pentru limbajul tastaturii
Se foloseste pentru a adauga noi limbaje pentru tastaturi. Spre exemplu, pentru a adauga
© tastaturé romaneasca trebuie selectati din lista optiunea Central Europe.
Pasul 2! ~ Personalizarea Browserului de Internet
Se poate folosi optiunea implicit Use default Internet Explorer settings sau, in cazul in
care se doreste specificarea unei pagini de start (home page), s¢ apas% butonul Browser
Settings si la Home page se wece adresa paginii dorite. De asemenea, se pot adiuga
adrese favorite.
Pasul 22 ~ Specificarea numelui directorului de instalare
Implicit, numele directorului in care se vor instala figierele sistemului de operare
Windows XP este Windows. Acest nume poate fi schimbat, dar nu recomand’m acest
lucru pentru ci anumite aplicajii pot genera unele erori. Pentru sistemul de operare
Windows NT sau Windows 2000, numele implicit al directorului de instatare este WINNT.
Pasul 23 ~ Adéugarea unei imprimante de rejea
Aceast optiune se personalizeazi numai in cazul in care dispunesi de un astfel de
dispozitiv. Recomandim insi o alti metoda, care va fi tratati detaliat intr-un capitol viitor.
Pasul 24 - Addugarea unei aplicafii care sd ruleze dup terminarea instalarit
intr-una dintre etapele anterioare se vorbea de un auto log-on. Comenaile care se pot
specifica in etapa curent’ sint complementare operagiunii anterioare.
Comenzile care se pot folosi cu precdere in aceasta etapa sint cele de genul instal’rii
unui ServicePack sau instalarea automata a unor aplicatii.
‘Alte comenzi pot fi specifivate si la urmatorul, de altfet si ultimul pas din aceasti etapi.
in exemplul nostru nu vom specifica nici o comanda care va fi executata ulterior.
Muit asteptatul buton Finish, si dup’ cum va asteptati, o alté fereastra care ne
informeaza despre numele viitorului figier de raspunsuri: unattend.txt. Puteti schimba
numele acestui fisier (fig. 13.5.9).
The Setup Manages wizard has success{ully cteated an answer file with the settings
‘you provided. Enter 2 location and fie name for the answer fle,
Location and file name:
CAwhistlerdist\outomstall bal Browse
I mutiple computer names were specified, the wizerd also creates a .udi fie.
Depending upon the ype of answer file created, the wizard might also create a semple
bat seriot
Lok Lance!
Figura 13.5.9. Etapa final. Stabilirea numelui figierului de réspunsuri.
INSTALAREA $1 CONFIGURAREA LOGICA A UNEI RETELE LOCALE 221
Dacd la pasul 14 au fost specificate mai multe nume de fisiere, se va crea automat un
fisicr cu acelasi nume specificat in imaginea anterioar&, dar cu extensia UDF, care
confine numele si datele de personalizare pentru fiecare statie de lucru. De asemenea, se
creeaz& si un figier de comenzi (batch script) care va fi utilizat pentru instalare
Pasul 25 ~ Copierea fisierelor
Reprezint& 0 ctap% a c&rei durati depinde de viteza de citire a CD.
inedie, fa un CD de 50x aceastd etap’ dureazi intre 7 si 15 minute.
Dup terminarea copierii, surprinztor, nu apare nici un buton de final sau confirmare.
inchideti asadar aplicatia din File, Exit si vizualizati continutul directorului pe care lati
specificat la pasul 8. Pe ling’ cele 3 fisiere (autoinstall.txt, autoinstall.bat si autoinstall.udb)
exist gi un director cu numele /386 in care sint gizduite figierele destinate instalarii..
Mentionam anterior c& exist un figier UDF, dar se pare ci in Windows XP extensia
acestuia este UDB.
d-voastraé. In
Pentru a fi siguri ci figierele create sint in concordan{% cu cerinjele d-voastri de
instalare automat a sistemelor de operare XP, trebuie s& realizati o serie de modificari
in fisierul autoinstall.cct. Prezent&m in listin; 13.5.1 script-ul original, iar completirile
sint scrise cu caractere ingrosate. Comentariile sint marcate cu banda, ele netrebuind si
spar’ in viitorul fisier.
Listing-ul 13.5.1. Figierul awioinstalt.ixt cu completarile de rigoare
; SetupMgrTag
[Data]
AutoPartitio
MsDosInitiated:
Unattendedinstal
on
"Yes"
[Unattended]
UnattendMode=FullUnattended
FileSystem=ConvertNTFS
Sistemul de fisiere NTFS reprezinti o conditie esentialt pentru asigurarea unci
politici de securitate la nivel de directoare gi fisiere pe viitoarea stajie de lucru.
OemSkipEula=Yes
OemPreinstall=Yes
TargetPath=\WINDOWS
{cuiunattended]
AdminPassword=44e729354515lbce4aad3b435b51404eeabe2£97 298871
ee70c0a238da505e18F
EncryptedAdminPassword=Yes
AutoLogon=Yes
AutoLogonCount=
OEMSkipRegional=1
TimeZone=115
22 PROIECTAREA RETELELOR DE CALCULATOARE
OemSkipWelcome=1
{UserData]}
Product ID= WXPO2-XPWO1-PXWO0-FFO01-O01FF
FullName="Admin™
OrgName="FEAA"
ComputerName=*
[Display]
BitsPerPel=32
Xresolutior 024
YResolutiot 68
Vrefresh=75
[RegionalSettings]
LanguageGroup=2,1
[SetupMgr]
ComputerName0=Conta-01
ComputerNamel=Conta-02
ComputerName2=Market-01
DistPolder=C:\whistlerdist
DistShare-whistlerdist
[Favorites=x]
Titlel="Situatia scolara.url”
URLIs"https://gescoweb.uaic.ro/*
Title2="E-mail.url"
URL2="http://webmail.es.uaic.ro/horde/"
(Branding)
BrandIEUsingUnattended=Yes
tuRL}
Home_Page=http://www.feaa.uaic.ro
Search_Page=http://www.google.com
[Proxy]
Proxy_Enable=0
Use_Same_Proxy=0
Optiunea impliciva este 1
{Identification}
JoinDonain=Al£asystem
DomainAdmin=Administrator
INSTALAREA SI CONFIGURAREA LOGICA A UNEI RETELE LOCALE 223
DomainAdminPassword=parola adminului de domeniu
[Networking]
Instal1DefaultComponents=No
[NetAdapters]
Adapterl=params.Adapterl
[params .Adapter1)
INFID=*
[NetClients]
MS_MSClient=params.MS_MSClient
[NetServices}
MS_SERVER=params.MS_SERVER
[Net Protocols]
MS_TCPIP=params .MS_TCPIP
{params .MS_TCPIP]
DNS=No
UseDomainNameDevolution=No
EnableLMHosts=Yes
AdapterSections=params.MS_TCPIP.Adapterl
[params .MS_TCPIP.Adapter1]
SpecificTo=Adapterl
DHCP=No
Eades A485
Aceasti linie va fi eliminat’ urmind a fi extras ulterior din fisierul UDB.
SubnetMask=255.255.255.0
DefaultGateway=172.17,13.254
DNSServerSearchOrder=172.172.172.1,172.172.172.2
WINS=No
NetBIOSOpt ions=0
Listing-ul 13.5.2. Figierul ausoinsiall.udb cu completirile de rigoare
;SetupMgrTag
[Uniquelds]
Conta-01=UserData, params .MS_TCPIP.Adapterl
Conta-02=UserData,params.MS_TCPIP.Adapter1
Market-0l=UserData,params.MS_TCPIP.Adapterl
Completarile au fost efectuate pentru extragerea automat a IP-urilor specificate in
lista de mai jos.
[Conta-01:UserData]
ComputerName=Conta-01
(Conta-02:UserData]
ComputerName=Conta-02
[Market-01:UsezData]
ComputerName=Market-01
{Conta-01:params.MS_TCPIP.Adapter1]
IpAddress=172.172.172.25
[Conta-02:params .MS_TCPIP.Adapter1]
IPAddress=172.172.172.26
[Market-01:params.MS_TCPIP.Adapterl]
IPAddress=172,172.172.27
Lista IP-urilor specifice fiecdrei stati de lucru:
Listing-ul 13.5.3. Fisierul autoinstall.bat din fericire fara nici o completare
@rem SetupMorTag
@echo off
rem
rem This is a SAMPLE batch script generated by the Setup
rem Manager Wizard.
rem If this script is moved from the location where it was
rem generated, it may have rem to be modified.
rem
set AnswerFile=.\autoinstall.txt
set UdfFile=.\autoinstall.udb
set ComputerName=$1
set SetupFiles=\\SERVER-01\whistlerdist\1386
if "&ComputerName%" == "" goto USAGE
\\server-01\whistlerdist\1386\winnt32 :$SetupFilest
unattend: $answerFilet udb: $Computer Names, $UdfPile
makelocalsource /copysource: lang
goto DONE
USACE
echo.
INSTALAREA $1 CONFIGURAREA LOGICA A UNEI RETELE LOCALE 225
echo Usage: unattend *
echo.
: DONE
Server-O1 reprezint& denumirea serverului pe care a fost creat punctul de distribujie.
‘Text! subliniat din listing-ul 13.5.3 specificd faptul c& el trebuie s& se incadreze
intr-o singura linie.
Instalarea propriu-zisé
Etapele instabarii sint:
* formatarea statiei de lucru ;
* crearea unei dischete de bootare prin reyea;
* Jansarea in executie a fisierului de comenzi autoinstall.bat cu parametrul cores-
pondent numelui statiei care va fi instalata.
Avind in vedere c& instalarea va avea loc pe o magin& fir sistem de operare si cd
punctul de distribusie se afla pe o masini in rejea, avem nevoie de 0 metod& de accesare
a acelui punct de distribusie.
Pentru aceasta vorn folosi un disk bootabil cu acces la rejea (TCP/IP).
Cea mai facila metoda de a intra in posesia unei astfel de dischete este downloadarea
unci imagini de disk bootabil de la www.bovistech.com si modificarca dup’ preferine a
acesteia sau crearea cu ajutorul utilitarului Client Network Administrator al vechiului
sistem de operare Windows NT 4.0 Server.
Dact optim pentru a doua variant, imaginea dischetei trebuie creat dupa urmatoarea
metodit:
* formatarea cu optiunea copiere sistem de pe un calculator Windows 9x (format a
4s);
+ lansarea in executie pe un server Windows NT 4.0 a utilitarului Client Network
Administrator, care conduce la copierea driverelor pentru adapterul de rejea sia
componentelor necesare pentru a porni serviciul de retea. In cazul in care
adapterul masinii nu este inclus in HCL (Hardware Compatibility List), reco-
mandim folosirea un driver generic NE2000 Compatible; pentru a putea folosi
aceasti metoda este necesari utilizarea driverelor pentru MS-DOS ale adapterului
de rejea respectiv (fisierele au extensia *.dos si *.nif).
Pentru exemplificare, vom considera o dischet& creat’ pentru driver NE2000 Compatible
si dorim s& operim cu aceasti dischet% pe un sistem cu Realteck 8139. Drivercle
MS-DOS pentru acest tip de plac& sint formate din fisierele : risnd.dos si risnd.nif.
Figierele care trebuie modificate de pe dischet4 sint protocol.ini, system.ini.
Modificarile din protocol.ini se vor face in seciiunea :
[ms$ne2clone]
Namele sectiunii depinde de tipul driverului ales, in cazul nostru NE2000.
DriverName = rtsnd$
rtsnd$ provine de la numele fisicrului driverului de DOS.
226 PROIECTAREA RETELELOR DE CALCULATOARE
Tot in acest figier se modific& configuragia din sectiunea [tcpip]
[tcpip]
NBSessions=6
DefaultGateway0=172 172 172 254
SubNetMask0=255 255 255 0
IpAddress0= 172 172 172 250
DisableDHCP=1
DriverName=TCPIP$
BINDINGS=ms$ne2clone
LANABASE=0
Modificarile din system. ini
[network drivers]
netcard=rtsnd.dos
numele fisierului driverului
transport=tcpdrv.dos,nemm.dos
devdir=A:\NET
LoadRMDrivers=yes
‘Totudat& se pot modifica valorile parametrilor computername si username de la
sefiunea [network]
[network]
filesharing=no
printsharing=no
autologon=yes
computername=Install10
numele netbios al stajiei care se instaleazit
lanrooteA:\NET
username=adminst
Utilizatorul cu acces la punctul de distributie
workgroup=Install
recOnnect=no
dospophotkey=N
Lmlogon=0
logondomain=0
preferredredir-full
autostart=full
maxconnections=8
O alt metoda de creare a dischetei este reprezentati de folosirea utilitarelor oferite
de aplicagii gen PowerQuest Deploy Center, care faciliteaz& folosirea unor plci de rejea
cu drivere neincluse in kit-ul Windows NT 4.0.
Pentru accesul in rejea este, de asemenea, necesar existenta unui utilizator de
domeniu cu ajutorul ciruia se va efectua operajiunea de mapare a punctului de
distribusie.
INSTALAREA $I CONFIGURAREA LOGICA A UNEI RETELE LOCALE 27
Aceasti dischet% este universal valabild pentru toate stafiile care au acelasi tip de
placi de retea. Utilizarea unei singure dischete pentru instalarea mai multor sisteme
concomitent necesiti modificarea, in prealabil, a figierelor sistem.ini si protocol. ini
(valorile pentru numele NetBIOS, respectiv adresa IP).
Tinind cont de faptul c accesul la punctul de distributie este necesar pentru fiecare
instalare, se poate mapa share-ul din rejea automat, ad%ugindu-se comanda net use ca
ultima instructiune a figierului autoexec.bat.
Specificafii detaliate privind crearea unei dischete de acces la retea putefi gisi la
adresa : http : //www.microsoft.com/technev/tsolutions/network/deploy/confeat/ tepboot.asp.
Instalarea efectivé
Presupune bootarea cu discheta de retea, dup’ formatarea prealabili a sistemului si
lansarea in executie a script-ului creat in punctul de distribusie (listing 13.5.3), asema-
nator comenzii specificate in exemplul nt. 1.
Exemplul nr, 1. Comanda de lansare in executie a instalarii
ff z:\>autoinstall Conta-01
Z: reprezint& indicativul discului care a fost mapat de pe serverul din retea prin
comanda net use z: \\server-0l\whistlerdist specificatd in fisierul autoexec.bat de pe
discheta de conectare la refea (vezi explicatiile urmatoare).
Dupa pornirea instalarii, se poate trece la urmatoarea statie.
Cu toate ci pare una dintre cele mai simple si lipsite de importangi operatiuni,
formatarea clasic4, folosind discheta de start-up Windows, necesit& un timp de lucru cu
peste 90% mai mare, in comparatie cu metoda wtilizarii unei aplicatii dedicate, oferitd de
produc&torul HDD-ului respectiv (de exemplu, Seagate Disk Manager, Quantum Disk
Manager).
in acest caz, intr-o rejea cu ltimea de band& de 100mbps instalarea unei singure
stajii, inclusiv ultimul service pack, dureaz& aproximativ 40 minute, prezenta inginerului
de sistem find necesara timp de 2 minute.
Concluzie
Desigur, dact nu dorii s4 parcurgeti toti acesti pasi pentru a va crea punctul de distributie
necesar instalrii automate, puteti si copiati confinutul directorului 1386 de pe CD-ul de
instalare intr-un director local, copiati listing-urile 1, 2 si 3 din acest material, perso-
nalizafi-le dup’ necesititile d-voastri, puneji Ja dispozitie in retea directorul respectiv
printr-o operatiune de sharing, copiati imaginea dischetei de bootare prin rejea de la
adresa: hitp : //www.feaa.uaic.ro/publicatii/retele.him.
Alte metode de automatizare a instalarii
alt’ metod% de instalare a mai multor sta
pentru clonarea discurilor.
i de lucru este aceea a folosirii unui utilitar
228
PROIECTAREA RETELELOR DE CALCULATOARE
FD] Welcome to the Ghot! Boa Wizard Choose the type of boct sk you wen
EGY} Wheto create fer boating wou PC.
AT Boot Disk with CD-R / AW, LPT and USB Support
TS Ghost boo dk for CD wileg with epfona spatter peevio-peet
pa ss
{ip CD-ROM Boot Disk
‘Ghost boot dsk with geretic CD-ROM divers for eading rom CD. May be
used when making a CD boctatte.
Copyright(C) 1889-2001 Symantec Com,
[ie] cows |
Figura 13.510, Utilitarul Norton Ghost Boot Wizard
Un astfel de utilitar este Norton Ghost, actualmente aflat la versiunea 7 si care
presupune :
1, Instalarea si configurarca unei staii de lucru.
2. Crearea a doua dischete de startare cu posibilitatea de conectare fa reea, folosind
utilitarul Norton Ghost Boot Wizard (fig. 13.5.10), optiunea Peer-to-Peer Network
Boot Disk, care suporti conexiuni TCP/IP.
3. Pornirea stajiei care va fi clonaté cu o dischet& si configurarea acesteia ca slave.
4. Pornirea stajiei de lucru instalate la pasul 1 cu cea de-a doua dischet& si declararea
acesteia drept stayie master, permijind conectarca la staia slave prin specificarea
IP-ului statiei slave.
5. Preluarea informatiilor de pe stasia master pe stafia slave (informatiile de pe
master vor fi scrise pe discu! stajiei slave).
6. Repornirea sistemetor.
7. Modificarea parametrilor de acces in retea pentru statia clonata.
Schimbarea configurarilor de retea
Pentru configurarea parametrilor de conectare la rejea trebuie s% parcurgeti urmatorii
Pasi:
1. RClick My Network Places —> Properties.
2. In fereastra Nenwork and Dial-up Connections, RClick pe Local area connection
-> Properties.
3, in Locaf Area Connection Properties —> Internet Protocol (TCP/IP) ~» Properties.
4, in Internet Protocol (TCP/IP) Properties -» Use the following IP address.
5. Scrieti adresa IP, subnet mask i default gateway (daci este nevoie) > OK.
INSTALAREA $1 CONFIGURAREA LOGICA A UNEI RETELE LOCALE 229
Verificarea conexiunii in refea
Dupi configurarea proprietijilor TCP/IP, utilizati comenzile ipconfig si ping pentru a
testa configurajia local si a v4 asigura ci sistemul d-voastra comunicd cu alte sisteme
din rejea, utilizind protocolul TCP/IP.
Secvenja de comenzi este dati in lista de mai jos:
1. Ipconfig ~ pentru afisarea parametritor TCP/IP ;
2. ping localhost ~ pentru a verifica dacd au fost corect instalate driverele pentru
placa de rejea. Aceasti comanda poate afisa si mesaje de avertizare privind cablul
de rejea, in cazul in care acesta mu este conectat ;
3. ping adresa local (de exemplu, ping 172.172.72.25) :
. ping gateway - pentru a verifica conexiunea citre aceasta ;
5. ping catre o alta adrest - pentru a verifica daci informatiile sint duse mai departe
de gateway (de exemplu, ping www.siteweb.com).
s
Addugarea unei staii in domeniu in momentul in care aceasta
era in prealabil instalaté
Pentru a putea adiuga o static intr-un domeniu Windows, prima adresi de DNS din
configurarile TCP/IP trebuie s& fie adresa serverului DNS din rejeaua la care se doreste
aderarea.
Pentru schimbarea adresei (in Windows XP):
Start — Control Panel — Network and Internet Connections + RClick pe
Network Connections - Properties > Internet Protocol (TCP/IP) > Properti
Preferred DNS Server (sc completeaza adresa serverului de DNS care in cazul nostru este
acecasi cu adresa serverului de autentificare: 172.172.172.1) + OK OK.
Pentru adiugarea statiei in domeniu (in Windows XP) :
Start > RClick (pe My Computer) —> Properties > Computer Name — Change
la Domain se trece numele de NetBIOS al domeniului (in exemplul nostru, MYDOM) >
OK — in fereastra Computer Name Change se trece la User name, numele unui
administrator de domeniu si la Password parola acestuia... se asteapti..., iar in momentul
in care se afigeazi fereastra de informare Computer Name Changes cu mesajul Welcome
10 the MYDOM domain, inseamné c& afi reusit! Reporniji sistemul trecind prin mai
multe ferestre de informare.
3
Mesaje de eroare la addugarea in domeniu
1, Numele domeniului
ee ees
A domain controle for the domain mydom! could nct be
contacted,
Ensure thal the domain name is typed corecty, Deas >>
the name is eoneet, click Detais for toubleshocting information. {|__Help__}
Figura 13,511, Probleme cu numele domeniului
230 PROIECTAREA RETELELOR DE CALCULATOARE.
in acest caz, numele domeniului nu a fost specificat corect. Aceeasi eroare poate
aptirea din lipsa de comunicare dintre server si statie; specificarea adreselor de DNS
diferite intre stagie gi serverul de autentificare.
2. Dreptul de acces
aaa
‘The folowing error occurred attemating to John the domain *mydom's
Actess is denied.
Figura 13.5,12, Mesaj de eroare privind accesul la resurscle domeniului
Utilizatorul care s-a specificat in fereastra de autentificare la domeniu nu are dreptul
de a adduga stafii in domeniu, Dac utilizatorul d-voastra nu apartine grupului Administrators,
atunci stajia nu va putea fi ad&ugaté In domeniu.
3. Probleme de autentificare
Reacts
The fclowng or occuredatonoig to onthe domain “on:
Logan re: unknown username or bad pasmord
Figura 13.5.13. Probleme cu numele de utilizator sau parola
Eroare cauzat& de specificarea gresitt a numelui de utilizator sau a parolei de acces
in retea.
Dupé repornire, la fereastra de Log On to Windows, daci apisati pe butonul Options,
vei remarca 0 novd list de optiuni Log on to:
ens
Figura 13.5.14, Fereastra de autentificare care contine pe ting& numele static de lucru si
numele de NetBIOS al domeniului
INSTALAREA $I CONFIGURAREA LOGICA A UNEI RETELE LOCALE 231
Asadar, chiar dacd 0 stafie este conectatd la un domeniu, utilizatorii locali se pot
autentifica in continuare la statia de lucru. Dac nu exist nici un utilizator creat local,
atunci pe aceast& stafie nu se vor mai putea conecta decit utilizatorii din domeniu, (in
cazul nostru) MYDOM sau utilizatorul local Administrator de pe fiecare statie Windows.
Conectarea local (pe statie) limiteaz4 utilizatorilor accesul Ja resursele serverului.
Dac&, dupa ce afi introdus corect datele de autentificare in retea, primiti mesajul :
ee
EAN, _ The system cannes og you on now because the domen MYOOM isnot avetoble,
Ce
Figura 13.58.15, Mesaj de eroare cu privire la feptul ci domeniul nu
este disponibil in momentul respectiv
inseamna cA puteji s4 v4 incadrati in una din urmatoarele situatii :
* serverul de autentificare nu este pornit;
* cablul de concctare la refea are probleme (cel mai intilnit caz, deconectatea din
placa de rejea a statiei de lucru, de obicei cind personalul administrativ privind
curijenia, in exces de zel, trage pujin mai tare de unitate pentru a sterge praful) ;
probleme cu dispozitivele de interconectare in retea ;
probleme cu serverul de DNS.
Rezolvarea problemelor de genul acesta consta in conectarea cu utilizatorul Administrator
(de pe statia de lucru) gi testarea conexiunii intre serverul de autentificare si static.
[73 Console Root jl maces,
Fe Bun venit!
New Routing
Protocol —> Network Address Translation (NAT) > OK.
2. RClick pe Network Address Translation (NAT) —» New Interface.
3. In fereastra New Interface for... click pe interfaja de rejea care face Ivgdtura cu
rejeaua d-voastra privati + OK,
4. In fereastra N.A.T. Properties activati opjiunea Private interface connected to
private network —» OK.
RClick pe Network Address Translation (NAT) > Neiw Interface.
fn fereastra New Interface for... click pe interfaja de retea care face Jepitura cu
releaua Internet > OK.
7. {n fereastra N.A.T. Properties activati opjiunea Public interface connected to the
Internet > Translate TCP/UDP headers (recommended) — OK.
aeat
Dupa configurarea acestui serviciu, toate statiile de Tuere din domenial Imern care au
trecut de ta proprietitile TCP/IP Ja sectiunea Gateway, IP-ul intern at serverului, vor
putea si acceseze alte rejele de pe Internet,
262 PROIECTAREA RETELELOR DE CALCULATOARE
Pentru controlul accesului, monitorizarca si controlul traficului precum gi configurarea
unui firewall, trebuic instalat pachctul Microsoft Internet Security and Acceleration
Server 2000.
13.9. Monitorizarea gi inregistrarea activitatii
Monitorizarea si inregistrarea activitdtii intr-o rejea de calculatoare reprezint& una dintre
cele mai spinoase probleme in viata unei refele
Primul pas cste acela al inregistrarii accesului pe stajii. Va propunem in acest sens
doua script-uri: unul de tip batch si unul de tip VBS.
Script-uri de tip batch
Peniru a putea folosi aceste seript-uri trebuic s& parcurgeti urmatoarele etape :
1. Creati un director pe unul dintre discurile serverului d-voastr’ :
Dublu-click pe iconija My Computer —> dublu-click pe discul pe care doriti s&
salvali fisierele (de exemplu, Discul C:) > File > New — Folder -> tastati
numele directorului (de exemplu, Loguri) -» Enter.
Puneti la dispozitie in retea acest director prin crearea unui share administrativ si
stabiliti o politica de securitate pentru share-ul respectiv si pentru director, in aga
fel incit grapul Everyone s& aiba dreptul de citire gi scriere in ditectorul respectiv :
Varianta a) Relick pe directorul Loguri -» Sharing — Share this folder —>
click in cdsuja Share name — addugasi la sfirsitul numelui caracterul dolar (8)
—> Permissions —> dezactivati optiunea Allow corespondent’ categoriei Full
Control > OK —> Security — dezactivati optiunea Allow inheritable
permissions from parent to propagate to this object —» Remove in fereastra
Security > Add ~> scrie,i Everyone sau clutati in lista Name grupul Everyone
> OK — activaji opjiunea Allow corespondenti categoriei Write — OK.
Varianta b) Start > Run — scrieti cmid in césuta Open >» OK -> scrieti CD\
pentru a ajunge in directorul ridicini si apsati Enter —> tastaii net share
‘Loguri$=C : \Loguri pentru createa share-ului si aptisaji Enter. Daci va aparea
mesajul Loguri$ was shared successfully, scrieti exit si apisati Enter. Pentru
crearea unei politic de securitate pentru director se foloseste comanda cacls,
Pont; entra afisarea sintaxci unei comenzi in command prompt, scric\i numele acesteia
urmatd de caracterele ,/?" sau scrieti help” urmat de numele comenzii, Comanda
NET nu suportd a doua varianta de afigare a sintaxei, De exemplu: help cacls, net
share /?, cacts /?
3. Lansafi un editor de texte (de exemplu, Notepad) :
Start — Ran — scricti notepad in cisuja Open > OK.
4, Scrieti corpul seript-ului si salvaji in directorul: Sewindir%\sysvol\ sysvol\
numedomeniudnss scripts (in cazul nostra: C:\W) SYSVOL\ sysvol!
mydom,myorg.ro \scripts) specificind nume diferite pentru script-urile de logon si
logoff. La salvare, specificafi extensia BAT fisierelor d-voastra.
INSTALAREA $I CONFIGURAREA LOGICA A UNEI RETELE LOCALE 263
Pont: %windir% este variabila de sistem prin care majoritatea aplicatiilor identifica directorul
Winnt din Windows 2000 sau directorul Windows din Windows XP, Alt variabild de
sistem pentru a identifica directorul de instalare a sistemului de operate este %System
Root %.
5. Adaugati script-ul in politica de securitate a utilizatorului :
Start + Programs ~ Administrative Tools ~> Active Directory Users and
Computers — RClick pe Grupul organizational din care fac parte utilizatorii
pentru care se doreste aplicarea script-urilor (in cazul nostru Vizitatori) —
Properties > Group Policy —> Edit -> navigati pind la adresa User Confi-
guration\ Windows Settings\ Scripts —» dublu-click pe Logon —> Add —> Browse
> navigaji de la lista Look In pind la adresa: C: \WINNTISYSVOL\sysvol\
mydom. myorg.ro\scripts > click pe fisierul Logon -» Open OK — OK tn
fereastra Logon Properties —» dublu click pe Logoff > Add ~ Browse -»
navigati la adresa specificat’ mai sus — click pe Logoff > Open + OK +
OK in fereastra Logoff Properties > inchideti ferestrete.
Pont: Pentru afisarea variabilelor de sistem care pot fi folosite in constructia script-urilor de
tip batch se foloseste comanda SET in command prompt.
Listing-ul 13.9.1. logon.bat
echo Logon, tusernamet, %computername%, Sdate%, %time% >>
\\server-01\loguri$\loguri.csv
echo Logon, %username%, %computername%, %date%, %time% >>
\\server-02\loguri$\loguri.csv
Listing-ul 13.9.2. logoff.bat
echo Logoff, Susername%, %computername%, %date%, %timet >>
\\server-01\loguri$\loguri.csv
echo Logoff, tusername%, tcomputername’, date’, Stimet >>
\\server-02\loguri$\loguri.csv
Explicatii:
echo este comanda care afigeazd/scrie anumite mesaje ;
> > sint caracterele care specifica faptul c& informatiile prevazute de echo vor fi
adaugate sub forma unei noi linii intr-un figier specificat ulterior (append) ;
* logon/logoff reprezinta tipul actiunii pe care o desfasoara utilizatorul ;
* %username% este variabila de sistem care preia numele utilizatorului conectat pe
© statie;
* Yecomputername% - numele statici de lucru curente, cea pe care se executd
script-ul ;
* odate% si %time% reprezinté data si ora sistemului pe care se realizeaza
conectarea.
264 PROIECTAREA RETELELOR DE CALCULATOARE
Figierul loguri.csv nu trebuie s& existe in momentul cre¥rii pe server. Acesta se
creeaza la prima conectare a unui utifizator pe o static de lucru gi creste in dimensiune
pe parcursul utilizarii rejelei. Analizi datelor din figierul respectiv se poate realiza cu
ajutorul unei aplicatii care poate interpreta figiere de tip CSV (comma separated value),
cea mai cunoscuti fiind Microsoft Excel.
Dezavantajul major al utilizirit «cestor tipuri de script-uri este dat de fapul c& in
momente de aglomerare a rejelei informatiile din acest fisier se pot pierde. Aici poate
interveni al doilea server (server-02) pe care se pot salva aceleasi informatii cu scopul de
a asigura o siguran(4 sporit a datelor. Chiar si in acest caz se pot pierde informatiile din
figiere. Nu vA putem da o explicajie exact privitoare 1a acest fenomen.
Listing-ul 13.9.3. Citeva inregistrari din continutul fisierului loguri.csv
Logon, Gige!P, Conta-01,Fri 12/06/2003, 19:51: 58.34
Logon, TonelP, Conta-02,Fri 12/06/2003, 19:53:04.79
Logoff, Gigel?, Conta-01,Fri 12/06/2003, 19:53:23.79
Logon, UserNou, Market-01,Fri 12/06/2003, 19:53:25.75
Logoff, IonelP, Conta-02,Fri 12/06/2003, 19:53:33.44
Logoff, UserNou, Market-01,Fri 12/06/2003, 19:55:49.88
Script-uri de tip WHS
© metod’ mult mai sigur’ si mult mai performant’ de inregistrare a accesului in rejea
este reprezentaté de folosirea script-urilor de tip WHS in corelatie cu baze de date.
Esenjial pentru utilizarea acestor tipuri de script-uri este sa aveti instalat si configurat un
server drept suport pentru biize de date, Dac serverul d-voastri de domeniu este
indeajuns de puternic, puteti si-l folositi pentru aceast4 operagiune, dar noi recomandim
utilizarea altui server din rejea.
in exemplul urmitor folosim o bazi de date SQL Server instalati pe Server-O1 care
confine o tabeld tblLog a carei structura este prezentaté in figura 13.9.1.
Column Name. Datatype
Detadra datetime 8 0 9 (getdate())
TipCon char 10 :
UserName char is
KIS
statie char 20
Figura 13.9.1. Structura tabelei pentru urmiritea accesului
DataOra este cimpul care se completeazt automat in momentul inserdrii unei noi
inregistrari. TipCon va conjine informajii despre tipul conexiunii: Logon sau Logoff.
Pentru a putea folosi aceste script-uri, tirebuie si parcurgeti urmatoarele etape :
I, Lansagi un editor de texte (de exemplu, Notepad).
INSTALAREA $1 CONFIGURAREA LOGICA A UN
EL RET
LOCAL, 265
2. Serieti corpul script-ului si salvati in directorul: swindir %\sysvol\
sysvollnumedomenjudns\scripts (in cazul nostru: C:\WINNT\ SYSVOL\sysvol\
mydom.myorg.ro\scripts), specificind nume diferite pentru scripturile de logon gi
logoff. La salvare specificali extensia VBS fisicrclor d-voastr’.
3. Adaugati script-ul in politica de securitate a utilizatorului (vedeti punctul 5 de la
metoda anterioar’).
Listing-ul 13.9.4. logon. vbs
‘* Begin of Script
‘* Crearea unui obiect de tip retea care permite accesul la
obiecte ‘** de genul Username, Computername.
fl Set objNet = WScript.CreateObject ("WScript.Network"
‘* Crearea unui obiect de tip conexiune catre serverul de
‘* baze de date
set oConn= WScript.CreateObject ("ADODB.Connection
oConn.Open = "Provider=SQLOLEDB.1;Password=******; " &_
"Persist Security Info=True;User ID-AdminBD; “ 6_
“Initial Catalog-bdUsers; " 6_
“Data Source=172.17.13.1;Network Library-dbmssocn"
‘* Introducerea in baza de date a informayiilor
sqlins = "INSERT INTO tblLog (TipCon, UserName, Statied
VALUES " &_
" (‘Logon’, ‘"6 objNet.UserName 6 "',/" &
objNet.Computername 6 "/)"
oConn.Execute = sqlins
‘* Tegirea din script
wseript.quit
‘* End of Script
Dac& utilizati alt suport pentru baze de date, trebuie s& schimba{i linia pentru
deschiderea conexiunii citre acesta. Daci utilizati baze de date de tip Microsoft Acce:
sau Visual FoxPro, baza de date trebuie si fie salvati in acclasi loc cu script-urile, ceea
ce aduce un spor de nesigurant& asupra datelor, avind in vedere faptul c& script-urile se
afl salvate intr-o locatie public’ in rejea
Monitorizarea proceselor lansate de utilizator
Un aspect foarte important in refelele mari este acela al monitorizarii aplicatiilor care se
lanseazii de fiecare utilizator in parte. Introducerea unui script de logon aseminitor celui
din listing-ul 13.9.5 v& poate creste nivelul calitativ al utiliz&rii retelei din prisma
utilizatorilor.
266
PROIECTAREA RETELELOR DE CALCULATOARE
Listing-ul 13.9.5. Procesul de monitorizare si inregistrare
a aplicafiilor lansate pe o statie de lucru
‘* Begin of Script
‘* Crearea unui obiect de tip retea care permite accesul la
‘* obiecte de genul Username, Computername.
Set objNet = WScript.CreateObject ("WScript.Network")
‘* Lansarea unui mesaj care-1 atentioneaz& despre faptul ca
‘* activitatea sa este monitorizata in scopul constientizarii
‘* acestuia asupra operatiilor pe care le va efectua pe
‘* stafia de lucru
msgbox ("Salut " & objNet.Username & _
“! Activitatea pe aceasta statie de lucru este
monitorizata!")
‘* Crearea unui obiect de tip conexiune c&tre serverul de
‘* baze de date
set oConn= WScript.CreateObject ("ADODB.Connection")
oConn.Open = “Provider=SQLOLEDB.1;Password=******; " g_
“Persist Security Info=True;User ID=AdminBD; " &_
"Initial Catalog=bdUsers; " &_
"Data Source=172.17.13.1;Network Library=dbmssocn"
‘* Conectarea la Windows Management Instrumentation
strComputer = "."
Set objwWMIService = GetObject ("winmgmts:" & _
“(impersonationLevel=impersonate}!\\" 6 strComputer &_
“\root\cimv2")
‘* Extragerea din WMIService a proceselelor care se vor crea
Set ‘colMonitoredProcesses = objWMIService. _
ExecNotificationQuery ("select * from __instancecreatione
vent "&_ a
"within 1 where TargetInstance isa ‘Win32_Process
‘* Artificiu de programare care pAstreaz4 script-ul activ
’* in memoria sistemului
i=0
Do While i = 0
Set objLatestProcess = colMonitoredProcesses.NextEvent
‘* Introducerea in baza de date a informatiilor despre
INSTALAREA $I CONFIGURAREA LOGICA A UNEI RETELE LOCALE 267
’* noile procese deschise de utilizator
sqlins = "INSERT INTO tblProcese (UsrName, Statia,
Proces)" &_
“VALUES (‘"& objNet.UserName & "',/" &
objNet.Computername 6 "7, '" & _
objLatestProcess.TargetInstance.Name &
eConn.Execute = sqlins
rym
\* Verificarea unui proces. De exemplu, nu dorim ca
‘* utilizatorii s& execute aplicatie Solitaire a carui
‘* executabil este sol.exe
if objLatestProcess.TargetInstance.Name = "sol.exe" Then
i msgbox ("S-a lansat Solitatire-ul pe statia " 6
objNet.Computername & " de catre userul " &_
objNet . UserName)
\* fnchiderea procesului prohibit
Set colProcessList = objWMIService.fxecQuery _
("Select * from Win32_Process Where Name = ‘sol.exe’")
For Each objProcess in colProcessList
objProcess.Terminate ()
Next
end if
Loop
‘* End of Script
Alte exemple de script-uri
Maparea unui disc din refea si crearea unui shortcut pe desktop
‘* Begin of Script
‘* Crearea obiectelor de tip network si de tip shell (modul
‘* in care sint afigate anumite obiecte pe desktop)
Set objNet = WScript.CreateObject ("WScript.Network")
Set WshShell = CreateObject ("WwScript.shel1")
DesktopPath = WshShell.Specialfolders ("Desktop")
\* Maparea automat& a directorului Muzica de pe server pus la
‘* dispozigzie in retea in mod administrativ.
9 objNet.MapNetworkDrive "M:", "\\server-01\muzica$", "True"
‘* Crearea unei iconitie pe desktop care face leg&turd la
‘* discul M:
| Set link = WshShell.createShorteut (DesktopPath & "\Muzica. Ink"
268 PROIECTAREA RE
LOR DE CALCULATOARE,
link.Description = "Muzica de pe server"
link.HotKey = "CTRL#ALT+SHIFT+M"
link. IconLocation = “explorer.exe, 0"
link.TargetPath =
link.WindowStyle = 3
link.Save
‘* End of Script
Conectarea la o imprimanté din rejea
‘* Begin of Script
‘* Initializarea obiectelor
Set objNet = WScript.CreateObject ("WScript.Network")
Set WshShell = CreateObject ("WScript.Shell")
DesktopPath = WshShell.Specialfolders ("Desktop")
\* Calea cdtre imprimantd care este instalaté pe server gi
‘* este pusd
‘* la dispozitie in rezea sub denumirea ImprimantaSRV$
PrinterPath = "\\server-91\ImprimantaSRV$"
objNet .AddWindowsPrinterConnection PrinterPath
objNet.SetDefaultPrinter PrinterPath
‘* End of Script
13.10. Instrumente pentru depanare
Windows-ul pune la dispozitia administratorilor 0 suit de aplicatii pentru depanarca
refelei, disponibili in Resource Kit. Chiar daca refeaua a fost proiectati si dati in
productic, administratorul va fi nevoit si rispunda in timp la intrebari cum ar
* Ce functioneazii bine si ce nu?
© Ce implicasii are nefunctionarea rejetei ?
* Ce modificdri au aparut in refea?
Identificarea si rezolvarea problemelor din re{ea trebuie Ricutd tot structural. Comenzile
prezentate in continuare respect aceasti cering’.
IPConfig este un utilitar de tip linie de comand& care afigeaz configuratiile TCP/IP
ale unui calculator. Folosirea parameirului /all in sitaxa sa va afisa un raport complet al
tuturor interfetelor calculatorului respectiv. Aceste informatii pot fi salvate intr-un figier
text pentru utilizarile ulterioare.
INSTALAREA §} CONFIGUKAREA LOGICA A UNBI RETELE LOCALE
SCE earns
ereetea
Te eee : ‘ ‘
pie Une ete pare oe ya strine res ey
Gacatiaaees strc rae eater rea bere acces etn
Aras erect :
‘Geetelaseid-odapeer Celascid) 2
Od
Rover waner rece eee Cire oe ots
ance er
Bizplay {ull coatigarat lon anfornat ion.
ES Ura a eter a artnet re Werte
Bt Corrie aera rae tet erties
ates i nee e in
Berea PaiicenteettReet tere terion
Wea eat ca errata
TUS erm TH eee eet ret Serra ec
Modifies the dhcp class dd. is
HR RO UREN LCyPR Dnt err Metre Trane s
Wop ree ts ete Cae TNR (oT :
Oe mean Ve ore cry er MT ne at rretey
mC ara Care ery rts eet
(eee Ce MeO CSCC TCC aS UST acs hee Caer
agent z
patente ty iets ey
Fier et a rater meagre nts Pree
it etaare comes teeters
Serr esete a pester rss cate prey
: Setar
Perr ee pepe te Rost trerr eee ey
os iw oninrs tee tat
Pee a verges ta tad
269
Ping este instrumentul prin care se verific4, in principal, disponibilitatea unui
calculator din rejea. Utilitarul trimite 0 cerere
ICMP c&tre adresa IP sau numele
calculatorului inti. Cel mai simplu test prin care se verifict dac& un calculator din retea
rispunde sau nu presupune ,pinguirea” adresei IP a acestuia, Daci se apeleazA numele
si acesta nu rispunde, nu inseamnd in mod automat ci respectivul calculator are 0
problema. Este posibil ca numele s4 nu poata fi rezolvat de Windows.
Ce ee Oana a eee E Ames S)
eee Niemi tee ee itte tah)
SUT mane
FICS ere Meare Mette Bee
LOR aera Rec esa ee
sitet
tastier
Paes
been
270 PROIECTAREA RETELELOR DE CALCULATOARE
Comanda Pathping este un utilitar prin intermediul cdruia se transmit pachete catre
fiecare router din calea cltre un anumit calculator, pentru a identifica care routere sau
legturi sint cu probleme.
Ra aa neue cacenoceen
Peers omy Corer
Later ets ae eae ets
etre erness
eae ee
pera ae eae re TC Toe
i rete eee Main Ce ence arta Ce areca Pas
Pieces
eRe
Cind rulagi aceastt comanda, veti observa ci prima parte a rezultatului afigat seam§nk
cu cel al comenzii tracert. Dup’ o perioada de ,gindire”, comanda continua s& afigeze
informafiile preluate de la toate routerele din cale. Dintre acestea, cele mai importante
sint cele referitoare la procentul de pachete care se pierd pe o anumit& legiturd (respectiva
legatur& este congestionata).
Pentru a vizualiza consinutul ARP se foloseste comanda cu acelasi nume: arp, Dacd
doua calculatoare de pe acelasi segment nu se vad intre ele (nu raspund la ping), se va
rula accasti comand’ pe fiecare dintre ele pentru a vedea dacd in tabela ARP exist
inregistriri referitoare la adresa MAC (arp -a).
Un alt caz cind se recomanda folosirea acestei comezi: doua calculatoare folosesc
aceeagi adres IP si trebuie identificate.
peers
INSTALAREA $I CONFIGURAREA LOGICA A UNEI RETELE LOCALE 2m
Tracert este utilitarul prin care sc identifica ruta pe care o traverscazX pachetele
pentru a ajunge la calcutatorul destinatar (routerele prin care tree pachetele).
Utilitarul route se foloseste pentru a modifica tabclele de rutare, Se foloseste mai ales in
cazul gateway-urilor, atunci cind se doreste ca host-urile dintr-o rejea s& poat accesa o alta.
cee
pee eee ee
Cee eee ea
ae
m2 PROIE OR DE CALCULATOARE
TAREA,
Netstat este comanda prin care se 2 igeazt informasii despre protocoalele care ruleazi
si conexiunile TCP/IP de pe o static, Se recomand’ folosirea lui mai ales in situatiile in
care binuifi cli refeaua este atacati. Dac multe din conexiunile afisate sint in starea
SYN, se poate binui ¢4 este vorba despre un alac,
fee
peed or Shsioed vit ie -=
Paar ee ce esa ar
aie nee Tehive! 368, TeRye. Ube
Penance nay ee Seacrest
Soca) Aare emer es rty nd
ee ae
Pentru problemele legate de numele NetBIOS se foloseste wtilitarul nbtstat. fn functic
de parametrii folositi, afiseazi numele apticatiilor, cache-ul NetBIOS ete,
fone as
freperesctea et
Kes certian a
i
ante ee re Re More (re er moat
| eswe wen wes wey oe i
Reese mi re Some re aaa Serre ery
aaa a are pec ECC Say
ore trery Fi
RK ot Patel g Ce rourta ty
Berets: ey
Rees oe Me ce Omi
Perro Ter ers Pa ea Sy
Pasties C Mare OTe C rts Cee
fT Bie ie aR Reem Ria,
Figura 14.2.2, Utilitarul IRIS
Pe ling operatiunile de captura si decodificare a informagiilor din refea, in Iris se pot
defini diferite reguli de filtrare a monitorizArii, se poate configura posibilitatea de
inregistrare permanent a traficului. IRIS poate fi configurat ca firewall, prin utilizarea
setului propriu de reguli sau introducerea de noi reguli de monitorizare a accesului si
semnalarea sonori a administratorului sistemului respectiv.
Partea cea mai interesantd la IRIS sint sistemele de raportare grafic a activitatii
defalcate pe diferite categorii sau intervale de timp. Aceste statistici pot fi personalizate
din punctul de vedere al vizualizérii: tip grafic, valori care A fie afigate, intervale de
valori, afigare online etc.
Dupi parerea noastra, IRIS este, in schimb, o aplicatie care necesiti resurse de
memorie si calcul destul de ridicate, mai ales in faza de decodificare a informatiilor.
14.3. Utilitare pentru accesul la WMI
Una dintre cele mai interesante aplicafii pentru accesul la resursele sistemului de operare
este WMI Tools oferit de firma Microsoft, care este impartit in 4 categorii :
Object Browser;
CIM Studio ;
Event Viewer ;
Event Registration.
216 PROIECTAREA RE}!
LELOR DE CALCULATOARE,
Folosind WMI, un utilizator experinicntat poate vizualiza, modifica, elimina si adtuga
clase, obiecte, metode si asociatii in sistemul de operare.
Cunoscind denumirea si tipul diferitelor obiecte din sistemul de operare se pot crea
diferite aplicatii de configurare a acesivia, cea mai simpli metodi fiind aceca de creare
a seript-urilor de tip WHS, folosind limbajul VBS.
Un utilitar pentru scrierea si depanarea script-urilor WHS este Microsoft Script
Debugger care poate fi instalat o dati cu sistemul de operare sau ulterior, ca o
component’ separatt. O diferent escntialt fati de Notepad este ci oferi informatii
despre linia Ia care se afl% 0 eroare, si aceasta poate fi localizatt mai usor, dar si
posibilitatea de executie pas cu pas @ instructiunilor si vizualizarea rezultatelor intr-o
fereastri de simulare.
14.4. Utilitare pentru conectarea la distanta
in Windows 2000, utilitarul este Terminal Service Client ce permite conectarea la servere
Windows 2000 care au instalat si configurat serviciul Terminal Services, Conectarea se
poate realiza in mod application (utilizatorul poate rula anumite aplicatii specificate de
administrator, instalate direct pe server), caz in care fiecare statie de lucru trebuie si
dein’ o licengi de acces (CAL ~ Client Access Licence), sau remote administration
(utilizatorul se poate conecta de Ia distanyi la resursele unui server putind efectua
majoritatea operatiunilor de administrare a acestuia).
Pentru conectarea de pe un sistem care are instalat sistermul de operare Windows 2000
Professional sau Server, trebuie instalat4 componenta Terminal Services Client, utilizind
2 dischete de instalare care se creeaz de pe server:
1, Start > Programs > Administrative Tools > Terminal Services Client
Creator.
2. Alegeti tipul sistemului de operare pe care va rula clientul d-voastr4: Windows pe
16 biti (care se adreseazi sistemului de operare Windows for Workgroups 3.11,
care rula pe sisteme vechi de tip 386), sau pe 32 de biti, care se adreseaza
sistemelor de operare mai noi.
3. Pagii anteriori pot fi dep&siti prin copierea direct& a fisierelor necesare instal&rii
clientului de Terminal Services direct de la adresa: Zwindir Zo\system32\clients\
isclient\.
4, Instalagi clientul rulind aplicatia setup de pe discul 1.
Pentru conectarea pe un server lansati Terminal Services Client (fig. 14.4.1) si
puteti alege din list& serverul pe care doriti s& va conectati precum si dimensiunea
ferestrei (Screen area).
a
Nu tofi utilizatorii dintr-o refea se pot conecta in mod administrativ pe un server, ci
numai cei c&rora le-a fost configurat acest drept.
Pentru vizualizarea concctarilor la server in acest mod, accesaji Terminal Services
Manager din Administrative Tools din care puteti vedea utilizatorii conectati,
sesiunile deschise precum gi procesele pe care le ruleaza pe server. Operatiunile pe
care pute(i si le efectuagi cu ajutorul acestui instrument sint: oprirea unui proces,
UTILITARE DE ADMINISTRARE, 2m
trimiterea unui mesaj unui utilizator, deconectarea utilizatorului de pe server si
cliberarea conexiunii.
Available servers: 1 Expand by default
3 MYDOM
&\SEAVEROT
I Enable data compression
I Cache bitmaps to disk
Q el Cancel Help About
Figura 14.4.1, Fereastra de conectare
la un anumit server
Un utilizator care se conecteazi de ta distan{% poate lisa deschisi 0 sesiune de lucru
pe server, 0 a doua conectare aducind utilizatorul in fafa aceluiasi ecran ca in momentul
deconectarii de Ia server.
in Windows XP conectarea Ia distant se poate realiza cu ajutorul aplicajiei Remote
Desktop Sharing (fig. 14.4.2) pe care o gisi{i in Communications din Accessories.
Remote Desktop Connection este un utilitar mai avansat din prisma faptului ct
permite 0 conectare mai avansati la server, putind avea acces la discurile locale,
imprimante si porturile seriale (optiunea Local Resources din fig. 14.4.2.) direct din
sesiunea deschisi pe server.
278 PROIECTAREA RETELELOR DE CALCULATOARE
ite: Desktop Connection
{ General | Display | Local Resouces || Programs | Experience :
Logan settings
(fq Type the name of the computer, or choose a computer from
the drop-down list.
Computer: SERVER. Eee
= } Save current settings, or open saved connection,
Figura 14.4.2, Fereastra de conectare de la distant in Windows XP
14.5. Simulatoare gi instrumente de invatare
VMware Workstation (VMware Inc.) este utilitar pentru simularea unei stafii de lucru
virtuale, Exist versiuni pentru Windows si Linux, putind simula diferite sisteme de operare
de la MS-DOS la Windows .NET Enterprise Server, Linux, NetWarem, FreBSD gi altele.
Configurarea unei stafii virtuale (fig. 14.5.1) presupune alocarea unor resurse de pe
stajia real: Memorie, spajiu pe hard disk, accesul 1a CD-ROM sau emularea unui
CD-ROM virtual, accesul la unitatea de citire a dischetelor, acces la interfata de retea,
accesul la porturile USB si, implicit, la dispozitivele conectate pe acesta.
Recomandat’ este utilizarea unei memorii RAM suplimentare in momentul in care se
doreste a se lucra cu VMware. Numarul masinilor virtuale care pot fi create si rulate in
acelasi timp pe un calculator real este limitat numai de resursele fizice ale acestuia din urm’.
UTILITARE DE ADMINISTRARE 279
‘Adjust the amcunt of memory alocated to this vitual
Vaal Da JOE 00) Ponte | eachine
DITO ROM NDE 1:0) Using dive odode) | the guest nemo sett you pec mutboin
of 4 HB.
"une sce MB}: { 64GS) Syetom otal Ma} 512
Recommended guestiange (MBE 128-388)
| Total meman for running vitual ggg OT
§ machines (MBE
QS 2 Por USB Convoller
Seng
The guest memay size lower than the recommended’
Figura 14.5.1. Configurarca dispozitivelor fizice aferente unui calculator virtual
Este unul dintre cele mai bune produse de acest gen si il recomandam cu calduré
pentru procesul de invajare, experimentare, configurare gi utilizare a unor sisteme de
‘operare noi, Daca pe stafiile reale din aceeasi rejea sint instalate masini virtuale care au
configuratii TCP/IP pentru aceeasi rejea, calculatoarele virtuale comunict intre ele prin
intermediul interfefelor de rejea a calculatoarelor reale, fara a exista 0 comunicare
aparenti intre real si virtual. Calculatorul real nu raspunde la comanda ping lansaté de
pe calculatorul virtual.
O dat& cu instalarea utilitarului se instaleaz’ automat inci dowd imterfete de retea
logice: VMware Virtual Ethernet Adapter (basic host-only support for VMnetl). si
VMware Virtual Ethernet Adapter (Network Address Translation [NAT] for VMnet8) care
pot fi configurate impreund cu interfafa de rejea fizicd pentru a permite comunicarea
intre calculatorul virtual si calculatorul fizic.
alt& facilitate este reprezentat4 de faptul cX masina virtual este salvat& intr-un
fisier cu extensia . vmdk, acesta putind fi transferat pe alte stafii de lucru, sau multiplicarea
unei stati virtuale deja instalate si configurate. Crearea copiilor de siguranyi va asigura
reluarea actiunilor de configurare din momentul salvarii, in cazul in care nu mai reusiti
s& reparagi eventualele deterior&ri logice ale sistemutui.
RouterSim 3.0. Pentru partea de switching si routing, aplicatia lui Todd Lammle gi
Bill Tedder este folosit3 in cadrul Academiilor CISCO si pune la dispozitia doritorilor un
mediu de lucru foarte apropiat de realitate.
280 PROIECTAREA RETELELOR DE CALCULATOARE
ee
Figura 14.5.2, Router Sim 3.0
Pentru inceput se poate folosi topologia existent’ si lectiile oferite de aplicatic. Dac&
acest lucru nu vi mai multumeste, puteti si v4 creati propria topologie si si configurati
echipamentele dup% cum credeti de cuviings. fn caz de greseli, aveti posibilitatea st
obfineti un mic ajutor, Nu trebuie ins¥ si uitati ci Iucrati cu un simulator care nu este
capabil s& emuleze toate comenzile unui IOS.
14.6. Instrumente de proiectare a refelelor
Utilitarul oferit de Microsoft, Visio, nu este dedicat cu preponderenti proiectirii retelelor
de calculatoare, dar prin gama variata de optiuni pe care le confine la categoria Network,
putem spune cel pusin cd se poate desena foarte bine o rejea.
Principalele tipuri de diagrame (fig. 14.6.1) care pot fi create in Visio pentru
Proiectarea unei retele sint:
* Active directory ~ pentru reprezentarea grafic a celor mai uzuale obiecte ;
* Basics Network - pentru crearea unei diagrame a refelei precum si pentru 0
documentare a acesteia ;
LDAP Directory ;
Logical Network Diagram - permite proiectarea detaliatd a rejelelor ;
Novell Directory Services ;
Visio Nerwork Equipament Sampler - contine un set de obiecte specifice Visio
folosite in documentarea unei retele.
UTILITARE DE ADMINISTRARE 281
[category Temate
Deke
aestéon ton
Coaatase
1D Becta trgrmeing
Drown
Caos ard Outs
Bm
2a
ia
fa!
Lae a
Telephone
S Laser printer
Laptop computer | CJ
Workstation Workstation |
Figura 14.6.2. © diagrama de tip Basics Network
282 PROIECTAREA RETELELOR DE CALCULATOARE
Pentru detatierea proprieti{ilor fiecdrui element dintr-o diagram’: RClick pe obiect
~» Properties. in fereastra Custom Properties pot fi completate o serie de informa
standard, dar pot fi definite (butonul Define) alte propriet%ti pentru un anumit obiect,
prin specificarea Numelui proprietitii (Name), tipul informatiei care va fi introdus’ :
string, number, date, boolean etc.
Visio ofer& o serie de instrumente care pot fi accesate din meniul Tools:
* Report ~ utilitar pentru crearea gi vizualizarea unor rapoarte predefinite, care
extrag anumite informagii din obiectele din diagram’. Un raport predefinit poate
fi modificat (butonul Modify) adaugindu-i-se noi informafii sau eliminind altele.
Afisarea unui raport (butonul Run) se poate realize in mai multe formate de
documente : HTML, Excel, XML.
* Export To Database - utilitar pentru exportul informatiilor dintr-o diagram’ intr-o
baz de date, folosind conexiuni ODBC predefinite sau care pot fi create in
aceasti etapa.
Diagramele pot fi salvate ca documente Visio sau in alte formate: XML, AutoCAD,
HTML, JPEG etc.
Netcracker Designer/Professional' 4.0
Chiar dack intre timp aceast aplicatie a devenit component’ a unei suite mai largi de
solusii pentru managementul infrastructurii IT dintr-o firma, versiunea 4.0 a reprezentat
un instrument excelent pentru proiectarea si simularea traficului unei refele de
calculatoare.
Netcracker permite crearea de proiecte ierarhice pornind de la clidirea in care se
realizeazi implementarea si ajungind la calculatorul sau rack-ul cu echipamente.
Principalele componente ale aplicatiei sint :
* Project Hierarchy - pentru vizualizarea ierarhiei componentelor proiectului ;
* Devices - pentru selectarea echipamentelor ce se folosesc in cadrul proiectului ;
* Compatible devices - vizualizarea echipamentelor compatibile.
Un proiect poate fi realizat numai folosind echipamente generice sau, atunci cind se
cunoaste situatia exact&, se pot selecta echipamentele de la producitorii dorii. Dincolo
de facilitatile de proiectare ofcrite, aceast& aplicatie poate realiza documentarea retelei,
bugetul acesteia, calculeazi si aloc% adrese IP acolo unde este cazul si, nu in ultimul
rind, poate simula traficul in viitoarea retea.
Rejeaua astfel proiectat& se apropie cit mai mult de situagia reala, fard a fi nevoit sA
ai la dispozitie toate echipamentele.
1. Vezi www.netsracker.com,
UTILITARE DE ADMINISTRARE 283
Figura 14.6.3. Utilitarul Netcraker Design
NetViz 6.0'
NetViz este o alt& aplicatie ce permite desenarea i inregistrarea relafiilor logice $i fizice
dintre componentele unei refele de calculatoare, sistem sau proces, precum si descrierea
acestor componente.
Tartans
Figura 14.6.4, Utilitarul NetWiz 6.0
1. vezi www.newviz.com
284 PROIECTAREA RETELELOR DE CALCULATOARE
Ca si in cazul Netcraker, elementul de baz al aplicagiei il reprezint& diagrama de
refea care poate fi un etaj, 0 cladire, un oras etc.
Fiecare dintre aceste elemente poate fi considerat un nod cu subcomponente ce
trebuie cictaliate, cu posibilitatea de a vizualiza refeaua in ansamblul su, Datele referi-
toare la cchipamente pot fi vizualizate sau editate. Dact datele despre retea sint memorate
intr-o baz de date sau intr-un spreadsheet, pot fi importate pentru a popula diagrama de
rejea din, NetViz.
Nodurile si legin cadru! unui p:
catalog ce poate exista separat de proiect.
Fata de softul anterior, NetViz nu ofera posibilitatea simulrii traficului in retea, dar
se poate face Telnet pe device-urile din diagrama construita.
CISCO ConfigMaker 2.6
Acesta este un utilitar proiectat pentru a configura prin intermediul unui PC rejele relativ
mici in care se folosesc routere CISCO, switch-uri sau hub-uri
Se porneste de la realizarea diagramei de rejea si configurarea fiecdrui dispozitiv cu
ajutoru! wizard-urilor. Principalul avantaj const in faptul c&, spre deosebire de confi-
gurarea routerelor prin intermediul liniei de comenzi, in acest caz nu mai sint necesare
cunostinje despre 10S.
Aplicatia realizeazi urmatoarele actiuni :
* Detecteaz& automat dispozitivele din rejea, folosind un port COM sau conexiunea
de rejea de pe PC-ul pe care este instalata.
* Configureaz protocoalele pentru rutare.
* Configureaz rute statice.
© ConfigureazA protocoalele rutabile.
.
le folosite
nt definite fn cadrul unui
Realizeaz’ profile pentru firewall.
Configureazi VPN-uri.
* Distribuie configuratiile realizate citre respectivcle dispozitive.
Din fericire, nu pot fi configurate decit anumite modele de echipamente. Pentru
celelalte este nevoie de configurarea prin intermediul 10S-ului.
igura 14.6.5. Utilitarul CISCO ConfigMaker 2.6
Anexa
287
ANEXA
[ SSTSV OTL SST PE oE cL
Oran f orrgerzer
SST Er oT ZL
fF oerorzer
SSTST OT Ly SSTEVST'ZLI SSTZV9T ZL
YEU OT TLL OzT-9N'ZLE OZ OZLT
SSTIVOVZLY
OI 9VZT
SSTIT ONLY Sst 01ST ZAI
ororgrzt OOrorzet
Ssv6OT CLI
Oe OVI
STOO ZL Soz's°oT'zzi|
Os - os orzZt
ssv'ror'zLt|
OL ONT
ssc orci SSC OLY
Oo ONZLE Oo grzLt
SSC'SOTZLI|
os onze
SSTL OLY SSTS9OTZLI SSCP OTL
‘OU TLT OP Or zLE or ore
: SST Cor zl
Oe ore
SST TOT TL SST TIVELY
OTH OTOL
SsvVorey
oreret
ssc ToT-zLy SSTOST CLT
OO'9rZLT oo oret
OPST SST SST.
O'SSZ'SSTSST
ANEXA
288
SSTIEOT Cay SSC OE ST CAT]
OroE'gr'zLT OE 9TZLT
SST OTT ZLI|
o'er OTZL
SSTIEST Lil SST OT OT TLH SSTBTOT ZL
Orsz‘r'zet OszoV'zLt Os7'9T'ZLT
eras SSTLTOT CLI
ft OLT OVE
SSTLTOV ZL SSr9rOTZLI|
oz or zt O9TOT'ZLI
a SSUSTOT ZL
Ost9N'ZLT
SCIEST TL SST LT OT ELI SETSTOT LI SST PC OT ZL
OPT ONLI Ope OLE Ope oret Oe OLT
qi SSTET ONLI
OST 9 ZLI
ssc er ov cail SSTTC OT TAI
oer zt Oe OTT
SST IT OT ZL
OI T'ZLT
SETETOT TL SSTIT OV LI S87 OC 9T'ZAl|
oor oVzt wor gr'zer or0z91°ZL1
j hee ssc ror
Programs —» Administrative Tools —> Active Directory Users and Computers. Va recomandim, in schimb, si v4 creafi o consol administrativa in care s& includeti mai multe componente de administrare pentru serverul d-voastra : 1. Start > Run > MMC; 2. Meniul Console > Add/Remove Snap-in —> Add — Active Directory Users and Computers > Add — Computer Management ~> Add —> Finish + DNS > Add — Event Viewer —> Add ~» Finish > Distributed file system —> Event Viewer > Add — Finish > Close Standalone | Extensions | Use this page to add ot emave a standslore Shapin trom the consle, Snapins eddedto: [=3 Conscle Rost = fl [-paaive Duecioy Users and Computers |88} Computer Management (Loc) A,ONS ty Ditibted fle system HESIE ver Viewer (Local, seoeeeennetit] Figura 13.6.1, Adiugarea extensiilor intr-o consol administrativa INSTALAREA $I CONFIGURAREA LOGICA A UNEI RETELE LOCALE, 23 Pentru configurarea extensiilor pentru fiecare categorie in parte din fereastra AddRemove Snap-in (fig. 13.6.1), alegeti tab-ul Extensions, dezactivayi Add all exrensions si pastrayi numai optiunea Group Policy, dupa care alegeti din listi urmatoarea component : Computer Management, dezactivati Add all extension si alegeyi optiunile care va inte- reseaz& pentru fiecare categorie in parte. Dup& ce confirmati, puteti salva consola administrativa pentru utiliztri ulterioare din meniul Console, optiunea Save. Vi recomandam s% 0 salvati pe desktop-ut siste: d-voastra pentru a fi accesibila cit mai usor. Nota: Aceasti opsiune de creare a consolei administrative nu este obligatorie, Scurtdé prezentare a componentei Active Directory Users and Computers (A.D.U.C.) A.D.U.C. pentru domeniul curent conjine, in mod implicit, 3 categorii : © Builtin ~ care contine un set de utilizatori predefiniti cu diferite roluri in cadrul domeniului d-voasira. © Computers ~ contine toate statiile incluse in domeniul curent * Domiain Controllers ~ include toate serverele din domeniul curent care au instalat si configurat serviciul A.D. + ForeignSecurityPrincipals - contine identificatorii de securitate (security identi- fiers - SIDs) asociati obiectelor A.D. din alte domenii decit cel curent. Users — congine informajii despre tofi utilizatorii si grupurile de utilizatori implicite. A.D.U.C. poate gestiona informajii despre calculatoare, grupuri de utilizatori, grupuri organizationale, imprimante, utilizatori si directoare puse la dispozitie in rejea (shared folder). inainte de crearea unui utilizator va recomandam s& creati intii un nou grup organi zational care poate include si stajii de lucru, si asupra caruia se poate crea o politica de securitate centralizati: Action > New —> Organizational Unit — introduce-4i 0 denumire sugestiva, (de exemplu, Vizitatori) > OK. La proprietitile unui grup organizational putem specifica urm&toarele informatii : * informatii generale (General). Contine informasii privind descrierea grupului si adresa la care poate fi localizat acesta; + informayii despre persoana, utilizatorul care gestioneaz’ grupul respectiv (Managed By). Persoana care se ocupi de gestiunea utilizatorului respectiv poate fi schimbatt apisind butonul Change, datele de identificare despre aceasta fiind preluate automat din A.D. ; * politicile de securitate aplicate grupului respectiv (Group Policy) unde avem posibilitatea de creare a unci noi politici de securitate sau importul unei politici deja existente, Nu activati optiunea Block Policy inheritance pentru ci aceasta nu se va mai propaga automat asupra altor subsisteme organizationale din grupul respectiv, 234 PROIECTAREA RETELELOR DE CALCULATOARE Crearea unei noi politici de securitate si citeva aspecte si motivafii ale unei politici de securitate Din A.D.U.C., RClick (pe grupul organizational) — Properties -» Group Policy > New —> (se tasteaz4 numele politicii, de exemplu, vizPol - politica pentru vizitatori) — Edit. Fereastra Group Policy este impirtita in dowd mari categorii : © Computer Configuration (politica statiilor de lucru si a serverelor din domeniu) ; © User Configuration (politica de securitate pentru utilizatorii din grupul orga- nizational respectiv). Daca un grup organizational conjine numai utilizatori sau numai calculatoare, cealaltd optiune poate fi blocat din fereastra de proprietti a politicii de securitate (RClick {pe numele politicii] > Properties) (fig. 13.6.2). a i Geneial Jone | Seciaiy viaPol (ewer mydom mporg.t0} pr Suinmary—~ Created 6/16/2003 6:19.07 PM 616 /2009'8:19.07 PM * O (Compiter)0 User): ‘mydem:myorg 10 {G82S0RF6-7EDE4A88-9A01-1 ADATOBSBZC) To improve performance, use these options to disable unused paits ofthis Group Policy Object WZ. Diseble Computer Configuration selings I Disable User Configuation settings Figura 13.6.2. Proprietitile politicii de securitate in momentul in care activati una dintre cele 2 opjiuni, va aparea pe ecranul d-voastrd © fereastr& de atenjionare cu privire la consecinfele care pot fi generate in urma acestei operatiuni, respectiv faptul cA stagiilor de lucru din acest grup organizational le va fi aplicatd politica de securitate local’. Apisaji cu incredere butonul Yes, pentru cX se poate reveni in orice moment Ja starea initial. V& recomandam s& creafi o politic’ de securitate cu preponderena orientat& spre utilizator, pentru c& pe aceeasi stafie se pot conecta diferite categorii de utilizatori care INSTALAREA $I CONFIGURAREA LOGICA A UNEI RETELE LOCALE 235 pot avea diferite niveluri de acces la aceasta, anumite operatiuni fiindu-le private de o eventual politica de securitate eronat specificata. © prima subcategorie intilnits 1a ambele categorii este Software Settings ce conyine optiunea Software installation, care presupune instalarea automata a unor aplicatii impachetate in prealabil in mod administrativ. Pachetele utilizate in acest scop sint recunoscute sub extensia MSI. Citeva instrumente folosite pentru crearea pachetelor de instalare MSI sint: Veritas Software Console, InstallShield Professional, Wise Package Studio, Aceste pachete se salveaz4 intr-un director pus la dispozitie in retea, Instrumentele respective se bazeazd pe crearea unei imagini (snapshot) a registrilor sistemului de operare, instalarea si configurarea aplicatiilor, repornirea sistemului, impachetarea aplicatiei prin preluarea fisierelor de pe disc, precum si a cheilor introduse in registri. Din testele pe care le-am efectuat cu Veritas Software Console, acest sistem se aplic& cu succes doar aplicatiilor de mici dimensiuni, gen arhivare. in subcategoria Windows Settings exist’ optiunea Scripts care pentru Computer Configuration include suboptiunile Startup $i Shutdown, iar 1a User Configuration include Log on si Log off. Aici se pot specifica diferite script-uri care si se declanseze in momentul in care stajia sau utilizatorul se autentificd in reyea. Asupra citorva modele de script-uri vom reveni ulterior. O optiune din politica de securitate poate avea 3 stiri: + Nedefiniti/neconfiguraté (not defined/not configured) ; * Definita/Activa (specificarea unci valori/Enabled) ; * Indisponibili (Disabled). Schimbarea valorilor se poate realiza prin actionarea dublu Click pe optiune sau din meniul Action, optiunea Security. fn continuare, vom incerca si explicim citeva dintre opyiunile politicii uzuale de securitate, valorile aferente si, inainte de toate, calea de a ajunge la opjiunea respectiva. Computer Configuration\ Windows Settings\ Security Settings\ Account Policies\ Password Policies : © Maximum password age (durata maxim’ de valabilitate a unei parole) - forteazX utilizatorul ca dup& un anumit numar de zile (implicit 70) s4-si schimbe parola. Este in strins4 legatur’ cu Minimum Password age (durata minima de valabilitate a unei parole) (implicit 30 de zile). * Passwords must meet complexity requirements (parola trebuie s4 aib4 un format complex) - care inseamni c4 aceasta nu trebuie s4 contina o parte sau tot numele de utilizator ; s& nu fie mai micd de 6 caractere ; s4 conjind caractere mari, mici, numere si caractere non-alfanumerice (de exemplu, !, $—, %). De asemenea, se recomandi folosirea caracterelor speciale sau a caracterului spajiu in crearea parolelor. Activarea acestei optiuni forjeaz& utilizatorul s& nu mai foloseasc& data nasterii, numérul de la magin& sau nume familiare in crearea parolelor. Computer Configuration\ Windows Settings\ Security Settings\ Account Policies\ Account Lockout Policy : * Account lockout threshold (blocarea contului de utilizator) - se configureaz& pentru a preveni inceredrile repetate de conectare la rejea in conditiile de necunoastere 236 PROIECTAREA £8 TELELOR DE CALCULATOARE a parolei. Valorile pe care le poate lua sint de la 1 1a 999. Implicit aceast4 opfiune nu este configurata, iar valoarea 0 elimina posibilitatea de blocare a contului. Recomandam valoarea 3 pentru aceast optiune. * Account lockext duration (timpul de blocare a unui cont) ~ specifica durata de blocare a unui cont care a fost blocat automat prin optiunea anterioara. Intervalul de valori este cuprins intre | si 99999 minute, valoarea implicita fiind de 30 de minute, configurabil{ automat in momentul in care se configureazi optiunea anterioara. Computer Configuration\ Windows Settings\ Security Settings\ Local Policies\ Audit Policy: * Audit account tog-on events (inregistrarea evenimentelor de conectare in rejea) permite scrierea unei inregistr&ri in Event Viewer pentru fiecare operatiune de log in sau log off pe care o efectueaz% un utilizator autentificat de o statie din domeniu. in strins’ leg&turd cu aceasta este optiunea Audit logon events. * Audit account management (Inregistrarea evenimentelor de modificare a conturilor de utilizator) ~ optiune foarte util& in gestiunea unei refele, fiind foarte important de stiut cind gi de c&tre cine au fost efectuate modificéri asupra conturilor de utilizatori. * Audit policy change (inregistrarea schimbirilor politicii de securitate) - adaugi in Event Viewer inregistriri despre modifictrile drepturilor de acces 1a anumite resurse pe statia respectiva. ‘Computer Configuration\ Windows Settings\ Security Settings\ Local Policies\ User Rights Assignment : * Add workstations to domain (adiugarea de statii in domeniu) ~ se configureazi pentru a permite utilizatorilor sau unui grup de utilizatori sa adauge stafii de lucru in domeniu. Implicit, grupul de utilizatori care poate adauga stafii in domeniu este Authenticated Users, dar in accasta categorie pot intra tosi utilizatorii creagi in Active Directory, ceea ce diminueaz& controlul asupra statiilor din domeniul res- pectiv, VA recomandam si configurati aceast& politica de securitate cu specificarea stricti a grupului Administrators: Dublu Click (pe optiune) > Define these policy settings in the template > Add —> Browse — dublu click (pe Admi- nistrators) + OK > OK > OK. © Change the system time (schimbarea timpului din sistem). in mod implicit, fiecare utilizator poate s& schimbe data si ora sistemului, dar nu recomand&m acest lucru pentru c& poate duce la inregistrarea gresit din punctul de vedere al timpului a unor evenimente din refea. Schimbati aseminator cxemplului anterior aceasta opfiune, definind dreptul de acces grupurilor administrative la nivel de domeniu. Pont: Sincronizarea timpului de pe statii in mod automat intr-o rejea se poate realiza prin comanda ner.time care poate fi specificatt intr-un script de startup pe stagiile din domeniu. De exemplu: net time /rtsdomain : nuine_domeniu /set. STALAREA $1 CONFIGURAREA LOGICA A UNEI RETELE LOCALE 237 Computer Configuration Windows Settings\ Security Settings\ Local Policies\ Security Options : * Additional restrictions for anonymous access (Acces limitat conexiunilor anonime). Orice utilizator din domeniul curent sau din alte domenii poate vedea, in mod implicit, resursele puse la dispozitie in refea. Pentru a oferi o mai bund protectie domeniului recomandam optiunea Do not allow enumeration of SAM accounts and Shares, care tnlocuieste grupul de utilizatori Everyone ow Authenticated Users in definirea politicilor locale de acces la diferite resurse. in acest fel, numai utili- zatorii din Active Directory pot avea acces la resursele domeniului: share-uri, imprimante etc. * Automatically log off users when logon time expires (Deconectarea automata de la refea in momentul expirarii timpului de lucru). Pentru anumite categorii de utilizatori sau in mod individual poate fi configurat un interval orar de acces in retea. In momentul in care utilizatorul depaseste timpul alocat, acesta este deco- nectat automat de la resursele refclelor. De asemenea, si versiunea urmitoare (local) trebuie activaté pentru ca sistemul s& deconecteze automat utilizatorul * Do not display last user name in logon screen (Neafisarea numelui ultimului utilizator conectat pe statia curenti). fn cazul retelelor cu multi utilizatori, activarea acestei optiuni aduce un spor de sigurany& la conectarea in retea, multi utilizatori nefiind destul de atengi la ultimul User Name scris in fereastra de Log On, in cazul in care intr-o retea acelasi utilizator lucreazi cu preponderent’i pe aceeasi static, activarea acestei opjiuni nu este recomandatd. * Message text for users attempting to log on (Mesajul pentru utilizatorii care dorese s& se conecteze in rejea). Aici se poate trece un mesaj de informare a utilizatorilor care se conecteaz in retea. Optiunea Message title for users attempting to log on specifica titlul ferestrei de mesaj (de exemplu, Bun venit in cadrul rejelei MYDOM), * Number of previous logons to cache (in case domain controller is not available) (Numirul conect&rilor anterioare salvate local in cazul in care serverul de domeniu nu este disponibil) - permite conectarea pe stafii folosind utilizatorii de domeniu chiar si in cazul in care serverul de autentificare este temporar indisponibil. Aceasti optiune este recomandabil’ numai in cazul in care domeniul contine pUsini utilizatori, gi acestia se conecteaz’ cu precadere pe acecagi static. in eazul domeniilor cu multi utilizatori, crearea profilurilor de utilizatori locali duce la 0 diminuare a spatiului disponibil pe disc. Valoarea 0 este corespondenta cazului al doilea. * Prompt user to change password before expiration (Atentionarea utilizatorului pentru a-si schimba parola cu un anumit timp inainte de expirare). Se exprima in zile, valoarea implicit fiind 14, Va recomand&m ins& 0 valoare mai mick, 5 sau 7, pentru a nu deranja utilizatorul la fiecare conectare. Schimbarea parolei acestuia duce la anularea aparigiei mesajului de avertizare pind la urmitorul termen. © Restrict CD-ROM access to locally logged-on user only (Blocarca accesului la CD-ROM utilizatorilor autentificati de static si nu de serverul de domeniu). Se utilizeazX pentru prevenirea instal&rii unor aplicatii, copierii de fisiere etc. de alti utilizatori decit cei autentificati in domeniv. De asemenea, se poate interzice accesul cAtre unitatea de dischet& prin urmatoarea optiune : Restrict floppy access 10 locally logged-on user only 238 PROIECTAREA RETELELOR DE CALCULATOARE Computer Configuration Windows Settings\ Security Settings\ Event Log\ Settings for Event Logs: In aceast& sectiune, activarea optiunilor Retain application, system, security log si configurarea lor la un anumit numér de zile (implicit 7) aduce cu sine o configurare automat’ a optiunilor Retention method for... care pot fi configurate implicit pe zile. Computer Configuration Windows Settings\ Security Settings\ Restricted Groups este destinatd limit&rii drepturilor anumitor grupuri de utilizatori, prin adaugarea acestora in aceasté categorie: RClick pe optiune + Add Group — Browse — se alege grupul din list’ + OK > OK. : Computer Configuration\ Windows Settings\ Security Settings\ System Services este destinat configurarii serviciilor care vor rula pe statiile de lucru din domeniu. Se pot defini modul de pornire a serviciului, precum si grupurile de utilizatori care au dreptul de pornire a respectivului serviciu. De exemplu, dorim ca serviciul Telnet s& porneasc& manual si numai administratorul de domeniu si aib% drepturi de executie asupra acestuia : Dublu Click pe serviciu — activasi Define this policy settings in the template — in fereastra Security for Telnet apisati Add — se alege din list& grupul Administrators > OK — sc apas& optiunea Allow, Full Control de la Permissions Click pe Everyone > Remove — OK — Manual > OK. Atentie la modul de pornire a anumitor servicii Testaji in prealabil pe o statie obisnuits care dintre servicii va pot asigura o functionalitate optim’ si care pot fi oprite. Este bine cunoscut ci un numéar mai mic de servicii aduce cu sine si o memorie RAM suplimentara, Computer Configuration Windows Settings\ Security Settings\ Registry este opiunea prin intermediul c&reia administratorii pot defini permisiuni de acces utiliza- torilor pe anumite sectiuni din registrii sistemului de operare de pe statiile de lucru. Computer Configuration\ Windows Settings\ Security Settings\ File System permite administratorilor adugarea si definirea politicii de securitate la nivelul directoa- relor $i fisierelor de pe statiile de lucru. Computer Configuration\ Administrative Templates contine o serie de sabloane de optiuni predefinite configurable. Sabloanele implicite sint conf, inetres, system, Ad&u- garea unui nou sablon aduce cu sine posibilitatea configuririi de noi optiuni de secu- ritate : RClick (pe Administrative Templates) > Add/Remove Templates > Add —> se alege un cadru din lista (de exemplu, inetset) > Open — Close. Optiunile din Administrative Templates sint foarte multe, o s{ amintim aici doar citeva, precizand ci 0 documentare completé a acestora puteti gasi la adresa http: // msdn.microsoft. com/library/en-us/gp/default.asp « incetarea aparigiei ferestrei de bun venit la conectarea in refea: Computer Configu- ration\ Administrative Templates\ System\ Don't display welcome screen at logo. * Blocatea rulérii automate a unui CD in momentul introducerii acestuia in unitatea de CD-ROM : Computer Configuration| Administrative Templates\ System\ Disable Autoplay. INSTALAREA $I CONFIGURAREA LOGICA A UNEI RETELE LOCALE 239 ¢ incazul in care aveti mai multe servere de autentificare pentru domeniu, propagarea schimbirilor care se efectueaz pe acestea poate fi configuraté din: Computer Configuration\ Administrative Templates\ System\ Group Policy\ Group Policy refresh interval for domain controllers. Valoarea implicit® este de 5 minute, Prezentarea principalelor categorii din User Configuration © Personalizarea titlului pentru Internet Explorer si a imaginii de pe bara cu instrumente : User Configuration\ Windows Settings\ Internet Explorer Mainte- nance\ Browser User Interface\ Browser Title + Customize Title Bars —> scricti textul dorit ~ Customize Toolbar background bitmap — Browse — c&utati imaginea care trebuie s& fie de tip bitmap (*.BMP) > Open > OK. © Specificarea unui proxy pentru comunicarea pe Internet: User Configuration\ Windows Settings\ Internet Explorer Maintenance\ Connection\ Proxy Settings + ad4ugaji adresa serverului dorit in lista HTTP, portul de comunicajie + OK ; © Personalizarea paginii de start (nome page), a paginii de cAutare si a paginii pentru asistenta tehnic’ : User Configuration\ Windows Settings\ Internet Explorer Maintenance\ URLs\ Important URLs > Customize Home page\ Search bar\ Online support page URL — se tasteazi adresa paginilor dorite > OK. Aceasti optiune este foarte important4 pentru configurarea unei pagini HTML drept desktop al statiilor din domeniu. * Pentru specificarea altei locatii directorului My Documents : User Configuration\ Windows Settings\ Folder Redirection\ My Documents — RClick (pe My Documents) > Properties > Target —> In lista Settings existé optiunea Basic - Redirect everyone’s folder to the same location (redirectarea tuturor utilizatorilor c&tre aceeasi locatie), iar la Target folder location trecesi adresa la care va fi redirectat automat directorul My Documents pentru fiecare utilizator in parte. Calea pe care v-o recomand&m este \\nume_serverinume share in cazul nostru adresa find erver-Ql\ %username%$, server-01 fiind numele serverului, iar username fiind variabila sistem care identific’ numele de share pentru fiecare utilizator in parte. La optiunea Settings toate optiunile pot ramine in mod predefinit. Politica de securitate pentru My Pictures este configurat’ automat s& urmeze directorul My Documents (Follow the My Documents folder). © Interzicerea schimbarii paginii de start (home page): User Configuration\ Admi- nistrative Templates\ Windows Components\ Internet Explorer\ Disable changing home page settings. * Ascunderea optiunii Folder Option din meniul Tools din Windows Explorer cu scopul de a nu permite utilizatorilor vizualizarea unor fisiere ascunse, sau fisiere sistem, in scop distructiv, sau a elimin&rii lor din necunostingi de cauzi: User Configuration\ Administrative Templates\ Windows Components\ Windows Explo- rer\ Removes the Folder Option menu item from the Tools menu. Optiunea ascun- derii figierelor si eliminarea posibilit&ii de dezascundere poate fi depasit’ cu utilitarul Command Prompt, comanda attrib. * Ascunderea anumitor discuri in My Computer, pentru a restrictiona accesul la acestea: User Configuration\| Administrative Templates\ Windows Components\ Windows Explorer\ Hide these specified drives in My Computer > Enabled alegeti optiunile dorite din list) -» OK. Foarte multe erori care se intimpla in PROIECTAREA RETELELOR DE CALCULATOARE, utilizarea calculatoarelor sint cauzate de mutarea accidental prin drag-and-drop a directoarelor dintr-o locatie in alta. Pentru protejarea sistemului de operare, dar si pentru a pistra o ordine in organizarea fisierelor de pe discul C:, vi reco- mand&m s& activati opfiunea Restrict C drive only. De asemenea, puteti bloca accesul la discurile A: sau B: pentru a va proteja si prin aceast& cale de utilizatorii care pot transporta virusi pe dischete (Restrict A, Band C drives only). In cazul in care doriti blocarea accesului la CD-ROM, trebuie s& activati optiunea Restrict D drive only, cu specificarea faptului cf trebuie s& v4 configuraji partifiile de pe statiile de lucru (Administrative Tools\ Computer Management\ Disk Management) in aga fel incit discul de CD-ROM sa aiba asignata litera D. Daca stajia d-voastra face parte dintr-un domeniu public, gen i-cafe, puteti ascunde toate discurile de pe statie, prin activarea optiunii Restrict all drives. Chiar dack activati aceasta politica de securitate, accesul la discuri este posibil din Command Prompt numai dact nu afi dezactivat aceasti optiune. © Eliminarea iconitei My Network Places din Windows Explorer pentru a preveni accesul neautorizat in retea: User Configuration\ Administrative Templates\ Windows Components\ Windows Explorer\ No ,Entire Network” in My Network Places. Oricit de protejagi credem c& sintem, s& nu uitim niciodati ci un utilizator imeresat in scop distructiv se ,.leagé” de orice informatie pe care o achizitioneazi pentru a-gi testa ,fortele”. Intre $0 si 85% dintre incidentele de securitate provin din interiorul organizatiei'. * Specificarea numirului maxim de documente stocate in lista documentelor recent apelate: User Configuration| Administrative Templates\ Windows Components\ Windows Explorer\ Maximum number of recent documents (valoare implicit: 15). * Eliminarea optiunii Run din meniul Start: User Configuration\ Administrative Templates\ Start Menu & Taskbar \ Remove Run Menu from Start Menu. * Ascunderea iconijei de acces la rejea de pe Desktop: User Configuration\ Admi- nistrative Templates\ Desktop\ Hide My Network Places icon on desktop. * Interzicerea schimbirii destinatiei ditectorului sistem My Documents: User Configuration\ Administrative Templates\ Desktop\ Prohibit user from changing My Documents path. ‘+ Activarea desktop-ului activ : User Configuration\ Administrative Templates\ Desktop\ Active Desktop\ Enable Active Desktop si interzicerea modificarilor : User Configu- ration\ Administrative Templates\ Desktop\ Active Desktop\ Prohibit changes. * Adfugarea unet pagini Web pe desktop-ul activ: User Configuration\ Adini- nistrative Templates\ Desktop| Active Desktop\ Add/Delete lem —» Enabled specificarea adresei unei pagini Web care se doreste a fi postat pe desktop-ul utilizatorilor > OK. * Ascunderea resursei Active Directory in refea : User Configuration\ Administrative Templates\ Desktop\ Active Directory\ Hide Active Directory folder. © Interzicerea accesului la tabloul de bord al caiculatorului (Control Panel): User Configuration\ Administrative Templates\ Control Panel\ Disable Control Panel. * Dac& doriti in schimb s& pistraji numai anumite componente in Control Panel, puteti alege optiunea Show only specified contro! panel applets si speciicati Oprea, D., Protecria gi securitatea sistemelor informationale, Ed, Polirom, lasi, 2002, p. 154. INSTALAREA $1 CONFIGURAREA LOGICA A UNEI RETELE LOCALE 241 numele componentelor pe care le doriti. Pentru a crea o lista de componente : Show — Add — introduceti numele componentei > OK ~» OK. Componentele pe care le puteti folosi le gasiti in directorul in care a fost instalat sistemul de operare, subdirectorul System32, sub forma unor fisiere cu extensia CPL. Pot exista in schimb gi neclaritati in leg&tur’ cu aceste componente pentru cd, de exemplu, nu existi nici un CPL care si deschid fereastra de configurare a tastaturii, si nici a imprimantelor. Dac& in documentatie se exemplificd pe lingk mai multe CPL-uri si Printers, inseamn cd putem incerca optiunea Keyboard pentru ca iconita pentru tastaturd s& fie singura vizibild in Control Panel. Nowa nu ne-a functionat ! © Interzicerea modificarii setdrilor pentru display : User Configuration\ Administrative Templates\ Control Panel\ Display\ Disable Display in Control Pane}. Aceasti regula poate fi considerat& una dintre cele mai drastice pentru utiJizatorul final. De ce ar trebui si implementim o astfel de politic in care utilizatorul si nu-si poati adiuga drept Wallpaper fotografia unui loc, a uni persoane sau animal drag? V4 prezentim un caz, practic, deosebit de real, concluziile urmind si le trageti d-voastra. intr-o onorabil& institutie de invayimint, 0 cnorabild profesoar’ de informatica’ a fost foarte aproape de pragul unui colaps psihic in momentul in care a intrat intr-un laborator, desktop-ul fiec&rei stati de lucru fiind schimbat cu fotografi din cea mai exotic’ zon’ a XXX-ului. Folosirea acestei politici de securitate diminucazi posibilitatea de aparitie a unor cazuri de acest gen, pentru c& in utilitarul Paint exist’ inca posibilitatea de setare a unei imagini drept fundal al desktop-ului d-voastra. © Interzicerea modificarii parametrilor TCP/IP : User Configuration\ Administrative Templates\ Network\ Network and Dial-up Connections\ Allow TCP/IP advanced configuration > Disable. * Blocarea accesului la utilitarul pentru comenzi (Command Prompt) : User Configu- ration\ Administrative Templates| System\ Disable the command prompt. in accasti sectiune, la optiunea Enabled foarte important este modul in care se vor executa script-urile. Dacd la procesu! de autentificare de rejea aveti script-uri de tip BAT pentru diferite operajiuni, alegeyi din lista Disable the command prompt script Processing also optiunea No. Interzicerea accesului la registrii sistemului de operare, activati optiunea Disable registry editing tools. * Interzicerea accesului c&tre anumite aplicatii: Don’t run specified Windows applications > Enabled — Show > Add — se trece numele aplicatiei a cirei tulare dorim s-o interzicem, de exemplu, sol.exe, aplicajia pentru jocul Solitair dar lista aplicajiilor nu se limiteaz’ numai la aplicayii Windows, ci si alte exec tabile gen mIRC32.exe > OK > OK 9 OK. * Limitarea aecesului Ja aplicatia de gestiune a proceselor (Task Manager): User Configuration Administrative Templates\ System\ Logon\ Logoff\ Disable Task Manager; recomandim aceasta optiune in momentul in care rulati aplicatii de monitorizare pe statiile de lueru sub forma de servicii, pentru a preveni oprirca neautorizati a acestora de c&tre utilizatori. Detalii despre celelalte optiuni de configurare a politicii-de securitate puteti gXsi la adresa specificata intr-un paragraf anterior. 242 PROLECTAREA RETELELOR DE CALCULATOARE in momentul in care inchideti fereastra Group Policy, toate configurarile pe care le-aji personalizat in aceasta sectiune se salveazi automat. De asemenea, trebuie s& inchideti si fereastra de propriet’ji a grupului organizational. Crearea conturilor de utilizatori Se spune c& o rejea perfectd este cea fara utilizatori, dar insugi scopul acesteia este de a permite utilizatorilor o comunicare rapida gi o stocare centralizatl a fisierelor $i aplicatiilor. Organizarea utilizatorilor in Windows 2000 se face pe grupuri, flecare grup avi anumite drepturi si niveluri de acces la resursele refelei, Nu trebuie si uitim grupurile organizajionale care asigura o gestiune centralizati a resurselor disponibile. Crearea unui cont de utilizator in A.D.U.C. 1. RClick (pe numele domeniului) > New — User — in fereastra New Object - User completaji cimpurile: prenume (First name), numele de familie (Last name), numele complet (Full name) sc completeaz4 automat, numele de utilizator (User logon name) care va fi folosit la conectare; va recomandam si nu folosifi spajii in numele utilizatorului > Next. 2. Introduceti parola utitizatorului si confirmati parola (Confirm password), dup’ care puteti activa urmatoarele opgiuni : * utilizatorul va fi obligat si-si schimbe parola la prima autentificare in reyea (User must change password at next logon) ; recomand’im aceast opyiune cu preponderents in rejele cu foarte multi utilizatori, in care parolele se creeaz4 dup’ un anumit algoritm deductibil. Din experienfa noastr’ putem afirma c% dup’ conectare utilizatorul se asteaptt s& vad’ background-ul Windows-ului i nu o fereastra care-] mai intreabi incd o data ceva despre parola veche (Old Password), $i una noua (New Password) care trebuie confirmat (Confirm New Password) si care mai trebuie s& fie si diferita de cea veche ; User name: Log on to: (Old Password: New Password: Confirm New Password: [ a Figura 13.6.3. Fercastra de schimbare a parolei INSTALAREA $I CONFIGURAREA LOGICA A UNEI RETELE LOCALE 243 * utilizatorul nu va putea si-si schimbe parola (User cannot change password) - optiune pe care o recomandam in cazul conturilor de utilizator destinate grupurilor de persoane. Schimbarea parolei de cltre un utilizator duce 1a imposibilitatea conect&rii celorlalti utilizatori la retea ; * parola nu va expira niciodati (Password never expires), activarea acestei optiuni las% la latitudinea utilizatorului politica de gestionare a propriei parole de acces in refea, cea ce nu este intotdeauna recomandat ; © contul va fi inactiv (Account is disabled), in cazul in care contul va fi utilizat intr-o alt’ perioada de timp viitoare celei cre&rii contului Neactivarea nici unei optiuni las& la latitudinea politicii de securitate aceste optiuni. in mod implicit, utilizatorul va fi gisit in categoria Users din A.D.U.C. La propriettsile utilizatorului nou creat, vom gasi nu mai putin de 12 categorii de informaii foarte detaliate despre utilizatori : * General ~ se pot configura informafii despre datele de identificare a utilizatorului in mod electronic: e-mail, Web Page ; * Address ~ informatii despre adresa postald a utilizatorului : strada (Street), orasul (City) * Account - contine o serie de informaii despre numele de utilizator (User logon name), citeva optiuni suplimentare (Account options), durata de valabilitate a contului (Account expires). © sectiune important din aceast categorie este reprezentata de posibilitatea de specificare a unui interval orar de conectare la rejea: 4 g s 22846 B+ B10 12-26 4 \ ees ° © Logon Painted ©. Logon Denied Sunday through Setuday ftom 124M to 124M Figura 13.6.4, Fereastra de stabilire a intervalului orar de acces in retea 244 PROIECTAREA RETELELOR DE CALCULATOARE Implicit, fiecare utilizator se poate conecta la orice ori din zi sau din noapte la resursele refelei. Se poate configura ins% posibilitatea de acces numai la anumite intervale orare, de exemplu, utilizatorul se poate conecta la rejea numai in ziua de mari de Ia orele 91a 15; selectati tot intervalul orar: Click pe Al! > Logon Denied — selectati de la ora 9AM la 3PM in dreptul zilei de marti (Tuesday) ~» Logon Permitted OK. Unexemplu destul de interesant pe care dorim si-I prezentim este acela al studentilor din cadrul unei institutii. Implicit, acestia au dreptul sa utilizeze toate calculatoarele din toate laboratoatele 1a orice or& cind este program sau mu sint ore, Din picate, exist si persoane care din rea-voinf sau din necunosting& de cauz& in acest timp liber incalc& eventualele regulamente in vigoare. Blocarea contului de acces in refea ar trebui s& fie prima actiune in astfel de cazuri, dar studentul are dreptul de a utiliza calculatorul in cadrul orelor de laborator, pentru c& poate chiar pl&teste pentru acest lucru. in acest caz, am fost pusi in situatia de a implementa la scar destul de mare acest sistem de alocare a spafiului de lucru pe intervale orare. Alt exemplu aplicabil in aceasta situatic este cel al unei biblioteci in care fiecrui utilizator fi sint alocate un anumit numar de ore pe zi, intre anumite intervale orare. alti sectiune din proprietatile contului de utilizator este reprezentat’ de staiile de lucru pe care se poate conecta utilizatorul: Log On To. Implicit, fiecare utilizator se poate conecta pe orice statie din domeniu (All computers) sau se pot configura anumite stagii pe care se pot conecta utilizatorii. © Profile - contine informatii despre profilul utilizatorului. Profilul de utilizator confine setarile personale ale acestuia la nivel de interfati. in mod clasic, profilul utilizatorului confine urmatoarele informatii grupate pe directoarele Desktop, Favorites, My Documents, Recent, Send To, Start Menu, Templates. Profilul fiectrui utilizator se gaseste in directorul Documents and Settings de pe discul pe care a fost instalat sistemul de operare. Pe ling aceste directoare, profilul contine fisierele ntuser.dat si ntuser.dat.log. Un profil de utilizator poate fi de tip roaming sau de tip mandatory. Profilul de tip roaming are drept caracteristic& faptul c& se salveaz pe server si orice modificare a acestuia pe oricare static de lucru se va reflecta la conectarea pe oricare alti statie de lucru. Profilul mandatory (obligatoriu) se creeaz& pe server si se pune la dispozitie in’ retea prin sharing, mai multi utilizatori putind partaja profilul respectiv. Caracteristica profilului obligatoriu este aceea ci acest profil nu poate fi modificat, eventualele modificari nefiind salvate pe server. Crearea unui profil se realizeaz4 automat la conectarea pe o statie de lucru. Copierca acestuia intr-un profil de tip template se realizeazi parcurgind urm&toarele etape : ~ Creati un director pe server pentru profilul utilizatorului (Exemplu, ProfilTmp). = Puneti-l la dispozigie in retea si dati drept de acces grupului Everyone (numele de share, in exemplul nostru, este profiltmp$ adic& este un share de tip administrativ). - Creati un utilizator obisnuit (de exemplu, nume utilizator: profiltmp). - La proprietitile utilizatorului nou creat in sectiunea Profile la c&suja Profile path treceti adresa de acces prin refea Ia share-ul respectiv: de exemplu, \\server-01\ profilimps. - La Connect alegesi din list& o litera disponibil4, iar la To aceeasi adres& ca la pasul anterior ; ~ Dupi ce apisati butonul OK sau Apply o s& vi se afiseze fereastra de mesaje din figura 13.6.5 INSTALAREA $1 CONFIGURAREA LOGICA A UNEI RETELE LOCALE, 245 A\,_ The Vserver-ot\profitmes hore directory was not created because & already exists. i T\\ You might want to select a different name, or make sure that the user has full access privileges to the existing one. Figura 13.6.5. Mesaj de atentionare care ne atentioneazi ci nu s-a creat directorul pentru stocarea profilului pentru ci acesta deja exist’, Ni se sugereaz%, de asemenea, si alegem un alt nume,de share pentru directorul profilului, dar din experienta noastra va informim cA accasta este calea functionala a lucrurilor. - Conectati-vd la o statie de lucru cu utilizatorul nou creat, V4 recomand’m ca statia de lucru s& fie proaspat instalat’a. ~ Se realizeazi configurarile la nivel de interfayt, dar si pentru anumite aplicaiii, cu precddere pentru aplicatiile de tip Office si pentru Internet: modul de asezare a toolbar-urilor, unitatile de m&sura, modul de vizualizare a unei pagini, locu! in care se salveazt implicit documentele, cont! de e-mail, paginile favorite, iconitele de pe desktop etc. - Dupi delogarea de pe statia de lucru, pe server in directorul alocat utilizatorului ProfilTmp vor aparea o serie de figiere si directoare prezentate in figura 13.6.6. ~|JApplcation Data (") Cookies |"*yDesktop |ZyFavorites [“JMy Documents NetHood | jPrintHood = jRecent “ySendTo Castert Menu NTUSER.DAT J Templates DAT File 2) ntuser.dat.Log Modified: 6/23/2003 9:46 AM DAT File Sze: S12 KB ‘My Computer Figura 13.6.6. Conginutul unui profil de utilizator ~ Conectarea pe oricare alt statie de lucru din domeniu aduce cu sine inc&rearea profilului de utilizator direct de pe server, pistrind toate setrile facute in timpul sesiunilor de lucru. Singurele informafii care nu se transport o dati cu profilul utilizatorului sint fisierele temporare, ~ Vizualizarea profilurilor de utilizator inregistrate pe o static de lucru se realizeaz% parcurgind urmitoarele ctape : Rclick (pe My Computer, de pe Desktop sau din meniul Start) —> Properties > Advanced —> Settings (de la User Profiles). 246 PROIECTAREA RETELELOR DE CALCULATOARE ~ Copierea unui profil se realizeaz prin actionarea butonului Copy To, se st calea de salvare prin acjionared butonului Browse si se atribuie drept de t grupului de lucru Everyone prin actionarea butonului Change. User profiles store settings for your desktop and other information related to your user account, You can create a different profile on each computer you use, or you can select a roaming profile that is the same on every computer you use. Name | Sae! Type. Status | Modfied | CONTA-01\ Administrator 617KB Local Local 6/19/2003} | | MYDOM\Administrator 611 KB Local Local 6/20/2003) | | MYDOM\Profilemp 603KB Roaming Roaming 6/23/2003) Change Type] {Delete} [_ Copy To To create new user accounts, open User Accourts in Control Panel, Figura 13.6.7, Profilele de utilizator de pe o static de lucru = Schimbarea tipului unui profil se poate realiza numai in cazul profilurilo Roaming, prin actionarea butonului Change Type. ~ Schimbarea profilului de tip Roaming in profil obligatoriu (Mandatory) s zeazi prin schimbarea extensiei fisierului NTUSER.DAT in NTUSER.M, profilul utilizatorului de pe server. - Incazul in cate profilul de pe server nu este disponibil, se va crea un pro utilizatorului. INSTALAREA SI CONFIGURAREA LOGICA A UNE! RETELE LOCALE 247 eA ae uae [Windows cannot locate the server copy A: of your roaming profile and is altempting to log you on with your local profile [Changes to the protle wil not be copied _. tothe server when you logol. Possible [causes o this error include network Jpctiens oinsulicen secu ghts Time remairing: 24 Figura 13.6.8, Mesaj de eroare Este foarte important ca un profil si fie cit mai mic pentru a fi transportat rapid prin rejea. De aceea incercaji si climinaii cit mai multe informatii din profilul obligatoriu pe care-l creaji, Pentru a pune acelasi profil la dispozitia mai multor utilizatori, va reco- mand&m s& copiafi confinutul directorului in care a fost creat profilul template intr-un alt director, de exemplu Profile, pe care puneti-| la dispozijie in rejea cu dreptul de citire pentru grupul Everyone. Revenind la fereastra de proprietati a utilizatorului, la Profile: Pee een Member Of": | “Diatin Environment | Sessions Remote'controt | Tetminal Services Profile | General | Addhess..|'Account Profle | Telephones |-Organization’ 1p User profle === Brofie path:..-~ | WeewerOi\proiet Logon scat’: fionelp.bat ¢ Home flder— © Local path ff @ connect” f=] tor [NeewwerStvoneba Figura 13.6.9. Stabilirea configuratiilor pentru profilul unui utitizator La Profile path trecem calea de acces prin rejea la profilul utilizatorului, Dac este un profil obligatoriu (Mandatory), se trece acecasi cale pentru mai multi utilizatori. fn cazul profilurilor Roaming, trebuie creat pentru fiecare utilizator un director pe server si pus la dispozitie in refea cu drepturi de acces numai pentru acesta. 248 PROIECTAREA RETELELOR DE CALCULATOARE Logon Script reprezint nume unui eventual script care se executt in momentul in care s-a conectat utilizatorul respectiv, Aceste script-uri se execut’ anterior script-urilor specificate prin politica de securitate (vezi inceputul capitolului). Script-urile din aceasta categorie sint salvate in directorul C:\WINNT\SYSVOL\sysvol\mydom.myorg. ro\ scripts si sint puse la dispoziie in reyea sub denumirea NETLOGON, putind fi accesate la adresa ; \\server-OI\NETLOGON. Implicit, in acest director nu se afl nici un fisier. Connect ... To se foloseste pentru conectarea utilizatorului, in mod automat, la o resursii de pe server. Celelalte propriet3ji configurabile utilizatorilor sint : ‘© Telephones - pentru configurarea diferitelor numere de telefoane !a care poate fi contactat utilizatorul respectiv. Organization ~ diferite date despre pozitia in cadrul organizatiei Remote Control - modul de acceptare a accesului la distanta si de interactiune cu utilizatorul. Terminal Services Profile - profil de acces pe server folosind Terminal Services. Member Of - cArui grup de utilizatori apartine utilizatorul curent. Dial-in - personalizarea accesului in retea prin dial-up. Environment ~ specificarea aplicatiilor care vor fi startate dup conectarea la server prin terminal Services. * Sessions - personalizarea modului de sfirsit al unei sesiuni de lucru. . fn momentul crearii contului de utilizator, acesta va fi stocat, in mod implicit, in categoria Users din Active Directory Users and Computers. Mutarea utilizatorului intr-un grup organizational se realizeaz cu: RClick (pe utilizator) > Move —> se alege grupul organizational din list’ > OK. in momentul mut&rii utilizatorului, acesta va prelua toate configuririle efectuate in politica de securitate a grupului respectiv. Pentru o aplicare mai strict& a politicii de securitate pentru un domeniu de calcu- latoare, vi recomandam s% ad’ugafi gi stasiile de lucru in grupul organizational dorit prin mutarea din categoria Computers. Dup% adaugarea la grupul organizational, statiile de lucru trebuie repornite pentru aplicarea politicii. Etapa esentiala pentru aplicarea politicii de securitate pe o stagie din domeniu este lucrul cu grupuri de utilizatori si ad&ugarea la acestea a utilizatorilor. Politica de securitate se aplic& asupra utilizatorilor prin aceaste grupuri de utilizatori. Crearea unui grup : 1. RClick pe grupu! organizational dorit -» New > Group. 2. Scrieyi numele grupului la Group Name — OK. Adiugarea unui utilizator intr-un grup de utilizatori : 1, Dublu-click pe grupul de utilizatori creat > Members. 2. Add, dublu-click pe numele utilizatorului dorit din list’ sau scrie{i de la tastaturi numele utilizatorului > OK — OK. INSTALAREA §t CONFIGURAREA LOGICA A UNEI RETELE LOCALE 29 Citeva elemente de administrare A. Regdsirea utilizatorilor in Active Directory in A.D.U.C., RClick (pe numele domeniului) —> Find —> la Name se specifica numele izatorilui —» Find Now. Dac nu cunoasicti numele utilizatorului sau doriji o cautare avansati, apasati pe nced, putind realiza cdutari dupa diferite caracteristici ale utilizatorilor (Butonul Field, optiunea Users), ale grupurilor sau ale persoanele de contact. La condifii se pot specifica diferite criterii de cdutare: * care s& inceap’ cu (Start with) ; care s4 se termine cu (Ends with) ; este (Is exactly) ; nu este (Is Not) ; care contine (Present) ; care nu contine (Nor Present). Contactele reprezint’ informatii despre diferite persoane gestionate in A.D., dar care nu au drept de conectare in reteaua curenti. B. Blocarea/Deblocarea unui cont de utilizator Blocarea: RClick (pe numele utilizatorului) + Disable Account. Deblocarea: RClick (pe numele utilizatorului) —> Enable Account. C. Active Directory Schema Reprezint’ un set de opfiuni extinse de administrare a unui domeniu Windows 2000. Pentru a putea extinde schema Active Directory, trebuie si instalati in prealabil toate instrumentele de administrare ale Windows 2000 Server : 1. Start — Settings — Control Panel. 2. Dublu-click Add/Remove Programs. 3. Selectati Windows 2000 Administration Tools —> Change —> Next. 4, Install All Administrative Tools — Next. 5. Dupa ce se termina de copiat si instalat fisierele, Finish — Close. Adaugarea Active Directory Schema intr-o consol de administrare : 1. Start —» Run — scrieti MMC in cisuya Open — OK. 2. in meniul Console —» Add/Remove Snap-in —> Add — Active Directory Schema — Add — Close — OK. 3. Consola administrativa poate fi salvat cu un anumit nume: in meniul Console > Save As, scrieti numele pe care doriti s&-1 dati consolei (de exemplu, Schema) —> Save. Un exemplu clasic de utilizare a schemei Active Directory este accea a adiugirii unei noi propricti{i utilizatorilor din domeni, gen nivelul salariului, codul numeric personal ete. 250 PROIECTAREA RETELELOR DE CALCULATOARE Crearea utilizatorilor folosind comenzi Comanda de creare a unui utilizator este: NET USER care are urmitoarea sintaxi : | net user [username [password | *) [options]] {/domain) i username {password | *) /add [options] [/domain] username [/delete] (/domain] im care: username reprezinté numele de utilizator, Pentru numele de utilizator cu spasii acesta se va trece intre ghilimele ; password reprezinti parola de acces in rejea. Caracterul asterix (*) se foloseste pentru a intrerupe execujia comenzii NET cu scopul introducerii parolei de utilizator ; /domain reprezinti numele domeniului in care va fi addiugat utilizatorul respectiv. Dac contul de utilizator se creeazi pe serverul de domeniu, aceast optiune nu mai este necesard; /add - parametrul care specific faptul c& utilizatorul este nou ; /delete ~ se specifick o actiune de stergere a utilizatorului ; opfiunite principale intilnite la crearea unui cont sint: © active: {yesino} ~ implicit valoarea este Yes ; © /comment: text” - specificarea unui comentariu pentru utilizator. Acest text apare la Description din proprietitile generale ale utilizatorului din A.D. © /expires : {date|never) ~ data de expirare a contului de utilizator sau specificarea faptului ci acesta nu va expira niciodata ; 9 fullname: name” - specificarea numelui complet al utilizatorului ; 0 /homedir: pathname ~ specificarea directorului la care se conecteaz automat utilizatorul. Este echivalentul Tui Connect... To... de la proprietatile utiliza- torului din Active Directory. Acest director trebuie si existe si st fie pus la dispozitie in rejea! ; © ‘/passwordchg: {yesino) - specifick posibilitatea de schimbare a parolei. Implicit este Yes: © /profilepath ( : path] ~ speeificarea cBii de acces la profilul utilizatorului. Acest director trebuie si existe gi s& fie pus la dispozitie in retea; “o /scripipath: pathname ~ calea ctre script-urile de logon sau mai bine spus, numele scriptului respectiv ; © /usercomment: text” ~ alte comentarii care pot fi specificate pentru utiliza- torul respectiv. Exemplu ~ Crearea unui utilizator cu numele DimaR. Date preliminare : Nume server: server-O1 Grup utilizatori : Vizitatori Adresa profilului template : \\server-Ol\profiles 1, Deschidefi utilitarul Command Prompt: Start > Run ~ scrieti cmd + OK; 2. Pozitionarea pe discul pe care vor fi stocate informatiile utilizatorului: ¢ INSTALAREA $I CONFIGURAREA LOGICA A UNEI RETELE LOCALE 251 3, Crearea unui nou director cu numele utilizatoralui : MD DimaR 4. Punerea la dispozigie in retea a informatiilor din directorul respectiv : net share DimaR$=F:\DimaR 5. Crearea utilizatorului : : net user DimaR parola /fullname:"Dima Raluca" /homedir: \\server-01\DimaR$ /profilepath:\\server-01\ profile§ /scriptpath:default.bat /add 6. Adaugarea utilizatorului intr-un grup de lucru existent: net group vizitatori /add dimar 7, Stabilirea setarilor de securitate pentru directorul aferent utilizatorului DimaR : cacls dimar /p Administrator:F DimaR:F /R Everyone /e Existenta posibilit4ii de creare a utilizatorilor folosind script-uri are un rol foarte importam in procesul de automatizare a activitiiilor, mai ales cind exist informatii stocate in diferite tipuri de baze de date. De exemplu, in Visual Fox, operatiunea de automatizare a cre&rii utilizatorilor const& in crearea unui set de variabile compuse (echivalente fiecrei lini de executie) din siruri de caractere (aferente comenzilor si parametrilor) $i cimpuri din baze de date, aferente datelor despre wtilizatori, precum si configurarile necesare de genul nume de servere, domenit etc. Informatiile se folosesc pentru inserarea intr-o tabel cu o singur& coloan’, fiec&rei comenzi corespunzindu-i cite o linie. Informatiile din tabela cu comenzi vor fi transferate tntr-un fisier de tip BAT cu ajutorul secventei program : COPY TO numefisier TYPE SDF RENAME numefisier.TXT TO numefisier.BAT Metode avansate de creare a utilizatorilor Tehnologiile alt& metoda de creare a utilizatorilor este aceea a folosirii tehnologiilor de tip LDAP, WMI si WHS, care permit un control mai amanuntit al informatiilor despre utilizatorul respectiv, precum gi al politicilor de management in cadrul organizasiei. LDAP (Lightweight Directory Access Protocol) reprezint§ un protocol software care permite oricui s& extragd informagii sau s% acceseze alte resurse precum fisiere sau dispozitive din reyea de pe Internet sau din Intranet. Reprezinti o prima versiune a protocolului Directory Access Protocol (DAP) si este considerat light (subjire) pentru ci nu include optiunile de securitate. A fost dezvoltat la Universitatea din Michigan si a fost adoptat de aproximativ 40 de companii, cele mai reprezentative fiind Microsoft, Novell si CISCO. LDAP permite regisirea informatiilor intr-o retea fard a cunoaste locatia exactd a informatiei respective. LDAP este organizat intr-o structura arborescent{ compusé din urmatoarele niveluri: * directorul ridacina (root directory), locul din care porneste cdutarca ; * {ara sau, mai bine spus, domeniul din structura DNS (COM, RO, FR); 252 PROIECTAREA RETELELOR DE CALCULATOARE * organizatia - numele organizatici ; + grupul organizational - subdiviziune logic a organizajiei care poate fi structurat in: divizii, departamente, filiale; + obiecte ~ include obiectele intilnite intr-un grup organizational : utilizatori, stati de lucru, fisiere, resurse puse la dispozitie in rejea (share-uri), imprimante. Windows® Management Instrumentation (WMI) este 0 component a sistemului de operare Windows care permite gestionarea informajiilor si controlu! retelelor Windows, Ofer’ suport pentru medii de dezvoltare a aplicatitlor cum ar fi C++, permitind conectarea catre baze de date folosind ADO sau ODBC. De asemenea, poate fi folosit in automatizarea anumitor activititi de rejea prin crearea de script-uri de administrare, Se integreaza cu Active Directory si alte solutii oferite de Microsoft: servere de e-mail, de Intenet, de aplicatii etc, Componentele WMI sint * ‘sistemul de notificare a evenimentelor ; limbajul de interogare a evenimentelor ; suportul pentru securitate ; suportul pentru autentificare si conectare la distanta. Common Information Model (CIM) reprezint& un model de date extensibil orientat obiect care consine informatii despre diferitele parti ale unei organizatii. impreun’ cu WMI, un programator poate crea clase care sf reprezinte hard discuri, aplicatii, routere sau alte tehnologii definite de c&tre acesta. Script-urile sint folosite pentru a accesa toate clasele WMI aferente obiectelor hardware sau software din cadrul unei organizajii. Script-urile de tip Windows Script Host (WSH) pot fi folosite pentru a accesa obiecte de tipul fisierelor de sistem, pentru a gestiona impri- mante de rejea, pentru schimbarea variabilelor sistem. Seripturile de tip Active Directory™ Service Interface (ADSD permit accesul c&tre obiectele din Active Directory folosind un limbaj derivat din XML (eXtended Markup Language). impreuni, cele dou’ timbaje, WSH si ADSI, permit accesul c&tre obiecte si operajiuni de gestionare a acestora care nu se pot realiza prin scripturile de tip baich (BAT - vechiurile script-uri de tip MS-DOS). Cu aceste limbaje se pot crea rapid aplicagii simple sau complexe de management al unei rejele Windows, iar implementat in C++ poate fi folosit pentru controlul tuturor obiectelor dintr-o organizasie Crearea conturilor de utilizatori folosind WSH Cu toate c& aceste script-uri poartt denumirea de WSH, ele folosesc limbajul VBS (Visual Basic Script). Alte variatii ale acestui limbaj sint fisierele de tip WSF (Windows Script File), dar a c&ror sintax& este diferita. Crearea unui script: 1. Start + Programs —> Accessories —> Notepad. 2. Scriefi textul script-ului. 3. File —> Save —» [a Save in alegeti calea de salvare a documentului. (Vi recomandim ca scripturile de administrare sa le gestionati centralizat, intr-un director care st nu fie pus la dispozitie in rejca, cel putin in faza de constructie). 4. La File name scrieti numele script-ului, urmat de extensia VBS —> Save. INSTALAREA $1 CONFI LOGICA A UNE] RETELE LOCALE 253 Executia unui script se realizeaz4, in mod normal, prin dublu-click pe numele figierului sau din Command Prompt folosind comenzile cscript sau wscript urmate de numele figierului si extensia acestuia. Pentru depanare se pot folosi ferestre de mesaje pentru afisarea valorii diferitelor variabile pe parcursul executiei. Majoritatea erorilor (fig. 13.6.10) oferX informagii despre linia la care s-a produs eroarea respectivi gi mesajul de eroare. in Notepad, regasirea erorilor dupi accasti metoda este o aventura in cazul script-urilor de dimensiuni foarte mari, pentru e& tret numirati fiecare line, Noi folosim in acest scop liniile albe si introducem comentarii cu numirul liniei curente (vezi listing-ul nr. 13.6.1). se ass @ D;{Scripts\script.vbs. 2 , 1 Object required: ‘objNet!" 800A0108 Microsoft VBScript runtime error Figura 13.6.10. Fereastri de eroare in execuia unui script VBS Listing-ul 13.6.1. Script-ul de creare a unui utilizator intr-un domeniu Windows ‘* La DC se specificd numele intreg al domeniului. Pentru ‘* £iecare component4 a acestuia se serie un nou DC. in ‘* cazul nostru, numele complet al domeniului este: ** mydom.myorg.ro. ‘* Conectarea la Domeniu Set objDomain = GetObject ("LDAP: //dc=MYDOM, de=MYORG, de=RO") ‘* Linia 7 ‘* Crearea grupului organizational Set objOU = objDomain.Create ("organizationalUnit", "ou=Grup Nou") objOU.SetInfo ‘* Conectarea la grupul organizational Set objOU = GetObject ("LDAP://OU=GrupNou, dc=MYDOM, iste MYORG, DC=RO") ‘* Creare utilizatorului cu numele PopescuVasile Set objUser = objOU.Create ("User", “cn= PopescuVasile") ‘* Stabilirea numelui de acces in retea objUser.Put “userPrincipalName", “PopescuVasile" 254 PROIECTAREA RETELELOR DE CALCULATOARE ‘* Addugarea informatiilor suplimentare pentru contul ‘* PopescuVasile. ‘* Specificarea numelui aferent domeniilor pre-Windows ‘* 2000; in pre~ W2k, numele utilizatorilor nu trebuie s& ‘* fie mai mari de 12 caractere, ‘* De asemenea, pot aparea probleme si la statiile superioare ‘* w2k, de exemplu, XP, cind numele de utilizator trebuie ‘* s& fie specificat. tot din 12 caractere sau trebuie s& ‘* fie scris in formatul unei adrese de e-mail: Ex: ‘* Popescuvasile@mydom.myorg.ro objUser.Put "sAMAccountName", “PopescuVasil” ‘* Prenumele, initiala, numele de familie, numele complet objUser.Put “givenName", "Vasile" objUser. Put objUser.Put "sn", "Popescu" objUser.Put "displayName", "Popescu I. Vasile” ‘* Ad&ugarea informatiilor de localizare a utilizatorului ‘* in firma objUser.Put “physicalDeliveryOfficeName", "Sala 327a" objUser.Put "telephoneNumber", " (0232) 20-1418" objUser.Put "mail", "“popescuvasile@myorg. ro" objUser.Put "wiliiomePage", “http: //www.myorg.ro" ‘* Crearea directorului pe server pentru utilizator Set objFSO = CreateObject ("Scripting.FileSystemObject") Set objFolder = objFSO.CreateFolder ("F:\PopescuVasile") ‘* Punerea la dispozitie in retea a directorului nou creat Const FILE_SHARE = 0 Const MAXIMUM_CONNECTIONS = 25 strComputer = "." Set objWMIService =~ Getobject ("winmgmts:" &_ "(impersonationLevel=impersonate}!\\" & StrComputer & "\root\ cimv2") Set objNewShare = objWMIService.Get ("Win32_Share") errReturn = objNewShare.Create _ ("F:\PopescuVasile", "PopescuVasile$", FILE_SHARE, _ MAXIMUM_CONNECTIONS, "Directorul lui Vasile de pe server.") ‘* Addugarea informatiilor cu privire la profilul ‘* uvilizaterulei INSTALAREA §I CONFIGURAREA LOGICA A UNEI RETELE LOCALE 255 objUser.Put "profilePath", “\\server-01\Profiles" objUser.Put "scriptPath", “logon.vbs" objUser.Put “homeDirectory", "\\server-01\PopescuVasiles" objUser,Put "“homeDrive", ‘* Ad&ugarea informatiilor cu privire la numerele de ‘* telefon ale utilizatorului H objUser.Put "homePhone", “ (0232) 200100" objUser.Put "pager", " (0232) 200101" objUser,Put "mobile", " (0555) 202002" objUser.Put "facsimileTelephoneNumber", " (0232) 20-1070" objUser.Put "ipPhone”, "1418" objUser.Put “info", "Va rugam sa nu contactati utilizatorul"6_ “acasa decit pentru urgente. Sunati pe mobil sau trimiteti un fax." ‘* Aplicarea configurarilor ff objUser.SetInfo ‘* Crearea unui grup de utilizatori Set objOU = GetObject ("LDAP://OU=GrupNou,dc=MYDOM, dc=MYORG, dc=Ro") Set objGroup = objOU.Create ("Group", "cn=GrupGRP") objGroup.Put "sAMAccountName", "GrupGRP” objGroup. Set Info ‘* Addugarea utilizatorului in noul grup de utilizatori [| objGroup.add objUser.ADSPath ‘* Specificarea faptului c& acest cont va £i disponibil in retea. ‘* Implicit conturile create cu WHS sint disabled, adic& nu ‘* pot fi folosite. YJ objUser.AccountDisabled = FALSE ‘* Specificarea parolei pentru utilizator pentru cd, ‘* implicit, acesta a fost creat f&r& parola. ]| objUser.setPassword "po0614" ‘* Aplicarea noilor configurari objUser.SetInfo Un gi mai mare randament in procesu! de creare a utilizatorilor este reprezentat de extragerea informatiilor din baze de date, in exemplul urmator, va propunem o bazi de 256 PROIECTAREA, ELELOR DE CALCULATOARE date de tip SQL Server la care ne vor conecta folosind tehnologii ADO. Vom folosi doar citeva informasii esentiale despre respectivul utilizator, putind detalia pe larg adaugind noi cimpuri in tabela. fn cazul nostru, serverul de baze de date este instalat pe serverul de domeniu (Server-02, vezi figura 13.1.2), deci va avea [P-ul: 172.172.172.2. Structura tabelei care confine informayii despre utilizatori este prezentatl in figura 13.6.11. Datatype [Length [Precision [Scale [Allow Nulls |_> |UserName varchar 50.0 0 |_|Password varchar 1500 a |__| Nume varchar S00 0 Prenume varchar 500 Q email varchar S00 0 varchar Q 0 Figura 13,6.11, Structura tabelei cu informatii despre utilizatori in coloana Grup se specific’ numele grupului de utilizatori din care va face parte utilizatorul curent. Crearea parolei pentru organizasii cu foarte multi wtilizatori reprezint& un alt subiect de discusic. Va recomandim s& folositi algoritmi de creare a acestora, bazindu-va pe informagii mai putin publice. Un exemplu ar fi o combinatie de litere si cifre din numele de familie sau CNP, sau data nasterii. Listing-ul 2. Crearea grupurilor de utilizatori si a utilizatorilor in mod automat prin preluarea informatiilor dintr-o baz de date ‘* Crearea conexiunii cdtre serverul de baze de date ** Nu este obligatoriu ca acesta s& fie SQL Server set oConn= WScript.CreateObject ("ADODB.Connection") oConn.Open = "Provider=SQLOLEDB.1;Password=****#*; " &_ "Persist Security Info=True;User ID=AdminBD; " &_ “Initial Catalog=bdUsers; " 6_ "Data Source=172.172.172.2;Network Library=dbmssocn" ‘* Crearea recordset-ului cu numele grupurilor de utilizatori set recs = WScript.CreateObject ("ADODB.Recordset") recs.ActiveConnection = oConn recs.Source = “select distinct rtrim (grup) as grupu from tblUsr" recs.Qpen () ‘* Conectarea la grupul organizational i Set objOU = GetObject ("LDAP://OU=GrupNou, de dc=RO") INSTALAREA SI CONFIGURAREA LOGICA A UNEI RETELE LOCALE 287 ‘* Parcurgerea recordset-ului while not recs.eof numegrup = rtrim (recs,.Fields.Item ("grupu") . Value) ‘* Crearea Grupului Set objGrup = obj0U.Create ("Group", "cn=" 6 numegrup) objGrup.Put “sAMAccountName", "" & numegrup objGrup.SetInfo ‘* Trecerea la urm&toarea inregistrare din Recordset recs.movenext () wend ‘* Inchiderea recordset-ului in vederea repopuldrii cu ‘* informatii din baza de date recs.close (} ‘* Repopularea recordset-ului recs.Source = "select * from tblUsxr" recs.Open () ‘* Parcurgerea recordset-ului pentru while not recs.cof area uLilizatorilor ‘* Crearea variabilelor prin care se preiau informatiile ‘* din recordset numeuser = rtrim (recs.Fields.Item ("UserName") . Value) parola = rtrim (recs.Fields.Item ("Password") .Value) numegrup = rtrim (recs.Pields.Item ("Grup") .Value) vpren = rtrim (recs.Fields.Item ("Prenume") .Value) vNume = rtrim (recs.Fields.Item ("Nume") .Value) vemail = ctrim (recs.Fields.Item ("email") .Valuo) ‘* Crearea utilizatorului aferent liniei curente din recordset Set objUser = objOU.Create ("User", "cn=" & numeuser) ‘* Stabilirea numelui de acces in retea objUser.Put “userPrincipalName", "" & numeuser objUser.Put “sAMAccountName", "" & numeuser ‘* Prenumele, initiala, numele de familie, numele complet, ** e-mail objUser.Put "givenName", "" & vpren objUser.Put “sn", "" & vNume 258 PROJECTAREA RETELELOR DE CALCULATOARE objUser.Put "displayName", "" & vPren &@ " " & vNume bjUser.Put "mail", "" & vemail eee ‘* Aplicarea configurarilor objUser.SetInfo om ‘* Specificarea faptului c& acest cont va fi disponibil in ‘+ vetes 4 objUser.AccountDisabled = FALSE ‘* Specificarea parolei 3 objUser.SetPassword "" & parola ‘* Aplicarea noilor configurari § — objUser.SetInfo ‘* Conectarea la un grupul de utilizatori specific ‘* utilizatorului curent Set objAddGroup = GetObject ("LDAP://cn=" & numegrup & Bee ", OU=GrupNou, de=mydom,dc=myorg, de=RO") ‘* Addugarea utilizatorului la grup ff. ob jAddGroup.Add objUser.ADSPath obj AddGroup.SetInfo recs.movenext () wend wseripr.quit Script-urile pentru erearea utilizatorilor trebuie executate pe serverul de domeniu gi de citre ua utilizator cu drepturi de Administrator. 13.7. Instalarea si configurarea unui server de Web Instalarea serviciului de Web pentru un server se poate realiza o dati cu instalarea sistemului de operare sau poate fi instalati ulterior : 1. Start — Settings > Control Panel; 2. Add/Remove Programs —> Add/Remove Windows Components —> Components ; 3. in fercastra Windows Components Wizard — click pe Internet Information Services (1S) + Details ; 4. Activati Internet Information Services Snap-In, pentru a putea gestiona servi US dintr-o consola administrativa. fi Conmon files ; iul 1. In aceasti etapi se activeaz automat si optiunea INSTALAREA $I CONFIGURAREA LOGICA A UNEI RETELE LOCALE, 259 5. Activasi optiunea World Wide Web Server ; 6. OK -> Next — Next > Finish — Close. DupA cfectuarea acestei operatiuni veti gisi in Administrative Tools 0 nou’ categorie : Internet Services Manager (fig. 13.7.1) din care putefi gestiona noul d-voastr& server de Web. cilinetpub|scrints c-\winnt\helplishelp C:\WINNT|System32\inetsrv\isadmin UsSamples _c:\inetpublissamples USHelp (MSADC c:\program files\common fies\system\msadc_ BD UsAdmin 9} help.of BD ussamples {3} isstart.asp BS} sane Reece asp a mmc. [9] pagerror.ci (3) print. o [9] warning. gif Figura 13.7.1. Internet Service Manager Pe discul C: de pe sistemul d-voastr& veti descoperi un nou director: Inetpub, toate noile pagini pe care le vefi crea flind g&zduite in subdirectorul wwwroot. Verificarea functionalit&tii serverului se poate face lansind Internet Explorer, iar la adresa se trece localhost. Pagina care se afigeazd confine informatii despre versiunea serverului, documentatia online, posibilitatea de administrare a serverului." Pentru crearea propriilor pagini puteti folosi orice editor de pagini Web sau scrierea codului HTML a paginilor intr-un editor de texte. in listing-ul urmAtor vA prezentim o pagin& de start in care va fi specificat faptul c& pagina este in constructie. Listing-ul 13.7.1. Codul sursa al unei pagini Web
Aceasta pagina este inca in constructie!
Va rugam sa reveniti!
Culoarea de background specificat la tag-ul este echivalentul culorii implicite a background-ului din Windows 2000. Am ales aceasti culoare pentru a putea integra o pagina Web pe desktop-ui sta(iilor de iucre din dome Puteti crea pagina prin introducerea codului direct in notepad si salvasi cu o anumita denumire (de exemplu, HomePage) si extensia HTM, la adresa: C:\Inetpub\wwwroot, vizualizarea acesteia in browser realizindu-se la adresa hitp : //localhost/HomePage.htm. Pentru a incarca pagina creat anterior, in mod implicit, cind se acceseaz serverul, trebuie s% modificati proprietitile implicite ale site-ului d-voastra : 1. in consola de administrare a HS: RClick pe Default Web Site -» Properties. 2. in fereastra de propriet’ti: Documents > Add — scrieti numele fisierului in cAsusa Default Document Name (in cazul nostru, HomePage.htm) > OK. 3. Pozitionaji documentul pe primul loc prin apisarea butonului cu s%geat% in sus > OK in acest moment, pagina d-voastri de start la accesarea serverului, specificind adresa localhost, va fi cea creat in etapa anterioard. Adresa la care poate fi accesat serverul Web de pe alla statie de lucru sau oricare alt server din rejea se poate specifica in genul http: //nume_calculator/ (in cazul nostru hup//WebServer/) sau prin adresa IP (http ://194.176,166.101/) (vezi figura 13.1.2). Instalarea unui server de e-mail intr-un domeniu Windows trebuie s& se realizeze pe un server declarat mail exchanger in domeniul DNS, care vi ofera acces ta Internet. Serverul de e-mail oferit de firma Microsoft este Exchange Server. Acesta se poate integra cu Active Directory si cu SQL Server. 13.8. Configurarea serverului ca un Gateway Conditia esentiali pentru a instala un gateway este existenta a cel pusin doud interfeye de refea, una cu conectare directa la Internet (in cazul nostru IP-ul interfetei Internet este: 194.176.165.254, iar pentru interfaja intern’; 172.172.172.254) si cealalta destinat refelei interne. Atribuirea rolului de router unui server de Windows 2000: 1. Start — Programs > Administrative Tools + Routing and Remote Access. 2, RClick pe numele serverului —> Configure and Enable Routing and Remote Access —> Next 3. In fereastra Common Configurations (fig. 13.8.1) alegeti opjiunea pe care o doriti (in cazul nosiru putem alege ultima variant, pentru ci scopul nostru este de a configura rolul de punte serverului in asa fel incit calculatoarele din rejeaua privat s& comunice cu cele din alte re(ele) > Next. Common Configurations You can select from several common corfiguiations. © Intemet connection server Enable all of the computers on this netwiotk to connect to the Internet. © Remote access server Enable remote computers to dial in to this network. © Virtual private network (VPN) server t Enable remote computers to connect to this network through the Internet, © Network router Enable this network to communicate with other networks. © Manually configured server =900° 0 Start the server with default settings. aYou might also like
- Corolademinuni ArtapoeticaDocument2 pagesCorolademinuni ArtapoeticalilybitNo ratings yet
- Tema Viziune Lume Lucian BlagaDocument2 pagesTema Viziune Lume Lucian Blagapinkgirl1010No ratings yet
- E C Istorie Bar 06 LRODocument2 pagesE C Istorie Bar 06 LROAndrei RaduNo ratings yet
- E C Istorie Bar 06 LRODocument2 pagesE C Istorie Bar 06 LROAndrei RaduNo ratings yet
- Caracterizarea Generala A Lui Ilie Moromete Din Romanul MorometiiDocument2 pagesCaracterizarea Generala A Lui Ilie Moromete Din Romanul MorometiiVlad NeamtuNo ratings yet
- E A Romana Real Tehn Var Model 2014 PDFDocument2 pagesE A Romana Real Tehn Var Model 2014 PDFVioleta NedelcuNo ratings yet
- Textul Poetic-Concepte OperationaleDocument5 pagesTextul Poetic-Concepte OperationaleAna BumbNo ratings yet
- TESTvarianta2 ENGLEZA Pentru Academia de PolitieDocument5 pagesTESTvarianta2 ENGLEZA Pentru Academia de PolitieAndrei Radu100% (1)
- E C Matematica M St-Nat Var 09 LRODocument1 pageE C Matematica M St-Nat Var 09 LROIoana NicolescuNo ratings yet
- Bac Romana Subiect Real Etapa IDocument2 pagesBac Romana Subiect Real Etapa IAndrei RaduNo ratings yet
- Curentul Continuu Si Cel Alternativ.Document1 pageCurentul Continuu Si Cel Alternativ.Andrei RaduNo ratings yet
- WWW - Referat.ro-Paralela Intre Romanul Lon de Liviu Rebeanu Si Morometii de Marin PredaDocument4 pagesWWW - Referat.ro-Paralela Intre Romanul Lon de Liviu Rebeanu Si Morometii de Marin PredaAndrei RaduNo ratings yet
- Corolademinuni ArtapoeticaDocument2 pagesCorolademinuni ArtapoeticalilybitNo ratings yet
- Tema Viziune Lume Lucian BlagaDocument2 pagesTema Viziune Lume Lucian Blagapinkgirl1010No ratings yet
- TEST Varianta1 ENGLEZA Pentru Academia de PolitieDocument5 pagesTEST Varianta1 ENGLEZA Pentru Academia de PolitieAndrei RaduNo ratings yet
- Art A Poetic ADocument36 pagesArt A Poetic ABaltag Herteg AlaNo ratings yet
- Reguli de Siguranta in Laboratorul de FizicaDocument2 pagesReguli de Siguranta in Laboratorul de FizicaAndrei RaduNo ratings yet
- TEST Varianta1 ENGLEZA Pentru Academia de PolitieDocument5 pagesTEST Varianta1 ENGLEZA Pentru Academia de PolitieAndrei RaduNo ratings yet
- Bacalaureat 2008 Rezolvari Matematica mt2 SiDocument100 pagesBacalaureat 2008 Rezolvari Matematica mt2 Siebacalaureat.ro100% (64)
- Ministerul Sănătăţii Publice Ordin Nr. 916/2006 DinDocument36 pagesMinisterul Sănătăţii Publice Ordin Nr. 916/2006 DinrafilarafilaNo ratings yet
