Cap 1 - Introducere WAN = o retea de date care opereaza dincolo de aria de acoperire geografica a unui LAN.

Ca sa poata folosi un WAN, o companie trebuie sa se aboneze la un service provider de WAN (in general WAN-ul nu este detinut de companie, fata de LAN, care este detinut de companie). In general pe WAN sunt transportate diferite tipuri de trafic: date, voce, video. 3 caracteristici majore ale WAN-ului: - de regula conecteaza device-uri separate de o arie geografica mai mare decat poate acoperi un LAN - WAN-urile folosesc serviciile unui carrier (care poate fi o companie de telefonie, tv prin cablu, sistem satelit sau provider de retea) - WAN-urile folosesc conectori seriali de diferite tipuri WAN-urile sunt folosite pentru comunicarea pe distante mari. Modelul de design ierarhic - access layer - daca in LAN permitea accesul la retea al statiilor de lucru si al serverelor, in WAN permite accesul teleworkerilor sau al site-urilor remote la reteaua corporatiei - distribution layer - agrega wiring closets folosind switchuri, pentru a segmenta grupurile (de lucru) si a izola problemele retelei intr-un campus. In WAN este similar, layerul distribution agrega conexiunile WAN la edge (marginea) campusului si furnizeaza conectivitate pe baza politicii (policy-based connectivity). - core layer / backbone - un backbone (coloana vertebrala) de viteza mare, care este gandit sa switch-uiasca pachetele cat mai repede posibil. Pentru ca core-ul este critic pentru conectivitate, trebuie sa ofere un nivel mare de disponibilitate (availability) si sa se adapteze la schimbari foarte rapid. De asemenea ofera scalabilitate si convergenta rapida. Diferite afaceri au nevoie de tipuri de retele diferite, in functie de organizare si obiective. Ca reteaua pe care o administrezi sa nu devina prea dezorganizata, Cisco recomanda Cisco Enterprise Architecture. Aceasta ofera repere pentru dezvoltarea retelei in fazele evolutive ale unei companii. Exemple de module ale arhitecturii: - Enterprise Campus Architecture - Enterprise Branch Architecture - Enterprise Data Center Architecture - Enterprise Teleworker Architecture WAN-urile si modelul OSI WAN-urile opereaza la layerele 1 si 2. La layerul 1 protocoalele descriu cum sa furnizeze conexiuni? electrice, mecanice, operationale si functionale serviciilor unui service provider de comunicatii. >>> cam ciudata forma de exprimare... La layerul 2 protocoalele definesc modul de incapsulare a datelor pentru a fi transmise locatiilor remote si mecanismul de transferare a frame-urilor rezultate. Sunt folosite tehnologii diferite, ca

86

Frame Relay sau ATM. Unele dintre aceste protocoale folosesc acelasi mecanism de frame-uire de baza, High-Level Data Link Control [HDLC], care este standard ISO, sau una dintre derivatiile / variantele acestuia. Terminologia WAN pentru layerul fizic De obicei infrastructura pentru WAN nu apartine companiei, ci unui service provider de WAN, la care compania trebuie sa se abonez, ca sa poata folosi WAN-ul. Customer Premises Equipment [CPE] = echipamentele si cablurile abonatului (fie proprietare, fie inchiriate) (prin) care se conecteaza la carrier. Data Communications Equipment [DCE] = [data circuit terminating equipment] e alcatuit din device-urile care pun date pe local loop. Furnizeaza o interfata care conecteaza abonatii la un link de comunicatie din cloud-ul WAN. Data Terminating Equipment [DTE] = device-ul clientului care trimite datele catre WAN. Se conecteaza prin DCE la local loop. Demarcation Point [DP] = punctul de la care se separa echipamentele clientului de cele ale providerului. Fizic, punctul de demarcare este cutia cu cabluri de jonctiune care se afla la client, care conecteaza cablurile CPE la local loop. Este pusa in asa fel incat un tehnician sa aiba acces usor la ea. Punctul de demarcare separa responsabilitatile pentru conexiune. Local Loop = cablul de telefon? din cupru sau fibra care conecteaza CPE al clientului la Central Office [CO] al providerului. Local loop se mai numeste si last-mile. Central Office = un edificiu (facility) sau o cladire a providerului unde cablurile de telefonie locala se leaga de liniile de comunicatie de mare distanta, digitale, prin fibra optica, printr-un sistem de switch-uri si alte echipamente. Device-uri WAN: Modem - moduleaza un semnal analog de carrier pentru a coda informatia si demoduleaza semnalul carrier pentru a decoda informatia transmisa. CSU/DSU - liniile digitale, ca liniile de carrier T1 si T3, necesita un channel service unit [CSU] si un data service unit [DSU]. Cele 2 sunt deseori combinate intr-un singur echipament, numit CSU/DSU. CSU furnizeaza terminatia pentru semnale digitale si asigura integritatea conexiei prin corectarea erorilor si monitorizarea liniei. DSU converteste frame-urile liniei T-carrier in frame-uri care pot fi interpretate de LAN si invers. Access server - concentreaza comunicarea in si out a userilor. Un access server poate avea o mixtura de interfete analogice si digitale si poate suporta sute de useri simultan. WAN switch - un device multiport interretele folosit in retelele carrier. De obicei acest device comuta (switch) traficul Frame Relay, ATM sau X.25 si opereaza la layerul Data Link al stivei OSI. Switchurile Public Switched Telephone Network [PSTN] pot fi folosite si in cloud pentru conexiuni cu comutare de circuite ca Integrated Service Digital Networks [ISDN] sau dialup analog. Router - furnizeaza porturi pe interfetele de acces pentru conectivitatea interretele si WAN, folosite pentru conectarea cu service providerul. Aceste interfete pot folosi interfete seriale sau alt tip de interfete WAN. Pentru unele tipuri de interfete WAN este necesar un device extern (DSU/CSU sau modem analog, cable sau DSL) ca sa conecteze routerul cu punctul de prezenta locala [POP] al providerului. Core router - se afla in mijlocul sau in backbone-ul WAN. Trebuie sa fie capabil sa suporte multiple interfete de telecomunicatii la cea mai mare viteza din core-ul WAN si trebuie sa poata

86

forwarda pachete IP la full speed pe celelalte interfete. In plus trebuie sa suporte si protocolul de rutare folosit in core. Standarde WAN la layerul fizic: - EIA/TIA-232: signal speed de 64 bps si D-connector cu 25 de pini. A fost numit RS-232. Specificatia ITU-T V.24 este efectiv acelasi lucru. - EIA/TIA-449/530 - este varianta mai rapida a lui EIA/TIA-232, transmite cu 2 Mbps, foloseste D-connector cu 36 pini, cablul poate fi mai lung, standardul mai este cunoscut ca RS422 si RS423. - EIA/TIA-612/613 - descrie protocolul High-speed serial interface [HSSI]. Are viteza de transfer pana la 52 Mbps si foloseste D-connector cu 60 pini. - V.35 este standardul ITU-T pentru comunicarea sincrona dintre un device de network access si o retea cu pachete. Viteza originala/initiala a fost de 48 kbps, acum este de 2.048 Mbps; foloseste un conector dreptunghiular cu 34 pini. - X.21 - este standard ITU-T, e folosit pentru comunicarea digitala sincrona; foloseste un Dconector cu 15 pini. Alegerea protocolului este determinata in mare masura de metoda de facilitare a service providerului. Terminologia WAN pentru layerul Data Link Protocoalele data link: in afara de device-urile WAN de layer fizic, sunt necesare si protocoale data link, care stabilesc legatura emitator-receptor de-a lungul canalelor de comunicatie. Protocoalele data link definesc modul in care sunt incapsulate datele pentru transmisie si mecanismul de transferare a frame-urilor rezultate. Sunt folosite o varietate de tehnologii, ca: Frame Relay, ISDN sau ATM. Multe dintre aceste protocoale folosesc acelasi mecanism de framing (sau variatii) - HDLC-ul, care este un standard ISO. ATM-ul este diferit de celelalte protocoale, el foloseste celule de dimensiune fixa, de 53 bytes (48 bytes de date), fata de celelalte tehnologii packet-switched, care folosesc pachete cu dimensiune variabila. Cele mai intalnite protocoale data link de WAN sunt: - HDLC - PPP - Frame Relay - ATM ISDN si X.25 sunt protocoale mai vechi, care acum sunt mai putin folosite. Cu toate astea, protocolul ISDN este inca tratat in acest curs, pentru ca este folosit pentru retelele VoIP prin linkuri PRI. Si X.25 este in uz in tarile in dezvoltare, pentru trimiterea datelor tranzactiilor cu card de la retaileri prin packet data network [PDN] Nota: mai exista si protocolul Multiprotocol Label Switching [MPLS], care este o solutie economica pentru transportul traficului de retea cu comutare de circuite si cu comutare de pachete. Poate opera peste orice tip de infrastructura existenta, cum ar fi: IP, Frame Relay, ATM sau Ethernet. Pentru ca sta intre Layerul 2 si Layerul 3, este considerat protocol de Layerul 2.5. MPLS nu este tratat in acest curs, ci in CCNP. Incapsularea WAN

86

Fiecare tip de conexiune WAN foloseste un protocol de layer 2 ca sa incapsuleze pachetul care traverseaza linkul WAN. Multe protocoale sunt dezvoltate pe HDLC, pentru ca acesta este aparut de mult timp (din 1979). Formatul de incapsulare al frame-urilor WAN: Frame-urile incep si se termina cu un flag field pe 8 biti, cu patern-ul 01111110. Frame-ul are urmatoarele campuri: Flag | Header | Data | FCS | Flag Header-ul are urmatoarele campuri: Address | Control | Protocol Campul de adresa nu este necesar, pentru ca linkurile WAN sunt in general point-to-point. Totusi el exista si are 1-2 byti. Campul de control are 1 byte si arata tipul continutului: informatie de control sau date de la layerul network. Campul Protocol indica protocolul de layer 3 catre care este directionat. Circuit switching / comutarea circuitelor O retea cu comutare de circuite stabileste un circuit (canal) dedicat intre noduri inainte ca terminalele sa fie capabile sa comunice. Pentru ca acest canal este partajat de mai multe conversatii, se foloseste Time Division Multiplexing [TDM] ca sa le asigure fiecareia o parte a conexiunii, pe rand. TDM asigura ca o capacitate fixa a conexiunii este alocata fiecarui abonat. Pentru circuitele care transporta date (de computer, nu de telefon), utilizarea unei capacitati fixe nu este eficienta. De exemplu, daca cineva acceseaza o pagina de internet, va genera un trafic momentan mare, cat se incarca pagina, apoi nu va mai genera trafic pana cand nu va cere pagina urmatoare. Traficul normal pentru retelele de calculatoare este o variatie intre nimic si maxim :D . Pentru ca abonatul este unicul care foloseste alocarea fixa, switched circuits sunt in general un mod scump de a transfera date. PSTN si ISDN sunt 2 tipuri de tehnologii de circuit-switching care pot fi folosite pentru WAN-ul unei companii (enterprise). Packet switching / comutarea pachetelor Pachetele sunt rutate peste o retea share-uita. Nu mai este necesar sa se creeze un circuit. Pe baza adresei din fiecare pachet, switchurile determina care este urmatorul link pe care trimit pachetele. Sunt 2 abordari in determinarea linkului: - connectionless - connection-oriented In cazul sistemelor connectionless fiecare pachet contine intreaga adresa. Fiecare switch evalueaza adresa pentru a determina unde sa trimita pachetul. In cazul sistemelor connection-oriented intai se determina (se predetermina) ruta pentru pachete, iar pachetele care vor fi trimise trebuie sa contina doar un identificator. In cazul Frame Relay acestia se numesc Data Link Control Identifiers [DLCIs].

86

dar creste costul datorita disponibilitatii acestui circuit. Cable. Locatia se numeste point of presence [POP].care nu este utilizata eficient. Circuite virtuale [VC] Retelele packet-switched pot stabili rute prin switchuri pentru anumite conexiuni end-to-end. Este nevoie de cate un port serial de router pentru fiecare linie inchiriata + un CSU/DSU si un circuit de la service provider. intermitent. ATM.public . 86 . Exista 2 tipuri de circuite virtuale: . SVC-urile sunt folosite cand transmisia de date dintre device-uri este intermitenta. simplitate si costuri mici de implementare. la cerere. PSTN packet-switched: Frame Relay. intre 2 device-uri de retea. si se termina cand s-a finalizat transmisia. II. cel mai des ca sa reduca din costuri. traficul de voce si video nu opereaza adecvat datorita vitezei de transfer mica.25. Broadband Wireless I. Un circuit virtual este un circuit logic creat in cadrul unei retele share-uite. Frame Relay. Comunicarea peste un SVC are 3 faze: stabilirea / realizarea circuitului.Pentru ca linkurile sunt share-uite. dar au delay si jitter mic. PVC-ul scade utilizarea bandwidth pentru stabilirea si terminarea VC. costurile sunt mai mici. Circuit-switched: a) Dialup analog: Cand ai nevoie sa transmiti volume mici de date.Broadband VPN: DSL. Leased-line: costa mai mult. Dezavantaje: rata de transfer mica (56 kbps) si timp de conectare relativ mare.25. Exemple de conexiuni packet/cell -switched: X. Optiuni de conectare WAN: WAN: .privat: dedicat: leased-line switched: circuit-switched: ISDN. ATM. Aceste rute se numesc circuite virtuale. Metro Ethernet . In general PVC sunt configurate de service provider. si pentru ca fiecare endpoint are nevoie de o interfata fizica de router separata pot rezulta costuri mari ale echipamentelor. SVC este stabilit dinamic. transferul de date. X. Avantaje: disponibilitate. Orice schimbare a liniei inchiriate in general necesita ca site-ului sa fie vizitat de catre carrier. la cererea clientului. capacitate fixa . terminarea / eliminarea circuitului. Dezavantaje: cost mare.switched virtual circuit [SVC] PVC sunt folosite cand transferul de date dintre device-uri este constant.permanent virtual circuit [PVC] .Internet . iar delay-ul este mai mare (latenta si jitter-ul) fata de circuit-switched networks. Conectarea la o retea packet-switched se face prin bucla locala pana la cea mai apropiata locatie unde providerul furnizeaza acest serviciu. Desi are jitter si delay mic. modemurile si liniile de telefonie dialed analog furnizeaza o capacitate redusa si conexiuni switch-uite dedicate.

Folositea obisnuita a X. Intotdeauna o 86 . Routerele din LAN au nevoie de o singura interfata. pentru control .25. ca Frame Relay. III. Viteza lui X. ceea ce duce la capacitati mai mari ale conexiunii. Frame Relay nu implementeaza controlul erorilor si al fluxului. Retelele X. ATM si ADSL.25 in mai multe moduri. bandwidth mediu. Frame Relay difera de X. TDM permite ca 2 sau mai multe semnale / streamuri de biti sa fie transferate ca subcanale intr-un canal de comunicare.25 variaza intre 2400 bps si 2 Mbps. care transporta trafic de voce si de date. pentru America de Nord => 1. fiind inlocuite de noile tehnologii de layer 2. Linia inchiriata scurta pana la reteaua Frame Relay permite conexiuni eficiente dpv cost intre LAN-uri foarte raspandite / imprastite.Basic Rate Interface [BRI] care are 2 B-channel x 64 kbps si 1 D-channel de 16 kbps. Frame Relay furnizeaza conectivitate permanenta. chiar daca sunt folosite mai multe circuite virtuale. care asigura comunicarea bidirectionala intre device-urile DTE. Australia si in alte parti ale lumii. shared.048 Mbps. ISDN schimba conexiunea interna a unei PSTN de la semnale analog(ice) la semnale digitale TDM [Time Division Multiplexed]. PRI in America de Nord corespunde unei conexiuni T1. ISDN PRI ofera 30 B-channels si 1 D-channel. Cele mai multe conexiuni Frame Relay sunt PVC (fata de SVC). care ofera abonatilor adresa de retea.25 este pentru cititoarele de carduri de la punctele de vanzare. SVC-ul rezultat este identificat printr-un numar de canal.25 sunt acum intr-un declin dramatic.Primary Rate Interface [PRI] care are 23 B-channels x 64 kbps si 1 D-channel de 64 kbps. voce si video prin retele publice si private. b) Frame Relay Chiar daca layerul network pare similar cu cel al X.b) ISDN e o tehnologie circuit-switching care permite ca bucla locala a unei PSTN sa transporte semnale digitale. Este construita pe o arhitectura bazata pe celule. In Europa. ce rareori depaseste 64 kbps. Frame Relay este ideal pentru conectarea LAN-urilor enterprise. c) ATM ATM = asynchronous transfer mode Este o tehnologie capabila sa transfere date. Retelele publice au in general viteza mica. ISDN transforma bucla locala intr-o conexiune digitala TDM. Gestionarea simplificata a frame-urilor duce la o latenta redusa si masurile luate pentru evitarea construirii frame-urilor la switch-urile intermediare reduc jitter-ul. este un protocol mult mai simplu. Cel mai important.25 Este un protocol de layer Network mostenit. fata de cea bazata pe frame-uri. Frame Relay ofera rate de transfer pana la 4 Mbps (unii provideri oferind rate mai bune). care lucreaza la layerul data link in loc de layerul network.544 Mbps. care transporta 64 kbps per bearer channel (B channel) si un canal de semnalizare delta [D]. Packet-switched a) X. Sunt 2 tipuri de interfete ISDN: . Pachetele de date etichetate (labeled) cu numarul de canal sunt livrate la adresa corespunzatoare. rezultand 2. PRI pentru celelalte parti ale lumii corespunde unei conexiuni E1 sau J1. Circuitele virtuale Frame Relay sunt identificate in mod unic printr-un DLCI. Circuite virtuale pot fi setate de-a lungul retelei prin pachete de call requests catre adresa tinta. Mai multe canale pot fi active pe o conexiune.

Pana de curand o limitare a accesului la wireless era ca trebuia sa te afli in aria de acoperire a transmisiei locale. b) Cable modem Cablul coaxial este foarte folosit in zonele urbane pentru a distribui semnal TV. a) Tehnologia DSL este o tehnologie de conectare always-on care foloseste liniile de telefonie twisted pair ca sa transporte date la bandwidth ridicat si sa furnizeze servicii IP abonatilor. WAN . de obicei o conexiune T3 / DS3.129 Mbps. de 53 bytes.celula ATM are o dimensiune fixa. Celulele ATM sunt mai putin eficiente ca frame-urile mai mari ale Frame Relay si X. ATM are nevoie de un bandwidrh cu 20% mai mare ca Frame Relay sau X. Acest lucru este schimbat de dezvoltarea tehnologiei de broadband wireless: 86 . La acelasi volum de date. Abonatii trebuie sa foloseasca ISP-ul asociat service providerului si in plus. ATM ofera PVC si SVC. c) Wireless broadband Tehnologia wireless foloseste spectrul de frecvente radio nelicentiate pentru a trimite si primi date. ceea ce poate avea ca rezultat un bandwidth sub asteptari. care traduce semnalele digitale in frecventa de broadband folosita pentru transmisia pe reteau de televiziune prin cablu. Accesul la retea este posibil prin unele retele de televiziune prin cablu. pe masura ce sunt mai multi abonati. La locatia providerului mai multe linii ale abonatilor DSL sunt multiplexate intr-un singur link de capacitate mare prin folosirea unui DSL access multiplexer [DSLAM]. Abonatul conecteaza un computer sau un LAN router la modem.Internet 1. ATM a fost proiectat sa fie foarte scalabil. Cea mai importanta componenta din headend este cable modem termination system [CMTS]. ele au un overhead de 5 bytes. din care 5 bytes sunt pentru header.25. pana la OC-12 (622 Mbps) sau chiar mai mult. Aceasta permite un bandwidth mai mare decat cel prin bucla locala a telefoniei conventionale. Aceste optiuni includ DSL. Cable modem ofera o conexiune always-on si un mod simplu de instalare. cu toate ca PVC este mai intalnit in WAN. Tehnologiile curente de DSL folosesc tehnici sofisticate de codare si modulare si ajung la rate de transfer de pana la 8. cablu.544 Mbps). Acest spectru nelicentiat este accesibil oricui are echipamentul necesar.care se mai numeste si cable headend . care trimite si primeste semnale digitale prin cable modem pe retea si este necesara ca sa furnizeze servicii internet abonatilor. bandwidth-ul se imparte la toti. La fiecare 48 bytes de date. IV. restul sunt pentru date. Un modem DSL converteste semnalul Ethernet al device-ului userului in semnal DSL. si ATM ofera mai multe circuite virtuale pe o singura linie inchiriata pana la network edge.contine sistemul de computere si baze de date care furnizeaza accesul la internet.25. DSLAM-urile incorporeaza tehnologia TDM pentru a agrega mai multe linii ale abonatilor intr-o singur mediu. wireless. La fel ca alte tehnologii shared.public . pe care il transmite la central office [CO]. si supporta viteze ale linkului de la T1 (1. ceea ce duce la un overhead mare pentru cantitati mari de date. Servicii broadband: Optiunile de conectare broadband sunt in general folosite pentru a conecta angajatii telecommuting la un site corporate peste internet. Biroul local al televiziunii prin cablu .

security appliance) . Furnizeaza servicii broadband la viteze mari cu acces wireless si furnizeaza acoperire mare. Fiecare host ruleaza (de regula) un software de client VPN sau foloseste un clent web-based. 3. un VPN foloseste conexiuni virtuale numite tunele VPN. WiMAX functioneaza similar cu WiFi.compatibilitate cu tehnologia broadband Tipuri de acces VPN: . similar cu retelele de telefonie. peste distante mai mari si pentru un numar mai mare de utilizatori. similar cu turnurile de telefonie.site-to-site VPN conecteaza retele intregi. mobile users. au nevoie de un computer capabil sa acceseze WiMAX si au nevoie de un cod special de criptare. Ca sa adreseze problemele de securitate. VPN concentrator. In loc sa foloseasca o conexiune dedicata de layer 2. reteaua companiei. pompierilor. peste Internet. serviciile de broadband ofera capabilitati pentru utilizarea conexiunilor Virtual Private Network [VPN] la un server VPN. sau altor angajati ai orasului.integrare usoara cu retelele existente . extranet consumers) sa acceseze securizat. Metro Ethernet Este o tehnologie de retea cu o maturizare rapida. de la reteaua privata a companiei la site-ul remote sau hostul angajatului.WiMAX . . controlate de telco (telecommunication companies).remote-access VPN permite hosturilor individuali (telecommuteri.imbunatatirea productivitatii 86 .reducerea costurilor (nu mai folosesti linkuri de WAN dedicate si grupuri de modemuri) .. Un VPN este o conexiune criptata intre 2 retele private peste o conexiune publica cum este Internetul. Foloseste o retea de turnuri WiMAX.scalabilitate . unde cablul si DSL-ul nu sunt disponibile. care sunt rutate prin internet.16.worldwide interoperability for microwave access este definit in standardul IEEE 802.Satellite Internet Este folosit in general in zonele rurale. dar la viteze mai mari. care largeste Ethernetul catre retelele publice. fiecare locatie are un VPN gateway (router. Beneficii: . 2. .municipal WiFi: acoperire wireless la nivelul orasului si acces la retea gratuit sau la tarife modice.reducerea cheltuielilor si administrarii . Alte retele wireless sunt disponibile doar politiei. una la alta. Beneficii: . Tehnologia VPN Riscuri de securitate apar cand un teleworker sau un remote office foloseste servicii broadband ca sa acceseze WAN-ul corporate peste Internet.securitate (prin protocoale de criptare si autentificare) . firewall. cu o viteza de upload cam de 1/10 din 500 kbps (50 kbps). aflat de regula in site-ul corporatiei. Ca sa acceseze WiMAX abonatii trebuie sa aiba turnul unui ISP la mai putin de 10 mile. Antena satelit ofera viteze de 10 ori mai mari ca modemul analog.tehnologia permite conectarea site-urilor din aceeasi arie metropolitana . cum sunt liniile dedicate.

Conectorii seriali cu 9 pini folositi de majoritatea computerelor folosesc 2 bucle pe fir. cu atat trebuie mai multa procesare pentru crosstalk. In cazul unui port paralel cu 25 pini.o conexiune paralela trimite bitii simultan pe mai multe fire. fie sa ii trimiti simultan. Poate fi folosit peste twisted pair. Cu cat linkul este mai lung si cu cat sunt mai multi pini. O conexiune LAN-to-WAN point-to-point se mai numeste conexiune seriala sau leased-line pentru ca liniile sunt inchiriate de la un carrier (in general o companie de telefonie) si sunt dedicate companiei care le-a inchiriat. nici nu ajung la destinatie simultan.PPP Conexiunea Point-to-Point este una din cele mai cunoscute conexiuni WAN. este mai putin crosstalk. Clock skew = in conexiunile paralele bitii nu pot fi trimisi chiar simultan. Este folosita sa conecteze LAN-urile la WAN-urile service providerilor si sa conecteze segmente de LAN din retelele enterprise. sa faca latch (zavorasca?). Un latch este un sistem de pastrare a datelor (data storage) folosit pentru a pastra informatiile intr-un sistem de secventa logica. Pentru ca linkurile seriale au mai putine fire. plus fire aditionale ca sa controleze fluxul de informatii. sa astepte semnalul de clock si sa transmita cei 8 biti. sa astepte. si device-urile de retea transmit comunicarea seriala la frecvente mai mari. Frame Relay. cate 1 pentru fiecare directie. pentru ca cele mai multe dintre ele nu au nevoie de ceas / clock. inclinat] linkurile seriale pot atinge rate de transfer mai mari. Crosstalk = influenta semnalelor unul asupra celuilalt (interferenta). fibra optica sau comunicare prin satelit. IPX si AppleTalk.pe o conexiune seriala datele sunt trimise pe 1 fir. creste delay-ul. 86 .*********************************************************** Cap 2 . Protocolul Point-to Point [PPP] furnizeaza un mod de gestionare simultana a conexiunilor multiprotocol LAN-to-WAN: TCP/IP. Teoretic. cate 1 bit o data. Introducere in comunicarea seriala Ca sa trimiti bitii mai rapid prin fir poti fie sa compresezi datele si sa ai de trimis mai putini biti. Datorita clock skew si crosstalk interferences [* skew = asimetric. Cu cat creste frecventa. ISDN si linkuri optice. In oricare directie datele curg tot pe un singur fir. In felul acesta se adauga timpi pentru realizarea transmisiei. sunt 8 fire care transporta 8 biti simultan. Comunicarea paralela vs comunicarea seriala: . Din aceasta cauza emitatorul trebuie sa citeasca. o conexiune paralela trimite 8 biti (1 byte) in timpul in care o conexiune seriala trimite doar 1 bit. Securitatea se realizeaza prin Password Authentication Protocol [PAP] si prin Challenge Handshake Authentication Protocol [CHAP]. . Aceasta problema nu este intalnita in cazul linkurilor seriale. PPP furnizeaza transport peste ATM. Conexiunile seriale necesita mai putine fire si cabluri. Ocupa un spatiu mai mic si pot fi mai bine izolate de interferente.

35: este in general folosit pentru comunicarile dintre modem-multiplexor. Multe device-uri de retea folosesc RJ-45. suporta rate de transfer de pana la 52 Mbps. Un port serial este o interfata care poate fi folosita pentru aproape orice device. pinul 7: pinul RTS solicita autorizarea sa trimita date modemului pinul 8: device-ul serial foloseste pinul clear to send [CTS] ca sa confirme semnalul RTS de la computer. acelasi protocol de comunicare trebuie folosit la trimiterea si la receptionarea frame-urilor. imprimante. Cablurile V. Pinii DCD si RI sunt disponibili doar la conectarea cu un modem. In USA este interfata standard folosita de cele mai multe routere si DSU pentru conectarea la carrierii T1. pentru ca sunt mult mai putine interferente intre conductorii din cablu. pinul 9: un modem cu auto raspuns foloseste Ring Indicator [RI] sa semnalizeze receptia unui semnal de sunat al telefonului (ring signal). Aceste standarde nu numai ca folosesc diferite metode de semnalizare. mousi. cabluri mai ieftine si mai putini pini). Cel mai semnificativ avantaj este cablarea simpla. Arata ca dataset este on. inclusiv modemuri. folosind Token Ring sau Ethernet.35 sunt linii seriale proiectate sa suporte ratele de transfer mari si comunicatiile intre DTE si DCE peste liniile digitale. c) HSSI: high-speed serial interface. care de asemenea este conform cu RS-232 (ei na!? cum asa?) b) V.In cele mai multe cazuri implementarea comunicarii seriale este mai ieftina (foloseste mai putine fire. HSSI este o interfata DTE/DCE dezvoltata de Cisco Systems si T3plus Networking pentru a adresa nevoia de comunicatii de viteza mare peste WAN. RS-422. In comunicarea prin WAN. Standarde de comunicare seriala: Toate comunicarile la distanta mare si cele mai multe retele de calclatoare folosesc conexiuni seriale. De asemenea este folosit pentru a furniza conectivitate de viteza mare intre LAN-uri. Sunt folosite pentru a conecta routerele din LAN la WAN peste linii high-speed gen T3. Standarde cheie de comunicare seriala LAN-WAN: a) RS-232: cele mai multe porturi seriale ale PC-urilor sunt conforme cu acesta sau cu variantele mai noi (RS-232C. De asemenea cablurile seriale pot fi mai lungi ca cele paralele. Functiile celor 9 pini ai conectorul RS-232: pinul 1: data carrier detect [DCD] arata ca carrierul pentru transmisia de date este on pinul 2: pinul receptor [RXD] transporta datele de la device-ul serial la computer pinul 3: pinul transmitator [TxD] transporta datele de la computer la device-ul serial pinul 4: data terminal ready [DTR] ii indica modemului ca computerul este pregatit sa transmita. dar folosesc si diferite tipuri de cabluri si conectori. In multe situatii RTS si CTS sunt constant on in timpul sesiunii de comunicare. pentru ca costul cablurilor si dificultatile de sincronizare fac sa fie nepractica conexiunea paralela. Fiecare standard joaca un rol diferit in topologia LAN-WAN. este standard de viteza mare al ITU. Aceste 2 linii sunt rar folosite pentru ca cele mai multe modemuri trimit informatii despre status unui PC cand este detectat un 86 . pinul 5: ground (impamantare) pinul 6: data set ready [DSR] este similar cu DTR. Sunt folositi conectori cu 9 si cu 25 de pini. transporta date sincronizat si combina bandwidth-ul mai multor circuite de telefonie. RS-423).

nu il intereseaza natura informatiei pe care o multiplexeaza pe canalul de iesire. Time Division Multiplexing [TDM] A fost inventata de Bell Laboratories ca sa maximizeze volumul de trafic de voce peste un mediu. SONET-ul e folosit in America de Nord. Ex: 4 streamuri de 2. industria de telecomunicatii foloseste SONET sau standardul SDH pentru a transporta prin fibra optica date TDM. In acest mod STDM nu iroseste timp al liniilor de viteza mare. *Byte interleaving face acelasi lucru. STDM necesita ca fiecare transmisie sa transporte informatii de indentificare (un identificator de canal). La o scala mai mare. repetate dupa paternul <br1-br2-br1-br2-br1-br2-br1-br2-br1-br2-d>. permitand canalelor sa concureze pentru orice slot liber. fiecare apel telefonic avea nevoie de propriul lui link fizic. Are 9 time slots. Foloseste un buffer de memorie care pastreaza temporar datele in timpul perioadelor de varf ale traficului. Solutia respectiva nu era scalabila si era si scumpa. TDM este independent de protocoalele de layer 2 folosite de canalele de intrare. TDM creste capacitatea de transmisiea linkului prin impartirea timpului in intervale mai mici in asa fel incat linkul sa transporte biti de la surse multiple. TDM imparte bandwidth-ul unei singure legaturi (link) in mai multe canale separate sau segmente de timp (time slots). pentru canalele inactive. Pana la multiplexare. prin fibra optica. La receptor un alt multiplexor face reconstructia. TDM-ul are o ineficienta: rezerva time slots si daca nu sunt date de trimis. pe baza timpului de venire a fiecarui bit. Canalele folosesc linkul pe rand. Pentru a compensa aceasta ineficienta a fost dezvoltat Statistical time-division multiplexing [STDM]. STDM foloseste o lungime variabila a time slot-ului. Cele 2 standarde sunt strans relationate / legate. prin alocarea unui interval de timp diferit pentru fiecare canal. ca la receptie sa poata fi reasamblati rapid si eficient in forma originala. In cazul TDM emitatorul si receptorul stiu exact ce semnal este trimis. are 64 kbps. Exemple comune de TDM sincron sunt liniile de telefonie T1/E1 si ISDN. prin recrearea semnalelor in streamuri separate. crescand efectiv numarul de biti transportati intr-o secunda. Multiplexorul [MUX] imparte semnalele in segmente si le plaseaza intr-un singur canal prin inserarea fiecarui segment intr-un time slot.5 G sunt multiplexate intr-un stream de 10 G. TDM transmite 2-n canale pe un singur link. 86 . Exemple de TDM: ISDN si SONET BRI ISDN are 2 B-channel de 64 kbps si 1 D-channel de 16 kbps. TDM este un concept de layer fizic. DS0 = digital signal zero = unitatea originala folosita la multiplexarea liniilor de telefon. SDH-ul e folosit in celelalte zone. dar cu cate 8 biti (procesul are nevoie de un time slot mai mare/lung).semnal de carrier (cand se face o conexiune cu un alt modem) sau cand modemul primeste un semnal de sunat de la o liniie de telefoni. Tehnica numita bit interleaving tine evidenta numarului si secventei bitilor din fiecare transmisie specifica.

mecanice / fizice .numar de pini si tip de conectori . Este baza pentru PPP sincron.544 Mbps Demarcation point: In America de Nord. daca se conecteaza direct la service provider.functionale . 2 DTE-uri pot comunica direct cu ajutorul unui cablu special.specifica functiile care sunt realizate prin alocarea unui inteles fiecarei linii de semnal a interfetei . DTE-DCE DTE este la client. care doar retransmit datele. De aceea sunt 2 tipuri de cabluri: 1 care conecteaza un DCE la un DTE si 1 care conecteaza direct 2 DTE-uri. la unul din capetele cablului se face cross intre Tx si Rx. Standarde de cabluri La origine.544 Mbps 6.echipamente de comunicatie. In restul lumii este intre DTE si DCE (e mai aproape de client). este inainte de CSU/DSU (pe bucla locala . care are 24 B-channels. este de obicei un router.e mai departe de client). fax. >>> trebuie sa setezi clock rate. 86 . Tipuri de incapsulari WAN 1. HDLC: incapsulare defaul pe linkurile point-to-point.echipamente terminale.procedurale . care primesc si trimit date . Cu null modem.312 Mbps 1 T1C = 24 T1 = 1.voltajele de 0 si 1 . linkuri dedicate si conexiuni circuit switched sincrone. cand link-ul foloseste 2 device-uri Cisco.specifica secventa de evenimente pentru transmiterea de date. Interfata DTE/DCE pentru un anumit standard defineste specificatiile: .736 Mbps Voice slot 1 DS0 24 DS0 96 DS0 672 DS0 sau 28 DS1 * se refera la T1. dar poate fi si un terminal. E1/J1 au 32 B-channels T-carriers: 1 T4 = 6 T3 = 274 Mbps 1 T3 = 7 T2 = 45 Mbps 1 T2 = 2 T1C = 6. de obicei este un modem sau un CSU/DSU. printer.electrice .Signal bit DS0 DS1 DS2 DS3 Rate 64 kbps 1.312 Mbps 44. DCE este la service provider. conceptul de DTE si DCE s-a bazat pe 2 tipuri de echipamente: . PC. numit null modem.

Este folosit cu IP. Send seq number = nr frame-ului care va fi trimis. Leased line: HDLC. Procesarea se face in hardware. O adresa primary este fie sursa. dezvoltat de ISO. Frame Relay. ??? . sincron.supervisory frame . Receive sec number = numarul urmatorului frame care va fi primit. PPP. Poate fi o adresa specifica. Nu are camp de informatie.address: contine adresa statiei secondary. Are campurile receive sequence number >>> poll final >>> send sequece number. Statia primary foloseste bitul p/f ca sa anunte statia secondary daca solicita un raspuns imediat. fiecare cu un camp de control diferit. in functie de tipul frame-ului .flag: 01111110. ceea ce elimina nevoia de a include adresa primary.este connected-oriented si connectionless .furnizeaza informatie de control. . Nu face corectarea erorilor si flow control. PPP: face legatura intre routere si intre host si retea. peste circuite sincrone si asincrone. Statia secondary foloseste bitul p/f ca sa anunte daca frame-ul trimis este ultimul frame al raspunsului curent.foloseste transmisia seriala sincrona . PPP. X. trimite voce. fie destinatia comunicarii. o adresa de grup sau o adresa broadcast. raportul statusului si confirma primirea I-frame-urilor. 4. X. SLIP Circuit-switched: HDLC.2. defineste cum este mentinuta legatura intre DTE-DCE pentru accesarea remote a unui terminal si pentru comunicarea computerelor in retelele publice de date. Campurile frame-ului HDLC: . frame-ul incepe si se termina cu acest flag. . Ca intre datele normale sa nu apara un patern ca cel al flag-ului. in celule de 53 de bytes.25 / Link Access Procedure. 86 . ATM HDLC .este un protocol de layer data link. Balanced [LAPB]: este standard ITU-T. e protocol de data link care gestioneaza multiple circuite virtuale. Poate sa solicite si sa suspende transmisia. . 6.control: are 3 formate diferite. IPX. Frame Relay: standard la nivel de industrie. Formatul frame-ului HDLC: HDLC defineste 3 tipuri de frame-uri. 3. S-a dezvoltat din SDLC. X. Serial Line Internet Protocol [SLIP]: un protocol standard pentru protocolul TCP/IP peste linii asincrone.information frame (i-frame) . date. bit-oriented.25 este precursorul lui Fram Relay. Trimite si primeste sequence number si bitul final poll [p/f] face controlul flow-ului si al erorilor.25. 5. flag-ul care termina un frame este considerat frame de inceput pentru urmatorul frame.transporta informatii pentru layerele superioare si ceva informatii de control. video.25 specifica protocolul LAPB (este de layer-ul data link). este inlocuit masiv de PPP. Are mecanisme de securitate built-in PAP si CHAP.foloseste acknowledgement pentru flow control si error control A derivat in Cisco HDLC [cHDLC] si are in plus multiprotocol support. switched. Cand mai multe frame-uri sunt trimise consecutiv. SLIP Packet-switched: X. dupa 5 de 1 consecutivi este inserat un 0. ATM: standard international pentru cell relay.

Cisco System CP. Poate fi folosit peste: cabluri seriale. line protocol is down . CP = control protocol 86 . PPP permite simultan folosirea mai multor protocoale de layer 3 (multiple layer network protocols). fibra optica.suporta autentificarea PAP si CHAP. line protocol is down (disabled) . Daca detecteaza prea multe erori. identifica daca sunt erori. line protocol is down . starile linkului. PPP contine 3 componente majore: .serial x is up.PPP nu este proprietar. line protocol is up (looped) .35) PPP Incapsularea PPP a fost gandita sa fie compatibila cu cele mai utilizate tipuri de hardware. specifica tipul protocolul incapsulat in frame (ex: 0x0800 pentru IP). linii de telefon.serial x is admin down. line protocol is down R#show controllers >>> arata DTE/DCE si tipul de conector (ex: V.contine sau path information unit sau exchange identification information.protocolul HDLC pentru incapsularea datagramelor peste linkurile point-to-point .Frame check sequence [FCS] . calculat de receptor.U frames sunt tot in scop de control si nu sunt secventiate.precede campul de flag.Extensible Link Control Protocol [LCP] pentru a stabili. SNACP. Compression CP. Exemple: IPCP.serial x is up.familia de Network Control Protocols pentru stabilirea si configurarea diferitelor protocoale de layer Network. configura si testa conexiunea data link.serial x is up.monitorizeaza calitatea linkului. AppleTalkCP. Este incapsulare de layer 2. retea de telefonie mobila (cellular phone). “linii” radio specializate. . linii trunk. fata de HDLC are in plus: . . . . Configurarea HDLC: Este default pe echipamentele Cisco pe liniile sincrone seriale. Avantaje: . Stari posibile: . R1(config-if)#encapslation hdlc >>> activeaza incapsularea hdlc Troubleshooting pe interfetele seriale R#show interfaces serial >>> arata tipul de incapsulare. Un uframe poate fi folosit pentru a initializa secondaries. Foloseste un CRC. Daca nu ai ambele echipamente Cisco.data .folosit doar in cHDLC. IPXCP.Unnumbered frame . pune linkul in down .serial x is down.protocol . foloseste PPP sincron. etc.

inchiderea (terminating) linkului . Layerul network control protocol: Problemele multor familii de protocoale de retea se inrautatesc la folosirea point-to-point. linkurilor PPP permite multiple protocoale de layer network sa opereze pe acelasi link de comunicare. NCP include campuri functionale ce contin coduri standardizate pentru a indica protocolul de layer network incapsulat de PPP. compresie. La layerul fizic poti configura PPP pe interfete: . Layerele data link (s. LCP-ul furnizeaza configurarea automata a interfetelor la ambele capete.seriale sincrone . Layerul link control protocol: LCP este partea care munceste cu adevarat in PPP. LCP la data link layer seteaza conexiunea PPP si parametrii acesteia. care sa fie transparent frame-urilor PPP la layerul link. Ca sa rezolve aceste probleme PPP foloseste NCP. LCP sta deasupra layerului fizic si are rol in stabilirea.ISDN .seriale asincrone . incluzand: . NPC la network layer gestioneaza configuratiile protocoalelor de nivele superioare. De asemenea negociaza si seteaza optiunile de control pe data link-ul WAN. LCP stabileste linkul point-to-point. Diferite componente ale NCP incapsuleaza si negociaza optiuni pentru multiple protocoale de layer network. switched sau dedicat. configurarea si testarea conexiunii data-link.detectarea erorilor comune de configurare . etc.HSSI PPP opereaza peste orice interfata DTE/DCE. Pentru fiecare protocol de layer network folosit.n. Fiecare NCP gestioneaza nevoile specifice ale unui protocol de layer network. singura conditie care trebuie indeplinita este sa existe un circuit duplex. sincron sau asincron. PPP foloseste un NCP distinct / separat. PPP are doar layerul fizic la fel. --> dupa care conexiunea este terminata de LPC.gestionarea limitelor variabile ale dimensiunii pachetelor . link control protocol) si network (s. care sunt gestionate de NCP.n.Arhitectura PPP Fata de modelul OSI. Ex: IP foloseste IPCP.determinarea cand un link functioneaza corect si cand este cazut De asemenea PPP foloseste LCP pentru a agrea automat formatul de incapsulare (autentificare. network control protocol) difera. Structura frame-ului PPP: 86 . PPP face cea mai multa munca la layerele data link si network. detectarea erorilor) imediat ce linkul este stabilit. IPX foloseste IPXCP.

Determinarea calitatii linkului (oprional): LPC testeaza linkul pentru a determina nivelul de calitate a acestuia. ConfigureAck. sesiunea NCP este automat terminata. mentinerea si terminarea linkului. -Reply..Flag >>> Address >>> Control >>> Protocol >>> Data >>> FCS Adresa este de broadcast. Stabilirea linkului si negocierea configuratiei: Inainte ca PPP sa poata schimba orice tip de datagrame. Daca nu este un nivel suficient. 86 . Aceasta faza este finalizata cand routerul receptor trimite un frame de configuration-acknowledgement catre routerul care a initiat conexiunea. dar nu sunt acceptate) . 2. Negocierea configuratiei protocolului de layer network: NCP configureaza individual protocoalele layerului network. Modul de operare al LCP: Operarea LCP implica stabilirea. Configure-Nak. LCP poate inchide linkul oricand (prin request termination sau motiv / eveniment fizic). primeste Ack. Linkul ramane configurat pentru comunicare pana cand LCP sau NCP trimit frame-uri explicite de inchidere sau pana cand are loc un eveniment extern. nu ridica protocolul de layer network. Terminate-Ack a) Stabilirea linkului incepe prin trimiterea unui Configure-Request (cu wish list pt configuratie).Echo-Request. Discard. Configure-Reject. informeaza si NCP ca si acesta sa poata lua masurile potrivite.cere datele generate de user in frame-uri nesecventiate. Modul de stabilire a unei sesiuni PPP: Se face in 3 pasi: 1. b) pentru mentinere (gestionare si debug) se folosesc frame-uri: Code-Reject. Discard-Request) c) terminare: Terminate-Request. 3. Pentru a realiza acestea LCP foloseste 3 clase de frame-uri LCP: a) pentru stabilirea si configurarea linkului se folosesc frame-uri: Configure-Request. Campul Data poate avea intre 0 si 1500 bytes. Campul Control are 1 byte. c) daca NCP trimite solicitare de terminare a linkului. FCS face verificarea erorilor. dunt folosite pentru testarea linkului.Configure Ack (si daca si autentificarea este ok se stabileste linkul) . Raspunsuri posibile: . Echo-Reply. Campul Protocol identifica protocolul incapsulat in frame-ul data link. Daca LCP inchide linkul. Protocol-Reject. Echo-Request. le poate trece oricand in up sau down. are valoarea 3 (in binar 00000011) .Configure-Nak (optiunile sunt recunoscute. linkul trebuie inchis / terminat si de LCP.Configure-Reject (nu sunt recunoscute optiunile) Pentru Configure-Nak si -Reject procesul de negociere se reia. LPC trebuie intai sa deschida o conexiune si sa negocieze optiunile de configurare. Daca LCP termina linkul.Code-Reject si Protocol.sunt cauzate de primirea unui frame invalid (cod invalid sau bad protocol identifier) . b) In faza de mentinere a linkului: .

IPCP negociaza 2 optiuni: .multilink (combina mai multe canale ca sa creasca bandwidth-ul WAN) Cand se initiaza stabilirea linkului se negociaza optiunile. expira un cronometru de idle / inactivitate.1 Optiuni de configurare LCP: .error detection: identifica conditiile de eroare. 2. Exemplu pentru IPCP: Dupa ce LCP a stabilit linkul. ca sa economiseasca bandwidth.compression: negociaza algoritmul de compresie a headerelor TCP si IP. i se atribuie valoarea default. . MLP sau multilink.compresie: creste throughput-ul efectiv al conexiunilor PPP prin reducerea volumului de date care trebuie sa traverseze linkul. LCP ii cedeaza controlul lui NCP <=> LCP face autentificarea si configurarea de baza.1. Are ca acronime: MP. ca sa faca configurarea specifica protocolului de layer retea.1. Faza de initiere se termina cu primirea frame-ului Configure-Ack. Cand NCP a configurat cu succes protocolul de layer network.compresie prin Stackr sau Predictor . MPPP. protocolul de retea este in starea open. . NCP si pachete de L3. Optiuni de configurare PPP: . calitatea linkului pica. Compresia Van Jacobsen reduce headerele TCP/IP la 3 bytes. care contine un camp cod (specifica tipul de pachet) si un camp identificator (pentru match-ul request-reply).autentificare: Password Authentication Protocol si Challenge Handshake Authentication Protocol. Daca o optiune nu este inclusa in frame-ul de Config-Request. camp length si camp data. Traficul pe link poate fi orice combinatie de LCP.IP-Address: device-ul initiator specifica o adresa IP ce va fi folosita peste linkul PPP. inchidere administrativa a linkului. 86 . sau solicita o adresa IP de la respondent. dupa care invoca NCP. 2 protocoale disponibile pe routerele Cisco sunt Stacker si Predictor. Pachetele LCP: Fiecare pachet LCP este un mesaj LCP. Procesul NCP: Dupa ce linkul a fost initializat.autentificare PAP sau CHAP . Dupa terminarea procesului NCP linkul intra in starea open si LCP preia controlul din nou. .Terminarea linkului poate fi cauzata de: loss of the carrier / de carrier. eroare de autentificare.multilink: e disponibil de la IOS-ul 11. routerele schimba mesaje IPCP ca sa negocieze optiunile specifice protocolului. permite load balancing daca am mai multe linkuri seriale.3. Este folosit magic number .

Routerul actioneaza ca un client / server de callback. Atentie: poate masura traficul de in sau out. dupa care serverul suna inapoi. dupa caz. R2(config-if)#ppp multilink>>> face load balancing pe linkuri seriale catre aceeasi destinatie. lcp_rlqr >> LCP request link quality report lcp_slqr >> LCP send link quality report Protocoale de autentificare PPP PAP [Password authentication protocol]: e un proces 2 way. linkul este pus in down. 86 . iar serverul o accepta sau refuza. dar nu in ambele directii simultan. Exista un lag ca linkul sa nu flapeze. 2.PPP callback: ca sa intareasca securitatea. Va afecta performanta sistemului. Dupa ce s-a incheiat faza de stabilire a linkului. Daca traficul consista din fisiere compresate. Comanda este ppp callback [accept | request] Comenzi pentru PPP: R2(config-if)#encapsulation ppp > activeaza incapsularea PPP Inainte de activarea PPP ar trebui sa configurezi un protocol de rutare. in care clientul trimite in text clar user name si parola. Clientul initiaza telefonul. R2(config-if)#ppp quality procent > asigura calitatea linkului (in ambele sensuri). nu folosi aceasta optiune compresia la compresie de obicei nu are sens pt ca rezulta un volum mai mare de date. De ce? Vezi ca protocolul default pe echipamentele Cisco este HDLC. Verificarea setarilor de incapsulare PPP serial: R2#show interfaces serial x >>> arata tipul de incapsulare. Daca aceasta scade sub procentul precizat. R2(config-if)#compression [ predictor | stacker] >>> va compresa traficul. R(config-if)#ppp authentication pap 1. Serverul verifica daca informatiile de autentificare sunt corecte si trimite raspunsul accept / reject. R2#debug ppp {packet | negotiation | error | authentication | compression | cbcp } packet: arata pachetele ppp (low level) trimise si primite negotiation: arata pachetele de negociere error: arata o statistica a erorilor authentication: arata mesajele protocoalelor de autentificare compresie: arata informatii specifice cbcp: arata statistici si erori ale protocolului asociate cu negocierea conexiunii PPP care foloseste MSCB. Are loc dupa ce LCP a stabilit linkul si inainte sa inceapa configurarea protocoalelor de layer network. pana cand primeste accept sau este terminata (inchisa) conexiunea. clinetul trimite repetat informatiile de autentificare. Pt PPP mai arata si starea LCP si NCP. serverul il identifica si termina telefonul..

Cu toate astea. routerul local sau un server controleaza autentificarea.incompatibilitati intre implementari de CHAP ale diferitilor vendori . o refuza. CHAP face cutentificari (challenge-uri) periodice. Listele sunt create cu comanda aaa authentication ppp. un numar random si user name-ul sau (server id). pt ca deja userul s-a autentificat. care se autentifica o singura data. id-ului mesajului si parolei pe care o are el clientul. In plus. Nu se foloseste in combinatie cu pap / chap. defineste numele listei care va fi folosit ca default. nu clientul. CHAP [challenge handshake authentication protocol]: In cazul lui PAP.cand sunt instalate aplicatii client care nu suporta CHAP . CHAP este 3 way proces. nu se mai face nicio verificare => reteaua este vulnerabila la atacuri.un text human readable de genul “Authentication failure” CHAP ofera protectie impotriva playback attack prin limitarea expunerii. Daca autentificarea esueaza. dupa ce s-a realizat autentificarea. Comenzi de autentificare: Rconfig-if)#ppp authentication {chap | chap pap | pap chap | pap [if-needed] [list-name | default] [callin]} chap | chap pap | pap chap | pap >>> arata tipul si ordinea autentificarii if-needed] >>> doar pe interfetele asincrone.PAP nu este un protocol de autentificare puternic. serverul calculeaza si el hash-ul si il compara cu cel primit de la client. clientul calculeaza un hash pe baza user name-ului serverului. se foloseste cu TACACS sau XTACACS. Trimite hash-ul serverului.situatii in care trebuie furnizata parola in text clar. fara sa le cripteze. accepta autentificarea. default>>> la fel ca list name callin >>> specifica autentificarea doar pe callin care vin (sunt pe sensul in) pap si chap verifica username si parola intr-o baza de date locala sau intr-o baza de date remote TACACS/TACACS+ AAA/TACACS sunt servere dedicate pentru autentificarea userilor. 2. Fata de PPP. Daca valorile coincid. Ii trimite un mesaj cu id-ul solicitarii. pentru ca trimite informatiile in text clar. routerul server solicita autentificarea clientului. list name >>> se fol cu AAA sau TACACS+. 86 . ca sa verifice ca clientul are o parola valida. clientul este cel care decide cand si cu ce frecventa incearca sa se autentifice. pentru a simula un login pe un host remote. 3. sunt situatii in care autentificarea PAP este justificata: . Lista este o metoda de autentificare TACACS+. Hash-ul comparat este variabil.id = cel al mesajului . Dupa ce s-a stabilit linkul: 1. se genereaza un mesaj care contine: -04: codul pentru fail . Daca nu. numarului din mesaj.

0 -if)#encapsulation ppp -if)#ppp authentication pap -if)#ppp pap sent-username R1 password parola R3(config)#username R1 password parola #int s0/0/0 -if)#ip address 128. Fiecare end-user obtine o linie privata / leased line la un nod Frame Relay.6.0. Reteaua Frame Relay gestioneaza transmisia peste o cale care se schimba frecvent si este transparenta tuturor end-userilor.5. Conexiunile 86 .1 255.2. In plus configurarea echipamentelor userilor este foarte simpla.255. codurile generate de debug: .255.3 = succes . inclusiv 2.0. ce opereaza la layerele 1 si 2 din stiva OSI.1.25. Eric Scace de la Sprint International a dezvoltat Frame Relay ca o versiune mai simpla a X. Network providerii implementeaza Frame Relay ca tehnica de incapsulare de date si voce pentru LAN peste WAN.2 = response . Frame Relay-ul a devenit un protocol WAN foarte folosit pentru ca este mult mai ieftin decat liniile dedicate.2 255.2 PAP: R1(config)#username R3 password parola #int s0/0/0 -if)#ip address 128. Ca sa le verifici foloseste show interfaces serial si debug ppp authentication . Astazi este folosit peste o varietate de alte interfete de retea.1 = challenge . ca sa il foloseasca peste interfetele ISDN (Integrated Services Digital Network). verifica-le.0 -if)#encapsulation ppp -if)#ppp authentication pap -if)#ppp pap sent-username R1 password parola ??? nu R3 ??? CHAP e similar.255.1.4. nu presupune ca merg.3 ************************************ cap 3 Frame Relay Frame Relay este un protocol WAN foarte performant.255.1.4 = fail de facut laboratoarele. doar ca se modifica autentificarea: ppp authentication chap Troubleshooting pe configurarile PPP cu autentificare: Dupa ce ai facut setarile de autentifcare.

In cazul liniilor dedicate clientul plateste toata linia: local loop si link-ul din reteaua providerului. DCE e al providerului 3. ce opereaza la layerele 1 si 2 din stiva OSI. DTE ca sa accesezi CO al providerului. indiferent la ce distanta se afla celalalt capat (end-point). Doar traficul clientului este pe link. reliability si resiliency fata de leased-lines. 86 . Cand construiesti un WAN ai nevoie de 3 elemente: 1.25. complexitatea este mai redusa si este mai usor de implementat.Frame Relay sunt create prin configurarea routerelor (sau a altor device-uri cu rol de) CPE sa comunice cu un switch Frame Relay al service providerului. Frame Relay reduce costul retelei pentru ca foloseste mai putin echipament (leased-lines necesitau cate 1 linie pentru fiecare end-point). Fata de acesta are mai putine capabilitati. tot ce este intre DCE al providerului (ex: frame relay cloud) Frame Relay este urmasul lui X. nu ofera error correction. Frame Relay este un protocol WAN foarte performant. ca sa il foloseasca peste interfetele ISDN (Integrated Services Digital Network). In cazul Frame Relay clientul plateste doar pentru local loop si bandwidth-ul folosit. Conexiunile Frame Relay sunt create prin configurarea routerelor (sau a altor device-uri cu rol de) CPE sa comunice cu un switch Frame Relay al service providerului. de ex. O retea Frame Relay foloseste circuite virtuale [VC] permanente sau switched. dar costul de operare este mai mic. Fiecare end-user obtine o linie privata / leased line la un nod Frame Relay. Incrementarea poate fi si din 4 in 4 kbps. Frame Relay-ul a devenit un protocol WAN foarte folosit pentru ca este mult mai ieftin decat liniile dedicate.25. Daca providerul ii da doar canale din linie. In plus configurarea echipamentelor userilor este foarte simpla. Linkul este share-uit cu alti clienti. pentru fiecare site / end-point 2. Frame Relay gestioneaza eficient volumul si viteza prin combinarea functionalitatilor necesare de la layerele data link si network intr-un singur protocol mai simplu. ofera mai mult bandwidth. are o arhitectura mai simpla a retelei si un cost of ownership mai mic. Tehnologia Frame Relay a devenit cea mai raspandita tehnologie WAN din lume datorita pretului si flexibilitatii sale. Costul de implementare al Frame Relay este mai mare ca al liniilor dedicate. Network providerii implementeaza Frame Relay ca tehnica de incapsulare de date si voce pentru LAN peste WAN. incrementarea se face din 64 in 64 kbps. Astazi este folosit peste o varietate de alte interfete de retea. Eric Scace de la Sprint International a dezvoltat Frame Relay ca o versiune mai simpla a X. Reteaua Frame Relay gestioneaza transmisia peste o cale care se schimba frecvent si este transparenta tuturor end-userilor.

FR ofera multiple conexiuni logice peste un singur circuit fizic si permite retelei sa ruteze date peste aceste conexiuni catre destinatiile dorite. de obicei un T1/E1leased line. Unele retele folosesc FR. Multiple VCs Frame Relay este statistic multiplexat. prin faptul ca au DLCI-uri diferite. care are rol de DTE. printr-un Frame Relay Access Device [FRAD]. Frame Relay Access Device [FRAD] sau routerul pot avea mai multe VC care se conecteaza la diferite end point-uri. delimiteaza si livreaza frame-urile in ordinea corecta. call termination). FR furnizeaza acces la retea. Cand carrierii folosesc FR ca sa interconecteze LAN-uri. recunoaste erorile printr-un CRC standard. *unele publicatii se refera la PVC ca la private VC (in loc de permanent VC). altele digital circuit switching sau ATM... idle. routerele de LAN sunt DTE. SVC se creaza dinamic prin trimiterea de mesaje de semnalizare in retea (call setup. PVC sunt preconfigurate de provider. Se numeste circuit virtual pentru ca nu este o conexiune electrica directa intre cele 2 capete.Ca protocol de layer data link. conecteaza routerul la switchul Frame Relay din cel mai apropiat POP (point of presence) al providerului. VC-urile sunt identificate prin DLCI-uri. valorile pentru DLCI sunt de obicei alocate de service provider. Reteaua poate folosi orice metoda de transmisie care este compatibila cu viteza si eficienta ceruta de aplicatiile FR. functionale si procedurale. adica transmite doar cate un frame o data. (Ex: RS-232) Layerul data link: defineste protocolul care stabileste conexiunea dintre DTE (router) si DCE (switch). Conexiunea dintre un device DTE si un device DCE consta din componente de layer fizic si data link: Layerul fizic: defineste specificatiile mecanice. Ca protocol de layer network. dar au valoare locala. data transfer. DLCI-urile sunt de obicei cuprinse in intervalul 16-1007 (0-15 si 1008-1023 sunt rezervate). *echipamente de calcul care nu sunt intr-un LAN pot trimite date intr-o retea Frame Relay. pentru conexiunea dintre device-uri. 86 . Se afla in grija clientului (customer premise) si se conecteaza intr-un port de switch al retelei providerului. electrice. DLCI-ul nu are nicio semnificatie de la un link la altul (adica poate fi transformata valoarea. iar dupa ce sunt create opereaza doar in modurile idle si data transfer. ceea ce inseamna ca aceste valori nu sunt unice in WAN-ul Frame Relay. FR opereaza intre device-ul end-user (router / bridge) si retea. O conexiune seriala. Circuitele virtuale [VC] Conectarea a 2 DTE prin intermediul unei retele Frame Relay se numeste circuit virtual. Cu VC mai multi useri share-uiesc bandwidth-ul si oricare 2 noduri pot sa comunice intre ele. DLCI este inclus in campul de adresa al fiecarui frame transmis. si sa devina 20 pentru segmentul BC). fara sa foloseasca mai multe linii fizice dedicate. VC-urile pot fi distinse. si care este un dedicated appliance sau un router configurat sa suporte Frame Relay. dar mai multe conexiuni logice pot coexista pe acelasi link fizic. dlci = 10 pt segmentul AB. chiar daca sunt pe acelasi link.

Pe routerele cisco protocolul Inverse ARP este activat by default. convenabil din perspectiva costului. full mesh: realizat prin crearea VC pentru a conecta toate end pointurile intre ele. lasa asta in grija layerelor superioare. DLCI foloseste doar 1 byte. Inverse ARP e folosit cu precadere in retelele Frame Relay si ATM si face corespondenta intre adresele de layer 2 (cunoscute) in adrese de layer 3 (necunoscute). Faci asta cand routerul de la celalalt capat nu suporta Inverse ARP. II adauga un camp de adresa (care contine DLCI-ul) si un check sum. Incapsularea Frame Relay FraMe Relay ia pachetele de date de la protocolul de layer network si le incapsuleaza ca portiunea de date din frame-ul frame relay. Daca frame-ul este cu erori frame relay il arunca (discard) dar nu notifica sursa ca a aruncat frame-ul. Mai detaliat. C/R = in prezent nu este definit. real este mai mica. Alta varianta este cand ai o topologie hub end spoke si vrei ca spoke-urile sa comunice direct intre ele.Aceasta caracteristica reduce costul cu echipamentele si cu complexitatea retelei ==> un inlocuitor pentru mesh. Controlul congestiei = contine 3 biti care controleaza mecanismul de notificare a congestiei in Frame Relay. care contine toate cererile rezolvate de Inverse ARP. Maparea dinamica ar face ca spoke-urile sa comunice cu hub-ul. partial mesh: limita teoretica este de 1000 VC pe un link. Maparea statica Poti alege sa faci mapare statica si dai de mana corespondentele dlci . routerul foloseste Inverse Address Resolution Protocol [Inverse ARP].adresa de layer 3. nu direct intre ele. Maparea adreselor Frame Relay Ca sa poata trimite adrese peste Frame Relay. Maparea dinamica Se bazeaza pe inverse ARP. Ca sa afle adresa de layer 3. Are ca efect dezactivarea inverse ARP. Al 8-lea bit al fiecarui byte din campul de adresa este EA. altfel va folosi 2 bytes =>> numar DLCI mai mare. Routerul construieste si mentine o tabela de mapare (corespondente). headerul si trailerul frame relay sunt definite in specificatiile LAPF (link access procedure for frame relay) Bearer Services: campul de adresa contine: DLCI = numar pe 10 biti (maxim 1024 in zecimal) EA (extended address) = daca e setat pe 1. star: hub and spoke: costul frame relay nu este legat de distanta =>> hub-ul nu trebuie sa fie localizat geografic in centrul retelei. Topologiile Frame Relay pot fi star. apoi pune flag-urile de inceput si sfarsit de frame. un router trebuie sa asocieze DLCI-ul (pe care il cunoaste) cu IP-ul / adresa de layer 3 (pe care nu o cunoaste). full mesh si partial mesh. 86 .

617 Anexa D 86 . La 60 sec primeste ca raspuns un FULL STATUS. considera ca linkul este cazut. switchul nu este interesat de tipul de incapsulare.LMI = mesaj intre router si switch. -Multicast: permite unui emitator sa trimita un frame catre mai multi receptori.1. switch-ul si routerul trebuie sa foloseasca acelasi tip de LMI . DTE-urile sunt interesate / afectate de tipul de incapsulare.Global addressing / adresare globala: ofera identificatorilor de conexiune o semnificatie globala in loc de una locala. dar au nevoie de un nivel de control al fluxului.0 R1(config-if)#encapsulation frame-relay R1(config-if)#no frame-relay inverse-arp R1(config-if)#frame-relay map ip 10. Multicastul suporta protocoalele de rutare si procedurilor de address resolution. Identificatorii LMI Sunt mai multe tipuri de LMI. incompatibile unul cu celalalt. . Extensiile LMI Sunt folositoare in mediul dintre retele (internetwork environment).1. corespunzator standardului Ansi T1.255. Aceste mesaje previn ca datele sa fie trimise in black holes (PVC care nu mai exista). =>> reteaua Frame Relay se va comporta ca un LAN.1.Cisco. O data la 10 secunde (default) routerul solicita un raspuns la un mesaj care contine un numar de secventa sau solicita informatii despre starea canalului. raportand periodic existenta noilor PVC si stergandu-le pe cele care deja exista (adica suprascrie PVC existente cu PVC care ar trebui sa fie pe acel link ???).Un control simplu al fluxului (flow): furnizeaza un mecanism XON/XOFF pentru controlul fluxului. Daca nu primeste raspuns. a. .Ansi. .VC status messages: furnizeaza informatii despre integritatea PVC prin comunicarea si sincronizarea dintre device-uri. .i orice interfata din reteaua frame relay va putea fi identificata. LMI este un mecanism de keepalive care ofera informatii despre conexiunea dintre routerul DTE si switchul frame relay DCE.1 255. extensia LMI originala. care include informatii despre toate DLCI-urile alocate acelui link. Diferente: . iar ARP se va comporta si el ca in LAN. Routerele Cisco suporta 3 tipuri de LMI: .1. Ca sa poata comunica.Comenzi pentru configurarea maparii statice: R1(config)#interface s0/0/0 R1(config-if)#ip address 10.255. Se adreseaza acelor device-uri ale caror layere superioare nu pot gestiona bitii de notificare a congestiei.Incapsularea = headerele folosite ca 2 DTE sa comunice intre ele. LMI routerului trebuie sa fie de acelasi tip cu cel folosit de echipamentul providerului.2 102 broadcast cisco varianta generica este mai jos R1(config-if)#frame-relay map protocol protocol-address dlci [broadcast] [cisco / ietf] R1(config-if)#no shut LMI = Local Management Interface In esenta. care se aplica intregii interfete Frame Relay. Nu trebuie confundat LMI cu incapsularea.

- q933a, corespunzator standardului ITU Q933 Anexa A. Incepand cu IOS-ul 11.2 a aparut feature-ul de LMI autosense care detecteaza tipul de LMI folosit de switchul frame relay direct conectat. Pe baza mesajului de status LMI primit de la switch, routerul isi configureaza automat interfata ca sa foloseasca acelasi tip de LMI cu cel suportat de switch-ul Frame Relay. Comanda manuala este frame-relay lmi-type [ansi | cisco | q933a], dar atentie ca va dezactiva autosense. Cand configurezi manual LMI-ul, trebuie sa specifici si intervalul de keepalive. VC identifiers >>>> VC types 0 >>> LMI (Ansi, ITU) 1-15 >>> rezervati pentru o utilizare viitoare 992-1007 >>> CLLM 1008-1022 >>> rezervati pentru o utilizare viitoare (Ansi, ITU) 1019-1020 >>> multicasting (cisco) 1023 >>> LMI (Cisco) Identificatorii VC nu sunt DLCI-urile??? Mesajele de status ale LMI cu mesajele Inverse ARP permit unui router sa asocieze adresele de layer 3 cu cele de layer 2. Cand un router se conecteaza la o retea frame relay, interaba care este statusul LMI al retelei. Reteaua raspunde cu un mesaj de status LMI care contine detaliile pentru fiecare VC asociat linkului. Periodic, routerul repeta mesajul despre statusul LMI, iar reteaua ii raspunde doar cu actualizari. O data la un numar de mesaje, reteaua trimite un mesaj full status. Daca routerul are nevoie sa mapeze VC-urile la adresele de Layer 3, va trimite un mesaj Inverse ARP catre fiecare VC. Mesajul inverse arp include adresa de layer 3 a routerului, in asa fel incat routerul DTE destinatie sa poata face si el maparea. Se trimit mesaje inverse arp pentru fiecare protocol de layer 3 suportat pe link. Configurarea de baza a Frame Relay: pasi obligatorii: 1. activezi incapsularea frame relay pe interfata 2. configurezi modul de mapare al adreselor - static sau dinamic. Pasi optionali: 3. configurezi LMI 4. configurezi SCV-urile frame relay 5. configurezi forma traficului frame relay 6. customizezi frame relay pentru reteaua ta 7. monitorizezi si intretii conexiunile frame relay In plus setezi si bandwidth-ul, care este folosit de EIGRP si OSPF in calcularea metricii. Incapsularea frame-relay cisco are un header de 4 bytes, din care 2 bytes sunt pentru identificarea DLCI si 2 bytes pentru a identifica tipul de pachet.

86

Configurarea unei mapari statice frame relay Maparea dinamica se face prin inverse ARP, care este activat by default, deci nu trebuie sa faci nimic. Pentru maparea statica trebuie sa configurezi manual un router. Comanda care trebuie data este: R1(config-if)#frame-relay map ip 10.1.1.2 102 broadcast cisco varianta generica este mai jos R1(config-if)#frame-relay map protocol protocol-address dlci [broadcast] [cisco / ietf] Parametrii: 1. [broadcast] Frame Relay, ATM si X.25 sunt retele non-broadcast multiple access [NBMA]. Acest tip de retele nu suporta multicast sau broadcast, ci doar unicast. Daca vrei sa comunici broadcast, trebuie sa trimiti manual frame-ul catre fiecare destinatie. Unele protocoale de rutare (RIP, EIGRP, OSPF) necesita configurari aditionale ca sa fie suportate de retelele NBMA. Prin parametrul broadcast se vor forwarda update-urile de rutare, pentru ca acesta va permite comunicarea broadcast / multicast peste PVC. 2. [protocol] Defineste protocolul suportat, bridging sau logical link control: appletalk, decnet, dlsw, ip, ipx, llc2, rsrb, vines si xns. 3. [protocol-address] defineste adresa de layer 3 a interfetei routerului destinatie 4. [DLCI] defineste DLCI-ul local folosit pentru conectarea la adresa protocolului remote Split horizon: Din perspectiva protocoalelor de rutare apare o problema, daca sunt mai multe VC pe aceeasi interfata: nu se trimit update-uri de rutare pe aceeasi interfata de pe care au fost primite / invatate. Ca sa se rezolve aceasta problema este indicata folosirea subinterfetelor (echivaleaza cu o topologie full mesh), varianta in care se dezactiveaza split horizon putand genera bucle de rutare. Plata pentru Frame Relay Cand isi creaza reteaua Frame Relay, service providerul foloseste switchuri (echipamente) rapide si mari (si scumpe), dar clientul (respectiv echipamentele acestuia) nu vad decat interfata switchului service providerului, nu si ce este in spatele acesteia. Concepte: - Access rate sau port speed: viteza liniei / capacitatea local loop. - Committed information rate [CIR] = capacitatea garantata de service provider prin bucla locala. Un avantaj al Frame Relay este ca daca exista capacitate nefolosita, aceasta se imparte la toti clientii, de obicei fara niciun cost =>> burst-ul poate fi preluat (si transmis).

86

Burst = device-urile care au temporar nevoie de mai mult bandwidth o imprumuta de la alte device-uri care nu folosesc atunci bandwidth, fara sa implice un cost suplimentar. Committed Burst Information Rate [CBIR] = rata negociata peste CIR pe care clientul o poate folosi pentru a transmite burst-ul. Nu poate depasi viteza portului de pe acel link (banuiesc ca e vorba de viteza maxima reala a linkului). Durata de transmisie a burst-ului trebiue sa fie scurta, mai putin de 3-4 secunde. Frame-urile trimise la viteza mai mare ca CIR sunt marcate ca discard eligible [DE] <=> pot fi aruncate daca reteaua este congestionata sau daca nu este suficient bw (capacitate) in retea. BE este termenul care descrie bandwidth-ul disponibil intre CBIR si bw real al linkului. NU este negociabil si, cu toate ca frame-urile pot fi transmise la acest nivel, este foarte posibil sa fie aruncate (dropped). Flow control in Frame Relay Frame Relay reduce overhead-ul prin implementarea unor mecanisme simple de notificare a congestiei, per VC. Aceste mecanisme sunt: Forward Explicit Congestion Notification [FECN] si Backward Explicit Congestion Notification [BECN]. BECN este o notificare directa. FECN este o notificare indirecta. In perioade de congestie switch-ul frame relay al providerului aplica urmatoarele reguli logice: 1. daca frame-urile care vin nu depasesc CBIR, vor trece mai departe 2. daca frame-urile care vin depasesc CBIR, vor fi marcate ca DE 3. daca frame-urile care vin depasesc CBIR + BE, vor fi aruncate. Cand apare o incarcare / congestie, switch-ul trimite FECN echipamentelor din downstream si BECN echipamentelor din upstream <=> pune F frame-urilor pe care le primeste pe linkul cu congestie si B frame-urilor pe care le trimite pe linkul cu congestie. DTE-urile care primes frame-uri cu bitii ECN setati, ar trebui sa isi reduca fluxul de trafic pana cand se descongestioneaza linkul. *Daca congestia apare pe un link intern, DTE-urile pot sa primeasca notificari chiar daca nu sunt ele cauza congestiei. 3.4.1.1 Configurarea subinterfetelor Frame Relay Subinterfetele adreseaza limitarea retelelor Frame Relay prin oferirea unui mod de a subdiviza retele partially meshed intr-un numar de subretele mai mici, full mesh sau point-to-point. Fiecare subretea are propriul network number si din perspectiva protocolului apare ca s-ar fi ajuns la aceasta printr-o interfata diferita. Subinterfetele point-to-oint pot fi nenumerotate (unnumbered) cand sunt folosite cu IP, reducand efortul de adresare care ar fi rezultat. R1(config-if)#interface serial 0/0/0.103 point-to-point >>> creaza o subinterfata. conventional i se da numarul dlci-ului, ca sa se poata face troubleshooting mai usor. Obligatoriu trebuie folosit multipoint sau point-to-point, pentru ca nu este o valoare default a optiunii.

86

Daca subinterfata este configurata ca point-to-point, DLCI-ul local pentru subinterfata trebuie de asemenea configurat, ca sa se poata distinge de cel al interfetei fizice. DLCI-ul este de asemenea necesar pentru subinterfetele multipoint in cazul in care inverse ARP-ul este activat. DLCI-ul nu este necesar in cazul subinterfetelor multipoint configurate cu mapare statica. *Nota: din nefericire modificarea configuratiei unei subinterfete Frame Relay existente poate sa nu genereze rezultatele asteptate (si tu sa fi dat comenzile necesare). In aceste cazuri este posibil sa trebuiasca sa salvezi configurarea si sa reincarci routerul. ** Singurul mod de a lega un LMI de DLCI-ul unei subinterfete este prin comanda frame-relay interface-dlci, pentru ca LMI nu stie despre subinterfete. Aceasta comanda se foloseste numai pe subinterfete. Pasi pentru configurarea unei subinterfete: 1. stergi configurarea anterioara a interfetei fizice 2. encapsulation frame-relay >>> activeaza incapsularea frame-relay 3. creezi subinterfete pentru fiecare PVC, pt un troubleshooting mai usor, dai numarul PVC subinterfetei. interface serial 0/0/0.103 point-to-point 4. configurezi o adresa ip si setezi bandwidth-ul 5. configurezi DLCI-ul pe subinterfata (DLCI-ul e dat de service provider) frame-relay interface-dlci Verificarea configurarii Frame Relay 1. Comanda show interfaces 2. show frame-relay lmi >>> daca afiseaza orice valoare diferita de 0 la elementele cu “invalid”. In felul acesta incepi sa izolezi problemele. 3. verifici statusul PVC-urilor: show frame-relay pvc [interface interfata] [dlci] Statusul poate fi active, inactive sau deleted. clear counters >>> va reseta statisticile, astepti cateva minute si verifici daca au aparut noi erori. Te ajuta sa ii spui providerului de unde apar erorile. 4. verifici functionarea inverse ARP show frame-relay map ca sa stergi maparea inverse ARP dai comanda: clear frame-relay inarp Troubleshooting: debug frame-relay lmi si urmaresti mesajele afisate. - out este un LMI status message trimis de router - in este un mesaj primit de la switchul Frame Relay - type 0 = LMI full status message - type 1= LMI exchange - “dlci 100, status 0x2” = dlci 100 este active Statusurile: - active = indica un circuit end-to-end (DTE-DTE) successful - inactive = arata ca doar legatura router - switch este ok, nu detecteaza DTE-ul de la capatul celalalt. Poate fi cauzata de configurari incorecte sau reziduale de pe switch. - Deleted = DTE este configurat pentru un DLCI pe care switch-ul nu il recunoaste ca valid pentru acea interfata.

86

instalezi backdoors .0x0 = switch-ul are acest DLCI programat.trimite mesaje nesolicitate si atasamente cu virusi ca sa preia controlul computerului infectat si sa trimita mai departe spam. Acum identifica o persoana care incearca sa obtina acces neautorizat la resursele retelei. strangi si alte parole si secrete 6. deschisa.Phreaker .o persoana care manipuleaza reteaua de telefoane ca sa faca o functie nepermisa. enumerate information . ca datele cardului. gratuit. . ************************** cap 4 .initial desemna un expert in programare. Ar putea fi cauzat de inversarea DLCI pe router sau PVC a fost sters in norul Frame Relay de catre service provider. La inceput trebuia sa ai cunostinte bune ca sa poti folosi cele cateva unelte si atacuri rudimentare. de programare si detinerea echipamentelor sofisticate pentru a ataca o retea s-a inversat odata cu trecerea timpului.ca sa nu mai fi detectat cand intri in sistem 7. Terminologie: .tot o persoana care incearca sa isi foloseasca cunostintele in scop ostil. escalezi privilegiile . parole.Hacker . . dar dintr-un motiv (sau altul) nu poate fi folosit. *Reteaua inchisa este ferita de riscurile externe. . in general pentru un castig personal sau financiar. footprint analysis (recunoastere) 2.0x4 = switchul nu are acest DLCI programat pentru acest router.un termen mai exact care defineste o persoana care incearca sa obtina acces neautoriza la resursele retelei si care are intentii ostile. Posibil celalalt capat al PVC este down.Spammer .White hat . . O tinta obisnuita a acestuia este sa sparga reteaua de telefonie ca sa faca convorbiri la distante mari. oferind si celor cu cunostinte entry level posibilitatea de a ataca o retea. dar a fost programat candva in trecut. manipulezi userii ca sa obtii acces 4.Valori pentru statusuri: .vezi ce stii 3.foloseste email / altceva ca sa pacaleasca utilizatorii sa isi dea date sensibile / confidentiale. etc. . pt ca respectivul sa le poata trata. White hat securizeaza vs black hat care sparge securitatea . Etapele / pasii unui atac: 1. .Phiser . dar tot este expusa riscurilor interne.0x2 = switchul Frame Relay are acest DLCI programat si totul este operational . 86 .unelte (tools) s-a inversat.Black hat . inchisa. te folosesti de sistemul infectat ca sa ataci si alte hosturi din sistem Din perspectiva securitatii o retea poate fi: echilibrata.iti dai privilegii mai mari 5. restrictiva.persoana care cauta vulnerabilitati in sistem / retea si le raporteaza detinatorului retelei / sistemului.Cracker . are intentii ostile. ulterior raportul cunostinte .network security Raportul de cunostinte de retea. (inactive cred).

Compliance Amenintari comune / Common sec urity threats Cand vorbesti de securitate vei intalni des 3 elemente: -vulnerabilitati -amenintari -atacuri Vulnerabilitate = slabiciunea inerenta a unui device / retea. . Are 12 sectiuni: .sa informeze utilizatorii. ISO si IEC au publicat un document standard pentru crearea politicii de securitate.Access control .Politica de securitate: este un set de principii care ajuta procesul de decizie si le permite liderilor organizatiei sa distribuie autoritatea cu incredere. tool-uri la adresa retelelor si a echipamentelor de retea.de tehnologie .amenintari hardware: distrugerea fizica a serverelor. O politica de securitate are urmatoarele obiective: . development.Information security incident management .Physical and environmental security .Information systems acquisition. routerelor. programe. Sunt 3 tipuri de vulnerabilitati / slabiciuni: . angajatii si managerii de cerintele obligatorii pentru a proteja bunurile tehnologice si informationale.Business continuity management .Organization of information security . configura si audita sistemul de computere si retele ca sa fie in conformitate cu politica. Amenintari la adresa infrastructurii fizice: .Security policy . switchurilor.de politica de securitate 1. and maintenance .Human resources security .furnizeaza o structura de pornire de la care se poate obtine.de configurare .specifica mecanismele prin care pot fi indeplinite aceste cerinte . Amenintari = oameni interesati si pregatiti sa obtina avantaje din slabiciunile de securitate.Risk assessment . numit ISO/IEC 27002. workstations 86 . cablurilor. Atacurile sunt desfasurate de amenintari prin scripturi.Asset management .Communications and operations management .

zgomot pe canalele de comunicatie. umiditate prea multa / putina) .instaleaza generatoare . care folosesc tool-uri de hack usor accesibile.amenintari electrice: fluctuatii de electricitate.controlul temperaturii . Amenintarile structurate sunt realizate de indivizi / grupuri care sunt bine motivati si competenti dpv tehnic. etichetare proasta.amenintari de intretinere (maintenance): descarcari electrostatice cauzate de proasta gestionare a echipamentelor (cheie).incuierea echipamentelor si limitarea accesului la acestea .amenintari structurate . subalimentare. Amenintari la adresa retelei: . .eticheteaza cablurile si componentele critice .instaleaza alimentari de energie redundante .realizeaza alarme remote si monitorizare Eliminarea / micsorarea riscurilor de intretinere: .monitorizarea si controlul celor care intra / au acces la echipamente .amenintari nestructurate .asigurarea unui flux constant de aer .amenintari de mediu (environment): temperatura prea rece / calda.stocheaza componente de rezerva critice ..amenintari externe . Amenintari externe = indivizi din afara companiei sau care nu au acces la reteaua acesteia Amenintari interne = indivizi care au acces autorizat la reteaua companiei 3.amenintari interne Amenintarile nestructurate sunt realizate de indivizi neexperimentati.monitorizarea si inregistrarea alarmelor de mediu Eliminarea / micsorarea riscurilor de alimentare cu energie electrica: .folosirea camerelor de supraveghere Eliminarea / micsorarea riscurilor de mediu: . pierderea completa a curentului. cablare proasta.controleaza accesul la porturile de consola 2.controlul umiditatii .instaleaza sisteme UPS .foloseste proceduri de descarcare electrostatice . lipsa pieselor de schimb. Eliminarea / micsorarea riscurilor hardware: . Social engineering 86 .foloseste o cablare ingrijita .respecta un plan de prevenire .

Tool-uri automate de ping sweep. Pasul urmator este sa trimita ping-uri la toate adresele publice din spatiul de adrese respectiv.2 Network snooping si packet sniffing sunt exemple comune de eavesdrop. trojan horses Recunoasterea = descoperirea neautorizata si maparea sistemelor.packet sniffers Cu utilitarele nslookup sau whois. viruses. Viermi. ca fping sau gping. Un port scaner este un soft. Denial of service [DoS] = un atacator dezactiveaza sau corupe un sistem. 1. Adresele IP active sunt identificate.3.scanarea porturilor .ping sweep . 4. un atacator poate identifica spatiul de adrese alocat unei corporatii / entitati. ca sa le identifice pe cele active. desi pare cam voita actiunea :D ) asupra traficului retelei. Eavesdrop este folosit des pentru: . virusi. ii vor face munca si mai usoara. pentru a determina ce servicii de retea sau porturi sunt active pe respectivele adrese. Pe baza acestor informatii intrusul poate incerca sa exploateze posibilele vulnerabilitati existente.n. Recunoasterea: poate consta din urmatoarele: .furtul de informatii 86 .worns. retea sau servciu cu intentia sa interzica servicii anumitor useri. Atacatorii interni pot incerca si “eavesdrop” (a auzi fara sa vrea. troieni = sunt introdusi intr-o gazda cu scopul sa o distruga sau corupa. si strangere de informatii si de obicei precede un alt atac.denial of service . sa se multiplice. serviciilor sau vulnerabilitatilor. la sistem sau la servicii. sa interzica accesul la retea. Port scaner-ul intreaba portul ca sa determine tipul si versiunea aplicatiei. Ex: phishing. ca nmap sau superscan.= orice metoda (nu hacking) de a-l convinge pe user sa-si dea datele singur.1. S. De obicei exploateaza vulnerabilitatile cunoscute ale sistemului / aplicatiei atacate. precum si tipul si versiunea OS-ului. care este destinat sa caute hostul unei retele pentru a gasi porturile care sunt deschise. Acces = abilitatea unui intrus de a obtine acces la un device pentru care acesta nu are user sau parola.acces . Tipuri de atacuri ale retelei: Sunt 4 tipuri: .strangerea de informatii .internet information querry . De obicei DoS inseamna crashuirea unui sistem sau incetinirea acestuia pana la punctul in care nu mai este utilizabil. De cele mai multe ori implica rularea unui hack sau script.recunoastere . iar atacatorul trece la scanarea porturilor.

lasa necriptate headerele.care poate cripta community strings. Cain Trust exploitation: Reteaua este protejata printr-un firewall.parola cand acestea sunt trimise (trec prin retea). Aceasta cripteaza doar continutul pachetului.implementezi si intaresti directive ale politicii (de securitate) ca sa interzici utilizarea protocoalelor susceptibile la eavesdropping (folosesti SNMP 3 . traficul nu va mai ajunge la toate hosturile din retea) . *tools: netcat Man-in-the-middle [MITM] 86 . le poti examina ca sa gasesti informatii valoroase. Acces: Atacul acces exploateaza vulnerabilitati cunoscute in serviciile de autentificare. care foloseste un host compromis pentru a tece traficul de firewall. etc.folosesti switch-uri in loc de hub-uri (si vei avea comunicare full-duplex. dar nu si la hostul din interior.trojan horses *tools: L0pthCrack. web. cate un host pe fiecare interfata. in loc de SNMP 1) O metoda de criptare utila poate fi criptarea payload-only. Ex: ai un firewall cu 3 interfete. Un protocol analyzer este Wireshark. Hostul din exterior poate ajunge la hostul din segmentul de servicii publice. capturarea perechii user . sunt instalate software-uri care sa redirectioneze traficul de la hostul din exterior la hostul din interior. dupa ce ai capturat pachetele. Atacul vizeaza compromiterea hostului din DMZ si prin intermediul acestuia atacarea hostului din interior.Exemple de date susceptibile la eavesdropping sunt: versiunea 1 de SMNP community string. Password attacks: .brute force: dictionare de cuvinte . pentru a intra in conturi de web. FTP. Port redirecting Este un tip de trust exploitation. baze de date sau in alte informatii sensibile. in asa fel incat pachetul trece prin switch-uri / routere fara sa fie nevoie sa fie decriptat.packet sniffer: obtinerea parolei din pachetele capturate . Hostul din DMZ poate ajunge la ambele hosturi. 2.folosesti comunicarea criptata . dar un host din retea are incredere intr-un host exterior retelei =>> poti ataca reteaua prin intermediul hostului extern in care aceasta are incredere. O metoda comuna de eavesdropping asupra comunicarii este sa captureze pachete TCP/IP sau de alt protocol si sa le decodezi continutul cu un protocol analyzer. Metode de contracarare a eavesdropping: . Dupa ce hostul din DMZ este compromis. din interior si din exterior. Segmentul de acces public se numeste DMZ [demilitarized zone] .

1 client / atacator . pentru ca este usor de implementat.atacatorul vede doar informatii criptate.transparent proxy e un exemplu. listelor sau domeniilor. . introducerea de date intr-o sesiune deschisa. *Tool-uri pentru MITM in LAN: ettercap. Trimite multiple syn requests (peste 1000) unui server. DDoS Attacks Distributed DoS sunt menite sa satureze linkurile retelei cu date nelegitime. DoS. dupa care isi insereaza url-ul lui in fata url-ului legitim. Denial of Service [DoS] Impiedica persoanele autorizate sa ruleze un serviciu prin consumarea resurselor sistemului. Acest lucru leaga serverul care va ramane fara resurse si nu va mai putea raspunde cererii unui host legitim. ca sa incheie 3way handshake-ul.1 handler care este un host compromis si care este capabil sa gestioneze mai multi agenti .84 bytes. Prin alte tipuri de atacuri MITM se pot face si: furt de informatii. dar softul ostil nu mai raspunde cu ack final.legitimate. dar la o scala mult mai mare. Exemple: Ping of Death: un ping are in mod normal 64 . monopolizand serviciul de email. Ex: http:www. SYN flood: exploateaza 3 way handshake. ARP poisoning. ActiveX. Reducerea atacurilor MITM WAN se face prin folosirea tunelurilor VPN . JavaScript.Presupune ca un atacator sa se pozitioneze intre 2 hosturi legitime. Acum cele mai multe retele nu mai sunt susceptibile la acest tip de atac.com/http://www.com devine http:www. obtinerea (highjack / rapirea) unei sesiuni la resurse la care atacatorul nu ar avea acces in mod normal. DDoS foloseste metode de atac similare cu DoS.com Tot traficul victimei poate fi interceptat de atacator.legitimate. 3. care raspunde cu syn-ack. Ping of Death modifica headerul pachetului ping si ii spune ca pachetul are 65535 de bytes. De obicei un DDoS are 3 componente: .attacker. Atacatorul pacaleste victima printr-un phishing email sau web defacing. coruperea datelor transmise. care poate sa corupa informatia care se intoarce la victima. In general sute sau mii de puncte de atac incearca sa copleseasca o tinta. Este considerata o forma triviala de atac. care cauzeaza distrugeri sau blocheaza computerul. ceea ce face ca vechile sisteme sa crashuiasca. Astfel se poate incarca linkul. Exemple de atacuri DDoS: 86 . Applet-uri ostile: folosesc Java. E-mail bombs: sunt trimise e-mailuri bulk persoanelor. Pentru LAN se foloseste port security pe switchuri. A fost popular la sfarsitul anilor ‘90. cauzand ca traficul legitim sa fie dropped.1 agent care este un host compromis pe care ruleaza programul de atac si care este responsabil de generarea fluxului de pachete catre tinta.

0 acesta este oprit. Intr-o retea multiple access broadcast network pot fi sute de hosturi care raspund unui astfel de mesaj. troieni Un vierme executa cod si instaleaza copii ale lui in memoria computerului infectat. de obicei atacatorul are acces la host cu privilegii de user. Atacatorul poate folosi exploit-urile locale ca sa isi dea privilegii de administrator.MyDoom Atacul smurf foloseste mesaje ping pe adrese de broadcast capturate (spoofed) pentru a floda un sistem tinta. multiplicand traficul cu nr de hosturi care raspund. Pasii recomandati sunt: . Diminuarea / eliminarea acestor atacuri implica multa rigurozitate din partea adminilor de retea si de sistem (ai a echipelor acestora).tribe flood network . Routerul face broadcast de la L3 la L2. Un exemplu comun este limitarea traficului ICMP.. limitand volumul de trafic neesential din segmentele de retea. In pasul 1 atacatorul trimite ICMP echo request catre o adresa de broadcast de retea (direct broadcast) cu o adresa valida. Un troian este o intreaga aplicatie care a fost scrisa ca sa arate ca altceva. Atacurile DoS si DDoS pot fi reduse prin implementarea listelor de acces anti spoof si anti DoS.carantina: blocarea masinilor infectate. Viermii sunt programe de sine statatoare care infecteaza sisteme si incearca sa se propage si la alte sisteme conectate? cu acestea. Malicious code attacks (atacuri prin cod ostil): viermi. luata dintr-un pachet spoofed.vulnerabilitate activata: viermele se instaleaza . ISP-isti pot sa implementeze si controlul traficului (prin rate). viermele se copiaza si isi selecteaza noile tinte . izolarea acestora . care la randul lui poate sa infecteze alte computere. de la IOS 12. ca sa mascheze ca este un instrument de atac (attacking tool).payload: dupa ce hostul este infectat.stacheldraht . Cum arata atacul unui vierme: . Un virus este un software ostil care este atasat altui program cu scopul de a executa functii nedorite pe o statie. virusi.tratare: curatarea si patch-uirea fiecarui sistem infectat Virusi si troieni 86 .mecanism de propagare: dupa ce s-a instalat. pentru ca este trafic doar de diagnosticare.inoculation (vaccinare): aplicarea patch-urilor tuturor sistemelor . cele mai multe hosturi raspund cu ICMP echo reply.containment (izolare) a raspandirii viermior in retea (izolarea segmentelor de retea? ) . Preventia la acest tip de atac se face prin oprire (turn off) a broadcastului direct.smurf .

desktopuri si sistemele de computere point-of-service (POS).Cisco ASA 5500: firewall-ul PIX a evoluat si acum include: firewall. Integrated Services Routers (ISR). De virusi si troieni te protejezi cu antivirusi pentru useri si pentru retea. rootkits. .folosirea firewall-urilor . IPS si servicii de securitate a continutului. Cisco 5500 ASA. .device hardening (protejarea device-urilor) prin schimbarea user + pass default. care presupune retestarea si reaplicarea masurilor de securitate updatate.Cisco security agent (CSA): este un software care ofera capabilitati de protectie pentru servere.) ) . voice security. Cisco Security Agent for Desktop. The network security wheel Cele mai multe incidente de securitate au loc pentru ca sys adminii nu implementeaza masurile de securitate disponibile si atacatorii / angajatii nemultumiti exploateaza aceste scapari =>> nu trebuie doar sa gasesti vulnerabilitatea si contramasura. Cisco Intrusion Prevention Systems (IPS). Network security wheel este un proces continuu. switch-urile Catalyst 6500. Le protejeaza impotriva atacurilor tintite / directionate. spyware. etc). in mod continuu. SSL si IPsec VPN. day-zero. . Echipamente care ofera VPN: routerele ISR cisco cu Cisco IOS VPN solution. Tehnici de reducere / eliminare a amenintarilor . Echipamente care ofera aceasta functie sunt: seria Cisco ASA 5500 (ASA = Adaptive Security Appliance). Abordarea integrata presupune: . accesul la resursele sistemului permis doar celor in drept. protejeaza bunurile (assets) prin contracararea traficului ostil (viermi si virusi). oprirea / dezinstalarea aplicatiilor sau serviciilor care nu sunt necesare.securizarea comunicatiilor: securizezi cu VPN-uri.IOS-ul Cisco de pe ISR-uri: multe dintre masurile de securitate cerute de clienti se afla incluse in IOS-ul cisco (trebuie sa mai stii cum sa le configurezi . previne intruziunile.Network Admission Control: previn accesul neautorizat la retea . ci sa te si asiguri ca solutia este folosita si ca functioneaza corect.controlul amenintarilor: reguleaza accesul la retea.instalarea softurilor antivirus .aplicarea patch-urilor sistemelor de operare Dispozitive si aplicatii de securitate In trecut un firewall era suficient pentru securizarea retelei.Cisco NAC appliance: foloseste infrastructura de retea pentru a intari conformitatea cu politica de securitate pentru toate echipamentele ce vor sa acceseze resursele retelei. dar acum a devenit necesara folosirea unei abordari integrate / unei solutii mai complexe: firewall + intrusion prevention + VPN. Politica de securitate include urmatoarele: 86 .senzori din seria IPS 4200: acesti senzori identifica. clasifica si opresc traficul ostil . .Elementul care diferentiaza un vierme de un virus este ca virusul are nevoie de interactiunea umana pentru a se raspandi (printr-un atasament la un mail. Network Admission Control (NAC). . izoleaza sistemele infectate. toate intr-un singur device.

Securizeaza: . Monitorizare: Monitorizarea securitatii implica metode pasive si active de a detecta incalcari ale securitatii. Metoda cea mai comun folosita este sa auditezi fisierul de log la nivel de host. cu atat este mai greu pentru un atacator sa obtina acces Conexiuni securizate: .monitorizeaza .inspectie stateful si filtrarea pachetelor * stateful inspection = un firewall care pastreaza informatii despre starea unei conexii in tabela de stare ca sa poata recunoaste schimbarile din conexiune care ar putea insemna ca un atacator incearca sa deturneze o sesiune sau sa manipuleze o conexiune.testeaza .VPN-urile .trust and identify .te asiguri ca userii si end device-urile resprecta politica corporate 2. pus la nivelul host si retea pentru a opri in mod activ traficul ostil .identifica resursele critice pe care trebuie sa le protejezi Pasii de la security wheel sunt: .dai acces doar userilor autorizati .aparare la amenintari .patch-uirea vulnerabilitatilor .documenteaza resursele care trebuie protejate . 3. Aceasta metoda necesita din partea adminului de securitate a retelei mai putina atentie decat metodele active.sistem de prevenirea intruziunilor (IPS).fa o inventariere si o harta a infrastructurii de retea .securizeaza . Metodele pasive includ dispozitive IDS (intrusion detecting systems) pentru a detecta automat intruziunile.cripteaza traficul de retea pentru preveni dezvaluirea informatiilor catre indivizi neautorizati / ostili ..dezactivarea serviciilor care nu sunt necesare .autentificare . inainte ca intrusul sa poata strica ceva. Testarea: 86 .intarirea politicii . . Metodele active pot detecta in timp real violarile de securitate si pot fi configurate sa raspunda imediat.identifica obiectivelor de securitate ale organizatiei .imbunatateste 1.implementezi constrangeri stranse pe nivele de incredere (in cadrul retelei).cu cat sunt mai putine servicii. . Sys adminii trebuie sa activeze sistemul de auditare pentru fiecare host din retea si sa verifice si sa interpreteze intrarile din aceste fisiere.se repara sau se iau alte masuri pentru a opri exploatarea vulnerabilitatilor cunoscute . Un beneficiu in plus al monitorizarii retelei este verificarea daca masurile de securitate implementate la pasul 1 sunt configurate si functioneaza corect.

executivilor. . Unelte de verificarea vulnerabilitatilor de securitate ca nessus sau nmap sunt folosite pentru testarea periodica a masurilor de securitate de la nivelul retelei si al hostului. ce arii sunt acoperite de politica de securitate. 4. administratorilor .stabileste regulile de comportament asteptat din partea userilor.defineste rolurile si responsabilitatile executivilor.politica de acces la campus 86 .politica de acces la internet . Are ca rezultat amplificarea politicii de securitate prin imbunatatirea mecanismului implementat <=> se adauga itemi la pasul 1. cine este responsabil pentru implementarea ei. in continua actualizare. userilor.declaratia de autoritate si aria de cuprindere: defineste cine din organizatie sponsorizeaza politica de securitate.politica de identificare si autorizare: defineste ce tehnologii foloseste compania pentru a se asigura ca doar personalul autorizat are acces la date. probeze. Imbunatateste: Implica analiza datelor colectate in timpul fazelor de monitorizare si testare. adminilor . *Securizarea este un proces continuu. . .activeaza o implementare globala a securitatii si o intareste prin actionarea ca si cum ar fi un standard intre locatii .creaza o baza pentru actiuni legale. software si proceduri. investigheze . din interior si exterior.autorizeaza personalul de securitate sa monitorizeze.planifica imbunatatirile de securitate. Politica de securitate a unei companii Politica de securitate este un set de indrumari menite sa fereasca reteaua de atacuri. daca este cazul Politica de securitate este un document viu. Mai precis sunt verificate masurile din pasii 1 si 2.defineste ce comportamente sunt permise si ce nu .defineste procedura de gestionare a incidentelor de securitate .In aceasta etapa masurile de securitate sunt testate proactiv.defineste si autorizeaza consecintele violarilor de securitate *nu intotdeauna este necesar sa explici de ce este ceva facut intr-un anumit fel Componentele politicii de securitate *nu sunt toate obligatorii . masurile de securitate potrivite pentru angajati pentru a proteja resursele companiei si informatiile proprietare .politica de utilizare acceptata: defineste modul de utilizare acceptat al echipamentelor si serviciilor. Functiile unei politici de securitate . Politica de secutitate aduce urmatoarele beneficii organizatiei: . inclusiv echipamente.furnizeaza o modalitate de auditare a securitatii existente si compara cerintele cu ce este gasit in acel moment .protejeaza oamenii si informatiile .

trece alimentarea curentului printr-un UPS.politica de trimitere de emailuri . Securizarea routerelor inseamna: .politica de audit .politica pentru informatii sensibile .politica globala pentru web server altele .procedurile de gestionare a incidentelor in plus mai poti sa folosesti: . usurand evitarea detectiei pentru atacatori.politica de analiza a riscului .politica de forwardare automata a emailurilor . controleaza temperatura si umiditatea.daca compromiti tabela de rutare poti sa reduci performanta.. cumpara / stocheaza piese de schimb. sa interzici servicii de comunicare in retea. 86 .intarirea routerul prin eliminarea abuzului potential referitor la porturile si serviciile nefolosite.securizare fizica .politica de solicitare a accesului la cont .politica de securitate VPN Cine incalca politica de securitate poate fi concediat. Securizarea routerelor la perimetrul retelei este un important prim pas in securizarea retelei. facilitand atacul asupra componentelor retelei .politica pentru spam remote access: . poti sa dezvalui detaliile de configurare a retelei.politica de achizitii de valori .politica pentru parole .actualizarea IOS routerelor ori de cate ori este indicat . sa dezvalui date sensibile .politica de acces remote . Probleme de securitate ale routerelor Securitatea routerelor este un element critic cand vorbim despre securitate (a retelei).politica de remote acces . incuiata.anuntarea retelelor si filtreaza cine le poate folosi . electrosatatice. fara interferente magnetice. Securitatea fizica = amplaseaza routerul intr-o zona cu acces controlat. pentru ca routerele indeplinesc rolul de: .ofera acces la segmentele de retea si subretea Motivele pentru care routerele sunt atacate: .backupul configuratiei si IOS-ului routerelor .daca compromiti controlul accesului.politica de acces dial-in .configurand gresit un filtru de trafic poti sa expui componentele retelei la atacuri / scanari.

foloseste cel putin 8 caractere . simboluri. gestionezi securitatea routerului 2. 2. R(config)#service password-encryption In show run.Echipamentele care se conecteaza la router trebuie sa fie si ele securizate sau aflate sub jurisdictia cuiva de incredere. Conectarea remote trebuie facuta cu alicarea unor precautii suplimentare de securitate. cifre. ca in caz de nevoie sa ai optiune de backup. PAP si CHAP nu pot folosi criptarea md5. Pasi pentru a securiza un router: 1. Daca sunt expuse ar putea sa fie infectate cu troieni sau alte executabile. gestionezi securitatea routerului Configureaza o parola puternica: . Elimina serviciile care pornesc default si de care nu te folosesti. securizeaza accesul la administrarea remote Cel mai securizat mod de a te conecta la un router este prin consola. .nu o scrie pe ceva pe care apoi sa il lasi la vedere .IOS-ul cisco le lasa default in plain text. securizeaza accesul la administrarea remote 3. Pastreaza o copie de siguranta a IOS-ului si a fisierului de configurare. securizeaza serviciile si interfetele vulnerabile ale routerului 5. ci pe cel mai stabil. R2(config)#security password min-length >>> defineste lungimea minima a parolei (de la IOS-ul 12. te vei conecta remote.combina litere. Nu-i pune ultimul IOS.schimba des parolele -! parafrazeaza Cripteaza parolele . Daca totusi nu ai cum sa te conectezi prin consola. Criptarea cu MD5 se face cu comanda enable secret text R1(config)# username Student secret cisco >>> cripteaza cu md5 parola userului Student. controleaza si filtreaza traficul de retea 1. 86 . 7 = e criptata cu algoritm cisco. foloseste un log pentru activitatea routerului 4.nu folosi cuvinte din dictionar . Da-i routerului maximul de memorie posibila :D ca sa fie mai ferit de DoS.scrie gresit cuvintele (intentionat) . securizeaza protocoalele de rutare 6. 5 e criptata cu un hash MD5.3(1) ). 0 la parola = nu e criptata.

Ca client se conecteaza la un server de ssh.numele domeniului . switchuri sau device-uri .Pentru a securiza accesul la administrarea remote a switchurilor si routerelor intai trebuie sa securizezi liniile administrative (VTY si AUX).hostname . folosind fie user + parola locale. de obicei doar cele cu k8 sau k9 in nume suporta SSH.chei asimetrice 86 . adica ii ceri explicit o parola.sa permita modemurilor atasate routerelor sa fie folosite pentru dial-out securizat . . Cand activezi SSH.sa simplifice conectarea la routere de oriunde. ca server permit clientilor sa se conecteze la ele prin ssh. Accesul remote inseamna Telnet. TTY = acces asincron la router folosind un modem.sa se conecteze (securizat) la un router care are linii multiple de terminal cu porturile de consola sau seriale ale altor routere.sa solicite autentificarea pe fiecare linie. apoi configurezi reteaua sa cripteze traficul prin tunele SSH. Un device Cisco are de obicei 5 linii virtuale => daca sunt toate deschise (inclusiv in idle) nu mai poti deschide o alta linie =>> trebuie ca ultima linie virtuala sa nu accepte conexiuni decat de la o masina de administrare aflata strict sub controlul tau (faci reguli prin ACL cu comanda ip access-class). dar aceasta nu exista => nu te poti loga pe acea linie. folosirea Telnet sau SSH se face cu comenzile: R(config-line)#no transport input >>> anulez protocolul anterior R(config-line)#transport input telnet ssh >>> pot sa le dau pe amandoua sau doar unul dintre ele. Pentru acces remote: . trebuie sa configurezi:: . SNMP. conectandu-se securizat de oriunde la un terminal-server pe o linie specifica . SSH.instaleaza o retea dedicata pentru management care sa includa doar hosturile de administrare si conexiunile la device-urile de infrastructura. alta optiune este comanda exec-timeout <minute> (din config-line) combinata cu comanda service tcp-keepalive-in (din config) telnet este pe portul TCP 23 ssh este pe portul TCP 22 Nu toate IOS-urile Cisco suporta SSH. Pentru VTY. Accesul din terminal prin ssh permite adminilor sa faca urmatoarele: . folosesti comenzile no password si login. HTTPS. Securizarea remote access se refera la VTY si la TTY (text telephone). fie un server TACACS+ sau RADIUS Routerele cisco functioneaza ca server si client de SSH. HTTP.cripteaza tot traficul dintre router si computerul de administrare. Daca vrei sa blochezi o linie (VTY sau TTY).

7 este pentru informatii din mesajele de debug.timeouts Router(config)#hostname R1 R1(config)#ip domain-name alexandru. 3. Routerele suporta 8 nivele de logare. sau catre un server dedicat pentru loguri. Logurile pot fi forwardate catre diferite locatii: memoria routerelor (volatila). E necesar ca timpul sa fie inregistrat corect. foloseste un log pentru pastrarea activitatilor routerului Logurile iti permit sa identifici daca un router functioneaza corect sau daca a fost compromis. pentru ca mai multe masini pot trimite logurile catre acesta. 4. Trimite logurile catre un log host. Uneori din loguri poti sa vezi ce tipuri de probe sau atacuri sunt incercate asupra routerului sau retelei. Aceste servere se numesc servere NTP (network time protocol).. Exemplu de aplicatie de server syslog este kiwi syslog daemon. pentru redundanta). Desi routerele au un ceas intern. *Logurile trebuie citite cu regularitate. De asemenea ia in calcul trimiterea logurilor si catre o a 2-a locatie. Intareste log host-ul prin eliminarea serviciilor si conturilor care nu sunt necesare. este mai indicat sa folosesti servere de timp (minim 2. iar adminul le poate urmari (eventual centralizat?). ca sa tratezi si worst case scenario. iar log host-ul trebuie sa fie conectat la o retea de incredere sau protejata sau la o interfata de router izolata si dedicata.com R1(config)#crypto key generate rsa >>> de preferat dimensiunea 1024 R1(config)#username Student password cisco123 R1(config)#line vty 0 4 R1(config-line)#transport input ssh R1(config-line)#login local R1(config-line)#end R1(config)#ip ssh time-out 15 R1(config)#ip ssh authentication-retries 2 La conectarea remote trebuie sa dai user si parola ca sa te poti conecta (logic :D ). Un server de syslog este o solutie mai buna.autentificare locala optional mai configurezi si: . serviciile si interfetele vulnerabile ale routerului 86 .numarul de reincercari de conectare . Configurarea logarilor (syslog) pe router trebuie facuta cu grija. 0 este cel mai important (arata ca sistemul e instabil). In acest fel te vei obisnui cu modul normal de functionare a retelei si vei repera mai usor atacurile / functionarea anormala.

clasless routing behavior ???. fie sunt servicii de layer aplicatie (L7).falsificarea informatiilor de rutare Subminarea perechilor nu este critica.redirectarea traficului ca sa rezulte bucle de rutare . TCP si UDP small servers. proxy ARP. pentru ca protocoalele de rutare se vindeca intre ele. http server. Autentificarea in RIPv2: r(c)#router rip r(c-router)#passive-interface default r(c-router)# no passive-interface s0/0/0 r(c)#key chain rip_key r(c-keychain)#key 1 r(c-keychain-key)#key-string cisco r(c)#int s0/0/0 r(c-if)#ip rip authentication mode md5 r(c-if)#ip rip authentication key-chain rip_key Aceste comenzi trebuie date pe toate routerele pe care ruleaza rip. daca nu le dezactivezi. cauzand un DoS sau traficul va fi rutat pe o cale pe care nu ar parcurge-o in mod normal. configuration autoloading. NTP services.subminarea perechilor . dezactiveaza-le. ar trebui sa restrictionezi accesul / securizare. 4. Unele dintre ele sunt dedicate fie configurarilor specializate sau mostenite (legacy). BOOTP server. finger. Falsificarea informatiilor de rutare poate cauza: . Autentificarea in EIGRP r(c)#kay chain eigrp_key r(c-keychain)#key 1 r(c-keychain-key)#key-string cisco r(c-keychain-key)#exit 86 . Daca nu le folosesti. IP unreachable notifications.Routerele cisco suporta multe servicii de retea de layer 2. securizeaza protocoalele de rutare Sistemele de pe routere pot fi atacate in 2 feluri: . Un atac mai subtil este cand se falsifica informatiile de rutare si sistemele se vor minti intre ele. DNS.redirectarea traficului ca sa poata fi monitorizat . IP redirects. 3. Este recomandat sa opresti: CDP. IP source routing. IP direct broadcast. 5. IP mask reply. SNMP.redirectarea traficului ca sa fie aruncat Pentru a preveni aceste neplaceri se poate folosi autentificarea protocoalelor de rutare si criptarea informatiilor de rutare. La unele din serviciile de mai sus. 7.

identifici resursele.creezi un cont cu parola si privilegii de exec (level 15) .activezi HTTP si HTTPS pe router .design: alegi noile release-uri de IOS-uri cisco si creezi o strategie de migrare la acestea 86 .configurezi ssh sau telnet pentru login local si privilegii level 15 SDM este stocat in memoria flash (dar poate fi stocat si pe un PC).te conectezi la router . fie fisierul de configurare. care nu mai este suportat. fara sa modifice setul de feature-uri. cu HTTPS pentru ssh. *nu e mereu indicat sa faci update la cel mai nou sistem de operare.. WAN si a functiilor de securitate pe routerele cu IOS cisco + configurare VPN si firewall. Nu sunt gratis. creezi un orar preliminar pentru migrarea la noul release. Intretinerea IOS-ului routerului Periodic la un router se updateaza fie IOS-ul.interactiv: te intreaba promptul . Ca sa instalezi SDM-ul. Cisco recomanda instalarea SDM pe toate routerele moderne. Noul release fixeaza bugurile sau inloieste vechiul release.planifici: setezi obiectivele. trebuie mai intai sa: . scrii adresa routerului intr-un browser. dar care dezactiveaza procesele si serviciile neesentiale. Cisco recomanda un proces de migrare in 4 pasi: . are 2 moduri de functionare: . pt ca e posibil sa nu fie stabil. Ca sa lansezi SDM-ul. sau http pentru telnet. faci profilul retelei.. .non interactiv: nu te intreaba Comanda este auto secure Cisco router and security device manager (SDM) furnizeaza un feature similar cu auto secure. Update = inlocuieste un release cu altul. Sunt gratis Upgrade = inlocuieste. si modifica setul de feature-uri.r(c-keychain)#exit r(c)#int s0/0/0 r(c-if)#ip authentication mode eigrp 1 md5 r(c-if)#ip authentication key-chain eigrp 1 eigrp_key Autentificare in OSPF r(c)#int s0/0/0 r(c-if)#ip ospf message-digest-key 1 md5 cisco r(c-if)#ip ospf authentication message-digest r(c-if)#exit r(c)#router ospf 10 r(c-router)#area 0 authentication message-digest Auto Secure Este o singura comanda. SDM este un tool web-based prin care se poate face configurarea LAN.

168. 192. "backup-configs" este fisierul Copierea din RAM in NVRAM: R2# copy running-config startup-config copy system:running-config nvram:startup-config Copierea din RAM intr-o locatie remote: R2# copy running-config tftp: R2# copy system:running-config tftp: Copierea dintr-o sursa remote in running-config R2# copy tftp: running-config R2# copy tftp: system:running-config 86 . cisco IOS upgrade planner.. cisco feature navigator. tftp.254 este locatia serverului TFTP 2. La show file system.cu login. rcp (remote copy protocol). * = sistemul default.=> cursul acesta se concentreaza pe tftp. care nu prea e disc :D ) caracterul # se citeste pound dir afiseaza un sistem de fisiere din directorul curent..168.fara login pe site-ul cisco: Cisco IOS reference guide. . "configs" este master directory 3. Network file system include folosirea ftp. software advisor.. iti arata calea catre directorul curent dir >>> afiseaza directorul curent. 4.20.2. Prefixe URL pentru device-urile cisco Pentru examplul tftp://192. Evident.operezi: monitorizezi procesul de migrare si faci copii de siguranta ale imaginilor (IOS-urilor?) care ruleaza in reteaua ta. cisco IOS software technical document.254/configs/backup-configs: "tftp:" = prefix tot ce e dupa // = locatia 1. Tools care te ajuta la migrare: . software center.implementezi: schedule si executi migrarea . cd nvram: pwd >>> ca il linux.1 Sistemul de fisiere (integrated file system) Daca un atacator iti sterge fisierul de configurare sau IOS-ul trebuie sa fii capabil sa il pui la loc.: bug toolkit. trebuie sa ai backup la ele.5. iar # = discul este bootabil (discul este memoria flash.20.

faci backup la running config si IOS (pe un server tftp). z = comprimat 123-14. manipulare. testezi functiile updatate (daca e ok mergi mai departe. altfel se poate intampla ca routerul sa nu mai poata boota si sa fii obligat sa folosesti ROMmon! R1(config)#boot system flash numeIOS >>> ii spune explicit routerului cu ce IOS din flash sa booteze. dupa care dai comanda tftpdnld (tftp download). translatie) 56i = arata encryption DES IPsec pe 56 biti (criptare pe 56 biti) 3 = destinat pentru firewall / DS k2 = criptare DES pe 168 biti IPsec Cand faci update pentru IOS: Prima data confirmi dimensiunea update-ului (si instalezi mai multa memorie daca este cazul). ping in serverul de tftp 2. Trebuie sa ii configurezi o interfata si sa ii spui de unde isi ia IOS-ul (TFTP).cata memorie flash are routerul . copiezi IOS-ul de pe router pe serverul de tftp *cand copiezi IOS pe un router ai grija sa fie IOS pentru acel router. dar iti da posibilitatea sa incarci un IOS corespunzator pentru router.bin se traduce in: c1841 = platforma pe care ruleaza (careia ii este destinat) ipbase = feature-ul. Exemplu: c1841-ipbase-mz-123-14. Acesta dispune de putine comenzi.cata memorie flash e disponibila .t7.t7 = version number 12. show flash: arata: . la pasul 2: dai shut down pe interfetele nefolosite. faci transferul de fisiere. dupa care. planifici update-ul pentru perioade mai linistite (in afara orelor de munca). daca nu e ok faci back out si reiei tot procesul) si scoti interfetele din shut.3(14)T7 bin = binary executable Alte optiuni: i = destinat pentru setul de features IP i = destinat pentru setul de protocoale enterprise.Copierea dintr-o sursa remote in startup-config: R2# copy tftp: startup-config R2# copy tftp: nvram:startup-config Numele IOS este ca in linux. va intra in ROMmon. Backup pe server tftp: 1. ip mz = formatul fisierului: m = ruleaza in RAM. 86 . trebuie salvat run in start Daca routerul nu mai are IOS si a fost restartat. Definesc un set de features in plus (extra queueing. testezi terminalul pentru conexiunea la router.numele fisierelor din memoria flash 3.

y = Ymodem protocol ??.care este modul cel mai selectiv de a folosi debugul (debugul cel mai specific) . r difera in functie de configuratie. Configuration register este cel mai des folosit pentru recuperarea parolei (mai are si alte functii). enable secret este criptata. Troubleshooting Show vs debug: show afiseaza parametrii configurati si valorile lor. singura parola care poate fi recuperata este enable password. dar poate fi setata si pe router si pe HyperTerminal la 115000 b/s (creste foarte mult). c = CRC 16. Viteza default este de 9600 b/s. semnificatia c. . . r = copiaza IOS in RAM. Ar fi bine sa stii dupa ce te uiti inainte de a da debug. 3. este foarte lent comparat cu tftp. dar pentru ca merge prin cablul de consola.formatul informatiilor difera pentru debug-uri diferite . Inchizi si deschizi routerul din butonul de power 4.poate sa iti blocheze routerul) Comenzi folosite cu debug: R1(config)#service timestamps debug datetime msec >>> adauga timpul la mesajele sau logurile debug-ului. R1(config)#show proceses >> afiseaza cat procesor folosesc procesele R1(config)#no debug all >> opreste toate debugurile R1(config)#terminal monitor >> afiseaza outputul debugului pe sesiunea mea vty curenta Pentru a folosi cat mai eficient uneltele de debug.cum opresc debugul dupa ce am aflat ce ma interesa Recuperarea parolei Ca sa recuperezi o parola trebuie sa ai acces fizic la router.planifica folosirea debug (in afara orelor de munca . deci trebuie inlocuita.cum fac sa minimizez impactul asupra celorlalte procese . incarcarea procesorului este mare Debug in mediul de productie. Configuration register al routerului este similar cu setarile BIOS ale unui PC. Ar trebui sa fie 0x2102 (asta e de cele mai multe ori). 86 . 1.impactul asupra performantelor routerului . incarcarea procesorului este mica debug iti permite sa urmaresti executia unui proces. ai grija ca: . daca ai acces la R> dai show version si verifici valoarea de la configuration register. trebuie sa iei in considerare: .debug te ajuta sa identifici si sa rezolvi probleme persistente ale retelei . te conectezi la consola 2.debug primeste timp de CPU (are prioritate mare). in rommon1>confreg 0x2142 face ca routerul sa nu incarce startup-config. apesi / dai break din tastatura terminalului in primele 60 de sec ca sa intri in ROMmon.debug poate genera volume mari de date. Comanda este data din ROMmon: xmodem cyr. 5.Poti restaura IOS-ul si folosind Xmodem. y.

MSN Messenger. 86 .well-known: 69 .Access Control List (ACL) ACL-urile iti permit sa controlezi traficul in / din retea. 80 .6.49151]: 1863 . dai nu ca sa nu rescrie startup-ul existent in nvram.SMTP.Alternate HTTP. show run iti afiseaza parolele salvate in text clar 10. Pot fi simple (interzici sau permiti retele sau hosturi) sau mai complexe (interzici porturi). Regulile dupa care routerul face filtrare sunt definite in ACL-uri. 194 .RIP. ACL-ul = script de configurare care permite sau interzice pachete.dar nu zice materialul. copiezi run in start ca sa salvezi modificarile R1(config)#login block-for 300 attempt 2 within 120 >> blocheaza loginul 300 sec daca a gresit de 2 ori parola de autentificare R1(config)#security authentication failure rate 5 log >> inregistreaza autentificarile esuate? R1(config)#aaa new-model >> ? ce face ? R1(config)#aaa authentication login LOCAL_AUTH local >>creaza o lista de autentificare definita local. e corect).well-known [0-1023]: 21 . 8080 Alternate HTTP (da. pentru SDM ar trebui sa ai SDM instalat pe router si sa ai user + parola si sa fi dat comanda R2(config)#ip http secure-server ************************************************ cap 5 . rescri parolele criptate 11.internet relay chat (IRC).HTTP. Routerul face filtrare la L3 (mai face si la L1.telnet.cisco SCCP (VoIP). 5004 RTP (voice and video transport protocol). trebuie sa le reactivezi 12.registered ports: 1812 . Filtrarea pachetelor Filtrarea pachetelor (numita uneori si filtrare statica a pachetelor) controleaza accesul la retea prin analizarea pachetelor care intra / ies si permiterea / interzicerea lor pe baza unui set de criterii. 7. 5060 .SIP (VoIP). 8008 . in aceasta pagina). Te intreaba daca vrei sa configurezi cu wizard-ul.RADIUS authentication protocol. rommon2>reset routerul se restarteaza.FTP.7 . 25 . copiezi start in run.registered ports [1024 . 23 . pe baza unei liste de intrari permit si deny care se aplica adreselor IP sau protocoalelor superioare. 520 . Nu copiezi invers pentru ca pierzi setarile vechi ale routerului! 9. Porturi UDP: . dar nu incarca startup-config. 110 . 2000 .2. default interfetele au intrat in shut. . 443 .POP3. Porturi TCP: . 8. R1(config)#config-register 0x2102 >> ca sa tina cont de noul startup-config 13.TFTP.HTTPS .4.

foloseste ACL-uri pe routerul care separa 2 parti ale retelei tale interne. ACLul va fi analizat de sus in jos. etc). Modul de functionare ACL-urile actioneaza pe pachetele care intra sau ies din router (care tranziteaza routerul). FTP. tipul mesajului ICMP. forwardat sau procesat in alt fel.ecraneaza hosturile ca sa le permita / refuze accesul la serviciile retelei (acces la HTTP.1 ACL per protocol . Poti configura: . per interfata. unde este analizat.1 ACL per directie ==>> cei 3 P. By default routerele nu au ACL-uri configurate => by default nu filtreaza traficul.ofera controlul fluxului de trafic (update-uri de rutare doar la nevoie) .foloseste ACL-uri in routerele cu rol de firewall aflate intre reteaua ta si o retea externa (internet) . nu si pe pachetele generate de router. si clasificarea traficului ca sa activeze procesele de prioritate. pe langa permit / deny trafic. se economiseste timpul in care ar fi fost cautata ruta. AppleTalk ACL-urile fac urmatoarele taskuri: . 86 .foloseste ACL-uri pe routerele de granita (border routers) . Cand un pachet este primit pe o interfata care are asociat un ACL pe in. ACL-urile isi pot extrage informatii despre layerele superioare din: portul sursa TCP/UDP sau portul destinatie TCP/UDP. Daca pachetul este aruncat. (cine ce are voie sa acceseze) .ofera un nivel de securitate de baza pentru accesul retelei. pentru a controla traficul care intra sau iese dintr-o zona specifica . Outbound ACL: pachetul este trimis interfetei de iesire.configureaza ACl-uri pentru fiecare protocol de retea de pe interfetele routerelor de granita. IPX.1 ACL per interfata . ACL-urile mai fac.limiteaza traficul din retea pentru a creste performanta retelei (fara trafic video) . telnet nu) . ACL-urile mai sunt folosite si pentru selectarea tipului de trafic care va fi analizat. IP destinatie. per proto. Inbound ACL: pachetele sunt analizate inainte sa fie trimise la interfata de iesire. per directie. ACL-ul intareste 1-n politici de securitate corporate prin decizii deny / permit. Guidelines pentru folosirea ACL-urilor: . cautandu-se o linie care sa se potriveasca. ==>>> ex: pentru 3 protocoale pe un router cu 2 interfete pot avea 3x2x2 ACL <=> 12 ACL Protocoalele din exemplu: IP.ACL-urile isi extrag din headerul pachetului: IP sursa.decid ce tip de trafic este blocat / forwardat la interfetele routerului (email da. ACL-urile pot fi configurate sa controleze accesul la o retea / subretea.

unde este verificat conform ACLului. poti sa nu permiti update-urile si sa pierzi comunicarea intre routere! Tipuri de ACL-uri Cisco ACL-urile Cisco sunt standard si extinse. directie si interfata.cat mai aproape de sursa.ACL-urile extinse: filtreaza traficul dupa mai multe criterii: ip sursa/destinatie. *Ai grija la deny any care este implicit la sfarsitul ACL-urilor. port sursa/destinatie. Regula de baza este sa plasezi ACL-urile: . Pregateste o descriere a ce vrei sa faca ACL-ul >> o sa eviti inadvertentele si nu vei crea probleme de acces 86 . Pentru Outbound ACL Cand routerul primeste un pachet.numele sa contina caractere alpha-numerice .numele nu pot contine spatii sau semne de punctuatie si trebuie sa inceapa cu o litera . daca nu esti atent cand configurezi ACL-ul. il trimite pe interfata de iesire. . Un ACl poate fi aplicat mai multor interfete. Cu toate astea. Cand se face match pe o conditie se opreste verificarea.ACL-urile standard: filtreaza traficul numai in functie de IP sursa. Bazeaza-ti ACL-ul pe politica de securitate a companiei >>> asa te asiguri ca implementezi guideline-urile de securitatea ale companiei 2. tipul protocolului. Numarul ACL-ului: . Daca nu are cum.in cazul ACL denominate (= cele cu nume) poti adauga sau sterge intrari.ACL standard: 1-99 reunit cu 1300-1999 -ACL extins: 100-199 reunit cu 2000-2699 ACL-urile pot avea nume. pentru ca asa poti sa vezi cate pachete au facut match pe ea. il arunca. Pozitionarea ACL-urilor Plasarea optima a ACL-urilor face ca reteaua sa opereze mai eficient. Conform conditiilor din ACL pachetul este forwardat mai departe sau aruncat. pentru ca filtrezi numai dupa IP sursa) . Este indicat ca: . verifica daca are cum sa il trimita mai departe. Daca are ruta. Cisco recomanda sa o treci de mana.numele sa fie scris cu majuscule . *Ultima conditie din ACL este implicita si este deny all. .ACL-ul este parcurs de sus in jos. ACL Best Practices: 1.standarde cat mai aproape de destinatie (ca sa nu interzici traficul legitim de la o sursa. In cazul protocoalelor de rutare. ca sa nu incarci reteaua cu pachete pe care oricum le-ar arunca routerul cu ACL. trebuie sa fie doar 1 ACL per protocol.

) 4.1 don’t care = nu conteaza WM se calculeaza ca 255.0 Remove ACL R1# show access-list R1(config)#no access-list 10 Remark Permite comentarii de maxim 100 de caractere.10.1999 deny / permit remark = comentariu source = adresa de retea / host in zecimal sau any pentru orice sursa source-wildcard = numar pe 32 biti. Bitii din WM: .255.0 => poti scrie R1(config)#access-list 1 permit 192. editezi si salvezi ACL-urile >>> vei putea refolosi ACL-urile .168. adresa sursa. testeaza ACL-urile pe o retea de dezvoltare inainte de a le implementa pe o retea din productie >>> te ajuta sa eviti erori costisitoare.1.168. Ea determina cat de mult din adresa IP trebuie sa se potriveasca cu intrarea din ACL ca sa se considere match.255 .2 0. dar ofera o functionalitate similara.0 ca R1(config)#access-list 1 permit host 192.255.255. pentru ca ele interzic implicit tot traficul. daca pachetul a fost permis sau interzis. cu numarul de pachete permise / interzise in intervalul de 5 minute. in dotted decimal sau any log = optional.3.(minus) subnet mask. foloseste un editor de text ca sa creezi.0.168. Exemplu: R1(config)# access-list 10 permit 192.255 host = substituie masca 0. Configurarea ACL-urilor standard Router(config)#access-list access-list-number deny / permit / remark source [sourcewildcard] [log] access-list-number = numar intre 1 . apoi la intervale de 5 minute.0.0 do care = bitul din adresa trebuie sa se potriveasca . Wildcard mask [WM] WM difera de subnet mask.2 si 86 .255.0. Mesajul este generat pentru primul pachet care se potriveste. any = substituie masca 255.1. numarul de pachete.0. are ca efect trimiterea unui mesaj catre consola.99 sau 1300 . ACL-urile trebuie sa aiba cel putin o inregistrare permit. Mesajul include numarul ACL.

ca sa specifici ce IP-uri au voie sa se conecteze la router.restrictii identice trebuie setate pe toate liniile VTY. Comentarea cu remark poate fi facuta inainte sau dupa intrarea la care face referire. Pentru un ACL existent. trebuie sa fii consistent. Comanda este R1(config)#access-list 21 permit host 10. Comanda access-class din line config restrictioneaza conexiunile in si out dintre VTY-urile device-ului cisco si o adresa din lista de acces.2.255. nu va face nimic.R1(config)#acces-list 1 permit 0. pentru ca un user se poate conecta pe oricare dintre acestea.255 ca R1(config)#access-list 1 permit any 5. R1(config)#ip access-list [standard | extended] name 86 . in loc de numar. Daca nu ai cum. R1(config-line)#access-class access-list-number {in [vrf-also] | out} Atentie: .0.1 ACL-ul se ataseaza unei interfete prin comanda: Router(config-if)#ip access-group {access-list-number | access-list-name} {in | out} se dezaloca cu: Router(config-if)#no ip acces-group Se sterge cu: Router(config)#no access-list >>> fara numar / nume ??? *Daca nu atasezi ACL-ul pe interfata.0. ACL standard named [cu nume] E mai usor sa identifici un ACL dupa nume. dupa care il copiezi modificat in router.0 255. Folosirea ACL ca sa controlezi accesul la VTY (liniile virtuale) E bine sa securizezi accesul la router prin folosirea protocolului SSH. trebuie sters si refacut. De aceea este indicat sa folosesti un editor de text si sa apoi sa faci copy-paste in router. macar creaza o lista de acces.2 R1(config)#line vty 0 4 R1(config-line)#access-class 21 in >>> acelasi numar cu al ACL-ului Poti folosi tehnica asta si cu SSH. Editarea ACL-urilor numerice: nu se poate.0.255.4. Numele unui ACL trebuie sa nu inceapa cu o litera.doar listele de acces numerice se pot aplica liniilor VTY .0. ca sa stii cum interpretezi lista de acces. il afisezi cu show running-config | include ACL list si il copiezi in editorul de texte.

255 any eq 443 5. dar nu si trafic web sau file transfer. cele extinse numerice au valori intre 100-199 si 2000-2699. R1(config)#access-list 101 permit tcp any eq telnet (sau 23) >>> poti spune pe ce porturi (aici destinatie) filtrezi traficul. standard 2.3. ( 3 way handshake) -named R1(config)#access-list extended NUME R1(config-ext-nacl)#permit tcp 192.168.0.0.3 ACE-urile din ACL-urile named pot fi sterse individual + poti folosi numarul de secventa pentru a insera ACE-uri unde ai nevoie :D . *poti folosi numele protocolului (aici telnet) sau numarul portului (aici 23)! Configurare -numerice R1(config)#access-list <nr> {permit/deny/remark} protocol source [WM] [operator] [port sau nume] destinatie [WM] [operator] [port sau nume] [established] Established se refera numai la TCP.3. pentru ca filtreaza dupa IP sursa.255 any eq 80 R1(config-ext-nacl)#permit tcp 192. Pasul urmator este sa testezi daca ACL-ul face ce a fost planificat sa faca.1 ACL-urile extinse Pot fi numerice sau named. dar in CCNP?).0.0 0.10. In felul acesta verifici daca ACL-ul este configurat cum ai intentionat.1.1. 10 permit ceva 20 permit altceva R1(config)#ip acces-list standard NUME R!(config-std-nacl)#15 permit host 192. 5.0. Editarea ACL-urilor named: de la IOS 12.10. extended 3. Exemplu: poti permite trafic de email catre o sursa.168.0 0. dar in plus filtreaza si dupa: IP destinatie. indica o conexiune stabilita. port (mai sunt criterii.2 Tipuri de ACL-uri 1.R1(config-std-nacl)#[permit/deny/remark] {source / source WM] } [log] R1(config-if)#ip access-group name [in | out] Dupa ce termini de configurat un ACL da comanda show access-list [acl-number | name].3 >> insereaza acest ACE intre cele 2 ACE-uri care au fost configurate initial.4.168. cand inserezi un ACE dai un numar de secventa cu valoarea care te intereseaza. protocol. dinamice (lock-and-key): userii care vor sa treaca prin router sunt blocati pana cand se conecteaza la router si se autentifica prin telnet 86 . Numarul de secventa este din 10 in 10. Sunt mai des folosite decat cele standard.

86 .0.0 0. Userii care vor sa treaca prin router trebuie sa se autentifice folosind Telnet.vrei ca mai multe host-uri din reteaua locala sa acceseze un host remote. time-based: ACL-uri care se activeaza in functie de ora sau zi a saptamanii 3. cand este initiata o noua sesiune.255 R1(config)#interface s0/0/0 R1(config-if)#ip access-group 101 in R1(config)#line vty 0 4 R1(config-line)#login local R1(config-line)#autocommand access-enable host timeout 15 4.168. fara sa compromita alte restrictii de securitate.0 0. ACL-uri dinamice se folosesc daca: .foloseste un mecanism challenge ca sa autentifice userii . ACL reflexive sunt o forma mai puternica de filtrare fata de ACL extinse cu established. Routerul examineaza pachetele si. Dupa autentificare conexiunea Telnet este dropped si o singura linie este adaugata ACL-ului extins. . R1(config)#username student password 0 cisco R1(config)#access-list 101 permit any host 10. Lock-and-key este o functie de securitate care filtreaza traficul si care foloseste ACL-uri dinamice (uneori referite ca lock-and-key ACL).crearea unui acces dinamic (liste de?) al userilor printr-un firewall.0. pentru ca se aplica si traficului UDP si ICMP.simplifica managementul in interretelele mari . Intrarea este stearsa cand se termina sesiunea.in multe cazuri reduce procesarea pe router (care este necesara pentru ACL-uri) . Configurarea ACL-urilor dinamice incepe cu configurarea ACL-urilor extinse care sa blocheze traficul prin router.255 192. adauga o intrare temporara intr-o ACL reflexiva.2.168.30. ACL-urile dinamice sunt dependente de conectivitatea Telnet. reflexive: permit traficul catre exterior. autentificare (locala sau remote) si ACL-uri extinse.4.reduce oportunitatile de a patrunde hackerii in reteaua ta . prin conectare remote via internet. Lock-and-key autentifica userii si le permite accesul pentru un timp limitat prin firewall-ul tau.2 eq telnet R1(config)#access-list 101 dynamic testlist timeout 15 permit ip 192. dar limiteaza traficul catre interior (doar sesiunile deschise dinspre router) 5. si pentru ca functioneaza si pentru aplicatiile care isi modifica dinamic portul sursa pentru traficul unei sesiuni.vrei ca un anumit user / grup de useri sa acceseze un host din reteaua ta.2. Lock-and-key este valabil numai pentru IP.0. ACL-uri reflexive Forteaza ca traficul reply de la o destinatie a unui pachet outbound recent sa ajunga numai la sursa pachetului <=> din exterior pachetele ajung numai daca au fost cerute si numai la cine lea cerut.0.10. protejat prin firewall Beneficii: .

Beneficii: .furnizeaza oarecare securitate impotriva spoofing si DoS.protocolul este gresit (tcp / udp) 86 . Ca sa implementezi ACL-uri time-based trebuie sa definesti un interval de timp.168. R1(config)# ip access-list extended OUTBOUND R1(config-ext-nacl)#permit tcp 192. nu pot fi definite in ACL-urile standard named sau numbered sau cu alt protocol ACL.255 any reflect TCPTRAFFIC R1(config-ext-nacl)#permit icmp 192.Comanda show access-list iti poate arata cele mai multe erori ale ACL-urilor.cand evaluezi un ACL. pe care il identifici cu un nume si te referi la el printr-o functie.permite adminilor de retea sa controleze mesajele de log.sunt usor de folosit si.255 any reflect ICMPTRAFFIC R1(config)#ip access-list extended INBOUD R1(config-ext-nacl)#evaluate TCPTRAFFIC R1(config-ext-nacl)#evaluate ICMPTRAFFIC R1(config)#interface s0/1/0 R1(config-if)#ip access-group INBOUND in R1(config-if)#ip access-group OUTBOUND out 5. R1(config)#time-range EVERYOTHERDAY R1(config-time-range)#periodic Monaday Wednesday Friday 8:00 to 17:00 R1(config)#access-list 101 permit tcp 192.ajuta la securizarea retelei impotriva hackerilor si pot fi incluse intr-un firewall . E mult mai greu sa incerci sa tragi cu ochiul in ele pentru ca mai multe criterii trebuie sa se potriveasca inainte ca un pachet sa aiba voie sa treaca.10.0.0 0. Permit accesul in anumite intervale de timp sau in anumite zile ale saptamanii. ACL-urile reflexive pot fi folosite impreuna cu alte ACL-uri extinse statice si ACL-uri standard. ofera un control mai mare / bun asupra caror pachete au voie sa intre in retea.0.0 0. .0.0. comparat cu ACL-urile de baza.ACL-urile reflexive sunt nested intr-o IP ACL named extinsa. verifica regulile dupa care trebuie creat (ordinea in caare trebuie introduse ACE-urile.255. etc) tipuri de erori: . .0 0.168. Restrictiile de timp sunt impuse functiei insasi.ofera adminilor de retea mai mult control asupra permit / deny acces la resurse . time-based ACL Sunt similare cu ACL-urile extinse.ordinea ACE este gresita . Beneficii: .0.0.168.255.255 any eq telnet time-range EVERYOTHERDAY R1(config-if)#ip access-group 101 out Troubleshooting .

cresterea oportunitatilor de angajare pentru grupurile marginalizate . Viteza de transmitere a datelor este de peste 200 kbps.accesul la informatie securizat. cablu coaxial. reliability si de eficienta a costurilor. teleworkerii au nevoie de conexiune la internet si client VPN. cat si ale organizatiilor Solutia teleworkerilor: Companiile au nevoie de retele sigure. Sunt 3 tehnologii de acces remote care suporta teleworkerii: .uiti sa treci o ACE de deny / permit . iar cand calatoresc.continuitate in operatii . E cea mai intalnita optiune pentru teleworkeri.mai putin stres cauzat de deplasare 3. fibra optica. atat ale indivizilor. Ca sa se conecteze la reteaua unei organizatii teleworkerii au nevoie de 2 seturi de componente cheie: .tehnologiile traditionale de WAN. capabil sa furnizeze servicii de transmisie de viteza mare.conexiunile site-to-site ofera teleworkerilor o conexiune sigura. echipamente de securitate multifunctionale. acces broadband (cablu sau DSL).responsabilizare mai mare . branch-uri si furnizori. device-uri pentru managementul centralizat al conexiunilor de agregare si terminare VPN. sociale . leased lines . wireless si satelit. autentificare.reducerea emisiilor de carbon. ATM. satisfactiei si retentiei angajatilor 2. concentratoare VPN.securitatea depinde de service provider .cresterea productivitatii.componente home office: laptop / PC. Termenul broadband defineste un sistem de comunicare avansat.servicii pentru teleworkeri Beneficiile muncii la distanta: 1. Tehnologiile folosite sunt DSL. router VPN sau client VPN instalat pe PC.ofera o modalitate de conexiune scalabila si flexibila .portul este gresit (e pusa restrictia pe portul sursa.eficientizarea costului pentru integrarea de date.IPsec VPN . voce.componente corporate: routere capabile VPN. Aditional pot avea wireless Access Point. . 86 . video si aplicatii . reliable si gestionabil . nu pe cel destinatie) . impreuna cu accesul remote peste broadband pentru a stabili o conexiune VPN sigura peste internetul public.pui ACL-ul pe alta directie (out in loc de in) ************************* cap 6 . de layer 2: Frame Relay. reliable si eficiente dpv cost pentru a se conecta la HQuri. de mediu: . rapida si reliable. cel putin intr-o directie (downstream sau upstream). pentru companie: .. Cand incep sa foloseasca teleworkeri le cresc nevoile de securitate.

intre aproximativ 1 kHz si 1 tera herz. Industria televiunii prin cablu foloseste o portiune a spectrului electromagnetic al undelor radio. calclate ca numarul de unde pe secunda. 86 . Frecventele: -downstream (de la headend catre abonati) sunt intre 50 .e oferit de CATV.Cand ofer suport pentru VoIP si videoconferinte trebuie sa imi upgradez aceste componente (routerele trebuie sa aiba functionalitate de QoS). furnizeaza conexiune Ethernet pt un host / LAN. computerul se conecteaza prin Ethernet la un modem de satelit care transmite semnale radio la cel mai apropiat POP (point of presence) din reteaua satelit. Componentele unui cable system: . conexiunea este permanenta (la dial-up nu e).DSL . Foloseste liniile de telefon si un modem special.860 MHz -upstream (invers) sunt intre 5 .oferit de satellite service providers. Undele radio [RF] constituie o parte a spectrului electromagnetic.amplificatoare .e mai scump si mai rapid ca dial-up. .cea mai slaba. de viteza mare.trunk cable . suni la numarul de acces (de telefon). Principalele metode de conectare pentru SOHO sunt: . setate pe anumite frecvente ca sa permita userilor sa vada anumite canale sau modemuri care permit userilor sa aiba acces la internet de / cu viteza mare. foloseste liniile de telefon si un modem. Frecventa este viteza cu care au loc ciclurile curentului (sau voltajului). e ieftina. VCRs.cable modem .sistemul de transport .42 MHz DOCSIS este un standard international care certifica echipamentele prin cablu (cable modems si cable modem termination systems). . Prin cablu diferite frecvente transporta canalele TV (semnalele ??) si datele. care separa semnalul DSL de semnalul de telefon. De regula e folosit cand nu ai optiuni mai bune. Conexiunea este oferita prin cablul TV. Conectarea teleworkerilor la WAN Aplicatiile folosite de teleworkeri de obicei necesita o conexiune high-bandwidth. iar un modem special separa cele 2 tipuri de semnale si furnizeaza conexiune Ethernet pt un host / LAN.satelit . .antena site-ului . Ca sa te conectezi la ISP.dial-up . Lungimea de unda este viteza de propagare a semnalului electromagnetic impartita la frecventa in ciclii pe secunda.cablu de distributie (feeder) Cablul: Spectrul electromagnetic acopera / include o arie larga de frecvente. etc. VPN = retea privata de date care foloseste infrastructura publica de telecomunicatii. iar la capatul dinspre abonat sunt echipamente ca TVs.

Bell Labs a identificat ca conversatiile de voce peste local loop folosesc frecventa de la 300 Hz la 3 kHz. Cable modem (simplu) se afla la abonat. un DSLAM in CO. Progresul tehnologic a permis DSL-ului sa foloseasca si frecventa de la 3 kHz la 1 MHz pentru serviciile de date peste liniile de cupru. Asymmetric DSL [ADSL] foloseste frecventa de la 20 kHz la 1 MHz pentru a transmite semnal de date abonatilor. DSL-ul nu este mediu share-uit! Se simte incarcarea daca sunt multi useri si datele lor incarca prea mult conexiunea de la DSLAM cu ISP-ul. al unui ISP. Mai nou modemul poate fi integrat intr-un router care sa aiba mai multe porturi Ethernet. iar in CO se afla DSL access multiplexor [DSLAM]. care concentreaza conexiunile DSL de la abonati pe / intr-un link de viteza mare. DSL conecteaza abonatii la central office. *Fata de cablu. Ratele de transfer depend de dimensiunea local loop si de tipul si conditiile de cablare. 86 .de obicei un modem. Cable modem termination system [CMTS] se afla in headend. Ca sa conectezi prin DSL un SOHO ai nevoie de: un transmitator . Userii de pe un segment share-uiesc bandwidth-ul pentru upstream si downstream. *pentru MAC trebuie intelese tehnicile de separare a canalelor: -TDMA le divide prin momentul de timp la care se transmite semnalul -prin frecventa divide canalele .5 km (3. aflat la abonat.5 mile).DOCSIS specifica cerintele pentru L1 (bandwidth si tehnica de modulare) si L2 (doar MAC: metoda de acces). si mai departe la Internet. Frecventa pana la 3 kHz este rezervata pentru POTS [plain old telephone service]. DSLAM-ul concentreaza conexiunile de la mai multi abonati DSL. DSL = modalitate de a furniza conexiuni de viteza mare peste cablu de cupru. CMTS este de obicei un router cu o baza de date cu abonati (ca sa ofere servicii de internet numai celor care platesc :D ).sunt transmise informatii diferite pe frecvente diferite -CDMA (code division multiple access) foloseste tehnologia spread-spectrum impreuna cu o schema de codare ca sa identifice fiecare transmitator. ADSL ofera viteza mai mare pentru downstream fata de upstream. Avantajul ADSL este ca permite transportul simultan al semnalului de telefon cu cel de date. cele 2 fiind separate prin splittere sau filtere (de fapt microfilters). SDSL [symmetric…] ofera viteze identice pentru up.si downstream. Bucla locala este intre customer premise equipment si central office. Pentru servicii satisfacatoare bucla nu trebuie sa depaseasca 5.

opereaza la viteze mari si peste distante mai mari decat Wi-Fi. (un satelit poate deservi pana la 5. 4. mesh: un router si mai multe access point-uri. Two-way satellite: datele sunt trimise unui satelit care la randul lui le trimite unui hub. One-way terrestrial return foloseste accesul traditional prin dialup pentru a trimite si primi date printr-un modem c. pot pune aici un splitter. Spliterele sunt in CO si la abonat. One-way multicast e folosit pentru IP multicast de date.000 de canale de comunicatie simultan). video sau audio. avioane. Au mai aparut si: -municipal Wi-Fi -WiMAX -Satellite internet Tipuri de retele wireless: 1. Cu WiMAX poti sa acoperi zonele in care nu poti trage / folosi cablu. Te poti conecta la internet prin satelit in 3 feluri: a. 3. unul se conecteaza la telefon si celalalt la prize de telefon. Are 2 componente: a. WiMAX: foloseste microunde. single router este pe principiul hub-and-spoke 2. de unde sunt trimise in internet. Broadband wireless Pana recent tehnologia wireless era mai greu de folosit pentru ca trebuia sa te afli in raza de acoperire a unui router (maxim 100 picioare ? 50 metri). care au ca avantaj si o mai mare conectivitate in locatie.Un microfiltru este un filtru pasiv low-pass cu 2 capete. Internet prin satelit: se foloseste acolo unde nu este disponibil internetul terestru sau in situatiile in care este folosit in miscare (pe vase. nu este posibila interactivitatea full b. fiecare AP trebuie sa comunice cu alte 2 AP. multe SOHO folosesc microfiltrele. (datorita splitterului de obicei ai un singur outlet [mufa?] in locatie…). => nu mai este nevoie sa vina un tehnician + te poti conecta la orice prize din locatie ca sa folosesti servicii de voce sau ADSL. Un turn care acopera o zona pana la 7. etc). Ca sa evite chemarea unui technician. 86 .5 km2 b. Network interface device [NID] = punctul de demarcare. Splitterele POTS separa traficul DSL de traficul POTS. Odata cu aparitia hot spot-urilor lucrurile s-au imbunatatit. Receptoare WiMAX in PC-uri ca sa poata receptiona semnalul. care sa separe semnalul de telefon de cel de date. Sunt tot device-uri passive. Daca vrei sa instalezi un splitter POTS in NID de obicei trebuie sa chemi un technician.

Remote access VPN este folosit de mobile users si telecommuters + extranet consumer-to business. Perechile de VPN gateway in.11b >>> 11 Mbps >>> 2. la toata sau o parte a retelei corporate.16 (WiMAX) >>> pana la 70 Mbps. Beneficii: -reducerea costurilor pentru ca se elimina liniile WAN dedicate si bancurile de modemuri. autentificarea emitatorului / sender si integritatea mesajului. firewall IPX sau ASA (adaptive security appliance).traficul.11g >>> 54 Mbps >>> 2. In site-to-site VPNs hosturile trimit si primesc trafic TCP/IP printr-un VPN gateway. -securitate. MIMO >>> 2. locatii ale partenerilor si telecomuterii remote. traficul este criptat. Intr-un remote access VPN fiecare host are un software de client VPN. prin folosirea protocoalelor avansate de criptare si autentificare -scalabilitate.3. Prin VPN-uri organizatiile isi creaza o infrastructura virtuala de WAN. Componente ca sa poti face un VPN: -o retea existenta 86 . Ca sa se pastreze confidentialitatea. care conecteaza branchuri.2. conecteaza intregi retele una la alta. organizatiile pot adauga noi utilizatori / folosesc volume mari din capacitate fara sa adauge semnificativ infrastructura.11n >>> peste 54 Mbps.Standarde wireless: -802. care poate fi un router. Site-to-site VPNs sunt extensii ale retelei WAN clasice. De asemenea site-to-site VPNs suporta intranetul companiilor si extraneturile partenerilor de afaceri. birouri de acasa. cand hosturile trimit trafic.4 GHz -802.1 Site-to-site VPN sunt folosite ca sa conecteze locatii disparate / imprastiate. software-ul de client VPN incapsuleaza si cripteaza traficul Componentele VPN Un VPN foloseste protocoale de tunelare criptografice ca sa ofere: protectie impotriva packet sniffing.4 GHz -802. in acelasi fel ca Frame Relay sau leased line. VPN-urile creeaza tunele prin care traficul este trimis criptat.4 GHz *802. *cu VPN creste productivitatea si eficienta Tipuri de VPN 6. la 50 km >>> in frecvente de la 2 la 6 GHz VPN si beneficiile VPN-urilor Tehnologia VPN permite organizatiilor sa creeze retele private peste infrastructura internetului public si sa isi pastreze confidentialitatea si securitatea.si decapsuleaza si cripteaza si de.

86 . IPv6 GRE = generic route encapsulation. Integritatea datelor in VPN: Se realizeaza prin criptare si include un algoritm si o cheie. L2F. Caracteristicile VPNs securizate VPN-urile folosesc tunelarea si tehnici avansate de securizare ca sa permita organizatiilor sa stabileasca conexiuni securizate. MPLS) -protocolul de incapsulare: protocolul care inveleste / wrap datele originale: GRE. Cei mai cunoscuti algoritmi de criptare: -DES (data encryption standard). Protocolul de tunneling (tunelare) este format din: -protocolul de carrier: protocolul peste care informatia este transportata (Frame Relay. ATM. care poate sa incapsuleze o gama larga de pachete inauntrul unui tunel IP. -criptarea codeaza datele intr-un format diferit. -protocolul passenger (de transport): IPv4. IPSec. end-to-end. foloseste 3 chei diferite pentru criptare.-o conexiune la internet -gateway VPNs -software pentru crearea si gestionarea VPN-urilor Cheia eficacitatii VPN-urilor este securitatea. 6. IPX. Cu cat cheia este mai lunga. foloseste o cheie de criptare pe 56 de biti.5. Se face printrun mecanism de criptare si incapsulare. E sistem de criptare simetric. folosind o cheie secreta. Fundatia securitatii VPN este data de: confidentialitatea datelor.3. VPNs securizeaza datele prin criptare sau incapsulare. PPTP. Autentificare = mesajul provine de la o sursa autorizata. pentru ca incapsularea transmite datele transparent de la retea la retea printr-o infrastructura de retea share-uita. cu atat creste gradul de securitate. creand o legatura virtuala P-toP intre 2 echipamente de retea. AppleTalk. iar cele mai multe prin ambele: -incapsularea se mai numeste si tunneling. VPN-urile folosesc de obicei hash-uri. L2TP.1 VPN tunneling Incorporarea capabilitatilor de confidentialitate a datelor intr-un VPN asigura ca doar sursa si destinatia intentionate / legitime sunt capabile sa interpreteze corect continutul mesajului original. integritatea datelor si autentificare. (de retele private) peste internet. Integritatea datelor = datele nu sunt modificate sau falsificate. Confidentialitatea datelor = protejeaza datele de eavesdropping / trasul cu ochiul. este un protocol de tunelare dezvoltat de Cisco. -3DES.

pe care il adauga la sfarsitul mesajului. Un HMAC (hash message authentication code) este un algoritm de integritate a datelor care garanteaza integritatea mesajelor. foloseste chei de 512 si 1024 biti. Hash-ul este trimis impreuna cu mesajul. Daca nu sunt indentice => mesajul a fost corupt / alterat. shamir si adleman): e asimetric. -Secure Hash Algorithm 1 [SHA-1]: foloseste o cheie secreta pe 160 de biti. Poate folosi chei de 3 lungimi: 128. pe care il adauga la sfarsitul mesajului. AES Criptarea asimetrica: -o cheie publica -se folosesc chei diferite pentru criptare si decriptare -de obicei sunt folosite pentru certificate digitale si managementul cheilor ? Ex: RSA Hash = message digest = un numar generat dintr-un string de text. Cheile sunt combinate cu alte informatii ca sa creeze cheia de autentificare. La destinatie este recalculat hash-ul si se compara valorile hash-ului primit cu cel calculat. Protocoalele de securitate IPSec 86 . introduse manual la fiecare capat al tunelului. Criptarea simetrica: -aceeasi cheie e fol la criptare si decriptare -cheia e secreta -de obicei se cripteaza continutul mesajului Ex: DES. Hashul criptat (semnatura digitala) este atasat mesajului si trimis catre celalalt capat. 192 si 256 biti.-AES (advanced encryption standard): e gandit sa inlocuiasca DES. e mai puternic decat DES si mai eficient la calcule ca 3DES. -semnaturile RSA: folosesc schimbul de semnaturi digitale ca sa autentifice perechile. unde hashul este decriptat folosind cheia publica a capatului local. 3DES. dimensiunea si calitatea cheii si de dimensiunea in biti a hash-ului rezultat. HMAC depinde de: puterea de criptare a functiei hash. pe care o combina cu continutul mesajului si rezulta un hash de 160 biti. Daca hashul decriptat este identic cu hashul recalculat. Autentificarea in VPN Sunt 2 metode de autentificare a perechilor (peer): -PSK [pre-shared key] e un algoritm de criptare care foloseste chei simetrice. -RSA (rivest. pe care o combina cu continutul mesajului si rezulta un hash de 128 biti. Sunt 2 algoritmi HMAC cunoscuti: -MD5: foloseste o cheie secreta pe 128 biti. VPN-urile folosesc un cod de autentificare a mesajului pentru a verifica integritatea si autenticitatea mesajului. Formula de generare a hash-ului face extrem de improbabil ca un alt text sa genereze aceeasi valoare pentru hash. semnatura este autentificata. fara sa foloseasca mecanisme aditionale. Device-ul local deriva un hash si il cripteaza cu o cheie privata.

3DES. DH5 DH = Diffie-Hellman ************************************ cap 7 – servicii de adresare IP -DHCP -NAT -RIPng DHCP aloca adrese (de obicei private). SHA -DH: DH1. Prin folosirea NAT si a adreselor private s-a amanat momentul in care vom ramane fara adrese IPv4 disponibile. iar NAT permite hosturilor cu adrese private sa poata sa iasa in internet. DH2. AES -autentificare: MD5. Sunt 2 protocoale principale in IPSec: -Authentication header [AH]: este folosit cand confidentialitatea nu este ceruta sau permisa. cel putin una din ele trebuie sa fie selectata / folosita. dar nu face si criptare. Poate spune cine este originatorul mesajului si daca mesajul a fost modificat in timpul transmiterii.IPSec este o suita de protocoale de securizare a comunicatiilor IP care ofera criptare. DHCP 86 . ESP + AH -criptare: DES. ESP autentifica pachetul IP din interior si headerul ESP. Autentificarea ofera autentificarea originii datelor si integritatea datelor. -Encapsulating security payload [ESP]: furnizeaza confidentialitate si autenticitate prin criptarea pachetului IP ( a datelor si a sursei si destinatiei pachetului). dar se bazeaza pe algoritmii existenti. Cu toate ca autentificarea si criptarea sunt optionale. IPSec framework Algoritmi folositi: -DES -3DES -MD5 -SHA-1 -DH permite ca 2 parti sa share-uiasca o cheie secreta pe care o folosesc algoritmii de criptare si hash (DES. AH ofera o protectie slaba. AH furnizeaza autentificarea datelor si integritatea pachetelor trimise intre 2 sisteme. MD5. integritate si incapsulare. Criptarea ascunde datele si sursa si destinatia. …) peste un canal de comunicare nesecurizat. *este folosit impreuna cu ESP. De unul singur. Framework: -IPSec protocol: ESP. IPSec clarifica mesajele necesare sa securizeze comunicatiile VPN. AH.

Echipamentele care trebuie sa aiba aceeasi adresa sunt configurate manual (routere. cei mai multi ISP-isti si marile retele folosesc setarile default de pana la 3 zile. Cand PC-ul se conecteaza la serverul DHCP. Mecanismul de inchiriere asigura ca la mutarea hostului sau la pierderi de curent hostul nu pastreaza o adresa de care nu are nevoie. Mesajele folosite: -discover: este broadcast. mai serveste si ca o notificare a acceptarii IP-ului trimisa serverului care ii propune adresa si o refuzare a celorlalte IP-uri propuse de celelalte servere. comunica cu serverul pe adresele de broadcast de L2 si L3. dar si routerele Cisco pot sa ofere servicii DHCP prin setul de feature-uri Easy IP. La expirarea lease-ului clientii cer o alta adresa. uneori poate fi broadcast -request: are 2 scopuri: originatorul lease-ului si innoirea si verificarea lease-ului. Serverul creaza o intrare ARP cu MAC-ul hostului si adresa IP pe care i-o trimite. serverul verifica informatiile de lease. E broadcast. Operarea DHCP-ului DHCP are 3 mecanisme diferite de alocare a adreselor pentru flexibilitate cand aloci adrese IP: -alocare manuala: adminul pre-aloca clientului o adresa IP. creaza o intrare in tabela ARP.Vine de la Dynamic Host Configuration Protocol aloca dinamic adrese IP si alte configuratii de retea importante. Cand primeste mesajul ACK. Server ---->client. DHCP-ul functioneaza intr-o relatie client-server. clientul inregistreaza (log) informatia si face o cerere ARP pe IP-ul respectiv (daca ii raspunde cineva inseamna ca acea adresa nu e valida. Daca nu-i raspunde nimeni la cererea ARP va considera adresa ca valida si o va folosi. Client ----> server -offer: de obicei este unicast. cu toate ca de cele mai multe ori o primesc pe aceeasi. se repeta in retea…). trimite o adresa IP hostului. In general adminii prefera sa aiba un server de DHCP dedicat. acesta ii aloca o adresa IP. Originator = hostul cere confirmarea pentru IP-ul propus de server. Serverul DHCP ia adresele eliberate si le pune inapoi in pool-ul de adrese disponibile. selectata dintr-un pool de adrese disponibile. PC-ul se conecteaza la retea cu IP-ul inchiriat pana cand timpul de inchiriere expira. Timpul pentru care se inchiriaza o adresa este setat de administrator. decisa de server sau pana cand clientul ii spune serverului ca nu ii mai trebuie adresa. -alocare dinamica: DHCP aloca dinamic (sau inchiriaza) o adresa IP dintr-un pool de adrese disponibile. servere…). si raspunde cu un mesaj DHCPACK. iar DHCP-ul doar i-o comunica -alocare automata: DHCP aloca automat o adresa IP statica si permanenta unui device. workstations sunt configurate dinamic. Nu se face lease. DHCPDISCOVER. Periodic hostul trebuie sa ceara prelungirea perioadei de inchiriere. pentru o perioada limitata de timp. Client ----->server -acknowledge: cand primeste mesajul request. iar adresa este alocata permanent device-ului. Va fi tratat modul de alocare dinamica a adresei IP. 86 .

in timp ce DHCP aloca dinamic adrese. numele domeniului. BOOTP este un mod de a downloada adresa si configuratiile de bootare pentru statiile fara disc (hdd si fara sistem de operare). Diferente intre BOOTP si DHCP: -BOOTP a fost proiectat pentru preconfigurarea manuala a informatiilor pentru hosturi (MACurile hosturilor trebuie sa fie trecute intr-o baza de date si sa le corespunda adrese – deci nu sunt dinamice  ). clientul nu poate alege decat 1 adresa IP. servere WINS 86 .1. Pasii pentru configurare sunt: 1. Formatul mesajului DHCP Este compatibil cu cel al BOOTP. Si DHCP si BOOTP folosesc sistemul client-server si transmisia UDP prin porturile 67 si 68. etc. dar aduce in plus campul options.1 192. ca acestea sa nu fie alocate de DHCP inainte sa le poti defini ca excluse. ii poate da si alti parametrii de configurare (servere WINS – windows name server).168.168. -BOOTP ofera informatii limitate unui host (4 informatii – ip. Configurarea serverului DHCP Routerele cisco pot functiona si ca servere DHCP . creezi pool-ul de adrese alocabile 3. definesti range-ul de adrese care nu vor fi alocate (excluse) 2. DHCP este mai generos (peste 20 de informatii).9 Configurarea pool-ului: R1(config)#ip dhcp pool nume R1(dhcp-config)# R1(config)#ip dhcp pool LAN1 DHCP tasks Trebuie definite reteaua si masca + gateway sau default router (maxim 8 adrese).1. cu care are cateva caracteristici comune.Daca mai multe servere raspund unui mesaj discover. BOOTP vs DHCP BOOTP este predecesorul DHCP-ului. Comanda este: R1(config)#ip dhcp excluded-addresses adresa_minima adresa_maxima R1(config)#ip dhcp excluded-addresses 192. -DHCP poate recupera o adresa si sa o inchirieze altui host. perioada de inchiriere / lease. masca si DNS?). Optional mai poti defini serverul DNS. gw. configurezi elementele specifice ale pool-ului O buna practica este sa configurezi intai adresele excluse.

0. portul 49 – TACACS 3.1 86 .9 R1(config)#ip dhcp pool LAN1 R1(dhcp-config)#network 192.168.1 192.255.1. nu in aceeasi retea / subretea cu clientii.R1(config)#ip dhcp excluded-addresses adresa_minima adresa_maxima R1(config)#ip dhcp excluded-addresses 192.0. iar routerele nu il forwardeaza in mod normal.5 este adresa serverului DHCP.168. routerul trebuie sa fie configurat sa forwardeze mesajul broadcast. portul 69 – TFTP 7. Implicit comanda ip helper-address forwardeaza 8 servicii UDP: 1. portul 53 – DNS 4.168.168. R1#show ip dhcp pool Ca sa configurezi o interfata a unui router ca client DHCP se da comanda: R1(config-if)#ip address dhcp DHCP relay (releu / transmitator) Intr-o companie mare serverele sunt localizate intr-un server farm.1 R1(dhcp-config)#domain-name alexandru. dar daca parametrii nu sunt configurati.com R1(dhcp-config)#end Dezactivarea serverului DHCP se face cu comanda: R1(config)#no service dhcp Serverul DHCP este activat by default. routerul poate primi mesaje de la oricare subneturi si le trimite serverului DHCP.168. Ca sa poata obtine adresa IP.1.1. deci host-ul nu poate obtine adresa IP. portul 67 – DHCP/BOOTP client 5.7.1.0 R1(dhcp-config)#default-router 192. R1#show ip dhcp server statistics >>> contorizeaza numarul de mesaje de DHCP care au fost trimise si primite. R1(config)#int fa0/0 R1(config-if)#ip helper-address 192. portul 37 – time 2. De aici rezulta o problema: mesajul DHCP discover este broadcast. portul 138 – NetBIOS datagram service Ca sa specifici servicii aditionale foloseste comanda ip forward-protocol 7.1. portul 137 – NetBIOS name service 8. Verificarea DHCP-ului R1# show ip dhcp binding >>> arata o lista a legaturilor adreselor IP cu MAC care au fost oferite prin DHCP.5 >>> 192. nu se produce nici un efect.168.255. portul 68 – DHCP/BOOTP server 6.1 255.

NAT-ul este de 2 tipuri: -dinamic -static Dinamic = foloseste un pool de adrese publice si le aloca pe criteriul primul venit – primul servit. Verifica daca routerul (configurat ca server dhcp) primeste DHCP requests (debug ip packet detail ) pe o lista de acces pentru output-ul debugului. Cand se termina adresele publice disponibile… surpriza. Routerul isi pastreaza o tabela NAT cu corespondente. acest debug nu este intruziv pentru router. Outside local address = adresa IP locala a unui host dintr-o retea exterioara. sunt aruncate de routerele ISP-istului. 86 . Outside global address = adresa IP a unui host din internet. verifica conectivitatea fizica 3. rezolva conflictele de adrese IP (R1#show ip dhcp conflict) 2. verifica existenta comenzii ip helper-address pe interfata din LAN-ul clientului si ca refera adresa serverului DHCP. Inside global address = adresa publica valida data de NAT unei adrese inside local. hosturile din retea vor avea mereu aceeasi adresa publica. R1#debug ip dhcp server events >> arata evenimentele de la server. ca alocarea adreselor sau update-ul bazei de date + decodarea receptiei si transmisiei dhcp. testeaza conectivitatea fizica prin configurarea unei adrese statice pe host 4. Network Address Translation [NAT] asigura conversia adreselor private in adrese publice. Inside local address= de obicei nu e alocata de ISP / RIR. Verifica sa nu fie dezactivat serviciul DHCP (no service dhcp). verifica switch port configuration (STP portfast si celelalte comenzi) 5. Adresele private nu au voie sa iasa in internet.Serverele WINS sunt de obicei in retele care suporta versiuni de windows mai vechi de windows 2000. Verifica daca routerul primeste si forwardeaza requesturi dhcp (prin comanda debug ip dhcp server packet). este o adresa privata. iar daca se intampla sa iasa. Troubleshooting 1. NAT-ul converteste adresele IP non-rutabile in adrese rutabile! Alt beneficiu este ca ascunde adresele dintr-o retea de cei aflati in retele exterioare / din afara. De obicei NAT-ul este activat pe un device aflat la marginea unei retele stub. verifica din ce subnet isi obtine clientul adresa IP de la serverul DHCP (vezi daca ii da o adresa corecta) Daca serverul este in alta subretea decat clientul. E folosit pentru servere / hosturi care trebuie sa fie accesibile din internet. Static = alocarea se face 1 la 1.

Cand un client deschide o sesiune. Acest lucru este posibil pentru ca acest tip de NAT inregistreaza si numarul portului.O forma a NAT-ului dinamic este NAT overloading (se mai numeste si PAT – port address translation). NAT da urmatoarea adresa IP si reia procesul de alocare a porturilor. Comportamentul NAT overload este sa nu schimbe numarul portului daca nu este necesar. Diferentele dintre NAT si NAT overload: -NAT e de obicei 1 la 1. NAT-ul le diferentiaza dupa portul catre care sunt trimise pachetele (portul sursa initial devine acum port destinatie. cand sunt trimise inapoi pachete de la destinatie).port sursa (s. conserva adresele publice 2.. creste securitatea retelei Dezavantajele NAT-ului: 1. connection tracking). in acelasi timp. care mapeaza mai multe adrese private pe mai putine adrese publice. se pierde urmarirea (traceability) IP end-to-end 4. dar real sunt doar in jur de 4000 de porturi corespunzatoare unei adrese IP. initierea conexiunilor TCP poate fi distrusa 6. R1(config)#ip nat inside source static local-ip global-ip R1(config)#interface type number >>> int fa0/0 R1(config-if)#ip nat inside R1(config-if)#exit R1(config)#int fa0/1 R1(config-if)#ip nat outside NAT pe interfetele 86 . Astfel. Totusi daca 2-n hosturi trimit pachete cu aceleasi porturi.n. Daca nu mai sunt porturi disponibile. daca mai multe hosturi din reteaua interna primesc pachete pe aceeasi adresa publica. performanta este degradata 2. 512-1023. cand se face translatia. din 3 range-uri: 0-511. NAT modifica numarul portului. functionalitatile end-to-end sunt degradate 3. ofera consistenta pentru schema de adresare interna 4. tunelarea devine mai complicata 5. In plus se valideaza si ca pachetele primite au fost cerute (deci un spor de securitate). arhitectura trebuie sa fie refacuta pentru a trata schimbarile Configurarea NAT-ului static Trebuie definite adresele care vor fi translatate si configurat corespunzatoare. ceea ce corespunde unui numar teoretic de 65536 de porturi pentru aceeasi adresa IP. overload-ul 1 la n -NAT se refera la adresa sursa cand primeste pachete din exterior. NAT-ul inregistreaza si portul aferent adresei sursa. mareste flexibilitatea conexiunilor la retelele publice 3. overload-ul se refera la perechea adresa sursa . dand numarul urmatorului port disponibil. Numerele porturilor se scriu pe 16 biti. 1024-65535. Avantajele NAT-ului: 1.

1.240 netmask 255.255.254 R1(config)#int s0/0/0 R1(config-if)#ip nat inside R1(config)#int s0/1/0 R1(config-if)#ip nat outside Configurarea NAT-ului dinamic Trebuie identificate interfetele inside si outside + ACL care spune ce adrese au voie sa fie translatate (pool de adrese ).0. dinamic.165.254 209.165.168.240 Router(config)#access-list 1 permit 192.0 0.Exemplu: R1(config)#ip nat inside static 192.255.255. Overload ii spune sa foloseasca NAT overload :D .255.0.200. Router(config)#ip nat pool name start-ip end-ip {netmask netmask|prefix-length prefix-length} Router(config)#access-list access-list-number permit source [source-wildcard] Router(config)#ip nat inside source list access-list-number pool name Router(config)#interface type number Router(config-if)#ip nat inside Router(config)#interface type number Router(config-if)#ip nat outside Exemplu: Router(config)#ip nat pool NAT-POOL1 209.255 ip nat inside source list 1 interface serial 0/1/0 overload int s0/1 ip nat inside int s1/1 86 .168.0.226 209. cu exceptia folosirii cuvantului interface in loc de pool-ul de adrese.200.0 0.165.200. o singura adresa publica Router(config)#access-list acl-number permit source [source-wildcard] Router(config)#ip nat inside source list acl-number interface interface overload Router(config)#interface type number Router(config-if)#ip nat inside Router(config-if)#interface type number Router(config-if)#ip nat outside Exemplu: access-list 1 permit 192.168.10.255 Router(config)#ip nat inside source list 1 pool NAT-POOL1 Router(config)#int s0/1 Router(config-if)#ip nat inside Router(config)#int s1/1 Router(config-if)#ip nat outside Configurarea NAT overload Este identica cu cea a NAT-ului.0.

168. verbose adauga informatii suplimentare.0..0 0.200. acl si pool Intrarile despre translatiile NAT expira default dupa 24 ore in lipsa comenzii ip nat translation timeout nrSecunde. S.226 209. parametrii de configurare NAT.n.165. cate adrese sunt in pool. Ca masura de securitate routerele broadband nu permit requesturile retelelor externe sa fie forwardate unui host intern. Peer-to-peer functioneaza numai dinspre interior spre exterior. cate adrese au fost alocate.200. clear ip nat translation protocol inside global-ip global-port local-ip local-port [outside local-ip local-port global-ip global-port] >>> sterge o intrare de translatie dinamica extinsa 86 .255 ip nat pool NAT-POOL2 209.255. R1#show ip nat translations {statistics} >>> arata informatii despre numarul total de translatii.255.0. R1#show run >>> si cauti info despre NAT.240 netmask 255. mai multe adrese publice Router(config)#access-list acl-number permit source [source-wildcard] Router(config)#ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} Router {config}#ip nat inside source list acl-number pool name overload. R2#clear ip nat translation * R2#show ip nat translations clear ip nat translation inside global-ip local-ip [outside local-ip global-ip] >>> sterge doar o intrare dinamica de translatie. Router(config)#interface type number Router(config-if)#ip nat inside Router(config-if)#interface type number Router(config-if)#ip nat outside Exemplu: access-list 1 permit 192.255. si tunelare. Troubleshooting: R1#show ip nat translations {verbose} >>> dar inainte trebuie sa stergi orice intrare de translatie dinamica. pentru ca acestea se elimina (time-out) dupa o perioada de inactivitate.ip nat outside 2. inside sau inside si outside.240 ip nat inside source list 1 pool NAT-POOL2 overload int s0/1 ip nat inside int s1/1 ip nat outside Port forwarding = deschiderea porturilor / trimiterea pachetelor care vin pe un anumit port catre o adresa IP.165.

functionalitati de securitate built-in.d a fost translatata in w. etc 3. vezi daca intrarile dinamice sunt recreate dupa ce le stergi cu clear. defineste ce trebuie sa obtii prin NAT si reanalizeaza configuratia 2. mobile users: PDA. usurarea tranzitiei 86 . barcode reader. cu conditia sa existe o intrare in cache. evalueaza in detaliu ce se intampla cu pachetul si verifica daca routerele au informatia de rutare corecta.d-->w. restul sunt fast-switched.b. debug ip nat {details} ofera informatii despre fiecare pachet translatat de catre router + informatii despre erori / exceptii (ex: nu poate aloca o adresa publica). 4.z arata ca adresa a. transportation (mijloace de transport) in care se folosesc conexiuni la internet 4.b. s-a decis ca respectivul nume sa nu fie folosit. => imbunatatirile aduse de IPv6 sunt: 1.x. verifica daca in tabela de translatii sunt translatiile corecte (show ip nat translations) 3. s = sursa a. creste populatia internetului si userii stau mai mult on line 2. In plus in IPv6 au fost incluse noi feature-uri si imbunatatiri (lessons learned).y.x.Pasi de urmat pentru troubleshooting: 1. O adresa IPv6 este un numar pe 128 biti => numarul total de adrese este 2128. ca sa nu se creeze confuzii. IPv6 De ce este necesar IPv6? 1. header simplificat 3. (3. In esenta IPv6 a aparut ca urmare a epuizarii adreselor IPv4. Primul pachet este process-switched (mai lent). mobilitate si securitate 4. tablet PC. folosind comenzile debug si clear. verifica daca NAT-ul opereaza asa cum te astepti.c. IPv6 are un header mai simplificat. optiune de autoconfigurare. etc) IPv6 satisface complexitatea din ce in ce mai mare a adresarii ierarhice pe care IPv4 nu o mai poate acoperi. imbunatatirea adresarii IP 2. notepad.4 x 1039) Numele / denumirea IPv5 a fost folosit(a) ca sa defineasca un protocol de streaming real time experimental. consumer electronics (DVR – digital video recording. telefoane mobile. In debug.y.z d = destinatia [xxxx] arata numarul de identificare al IP-ului.c. urmatoarele semne au semnificatia: * arata ca translatia are loc in fast-switched.

simplificarea headerului: Dispar mai multe campuri pe care IPv4 le avea.eficienta imbunatatita pentru rutare. Aceasta simplitate duce la: . Mai multe campuri de 0000 pot fi prescurtate prin :: 3.autoconfigurarea (care include adresa de layer data link in spatiul de adresa) .flow labels pt procesarea pre-flow ca sa nu mai fie nevoie ca pachetul de la L4 sa fie identificat cu diferite fluxuri de trafic.dual stack (si adrese IPv4 si IPv6) .end-to-end fara NAT . :: este o adresa nespecificata (formata numai din 0-uri) Cand calculatorul interpreteaza o adresa IPv6. 0-urile de la inceputul campurilor sunt optionale. scalabilitate pentru performanta si rata de forwardare . tunelare si tunelare Teredo (last resort method). Imbunatatirea mobilitatii si securitatii: .agregarea mai buna a prefixelor IP din tabela de rutare . /23 = Registry prefix /32 = ISP prefix /48 = site prefix 86 .extension header . tunneling where you must!” Reprezentarea adreselor IPv6 Adresele IPv6 sunt 8 campuri de 16 biti separate prin : (doua puncte) si scrise in hexazecimal. ISATAP.6to4 si tunelare manuala .imbunatatirea accesibilitatii si flexibilitatii globale .IPsec este nativ (obligatoriu) in IPv6 4. Reguli pentru scrierea mai scurta a adreselor IPv6: 1.mai multe optiuni de plug-and-play pentru mai multe device-uri .1. 0000 se poate scrie ca 0 2.nu exista checksum .multihome (mai multe adrese pe aceeasi interfata fizica a unui host) . Sfatul pentru tranzitii este „dual stack where you can. 3. pune 0-urile lipsa :j Adresele IPv6 global unicast: Sunt de obicei formate dintr-un prefix de 48 biti si din 16 biti de subnet – rezulta 65535 de retele. sunt pastrate doar 3 campuri nemodificate (headerul IPv6 are doar 8 campuri si 40 de octeti).nu exista broadcast => nu exista broadcast storm . usurarea tranzitiei cu mecanisme ca: . imbunatatirea adresarii IP presupune: .mecanism simplificat pentru renumerotarea si modificarea adreselor 2. 4 campuri sunt redenumite.conform cu RFC-ul pentru mobile-IP .translatii: NAT-PT.

routerele nu forwardeaza pachete cu adrese link-local.adrese link-local – se refera doar la o anumita legatura fizica. FED. Incep in hexa cu valoarea FEC. FEB. Sunt folosite doar pentru comunicarea locala. . dar din 2003 au devenit criticate si problematice in RFC 3879. LACNIC. FEE. RIPE. Multe protocoale IPv6 folosesc adrese link-local. descoperirea vecinilor si descoperirea routerului. nici macar in cadrul organizatiei. cu valoarea FFFE. doar ca in acest caz incep cu FE{8-F} (valori de la 8 la F).DHCPv6 (stateful) Configurarea manuala se face prin comanda: R1(config-if) #ipv6 address 2001:DB8:2222:7272::72/64 Configurarea prin EUI-64: R1(config-if)#ipv6 address 2001:DB8:2222:7272::/64 eui-64 Adresa MAC are 48 de biti. Adresa de loopback 0:0:0:0:0:0:0:1 sau ::1 Unspecified address Este folosita de host cand nu are adresa / nu-si cunoaste adresa. Adrese rezervate Reprezinta 1/256 din totalul adreselor IPv6. FEA.prin EUI-64 Dinamic: . care echivaleaza cu 1/8 din totalul adreselor IPv6. Adresele IPv6 pot fi alocate static sau dinamic: Static: . Nu specifica din ce bloc de adrese… Adrese private Similar cu IPv4.adrese site-local – ar trebui sa acopere adresarea dintr-un site sau organizatie. FEF. APNIC. La jumatatea adresei MAC se introduc 16 biti sub forma hexa. este 0:0:0:0:0:0:0:0 (mai poate fi scrisa si :: ) Managementul adreselor IPv6 ID-ul interfetei este de 64 biti si poate fi derivat dinamic din adresa de L2 (MAC). AfriNIC). cum ar fi configurarea automata a adreselor. Sunt de 2 feluri: .stateless autoconfiguration . FE9. 86 .manual . IANA aloca spatiul de adrese 2001::/16 catre cei 5 RIR registries (ARIN. Au valorile FE8./64 = subnet prefix restul = interface ID (e pe 64 de biti)! Adresele unicast pe care IANA le aloca in prezent sunt din range-ul care incepe cu valoarea binara 001 (2000::/3).

configuratia nu se schimba dinamic. Alte tehnici de tunelare mai putin populare: 3. Necesita dual stack. NAT protocol translation [NAT-PT] = conversie din IPv6 in IPv4. dar necesita dual stack 2. si non-PC. *reprezinta o solutie intermediara si scopul final este tranzitia la arhitectura nativa IPv6. De la IOS-ul 12. Dual stack = 1 nod are implementat si este conectat simultan in retele IPv4 si IPv6 <=> routerele si switchurile suporta ambele protocoale. are mai multe variante: 1. Poate fi folosita in paralel cu configurarea stateless autoconfiguration. iar pachetul va contine si headerul IPv4 de 20 octeti si fara options => MTU scade cu 20 de octeti + este greu de facut troubleshooting. dar IPv6 este protocolul preferat. Configurarea DHCPv6 (stateful): Permite serverului DHCP sa trimita configurari IPv6 nodurilor IPv6. End routerele trebuie sa fie dual stack.2(2)T este suportat protocolul IPv6. La acest moment este cea mai putin preferata metoda si ar trebui folosita ca ultima solutie (last resort). ceea ce permite un deploy rapid al IPv6 in retelele corporate. 86 .sa se conecteze la retea. Este folosita pentru conexiuni stabile care au nevoie de securitate normala. 4. intre 2 edge routere sau intre un edge router si un end system sau pentru conectarea remote a retelelor IPv6. tunelare Intra-Site Automatic Tunnel Address Protocol [ISATAP] = mecanism care creeaza automat tunele si care foloseste reteaua IPv4 ca link layer pentru IPv6 (se creeaza o retea IPv6 folosind infrastructura IPv4). tunelarea dinamica 6to4 = conecteaza automat insulele IPv6 prin retele IPv4. ca sa fie plugand-play . 5. Tunelarea este a 2-a tehnica de tranzitie majora. este trimis traficul IPv6 unicast cand hosturile dual-stack se afla in spatele unuia sau mai multor NAT-uri IPv4. ceea ce inseamna ca sunt necesare mecanisme de tranzitie si mecanisme de comunicare IPv6 cu IPv4. fara sa mai fie nevoie de obtinerea adreselor IPv6 de la ISP-isti sau registries. tunelarea Teredo = tunelare automata host-to-host. cand pachetul IPv6 este incapsulat intr-un pachet IPv4. Strategii de tranzitie la IPv6 Nu se va trece simultan la IPv6.Stateless autoconfiguration: Nu este specificat cum. Comanda de activare a IPv6 este R1(config)# ipv6 unicast-routing La tunelarea IPv6. doar ca configureaza automat device-urile. Aloca dinamic un prefix IPv6 unic si valid fiecarei insule de IPv6. Configurarea manuala a tunelelor IPv6: este echivalent cu o legatura permanenta intre 2 domenii IPv6 peste o infrastructura IPv4. tunelare manuala IPv6-over-IPv4 = un pachet IPv6 este incapsulat intr-un pachet IPv4. campul protocol type va avea valoarea 41. de obicei peste internet.

parsarea extensiilor headerelor IPv6 – daca se folosesc ACL-uri pt pachete cu si fara header extins. 3. accounting. Pentru ca spatiul de adrese este mai mare. cele 2 capete ale tunelului trebuie sa fie dual stacked.se numeste RIPng . dimensiunea tabelei de rutare – este mai mare si necesita mai multa memorie. care ii da routerului informatiile necesare pentru decizii si controleaza operatiile de rutare. translatie. Evident. posibil ca cele cu header extins sa nu poata fi procesat in hardware (sa depaseasca dimensiunea fixa a registrului hardware al routerului) si sa fie aruncate.2(2)T 86 . cu o acoperire de 15 hopuri.foloseste adrese IPv6 si prefixe IPv6 . Data plane: 1. 2. Protocolul de rutare RIPng . 2. cautarea adresei IPv6 ca sa determine interfata de iesire. data plane – gestioneaza forwardarea pachetelor de la o interfata (fizica sau logica) la alta. + ISP-istii agrega toate prefixele clientilor lor intr-un singur prefix pe care il anunta in internet. In cazul IPv6 sunt cateva provocari noi ale acestor zone functionale: Control plane: 1. enhanced services – includ features avansate ca: ACE (packet filtering). Implica diferite mecanisme de switch-are ca process switch sau Cisco Express Forwarding [CEF] in cazul routerelor cu IOS cisco.foloseste IPv6 pentru transport .Administratorul configureaza static interfetele tunelului cu adrese IPv6 si configureaza manual adrese IPv4 statice pentru sursa si destinatia tunelului.este bazat pe RIPv2 . dar iar apare problema de procesare si pachetele pot fi aruncate. multiple adrese IPv6 ale nodurilor duc la un consum mai mare de memorie cache pentru Neighbor Discovery 3. dimensiunea adresei IPv6. Configuratii de rutare IPv6 Ca la CIDR-ul [classless interdomain routing] de la IPv4. criptare. este suficient un singur prefix pentru intreaga retea a unei organizatii.e suportat de la IOS-ul 12. protocoale de rutare IPv6. Conceptual un router are 3 zone functionale: 1.trimite update-urile pe portul UDP 521 . care nu mai poate fi procesata intr-un singur ciclu de procesare ci din 2 cicluri de 64 de biti (adresa IPv6 are 128 de biti). QoS.update-urile de rutare sunt trimise pe adresa de multicast FF02::9 . care au update-urile de rutare mai mari 4. Se folosesc ASIC-uri. este preferat longest match / cel mai mare prefix.este un protocol de rutare distance vector. foloseste split horizon si poison reverse . control plane – care gestioneaza interactiunea routerului cu celelalte elemente ale retelei. 2. In acest plan sunt rulate procese ca protocoalele de rutare si managementul retelei.

tabelul de configurare a retelei 2. Informatiile de documentare a retelei trebuie tinute intr-un singur loc. specifici un server DNS prin comanda: RouterX(config)#ip name-server address RouterX(config)#ip name-server 3ffe:b00:ffff:1::10 Configurarea RIPng 1. fie pe hartie.] >>> pana la 6 adrese RouterX(config)#ipv6 host router1 3ffe:b00:ffff:b::1 2. Aceste informatii formeaza network baseline si sunt documentate (in tabele de configuratie si topologii de retea). trebuie sa stii cum a fost proiectata (design) si care este performanta asteptata de la reteaua respectiva. RouterX(config-if)#ipv6 rip name enable Show-uri: show ipv6 interface {brief} show ipv6 neighbors show ipv6 protocols show ipv6 rip show ipv6 route {summary} show ipv6 routers show ipv6 static show ipv6 static adresaIPv6 show ipv6 static interface s0/0/0 >>> s0/0/0 este interfata de iesire (outgoing) show ipv6 traffic 7.Activarea IPv6 RouterX(config)#ipv6 unicast-routing RouterX(config-if)#ipv6 address ipv6prefix/prefix-length eui-64 Rezolutia numelui in IPv6: 1.4.. fie pe un site securizat. definesti un nume static pentru o adresa IPv6 prin comanda: RouterX(config)#ipv6 host name [port] ipv6addr [{ipv6addr} . diagrama de topologie a retelei 86 .. RouterX(config)#ipv6 router rip name 3. si ar trebui sa contina urmatoarele: 1. activezi IPv6 prin comanda ipv6 unicast-routing 2. tabelul de configurare a end-systems 3.1 ********************* cap 8 – network troubleshooting Documentarea retelei: Ca sa poti pune diagnosticul corect si sa rezolvi problemele unei retele.1.

camera.decizi ce tipuri de date colectezi (mergi de la simplu spre complex) 86 . Pentru componentele retelei ar trebui sa poti afla: .hostname .orice alte informatii importante despre starea fizica a device-ului Tabelul de configurare end-system: contine inregistrari despre elementele hardware si software din end-systems.adresa de L2 (MAC…) . care arata cum sunt conectate echipamentele si care este arhitectura logica a retelei. De aici ar trebui sa obtin toate informatiile necesare sa identific si sa corectez erorile retelei.IP . masca.show ip route .numele sau scopul device-ului .tipul si numarul interfetelor .telnet . DNS.orice aplicatie care necesita high-bandwidth Diagrama de topologie a retelei: este o reprezentare grafica a retelei.ping . WINS .tipul si modelul device-ului .unde sunt zonele sub. Ar trebui sa contina cel putin: . Ar trebui sa contina: . ce module si in ce sloturi sunt instalate .adresa de L3 (IP) .locatia (cladire.masca Documentarea retelei se face prin: .Tabelul de configurare a retelei: contine inregistrari corecte.ce praguri trebuie setate pentru device-urile care trebuie monitorizate . panel) .daca e device modular.IP. despre hardware-ul si software-ul folosit in retea.IOS-ul . actualizate.show ip interface brief .sistemul de operare si versiunea .este reteaua capabila sa furnizeze ce s-a dorit de la ea Planificarea primei baseline: .si suprautilizate . rack. etaj.unde apar cele mai multe erori .show cdp neighbor detail Network baseline: E important ca sa ai la ce sa te raportezi cand verifici o retea / ca sa stii cum este fata de o referinta. GW. Vei putea sa raspunzi la intrebari ca: .care este functionarea normala a retelei .simboluri pentru toate echipamentele si cum sunt conectate .

2. de obicei layerele 3-4 sunt implementate doar in software. 2. core) 4. abordarea sistematica: combinarea celorlalte 2 metode. layerele 1 si 2 sunt implementate si in software. determini ownership (daca problema este in sistemul tau sau este in afara controlului tau / sistemului autonom) 3.. etc. servere. firele intre ele. analizezi simptoamele existente 2. cu softuri dedicate. Dezavantajul este ca trebuie sa verifici fiecare device si interfata de retea pana cand gasesti cauza si ca trebuie sa documentezi fiecare concluzie si posibilitate. deci va trebui sa faci multa hartogaraie. Culegerea de informatii: 1.automatizat. access. pentru ca necesita mult timp Abordari pentru troubleshooting: 1. Ex: Fluke Network SuperAgent .manual. pana gasesti problema + faci multa hartogaraie 3. si in hardware. Layerele 1-4 gestioneaza problemele de transport de date. limiteaza aria de cuprindere – vezi la ce zona a retelei este problema (distribution. dar nu e recomandat. culege (aduna) simptoame de la device-urile suspecte 86 . corectezi problema Metode de troubleshooting: 1. altele) . multilayer switch L1-L2: switch L1: hub L1-L7: end system Procedura pentru troubleshooting 1. divide and conquer – alegi un layer si testezi in ambele directii. rocket scientist: face prea multa analiza si identifica metodic toate cauzele posibile. Nivelele la care functioneaza echipamentele de retea: L1-L4: routere. 3. Pierde prea mult timp. priveste reteaua ca un intreg Depanarea / troubleshooting la nivelul stivei OSI: Layerele 5-7 au de-a face cu aplicatiile si sunt implementate de obicei numai in software.determini durata pentru analiza (intre 2 si 4 saptamani este recomandarea Cisco) Masurarea performantei refelei: . nu e viabila metoda. key users.identifici device-urile si porturile de interes (echipamente de retea. caveman / brute force approach: inlocuieste un card cu altul. culegi informatii / gather symptoms 2. botton up – cea mai indicata cand problema e de natura fizica. firewall-uri. pana cand miraculos va merge reteaua. top down – de folosit daca problema este simpla sau daca suspectezi ca problema e cauzata de software. Dezavantajul este ca trebuie sa verifici fiecare aplicatie de retea. izolezi problema 3. nu stie de ce s-a reparat si cand o sa pice iar reteaua. Nu e viabila metoda.

ierarhic) 86 . . CyberGauge . Hardware: .2.1 Troubleshooting tools Sunt software si hardware. le decodeaza la nivel de layer si afiseaza informatia intr-un mod usor de urmarit. . partial mesh.6.portable network analyzers: sunt folosite pentru troubleshooting la nivel de switch sau vlan. analizezi traficul – vezi ce se trimite. Cele mai scumpe sunt TDR [timedomain reflectometer].5. .3.1. .network analysis module [NAM] e un modul care poate fi atasat switchurilor din seria Catalyst 6500 sau routerelor din seria 7600 si care ofera grafic informatii despre traficul din retea. curentul si rezistenta. folosite pentru testarea si certificarea diferitelor tipuri de cablu. cross-over wirings. configurare si fault management. star.1 Tehnologiile de WAN functioneaza la layerele 1. Exemple: CiscoView. 2 si 3. detecteaza cablurile stricate. de unde se trimite.network management system tools [NMS] – includ tool-uri de monitorizare. sa tii documentatia la zi despre componentele soft si hard ale retelei.baseling tools – te ajuta sa faci diagrama retelei. 8. HP Openview. Software: . Exemple: SolarWinds LAN surveyor. WAN Design – pasi: 1.…) . localizezi LAN-urile pe care vrei sa le conectezi 2.analizoare de cablu: sunt device-uri multifunctionale. cele pentru fibra optica sunt optical TDR [oTDR].knowledge base – on line. unde ajunge 3. documenteaza simptoamele Comenzi pe care le poti da: ping telnet traceroute show ip interface brief show ip route show running-config interface [no] debug ? show protocols 8. sa vezi eficienta folosirii bandwidth-ului. Solar Winds. captureaza frame-uri. .digital multimeters [DMM] masoara voltajul. Sunt folosite sa verifice daca echipamentele primesc (suficient) curent.testere de cablu – testeaza diferite tipuri de cabluri de date.protocol analyzer – (wireshark). completate cu motoare de cautare (google. What's Up Gold. conform cu diferite servicii si standarde. planifica topologia (full mesh. cabluri prost cablate (improperly paired).

tipul si identificatorul cablului . dintr-o conexiune core. Contine: . servere. modul in care sunt conectate deviceurile la retea.QoS . Interpretarea diagramei retelei pentru identificarea problemelor Ca sa poti sa faci troubleshooting unei retele.versiunea sistemului de operare . Diagrama fizica: arata layoutul fizic.Infrastructura: privata sau publica? .modelul si producatorul . ATM si leased line formeaza backbone-ul WAN. device-uri de securitate. hosturi. Sunt desenate (reprezentate prin simboluri) routere.Securitatea (cum protejez datele) .Reliability Cum faci troubleshooting din perspectiva unui ISP: Pornesti la nivel de PC al userului. Probleme comune ale implementarilor WAN .Confidentialitatea (informatii sensibile) .identificatorul device-ului . evalueaza costurile Acesti pasi nu sunt liniari.adresa IP si masca . Frame Relay. pana cand se ia o decizie pot fi mai multe iteratii. ISDN.Latenta . huburi. ceea ce include topologia fizica si topologia logica. leased line sunt folosite ca sa conecteze branchuri individuale la o arie.tipul de conector .specificatiile cablului .4. alege tehnologia WAN pe care o vei folosi 6. ATM si leased line sunt folosite sa conecteze ariile externe la backbone. Sunt mai multe variante posibile: fiecare retea a companiei se conecteaza la un ISP diferit. estimeaza necesarul de bandwidth 5. trebuie sa ai acces la diagrama acesteia.tipul conexiunii 86 . Multe WAN-uri ale companiilor se conecteaza la internet => parti ale traficului pot sa treaca peste internet. Frame Relay. si termini cu accesul la server(?).endpoint-urile de cablare Diagrama logica: arata modul in care sunt transferate datele in retea. conexiunea de la edge router al clientului la edge router al ISP-ului.tipul device-ului . Contine: . VPN concentratoare. fie toate se conecteaza la un ISP. DSL. apoi succesiv LAN-ul userului.identificatorul interfetei . backbone-ul ISP-ului.

mufe stricate.mesaje de eroare de la consola Cauzele problemelor de layer fizic . .tehnologiile WAN folosite Simptomele problemelor de la layerul fizic Este singurul layer care are elemente tangibile. are drivere proaste.depasirea limitelor de proiectare: device-ul este utilizat constant la o rata mai ridicata decat este gandit sa functioneze. coliziunile pot fi generate de un cablu.botleneck sau congestii in retea: daca pica un router. random noise (radio FM. bucle prea stranse.. a) Fibra optica poate face probleme daca sunt murdari conectorii. etc…). b)Problemele cu cablul coaxial apar la conectori.rutele statice . Simptoame comune la layerul fizic: .cabluri cu probleme: cabluri deconectate. clock source gresit. daca mufele sunt facute prost sau nu sunt bagate complet in NIC-uri sau daca contactele sunt oxidate. alien crosstalk (interferente induse de alte cabluri de pe aceeasi cale). impamantare).pierderea conectivitatii: daca e permanent = a picat device-ul sau cablul. conectorii Rx/Tx inversati.atenuarea: apare cand amplitudinea bitilor se reduce in timp ce acestia traverseaza un cablu si destinatarul nu mai poate diferentia un stream de celalalt. zgomot care este generat de crosstalk altor cabluri adiacente sau zgomot de la cablurile electrice apropiate sau orice alt transmitator mai puternic decat un telefon mobil) .protocoalele data-link . cablu prea lung (Ethernet). daca conductorul central al capatului cablului coaxial nu este drept si nu are lungimea corecta. de huburi. congestii de trafic pe linkuri de capacitate mica. configuratii nepotrivite ale switcurilor / routerelor. Daca reteaua este afectata la nivel fizic. near end crosstalk ([NEXT]. 86 .legate de alimentarea cu curent electric .erori hardware (se strica placa de retea.VPN-urile site-to-site . jabber = placa trimite date random. protocoalele de rutare pot redirectiona traficul catre alte routere care nu au fost gandite sa sustina si incarcarea suplimentara => congestii sau bottleneck-uri . cablaje gresite (cross in loc de straight). Apare daca lungimea cablului este prea mare. pierderea cronica a frame-urilor . statii de politie. .erori de configurare a interfetei: seriala definita ca asincrona in loc de sincrona. cabluri proaste.zgomote / interferente: sunt de 4 tipuri: impulse noise (cauzat de fluctuatii de voltaj sau varfuri de curent). fara sens . interfata neactivata . clock rate gresit.rata mare de utilizare a procesorului: poate duce la shut down sau picarea device-ului . interfata sau cablu. de linkuri expuse la zgomote / interferente electrice externe. va afecta toate layerele.numar mare de coliziuni: de obicei numarul mare de coliziuni poate fi urmarit si identificata sursa (care e un device). . daca e intermitent = conexiunea e oxidata.protocoalele de rutare .performante sub baseline: cele mai comune cauze sunt: servere suprasolicitate sau subalimentate cu curent.DLCI pentru circuitele virtuale . . Media coliziunilor trebuie sa fie sub 5%.

verifici conectori sau cabluri stricate . . Izolarea problemelor la layerul fizic .sau convergenta STP lenta Troubleshooting layer 2 – PPP Este dificil sa faci troubleshooting in PPP sau Frame Relay. 2. straight) . pentru ca nu ai tool-uri de layer 3 care sa te ajute.verifica autentificarea la ambele capete ale linkului cu comanda debug ppp authentication Troubleshooting layer 2 – Frame Relay 1. c) probleme de retea ca bucle STP sau rute care flapeaza. b) frame-urile sunt aruncate .nu am conectivitate sau functioneaza prost de la layerul 2 in sus .broadcast excesiv – in general este cauzat de a) aplicatii prost programate sau configurate.verifica incapsularea corecta la ambele capetele ale linkului. verifica daca routerul si providerul de FR schimba informatii LMI (comanda show framerelay lmi) 86 .framing errors: pot fi cauzate de: cablu serial cu multe interferente.verifica statisticile operationale si rata erorilor (cu comanda show) Troubleshooting la layerul Data Link Simptoame: . b)flodare excesiva cauzata de schimbari prea dese ale topologiei STP. Are 2 variante: a) frame-urile sunt transmise pe o cale ilogica. Cele mai multe probleme ale PPP implica link negociation. cu comanda show interface serial . Verifica conexiunea fizica dintre CSU/DSU si router.verifica daca negocierea link control protocol [LCP] s-a incheiat cu succes (vezi mesajul de la LPC sa fie open) . c) re..reteaua functioneaza sub nivelul de performanta al baseline-ului.verifica daca device-urile sunt corect conectate (cablurile sa intre in porturile corecte) .erori de incapsulare: device-urile conectate sunt configurate cu (protocoale? de) incapsulare diferite . Trebuie sa intelegi si sa cunosti in detaliu modul de functionare al tehnologiei respective ca sa poti sa rezolvi eficient problemele.verifica daca interfetele sunt corect configurate . Pasii pentru troubleshooting sunt: .mesaje de la consola (de obicei line protocol down) Cauzele problemelor de la layerul Data Link .bucle sau failure ale STP: cauze: a) nu sunt blocate porturile redundante si rezulta bucle. b) domenii de broadcast mari. Daca o interfata este suprasolicitata mereu poti redirectiona traficul sau upgrada hardware-ul. .supraincarcarea procesorului / CPU overload: la routere poate fi cauzat de trafic prea mare. cablu prea lung sau incorect shielded. configurare incorecta a ceasului unui CSU.erori de mapare a adreselor .verifica daca cablurile sunt corect mufate (cross. dar pana la urma ajung la destinatie (cauza posibila: STP prost gandit).

refa redundanta. Inregistreaza aceasta informatie. cu exceptia celor care nu sunt parte din topologia fizica looped (cu bucle). b)are portul root definit corect. verifica daca ai aceeasi incapsulare Frame Relay pe ambele routere prin comanda show interfaces serial. Vor fi tratate protocoalele de rutare IP. general network issues: verifica schimbarile de topologie.utilizare mare a linkurilor (100% de regula) . 3. nu scazi decat putin din utilizarea backplane! 4. Cand opresti un port care doar forwardeaza flood-ul. verifica daca statusul PVC este active prin comanda show frame-relay pvc 4. Troubleshooting layer 2 – STP loops STP ar trebui sa ruleze pe toate switch-urile. c)se primesc BPDU pe portul root si pe cel blocat d)sunt trimise regulat BPDU pe porturile non-root. descoperi zona (scope) in care se manifesta bucla: ca sa o opresti – te uiti la interfetele cu cea mai mare utilizare a linkului.pierderi de conectivitate de la / catre / in regiunile de retea afectate .mesaje de syslog care arata ca pachetele au intrat intr-o bucla . care sunt protocoale de rutare si protocoale rutate. Troubleshooting la layerul Network Simptoame: Include problemele protocoalelor de layer 3. Daca rutele statice sunt prost configurate pot sa duca la bucle de rutare sau sa faca anumite parti ale retelei sa nu poata fi accesate. 1. pentru ca pot duce la instalarea altor rute (statice sau dinamice) + verifica daca cineva lucreaza la infrastructura retelei in acest moment.utilizare mare a switch backplane (fata de baseline) . 86 .cresterea numar de pachete aruncate de mai multe interfete 2. Troubleshooting: De obicei retelele contin rute statice si rute dinamice. designated ports 5. Troubleshootingul rutelor dinamice presupune o intelegere in detaliu a protocolului dinamic folosit. Problemele = reteaua este (aproape) nefunctionala. Zone de explorat cand faci troubleshooting la layerul Network: 1. sparge / opreste bucla: pune in shut down sau deconecteaza porturile unul cate unul si verifica utilizarea backplane. identifica daca se creaza bucle STP: .incarcare mare a CPU routerelor din segmentele afectate . gaseste si repara cauza buclei: uita-te la diagrama de topologie ca sa gasesti caile redundante si pentru fiecare switch de pe calea redundanta verifica daca acesta: a)stie STP root corect.mesaje syslog care arata ca sunt constant reinvatate adrese sau mesaje ca adresele MAC flapeaza . ca sa poti sa gasesti cauzele buclei. trebuie sa le opresti pe cele care au cauzat bucla. Porturile care doar forwardeaza flood-ul nu cauzeaza bucla.3.

3. este interzis 4. . deci nu va trimite requestul… Rezolvarea este cu ip-helper feature .traficul inbound este procesat intai de ACL inbound si apoi ajunge la NAT-ul inside-to-outside . Problema este ca serverele de DNS sau WINS nu vor avea o reprezentare corecta a retelei din spatele NAT-ului. pentru o singura adresa IP.SNMP: similar cu pachetele DNS. cum ar fi cablarea. adrese si wildcard masks: daca NAT si ACL ruleaza simultan. porturile sursa si destinatie trebuie sa fie corect configurate 7. Troubleshootingul ACL-urilor se face cu log: analizezi logurile si identifici problemele si (tentativele de) intruziune. tabela de rutare: vezi daca contine lucruri in plus sau in minus.Protocoalele de tunelare si criptare: solicita ca traficul sa fie trimis de pe un anumit port UDP / TCP sau folosesc un protocol de transport pe care NAT-ul nu-l poate procesa. Ex: VPN si protocoalele de criptare. Idem rezolvarea cu ip-helper. Rezolvarea : NAT static pentru portul solicitat.2. 3. porturile sau problemele cu ISP-ul.BOOTP si DHCP: hostul nou pornit trimite un DHCP request broadcast. protocoale mai putin comune: ACL + acestea = rezultate neasteptate. cu IP sursa 0. 8. probleme de conectivitate: verifica probleme de echipament sau de conectare.0. neighbor issues: daca protocolul de rutare stabileste adiacente cu vecinii. implicit deny all: nu uita ca ce nu este permis explicit. aplicarea ACL unui alt trafic (incorrect): interfata si directia interfetei 2. vezi daca routerele vecine au probleme 4. inclusiv alimentarea cu energie sau supraincalzirea. ACL: 1. altfel un element permis explicit poate sa nu fie niciodata aplicat.traficul outbound este intai procesat de NAT outside-to-inside si apoi de ACL outbound 5. Ex: network engineer-ul configureaza si tcp si udp ca fiind permise.0. selectarea protocolului de la layerul transport: e important sa specifici numai protocolul corect. pt ca nu stie pe care sa il aleaga… 6. Probleme cauzate de NAT : NAT-ul cauzeaza probleme de interoperabilitate cu tehnologiile care preiau dintr-un pachet adresa de retea a hostului. pentru ca nu se ajunge niciodata sa fie evaluat. Troubleshooting la layerul transport Probleme comune pot sa fie cauzate de ACL-uri si NAT. ordinea de aplicare este: .DNS si WINS. ordine incorecta a elementelor de control al accesului: trebuie sa fie de la specific la general. NAT-ul nu este capabil sa altereze adresa. iar o statie de management SNMP de pe o parte a NAT-ului nu va fi capabila sa acceseze o statie agent SNMP de cealalta parte a NAT-ului. topology database: verifica daca sunt informatii lipsa sau daca sunt informatii neasteptate (care nu ar trebui sa fie acolo) 5. Mai verifica si probleme de layer 1.0 NAT-ul are nevoie de ip sursa si destinatie valid. 86 . . folosirea cuvantului cheie (keyword) establish: pus pe ACL outgoing poate duce la rezultate neasteptate. Rezolvarea este tot cu ip-helper .

show ip nat translations -. imap 4 – tcp port 143 Simptoame de probleme la layerul aplicatie: Se observa cand nu primesti serviciile pe care ar trebui sa le furnizeze aplicatiile. sunete.http: suporta schimbul? de fisiere text.clear ip nat translations * -.snmp: colecteaza informatii de management de la deviceurile de retea.ftp: ofera transfer interactiv de fisiere intre hosturi.network file system [NFS]: permite computerelor sa-si mounteze drive-uri de pe hosturi remote si sa opereze pe ele ca si cum ar fi locale. grafice. tcp port 23 . ai grija si la cronometrele NAT-ului (sa nu expire prea repede si sa nu mai ai corespondenta din afara ca arunca pachetele. Protocoale cunoscute de layer aplicatie: . multimedia.in running-config verifici daca ip nat inside si ip nat ouside sunt configurate corect. udp port 161 . video. 21 . Troubleshooting la nivel Aplicatie Cele mai multe protocoale de la nivelul aplicatie furnizeaza servicii userului. verifica conectivitatea protocoalelor de layere superioare – pot fi restrictionate de filtre sau firewall-uri. pe web. Ping in default gateway => arata daca L1 si L2 functioneaza corect 2. sa nu dureze prea mult ca nu mai sunt scoase din tabela si ocupa prea multa memorie). verifici conectivitatea end-to-end (extended ping de pe router Cisco) => arata daca L3 functioneaza corect 3. Userii se plang ca aplicatia merge greu Aplicatia da mesaje de eroare Consola afiseaza mesaje de eroare Mesaje din logul sistemului Alarme de la sistemul de management al retelei Troubleshooting: 1. tcp port 25 . si pe cel outbound.dns: mapeaza adrese ip cu numele alocat device-urilor de retea .* nu uita ca NAT-ul afecteaza si traficul inbound.tftp: ofera transfer interactiv basic de fisiere intre host si device-urile de retea .clear access-list counters -. Se combina cu external data representation si remote-procedure call (aplicatii de layer aplicatie) ca sa permita accesul transparent la resursele remote. 4.smtp: ofera servicii basic de livrare de mesaje.show access-list . Ca sa mearga aplicatiile de la layerul aplicatie trebuie ca layerele inferioare sa mearga. tcp port 80 . verifici modul de operare al ACL si NAT . tcp port 110 . tcp port 20.pop: se conecteaza la serverele de email si downloadeaza emailurile.telnet: ofera conectare la hosturile remote. 86 .debug ip nat -.

daca este cazul.Corectare: 1. faci un backup 2. opreste-te cand ai rezolvat problema 6. corecteaza (schimba) ceva la hard sau soft 3. solicita asistenta din afara 7. documenteaza 86 . determina daca schimbarea rezolva problema 5. evalueaza si documenteaza fiecare schimbare si rezultat 4.

Sign up to vote on this title
UsefulNot useful