Internet s Szabvnyok

Egy szabvny a mkdshez szksges szablyok gyjtemnye. A hlzati s az

internetszabvnyoknak ksznheten a hlzathoz csatlakoz minden eszkzre
ugyanazon szablyok rvnyesek. Szabvnyok hasznlatval lehetv vlik klnbz
tpus eszkzk kommunikcija az interneten keresztl. Egy elektronikus levl
formzsa, tovbbtsa s vtele pldul szintn egy szabvny alapjn trtnik. Egy
szemlyi szmtgprl elkldtt elektronikus levelet a cmzett mindaddig kpes mobil
telefonjn fogadni s elolvasni, amg a telefon s a szmtgp ugyanazt a szabvnyt
hasznlja.
j szabvny ajnlsakor a fejlesztsi s jvhagysi folyamat minden lpst rgztik
egy szmozott RFC (Request for Comments) dokumentumban, melyben a szabvny
fejldse nyomonkvethet.
Az ISP egy vllalat vagy szervezet, amely az elfizetk szmra az internet hozzfrst
biztostja. Elfizet lehet vllalat, magnszemly, kormnyzati testlet vagy akr egy
msik ISP.
Az internet kapcsolat biztostsa mellett egy ISP tovbbi szolgltatsokat is nyjthat az
elfizetk szmra, belertve:
Eszkz trols (Equipment co-location) - A vllalatok krhetik nhny vagy az
sszes hlzati eszkzknek az ISP terletn trtn trolst.
Webes trhely szolgltats - Az ISP biztostja a kiszolglt s az alkalmazst a
vllalat weboldalainak trolshoz.
FTP - Az ISP biztostja a kiszolglt s az alkalmazst a vllalat FTP oldalainak
trolshoz.
Alkalmazsok s mdia szolgltatsok - Az ISP bocsjtja rendelkezsre a
kiszolglt s a szoftvert egy vllalatnak, hogy az biztosthasson mdia adatfolyam,
mint pldul a zene s a video, vagy alkalmazsokat, mint pldul az on-line
adatbzisok.
IP alap hangtovbbts - Az egymstl fizikailag tvol es telephelyek kztti
kommunikcira hasznlva, az IP alap hangtvitel kltsgmegtakartssal jr.
IP alap hangtovbbts - sok vllalat nem rendelkezik olyan szakrtelemmel,
amely egy nagy bels hlzat karbantartshoz kell. Szmos internetszolgltat
nyjt fizetett technikai tmogatst.
Szolgltatsi pont (POP - Point of Presence) - Egy vllalat egy megjelensi ponton
keresztl,
klnbz
elrsi
technolgit
hasznlva
kapcsoldhat
az
internetszolgltathoz.

Az internetszolgltatsok eljuttatsa a vgfelhasznlkhoz

Betrcszsos hozzfrs
A betrcszs egy nem tl kltsges, telefonvonal s modem hasznlatval
megvalstott internet elrsi mdszer. Az internetszolgltathoz val kapcsoldshoz a
felhasznl felhvja a szolgltat elrsi szmt. A leglassabb kapcsoldsi forma(56
Kb/s kb. 5 mb letltse 12 percet vesz ignybe), s jellemzen akkor hasznljk, ha
nagyobb sebessg kapcsolat nem pthet ki, illetve a tbb helyszn kztt ingz
dolgozk kztt elterjedt.
DSL
A digitlis elfizeti hurok vagy DSL a betrcszsnl kltsgesebb, de gyorsabb
kapcsolatot biztost. Szintn telefonvonalat hasznl, de a betrcszsos hozzfrssel
ellenttben lland internet kapcsolatot nyjt. Ez a kapcsoldsi megolds specilis
nagysebessg modem segtsgvel vlasztja szt a DSL jelet a telefon jeltl, s
szolgltat ethernetkapcsolatot egy szmtgp vagy LAN szmra.
Szlessv technolgin alapul, minimum 512 Kb/s sebessgre kpes, a letltsi s
feltltsi sebessg az ISP fldrajzi tvolsgtl s szolgltatsaitl fggen vltozhat.
Otthoni felhasznl esetn az Aszimmetrikus Digitlis Elfizeti Vonal (ADSL) a
legltalnosabb hasznlt tpus, ahol a letltsi sebessg nagyobb, mint a feltltsi
sebessg.
Msik tpusa a Szimmetrikus Digitlis Elfizeti Vonal (SDSL), melynl a feltltsi s
letltsi sebessgek azonosak, inkbb kis- s kzpvllalatok szmra ajnljk.
Kbelmodem
A kbelmodem a televzis trsasgok ltal nyjtott kapcsoldsi lehetsg. A hlzati
kommunikcihoz szksges jeleket ugyanaz a koaxilis kbel tovbbtja, mint a
televzimsort. Egy specilis kbelmodem klnvlasztja a hlzati jeleket a tbbitl,
s ethernetkapcsolatot biztost egy szmtgp vagy szmtgphlzat szmra.
Mholdas
Mholdas kapcsoldst a mholdas szolgltatk biztostanak. A felhasznl szmtgp
ethernethlzattal kapcsoldik a mholdas modemhez, mely a mholdas hlzat
legkzelebbi szolgltatsi pontjhoz (POP) kzvetti a jeleket. A sebessge az elfizet
ignytl fggen 128 Kb/s s 512 Kb/s kztt mozog.

A vllalatok ltal leggyakrabban

kapcsoldsi forma a kvetkez:

hasznlt

hrom

nagysvszlessg

T1 kapcsolat, mely 1,544 Mbit/s -os adattvitelre kpes. Ez egy szimmetrikus

kapcsolat, abban az rtelemben, hogy a feltltsi s letltsi sebessg azonos. Egy
kzpmret vllalatnak sszesen egy T1 kapcsolatra van szksge. Az E1
kapcsolat egy Eurpai szabvny, mely kpes akr 2,048 Mbit/s-os adattviteli
sebessgre is.
A T3 kapcsolat maximlisan 45 Mbit/s-os adattvitelt biztost. Habr meglehetsen
nagyobb kltsgekkel jr a T3 kapcsolat, mint a T1, nagyobb vllalatok esetn mgis
megfelelbb
az
alkalmazottak
ignyeinek
kielgtsre.
Tbbtelephely
nagyvllalatok szmra a T1 s T3 kapcsolatok egyttes hasznlata ajnlott. Az E3
kapcsolat egy Eurpai szabvny, mely kpes akr 34,368 Mbit/s-os adattvitli
sebessgre is.
A Metro Ethernet a nagysvszlessg lehetsgek szles vlasztkt knlja,
belertve a Gbit/s-os kapcsolatot. Olyan nagyobb vllalatok, melyek egy vroson
bell tbb helysznnel is rendelkeznek, mint pldul a bankok, Metro Ethernetet
hasznlnak. A Metro Ethernet a telephelyeket kapcsolt technolgival kti ssze.
Nagymennyisg adat olcsbb s gyorsabb tvitelt teszi lehetv, mint ms
nagysebessg kapcsolat.
A kapcsolat tpusnak meghatrozsa utn az internetelrshez szksg van az ISPhez trtn kapcsoldsra. Egyni szmtgpek s vllalati hlzatok a
szolgltatsi pontnl (POP) kapcsoldnak az internetszolgltathoz. A szolgltatsi
pontok (POP) ltalban az internetszolgltatk hlzatnak szln tallhatk s egy
meghatrozott fldrajzi terletet szolglnak ki. A vgfelhasznlk szmra helyi
csatlakozsi
pontot
s
hitelestst
(jelsz
vdelem)
biztostanak.
Egy
internetszolgltatnak tbb szolgltatsi pontja is lehet, attl fggen, hogy mekkora a
POP mrete s az a terlet, melyet a POP kiszolgl.
Az ISP hlzatn bell nagysebessg forgalomirnytk s kapcsolk tovbbtjk az
adatokat a szolgltatsi pontok kztt. Tbb tvonal is sszekti a szolgltatsi
pontokat, hogy alternatv tvonalat szolgltassanak forgalom tlterhels vagy kiess
esetn.

Internet Hierarchia
A hierarchia cscsn az internetszolgltat szervezetek tallhatk. Az
internetszolgltatk szolgltatsi pontjai (POP) egy internetcsatlakozsi ponthoz
csatlakoznak (IXP - Internet Exchange Point). Bizonyos orszgokban ezt hlzatelrsi
pontnak (NAP - Network Access Point) nevezik. Egy IXP vagy NAP az a pont, ahol tbb
internetszolgltat csatlakozik egymshoz, hogy elrjk egyms hlzatt s
informcit tovbbtsanak. Jelenleg tbb, mint 100 f csatlakozsi pont (IXP) tallhat
vilgszerte.
Az internet-gerinchlzatt a klnbz szervezetek hlzatainak csoportja alkotja,
melyeket IXP pontokon keresztl magn trskapcsolat kt ssze.
Az elsdleges tviteli kzeg, mely az internet gerinchlzatt sszekti, az vegszlas
kbel. Ezeket a kbeleket ltalban fldfelszn alatt vezetik a vrosok sszektshez.
vegszlas kbeleket a tenger alatt is vezetnek a kontinensek, orszgok s vrosok
sszektsre.

Az internetszolgltatkat klnbz osztlyokba soroljk annak megfelelen,

hogy hogyan rik el az internet gerinchlzatt.
Az 1. rteg (Tier 1) internetszolgltatk a hierarchia cscst kpezik. Az 1. rteg
internetszolgltatk olyan risszervezetek, melyek magn trskapcsolaton keresztl
kapcsoldnak egymshoz, fizikailag sszektve az nnll gerinchlzataikat, hogy
egy globlis internet- gerinchlzatot hozzanak ltre.
A sajt hlzatukon bell ezek az 1. rteg internetszolgltatk sajt
forgalomirnytkkal, nagysebessg adatkapcsolatokkal s ms olyan eszkzkkel
rendelkeznek, melyek lehetv teszik szmukra a tbbi 1. rteg
internetszolgltathoz trtn kapcsoldst. Ide tartoznak a kontinenseket
sszekt, tengeralatti kbelek is.
A 2. rteg internetszolgltatk a kvetkez osztlyt alkotjk az internet
gerinchlzatnak elrsben.
Vannak 2. rteg internetszolgltatk, akik, hogy az gyfeleiknek globlis
internethozzfrst biztostsanak, fizetnek az 1. rteg ISP-knek a forgalmuknak a
vilg ms rszei fel trtn tovbbtsrt.
Ms 2. rteg ISP-k a globlis forgalmat kevsb kltsges magn
trskapcsolatokon keresztl tovbbtjk ms ISP-k fel. Egy hatalmas IXP egy
kzponti fizikai helysznen akr tbbszz ISP-t is sszehozhat azrt, hogy tbb
hlzathoz hozzfrjen egy megosztott csatlakozson keresztl.
A 3. rteg internetszolgltatk vannak legtvolabb a gerinchlzattl. 3. rteg
internetszolgltatk ltalban nagyobb vrosokban tallhatk, s helyi internet
elrst biztostanak a felhasznlknak. 3. rteg ISP-k fizetnek az 1 s 2. rteg
ISP-knek a globlis internetelrsrt s az internetszolgltatsokrt.
Az internet feltrkpezshez hasznlhat eszkzk
A ping parancs egy ICMP (Internet Control Message Protocol) visszhangkrs
csomagot kld a clllomsnak s vrja, hogy a visszhangvlasz csomagok
megrkezzenek. Az ICMP a kommunikci ellenrzsre szolgl internet protokoll.
Mri a krscsomag elkldse s a vlaszcsomag megrkezse kztt eltelt idt. A
ping parancs kimenetbl leolvashat, hogy a vlasz sikeresen megrkezett-e, valamint
megmutatja az oda-vissza tviteli idt.
A traceroute paranccsal egy csomagnak a forrstl a clllomsig tart tvonala
jelenthet meg. Minden, a csomagtovbbtsban rsztvev forgalomirnyt egy
ugrsnak (hop) felel meg.
Ha problma trtnik, hasznlja a traceroute parancs kimenett, hogy segtsgvel
megllapthassa, hol veszett el a csomag, vagy hol trtnik a ksleltets!

ISP Kvetelmnyek
A kvetkez eszkzk szksgesek a szolgltatsok biztostshoz:
Elrsi eszkzk, melyek segtsgvel a felhasznlk kapcsoldhatnak az
internetszolgltathoz. Ide tartoznak a DSL hozzfrsi multiplexer (DSLAM - DSL
Access Multiplexer) a DSL kapcsolathoz, a kbelmodem lezr rendszer (CMTS Cable Modem Termination System) a kbelmodemes kapcsolathoz, modemek a
betrcszshoz s vezetknlkli hidakra a vezetknlkli kapcsolathoz.
Hatrtjr-forgalomirnytk, amelyek az internetszolgltatk szmra
kapcsoldst s adattvitelt biztositanak ms internetszolgltatkhoz,
internetcsatlakozsi pontokhoz, gyfl nagyvllalati hlzatokhoz.
Kiszolglk, melyek a levelezsrt, a hlzati cmfordtsrt, webes trhelyrt, FTP
oldalakrt s multimdia anyagok trolsrt felelsek.
ramelltsi berendezs tartalk tpegysgekkel a folyamatos szolgltats
biztostshoz ramkimarads esetn.
Nagyteljestmny lgkondcionl berendezsek a folyamatosan ellenrztt
hmrsklet biztostshoz.

gyflszolglat
Az ISP gyflszolglati Szervezete
Az internetszolgltatnl rendszerint 3 szint gyfltmogats van.
1. szint: Kzvetlen tmogats, amit rendszerint alacsonyabb beoszts
gyflszolglati szakemberek ltnak el.
2. szint: Ide kerlnek a tapasztaltabb gyflszolglati szakemberek beavatkozst
ignyl hvsok.
3. szint: Telefonon nem oldhat meg a problma, ki kell kldeni a helysznre egy
szakembert.
Az 1. szint gyflszolglat egy belp szint pozci, ahol egy fiatal szakember
rtkes tapasztalatokat gyjthet. Szmos gyflkrst megold az 1. szint
gyflszolglati szakember.
Azok a problmk, amelyeket nem tudtak megoldani, a 2. szint gyflszolglathoz
kerlnek, ahol jellemzen kevesebb szakember van. A 2. szint gyflszolglati
szakember funkcii s ktelezettsgei az 1. szint gyflszolglati szakemberhez
hasonlk, azonban munkakre nagyobb felkszltsget ignyel. a nagyobb kihvst
jelent, nagyobb tudst ignyl feladatokat oldja meg.

Tbb nagyobb szolgltat terjesztette ki tevkenysgt felhasznli hlzatok

helyszni szervizelsre s menedzselsre. Ezeket ltalban felgyelt szolgltatst
nyjt szolgltatknak Managed Service Providers (MSP) szoks nevezni. Ez a 3.
szint tmogats.
A 3. szint szolgltats gyakran van sszhangban egy szolgltatsi szint
megllapodssal (Service Level Agreement SLA). Az SLA olyan mint egy
biztostsi ktvny, amely kzvettst vagy beavatkozst biztost hlzati vagy
szmtgp hiba esetre.
Az OSI modell segtsgvel a hibsan mkd rtegre lehet koncentrlni, s a
hibt meg lehet szntetni.

Az OSI modell ht rtegt kt rszre osztjuk: fels rtegekre s als rtegekre.

A fels rteg kifejezssel nha, az OSI modell szlltsi rteg feletti, brmelyik rtegt
jellhetik. A fels rtegek tipikusan az alkalmazsokkal foglalkoznak, s ltalban
szoftveresen valsulnak meg. A legfels, az alkalmazsi rteg, ez van legkzelebb a
vgfelhasznlhoz.
Az als rteg kifejezssel az OSI modell viszony (egyttmkdsi) rteg alatti rtegeit
jellik. Az adatszlltst az als rtegek sszetett mkdse kezeli. A fizikai s az
adatkapcsolati rteget hardveresen s szoftveresen is meg kell valstani. A fizikai rteg
van legkzelebb a hlzati adattviv kzeghez, vagy a kbelezshez. A fizikai rteg
adja t az informcit az adattviteli kzegnek.
A vgkszlkek mint a szerver, vagy a kliens, ltalban mind a ht rteget hasznljk.
A hlzati eszkzk csak az alacsonyabb rtegekben mkdnek. Hubok csak az 1.
rtegben, a kapcsolk (switches) az 1. s 2. rtegben, a forgalomirnytk (routers) az
1. 2. s 3. rtegben, a tzfalak (firewalls) az 1. 2. 3. s 4. rtegben.

Az OSI modell az e-mail kldst s fogadst felosztja kisebb elklntett lpsekre a

ht rtegnek megfelelen.
1. lps: A felsbb rtegek elksztik az adatot.
Amikor a felhasznl egy alfa-numerikus karaktereket tartalmaz e-mail zenetet kld,
azt olyan adatokk kell konvertlni, amelyeket a hlzaton lehet tovbbtani. A 7., 6., s
5. rteg felel azrt, hogy az zenet olyan formj legyen, amelyet a clllomson fut
alkalmazs megrt.
Ez az eljrs a kdols. Ez utn a felsbb rtegek tadjk a kdolt zenetet az alsbb
rtegeknek, hogy azok tovbbtsk azt a hlzaton keresztl.

2. lps: A 4. rteg az adatokat (zenetet) a vgponttl vgpontig trtn

szlltshoz begyazza.
Az e-mail zenet tartalmt kpez adatokat a 4.rteg a hlzati tovbbts cljbl
becsomagolja. A 4. rteg kisebb darabokra, gynevezett szegmensekre bontja az
zenetet s olyan fejlccel ltja el ezeket, amelyek magukban foglaljk az alkalmazsi
rtegben mkd vgpontokat azonost TCP vagy UDP, portszmokat is. Emellett a 4.
rtegbeli fejlc azt is jelzi, hogy az adott szegmens milyen szllitsi rteg-szolgltats
tpust hasznl.
Az e-mail alkalmazs pldul TCP szlltsi rteg-szolgltatst hasznl, ezrt e-mail
szegmensek megrkezst a cllloms nyugtzza. A 4. rteg funkciit a forrs- s a
cl-llomson fut szoftver valsitja meg. Mivel a tzfalak a forgalom szrsre gyakran
hasznljk a TCP s UDP port-szmokat ezrt a 4. rteg problmit a helytelenl
belltott tzfal szr-lista is okozhatja.
3. lps: A 3. rteg hozzadja az IP-cm informcit.
A szlltsi rtegtl kapott szegmenseket a 3. rteg a forrs- s a cllloms hlzati
IP-cmt is magban foglal 3. rtegbeli (IP) fejlccel egszti ki, IP csomagokba
gyazza. A csomag cl-IP cmt a forgalomirnytk arra hasznljk, hogy a csomagot
a hlzat legmegfelelbb tvonaln tovbbtsk. A forrs- vagy cllloms hibsan
belltott IP-cme 3. rtegbeli mkdsi hibt idzhet el. Mivel az IP-cmet a
forgalomirnytk is hasznljk, a forgalomirnytban lv hibs konfigurci is
okozhat 3. rtegbeli hibt.

4. lps: A 2. rteg hozzadja a keret fej- s lblct.

A hlzati egysgek mindegyike a forrstl a clig, belertve a kld llomst is, a
csomagot keretbe gyazza. A keret-fejlc tartalmazza a kzvetlenl csatlakoz
adatvonalon t elrhet hlzati egysg fizikai (Media Access Control - MAC) cmt.
A keretekben tallhat informcit a kapcsolk s a hlzati krtyk hasznljk fel arra,
hogy az zenet a megfelel clllomshoz kerlhessen. A hibs hlzati krtya, a nem
megfelel krtya-meghajt s a kapcsolk hardverhibi 2. rtegbeli hibt okozhatnak.
5. lps: Az 1. rteg alaktja t az adatot tvihet bitekk.
Az adattviteli kzegen val tovbbtshoz a keretet 1-ekbl s 0-kbl (bitek) ll
sorozatt alaktjk t. Egy szinkronizl funkci teszi lehetv, hogy az egysgek a
kzegen val thaladsuk sorn meg tudjk klnbztetni az egyes biteket. A forrstl
a clig vezet tvonal mentn az tviteli kzeg vltozhat. Pldul: egy e-mail zenet
szrmazhat eredetileg egy Ethernet LAN hlzatbl, majd thaladhat a campus
vegszlas gerincn s egy soros WAN kapcsolaton, vgl egy Ethernet LAN
hlzaton clba rhet. Az 1. rtegben hibt okozhat a laza vagy hibs kbelezs, a
hibs hlzati krtya, vagy valamilyen elektromos zavar.

Az gyflszolglati szakembernek rendszerint van egy ltalnos ellenrz listja vagy

forgatknyve, amit a hiba feltrsa sorn kvet. A lers gyakran az alulrl felfel
megkzeltsen alapul. Ennek oka az, hogy a fizikai hibkat rendszerint knnyebb
diagnosztizlni s javtani, az alulrl felfel megkzelts pedig a fizikai rteggel kezd.
1. rteg hibakeresse
Az 1. rteg hibi gyakran a kbelezs s az elektromossg hibibl addnak, s ezek
nagyon sok gyflszolglati hvst eredmnyeznek. Nhny a gyakoribb fizikai rteg
hibkbl:

Az egysg ki van kapcsolva

Az egysg tpkbelt kihztk

Hibs a hlzati kbel csatlakozja

Hibs a kbel tpusa

Hibs a hlzati kbel

Hibs a vezetk nlkli hozzfrsi pont

Helytelen a vezetk nlkli bellts, mint pldul az SSID

A 2. rteg hibakeresse
A hlzati kapcsolk s az llomsok hlzati krtyi (NIC) 2. rtegbeli feladatokat
ltnak el. A 2. rtegben hibt okozhat a hibs berendezs, a helytelen eszkzmeghajt
vagy a nem megfelelen konfigurlt kapcsol. Mikor tvoli hibakeresst hajtunk vgre,

kompliklt lehet a 2. rteg hibjnak behatrolsa.

Egy helyszni gyflszolglati szakember ellenrizni tudja, vajon helyesen van-e
konfigurlva, s megfelelen mkdik-e a hlzati krtya. A hlzati krtya jra
bedugsa, vagy a hibsnak felttelezett krtya kicserlse egy biztosan hibtlan
krtyra, segthet a hiba behatrolsban. Brmely hlzati kapcsoln (switch) hajtsuk
vgre ugyanez az eljrst vgezhet el.
A 3. rteg hibakeresse
A 3. rtegben az gyflszolglati szakembernek a hlzaton hasznlt logikai cmzst
kell felderteni, mint amilyen az IP-cmzs. Ha a hlzat IP-cmzst hasznl, ellenrizni
kell az egysgek helyes belltst, pldul a kvetkezket.

Az IP-cm a kijellt hlzaton bell van-e?

Helyes-e az lhlzati maszk?

Helyes-e az alaprtelmezett tjr?

Egyb szksges belltsok, mint a DHCP vagy a DNS.

A 4. rteg hibakeresse
Amennyiben az 1. rtegtl a 3. rtegig valamennyi normlisan mkdik, s a ping
sikeresen elmegy a tvoli szerverig, itt az ideje, hogy a magasabb rtegeket
ellenrizzk. Pldul, ha az tvonalon tzfal van, fontos ellenrizni azt, hogy az
alkalmazs TCP vagy UDP portja nyitva van-e s, hogy a tzfal szrlistja nem
blokkolja-e a port forgalmt.
Az 5. rtegtl a 7. rtegig val hibakeress.
Az gyflszolglati szakembernek az alkalmazsok konfigurcijt is ellenrizni kell.
Pldul, ha egy e-mail hibt keresnk, ellenrizni kell hogy a kld s a fogad
szerverre vonatkoz informcik helyesek-e. Azt szintn ellenrizni kell, hogy a
tartomnynv feloldsa az elvrt mdon mkdik-e.
Tvoli gyflszolglati szakemberek, a magasabb rtegek hibit ms hlzati
segdeszkzkkel is ellenrizhetik, egy packet sniffer-el a teljes hlzati forgalom
ellenrizhet. Egy olyan hlzati alkalmazs mint a Telnet szintn felhasznlhat a
konfigurci ellenrzsre.
lloms-konfigurcis krdsek.
Amikor egy lloms dinamikus IP-cm fogadsra van konfigurlva, de a cmkioszt
szerver elrhetetlen vagy hozzfrhetetlen, akkor az opercis rendszer automatikusan
generl az lloms szmra egy specilis (link-local) helyi-hlzati cmet. Az IPv4
cmeket a 169.254.0.1-tl 169.254.255.254-ig terjed cmblokkban (169.254.0.0/16)
adatkapcsolati szinten helyi (link-local) cmnek nevezik Az lloms opercis rendszere
a cmet vletlenszeren adja ki a 169.254.0.0/16 cmtartomnyban.
Amikor az opercis rendszer generl egy ilyen cmet, akkor kld egy ARP krst ezzel
a cmmel a hlzatra, s megnzi, hogy hasznlja-e valamelyik eszkz ezt a cmet. Ha
vlasz nincs, akkor a cmet az eszkzhz rendeli, egybknt msik IP-cmet vlaszt, s
az ARP krst megismtli. Microsoft hivatkozsokban ez az nmkd privt IP-cmzs
(Automatic Private IP Addressing APIPA).

A hibsan betlttt TCP/IP kszlet megakadlyozza az IP helyes mkdst. A TCP/IP

kszlet ellenrizhet a visszacsatolsi cm hasznlatval. A visszacsatolsi cm egy
specilis IP-cm. Az IPv4 rendszerben erre a clra fenntartott cm: 127.0.0.1, melyen az
lloms kzvetlenl nmagval forgalmaz. A visszacsatolsi hurok rvidre zrja a
TCP/IP alkalmazsok s szolglatok kztti kommunikcit egy eszkzn bell.
A sajt lloms TCP/IP belltsa ellenrizhet a ping 127.0.0.1 parancs kiadsval. Ha
nem rkezik vlasz a visszacsatolsi cm pingelsre, akkor a hiba oka a TCP/IP
kszlet belltsa vagy installlsa lehet.
A 127.0.0.1tl a 127.255.255.254ig terjed cmtartomny az ellenrzsek cljra van
fenntartva. Ezen bell minden cm visszacsatol, az adott helyi llomson van. A fenti
tartomnyon belli cm sohasem jelenhet meg a hlzaton. Annak ellenre, hogy a
127.0.0.0/8 tartomny van fenntartva a visszacsatolsos ellenrzsre, jellemzen csak
a 127.0.0.1 cmet hasznljuk.
gyflszolglati feljegyzs ksztse s alkalmazsa
Idnknt az 1. szint gyflszolglati szakember olyan hvst kap, amely nem oldhat
meg gyorsan. Az felelssge az, hogy a hvs eljusson a 2. szint gyflszolglati
szakemberhez, aki a hibaelhrtsban tapasztaltabb. Ez a hvskiterjeszts
(eszkalci) nven ismeretes eljrs, a feladat tadsa a tapasztaltabb szakembernek.
A helyszni eljrs
Mieltt a helyszni gyflszolglati szakember megkezdi a hiba elhrtst vagy a
javtst ngy feladata van:
1. lps Bemutatkozik a felhasznlnak s azonostja magt.
2. lps ttekinti az gyfllel a hibajegy vagy a munkalap feljegyzseit s ellenrzik,
hogy az eddigi informcik meglljk-e a helyket.
3. lps Kzli az gyfllel az azonostott problmk aktulis llapott, valamint azt,
hogy mit akar aznap tenni.
4. lps Engedlyt kr a felhasznltl a munka megkezdsre.
Az gyflszolglati szakembernek brmilyen konfigurcis vltoztats vagy j
berendezs teleptse utn ellenrizni kell a helyes mkdst. Amikor befejezte a
munkt, kzlnie kell az gyfllel az azonostott hiba termszett, a vlasztott
megoldst s minden azt kvet eljrst. Mieltt a problmt megoldottnak tekinthetn
az gyflszolglati szakember, az gyflnek t kell vennie a munkt. A hibajegyet csak
ezutn zrhatja le, s a megoldst is dokumentlnia kell.

Egy hlzat tovbbfejlesztsnek

tervezse
A helyszn felmrse
A helyszni felmrsek sorn gyjthet fontosabb informcik kz tartoznak a
kvetkezk:

Felhasznlk szma s a berendezsek tpusa

Tervezett nvekeds mrtke

Jelenlegi internet hozzfrs tpusa

Alkalmazsokra vonatkoz kvetelmnyek

Meglv hlzati infrastruktra s fizikai elhelyezkedse

j szolgltatsokra vonatkoz kvetelmnyek

Biztonsgi s titoktartsi megfontolsok

Megbzhatsgi s rendelkezsre llsi elvrsok

Kltsgvetsi megszortsok

Amennyiben lehetsges, szerezzk be a telephely alaprajzt. Ha az alaprajz nem ll

rendelkezsre, a szakemberek rajzolhatnak egy a helyisgek mretre s
elhelyezkedsre vonatkoz brt. Nagy segtsget nyjthat a fejlesztsi
alapkvetelmnyek megfogalmazsban a meglv hlzati hardverekrl s
szoftverekrl kszlt leltri lista.

Hlzati terv

Fizikai s logikai topolgik

A fizikai topolgia a kbelek, szmtgpek s egyb perifrik tnyleges
elhelyezkedsbl ll. A logikai topolgia a hlzaton tmen adatok ltal megtett
tvonalat s a hlzati feladatok, pldul forgalomirnyts elltsnak helyt
tartalmazza.
Vezetkes hlzatok esetben a fizikai topolgia a kbelszekrnybl s a
vgfelhasznli llomsokhoz vezet kbelekbl ll. Ezzel szemben a vezetk nlkli
hlzatoknl a kbelszekrny s a hozzfrsi pontok alkotjk a fizikai topolgit. Mivel
ebben az esetben nincsenek kbelek, ezrt a fizikai topolgihoz tartozik a vezetk
nlkli jelek lefedettsgi terlete is.

A logikai topolgia tbbnyire megegyezik a vezetkes s vezetk nlkli hlzatok

esetn. Tartalmazza a vgfelhasznli llomsok, a forgalomirnytk s egyb hlzati
eszkzk neveit s 3. rtegbeli cmeit (IP), tekintet nlkl a fizikai elhelyezkedskre.
Jelzi a forgalomirnyts, hlzati cmfordts s tzfalas szrs helyt.

Csillag topolgik
Csillag topolgia esetben az egyes hlzati eszkzk nll sszekttetsen keresztl
kapcsoldnak a kzponti berendezshez. A kzponti berendezs szerept ltalban
egy kapcsol vagy vezetk nlkli hozzfrsi pont ltja el. A csillag topolgia elnye,
hogy ha egy kapcsold eszkz meghibsodik, a hiba csak ezt az eszkzt rinti. Ha
viszont a kzponti berendezs, pldul a kapcsol hibsodik meg, akkor minden
csatlakoz eszkz elveszti a kapcsolatot.
Kiterjesztett csillag topolgia akkor jn ltre, ha az egyik csillag kzponti eszkze egy
msik csillag kzponti berendezsvel kerl kapcsolatba. Ilyen topolgia jn ltre
pldul, amikor tbb kapcsol van sszektve, vagy lnckapcsolsban van egymssal.

Hl Topolgik
Teljes hl topolgia esetben minden hlzati eszkz kzvetlen sszekttetsben ll a
tbbi eszkzzel. Br a teljes hl topolgik a teljesen redundns hlzat elnyeit
nyjtjk, htrnyaik kz tartozik a krlmnyes huzalozs s felgyelet, valamint a
magas kltsgek.
Nagyobb mret teleptsek esetn mdostott, rszleges hl topolgit alkalmaznak.
A rszleges hl topolgiknl minden eszkz legalbb kt msikkal ll
sszekttetsben. Ez a fajta elrendezs tbbnyire elegend redundancit biztost a
teljes hl topolgik bonyolultsga nlkl.
A rszleges vagy teljes hl segtsgvel megvalstott redundns topolgik
biztostjk, hogy a hlzati eszkzk meghibsods esetn is kpesek legyenek
alternatv tvonalak hasznlatval elkldeni az adatokat.

Hlzati kvetelmnyek dokumentlsa

A meglv hlzat alapjn ksztett topolgiai trkpek mellet szksg van a jelenleg
teleptett llomsokrl s eszkzkrl szerzett tovbbi informcikra. Ezeket az
adatokat leltri veken szoks rgzteni. Ezen kvl dokumentljk a vllalat
kzeljvben vrhat nvekedst is.
A fenti ismeretek birtokban a hlzat tervezje meghatrozhatja a szksges j
eszkzk szmt, s a cg vrhat nvekedshez legjobban illeszked hlzati
struktrt.
A teleptett eszkzkrl felvett leltrnak a kvetkez adatokat kell tartalmaznia:

Eszkz neve

Beszerzs idpontja

Jtllsi informcik

Hely

Mrka s modell megnevezse

Opercis rendszer

Logikai cmzsi informcik

tjr

Kapcsolds tpusa

Teleptett vruskeres szoftverek

Biztonsgi informcik

Hlzati korszersts tervezsi fzisai

A hlzat korszerstst gondos tervezsnek kell megelznie. Brmely ms projekthez
hasonlan elszr meg kell hatrozni a szksgleteket, majd egy terv kszl, amely
krvonalazza a fejleszts folyamatt az elejtl a vgig. Egy j projektterv segt
felismerni a gyenge pontokat, az erssgeket, a kihasznlhat lehetsgeket s a
veszlyforrsokat (SWOT). A terv pontosan meghatrozza az elvgzend feladatokat,
s azok vgrehajtsi sorrendjt.
Egy hlzati korszersts tervezse a helyszni szemle s az eredmnyeket tartalmaz
jelents elkszlte utn kezddhet meg. t fzist klnbztetnk meg.
1. fzis: Kvetelmnyek sszegyjtse
Miutn elvgeztk a helyszni szemlt, s minden szksges informcit
sszegyjtttek az gyfltl, az adatok elemzsvel meghatrozhatk a hlzat
kvetelmnyei.
Az elemzs eredmnyt egy Elemzsi jelentsben foglaljk ssze.
2. fzis: Kivlaszts s tervezs
Az Elemzsi jelentsben megfogalmazott kvetelmnyek alapjn kivlasztjk a
szksges eszkzket s kbeleket. Tbbfle tervezsi alternatvt ksztenek,
melyeket rendszeresen megosztanak a projekt tbbi tagjval. Ez a fzis lehetsget
teremt arra, hogy a tervez csapat tagjai mg a dokumentci szintjn ttekintsk a
hlzatot s kompromisszumot teremtsenek a teljestmny s a kltsg kztt. Ez az a
fzis, melynek sorn lehetsg van a terv gyenge pontjainak feltrsra s
kikszblsre.
Szintn e fzis sorn ksztik el s tesztelik a hlzat prototpust. A prototpus j
indiktora az j hlzat vrhat mkdsnek.
3. fzis: Kivitelezs
Ha az els kt lpst megfelelen vgeztk el, a kivitelezs valsznleg
problmamentes lesz. Ha olyan feladatok merlnek fel, amelyeken a korbbi fzisokban
tsiklottak, a kivitelezsi fzisban kell korriglni. Egy vratlan esemnyek megoldsra
tartalk idt biztost kivitelezsi temterv segtsgvel a szolgltats kiesse az gyfl
szmra minimlisra szorthat. A projekt sikernek elfelttele az gyfllel val
folyamatos kapcsolattarts a kivitelezsi folyamat sorn.
4 fzis: zemeltets
A hlzatot az gynevezett termelsi krnyezetben fogjk zembe helyezni. E lpst
megelzen a hlzat mg az ellenrzsi vagy kivitelezsi fzisban van.

5. fzis: ttekints s rtkels

Miutn a hlzatot zembe helyeztk, sort kell kerteni a tervezsi s kivitelezs
ttekintsre s rtkelsre. E folyamat vgrehajtshoz a kvetkez lpsek
elvgzse ajnlott:
1. lps: Hasonltsuk ssze a felhasznlk tapasztalatait a dokumentciban foglalt
clokkal, s mrlegeljk, hogy a terv megfelel-e a feladatok elvgzshez!
2. lps: Vessk ssze az elirnyzott terveket s kltsgeket a tnylegesen
megvalstottal! Ez az rtkels teszi lehetv, hogy a most elvgzett projekt sorn
szerzett tapasztalatok a jvbeni projektek elnyre vlnak.
3. lps: A mkds megfigyelse s a vltozsok rgztse. Nagyon fontos, hogy a
rendszer mindig teljeskren dokumentlt s ellenrizhet legyen.
A klnbz fzisok gondos tervezse biztostja a projekt zkkenmentes lezajlst s
a megvalsts sikeressgt. A helysznen dolgoz szakembereket gyakran bevonjk a
tervezsbe, mivel k a korszersts minden fzisban rszt vesznek.
Fizikai Krnyezet
Az egyik els dolog, melyet a hlzat tervezjnek el kell vgeznie az j hlzathoz
szksges berendezsek kivlasztsa s a tervek elksztse eltt, a meglv hlzati
felszerelsek s a kbelezs megvizsglsa. A felszerelsek kz tartozik a fizikai
krnyezet egsze, a telekommunikcis helyisg s a meglv hlzati kbelezs. A
telekommunikcis helyisget vagy a kbelszekrnyt egy kismret, egy szintre
kiterjed hlzat esetn ltalban Kzponti kbelrendeznek (MDF) nevezzk.
Az MDF jellemzen tbb hlzati eszkzt, pldul kapcsolkat, hubokat,
forgalomirnytkat s hozzfrsi pontokat tartalmaz. Ezen a helyen fut ssze egy
pontban az sszes hlzati kbel. Sokszor az MDF tartalmazza az internetszolgltat
szolgltats-elrsi pontjt (POP) is. Itt kapcsoldik a hlzat az internethez egy
tvkzlsi szolgltatn keresztl.
Amennyiben tovbbi kbelszekrnyekre is szksg van, azokat kzbens
kbelrendezknek (IDF) nevezik. Az IDF-ek jellemzen kisebbek a kzponti
kbelrendeznl, s kapcsolatban llnak vele.
Sok kisvllalkozs nem rendelkezik telekommunikcis helyisggel vagy
kbelszekrnnyel. Ilyen esetekben a hlzati eszkzk ltalban egy rasztalon vagy
ms btordarabon helyezkednek el, s a kbelek csak gy a fldn fekszenek. A
hlzati berendezseket mindig biztonsgban kell tartani! A hlzat nvekedsvel egy
telekommunikcis szoba meglte kritikus fontossg lesz a biztonsg s a hlzat
megbzhatsga szempontjbl.
A klnbz ISO szabvnyok eltr terminolgit hasznlnak az MDF s IDF
szakkifejezsekre. A kbelszekrny kifejezs utalhat az MDF-re s az IDF-re is.
MDF = pletek kztti eloszt
IDF = Szintek kztti eloszt

Kbelezsi megfontolsok
Ha a meglv kbelezs nem felel meg az j berendezsek elrsainak, j kbelezst
kell tervezni s kipteni. A meglv kbelek llapota gyorsan megllapthat a hlzat
fizikai megtekintsvel a helyszni szemle sorn. Hlzati kbelek teleptsnek
tervezsekor ngy fizikai krnyezetet kell figyelembe venni:

Felhasznlk munkaterlete

Telekommunikcis helyisg

Gerinchlzati terlet

Elosztsi terlet

rnykolt csavart rpr (STP) - Rendszerint 5-s, 5e vagy 6-os kategrij

kbel, mely fmflia segtsgvel vdett a kls elektromgneses
interferencival (EMI) szemben. Ethernet hlzatokban a kbel ltal thidalhat
maximlis tvolsg krlbell 100 mter (328 lb).

rnykolatlan csavart rpr (UTP) - Jellemzen 5-s, 5e vagy 6-os kategrij

kbel, mely nem biztost kln vdelmet az EMI-vel szemben, viszont olcs. A
kbelek vezetse sorn el kell kerlni az elektromosan zajos terleteket.
Ethernet hlzatokban a kbel ltal thidalhat maximlis tvolsg krlbell
100 mter (328 lb).

Optikai szlas kbel - Elektromgneses interferencira rzketlen tviteli

kzeg, mely a rznl nagyobb sebessggel s tvolabbra kpes tovbbtani az
adatokat. Az vegszl tpustl fggen az thidalhat tvolsg tbb kilomter is
lehet. Az optikai szlas kbelek gerinchlzati sszekttetsek s
nagysebessg kapcsolatok ltrehozsra hasznlhatk.

E hrom gyakran hasznlt kbeltpuson kvl a koaxilis kbelt is hasznljk a

hlzatokban. A koaxilis kbeleket ltalban nem LAN-okban hasznljk, inkbb a
kbelmodemes internet szolgltati hlzatokban elterjedtek. A koaxilis kbel magja
szilrd, krltte tbb vdrteg tallhat, melyek polivinilkloridbl (PVC), fonott
rnykol vezetkbl s manyag burkolatbl llnak. A kbellel thidalhat tvolsg
tbb kilomter. Az thidalhat tvolsgi a kapcsolat rendeltetstl fgg.

A Telecommunications Industry Association (TIA) s az Electronic Industries Alliance

(EIA) egyttmkdsnek eredmnye a LAN hlzatok szmra ltrehozott TIA/EIA
kbelezsi elrs. A kt leggyakrabban hasznlt TIA/EIA kbelezsi specifikci az
568-A s 568-B szabvny. Mindkt szabvny ugyanolyan 5-s vagy 6-os kategrij
kbelt hasznl, viszont a csatlakozk bektse eltr sznmintt kvet.
A hlzatokban hrom klnbz tpus csavart rpras kbelt hasznlnak:

Egyeneskts - Egymstl eltr eszkzk sszekapcsolsra hasznlhat,

pldul kapcsol s szmtgp vagy kapcsol s forgalomirnyt.

Keresztkts - Hasonl eszkzk sszekapcsolsra szolgl, mint pldul kt

kapcsol vagy kt szmtgp.

Konzol (vagy Rollover) - Kapcsolatot teremt egy szmtgp s egy

forgalomirnyt vagy kapcsol konzol portja kztt a kezdeti konfigurls
elvgzshez.

Hlzatokban gyakran elfordul egyb kbeltpus a soros kbel. Soros kbelt

jellemzen forgalomirnytk internetre trtn csatlakozshoz hasznlnak. Ezt az
internet kapcsolatot egy telefonszolgltat, egy kbelszolgltat vagy valamilyen magn
ISP is biztosthatja.
Strukturlt kbelezs
Strukturlt kbelezsi projekt tervezse sorn az els lps egy pontos alaprajz
beszerzse. A tervrajz segtsgvel a szakembereknek lehetsge nylik a
kbelszekrnyek, kbelvezetk-csatornk s az elkerlend elektromos terletek
lehetsges helyzetnek meghatrozsra.
Az albbi tteleket felttlenl rgzteni kell a rajzon:
Toldkbel - A szmtgp s a fali csatlakozaljzat kztt elhelyezked rvid kbel
a felhasznlk munkaterletn.
Horizontlis kbel - A fali csatlakoz s valamelyik IDF kztt tallhat kbel az
elosztsi terleten.
Vertiklis kbel - Az IDF-et s az MDF-et sszekt kbel a vllalat gerinchlzati
terletn.
Gerinchlzati kbel - A legtbb hlzati forgalmat bonyolt hlzati terlet.
Kbelszekrny helye - A vgfelhasznlk fell rkez kbeleket egy hub vagy
kapcsol segtsgvel koncentrl terlet.
Kbelfelgyeleti rendszer - Kbelek vezetst s vdelmt ellt snek s pntok
sszessge.
Kbeljell rendszer - A kbelek azonostsra hasznlhat jellsi rendszer vagy
sma.
Elektromos rendszerekkel kapcsolatos megfontolsok - A hlzati berendezsek
elektromos kvetelmnyeit biztost csatlakozkat s az ezekhez kapcsold
felszerelseket foglalja magban.

Hlzati eszkzk kivlasztsa

A klnbz eszkzk ms-ms kpessgekkel rendelkeznek a hlzaton keresztl
tmen adatfolyam vezrlshez. Ltezik az az ltalnos szably, mely szerint egy
eszkz minl magasabb OSI modell rtegbe tartozik, annl intelligensebb. Ez azt
jelenti, hogy egy magasabb szint eszkz az adatforgalom jobb elemzsre kpes, s
olyan informcik alapjn tovbbtja, melyek az alacsonyabb rtegekben nem rhetk
el. Pldul, egy 1. rtegbeli hub kizrlag minden portjt felhasznlva kpes az adatok
tovbbtsra, mg egy 2. rtegbeli kapcsol meg tudja szrni az adatokat s csak azon
a porton kldi ki, amely a megfelel MAC cm clllomshoz kapcsoldik.
A tbbfunkcis forgalomirnytk (ISR) olyan hlzati eszkzk, melyek egy
kszlkben egyestik a kapcsolk, forgalomirnytk, hozzfrsi pontok s tzfalak
adottsgait.
LAN Eszkzk kivlasztsa
Br mind a hubok, mind a kapcsolk biztostjk az sszekttetst a hlzat hozzfrsi
rtegben, mgis inkbb a kapcsolkat rdemes vlasztani a helyi hlzatban tallhat
eszkzk sszekttetsre. A kapcsolk jval kltsgesebbek a huboknl, azonban a
nagyobb teljestmnyk jval gazdasgosabb teszi ket.
Amikor egy helyi hlzathoz kapcsolt kell vlasztani, szmos tnyezt kell fontolra
venni. E tnyezk kz tartoznak tbbek kztt a kvetkezk:

Portok, interfszek tpusa s sebessge

Bvthetsg

Felgyelhetsg

Kltsg

Portok, interfszek tpusa s sebessge

Olyan 2. rtegbeli eszkzt vlasztva, amely a megnvekedett sebessg kvetelmnyt is
kpes elltni, lehetsg lesz a hlzat fejlesztsre a kzponti berendezsek cserje
nlkl.
A kapcsol kivlasztsakor alapvet szempont a portok szma s tpusa.
A hlzati tervezknek krltekinten kell meghatrozniuk a csavart rpras (TP) s az
optikai szlas portok szmt. Meg kell becslni az esetleges hlzatbvtsekhez
szksges tartalk portok szmt is.
Bvthetsg
A bvthely felhasznlsnak tipikus pldja, amikor egy eredenden csak nhny
rgztett csavart rpras porttal konfigurlt eszkzt optikai szlas kbelek
csatlakoztatsra alkalmas modullal bvtik. Modulris kapcsolk segtsgvel
kltsghatkonyan kvethet a LAN mretnvekedse.
Felgyelhetsg
Egy alskategris, olcs kapcsol nem konfigurlhat. Egy olyan felgyelhet
kapcsol esetn viszont, amely Cisco IOS szolgltatskszletet hasznl, lehetsg van
az egyes portok vagy akr az egsz kapcsol forgalmnak szablyozsra. A
szablyozs lehetsgei kz tartozik tbbek kztt az eszkz belltsainak
megvltoztatsa, a port biztonsg bevezetse, valamint a teljestmny felgyelet.
gy pldul egy felgyelhet kapcsol portjai klnllan be, illetve kikapcsolhatk.
Tovbb a rendszergazda azt is megszabhatja, mely szmtgpek csatlakozhatnak
egy adott porthoz.
Kltsgek
Egy kapcsol rt a teljestmnye s szolgltatsai hatrozzk meg. A teljestmnyt a
portok szma s tpusa, valamint a teljes tbocstkpessg jellemzi.
Egy egyszer r/port szmtst hasznlva elszr gy tnhet, hogy a legjobb vlaszts
egy nagymret kapcsol valamilyen kzponti helyre trtn teleptse. A ltszlagos
megtakartsokat azonban ellenslyozhatjk a hosszabb kbelek miatt felmerl
tbbletkltsgek, amelyek a kzponti kapcsol s a tbbi eszkz kztt teremtik meg
kapcsolatot. Ezrt ezt a lehetsget rdemes sszevetni azzal a megoldssal, amikor
tbb kisebb kapcsolt teleptnk egy kzponti kapcsol kr kevesebb szm,
hosszabb kbellel sszektve.
Egyetlen nagy kzponti helyett, tbb kisebb eszkz elhelyezse azzal az elnnyel is jr,
hogy cskken a hibatartomny mrete. Egy hibatartomny a hlzat azon terlete,
amelyet egy hlzati berendezs hibs mkdse vagy meghibsodsa befolysolhat.

A forgalomirnyt 3. rtegbeli kszlk. Kpes vgrehajtani az alacsonyabb

rtegekben elhelyezked eszkzk feladatait, valamint 3. rtegbeli informcik alapjn
meghatrozni a clhoz vezet legjobb tvonalat. Hlzatok sszekapcsolsra
elsdlegesen forgalomirnytkat hasznlnak. Egy forgalomirnyt minden egyes
portja klnbz hlzathoz csatlakozik s az ezek kztt raml csomagok
irnytsrt felel. A forgalomirnytk kpesek az zenetszrsi s az tkzsi
tartomnyok felosztsra.
A forgalomirnyt kivlasztsakor, a kszlk jellemzit s a hlzat kvetelmnyeit
kell sszeegyeztetni. A kivlasztskor a kvetkez tnyezket kell figyelembe venni:

A kapcsolds tpusa

Rendelkezsre ll szolgltatsok

Kltsg

Kapcsolds
A forgalomirnytk kpesek klnbz technolgival rendelkez hlzatok
sszekapcsolsra. Rendelkezhetnek LAN s WAN interfszekkel is.
A forgalomirnyt LAN interfsze a helyi hlzat tviteli kzeghez csatlakozik. Ez
leggyakrabban UTP kbelezst jelent, de modulok hozzadsval optikai kbelek
hasznlatra is nylik lehetsg. A forgalomirnyt sorozattl vagy modelljtl fggen
tbb interfsz tpus hasznlhat LAN, illetve WAN kbelek csatlakoztatsra.
Jellemzk
A forgalomirnyt jellemzinek sszhangban kell lennik a hlzat kvetelmnyeivel.
Az alapvet forgalomirnytsi funkcikon kvl a kvetkez szolgltatsok lnak
rendelkezsre:

Biztonsg (Security)

Szolgltats minsge (QoS)

IP-alap hangtvitel (VoIP)

Hlzati cmfordts (NAT)

Dinamikus llomskonfigurl protokoll (DHCP)

Virtulis magnhlzat (VPN)

Kltsgek
Hlzati eszkzk kivlasztsakor mindig fontos szempont a kltsgvets. A
forgalomirnytk drga berendezsek, s a bvt modulok, pldul optikai szlas
modulok hozzadsa tovbb nveli a kltsgeket.
Viszonylag j technolgit kpviselnek az integrlt szolgltats forgalomirnytk
(ISR), melyek egy eszkzben szmos szolgltatst tvznek. Az ISR eszkzk
bevezetse eltt szmos berendezs hasznlatra volt szksg az adat, a vezetkes, a
vezetk nlkli, a hang, a vide, a tzfal s a VPN technolgik teremtette
kvetelmnyek biztostshoz.

Az ISR eszkzket tbb szolgltats elltsra terveztk, hogy kielgtsk a kis s

kzepes mret vllalkozsok, illetve a nagyobb szervezetek kirendeltsgeinek
ignyeit. ISR-ek segtsgvel egy szervezet gyorsan s knnyen kpes vgponttl
vgpontig kiterjed vdelmet nyjtani felhasznlk, alkalmazsok, hlzati vgpontok
s vezetk nlkli helyi hlzatok szmra. Radsul egy ISR eszkz kltsge jval
kisebb is lehet, mintha az egyes szolgltatsokat bztost kszlkeket kln-kln
vsrolnnk meg.

Tervezsi megfontolsok
A hlzatoknak megbzhatknak s folyamatosan rendelkezsre llknak kell lennik. A
megbzhatsg redundns hlzati sszetevk, pldul egy helyett kt
forgalomirnyt hasznlatval, megvalsthat. Ebben az esetben alternatv tvonalak
jnnek ltre, gy ha az egyik forgalomirnyt esetben problmk lpnek fel, az adatok
egy msik tvonalon juthatnak el a clllomshoz.
A hlzat megbzhatsgt ltalban a hibatr kialaktsval javtjk. A hibatr
rendszerek tartozkai a sznetmentes tpegysgek (UPS), a redundns vltakoz
ram tpegysgek, a menet kzben cserlhet eszkzk, a kettztt illesztkrtyk s
a tartalk rendszerek. Amikor valamelyik eszkz meghibsodik, a redundns vagy
tartalk rendszer tveszi a meghibsodott eszkz szerepkrt, hogy a megbzhatsg
lehet legkisebb mrtkben srljn. A hibatr rendszerek kz tartoznak a tartalk
kommunikcis kapcsolatok is.

Cmzsi struktra tervezse

IP cmek ttekintse
Az IP-cmzs egy eljrs, amelynek clja az llomsok s a hlzatok azonostsa. Az
id elrehaladsval az internet folyamatosan nvekedett, a bekttt llomsok szma
ntt, az IP-cmzs rendszernek pedig alkalmazkodnia kellett a nvekedshez.
Br az IP-cmzs rendszere folyamatosan vltozik, az IPv4 alapvet IP-cm struktrja
vltozatlan. Az IP hlzaton trtn zenetkldshez s zenetfogadshoz minden
hlzati llomshoz hozz kell rendelni egy egyedi 32 bites IP-cmet. Mivel az emberek
szmra a hossz binris szmok nehezen olvashatk s rtelmezhetk, az IP-cmeket
rendszerint pontokkal elvlasztott tzes szmrendszerbeli szmokkal brzoljuk. Ennl
a jellsnl a ngy darab, nyolc binris szmjegybl ll blokkot (oktettet) tvltjuk
tzes szmrendszerbe, s pontokkal vlasztjuk el egymstl ket. Pldul, a kvetkez
IP-cmet:
11000000.10101000.00000001.01101010
Tzes szmrendszerben, pontokkal elvlasztva, 192.168.1.106 alakban brzolunk.
A nagyszm hlzat azonostshoz a 32 bites cmtartomnyt t cm-osztlyra
bontottk fel. Ezek kzl hrom, az A, B s C osztlyok az llomsok vagy hlzatok
egyedi azonostsra hasznlhat, mg a maradk kt osztly, a D s az E csoportos
cmzs (multicast), illetve ksrleti clokra hasznlhat.
Az IP cmtartomny cm-osztlyokra bontsa eltt a forgalomirnytk a hlzatok
azonostsra csak az IP-cmek legmagasabb helyirtk 8 bitjt hasznltk. Ezzel
szemben a B osztly hlzatcmek 16 legmagasabb helyirtk bitje azonostja a
hlzatokat, a C osztly hlzatcmek esetn pedig a cm 24 legmagasabb helyirtk
bitje szolgl ugyanerre a clra. A cm-osztlyokra bonts utn a forgalomirnytkat t
kellett programozni azrt, hogy azok figyelembe vegyk az els 8 biten tli tartomnyt
is, s gy a B s C osztly hlzatokat is tudjk kezelni.
gy dntttek, hogy a hlzatokat olyan mdon osztjk fel, hogy a forgalomirnytk s
az llomsok knnyen s helyesen llapthassk meg a hlzatot azonost (hlzati
ID) bitek szmt.
hlzati osztlyt az IP-cm els pr bitje adja meg, ezek a legmagasabb helyirtk
bitek. Ha az els bit 0, a hlzat A osztly, s az els 8 bit (els oktett) azonostja a
hlzatot. Ha az els bit 1, a forgalomirnyt megvizsglja a msodik bitet. Ha a
msodik bit 0, akkor a hlzat B osztly, s a forgalomirnyt az els 16 bittel
azonostja a hlzatot. Ha az els hrom bit 110, akkor az C osztlyt jelent. A C
osztly cmek az els 24 bitet, azaz hrom oktettet hasznlnak a hlzat
azonostsra. Az eredeti 8 bites hlzati mezt kisebb osztlyokra bontva a lehetsges
hlzatok szma az eredeti 256-rl kt millinl is tbbre nvekedett.

A klnfle osztlyok ltrehozsn tlmenen az Internet Engineering Task Force

(IETF) gy dnttt, hogy az internetes cmtartomny egy rszt a magnhlzatoknak
tartja fenn. A magnhlzatok nem csatlakoznak a nyilvnos hlzatokhoz. A
magnhlzati cmek nem alkalmasak forgalomirnytsra az interneten. gy tbb
hlzat, tbb klnbz helyen hasznlhatja ugyanazt a magnhlzati cmzst
cmtkzs nlkl.

A legtbb mai hlzat a magnhlzati cmzsi mdot hasznlja. A legtbb,

kereskedelemben kaphat hlzati eszkz alapbelltsknt magnhlzati cmeket
oszt ki a DHCP-n keresztl. Csupn az internethez kzvetlenl kapcsold
eszkzkhz van regisztrlt, az interneten forgalomirnythatsra alkalmas cm
hozzrendelve.

Alhlzatok a hlzatban

Az A osztly 127.0.0.0-es cm az gynevezett Loopback avagy visszacsatolsi

cm, a hlkrtya ntesztelsre szolgl.
Az eredeti IP-cm hierarchiban kt szint ltezik: a hlzat s az lloms szintje. Az
osztlyalap rendszerben az els hrom kezdbit az IP-cm A, B, vagy C osztlyba
tartozst hivatott jellni. Ha egy cmet mr osztlyba soroltunk, a hlzatot s az
llomsokat azonost (lloms ID) bitek szma jl ismert. A hlzati osztlyokhoz
tartoz alaprtelmezett maszkok a kvetkezk:
A osztly 255.0.0.0
B osztly 255.255.0.0
C osztly 255.255.255.0
Egy adott osztlyba tartoz hlzat tovbb bontsa j szintet hoz ltre a hlzati
hierarchiban. Hrom szinttel dolgozunk: egy hlzati, egy alhlzati s egy lloms
szinttel.

Az egyes A, B, vagy C osztly hlzati cmtartomnyok sok alhlzatra bonthatk az

lloms cmtartomnyt meghatroz biteknek az alhlzat azonostsra trtn
felhasznlsval. Nzznk egy pldt! Egy szervezet C osztly cmtartomnyt
hasznl, kt irodja van kt klnbz pletben. A knnyebb menedzselhetsg
rdekben a hlzati adminisztrtor mindegyik helysznt logikailag egy kln hlzatnak
szeretn ltni. Ha az llomsok cmtartomnybl kt bitet felhasznlunk, az alhlzati
maszk 24-rl 26 bitre nvekszik, vagyis 255.255.255.192 lesz.
Egyedi alhlzati azonostk
Az alaprtelmezett hlzati maszk s az alhlzati maszk abban klnbzik egymstl,
hogy az alaprtelmezett maszkok csak oktetthatron vltoznak. Pldul, egy A-osztly
hlzat alaprtelmezett hlzati maszkja 255.0.0.0. Az alhlzati maszkok az lloms
azonost rszbl vesznek t biteket s hozzadjk ket az alaprtelmezett alhlzati
maszkhoz.
Ha egyedi alhlzati maszkot hozunk ltre, az els krds: hny bitet vegynk el az
lloms azonostbl s adjunk hozz az alhlzati maszkhoz? Egy adott szm
alhlzat ltrehozshoz szksgesen klcsnveend bitek szmt a kvetkez
matematikai egyenlsg fejezi ki: 2^n, ahol az n a klcsnvett bitek szmval egyenl.
Ha hrom alhlzatra van szksg, akkor elegend bitnek kell lennie hrom egyedi
alhlzati cmhez.
Pldul, ha C-osztly cmbl indulunk ki, mint pldul a 192.168.1.0, akkor csak 8
llomsbit van, amibl klcsnvehetnk. A bitek mindegyike 1, vagy 0 lehet. A hrom
alhlzat ltrehozshoz a nyolcbl legalbb kt bitet klcsn kell venni. Ebbl
sszesen ngy alhlzat ll el:
00 - 1. alhlzat

192.168.1.0

01 - 2. alhlzat

192.168.1.64

10 - 3. alhlzat

192.168.1.128

11 - 4. alhlzat192.168.1.192
A fenti pldban 2 bitet vettnk klcsn, 2^2 = 4 vagy 2 x 2 = 4, azaz ngy alhlzat jtt
ltre. Ha t s nyolc kztti szm alhlzatra lenne igny, akkor hrom bitre lenne
szksg (2^3 = 8 vagy 2 x 2 x 2).
Az alhlzati azonost szmra felhasznlt bitek szma mind a ltrehozhat
lehetsges alhlzatok szmt, mind az egyes alhlzatokban lev llomsok
lehetsges szmt befolysolja.
Az alhlzatokra bonts azrt is fontos, mert segtsgvel a forgalom okozta terhelst
cskkenteni lehet, s biztonsgi intzkedseket lehet a hlzatok kztt foganatostani.
A tlterhelt hlzat problmjnak egy lehetsges megoldsa az, hogy egy msodik
hlzati eszkzt lltunk be, pldul egy nagyobb integrlt szolgltats
forgalomirnytt (ISR). Hlzati eszkz hozzadsakor bevlt taktika, hogy a biztonsg
nvelse rdekben a vezetkes s a vezetknlkli felhasznlkat kln helyi
alhlzatra teszik.

Az eredeti vezetknlkli forgalomirnytval tovbbra is biztonsgosan kiszolglhatjuk

a vezetknlkli felhasznlkat. Hubok vagy kapcsolk segtsgvel a vezetkes
felhasznlk kzvetlenl csatlakoztathatk az j, msik hlzatot hasznl ISR-hez. Az
ISR s a vezetknlkli forgalomirnyt ezutn kzvetlenl csatlakoztathat egy
harmadik hlzathoz.
VLSM s osztlyok nlkli tartomnykozi forgalomirnyts (CIDR)
Az eredeti, osztlyalap alhlzatokra bonts megkvetelte, hogy az egy hlzatbl
kialaktott alhlzatok mindegyike azonos mret legyen.
Ennek az az oka, hogy a forgalomirnytk tvonalfrisstsei korbban nem
tartalmaztak maszk informcit. A forgalomirnytk az irnyit tbla kitltsekor a
maszk-rtkeket az interfszeiken belltott cm- s maszk-rtkek alapjn hatroztk
meg s az azonos hlzatbl szrmaz alhlzatok mindegyiknl az gy
meghatrozott maszkot alkalmaztk. Ez a megkts az IP-kioszts tervezsekor a
rgztett hosszsg alhlzati maszkok hasznlatt ignyelte.
Ugyanakkor a rgztett hosszsg alhlzati maszkok miatt jelents szm IP-cm
veszhet krba. Pldul, egy szervezet szkhelyn 8000, mg mshol 1000, 400 s 100
lloms van helysznenknt. A rgztett hosszsg alhlzati maszk alhlzatonknt
8000 llomst tmogatna, ott is, ahol csak 100-ra van szksg.
A vltoztathat hosszsg alhlzati maszkols (VLSM) segt a problma
megoldsban. A VLSM cmzssel ugyanis egy hlzat klnbz mret hlzatokra
bonthat, amit az alhlzatok jabb alhlzatokra val bontsval rnk el. Emiatt a ma
hasznlt forgalomirnytk olyan tvonal-ler zeneteket tovbbtanak, amelyek a
hlzatok IP-cmei mellett az ezekhez tartoz maszkokat is tartalmazzk.
Az RFC 1519-es szabvnyban javasoltk s el is fogadtk a VLSM mellett az osztlyok
nlkli tartomnykzi forgalomirnytst (CIDR) is. A CIDR a magasabb helyirtk
biteket alapul vve figyelmen kvl hagyja a hlzati osztlyokat. A CIDR egyedl a
hlzati eltag bitjeinek szma alapjn azonostja a hlzatokat, ez a szm az egyesek
szmnak felel meg az alhlzati maszkban. Egy IP-cm CIDR trsa pldul gy nz
ki: 172.16.1.1/16 ahol a /16 a hlzati eltagban lev bitek szmt jelenti.
Az alhlzatok kzti kommunikci
Azrt, hogy az egyik alhlzatban lev eszkz kommuniklni tudjon egy msik
alhlzatban lv eszkzzel, forgalomirnytra van szksg, mert hlzatokat
sszektni forgalomirnytkkal tudunk.
Az alhlzatonknti llomsszm meghatrozsakor az rintett llomsok mellett az
alhlzat fogalomirnyt interfszt (tjrjt) is figyelembe kell venni. Ezen a
forgalomirnyt interfszen olyan IP-cmet kell bellitani amely az ltala kiszolglt
alhlzati cmtartomny rsze.

A hlzati cmfordts alapjai (NAT)

A forgalomirnytk feladata az, hogy irnytsk a forgalmat a bels hlzat alhlzatai
kztt, fggetlenl attl, hogy az IP-cmtartomny nyilvnos vagy privt. Ugyanakkor,
ha privt cmtartomnyrl van sz, a magnhlzatok nem vehetnek rszt a
forgalomirnytsban a nyilvnos internet fel.
A magnhlzatot az internetszolgltat hlzatval sszekt eszkznek a hlzati
cmfordts (NAT) kpessgvel kell rendelkezni.
A NAT lehetv teszi, hogy egy nagy csoport egyni felhasznl csatlakozzon az
internetre, egy vagy tbb nyilvnos IP-cmen osztozva.
A NAT kifejlesztsnek legfbb oka, hogy regisztrlt IP-cmeket takart meg. Ezenkvl
biztonsgot is nyjt a PC-k, a szerverek s a hlzati eszkzk szmra, azok valdi
lloms IP-cmnek a kzvetlen, az internet felli elrs elrejtsvel.
A NAT f elnye, hogy mdot ad az IP-cmek tbbszrs felhasznlsra, s ezzel sok,
helyi hlzati lloms kpes a globlis egyedi IP-cmek megosztott hasznlatra. A NAT
tltsz mdon mkdik, elfedi s ezzel megvdi a magnhlzat felhasznlit a
nyilvnos hlzatrl felli elrstl.
Ezen tlmenen a NAT elrejti a privt IP-cmeket a nyilvnos hlzat ell. Ennek az az
elnye, hogy a NAT egyfajta hozzfrsi listaknt mkdik, s nem engedi a kls
felhasznlkat a bels eszkzkhz hozzfrni. A htrnya, hogy kln belltsok
szksgesek az erre jogosult kls felhasznlk hozzfrsnek biztostshoz.
Tovbbi htrny mg, hogy a NAT befolysolja azon alkalmazsok mkdst, amelyek
IP-cmeket tartalmaz zenetekkel dolgoznak, mert ezeket a cmeket is le kell fordtani.
Ez a fordts megnveli az forgalomirnyt terhelst, s visszafogja a hlzat
teljestmnyt.

IP NAT Alapfogalmak
A forgalomirnyt IP-cmfordts opcijnak belltsakor van nhny alapfogalom,
amely segt megrteni a forgalomirnyt cmfordtst:

Bels helyi hlzat: brmilyen, a forgalomirnythoz csatlakoz hlzat, amely

a privt cmzst hasznl helyi hlzat (LAN) rsze. A bels hlzaton lev
llomsok IP-cme fordtson megy t, mieltt kls clpontokhoz tovbbtjk.

Kls globlis hlzat: brmilyen, a forgalomirnythoz csatlakoz hlzat,

amely a helyi hlzaton kvl van, s nem ismeri fel a helyi hlzat llomsaihoz
hozzrendelt privt cmeket.

Bels helyi cm: a bels hlzat egy llomsn belltott magnhlzati cm,
privt IP-cm. A cm csak gy kerlhet ki a helyi hlzati cmzsi struktrbl, ha
eltte lefordtjuk.

Bels globlis cm: a bels hlzat llomsnak cme a kls hlzatok fel.
Ez a lefordtott cm.

Kls helyi cm: a helyi hlzaton tartzkod adatcsomag clpontjnak cme.

Ez a cm rendszerint ugyanaz, mint a kls globlis cm.

Kls globlis cm: egy kls lloms nyilvnos IP-cme. A cm egy globlisan
tovbbthat cmbl, vagy hlzati tartomnybl van szrmaztatva.

Statikus s Dinamikus NAT

A cmek dinamikusan is kioszthatk. A dinamikus cmfordts lehetv teszi a
magnhlzat privt IP-cmmel rendelkez llomsainak a kls hlzatok, pldul, az
internet elrst. Dinamikus cmfordts trtnik akkor, amikor a forgalomirnyt a
bels privt hlzati eszkz szmra egy kls globlis cmet jell ki, egy elre
meghatrozott cmet vagy cmeket tartalmaz cmtrbl.
Amg a kapcsolat l, a forgalomirnyt rvnyesnek tekinti a globlis cmet s a
nyugtkat kld a kezdemnyez eszkznek. Amint a kapcsolat vget r, a
forgalomirnyt egyszeren visszajuttatja a bels globlis cmet a cmtrba.
A NAT egyik elnye, hogy az egyni llomsok nem rhetk el kzvetlenl az
internetrl. De mi a helyzet akkor, ha egy bels hlzati llomson olyan szolgltatsok
futnak, amelyeknek az internetre csatlakoz s a helyi privt hlzatra kttt eszkzk
szmra is elrheteknek kell lennik?
Egy helyi lloms internet felli elrhetv ttelnek egyik mdja, hogy az eszkz
szmra egy lland cm fordtst rjuk el. A rgztett cmre fordts biztostja, hogy
az egyni lloms privt IP-cme mindig ugyanarra a regisztrlt globlis IP-cmre lesz
lefordtva. Ezt a regisztrlt cmet ms lloms garantltan nem hasznlja.
Az lland NAT lehetv teszi, hogy a nyilvnos hlzaton lev llomsok egy
magnhlzaton lev kivlasztott llomsokhoz csatlakozzanak. Ha teht egy bels
hlzaton lev eszkznek kvlrl is elrhetnek kell lennie, akkor sztatikus NAT-ot
hasznljunk.
Szksg esetn a sztatikus s a dinamikus NAT egyidejleg is hasznlhat.
Port alap hlzati cmfordts (PAT)
Amikor egy szervezet regisztrlt IP-cmlistja kicsi, akr csak egyetlen IP-cmmel
rendelkezik, a NAT akkor is kpes tbb felhasznlnak egyidejleg biztostani a
nyilvnos hlzat elrst az gynevezett tlterhelses NAT-tal, vagy portcmfordtssal
(PAT). A PAT a klnbz helyi cmeket egyetlen globlis IP-cmre fordtja.
Amikor a forrslloms kld egy zenetet a clllomsnak, akkor az IP-cm s a
portszm kombinlst hasznlja fel gy, hogy biztostani tudja az egyedi
kommunikcit a clllomssal. A PAT technolgiban az tjr a helyi cm s a
portszm kombincijt fordtja le egyedi globlis IP-cmre s egy 1024-nl nagyobb
egyedi port-szmra. Br mindegyik llomscm ugyanarra a globlis IP-cmre fordul le,
a trstott portszm egyedi.
A vlaszforgalom az lloms ltal hasznlt cmfordtott IP-cm - portszm kombincira
rkezik. A forgalomirnytban lev tbla tartalmazza azt a bels IP-cmbl s bels
port-szmbl ll kombincit, amelyet a kls cmre fordtott. Ennek felhasznlsval a
vlaszforgalom a bels cmre s portra tovbbthat. Miutn tbb mint 64 000 portszm
lehetsges, valszntlen, hogy a forgalomirnyt kifogy a portcmekbl, ahogyan az a
dinamikus NAT-nl nagyon is elkpzelhet.

Mivel minden cmfordts egyedi a helyi cmre s helyi portra vonatkozan, minden
kapcsolat, amely j forrsportot generl, kln fordtst ignyel. Pldul, a
10.1.1.1:1025 egy klnbz fordts a 10.1.1.1:1026-tl.
A fordts csak a kapcsolat idejig ll fenn, gy egy adott felhasznl nem tartja meg
magnak ugyanazt a globl IP-cm s portszm kombincit a kapcsolat befejezse
utn.
A kls felhasznl nem tud megbzhatan kapcsolatot ltesteni egy olyan llomssal
a hlzaton, amelyik PAT-ot hasznl. Nem csak lehetetlen megjsolni az lloms helyi
vagy globlis portszmt, hanem egy tjr csak akkor vgez cmfordtst, ha a bels
lloms kezdemnyezi a kommunikcit.
Tovbbi IP NAT krdsek
A felhasznlk anlkl hasznljk az internetet a privt hlzatrl, hogy szrevennk,
hogy a forgalomirnyt NAT-ot hasznl. Ugyanakkor a NAT fontos jellemzje, hogy
pluszterhelst jelent az IP-cm s a port fordtsa.
Bizonyos alkalmazsok nvelik a forgalomirnyt terhelst, mert a begyazott
adatcsomagjaik rszeknt IP-cmeket gyaznak be. A forgalomirnytnak ki kell
cserlnie azokat a forrs IP-cmeket s a hozzjuk kapcsold portokat, melyek az
adatfolyamban tallhatk, s az IP-fejlcben lv forrscmeket.
Mivel az egsz folyamat a forgalomirnytban megy vgbe, a NAT alkalmazsa j
hlzattervezst, az eszkzk gondos kivlasztst s belltst ignyli.
A hlzatok alhlzatokra bontsa, a magnhlzati IP-cmzs s a hlzati cmfordts
kifejlesztse tmeneti megoldst jelent az IP-cmek fogysra. Ezek az eljrsok
hasznossguk ellenre sem hoznak ltre tbb IP-cmet. A cmek elfogysra vlaszul
az RFC 2460 szabvny az IPv6-ot javasolta 1998-ban.
Habr az elsdleges cl a problma megoldsa volt, amit az IPv4 IP-cmeinek
elfogysa jelentett, ms fontos okai is voltak a kifejlesztsnek. Azta hogy az IPv4-et
elszr szabvnyostottk, az internet jelentsen megnvekedett. Ezltal lthatv
vltak az IPv4 elnyei s htrnyai, s gy az j kpessgekkel br utdra val ttrs
lehetsge is.
Rviden az IPv6 legfontosabb fejlesztsi tervei:

tbb cmtartomny

jobb cmtartomny kezels

knnyebb TCP/IP adminisztrci

korszerstett forgalomirnytsi lehetsgek

a csoportos adatszrs, mobilits s biztonsg jobb tmogatsa.

Az IPv6 fejlesztse arra irnyul, hogy mindezeket a problmkat s elvrsokat

a lehet legjobban figyelembe vegye.

Az IPv6-nl az IP-cmek 128 bitesek, a lehetsges cmtartomny 2^128. Tzes

szmrendszerben jellve, ez megkzeltleg egy hrmas, amit 38 darab nulla kvet. Ha
az IPv4 cmtartomnyt egy kis veggolynak tekintjk, akkor az IPv6 cmtartomnya
krlbell egy Szaturnusz nagysg bolyg terjedelmnek felel meg.
Mivel a 128-bites szmokkal dolgozni bonyolult, az IPv6-cm szmjegyei a 128 bitet 32
darab tizenhatos szmrendszerbeli szmjeggyel brzoljk, amelyeket 8 darab, 4
hexadecimlis szmjegybl ll csoportra bontunk, kettspontot hasznlva az
elvlasztshoz. Az IPv6-cm-hierarchija hrom rszbl ll. Az els hrom blokk a
globlis eltag, amely az internetes nvadatbzisban lev szervezethez tartozik. Az
alhlzat- s a csatlakozs-azonost felett a hlzati adminisztrtor rendelkezik.

Hlzati eszkzk konfigurlsa

Az integrlt forgalomirnyt (Integrated Services Router, ISR)
Az ISR egy eszkzben knlja a forgalomirnytsi, LAN kapcsolsi, biztonsgi,
hangtviteli s WAN kapcsoldsi funkcikat. Ezek a tulajdonsgok ideliss teszik az
ISR-t a kis- s kzpvllalatok, valamint az internetszolgltat ltal felgyelt gyfelek
szmra.
Az opcionlis integrlt kapcsolmodul lehetv teszi a kisvllalkozsok szmra, hogy
az 1841-es ISR-hez kzvetlenl csatlakoztassanak LAN eszkzket. Amennyiben a
LAN llomsok szma meghaladja a kapcsol portjainak szmt, az integrlt
kapcsolmodul segtsgvel tovbbi kapcsolk s hubok fzhetk lncba, ily mdon
bvtve az elrhet LAN portok szmt. Ha kapcsolmodul nem ll rendelkezsre, a
kls kapcsolk az ISR forgalomirnyt interfszeihez csatlakoztathatak.
A Cisco Internetwork Operating System (IOS) szoftver funkcii lehetv teszik a Cisco
eszkzk szmra a vezetkes vagy vezetk nlkli hlzatokon keresztl trtn
hlzati forgalom bonyoltst (klds s fogads). A Cisco IOS szoftver
rendszerkdnak (image) nevezett modulokban kaphat. Ezek a rendszerkdok szmos
funkcit biztostanak a klnbz mret vllalatok szmra.
A belp szint Cisco IOS rendszerkdot IP Base-nek (IP Alap) nevezik. A Cisco IOS IP
Base szoftver a kis- s kzpvllalkozsok szmra kszlt, s biztostja a hlzatok
kztti forgalomirnytst.
A tbbi Cisco IOS rendszerkd az IP Base szolgltatsait bvti. Az Advanced Security
(Fejlett Biztonsg) rendszerkd fejlett biztonsgi funkcikat biztost magnhlzatok s
tzfalak kialaktshoz.
A Cisco IOS rendszerkd szmtalan tpusban s verziban elrhet. Az egyes
rendszerkdokat a forgalomirnytk, kapcsolk s ISR-ek konkrt modelljeihez
terveztk s optimalizltk.
A kszlk konfigurlsnak megkezdse eltt fontos tudni, hogy milyen rendszerkd,
illetve annak melyik verzija tltdik be.
Az 1841 tpus ISR zembehelyezshez kvessk az albbi lpseket!
1. Rgztsk s fldeljk az eszkzt megfelelen!
2. Helyezzk be a kls Compact Flash krtyt!
3. Csatlakoztassuk a tpkbelt!
4. lltsuk be a PC-re teleptett terminlemulcis programot(HyperTerminal), majd
csatlakoztassuk a PC-t a konzolporthoz!
5. Kapcsoljuk be a forgalomirnytt!
6. Ellenrizzk a forgalomirnyt elindulsakor a PC-n megjelen indtsi zeneteket!

Az indts folyamata
A forgalomirnyt elindtsa hrom lpsbl ll.
1. Az nellenrzs (POST) s a rendszerindt program (bootstrap) betltse.
A POST folyamat szinte minden szmtgpen lefut az elinduls sorn. A POST
ellenrzi a forgalomirnyt hardvert. A POST vgrehajtsa utn a rendszerindt
program tltdik be.
2. A Cisco IOS szoftver megkeresse s betltse
A rendszerindt program megkeresi a Cisco IOS szoftvert, majd betlti a RAM-ba. A
Cisco IOS fjl hrom helyen lehet: a flash memriban, egy TFTP kiszolgln vagy az
indt konfigurcis fjlban megadott egyb helyen. A Cisco IOS szoftver
alaprtelmezs szerint a flash memribl tltdik be. Egyb helyrl trtn betltse
esetn a konfigurcis belltsok megvltoztatsa szksges.
3. Az indtsi konfigurcit tartalmaz llomny megkeresse s betltse, vagy
belltsi mdba vlts.
A Cisco IOS szoftver betltse utn a rendszerindt program az NVRAM-ban keresi az
indt konfigurcis fjlt. Ez a fjl tartalmazza az elzleg elmentett belltsi
parancsokat s paramtereket, belertve az interfszek cmeit, a forgalomirnytsi
informcikat, jelszavakat s egyb konfigurcis paramtereket.
Ha a konfigurcis fjl nem rhet el, a forgalomirnyt belltsi (setup) mdba lp,
ahol a felhasznlnak meg kell adnia az alapkonfigurcit.
Ha az indt konfigurcis fjl elrhet, akkor tartalma a RAM-ba msoldik, s a
kpernyn megjelenik egy, az llomsnevet tartalmaz prompt. A prompt jelzi, hogy a
Cisco IOS szoftver s a konfigurcis fjl betltse a forgalomirnytn sikeres volt.
Az adatveszts elkerlse rdekben fontos tisztban lenni az indt
konfigurcis fjl s az aktv konfigurcis fjl kztti klnbsggel.
Az indt konfigurcis fjl
Az indt konfigurcis fjl olyan elmentett, konfigurcis llomny, amely az eszkz
minden egyes indtsakor belltja az adott eszkz tulajdonsgait. A fjl trolsa a
nemfelejt RAM-ban (NVRAM) trtnik, ami azt jelenti, hogy az eszkz kikapcsolsa
utn is megrzi tartalmt.
A Cisco forgalomirnytk az els bekapcsolsnl a Cisco IOS kdjt a
munkamemriba, azaz a RAM-ba tltik be. Ezt kveten az indt konfigurcis fjl
tartalma az NVRAM-bl a RAM-ba msoldik. Amikor az indt konfigurcis fjl
tartalma a RAM-ba tltdik, az lesz a kezdeti aktv konfigurci.
Az aktv konfigurcis fjl
Az aktv konfigurci kifejezs az eszkz memrijban (RAM) jelenleg fut
konfigurcira utal. A fjlban lv parancsok hatrozzk meg az eszkz hlzati
mkdst.

Az aktulis konfigurcis fjl trolsa az eszkz munkamemrijban trtnik. A

munkamemriban lv fjl lehetv teszi a konfigurcis belltsok s szmos
eszkzparamter megvltoztatst. Ugyanakkor lnyeges, hogy az aktv konfigurci
minden egyes lelltsnl elveszik, amg nincs elmentve az indt konfigurcis fjlba.
Az aktv konfigurci vltozsai automatikusan nem kerlnek t az indt konfigurcis
fjlba, a mentst manulisan kell elvgezni.
Amennyiben az eszkz belltshoz a Cisco parancssoros fellett (CLI) hasznljuk, a
copy running-config startup-config vagy rvid alakban a copy run start
parancs kiadsval az aktulis konfigurci az indt konfigurcis fjlba menthet. Ha
az eszkz belltshoz a Cisco SDM grafikus fellett hasznljuk, minden vgrehajtott
parancs utn lehetsg van a forgalomirnyt aktulis konfigurcijnak az indt
konfigurcis fjlba trtn mentsre.
Az indtsi konfigurcit tartalmaz fjl sikeres betltse s a forgalomirnyt sikeres
elindulsa utn a show version parancs hasznlhat az indtsnl szerepet jtsz
hardver- s szoftverkomponensek ellenrzsre s az esetleges hibk megkeressre.
A show version parancs kimenete az albbiakat jelenti meg:

A hasznlatban lv Cisco IOS verzija.

A ROM-ban trolt, a forgalomirnyt els indtshoz hasznlt rendszerindt

program verzija.

A Cisco IOS szoftver teljes fjlneve s az, hogy a rendszerindt program hol
tallta meg.

A forgalomirnyt ltal hasznlt CPU tpusa s RAM mennyisge. A Cisco IOS

szoftver frisstsekor szksg lehet a RAM bvtsre.

A forgalomirnyt fizikai interfszeinek szma s tpusa.

Az NVRAM mennyisge. Az NVRAM az indt konfigurcis fjlt trolja.

A rendelkezsre ll flash memria mennyisge. A flash memria vgzi a Cisco

IOS szoftver folyamatos trolst. A Cisco IOS szoftver frisstsekor szksg
lehet a flash memria bvtsre.

A konfigurcis regiszter jelenlegi, hexadecimlis formban megadott rtke.

A konfigurcis regiszter adja meg az indtsi folyamat mdjt a forgalomirnyt

szmra. A gyri bellts szerinti rtke 0x2102, amely azt jelzi, hogy a
forgalomirnyt a Cisco IOS szoftvert a flash-bl, az indt konfigurcis fjlt pedig az
NVRAM-bl tlti be.
A konfigurcis regiszter rtke megvltoztathat, ezltal az indtsi folyamat sorn a
forgalomirnyt mshol fogja keresni a Cisco IOS kdot, valamint az indt
konfigurcis fjlt.

A leggyakoribbak az albbiak:
0x2102 - A Cisco forgalomirnytk gyri alaprtelmezett belltsa (az IOS
rendszerkd betltse a flash memribl, az indt konfigurcis fjl betltse az
NVRAM-bl)
0x2142 - A forgalomirnyt figyelmen kvl hagyja a nemfelejt RAM (NVRAM)
tartalmt
0x2120 - A forgalomirnyt ROMmon mdban indul
Elfordulhat, hogy a forgalomirnyt nem indul el. Ennek oka lehet tbbek kztt a
srlt vagy hinyz Cisco IOS fjl vagy annak a konfigurcis regiszterben rosszul
megadott helye, esetleg az j Cisco IOS rendszerkd betltshez nem elegend
memria. Ha a forgalomirnyt nem tudja betlteni a Cisco IOS-t, akkor ROM monitor
(ROMmon) mdban indul el. A ROMmon szoftver a csak olvashat memriban (ROM)
trolt egyszer parancskszlet, amely az indtsi hibk elhrtshoz vagy hinyz
IOS esetn a forgalomirnyt helyrelltshoz hasznlhat.
Amennyiben a forgalomirnyt ROMmon mdban indul el, a hibaelhrts egyik els
lpseknt keressnk egy rvnyes IOS rendszerkdot a flash memriban a dir
flash: parancs kiadsval. Ha tallunk rvnyes rendszerkdot, akkor prbljuk
betlteni a boot flash: parancs kiadsval.
rommon 1>boot flash:c2600-is-mz.121-5
Ha a parancs kiadsa utn a forgalomirnyt megfelelen elindul, akkor kt ok
lehetsges, amirt elsre nem tlttte be a Cisco IOS rendszerkdot a flash-bl. Els
lpsknt a show version paranccsal ellenrizzk, hogy a konfigurcis regiszter rtke
az alaprtelmezett rendszerindtsi sorrendet rja-e el. Amennyiben a konfigurcis
regiszter rtke helyes, a show startup-config parancs segtsgvel nzzk meg, hogy
az indtsi konfigurcit tartalmaz fjlban szerepel-e a bootsystem parancs, amely arra
utastja a forgalomirnytt, hogy ms helyen keresse a Cisco IOS szoftvert.

CISCO IOS Segdprogramok

Ahhoz, hogy a PC-rl konfigurlhassunk s figyelemmel ksrjnk egy hlzati eszkzt,
ktfle csatlakoztatsi md ltezik: a svon-kvli, illetve a svon-belli felgyelet.
A svon-kvli felgyelet
A svon-kvli felgyelet esetben a szmtgpet kzvetlenl a konfigurland hlzati
eszkz konzol- vagy AUX-portjhoz kell csatlakoztatni. Ebben az esetben nincs
szksg aktv helyi hlzati kapcsolatra az eszkzn. A svon-kvli felgyeletet a
hlzati eszkz els belltsnl hasznljuk. A svon-kvli felgyelettel kapcsolatos
feladatok vgrehajtshoz szksg van egy, a PC-re teleptett terminlemulcis
gyflprogramra.
A svon-belli felgyelet
Ahhoz, hogy egy szmtgp csatlakozzon az eszkzhz, s azon svon-belli
felgyeleti feladatokat hajtsunk vgre, legalbb az eszkz egyik hlzati portjnak
csatlakoztott s mkdkpes llapotban kell lennie.

A Telnet, a HTTP s az SSH egyarnt hasznlhat a Cisco eszkzk svon-belli

felgyelettel trtn elrshez. A hlzati eszkzk mkdsnek figyelemmel
ksrshez s konfigurcijuk megvltoztatshoz webbngsz s Telnet
gyflprogram egyarnt hasznlhat.
A Security Device Manager (SDM, biztonsgi eszkzkezel) egy web-alap grafikus
felgyeleti eszkz. A CLI-vel ellenttben az SDM kizrlag svon-belli felgyeleti
feladatokra hasznlhat.
Az SDM Express leegyszersti a forgalomirnyt els belltst, mivel gyors s
knnyen hasznlhat formban, lpsrl lpsre vgigvezet az alapvet konfigurci
megadsnak menetn.
Nem minden Cisco eszkz tmogatja az SDM-et, s az SDM sem tmogatja a
parancssoros felleten elrhet sszes parancsot. Ebbl kifolylag elfordulhat, hogy
az SDM hasznlatval megkezdett eszkzbelltst a CLI segtsgvel kell befejezni.
A WAN Kapcsolatok belltsa
A nagy fldrajzi tvolsgokkal elvlasztott hlzatok sszektshez soros kapcsolatot
hasznlunk. Az ilyen WAN-kapcsolatok megvalstshoz szksg van egy tvkzlsi
szolgltatra (TSP).
A soros sszekttets ltalban lassabb az Ethernet kapcsolatnl, s tovbbi
belltsokat ignyel. Mg az sszekttets ltrehozsa eltt meg kell hatroznunk a
szksges kapcsolattpust s a begyazsi protokoll tpust!
A soros sszekttets mindkt vgn ugyanolyan begyazsi protokoll hasznlata
szksges. A begyazsi protokoll nmelyiknek szksge lehet hitelestsi
paramterek (pl. felhasznli nv s jelsz) belltsra. Begyazsi tpusok:
fels szint adatkapcsolat-vezrls (HDLC)
orientlt adatkapcsolati rtegbeli protokoll

Az ISO ltal kifejlesztett bit

Frame Relay Csomagkapcsolt adatkapcsolati rtegbeli protokoll, mely kpes

tbb virtulis ramkrt is kezelni, olyan rtelemben, hogy igny szerint ideiglenesen
felpt, majd lebontja a kommunikcis ramkrket. A DLCI olyan szm, melyet a
szolgltat biztost s a virtulis ramkr azonostshoz szksges.
pont-pont protokoll (PPP) Gyakran hasznljk kt eszkz kztti, kzvetlen
kapcsolat kialaktsra. Segtsgvel szmtgpek kapcsolhatak ssze soros kbel,
telefonvonal, gerincvonal, mobiltelefonos hlzat, specilis rdikapcsolat vagy optikai
szlas sszekttets hasznlatval. A legtbb internetszolgltat PPP-t hasznl, az
elfizeti betrcszs (dial-up) internet hozzfrs esetn. A PPP olyan jellemzkkel is
rendlekezik, melyek lehetv teszik a kapcsolat ltrejtte eltti hitelestst. A PPP
felhasznli neveket s jelszavakat SDM segtsgvel is be lehet lltani.

Az "Address Type" (cmtpusok) listja

A kivlasztott begyazstl fggen a soros interfszen az IP-cmek krsnek
klnbz mdjai rhetk el.

Static IP address (statikus IP-cm) - Frame Relay, PPP s HDLC

begyazsokhoz egyarnt hasznlhat. A statikus IP-cm belltshoz az IP-cm
s az alhlzati maszk megadsa szksges.

IP unnumbered (szmozatlan IP) - a soros interfsz cmt a forgalomirnyt

egy msik, mkd interfsznek cmre lltja be. Frame Relay, PPP s HDLC
begyazsokhoz egyarnt hasznlhat.

Egyeztetett IP - Az IP-cmet a forgalomirnyt automatikusan, a PPP-n

keresztl kapja.

Easy IP (IP negotiated) (Egyeztetett IP) - Az IP-cmet a forgalomirnyt

automatikusan, a PPP-n keresztl kapja.

A parancssoros fellet zemmdjai, CLI parancsmdok

A Cisco IOS a parancssorhoz trtn hozzfrs kt szintjt klnbzteti meg: a
felhasznli EXEC mdot, valamint a privilegizlt EXEC mdot.
A forgalomirnyt vagy ms Cisco IOS-t hasznl eszkz elindulsakor az
alaprtelmezs szerinti hozzfrsi szint a felhasznli EXEC md, amelyet a
parancssor kszenlti jele (prompt) az albbi mdon jelez:
Router>
A felhasznli EXEC mdban vgrehajthat parancsokkal informci krhet az eszkz
mkdsrl, valamint hibaelhrts is vgezhet a show parancsok, a ping s a
traceroute segdprogramok segtsgvel.
Az eszkz mkdst megvltoztat parancsok kiadshoz privilegizlt szint
hozzfrs szksges. A privilegizlt EXEC md engedlyezse az enable
parancsnak a parancssorba trtn begpelsvel trtnik.
A privilegizlt EXEC md promptja:
Router#
A privilegizlt EXEC mdbl val kilpshez s a felhasznli EXEC mdba val
visszatrshez adjuk ki a disable vagy az exit parancsot!
Mindkt md jelszval, vagy felhasznli nv s jelsz prosval vdhet.
A legtbb esetben a terminlkapcsolaton keresztl kiadott parancsok az aktulis
konfigurcis fjl tartalmt mdostjk. Ezen parancsok kiadshoz a felhasznlnak be
kell lpnie a globlis konfigurcis mdba a configure terminal vagy a conf t
paranccsal.
Router(config)#

Az adminisztrtor a globlis konfigurcis mdbl klnbz alzemmdokba lphet.

A LAN- s WAN-interfszek belltshoz az interfszkonfigurcis md hasznlhat.
Az interfszkonfigurcis mdba trtn belpshez gpeljk be az interface
[tpus] [szm] parancsot!
Router(config-if)#
Szintn gyakran hasznlt alzemmd a forgalomirnyt-konfigurcis zemmd,
amely a parancssorban gy ltszik:
Router(config-router)#
Ez a md a forgalomirnytsi paramterek belltshoz hasznlhat.
A cisco IOS parancssoros felletnek hasznlata
Router# help
A krnyezetrzkeny sg javaslatokat tehet egy parancs kiegsztsre. Ha csak
a parancs els nhny karakterre emlksznk, de a teljes alakot nem ismerjk,
akkor rjuk be a parancs bevezet karaktereit, majd a vgre tegynk egy ?
karaktert.
A parancs kiegsztshez vlasszunk egyet a felknlt lehetsgek kzl! Amikor a
parancs elrte a teljes alakjt, a <cr> jelenik meg.
A parancselzmny funkci alaprtelmezs szerint engedlyezett, s a 10 elzleg
kiadott parancsot a parancselzmny-pufferben trolja. A terminlkapcsolat eltrolt
parancssorai szmnak megvltoztatshoz a terminal history size s a history size
parancs hasznlhat. A maximlisan eltrolhat parancssorok szma 256.
show history
A CLI felismeri a rszlegesen begpelt parancsokat az els egyedi karakter alapjn. Az
"interface" helyett pldul gpeljk be az "int" rvidtst! Ezutn a Tab billenty
lenyomsval a parancsrszlet automatikusan kiegszl a teljes "interface" parancsra.
A show parancsok hasznlata
A Cisco IOS parancssoros fellete a show parancsot hasznlja az eszkzk
konfigurcijval s mkdsvel kapcsolatos informcik megjelentsre.
A leggyakrabban hasznlt show parancsok kzl nhny:

show running-config

show interfaces

show arp

show ip route

show protocols

show version

Az Alapkonfigurci
Els lpsben adjunk egyedi nevet az eszkznek, amely a globlis konfigurcis
mdban az albbi parancs kiadsval lehetsges:
Router(config)# hostname <nv>
Az enable password s az enable secret parancsokkal korltozhat a privilegizlt
EXEC mdba trtn belps, gy az illetktelen felhasznlk nem vltoztathatjk meg
a forgalomirnyt belltsait.
Router(config)# enable password <password>
Router(config)# enable secret <password>
A fenti kt parancs kztti klnbsg az, hogy az enable password alaprtelmezs
szerint nincs titkostva. Amennyiben az "enable password" paranccsal megadott jelszt
az "enable secret" paranccsal megadott jelsz kveti, akkor az enable secret parancs
fellrja az enable password parancsot.
A forgalomirnyt alapbelltsai kz tartozik mg a bejelentkezsi zenet
belltsa, az egyidej naplzs engedlyezse s a tartomnynv-kiszolgl
keressnek tiltsa is
Bejelentkezsi zenetek
A bejelentkezsi zenet olyan szveg, amelyet a felhasznl a forgalomirnytra
trtn bejelentkezs kezdetn lt. A bejelentkezsi zenet figyelmeztessen arra, hogy
az illetktelen hozzfrs nem megengedett. Soha ne lltsunk be illetktelen
felhasznlt dvzl bejelentkezsi zenetet!
A bejelentkezsi zeneteknek kt tpusa van: a nap zenete (MOTD, message-of-theday) s a bejelentkezsi informcik. Azrt van szksg kt, egymstl fggetlen
zenetre, hogy az egyik esetleges megvltoztatsa ne legyen hatssal az egsz
bejelentkezsi zenetre.
A bejelentkezsi zenetek belltshoz a banner motd s a banner login
parancsok hasznlhatk. Mindkt tpusnl valamilyen elvlaszt karakter -- ilyen
pldul a # -- szerepel az zenet elejn s vgn. Az elvlaszt karakter segtsgvel a
felhasznl akr tbb soros zenetet is bellthat.
Amennyiben mindkt bejelentkezsi zenet be van lltva, a bejelentkezsi informcik
a nap zenett kveten jelennek meg.
Egyidej naplzs
A Cisco IOS szoftver gyakran kld kretlenl zeneteket a kpernyre, pldul egy
konfigurlt interfsz llapotvltozsrl. Elfordul, hogy ezek az zenetek ppen
gpels kzben jelennek meg. Habr az zenetnek nincs hatsa a parancsra, mgis
megzavarhatja a felhasznlt gpels kzben. .A kretlenl rkez zenetek
elvlaszthatk a begpelt adatoktl a globlis konfigurcis mdban kiadott logging
synchronous paranccsal.

A tartomny-kiszolgl keressnek tiltsa

A privilegizlt (enable) mdban begpelt llomsnevek esetben a forgalomirnyt
alaprtelmezs szerint azt felttelezi, hogy a felhasznl telnet segtsgvel prbl
kapcsoldni egy eszkzhz. A privilegizlt (enable) mdban bevitt ismeretlen neveket a
DNS-kiszolglhoz irnytva prblja a forgalomirnyt feloldani. Ez vonatkozik a
forgalomirnyt ltal fel nem ismert brmilyen bevitt szra, belertve az elgpelt
parancsokat is. Amennyiben nincs szksgnk erre az alaprtelmezs szerint
bekapcsolt funkcira, kikapcsolhatjuk a no ip domain-lookup parancs kiadsval.
A konzolkapcsolaton keresztl trtn hozzfrs a globlis konfigurcis mdban
megadott jelszval korltozhat. Az albbi parancsok megakadlyozzk, hogy
illetktelen felhasznlk a konzolport hasznlatval belphessenek a felhasznli
mdba.
Route(config)# line console 0
Router(config)# password <password>
Router(config)# login
Amennyiben az eszkz csatlakoztatva van a hlzathoz, a hlzati kapcsolaton
keresztl is elrhet. Az eszkz hlzaton keresztl trtn elrse vty kapcsolatnak
szmt, ezrt a jelszt a vty portra kell belltani.
Route(config)# line vty 0 4
Router(config)# password <password>
Router(config)# login
A 0 4 t egyidej svon-belli kapcsolatot jell. Minden kapcsolathoz kln jelsz
llthat be a konkrt vonalkapcsolat szmnak megadsval (pl.: line vty 0).
A jelszavak belltsnak helyessgt ellenrizhetjk a show running-config
parancs segtsgvel. Ezeket a jelszavakat az aktv konfigurci trolja egyszer
szveg formjban. Lehetsg van a forgalomirnytn trolt sszes jelsz
titkostsra, hogy az illetktelenek ne tudjk knnyen kiolvasni azokat. A globlis
konfigurcis mdban kiadott service password-encryption parancs garantlja,
hogy az sszes jelsz titkostva legyen.
Ne feledkezznk meg arrl, hogy a megvltozott aktv konfigurcit az indt
konfigurcis fjlba msoljuk, msklnben az eszkz kikapcsolsakor elvesznek a
vltoztatsaink. Az aktv konfigurci vltozsai az indt konfigurcis fjlba a copy
run start paranccsal menthetk el.

Az interfszek belltsa
A forgalomirnytn klnbz tpus interfszek vannak, amelyek kzl a leggyakoribb
a soros s az Ethernet interfsz. A helyi hlzati kapcsolatok Ethernet interfszt
hasznlnak.
Egy WAN-sszekttetshez az ISP-n keresztlhalad soros kapcsolat szksges. Az
Ethernet interfszekkel szemben a soros interfszeknl a kommunikci idztsnek
kezelshez rajelre van szksg. A legtbb esetben az rajelet egy
adatkommunikcis berendezs (data communications equipment, DCE), pldul egy
modem vagy egy CSU/DSU egysg biztostja.
Ha a forgalomirnyt soros kapcsolaton keresztl kapcsoldik az ISP hlzathoz,
digitlis WAN esetben egy CSU/DSU egysg hasznlata szksges. Analg WAN
esetben modem hasznlata szksges. A fenti eszkzk vgzik a forgalomirnytrl
rkez adatok talaktst a WAN szmra elfogadhat formra, valamint a WAN fell
rkez adatok talaktst a forgalomirnyt szmra elfogadhat formra.
Alaprtelmezs szerint a Cisco forgalomirnytk adat-vgberendezsek (data terminal
equipment, DTE). Mivel a DCE berendezsek vezrlik a forgalomirnytval trtn
kommunikci idztst, a Cisco DTE berendezsek elfogadjk a DCE berendezstl
rkez rajelet.
Habr nem tl gyakori, lehetsg van kt forgalomirnyt soros kapcsolaton keresztl
trtn, kzvetlen sszektsre. Ebben az esetben nincs szksg CSU/DSU egysg
vagy modem hasznlatra; az egyik forgalomirnytt kell DCE berendezsknt
konfigurlni, hogy biztostsa az rajelet. Amennyiben a forgalomirnyt DCE
berendezsknt van csatlakoztatva, az interfszn be kell lltani a DCE/DTE kapcsolat
idztst vezrl rajelet!

Az Ethernet interfszek belltsa nagyban hasonlt a soros interfszek belltshoz.

Az egyik f klnbsg, hogy a DCE berendezsknt mkd soros interfszen be kell
lltani az rajelet.
Az interfszek belltsnak lpsei
1. lps: Adjuk meg az interfsz tpust s portszmt!
2. lps: Adjuk meg az interfsz lerst!
3. lps: lltsuk be az interfsz IP-cmt s alhlzati maszkjt!
4. lps: DCE-knt mkd soros interfsz esetben lltsuk be az rajelet!
5. lps: Engedlyezzk az interfszt!

Az 1841-es ISR soros interfsznek belltsa sorn az interfszt hrom szmjegy

(C/S/P) azonostja, ahol a C a vezrl (controller) szmt, az S a bvthely (slot)
szmt, a P pedig a port szmt jelli. Az 1841-es ISR kt modulris bvthellyel
rendelkezik. A Serial0/0/0 jells arra utal, hogy a soros interfsz a 0. vezrln, a 0.
bvthelyen tallhat els (0.) port. A msodik interfszt a Serial0/0/1 jelli. A soros
modul norml esetben a 0. bvthelyre kerl, de telepthet az 1. bvthelyre is. Ez
utbbi esetben az els soros interfszt a Serial0/1/0, mg a msodikat a Serial 0/1/1
jelli.
Az olyan beptett portokat, mint pldul a FastEthernet port, kt szmjegy (C/P)
azonostja, ahol a C a vezrl szmt, a P pedig a port szmt jelli. Az Fa0/0 a 0.
vezrlt s a 0. interfszt jelli.
A kzvetlenl csatlakoztatott soros kapcsolatoknl valamelyik oldalt ki kell jellni DCEnek; ez fogja biztostani az rajelet. Az rajel engedlyezse s rtknek megadsa a
clock rate paranccsal trtnik. A rendelkezsre ll rajelek bit/msodpercben
megadva a kvetkezek: 1200, 2400, 9600, 19200, 38400, 56000, 64000, 72000,
125000, 148000, 500000, 800000, 1000000, 1300000, 2000000 s 4000000. Nhny
bitsebessg rtk nem hasznlhat bizonyos soros interfszek esetn. Ez az egyes
interfszek kapacitstl fgg. Az brn bemutatott parancsokat kell hasznlni az rajel
belltshoz s a soros interfsz engedlyezshez.

Az alaprtelmezett tvonal bellts

A forgalomirnyt a cllloms IP-cme alapjn egyik hlzatbl egy msikba
tovbbtja a csomagokat. A forgalomirnyt az irnyttbla segtsgvel dnti el, hogy
merre tovbbtsa a csomagot, hogy az elrje a clhlzatot. Arra az esetre, ha az
irnyttblban nem szerepel egy adott hlzatba vezet tvonal, megadhat egy
alaprtelmezett tvonal. Ezt akkor hasznlja a forgalomirnyt, ha nem tudja, hogy
merre kell a csomagot tovbbtani.
Az alaprtelmezett tvonal ltalban az internet fel vezet, kvetkez ugrst jelent
forgalomirnytra mutat. Az alaprtelmezett tvonal megadshoz szksges a
kvetkez ugrst jelent forgalomirnyt IP-cme vagy a helyi forgalomirnytnak az
ismeretlen clhlzatba irnyul forgalom tovbbtsra hasznlt interfsz azonostja.
A Cisco ISR-eken az alaprtelmezett tvonal megadsa a globlis konfigurcis
mdban trtnik.
Router(config)# ip route 0.0.0.0 0.0.0.0 <next-hop-IP-address>
vagy
Router(config)# ip route 0.0.0.0 0.0.0.0 <interface-type>
<number>

A DHCP Szolgltats belltsa

A DHCP parancssoros felletrl trtn belltsa nyolc lpsbl ll:
1. lps: A DHCP cmkszlet ltrehozsa

A pldban a kszlet Lan-cmek nven lett ltrehozva.

2. lps: A hlzat vagy alhlzat megadsa

3. lps: Bizonyos IP-cmek kizrsa

4. lps: A tartomnynv megadsa

5. lps: A DNS-kiszolgl IP-cmnek megadsa

6. lps: Az alaprtelmezett tjr belltsa

7. lps: A brlet idtartamnak belltsa

8. lps: A belltsok ellenrzse

Statikus NAT belltsa a Cisco IOS parancssorbl

A NAT lehetv teszi a bels privt cmmel rendelkez llomsok szmra az
internetes kommunikcit. A NAT belltsakor legalbb az egyik interfszt bels
interfszknt kell konfigurlni. A bels interfsz csatlakozik a bels, magncl
hlzathoz. Egy msik ltalban a kls, internethez kapcsold interfszt kls
interfszknt kell belltani. Amikor a bels hlzat eszkzei a kls interfszen
keresztl kifel kommuniklnak, a bels cmeket egy vagy tbb bejegyzett (publikus) IPcmre kell lefordtani.
Elfordulhat, hogy a bels hlzat egyik kiszolgljnak az internetrl elrhetnek kell
lennie. Ehhez a kiszolglnak a kls felhasznlk szmra ismert, publikus cmmel
kell rendelkeznie. A statikus cmfordts az egyik mdja annak, hogy ilyen cmet
biztostsunk a bels kiszolgl szmra.
A statikus NAT biztostja, hogy a bels hlzat llomsaihoz rendelt cmek mindig
ugyanarra a bejegyzett (publikus) IP-cmre legyenek lefordtva.
A NAT s a statikus NAT belltsa a Cisco IOS parancssoros felletrl szmos
lpsbl ll:
1. lps: A bels interfsz megadsa

2. lps: A bels interfsz elsdleges IP-cmnek belltsa

3. lps: A bels interfsz azonostsa az ip nat inside paranccsal

4. lps: A kls interfsz megadsa

5. lps: A kls interfsz elsdleges IP-cmnek megadsa

6. lps: A kls interfsz azonostsa az ip nat outside paranccsal

7. lps: A statikus cmfordts megadsa

8. lps: A belltsok ellenrzse

Az egyik leghasznosabb parancs a show ip nat translations, amely a NAT

hozzrendelsek rszleteit jelenti meg. A parancs megjelent minden belltott statikus
s a forgalom ltal generlt dinamikus fordtst. Minden cmfordtsnl szerepel a
protokoll, valamint a bels s kls loklis, illetve globlis cm.
A show ip nat statistics parancs megjelenti az aktv cmfordtsok teljes
szmt, a NAT konfigurci paramtereit, valamint a cmkszlet kioszthat s kiosztott
elemeinek szmt.
A fentieken tl a show run parancs segtsgvel is megtekinthetk a NAT belltsok.
Alaprtelmezs szerint a dinamikus NAT cmfordtsi bejegyzsei 24 ra elteltvel
vlnek el, de esetenknt ennl hamarabb is rdemes lehet trlni azokat. Ez
klnsen igaz lehet a NAT belltsok ellenrzsnl. A dinamikus bejegyzsek
elvls eltti trlshez hasznljuk a privilegizlt (enable) mdban kiadott clear ip
nat translation * parancsot! Ez kizrlag a dinamikus cmfordtsokat tvoltja el
a tblzatbl, a statikus cmfordtsok nem trlhetk a cmfordtsi tblzatbl.
A Cisco forgalomirnytk konfigurciinak biztonsgi mentse
A forgalomirnyt belltst kveten az aktv konfigurcit el kell menteni az indt
konfigurcis fjlba. Szintn hasznos a konfigurcis fjl msik helyre (pl. egy hlzati
kiszolglra) trtn mentse. gy a rendelkezsnkre ll egy msolat, ha az NVRAM
meghibsodik vagy megsrl, s a forgalomirnyt nem tudja betlteni az indt
konfigurcis fjlt. A konfigurcis fjl elmentsnek szmos mdja van.
Ezek egyike, hogy a konfigurcis fjlokat TFTP hasznlatval egy hlzati kiszolglra
mentjk. A TFTP-kiszolglnak elrhetnek kell lennie a hlzaton keresztl a
forgalomirnyt szmra.
1. lps: A copy startup-config tftp parancs kiadsa
2. lps: A konfigurcis fjlt trolst vgz lloms (TFTP-kiszolgl) IP-cmnek
megadsa
3. lps: A konfigurcis fjlhoz hozzrendelni kvnt nv megadsa, vagy az
alaprtelmezs szerinti elfogadsa
4. lps: Az egyes vlasztsok jvhagysa a "Yes" bersval

Az aktv konfigurci szintn eltrolhat egy TFTP-kiszolgln a copy runningconfig tftp parancs kiadsval.
A konfigurcis fjl biztonsgi mentsnek visszalltshoz a forgalomirnytnak
rendelkeznie kell legalbb egy belltott interfsszel, amin keresztl kpes elrni a
TFTP-kiszolglt.

1. lps: A copy tftp running-config parancs kiadsa

2. lps: A TFTP-kiszolglt futtat tvoli lloms IP-cmnek megadsa
3. lps: A konfigurcis fjl nevnek megadsa, vagy az alaprtelmezs szerinti
elfogadsa
4. lps: A konfigurcis fjl nevnek, valamint a TFTP-kiszolgl IP-cmnek
jvhagysa
5. lps: Az aktv konfigurci mentse az indt konfigurcis fjlba a copy run
start parancs segtsgvel, hogy a visszalltott konfigurci megmaradjon

A visszallts egy lehetsges mdja, ha a TFTP-fjl tartalmt az indt konfigurcis

fjlba msoljuk. Ekkor azonban az j indt konfigurcis fjl betltshez szksg van
a forgalomirnyt jraindtsra.
A CPE Csatlakoztatsa az ISP-hez
Az gyflnl teleptett hlzati eszkzket elfizeti vgberendezsnek (customer
premises equipment, CPE) nevezzk, s ide rtjk a forgalomirnytkat, modemeket,
kapcsolkat s egyb hasonl eszkzket.
WAN-on keresztli elfizeti kapcsolatok
Nagytvolsg hlzatok
Ha egy vllalat tbb, egymstl fldrajzilag tvol es telephellyel rendelkezik, szksg
lehet egy tvkzlsi szolgltat (TSP) bevonsra a klnbz helyeken lv LAN-ok
sszekapcsolshoz. Az egymstl fldrajzilag tvol es LAN-okat sszekapcsol
hlzatokat nagytvolsg hlzatnak (WAN) nevezzk.
Az egyes szervezetek ltalban brelt kapcsolattal rendelkeznek a TSP hlzatn
keresztl. Habr a kapcsolat kt vgn lv LAN-ok hzirendjt s adminisztrcijt
teljes mrtkben a szervezet felgyeli, a kommunikcis szolgltatst nyjt hlzat
hzirendjt az ISP szablyozza.
A WAN-sszekttetsek eltrek lehetnek a csatlakoz tpustl, a svszlessgtl s
a kltsgektl fggen. A kisvllalkozsok nvekedsvel egyre n az igny a drgbb
WAN-sszekttetsek ltal nyjtott svszlessgre.

A soros WAN-sszekttetseknek hrom tpusa ltezik.

Pont-pont
A pont-pont sszekttets egy elre meghatrozott kommunikcis tvonal az gyfl
telephelytl a TSP hlzatn keresztl. Ez egy fix svszlessggel rendelkez,
llandan rendelkezsre ll dediklt ramkr. A pont-pont sszekttetseket ltalban
a tvkzlsi szolgltattl brlik, ezrt gyakran brelt vonalnak is nevezik ket. A pontpont sszekttets ltalban a legdrgbb WAN-kapcsolattpus, melynek ra az
ignyelt svszlessg s a kt sszekttt pont kztti tvolsg fggvnye. A pont-pont
tpus WAN-sszekttetsre plda a T1 s az E1 kapcsolat.

Vonalkapcsolt
A vonalkapcsolt sszekttets a telefonhlzaton keresztl bonyoltott telefonhvshoz
hasonl elven mkdik. Amikor felhvunk egy ismerst, felemeljk a kagylt,
ltrehozzuk az ramkrt, majd trcszzuk a szmot. A hvs befejezst kveten
lerakjuk a kagylt s lezrjuk az ramkrt. A vonalkapcsolt WAN-sszekttetsre plda
az ISDN s a betrcszs kapcsolat.

Csomagkapcsolt
A csomagkapcsolt sszekttetsben minden hlzat a szmos elfizet ltal kzsen
hasznlt TSP hlzatba kapcsoldik. A vonalkapcsolt ramkr forrstl clig trtn
fizikai lefoglalsa helyett, itt mindegyik elfizet sajt virtulis ramkrrel rendelkezik. A
virtulis ramkr egy, a kld s a fogad felet sszekt logikai nem pedig fizikai
tvonal. A csomagkapcsolt hlzatra plda a Frame Relay.

A WAN sszekttetsek kivlasztsa

A WAN-sszekttets kivlasztsnl fontos szerepet jtszik a svszlessg s az r. A
kisebb vllalatok nem engedhetik meg a drgbb (pl.: SONET vagy ATM tpus) WANsszekttetseket, inkbb a kevsb drga DSL, kbeles vagy T1 tpus
sszekttetseket vlasztjk. Ezen fell a nagyobb svszlessg WANsszekttetsek nem biztos, hogy elrhetek a fldrajzilag tvol es helyeken.
Amennyiben az irodk a vroskzponthoz kzel esnek, tbb lehetsg ll
rendelkezsre a WAN-kapcsolat kivlasztsnl.
A vlasztsnl az is szerepet jtszik, hogy a vllalat mire kvnja hasznlni az
sszekttetst. Amennyiben a vllalat interneten keresztl elrhet szolgltatsokat
nyjt, magasabb feltltsi svszlessgre lehet szksge. Ilyen eset lehet pldul egy
e-kereskedelmi szolgltatsokat nyjt webkiszolgl zemeltetse, amelynek
elegend feltltsi svszlessget kell biztostania a webhelyre ltogat kls gyfelek
kiszolglshoz. Ugyanakkor, ha a vllalat e-kereskedelmi szolgltatsokat nyjt
weboldalt az internetszolgltat kezeli, nincs szksg tl nagy feltltsi
svszlessgre.
Nhny vllalat dntsben az is szerepet jtszik, hogy a WAN-sszekttetshez
tartozik-e a szolgltatsi szintet garantl szerzds (SLA). A kevsb drga (pl.:
betrcszs, DSL s kbeles) WAN-sszekttetsekhez ltalban nem tartozik ilyen
szerzds, mg a drgbbakhoz igen.

A WAN sszekttets belltsa

A brelt vonalas WAN-kapcsolatok ltalban soros sszekttetst hasznlnak, s
szksgk van egy csatornaszolgltat/adatszolgltat egysgre (CSU/DSU) az
internetszolgltat hlzathoz trtn kapcsoldshoz. Az internetszolgltat
berendezst gy kell belltani, hogy a CSU/DSU-n keresztl kommuniklni lehessen
az gyfl telephelyn lev vgberendezsekkel.
A soros sszekttets szempontjbl fontos, hogy a kapcsolat mindkt vgn ugyanaz
az rajel legyen elre belltva. Az rajelet ltalban a DCE berendezs (ltalban a
CSU/DSU egysg) lltja be, a DTE berendezs (ltalban a forgalomirnyt) pedig
fogadja.
A Cisco kszlkek a soros vonalakon alaprtelmezs szerint HDLC begyazst
alkalmaznak, de ez megvltoztathat PPP-re. A PPP nagyobb rugalmassgot
nyjt, valamint tmogatja a tvoli berendezs ltali hitelestst.

nll Kapcsolk
A kapcsol egy olyan eszkz, amely az egyik portjn berkez zenetfolyamot egy
msik portjra irnytja a clszmtgp MAC-cme alapjn. A kapcsol nem kpes a
kt klnbz helyi hlzat kztt zajl forgalom irnytsra. A kapcsol az OSI-modell
msodik rtegben mkdik. A msodik rteg az adatkapcsolati rteg.
Az Ethernet kapcsolk szmos, a klnbz felhasznli ignyekhez igazod modellje
kaphat. A Cisco Catalyst 2960 tpus Ethernet kapcsolt a kzepes mret vllalatok
s fikirodk hlzataihoz terveztk.
A 2960 sorozat kapcsolk Fast Ethernet (10/100) s Gigabit Ethernet (10/100/1000)
csatlakozst egyarnt biztostanak. A fenti kapcsolk a Cisco IOS szoftvert hasznljk,
s a grafikus fellet Cisco Network Assistant (Hlzati Segd) vagy a parancssoros
fellet hasznlatval llthatk be.

Minden kapcsol tmogatja a fl-duplex s duplex tviteli zemmdokat.

A fl-duplex mdban mkd port brmely adott pillanatban csak kldeni, vagy csak
fogadni tudja az adatokat (egyszerre mindkettt nem). A duplex mdban mkd port
egyidejleg tud adatokat kldeni s fogadni, megduplzva ezzel az
teresztkpessget.
Mind a portnak, mind pedig a csatlakoztatott eszkznek ugyanabban az tviteli
zemmdban kell mkdnie. Ha mgsem ugyanabban a mdban mkdnek,
nagyszm tkzssel, roml kommunikcival jr tviteli illesztettlensgi problmval
szmolhatunk.

A sebessg s a duplex zemmd bellthat kzzel, de a kapcsol portja

automatikusan is egyeztetheti azokat. Az automatikus egyeztets lehetv teszi a
kapcsol szmra, hogy a portjra csatlakoztatott eszkz sebessgt s duplex
zemmdjt automatikusan detektlja. A legtbb Cisco kapcsoln az automatikus
egyeztets alaprtelmezs szerint engedlyezve van.
Ahhoz, hogy az automatikus egyeztets mkdjn, ezt a funkcit mindkt rsztvevnek
tmogatnia kell. Amennyiben a kapcsol automatikus egyeztetsi mdban van, de a
csatlakoztatott eszkz nem tmogatja azt, a kapcsol a msik eszkz sebessgt (10,
100 vagy 1000) fogja hasznlni, s fl-duplex mdba vlt. A fl-duplex mdra vlts
problmkat okozhat, ha az automatikus egyeztetst nem tmogat eszkz duplex
mdban mkdik.
A sebessg-paramter magtl belltdik, mg akkor is, ha a csatlakoztatott port nem
tmogatja az automatikus egyeztetst.
A kapcsol belltsai belertve a portok sebessg- s duplex-paramtereit a
Cisco IOS parancssoros felletrl is megadhatk.
Csakgy, mint a forgalomirnytk esetben, a kapcsolk szmra kszlt Cisco IOS
rendszerkdnak is szmtalan vltozata ltezik. A Cisco Catalyst 2960 tpus kapcsolt
az IP-Base (IP-Alap) rendszerkddal szlltjk, amely az alapvet kapcsolsi funkcikat
s IP-szolgltatsokat biztostja. A tbbi Cisco IOS rendszerkd az IP-Base
szolgltatsait bvti.
A Cisco 2960 tpus kapcsol zembehelyezse
A Cisco 2960 tpus kapcsol zembehelyezse hasonlt a Cisco 1841 tpus ISR
elindtshoz.
1. lps: Az sszetevk ellenrzse
2. lps: A kbelek sszektse a kapcsolval
3. lps: A kapcsol feszltsg al helyezse
Amint a kapcsol ram al kerl, elindul a bekapcsolsi nteszt (POST). A POST ideje
alatt a LED-ek villogsa jelzi a kapcsol megfelel mkdst ellenrz tesztek futst.
A POST sikeres befejezst a SYST LED gyors, zld szn villogsa jelzi. Amennyiben
a POST nem volt sikeres, a SYST LED srgra vlt. Ilyenkor a kapcsolt vissza kell
kldeni javtsra.
A Cisco LAN kapcsol konfigurlsnak s kezelsnek szmos mdja van.

A Cisco Network Assistant (Hlzati Segd)

A Cisco Device Manager (Eszkzkezel)

A Cisco IOS parancssoros fellete

A CiscoView felgyeleti szoftver

Az SNMP hlzatfelgyeleti termkek

(SNMP: Simple Network Management Protocol, azaz az egyszer hlzat

menedzsment protokoll rvidtse.)
Mivel a fenti mdszerek nmelyike IP-kapcsolaton keresztl vagy valamilyen
webbngsz segtsgvel hasznlhat, ezrt a kapcsolnak IP-cmre van szksge. A
forgalomirnyt interfszeivel ellenttben a kapcsol portjaihoz nem kell IP-cmet
rendelni. . A Cisco kapcsolk IP-alap felgyeleti szoftverrel vagy telnet-kapcsolaton
keresztl trtn kezelshez egy felgyeleti IP-cm belltsa szksges.
Amennyiben a kapcsol nem rendelkezik IP-cmmel, a konfigurcis feladatok
vgrehajtshoz kzvetlenl a konzolportjra kell csatlakozni, s terminlemulcis
programot kell hasznlni.
A kapcsol kezdeti konfigurcija
Az llomsnv s a jelszavak belltsa ugyanazokkal a parancsokkal trtnik, mint az
ISR esetben. A Cisco kapcsolk IP-alap felgyeleti szoftverrel vagy telnetkapcsolaton keresztl trtn kezelshez lltsunk be egy felgyeleti IP-cmet!
Ahhoz, hogy egy IP-cm a kapcsolhoz trsthat legyen, a cmet egy virtulis helyi
hlzati (VLAN) interfszhez kell rendelnnk. A VLAN lehetv teszi egynl tbb fizikai
port egyetlen logikai csoportknt trtn kezelst. A kapcsoln egy VLAN van elre
konfigurlva, a felgyeleti feladatokat ellt VLAN1.
A VLAN1 felgyeleti interfszhez tartoz IP-cm belltshoz lpjnk be a globlis
konfigurcis mdba!
Switch>enable
Switch#configure terminal
Ezutn lpjnk be a VLAN1 interfszkonfigurcis mdjba!
Switch(config)#interface vlan 1
Adjuk meg a felgyeleti interfsz IP-cmt, alhlzati maszkjt s alaprtelmezett
tjrjt! Az IP-cmnek rvnyesnek kell lennie a kapcsolt tartalmaz helyi hlzatban!
Switch(config-if)#ip address 192.168.1.2 255.255.255.0
Switch(config-if)#exit
Switch(config)#ip default-gateway 192.168.1.1
Switch(config)#end
Mentsk el a belltsokat a copy running-configuration startupconfiguration paranccsal!

A LAN kapcsol sszektse a forgalomirnytval

A kapcsol csatlakoztatsa a hlzathoz
A kapcsol forgalomirnytval trtn sszektshez hasznljunk egyenes kts
kbelt!
A kapcsol s a forgalomirnyt sszektst kveten ellenrizzk, hogy a kt
eszkz tud-e zenetet vltani egymssal!
A kapcsolrl pingeljk meg a kzvetlenl csatlakoztatott forgalomirnyt interfszhez
tartoz IP-cmet! Ezutn a forgalomirnytrl pingeljk meg a kapcsol VLAN1
felgyeleti interfszhez tartoz IP-cmet!
A kapcsol portjai belpsi pontknt szolglhatnak a hlzatba az illetktelen
felhasznlk szmra. Ennek megakadlyozshoz a kapcsolk a portbiztonsg
elnevezs megoldst alkalmazzk. A portbiztonsg portonknt korltozza az
engedlyezett, rvnyes MAC-cmek szmt. Az egyes portok nem tovbbtjk azokat a
csomagokat, amelyeknl a forrs MAC-cme nincs az engedlyezett cmek
csoportjban.
A portbiztonsg belltsnak hrom mdja van:
Statikus
A MAC-cmek megadsa manulisan trtnik a switchport port-security macaddress <mac-cm> parancs segtsgvel. A statikus MAC-cmeket a cmtbla s az
aktv konfigurci is trolja.
Dinamikus
A MAC-cmek megtanulsa dinamikusan trtnik, a megtanult cmeket a cmtbla
trolja. A megtanulhat cmek szma szablyozhat, alaprtelmezs szerint portonknt
legfeljebb egy. A megtanult cmek a port lekapcsolsa vagy a kapcsol jraindtsa
esetn elvesznek.

Sticky
A portbiztonsg alaprtelmezs szerint nincs engedlyezve. A portbiztonsg
engedlyezst kveten a biztonsg megsrtse a port lelltst eredmnyezi. Ha
pldul a dinamikus portbiztonsg van engedlyezve, s az engedlyezett MAC-cmek
maximlis szma portonknt egy, akkor az els megtanult cm lesz a biztonsgos cm.
Amennyiben egy msik szmtgp eltr MAC-cmmel prbl csatlakozni a porthoz, az
a biztonsg megsrtsnek minsl.
Az albbi esetek brmelyiknek bekvetkezse a biztonsg megsrtsnek minsl:

A cmtblban szerepl cmek szma elrte a biztonsgos MAC-cmek

maximlis szmt, s egy -- a cmtblban nem szerepl MAC-cmmel
rendelkez -- eszkz prbl csatlakozni az interfszhez.

A VLAN egyik biztonsgos interfszn megtanult vagy belltott cm ugyanazon

VLAN egy msik biztonsgos interfszn ltszik.

A portbiztonsg aktivlsa eltt a portot elrsi mdba kell lltani a switchport

mode access parancs segtsgvel!

A kapcsol vagy egy bizonyos interfsz portbiztonsgi belltsainak ellenrzshez

hasznljuk a show port-security interface interface-id parancsot!
A show port-security parancs pedig megjelenti a kapcsol portbiztonsgi
belltsait.
Az aktv konfigurciban trolt megtanult MAC-cmek trlsnek hrom mdja
ltezik:
1. A clear port-security sticky interface <port szma> access parancs segtsgvel
trljk ki a megtanult cmeket! Ezutn kapcsoljuk le a portot a shutdown
paranccsal! Vgl engedlyezzk jra a portot a no shutdown parancs
segtsgvel!
2. Tiltsuk le a portbiztonsgot a no switchport port-security parancs segtsgvel! A
letiltst kveten engedlyezzk jra a portbiztonsgot!
3. Indtsuk jra a kapcsolt!

A megtanult MAC-cm egszen addig egy bizonyos porthoz lesz trstva, amg a clear
port-security paranccsal le nem tiltjuk a portbiztonsgot. Ha ez megtrtnt, ne felejtsk
az aktv konfigurcit jra elmenteni az indt konfigurcis fjlba, msklnben a
kapcsol az jraindtst kveten ismt emlkezni fog az adott MAC-cmre.
Amennyiben egy kapcsoln vannak hasznlaton kvli portok, ajnlott azokat letiltani. A
kapcsol portjainak letiltsa igen egyszer. Keressk meg az sszes hasznlaton kvli
portot, s mindegyiknl adjuk ki a shutdown parancsot! Amennyiben egy portot
aktivlni kell, adjuk ki a no shutdown parancsot!
A portbiztonsg engedlyezsn s a hasznlaton kvli portok letiltsn kvl a
kapcsol biztonsga tovbb fokozhat a vty vonalakra belltott jelszavakkal, a
bejelentkezsi zenetek engedlyezsvel s a jelszavak -- service passwordencryption paranccsal trtn -- titkostsval. A fenti belltsokhoz hasznljuk a
forgalomirnytk esetben tanult parancsokat!
A Cisco Discovery Protocol
A Cisco Discovery Protocol (CDP, Cisco felfedez protokoll) olyan, kapcsolk, ISR-ek
s forgalomirnytk ltal hasznlt informcigyjt eszkz, amely ms, kzvetlenl
csatlakoz Cisco eszkzkkel oszt meg adatokat. A CDP alaprtelmezs szerint az
eszkz elindulsval egy idben kezd futni, melynek sorn rendszeresen zeneteket
(ms nven CDP hirdetseket) kld a kzvetlenl csatlakoz hlzatokba.
A CDP kizrlag a msodik rtegben mkdik, s szmos klnbz helyi
hlzattpuson hasznlhat, belertve az Ethernet s a soros hlzatokat is. Msodik
rtegbeli protokollrl lvn sz, a CDP akkor is meg tudja hatrozni a kzvetlenl
csatlakoz kapcsolat llapott, ha nincs IP-cm megadva vagy a megadott cm hibs.
A CDP ltal gyjttt informcik:

Az eszkz azonostja - a belltott llomsnv

Cmlista - a harmadik rtegbeli cm, ha meg van adva

Portazonost - a kzvetlenl csatlakoz port (pl.: 0/0/0)

Szolgltatslista - az eszkz ltal biztostott funkci(k)

Platform - az eszkz hardverplatformja (pl.: Cisco 1841)

A show cdp neighbors s a show cdp neighbors detail parancsok kimenete

megjelenti az adott Cisco eszkz ltal a kzvetlenl csatlakoz szomszdjairl szerzett
informcikat.
Mivel a CDP rengeteg adatot gyjt s jelent meg a kzvetlenl csatlakoz
szomszdokrl, radsul bejelentkezst sem ignyel, ezrt az les hlzatokban
biztonsgi okokbl ltalban letiltjk. Ezen fell a CDP svszlessget kt le, gy
hatssal lehet a hlzat teljestmnyre.

A CDP engedlyezse s letiltsa

Forgalomirnyts
A forgalomirnytk az zenetek megfelel clba juttatsa rdekben egy tblt
hasznlnak, melyben minden kzvetlenl csatlakoz hlzat s a hozzjuk tartoz
interfsz szerepel. Minden interfsz klnbz IP hlzathoz tartozik.
A forgalomirnyt az irnyttbla informcii alapjn hatrozza meg a megfelel
tvonalat. Az irnyttbla tartalmaz nem kzvetlenl csatlakoz, tvoli hlzatokra
vonatkoz tvonalakat is.
A forgalomirnyt tvonalbejegyzseit ltrehozhatja statikusan egy rendszergazda,
vagy irnyt protokoll segtsgvel kldheti egy msik forgalomirnyt.
A forgalomirnyt a csomagok megfelel tovbbtshoz tvonalakat tartalmaz
irnyttblt hasznl. Minden bejegyzs megadja, hogy egy adott hlzat melyik
tjrn vagy interfszen keresztl rhet el.
Egy tvonalbejegyzsnek 4 alapvet sszetevje van:

Clhlzat cme

Alhlzati maszk

tjr vagy interfsz cme

tvonal kltsge vagy irnytsi mrtke

Amikor berkezik egy csomag, a forgalomirnyt a csomagtovbbts rdekben

megvizsglja a cllloms IP-cmt, majd vele egyez bejegyzst keres az
irnyttblban.
A forgalomirnyt kikeresi az irnyttbla sszes lehetsges tvonalnak hlzati
maszkjait, alkalmazza azokat a csomag cl IP-cmre, majd az gy kapott hlzati
cmet hasonltja ssze a tblban lv tvonalak hlzati cmvel. Egyezs esetn a
megfelel interfszre vagy a megadott tjrhoz tovbbtja a csomagot. Tbb
lehetsges tvonal esetn a forgalomirnyt a legspecifikusabb utat vlasztja,
vagyis azt, amelyiknl a hlzati cmben a legtbb bit megegyezik.
Elfordulhat, hogy tbb tvonal is ltezik az adott clhlzat fel. Ilyen esetekben a
vlaszts irnyt protokoll szablyok alapjn trtnik.
Amennyiben egyetlen egyezs sincs, a forgalomirnyt a csomagot az
alaprtelmezett tvonalknt elre megadott tjrjhoz kldi, vagy annak
hinyban eldobja azt.

Cisco forgalomirnytkon a show ip route IOS parancs jelenti meg az

irnyttbla tartalmt, amely szmos klnbz tpus tvonalat tartalmazhat.
Kzvetlenl csatlakoz tvonalak
Egy forgalomirnyt indulsakor a konfigurlt interfszek engedlyezettek, s amint
mkdkpess vlnak, a forgalomirnyt a hozz kzvetlenl kapcsold
hlzatok hlzatcmeit kzvetlenl csatlakozott tvonalakknt bejegyzi az
irnyttblba. Cisco forgalomirnytk irnyttbljban ezeket az
tvonalakat a C eltag jelli. Az interfsz jbli konfigurlsa vagy lelltsa utn
automatikusan frisslnek az tvonalbejegyzsek.
Statikus tvonalak
A hlzati rendszergazda manulisan konfigurlhat egy adott hlzathoz statikus
tvonalat. Ezeket az tvonalakat az S eltag jelli az irnyttblban, s
mindaddig nem vltoznak, amg a rendszergazda jra nem konfigurlja ket.
Dinamikusan frisstett tvonalak (dinamikus tvonalak)
A dinamikus tvonalakat a forgalomirnyt protokollok hozzk ltre s tartjk
karban. Az forgalomirnyt protokollok irnytsi informcikat cserlnek egymssal
a hlzaton. A dinamikus tvonalakat az irnyttblban mindig az tvonalat
ltrehoz protokollra jellemz eltag jelli. Pldul RIP (forgalomirnytsi
informcis protokoll - Routing Information Protocol) esetn ez az R.
Alaprtelmezett tvonal
Az alaprtelmezett tvonal olyan statikus tvonal, amely meghatrozza a
hasznland tjrt, ha az irnyttbla nem tartalmaz clhlzathoz vezet
tvonalat. Ez gyakran az internetszolgltat fel vezet tvonal kvetkez
forgalomirnytja. Egyetlen forgalomirnytt tartalmaz alhlzat esetn
automatikusan az adott forgalomirnyt lesz az alaprtelmezett tjr, mivel a helyi
hlzat forgalma mindkt irnyban csak rajta keresztl tud thaladni.
Az irnyttblk nem a forrs s clhlzat kztti teljes tvonalrl, csupn a
kvetkez ugrsrl tartalmaznak informcit. Az irnyttblban szerepl kvetkez
ugrs jellemzen egy kzvetlenl csatlakoz hlzat.
Statikus tvonal esetn a kvetkez ugrs a forgalomirnyt ltal elrhet
tetszleges IP-cm lehet. A folyamat vgn a csomag thalad a clllomshoz
kzvetlenl csatlakoz forgalomirnytn, majd cljhoz r. Minden kzbls
forgalomirnyt esetben hlzati cmek s nem konkrt llomscmek alapjn
trtnik az irnyts. A clhlzat eltti utols forgalomirnyt tblja az egyetlen,
ahol a clcm nem egy hlzatra, hanem egy konkrt llomsra vonatkozik.

Statikus tvonalak konfigurlsa

A statikus tvonalakat a hlzati rendszergazda manulisan konfigurlja. Statikus
tvonal ltrehozsnak lpsei Cisco forgalomirnytkon:
1. lps. Privilegizt mdba lpshez gpelje be az enable parancsot a Router1>
parancssorba! Figyelje meg hogy a > jel helyett # jelli a privilegizlt mdot!
Router1>enable
Router1#
2. lps. Lpjen globlis konfigurcis mdba!
Router1#config terminal
Router1(config)#
3. lps. Statikus tvonal ltrehozshoz hasznlja a Cisco IOS ip route parancst a
kvetkez formban:
ip route [clhlzat] [alhlzati_maszk] [tjr_cme]
vagy
ip route [clhlzat] [alhlzati_maszk] [kimen_interfsz]
Pldaknt a 192.168.16.0 hlzat egy llomsnak elrshez az R1
forgalomirnytn a rendszergazda egy statikus tvonalat konfigurl globlis
konfigurcis mdban a kvetkez Cisco IOS parancs segtsgvel:
Router1(config)#ip route 192.168.16.0 255.255.255.0
192.168.15.1
vagy
Router1(config)#ip route 192.168.16.0 255.255.255.0 S0/0/0
A 192.168.16.0 hlzat egy llomsval ktirny kommunikci ltrehozshoz a
rendszergazdnak az R2 forgalomirnytn is definilni kell egy statikus tvonalat.
Nagyobb hlzatokban viszont az irnyttblk manulis kezelse jelents
adminisztrcis idt vehet ignybe, gy ezekben a hlzatokban statikus tvonalak
helyett dinamikus irnytst hasznlnak.

Forgalomirnyt protokollok
Dinamikus irnyts hasznlatval megtakarthat a statikus tvonalak kezelshez
szksges id. Dinamikus irnytssal a forgalomirnytk a rendszergazda
beavatkozsa nlkl kpesek a hlzatban bekvetkez vltozsok kvetsre,
valamint forgalomirnyt tblik kezelsre.
A dinamikus irnyt protokollok megtanuljk az elrhet tvonalakat, a legjobbakat
rgztik a forgalomirnyt tblban, az rvnyteleneket pedig eltvoltjk onnan.

A forgalomirnyt protokoll ltal a legjobb tvonal meghatrozshoz alkalmazott

eljrst nevezzk forgalomirnyt algoritmusnak, melynek kt f osztlya ltezik:
tvolsgvektor alap s kapcsolatllapot alap. A kt megolds klnbz
mdon hatrozza meg a clhlzathoz vezet legjobb utat.
Konfigurci vagy hiba kvetkeztben bekvetkez hlzati topolgiavltozs esetn
az j hlzati topolgia pontos kpe rdekben minden forgalomirnyt
forgalomirnyt tblja is meg kell, hogy vltozzon. Amikor a hlzat minden
forgalomirnytja az j tvonalnak megfelelen frisstette forgalomirnyt tbljt,
akkor a hlzat konverglt.
Az alkalmazott forgalomirnytsi algoritmus nagyon fontos szerepet jtszik a
dinamikus irnytsban. Kt forgalomirnyt akkor tud forgalomirnytsi informcit
cserlni, ha ugyanazt a forgalomirnytsi protokollt s gy ugyanazt a
forgalomirnytsi algoritmust hasznljk.
Tvolsgvektor alap forgalomirnyt algoritmust hasznl forgalomirnytk
rendszeres idkznknt msolatot kldenek egymsnak forgalomirnyt
tbljukrl, gy informlva egymst a hlzati topolgiban bekvetkez
vltozsokrl.
A tvolsgvektor alap forgalomirnyt algoritmus a ms forgalomirnytktl
kapott tvonalinformcit kt alapvet szempont alapjn rtkeli:

Tvolsg - Milyen tvolsgra van a hlzat a forgalomirnyttl?

Vektor Milyen irnyba kell a csomagot tovbbtani a hlzat fel?

Az tvonal tvolsg sszetevjt az t kltsgnek vagy mrtknek nevezik,

s a kvetkezktl fgghet:

Ugrsok szma

Adminisztratv kltsg

Svszlessg

tviteli sebessg

Ksleltetsek valsznsge

Megbzhatsg

Az tvonal vektor vagy irny sszetevje az adott tvonalban a kvetkez ugrs IPcme.

Minden tvolsgvektor alap forgalomirnytst hasznl forgalomirnyt az

irnytsi informciit elkldi szomszdainak. Szomszdos forgalomirnytknak
azokat nevezzk amelyeknek legalbb egy kzs, kzvetlenl kapcsold hlzatuk
van. A kzvetlenl csatlakoz hlzatokhoz vezet interfszek tvolsga 0.
Minden forgalomirnyt forgalomirnyt tblt kap a szomszdaitl. Pldul az R2
az R1-tl kap ilyen informcit. R2 megnveli a kapott tblban szerepl kltsgrtkeket, jelen esetben az ugrsszmot, s ezzel jelzi, hogy az rintett clhlzatok
innen mr egy ugrsnyival hosszabb ton rhetk el. Ezt kveten R2 is elkldi
forgalomirnyt tbljt szomszdainak, kztk R3-nak is. Lpsrl lpsre
ugyanez a folyamat zajlik le minden irnyban a szomszdos forgalomirnytk kztt.
Vgl minden forgalomirnyt a tvoli hlzatokat a szomszdos forgalomirnytk
informcii alapjn tanulja meg. A forgalomirnyt tbla minden bejegyzshez gy
egy sszegzett tvolsgvektor tartozik, ami megadja a hlzat tvolsgt az adott
irnyban.
A forgalomirnytk minden topolgiavltozskor frisstik forgalomirnyt tbljukat,
vagyis brmikor, ha egy j hlzat jelenik meg, vagy egy tvonal elrhetetlenn vlik
pl. egy forgalomirnyt meghibsodsa miatt.

A forgalomirnytsi informcis protokoll (RIP - Routing

Information
A vilg tbb ezer hlzatban alkalmazott, az RFC 1058 dokumentumban definilt
tvolsgvektor alap protokoll.
A RIP jellemzi:

Tvolsgvektor alap forgalomirnyt protokoll.

Az tvonal kivlasztskor az ugrsszmot hasznlja mrtknek.

A 15 ugrsnl hosszabb tvonalakat elrhetetlennek tekinti.

30 msodpercenknt elkldi teljes irnyttbljt a szomszdainak.

tvonalfrissts fogadsakor a forgalomirnyt a vltozsoknak megfelelen

mdostja forgalomirnyt tbljt. Amennyiben j tvonalrl szerez tudomst a
frisstsbl, a kapott ugrsszmot eggyel megnvelve trolja az tvonalat a
forgalomirnyt tbljban. Kvetkez ugrsknt a frisstst kld, kzvetlenl
csatlakoz forgalomirnyt helyi hlzati cmt hasznlja.
Sajt forgalomirnyt tbljnak frisstst kveten a forgalomirnyt azonnal
tvonalfrisstsekkel tjkoztatja a hlzat forgalomirnytit a vltozsokrl.
Ezeknek az gynevezett esemnyvezrelt frisstseknek (triggered update) a
kldse a RIP ltal kldtt rendszeres frisstsektl fggetlen.
A RIP egyszersgnek s knny telepthetsgnek ksznheten szles
krben hasznlt s npszer forgalomirnyt protokoll.

A RIP htrnyai:

A maximum 15 ugrsnak ksznheten csak olyan hlzatokban

alkalmazhat, ahol 16 forgalomirnytnl tbb nem kapcsoldik sorban
egymshoz.

Mivel rendszeres idkznknt teljes forgalomirnyt tblkat kld a

kzvetlenl csatlakozott szomszdoknak, gy nagyobb hlzat esetn minden
frissts jelents hlzati forgalmat jelent.

Nagy hlzatok vltozsa esetn lassan konvergl.

Jelenleg a RIP kt verzija elrhet: RIPv1 s RIPv2. A RIPv2 szmos elnnyel

rendelkezik s rendszerint csak abban az esetben nem alkalmazzk, ha valamelyik
eszkz nem tmogatja. A legjelentsebb klnbsg a kt verzi kztt, hogy a RIPv2
tmogatja az osztly nlkli irnytst, mivel frisstsei tartalmazzk az alhlzati
maszkot. A RIPv1 nem kld hlzati maszk informcit, s gy - jobb hjn - az
egyes osztlyok alaprtelmezett maszkjait hasznlja.

EIGRP - Enhanced Interior Gateway Routing Protocol

Az EIGRP a Cisco sajt fejleszts, tovbbfejlesztett tvolsgvektor alap
forgalomirnyt protokollja, melyet a tbbi tvolsgvektor alap protokoll, mint
pldul a RIP, hinyossgainak megoldsra hoztak ltre. Ilyen hinyossg pldul
az ugrsszm mrtkknt val hasznlata, valamint a maximum 15 ugrs mret
hlzatok kezelse.
Az EIGRP sszetett mrtket hasznl, tbbek kztt a konfigurlt svszlessget s
a csomag adott tvonalra vonatkoz ksleltetst.
Az EIGRP jellemzi:

Egy tvonal kltsgnek kiszmtshoz tbbfle mrtket hasznl.

A tvolsgvektor alap protokollok kvetkez ugrs szerinti mrtk

tulajdonsgait tvzi tovbbi adatbzisokkal s frisstsi jellemzkkel.

Maximum 224 ugrst engedlyez.

A RIP-pel szemben az EIGRP nem csak a forgalomirnyt tbljban trolja a

mkdshez szksges informcikat, hanem kt tovbbi adatbzis tblt is
ltrehoz: a szomszd- s a topolgiatblt.
A szomszdtblban tallhatk a kzvetlenl csatlakoz helyi hlzatokon lv
forgalomirnytk adatai, mint pldul interfsz IP-cme, tpusa s svszlessge.
Az EIGRP topolgiatbla a szomszdos forgalomirnytk hirdetmnyei alapjn
pl fel, s tartalmaz minden szomszd ltal hirdetett tvonalat. Az EIGRP a DUAL
(Diffused Update Algorithm ) algoritmust hasznlja egy hlzaton bell a clhoz
vezet legrvidebb tvonal meghatrozsra s bejegyzsre a forgalomirnyt
tblba.

A topolgiatbla segtsgvel a hlzat megvltozsakor a forgalomirnyt

gyorsan kpes a legjobb alternatv tvonal meghatrozsra. Amennyiben a
topolgiatbla nem tartalmaz alternatv tvonalat, akkor a forgalomirnyt a
szomszdait lekrdezve keres j tvonalat a clhoz.

Kapcsolatllapot alap protokollok

A tvolsgvektor alap irnyt algoritmust futtat forgalomirnytk a tvoli
hlzatokrl kevs, a tvoli forgalomirnytkrl pedig semmi informcival sem
rendelkeznek. Ezzel szemben a kapcsolatllapot alap irnyt algoritmus a tvoli
forgalomirnytkrl s azok sszekttetseirl minden forgalomirnytban teljes
topolgiai adatbzis nyilvntartst vezet.
A kapcsolatllapot alap forgalomirnyts jellegzetes sszetevi:

Forgalomirnyt tbla - az ismert tvonalak s interfszek listja.

Kapcsolatllapot-hirdets (LSA - Link-state advertisement) -forgalomirnytk

kztt kldtt, forgalomirnytsi informcikat tartalmaz, kismret csomag.
Az
LSA-k
tartalmazzk
egy
forgalomirnyt
interfszeinek
(sszekttetseinek) llapott s egyb informciit, mint pldul
minden sszekttets IP-cmt.

Topolgiai adatbzis egy forgalomirnythoz

sszegyjttt informcikat tartalmazza.

Legrvidebb utat keres algoritmus (SPF - Shortest Path First algorithm) az adatbzison vgzett szmtsok, melyek eredmnyeknt elll az SPF-fa.
Az SPF-fa a hlzat egy trkpe a forgalomirnyt szemszgbl. A fban
tallhat informcik alapjn pl fel a forgalomirnyttbla.

berkez

LSA-kbl

Az LSA-csomagok megrkezst kveten az SPF algoritmus a forgalomirnyt

topolgiai adatbzisa alapjn felpti az SPF ft. Az SPF algoritmus meghatrozza a
hlzatokhoz vezet legjobb tvonalakat. Minden esetben, amikor egy LSA-csomag
megvltoztatja a kapcsolatllapot adatbzist, az SPF algoritmus jraszmtja a
legrvidebb tvonalakat, s ennek megfelelen frissti a forgalomirnyt tblt.

OSPF
Az OSPF (Open Shortest Path First) egy nylt szabvny, kapcsolatllapot
alap forgalomirnyt protokoll, melyet az RFC 2328 dokumentum definil.

Az OSPF jellemzi:

A clhoz vezet legkisebb kltsg tvonal kiszmtshoz az SPF

algoritmust hasznlja.

Forgalomirnyt frisstseket csak a hlzati topolgia megvltozsakor kld;

vagyis nem kldi el rendszeres idkznknt a teljes irnyttblt.

Gyors konvergencit tesz lehetv.

Tmogatja a vltoz hosszsg alhlzati maszkok (VLSM Variable Length

Subnet Mask) s a nem folytonos hlzatok hasznlatt.

tvonal hitelestst biztost.

OSPF hlzatokban a forgalomirnytk abban az esetben kldenek egymsnak

kapcsolatllapot-hirdetmnyeket, ha a hlzatban valamilyen vltozs trtnik,
pldul egy j szomszdos forgalomirnyt kerl a hlzatba, egy sszekttets
kiesik vagy ppen helyrell.
A hlzati topolgia megvltozsakor az rintett forgalomirnytk LSA frisstseket
kldenek a hlzat tbbi forgalomirnytjnak. Minden forgalomirnyt frissti a
topolgia-adatbzist, s jrapti az SPF- fjt, hogy meghatrozza az egyes
hlzatokhoz vezet legrvidebb tvonalat, majd vgl a megvltozott tvonalakkal
frissti a forgalomirnyt tbljt.
Az OSPF tbb erforrst, pldul RAM-ot s CPU teljestmnyt ignyel a
forgalomirnytban, s - mint minden fejlett hlzati protokoll - gyakorlott zemeltet
szemlyzetet ignyel.

Szervezeten belli forgalomirnyts

Adott esetben kt forgalomirnyt protokoll ugyanahhoz a clhoz eltr tvonalat
adhat meg, ksznheten a klnbz mrtkeknek. Mg a RIP pldul a
legkevesebb ugrst tartalmaz tvonalat hasznlja, addig az EIGRP a legnagyobb
svszlessg s legkisebb ksleltetst.
IP forgalomirnyt protokollok ltal hasznlt mrtkek:

Ugrsszm - egy csomag ltal rintett forgalomirnytk szma.

Svszlessg - egy adott sszekttets svszlessge.

Terhels - egy adott sszekttets forgalmi kihasznltsga.

Ksleltets - egy csomag clba jutshoz szksges id.

Megbzhatsg - egy sszekttets meghibsodsnak valsznsge az

interfszhez tartoz hibaszmll vagy a korbbi hibk alapjn.

Kltsg - melyet vagy a Cisco IOS alkalmazs vagy a rendszergazda hatroz

meg az adott tvonal preferltsgt tkrzve. A kltsg lehet egyszer vagy
sszetett mrtk, szablyozhatja helyi irnyelv.

Egy forgalomirnytn egyszerre tbb irnyt protokoll is engedlyezhet, valamint a

rendszergazda is konfigurlhat bizonyos hlzatokhoz statikus tvonalakat.
Amennyiben egy forgalomirnyt kt klnbz forgalomirnyt protokoll
alapjn eltr tvonallal rendelkezik egy clhlzat fel, hogyan dnti el,
melyik tvonalat hasznlja?
Ilyenkor a forgalomirnyt az gynevezett adminisztratv tvolsg (AD administrative distance) alapjn dnt. Az adminisztratv tvolsg egy tvonal
"hihetsgnek" mrtke. Minl kisebb az adminisztratv tvolsg, annl
megbzhatbb forrsbl szrmazik az tvonal. Pldul egy statikus tvonal
adminisztratv tvolsga 1, mg egy RIP ltal feltrt tvonal 120. Ugyanahhoz a
clhlzathoz vezet kt klnbz tvonal esetn a forgalomirnyt a kisebb
adminisztratv tvolsgt hasznlja. gy a statikus tvonal elsbbsget lvez a RIP
ltal meghatrozott tvonallal szemben, csakgy, mint a 0 adminisztratv tvolsggal
rendelkez, kzvetlenl csatlakoz tvonal, a statikus tvonallal szemben.

Egy j hlzat megtervezsekor rdemes egyetlen forgalomirnyt protokoll

hasznlatra szortkozni, mivel az megknnyti a hlzat karbantartst s
hibaelhrtst.
Az internethez egyetlen tjrval csatlakoz, kisebb hlzatok esetn vrhatan
hasznlhatk a statikus tvonalak. Dinamikus irnytst ezek a hlzatok ritkn
ignyelnek.
A szervezet nvekedtvel, ahogy nhny jabb forgalomirnyt csatlakozik a
topolgihoz, a RIPv2 lehet a megfelel vlaszts. A RIPv2 knnyen konfigurlhat
s megfelelen mkdik kisebb hlzatokban mindaddig, mg a hlzat nem ri el a
15 ugrsnyi mretet.

Nagyobb hlzatok esetben a leggyakrabban alkalmazott protokollok az EIGRP s

az OSPF, de semmilyen egyszer szabllyal nem lehet eldnteni, hogy melyiket
vlasszuk. Minden hlzat esetben a vlaszts kln megfontolst ignyel. Hrom
alapvet kritriumot rdemes tgondolni:

Egyszer felgyelhetsg - Milyen informcikat vezet magrl a protokoll?

Milyen show parancsok rhetk el?

Egyszer konfigurls - Hny parancsra van szksg egy tlagos

konfigurci kialaktshoz? Lehetsges-e a hlzat tbb klnbz
forgalomirnytjhoz ugyanazt a konfigurcit hasznlni?

Hatkonysg - Mennyi svszlessget ignyel a forgalomirnyt protokoll

alapllapotban, illetve, amikor egy hlzati esemnyre vlaszolva konvergl?

RIP Konfigurlsa s ellenrzse

A RIP a legtbb forgalomirnyt ltal tmogatott, npszer tvolsgvektor alap
protokoll, amely megfelel vlaszts tbb forgalomirnytt tartalmaz kisebb
hlzatok esetben. Konfigurlsa eltt rdemes szmba venni a forgalomirnyt
ltal kezelt hlzatokat, valamint a forgalomirnytnak az adott hlzatokhoz
csatlakoz interfszeit.

Ebben a hlzati topolgiban az R1 forgalomirnyt alapesetben nem ismeri a

10.0.0.0/8 s 192.168.4.0/24 hlzatokhoz vezet tvonalat. Az R1 forgalomirnyt
csak a RIP megfelel konfigurlst kveten lesz kpes elrni ezeket a hlzatokat,
amikor az R2 s R3 elkldi neki a 10.0.0.0/8 s a 192.168.4.0/24 hlzatok
elrhetsgt tartalmaz frisstseket.
A RIP konfigurlsa eltt az irnytsban rsztvev minden fizikai interfszt
engedlyeznnk kell, illetve IP-cmet kell hozzjuk rendelnnk!
A RIPv2 konfigurci hrom megjegyzend utastsa:
Router(config)#router rip
Router(config-router)#version 2
Router(config-router)#network [hlzatazonost]

A forgalomirnytn a globlis konfigurcis mdban kiadott router rip

paranccsal engedlyezhet a RIP forgalomirnyts. Az irnytsban rsztvev
hlzatok megadshoz hasznljuk forgalomirnyt konfigurcis mdban a
network parancsot! A forgalomirnytsi folyamat a megadott hlzatazonostk
alapjn azonostja az interfszeket, s megkezdi rajtuk keresztl a RIP frisstsek
kldst s fogadst.

A konfigurcit kveten rdemes a hlzatazonostkat s az interfszek IP-cmeit

ellenrizni az aktv konfigurcis fjl s a pontos topolgia-diagramm
sszehasonltsval. Ezt azrt rdemes megszokni, mert knnyen kvethetnk el
adatbeviteli hibt.
Szmos lehetsg van a RIP helyes mkdsnek ellenrzsre egy hlzatban. Az
irnyts megfelel mkdsnek egyik ellenrzsi mdja a tvoli hlzat
eszkzeinek megpingelse. Sikeres ping esetn felteheten a forgalomirnyts
mkdik.
Msik mdszer az IP forgalomirnytst ellenrz show ip protocols s show
ip route parancsok hasznlata.
A show ip protocols paranccsal ellenrizhet, hogy a RIP konfigurlva van, a
megfelel interfszek kldenek s fogadnak frisstseket, s a forgalomirnyt a
megfelel hlzatokat hirdeti.
A show ip route parancs megjelenti az irnyttblt, s gy ellenrizhet, hogy a
RIP szomszdoktl kapott tvonalak bekerltek a forgalomirnyt tblba.
A debug ip rip utasts hasznlhat a kldtt s fogadott frisstsekben hirdetett
hlzatok megfigyelsre. A debug parancsok mindig vals idben jelentik meg a
forgalomirnyt mkdst. Mivel a debug mkdse processzor erforrsokat
ignyel a forgalomirnytn, gy hasznlata mkd hlzatokban krltekintst
ignyel.

Autonm Rendszerek
Az internet napjainkban olyan hatalmas s olyan sok hlzatot foglal magban, hogy
egy szervezet nmagban kptelen a vilg tetszleges pontjnak elrshez
szksges forgalomirnytsi informcik kezelsre.
ppen ezrt az internet olyan hlzatok, vagy ms nven autonm rendszerek (AS
Autonomous Systems) sszessge, melyeket klnbz szervezetek s
vllalatok egymstl fggetlenl felgyelnek.

Egy autonm rendszer ugyanazon felgyelet al tartoz s ugyanazokat a bels

irnytsi stratgikat hasznl hlzatok egyttese. Minden AS-t egyedi AS szm
(ASN) azonost, melyeket az interneten lehet regisztrlni s ellenrizni.
Leggyakrabban egy autonm rendszer egy internetszolgltatt takar. A legtbb
vllalat internetszolgltatn keresztl csatlakozik az internetre s gy az adott
szolgltat irnytsi tartomnyhoz tartozik. Az AS-t az internetszolgltat felgyeli,
s gy nem csak sajt tvonalait, hanem minden hozz csatlakoz vllalat s ms
felhasznli hlzat tvonalait is kezeli.

Egy autonm rendszer irnytsi tartomnyn bell minden hlzati eszkzhz

ugyanaz az AS szm tartozik.
Az A ISP egy olyan autonm rendszer, amelynek irnytsi tartomnyhoz az ISPhez kzvetlenl csatlakoz helyi vllalat tartozik. A vllalat nem rendelkezik sajt AS
szmmal, hanem az ISP AS szmt hasznlja (ASN 100).

Az brn lthat tovbb egy Hong Kong-ban s New York-ban kzponti irodval
rendelkez nagyvllalat is. Mivel az irodk klnbz orszgokban vannak, gy
mindkettnek a helyi ISP szolgltatja az internetet, azaz a vllalat kt ISP-hez is
csatlakozik. Ebben az esetben a vllalat melyik AS-hez tartozik, s melyik AS szmot
hasznlja?
Mivel a vllalat a B s a C ISP-n keresztl is kommunikl, az sszekttetsek
tekintetben irnytsi problmk addhatnak. Az internet fell rkez forgalom
esetben nem egyrtelm, hogy melyik autonm rendszeren keresztl rhet el a
vllalat. A problma megoldsaknt a vllalat nll AS-knt regisztrlja magt s a
400-as AS szmot hasznlja.

Interneten keresztli forgalomirnyts

Egy autonm rendszeren vagy nll szervezeten belli forgalomirnytsi
informcik cserjre bels tjrprotokollok (IGP Interior Gateway Protocoll)
szolglnak. Feladatuk a bels hlzaton keresztli legjobb tvonal megkeresse. Az
IGP-k egy szervezet bels forgalomirnytin futnak. Ilyen IGP pldul a RIP, az
EIGRP s az OSPF.
Ezzel szemben egy kls tjrprotokoll (EGP Exterior Gateway Protocoll)
klnbz autonm rendszerek kztti irnytsi informcik cserjre alkalmas.
Mivel az AS-ek klnbz felgyelet al tartoznak, s eltr bels protokollokat
hasznlhatnak, gy a klnfle rendszerek kztti kommunikcihoz kln
protokollra van szksg. Az EGP egyfajta fordtsi feladatot lt el annak rdekben,
hogy a kls irnytsi informcik megfelelen rtelmezve jussanak el minden AS
bels hlzathoz.

A kls tjrprotokollok az AS hatrn elhelyezked gynevezett kls

(exterior) forgalomirnytkon futnak, melyeket hatrtjrknak vagy hatrforgalomirnytknak is neveznek.
Minden autonm rendszer felels azrt, hogy a rajta keresztl elrhet hlzatokrl
informlja a tbbi autonm rendszert. Ezeknek az gynevezett elrhetsgi
informciknak a cserje specilis hatrtjrkon fut kls forgalomirnyt
protokollok segtsgvel trtnik.
A csomagok tovbbtsa az interneten a kvetkez lpsekben trtnik:
1. A forrslloms csomagot kld egy msik AS-ben lv tvoli llomsnak.
2. Mivel a csomagban szerepl cl IP-cm nem egy helyi hlzatra mutat, gy a
bels forgalomirnytk a csomagot az alaprtelmezett tvonalaik alapjn
tovbbtjk mindaddig, mg az a helyi autonm rendszer hatrn lv kls
forgalomirnythoz nem r.
3. A kls forgalomirnyt minden hozz csatlakoz autonm rendszert
nyilvntart az adatbzisban. Ebbl az gynevezett elrhetsgi
adatbzisbl tudja a forgalomirnyt, hogy a clhlzathoz vezet t
szmos autonm rendszeren keresztl vezet, s az tvonal kvetkez ugrsa
egy szomszdos autonm rendszer kzvetlenl csatlakoz kls
forgalomirnytja.
4. A kls forgalomirnyt a csomagot az tvonal kvetkez ugrshoz irnytja,
ami egy szomszdos autonm rendszer kls forgalomirnytja.
5. A szomszdos autonm rendszer kls forgalomirnytja a sajt elrhetsgi
adatbzisa alapjn tovbbtja a csomagot az tvonal kvetkez ugrshoz.
6. A folyamat mindaddig folytatdik az autonm rendszereken keresztl, amg a
cl autonm rendszer kls forgalomirnytja a csomagban szerepl cl IPcmet fel nem ismeri, mint az egyik hozz kapcsold bels hlzat cmt.

Kls forgalomirnyt s az ISP

A kls forgalomirnyt protokollok (EGP) szmos fontos szolgltatst
biztostanak az ISP szmra, mellyel lehetv teszik pldul a forgalom tvoli clhoz
val eljuttatst az interneten keresztl. Tovbb olyan megoldsokat is nyjtanak,
melyekkel egy ISP kpes hzirendek s elnyben rszestett helyi paramterek
belltsra s rvnyestsre annak rdekben, hogy az ISP forgalma hatkony
legyen, s egyetlen bels forgalomirnytt se terheljen tl az tmen forgalom.
Az zleti felhasznlk ragaszkodnak internetszolgltatsuk megbzhatsghoz, gy
szmukra az internetszolgltatknak mindig elrhet internetkapcsolatot kell
biztostaniuk. Ennek rdekben tartalk tvonalakat s forgalomirnytkat
alkalmaznak az esetleg kies elsdleges tvonalak ptlsra. A hlzat rendes
mkdsekor az ISP-k az lland tvonalakat hirdetik a tbbi autonm rendszer fel.
Ezek kiessekor az ISP egy kls protokollfrisst zenetet kld, melyben a tartalk
tvonalat hirdeti.

Az interneten kldtt zenetek folyamt forgalomnak nevezzk, s kt

csoportba sorolhatjuk:
Helyi forgalom - Egy autonm rendszeren belli forgalom, amely vagy az adott
autonm rendszerben keletkezett, vagy a cllloms az adott autonm rendszerben
tallhat. Hasonl az utcai helyi forgalomhoz.
tmen forgalom - Az adott autonm rendszeren kvl keletkezett forgalom, ami az
autonm rendszeren kvli cllloms elrse rdekben halad t az adott autonm
rendszer bels hlzatn. Hasonl az utcai tmen forgalomhoz.
Az autonm rendszerek kztti forgalom ltalban gondosan ellenrztt forgalom.
Biztonsgi okokbl vagy a tlterhels elkerlse rdekben fontos az ilyen
tpus forgalom korltozsa vagy adott esetben letiltsa.
Szmos autonm rendszer hlzati rendszergazdja dnt gy, hogy nem
engedlyezi az tmen forgalmat. Az tmen forgalom a nagyobb terhelsre nem
alkalmas forgalomirnytk tlterhelshez s kiesshez vezethet.

BGP Konfigurlsa
BGP: A BGP (Border Gateway Protocol) (RFC: 1771) az tvlasztsban hasznlt
protokoll.
A RIP (Routing Information Protocol) s az OSPF (Open Shortest Path First) bels
tjr protokollok, amelyek az nll rendszereken bell mkdnek. Az Internet soksok ilyen rendszerbl tevdik ssze, ezrt szksg van olyan protokollokra, amelyek
ezek kztt igaztanak el. Ezeket a protokollokat nevezik kls tjr protokollnak. Az
Internet jelenleg hasznlatos kls tjrprotokollja a BGP 4-es vltozata.

A BGP engedlyezsnek els lpse az AS szm konfigurlsa, amire a kvetkez

parancs szolgl:
router bgp [AS_szm]
Ezt kveten azonostani kell azt az ISP forgalomirnytt, amelyik az elfizeti
vgberendezs (CPE - customer premises equipment) BGP szomszdja lesz, s
amelyikkel informcit cserl. A szomszdos forgalomirnyt a kvetkez
paranccsal definilhat:
neighbor [IP-cm] remote_as [AS_szm]
Amennyiben egy ISP felhasznl sajt regisztrlt IP-cmtartomnnyal rendelkezik,
akkor elfordulhat, hogy nhny bels hlzatnak tvonalt szeretn nyilvnoss
tenni az interneten. Ahhoz, hogy a BGP hirdesse a bels tvonalakat, a hlzati
cmeket kell megadni a kvetkez paranccsal:
network [hlzati_cm]
A CPE installlsa s a forgalomirnyt protokollok konfigurlst kveten a
felhasznl helyi s internet kapcsolattal is rendelkezik, s kpes teljes mrtkben
hasznlni az ISP ltal nyjtott egyb szolgltatsokat.

A BGP forgalomirnytshoz hasznlt IP-cmek egyedi szervezeteket azonost,

hagyomnyosan regisztrlt s irnythat cmek. Nagy szervezetek esetben a BGP
folyamat sorn privt cmek is hasznlhatk, de az interneten a BGP nem
hasznlhat privt hlzati cm hirdetsre!

ISP Szolgltatsok
Nagyon sok szervezet, kis s nagyvllalat, tl drgnak tartja a legjabb
technolgik beszerzst, vagy egyszeren csak sajt zleti tevkenysgi krkre
szeretnk erforrsaikat fordtani. Az ISP-k az ilyen szervezeteknek felgyelt
szolgltatsokat nyjtanak, amelyekkel a legjabb technolgikat s alkalmazsokat
anlkl hasznlhatjk, hogy nagyobb sszegeket fektetnnek be akr a
felszerelsbe, akr a szakrti tmogatsba.
Amikor egy vllalat egy ilyen felgyelt szolgltatsra elfizet, akkor a szolgltat
biztostja az eszkzket s az alkalmazst a szolgltati szerzdsnek (SLA
Service Level Agreement) megfelelen.
A kvetkez hrom eset klnbz felhasznli kapcsolatokat mutat:
1. eset - A felhasznl tulajdonban van s felgyeli a sajt hlzati eszkzeit
s a szolgltatsokat.
2. Az ISP szolgltatja az internet kapcsolatot, s tartja karban a felhasznli
oldalon teleptett hlzati eszkzket. Az ISP felelssge kiterjed a teleptsre,
az eszkzk karbantartsra s adminisztrcijra. A felhasznl ktelessge
a hlzat s az alkalmazsok llapotnak megfigyelse, s fogadni a hlzat
teljestmnyre vonatkoz rendszeres jelentseket.
3. A felhasznl tulajdonban vannak a hlzati eszkzk, de a kiszolglk,
melyeken az alkalmazsok futnak az internetszolgltnl tallhatk meg. A
kiszolglk lehetnek akr a felhasznl, akr az ISP tulajdonban, de mindkt
esetben az ISP tartja karban a kiszolglkat s az alkalmazsokat is. A
kiszolglkat ltalban a kiszolglfarmon, az ISP hlzat zemeltet
kzpontjban (NOC Network Operations Center) helyezik el.
Megbzhatsg s elrhetsg
Az ISP-k bizonyos dj ellenben a szolgltati szerzdsben (SLA) meghatrozott
szint szolgltatst nyjtanak. A felhasznl kvetlemnyeinek megfelelen a
biztostott szolgltatsnak elrhetnek s megbzhatnak kell lennie.
Megbzhatsg
A megbzhatsgnak kt mrtke van: a meghibsodsok kztti tlagos id
(MTBF mean time between failure) s a mkdkpessg helyrelltshoz
szksges tlagos id (MTTR mean time to repair). Az eszkzk gyrti a gyrts
sorn vgzett tesztelsek alapjn megadjk a vrhat meghibsodsi idt (MTBF).
Egy eszkz robosztussgnak mrtkt a hibatr kpessge adja meg. Minl
hosszabb a vrhat meghibsodsi id (MTBF), annl nagyobb a hibatrse.
Egy eszkz meghibsodsa miatt bekvetkez hlzat- vagy szolgltatskiess
befolysolhatja az internetszolgltatt a szolgltati szerzdsben (SLA) foglaltak
betartsban. Ennek megelzsre az ISP a kritikus hardverelemekre kltsges
szolgltati egyezmnyeket kthet a gyrtkkal vagy az eladkkal a gyors
hibaelhrtsra. Az ISP vlaszthatja azt a megoldst is, hogy tartalk
hardverelemeket vsrol s sajt telephelyn trolja.

Elrhetsg
Az elrhetsget ltalban az erforrs zemidejnek s rendelkezsre llsnak
idarnyaknt adjuk meg szzalkos formban. A tkletes elrhetsget a 100%
jelenti, amikor a rendszer mindig mkdik s elrhet.
A hagyomnyoknak megfelelen a telefonszolgltatsoknl 99.999%-os elrhetsg
az elvrs. Ez az n. "5 kilences elrhetsg". Ilyenkor csak az zemid nagyon kis
szzalkban (0,001%) lehet a hlzat elrhetetlen.
Az internetszolgltatk az elrhetsget a hlzati eszkzk s kiszolglk
megduplzsval, valamint nagy rendelkezsre llst biztost technolgik
alkalmazsval rik el. Redundns konfigurci esetn, ha egy eszkz kiesik, akkor
a msik automatikusan tveheti a szerept.
TCP/IP protokollkszlet ttekintse
Az ISP szervereinek szmtalan alkalmazst kell szolgltatniuk a klnbz elfizeti
ignyek kielgtsre. Ehhez szksg van a TCP/IP kt szlltsi rtegbeli
protokolljnak, a TCP-nek s az UDP-nek szolgltatsaira. A szolgltatk ltal
biztostott kzismert alkalmazsok, mint pldul: webkiszolglk s levelezi
fikok szintn a TCP/IP protokolljaira tmaszkodva biztostjk a megbzhat
kzbestst. Ezen fell minden IP szolgltats az ISP tartomnynv kiszolgljn
alapszik, amely az IP-cmzsi rendszer s a felhasznlk ltal hasznlt URL-ek
kztti kapcsolatot biztostja.
A TCP/IP protokolljai egy ngyrteg modell segtsgvel reprezentlhatk.
Nagyon sok ISP nyjtotta szolgltats a TCP/IP rtegmodell alkalmazsi s
szlltsi rtegnek protokolljaira tmaszkodik.

Alkalmazsi rtegbeli protokollok

Alkalmazsi rteg protokolljai hatrozzk meg a formtumot s szablyozzk a
legismertebb internetes kommunikcis folyamatokhoz szksges informcit. Ilyen
protokollok:

Tartomnynv rendszer (DNS Domain Name System) - internet neveket

feloldja IP cmekre.

Hiperszveg tviteli protokoll (HTTP - HyperText Transfer Protocol) A

vilghl weboldalait kpez fjlok tvitelt valstja meg.

Egyszer levltovbbt protokoll (SMTP - Simple Mail Transfer Protocol)

E-mailek s csatolt llomnyainak tvitelre szolgl.

Telnet - Terminl-emulcis protokoll, mely hlzati eszkzk s kiszolglk

tvoli elrst biztostja.

Fjltviteli protokoll (FTP- File Transfer Protocol) - rendszerek kztti

interaktv fjltvitelt valst meg.

Szlltsi rtegbeli protokollok

Bizonyos alkalmazsok esetn a kommunikcis adatszegmenseknek
meghatrozott sorrendben kell megrkeznik a megfelel feldolgozs rdekben.
Ms esetben az sszes adatnak meg kell rkeznie a felhasznls eltt. Az is
elfordul, hogy az alkalmazs kis mennyisg adatvesztsre nem reagl
rzkenyen.
A modern konverglt hlzatokon a klnbz alkalmazsok jelentsen eltr
szlltsi ignyeik ellenre ugyanazon a hlzaton kommuniklhatnak. A klnbz
szlltsi rtegbeli protokollok klnbz szablyokat hasznlva biztostjk az eltr
kvetelmnyeket tmaszt adattviteli ignyek kielgtst.
ltalban az alsbb rtegek nem veszik szre, hogy tbb alkalmazs adatait kldik a
hlzaton. Az felelssgk csak az, hogy az adatot eljuttassk az eszkzhz. A
szlltsi rteg feladata, hogy az adatot a megfelel alkalmazshoz juttassa.
A kt legfbb szlltsi rtegbeli protokoll a TCP s az UDP.
A TCP/IP rtegmodell s az OSI modell hasonlsgokat s klnbsgeket is mutat.

Hasonlsgok

Mindkett rtegek segtsgvel szemllteti a protokollok s szolgltatsok

egyttmkdst.

A szlltsi s hlzati rtegek megfeleltethetk egymsnak az egyes

modellekben.

Mindkettt a hlzatok tmakrben hasznljk a protokollok

egyttmkdsnek bemutatsra.

Klnbsgek

Az OSI modell a TCP/IP modell alkalmazsi rtegt hrom kln rtegre

osztja. Ez a hrom legfels rteg ugyanazt a feladatot ltja el, mint a TCP/IP
modell alkalmazsi rtege.

A TCP/IP nem hatroz meg kln protokollokat a fizikai sszekapcsoldshoz.

Az OSI modell kt als rtege a fizikai hlzat elrsvel s a helyi hlzatok
llomsai kztti bitek kldsvel foglalkozik.

A TCP/IP modell a tnylegesen kidolgozott protokollokra s szabvnyokra pl, mg

az OSI modell inkbb egy elmleti tmutat a protokollok egyttmkdshez.

Szlltsi rtegprotokollok
Klnbz alkalmazsoknak klnbz szlltsi ignyeik vannak. Kt szlltsi
rtegbeli protokoll ltezik: TCP s UDP
TCP
A TCP egy megbzhat, garantlt tvitelt biztost protokoll. A TCP
meghatrozza az llomsok ltal hasznlt csomagnyugtzsi mdszert, s arra
kszteti a forrs llomst, hogy jrakldje a nem nyugtzott csomagokat. Irnytja
az zenetek cserjt a forrs s cllloms kztt, amellyel kommunikcis viszonyt

alakt ki kztk. A TCP-t gyakran egy cshz, vagy lland kapcsolathoz hasonltjk,
ezrt is nevezik sszekttets alap protokollnak.
A TCP tbbletterhelssel jr, mind a svszlessg, mind a feldolgozsi id
tekintetben az egyes viszonyok nyomonkvetse, valamint a forrs s cllloms
kztti nyugtzsi s jrakldsi mechanizmusok megvalstsa miatt. Bizonyos
esetekben e tbbletterhels okozta ksleltets mr nem elfogadhat az
alkalmazsok szmra. Az ilyen alkalmazsok szmra az UDP jobb megoldst
jelent.
UDP
Az UDP egy nagyon egyszer sszekttetsmentes protokoll, mely kevs
tbbletterhelst biztost adatkldst nyjt. Az UDPt legjobb szndk
szlltsi rtegbeli protokollnak tartjk, mert nem biztost hibaellenrzst, garantlt
adatkzbestst, vagy adatfolyam-vezrlst. Mivel az UDP egy legjobb szndk
protokoll, gy az UDP adategysgek elveszhetnek az t folyamn vagy esetleg nem a
megfelel sorrendben rkeznek meg a clllomshoz.
Azok az alkalmazsok, melyek UDP-t hasznlnak, a kis mennyisg adatvesztsre
nem reaglnak rzkenyen. Ilyen alkalmazs pldul az internet rdi. Ha egy
adategysg nem rkezik meg, annak csak kisebb hatsa van a zenetszrs
minsgre.
Az olyan alkalmazsok, mint az adatbzisok, weboldalak s az elektronikus
levelezs minden adat eredeti sorrendben trtn, hibtlan megrkezst
ignylik. Minden hinyz adat az zenet feldolgozhatatlansgt eredmnyezheti,
ezrt ezek az alkalmazsok megbzhat szlltsi rtegbeli protokollt
hasznlnak. Az a hlzati tbbletterhels, amely ezt a megbzhatsgot lehetv
teszi, elfogadhat rat jelent egy sikeres kommunikcirt.
Pldul egy elektronikus levl nyugtzott adatkldst ignyel, gy TCP-t
hasznl. Egy levelez gyfl, mely SMTP-t hasznl, az elektronikus zenetet
bjtfolyamknt tovbbtja a szlltsi rtegnek. A szlltsi rtegben a TCP
feladata a folyam szegmensekre osztsa.
Minden szegmensen bell a TCP minden egyes bjtot vagy oktetet egy
sorszmmal azonost. Az gy kapott szegmenseket az internet rteg kapja meg,
mely csomagba helyezi ket az adatkldshez. Ez a folyamat a begyazs. A
clllomsnl ez a folyamat megfordul s a csomagot kicsomagoljk. A
begyazott szegmensek a TCP folyamaton mennek keresztl, amely visszaalaktja a
szegmenseket bjtfolyamm, s azt a levelez kiszolglnak kzbesti.
Egy TCP viszony hasznlata eltt az sszekttets felptshez a forrs s
cllloms zenetet vltanak egymssal. Ehhez egy hromlpses folyamatot
hasznlnak.
Az els lpsben a forrslloms kld egy szinkronizcis zenetet (SYN
Synchronization Message) a TCP viszony felptshez. Az zenet kt clt szolgl:

Jelzi a forrslloms szndkt a clllomssal trtn kapcsolat

felptsrl.

Szinkronizlja a TCP sorszmokat a kt lloms kztt, hogy a beszlgets

folyamn mindkt fl nyomonkvethesse az elkldtt s megrkezett
szegmenseket.

A msodik lpsben a cllloms vlaszol a SYN zenetre egy szinkronizcis

nyugtval (SYN-ACK).
Az utols lpsben a kld lloms megkapja a SYN-ACK zenetet s egy ACK
zenetet kld vissza a kapcsolatfelpts befejezshez. Az adatok kldse most
mr megbzhat mdon trtnik.
Ezt a TCP folyamatok kztti hromlpses metdust hromfzis kzfogsnak
nevezik.
Amikor egy lloms TCP protokollt hasznlva kld egy zenetszegmenst, akkor a
TCP folyamat elindt egy idztt. Az idzt elg idt hagy az zenet kzbestsre,
valamint a nyugta visszarkezsre. Ha a forrslloms nem kapja meg a nyugtt a
clllomstl az idzt lejrta eltt, akkor a forrs az zenetet elveszettnek tekinti.
Az zenet nem nyugtzott rszeit jrakldi a forrs.
A nyugtzs s jraklds mechanizmusa mellett a TCP azt is meghatrozza,
hogyan trtnik az zenet sszelltsa a clllomsnl. Minden TCP szegmens
tartalmaz egy sorszmot. A clllomsnl a TCP folyamat egy ideiglenes trolba
rakja a megrkezett szegmenseket. A szegmensek sorszmnak kirtkelse
lehetsget nyjt a TCP folyamat szmra a hinyz szegmensek
meghatrozsra. Ha az adatok nem sorrendben rkeznek, a TCP jra tudja
sorrendezni ket.

Klnbsgek a TCP s UDP kztt

Az UDP egy nagyon egyszer protokoll. Mivel ez nem sszekttets-alap s
nem hasznlja a TCP kifinomult sorszmozsi, jrakldsi s adatfolyam
szablyozsi mechanizmusait, sokkal kisebb tbbletterhelssel jr.
Az UDP-re gyakran gy hivatkoznak, mint nem megbzhat szlltsi protokoll,
hiszen nincsen semmi garancia az zenet megrkezsre. Ez persze nem jelenti
azt, hogy az UDP-t hasznl alkalmazsok megbzhatatlanok. Csak annyit jelent,
hogy ezeket a funkcikat nem a szlltsi rteg biztostja, hanem szksg esetn
valahol mshol kell implementlni.
A kvetkez alkalmazsi rtegbeli protokollok mind az UDP-t hasznljk:

Tartomnynv rendszer (DNS - Domain Name System)

Egyszer hlzatfelgyeleti protokoll (SNMP - Simple Network Management

Protocol)

Dinamikus llomskonfigurlsi protokoll (DHCP - Dynamic Host

Configuration Protocol)

RIP irnyt protokoll

Trivilis fjltviteli protokoll (TFTP - Trivial File Transfer Protocol)

On-line jtkok

A TCP s UDP kzti f klnbsg a protokollok ltal megvalstott funkcikban s

az ezzel egyttjr tbbletterhelsben van.
Minden TCP szegmens fejrszben 20 bjtnyi extra adat tallhat az alkalmazsi
rteg adatai mellett. Ez az extra adat a hibaellenrz mechanizmus eredemnye.
Az UDP adategysgeit datagramnak nevezik. Ezeket a datagramokat legjobb
szndkkal" tovbbtjk, sszesen 8 bjtnyi extra informcival kiegsztve.

Tbb szolgltats tmogatsa

A TCP s UDP szolgltatsok nyomonkvetik a klnbz, hlzaton kommunikl
alkalmazsokat. Az alkalmazsok adategysgeinek a megklnbztetsre, mind a
TCP, mind az UDP fejrszben tallhatk olyan mezk, melyek azonostjk az
alkalmazst.
A forrsport s clport minden szegmens vagy datagram fejrszben jelen van.
Portszmokat nagyon sokflekpp lehet alkalmazsokhoz rendelni, pldul attl
fggen is, hogy krsrl vagy vlaszrl van-e sz.
Pldul, ha egy webbngsz krst kld egy webkiszolglnak, a kommunikci
TCP-vel trtnik a 80-as porton. Ez az alaprtelmezett port webes alkalmazsok
esetn.
Az alkalmazs-specifikus portokra rkez szegmenseket a TCP s az UDP is a
megfelel vrakozsi sorba rakja. Pldul, HTTP krs esetn a webkiszolgln a
TCP folyamat a berkez csomagokat a webkiszolgl vrsorba rakja. Ezek a
szegmensek aztn, amilyen gyorsan csak lehet, a HTTP alkalmazshoz kerlnek.
25-s portot megjell szegmensek egy kln sorba, a levelez szolgltatsok
sorba kerlnek. gy tmogatjk a szlltsi rtegbeli protokollok az ISP
kiszolglkat tbb klnbz alkalmazs s szolgltats egyidej
biztostsban.
Minden internetes alkalmazs esetn ltezik egy forrslloms s egy cllloms,
ltalban egy gyfl s egy kiszolgl. A TCP folyamatok a kld s fogad
llomson nmikpp klnbznek. Az gyfelek aktvak s kapcsolatot krnek,
mg a kiszolglk passzvan viselkednek, figyelik s elfogadjk a
kapcsolatkrseket.
Kiszolgl folyamatokhoz ltalban statikusan a jl ismert portokat rendelik 0tl 1023-ig.
Az gyfeleknek a krst indt gyfl alkalmazs azonostshoz is szksgk van
egy portszmra. A forrsportok hozzrendelse dinamikusan trtnik az 1024-tl
65535-ig terjed tartomnybl. Ez a porthozzrendels a krst indt alkalmazs
cmnek felel meg. A szlltsi rtegbeli protokollok nyomonkvetik a forrsportot s
a krst kezdemnyez alkalmazst, gy a vlasz a megfelel alkalmazsnak
tovbbthat.
A szlltsi rteg portszmbl s a hlzati rteg IP-cmbl ll pros egy adott
llomson fut alkalmazs azonost. A portszm - IP-cm egyttest socket-nek
nevezik. Egy forrs- s cl-oldali socket pr kt lloms kztti prbeszd egyedi
azonostjaknt hasznlhat.
Egy gyfl socket, 7151-es portszmmal pldul a kvetkezkppen nzhet ki:
192.168.1.1:7151
Egy socket egy webkiszolgln pldul:
10.10.10.101:80

Ezek egyttesen egy socket prt alkotnak:

192.168.1.1:7151, 10.10.10.101:80
A socketek segtsgvel a kommunikcis vgpontok ismertek, gy az adatok
eljuthatnak az egyik lloms alkalmazstl egy msik lloms alkalmazsig. Ez
teszi lehetv egy gyfl llomson fut tbb alkalmazs, valamint egy kiszolgl
tbb kapcsolatnak megklnbztetst.

A TCP/IP llomsnv
Az IP-cmek, st az IP-cmek ezrei azonban az emberek szmra nehezen
megjegyezhetk. Az olyan knnyen olvashat tartomnynevek, mint cisco.com az
emberek szmra sokkal hasznlhatbbak. A hlzati nvfelold-rendszerek
ezeknek a knnyen megjegyezhet neveknek a gpek szmra feldolgozhat,
hlzati kommunikcihoz szksges IP-cmekre trtn fordtst vgzik.
A www.cisco.com egy hlzati nv, mely egy meghatrozott IP-cmhez van rendelve.
Ha a kiszolgl IP cmt rnnk a bngsz cmmezjbe, akkor ugyanazt a
weboldalat ltnnk.
A hlzati nvfelold-rendszerek az emberek szmra fontos eszkzk, melyek
segtenek abban, hogy sszetett IP-cmek megjegyzse nlkl is elrhessk
ugyanazokat az erforrsokat.
Az internet els napjaiban az IP-cmek s llomsnevek egy adminisztrcis
kiszolgln kzpontilag trolt HOSTS nev llomnyban voltak megtallhatk.
Eleinte a HOSTS llomny megfelel volt az internet korltozott szm szmtgpei
szmra, azonban a hlzat nvekedsvel, a nv-IP-cm hozzrendelst ignyl
llomsok szma nagyon megntt, ezltal lehetetlenn vlt a HOSTS frisstse. j
nvfelold-rendszert kellett kifejleszteni. Ez a DNS, amely tartomny-nevek IPcmekre trtn fordtsra szolgl. A DNS kiszolglk elosztott mkdssel
vgzik a nvfeloldst, kzpontilag karbantartott HOSTS llomnyra mr nincs
szksg.
Ennek ellenre, ugyan csak virtulisan, de minden lloms karbantart egy HOSTS
llomnyt, amit a TCP/IP elindulsakor hoznak ltre. A nvfeloldsi folyamat
rszeknt a DNS szolgltats krs eltt a helyi HOSTS fjl tvizsglsa trtnik. Ez
a fjl hasznlhat hibakeresskor, vagy a DNS kiszolgln tallhat bejegyzsek
trlsekor.

DNS Hierarchia
A DNS tartomnyneveket hasznl a hierarchihoz, amely kisebb, knnyen kezelhet
znkra van osztva. Minden DNS kiszolgl egy meghatrozott adatbzist kezel s
csak a DNS struktra kis rsznek nv IP-cm hozzrendelsrt felels. Amikor
egy DNS kiszolgl egy olyan nvre kap feloldsi krst, mely nem tallhat meg
sajt znjban, akkor egy msik, a megfelel znt kezel DNS kiszolglnak
tovbbtja a krst.
A DNS egy jl bvthet szolgltats, mivel a nvfelolds tbb kiszolglra
tmaszkodik.
A szolgltatsnak hrom sszetevje van.

Erforrs bejegyzsek s domainnv-tartomny

Az erforrs bejegyzs egy adatbejegyzs a DNS zna adatbzis llomnyban. Az
lloms tpusnak, IP-cmnek vagy a DNS adatbzis paramternek azonostsra
szolgl.
A domainnv-tartomny az erforrsok rendszerezsnek hierarchikus
nvstruktrjra utal. Tbb tartomnybl vagy csoportbl s a csoportokon belli
erforrs bejegyzsekbl ll.
Tartomnynv-kezel rendszer kiszolgli
A tartomnynv-kezel rendszer kiszolgli tartjk karban az erforrs
bejegyzseket s a domainnv-tartomny informciit trol adatbzist. A DNS
kiszolglk megprbljk a sajt znjuk adatbzis llomnyban trolt informcik
alapjn feloldani az gyfelek krseit. Ha a kiszolgl nem rendelkezik a krt
informcival, akkor tovbbi, elre meghatrozott nvkiszolglk segtsgvel oldja
meg a krst.
Nvfelold (resolver)
A nvfeloldk olyan alkalmazsok vagy opercis rendszerfunkcik, melyek a DNS
gyfeleken s kiszolglkon egyarnt futnak. Amikor egy tartomnynv hasznlatban
van, a nvfelold a DNS gyflen betltdik, s ltrehoz egy DNS krst a kiszolgl
fel. Ha a kiszolgl nem rendelkezik a krt nv IP-cm hozzrendelssel, akkor a
nvfelold segtsgvel tovbbtja a krst egy msik DNS kiszolgl fel.
A DNS egy hierachikus rendszer segtsgvel biztostja a nvfeloldst. Ez a
hierarchia egy fordtott fhoz hasonlt, melynek a gykere van fell s az gak
alul.
A hierarchia cscsn a gykr (root) kiszolglk tartjk karban a legmagasabb szint
(top-level) kiszolglk elrsrl trolt informcit, melyek visszamutatnak a
msodik szint (second level) tartomny kiszolglkra.

A klnbz legmagasabb szint tartomnyok a szervezetek tpust vagy a

szrmaz orszgot reprezentljk. Pldk a legmagasabb szint tartomnyokra:
.au - Ausztrlia
.co - Kolumbia
.com ipari vagy zleti vllalat
.jp - Japn
.org nonprofit szervezet
A legmagasabb szint tartomnyok alatt a msodik szint tartomnyok helyezkednek
el, melyek alatt tovbbi, alacsonyabb szint tartomnyok tallhatk.
A gykrben tallhat (root) DNS kiszolgl nem felttlenl tudja pontosan merre
tallhat a H1.cisco.com, de van egy bejegyzse a .com legmagasabb szint
tartomnyrl. Hasonlan a .com tartomnyba tartoz kiszolglk nem felttlenl
tudjk merre van a H1.cisco.com, de van bejegyzse a cisco.com tartomnyrl. A
cisco.com tartomnynak van bejegyzse a H1.cisco.com-rl s fel tudja oldani az IPcmet.

A DNS szolgltats nem centralizlt kiszolgl hierarchin alapszik. Az

erforrs bejegyzsek tartalmaznak tartomnyneveket, melyeket a kiszolglk
feloldanak s ezt ms kiszolglk szintn lekrdezhetik.
A H1.cisco.com egy teljesen minstett tartomnynv (FQDN Fully Qualified
Domain Name), mivel megadja a szmtgp pontos helyt a hierarchikus DNS
nvtartomnyban.

DNS Nvfelolds
Amikor egy llomsnak DNS nvfeloldsra van szksge, akkor a nvfelold
segtsgvel lp kapcsolatba a tartomnyn belli DNS kiszolglval. A resolver
ismeri a DNS kiszolgl IP-cmt, mert ez rsze az lloms IP-cm konfigurlsnak.
Amikor a DNS kiszolgl krst kap egy gyfl nvfeloldjtl, akkor az elszr
ellenrzi a helyi DNS bejegyzsek cache troljt. Ha ott nem oldhat fel az IP cm,
akkor a kiszolgl nvfeloldja kzvetti a krst egy msik DNS kiszolgl fel. Ez a
folyamat addig folytatdik amg az IP-cm nincs feloldva. A nvfeloldsi informci
visszakerl az eredeti kiszolglhoz, mely az informcit felhasznlva vlaszol a
krsre.
A DNS nv feloldsi folyamata alatt minden DNS kiszolgl eltrolja a krsre
vlaszul rkezett informcit egy gyorsttrban (cache). A cache-ben trolt
informci segtsgvel a DNS kiszolgl sokkal gyorsabban tud vlaszolni az
egymst kvet feloldsi krsekre, mert a kiszolgl elszr a gyorsttrban lv
informcit ellenrzi.
A DNS kiszolglk csak egy meghatrozott idre troljk az informcit a cache-ben.
Nem trolhatja hossz ideig az informcit, mert az llomsnv bejegyzsek idrl
idre vltoznak, s egy rgebbi bejegyzssel esetleg rossz IP-cmet adna meg.
A DNS korai megvalstsaiban az erforrs bejegyzsek hozzadsa s
frisstse manulisan trtnt. A hlzat s a szmon tartott llomsok szmnak
nvekedsvel mr nem lehetett tovbb hatkonyan megoldani a manulis
karbantartst. Tovbb a DHCP hasznlatval az egy DNS znn belli erforrs
bejegyzseket sokkal gyakrabban kellett frissteni. A DNS znk karbantartsnak
knnytsre, a DNS protokollt megvltoztattk gy, hogy a szmtgp a sajt
bejegyzseit dinamikusan frissthesse.
Dinamikus frisstssel a DNS gyflszmtgp brmilyen vltozs esetn
azonnal regisztrlhatja s frisstheti sajt bejegyzseit. A dinamikus frisstshez
a DNS kiszolglnak, a DNS gyflnek s a DHCP kiszolglnak egyarnt tmogatnia
kell a dinamikus frisstseket. Ez alaprtelmezetten tiltva van, gy engedlyezni kell.
A legtbb, napjainkban hasznlatos opercis rendszer mr tmogatja a dinamikus
frisstst.
A DNS kizsolglk a teljes DNS hierarchia egy meghatrozott rsznek zna
adatbzist tartjk karban. Az erforrs bejegyzseket a DNS znban troljk.
A DNS znk cmkeressi (forward lookup) vagy nvkeressi (reverse lookup)
znk lehetnek. Ezen bell elsdleges vagy msodlagos cmkeressi, illetve
nvkeressi zna lehet. Minden zna tpusnak specilis szerepe van az egsz DNS
infrastruktrban.
Cmkeressi zna
A cmkeressi zna egy hagyomnyos DNS zna, mely egy teljesen meghatrozott
tartomnynevet egy IP-cmre old fel. Az internet bngszse kzben ezzel a
tpussal lehet leggyakrabban tallkozni. Egy weboldal cmnek, mint pldul
www.cisco.com begpelse utn egy rekurzv krs rkezik a helyi DNS
kiszolglhoz a nv feloldsra.

Nvkeressi zna
A nvkeressi zna egy specilis zna tpus, mely IP cmeket old fel teljesen
meghatrozott tartomnynevekre. Bizonyos alkalmazsok nvkeresst
hasznlnak a velk kommunikl szmtgp rendszer azonostsra. Az
interneten megtallhat egy teljes nvkeressi DNS hierarchia, melynek
segtsgvel brmely nyilvnosan regisztrlt IP cm feloldhat. Sok magnhlzat
sajt maga implementlja a helyi nvkeressi znjt a hlzat
szmtgprendszernek azonostsra. Nvkeresst hasznl a ping a[ Ipcm] parancs is.
Elsdleges znk
Az elsdleges DNS zna mdosthat. Ha egy j erforrs bejegyzst hozz kell
adni vagy egy ltez bejegyzst frissteni, trlni kell, akkor a mdostst az
elsdleges znban vgzik. Ha egy elsdleges zna tallhat a DNS kiszolgln,
akkor a kiszolgl a felels azrt a znrt, rendelkezik a zna bejegyzseit rint
krsekre adhat vlaszokkal. Minden DNS tartomnyban egyetlen elsdleges
zna lehet, illetve egy elsdleges cmkeressi s egy elsdleges nvkeressi
zna.
Msodlagos znk
A msodlagos zna egy olvashat tartalk (backup) zna, melyet az elsdleges
zntl kln kiszolgln kell trolni. Ez tulajdonkppen az elsdleges zna
msolata s az elsdleges zntl kapja a frisstseket. Mivel a msodlagos zna
csak egy olvashat backup zna, gy minden bejegyzs frisstst a megfelel
elsdleges znn kell elvgezni. Msodlagos znbl is lehet cmkeressi s
nvkeressi zna is. A DNS zna elrhetsgi kvetelmnyeitl fggen tbb
msodlagos zna is lehet sztszrva.

DNS Implementlsa
ISP DNS kiszolglk
Az internetszolgltatk ltalban gyorsttras (caching-only) DNS kiszolglkat
tartanak karban. Ezeket a kiszolglkat gy konfigurljk, hogy minden feloldsi
krst az interneten a root kiszolglknak tovbbtsanak.
Az eredmnyeket a cache-ben troljk s ksbbi krsekhez hasznljk. Mivel a
szolgltatknak ltalban sok felhasznljuk van, gy az eltrolt DNS bejegyzsek
szma igen nagy. A hatalmas gyorsttr cskkenti a hlzati svszlessg
ignybevtelt a gykr kiszolglknak tovbbtott DNS krsek gyakorisgnak
cskkentsvel.
A caching-only kiszolglk nem tartanak kzben semmilyen hiteles
(authoritative) zna informcit, azaz nem trolnak egyetlen nv IP-cm
hozzrendelst sem az adatbzisukban.

Helyi DNS kiszolglk

Egy vllalat sajt maga is zemeltetheti a DNS kiszolgljt. Ilyenkor a hlzaton
lv gyflszmtgpeket gy konfigurljk, hogy a helyi s nem az ISP DNS
kiszolgljra mutasson.
A helyi DNS kiszolgl tartalmazhat hiteles znabejegyzseket a szbanforg
znra, azaz nv IP-cm hozzrendelseket a znjn belli sszes llomsra. Ha
a DNS kiszolgl olyan krst kap, amit nem tud feloldani, akkor tovbbtja. A helyi
DNS kiszolgl gyorsttra viszonylag kicsi az ISP DNS kiszolgljhoz kpest,
mivel a feloldsi krsek szma jval kevesebb.
A helyi DNS kiszolglt gy is lehet konfigurlni, hogy a krseket kzvetlenl
a root DNS kiszolglnak tovbbtsa. Sok rendszergazda a DNS kiszolglt
mgis gy konfigurlja, hogy a krseket a hierarchin eggyel magasabb
szinten ll kiszolglnak, pldul az ISP DNS kiszolgljnak tovbbtsa.
Ilyenkor a helyi DNS kiszolgl elnyt lvez az ISP DNS kiszolgljnak
gyorsttrban eltrolt nagyszm bejegyzsbl, s gy nem kell a root
kiszolgltl kezdd egsz keressi folyamaton vgigmenni.
Amikor egy szervezet regisztrl egy tartomnynevet az interneten, akkor legalbb
kt DNS kiszolglnak el kell kldeni a regisztrcit. Ezek a kiszolglk troljk a
DNS zna adatbzist. Tartalk DNS kiszolglk biztostjk, hogy az egyik kiesse
esetn a msik elrhet legyen nvfeloldsra. Ez adja a rendszer hibatr
kpessgt. Ha a hardver erforrsok lehetv teszik egy znn bell kt vagy tbb
DNS kiszolgl elhelyezst, akkor nagyobb vdelmet s szervezettsget lehet
elrni.
Szintn hasznos, ha a zna informcit trol DNS kiszolgli fizikailag kln
hlzaton vannak. Pldul az elsdleges DNS znainformci trolhat a vllalat
helyi DNS kiszolgljn. ltalban az ISP-nl trolhat egy msodlagos DNS
kiszolgl a kiess elkerlsre.
A DNS kritikus hlzati szolgltats, ezrt tzfalakkal s ms biztonsgi
mdszerekkel kell vdeni. Kiesse esetn a webszolgltatsok elrhetetlenek
lesznek.

Szolgltatsok
Az ISP ltal nyjtott szolgltatsokhoz tartozik:

e-mail trols

weboldalak trolsa

elektronikus kereskedelmi oldalak

fjltrols s tvitel

zenfalak s blog-ok

video s audiofolyam szolgltatsok

A TCP/IP alkalmazs rtegbeli protokollok ezen ISP szolgltatsok s alkalmazsok

tbbsgt lehetv is teszik. A legismertebb TCP/IP alkalmazsi rtegbeli protokollok
a HTTP, FTP, SMTP, POP3 s IMAP4.
Sok felhasznl biztonsggal szembeni elvrsai nagyobbak, ezrt az alkalmazsi
rtegbeli protokollok biztonsgos verzii is rendelkezsre llnak, mint pldul az
FTPS s a HTTPS.

A http s HTTPS
A HTTP-t, a TCP/IP modell egyik protokolljt eredetileg HTML formj weboldalak
lehvsra terveztk.
A HTTP-nek sok verzija ltezik. A legtbb ISP a HTTP 1.1-es verzijt hasznlja
web-hosting szolgltatsok biztostsra. A korbbi verziktl eltren az 1.1-es
verzi lehetv teszi a webkiszolgl szmra tbb weboldal trolst is.
Megengedi az lland kapcsolatokat, gy tbb krs- s vlaszzenet hasznlhatja
ugyanazt a kapcsolatot, cskkentve ezltal j TCP viszonyok ltestsnek idejt.
A HTTP egy krs/vlasz alap protokoll. Amikor egy gyfl, ltalban egy
webbngsz krst kld a webkiszolglnak, akkor a HTTP meghatrozza az
gyfl ltal kldtt krs, valamint a kiszolgl ltal kldtt vlasz zenettpust.
A HTTP rugalmassga ellenre nem biztonsgos protokoll. A krszenetek s a
kiszolglvlaszok titkosts nlkli informcit szlltanak, amely knnyen elfoghat
s olvashat msok szmra is.
Az internet feletti biztonsgos kommunikcira, a webkiszolgl elrsre a
biztonsgos HTTP-t (HTTPS Secure HTTP) hasznljk. A HTTPS hitelestst s
titkostst is hasznlhat az adatok biztonsgos tvitelhez az gyfl s a kiszolgl
kztt. Tovbbi szablyokat is meghatroz az alkalmazsi s szlltsi rteg kztti
adatramls szablyzsra.
Ha kapcsolatba lpnk egy HTTP kiszolglval egy weboldal letltse cljbl, az
egysges erforrs azonost (URL uniform resource locator) segtsgvel
trtnik a kiszolgl s a meghatrozott erforrs helynek meghatrozsa. Az URL
meghatrozza:

A hasznlt protokollt

Az elrni kvnt kiszolgl tartomnynevt

A kiszolgln tallhat erforrs helyt, mint pldul

http://example.com/example1/index.htm

Sok webkiszolgl alkalmazs megengedi a rvid URL-ket. A rvid URL-ek azrt is

npszerek, mert knny megjegyezni, lerni vagy tovbbadni ket. Egy rvid URLlel az erforrs alaprtelmezett oldala jelenthet meg.
A HTTP proxy szolgltatsokat is tmogat. A proxy kiszolgl lehetv teszi az
gyfelek szmra, hogy Az gyfl kapcsoldik a proxy kiszolglhoz s kr egy
msik kiszolgln tallhat erforrst a proxy-tl.

A proxy kapcsoldik a meghatrozott kiszolglhoz s lehvja a krt erforrst, majd

tovbbtja az gyfl fel. hlzati kapcsolatokat alaktsanak ki ms hlzati
szolgltatsokkal.
A proxy kiszolgl egy elrekonfigurlt idre eltrolhatja az oldalt vagy az
erforrst a cache-ben, gy ksbbi gyflkrsek esetn lehetv teszi a gyors
weboldal letltst a tvoli kiszolgl elrse nlkl. A proxy-kat hrom szempont
miatt is hasznljk:

Gyorsasg A cache-ben eltrolt informci lehetv teszi az gyfl ltal krt

erforrs ms gyfelek szmra trtn gyors letltst a tnyleges kiszolgl
elrse nlkl.

Biztonsg A proxy kiszolglk felhasznlhatk szmtgpes vrusok s

ms rosszindulat programok felfogsra s az gyfeleknek val tovbbts
megakadlyozsra.

Szrs A proxy kiszolglk ltjk a bejv HTTP zeneteket s szrik a

nem megfelel vagy tmad tartalm weboldalakat.

A HTTP titkostatlan szveget kld az gyfl s a kiszolgl kztt.

Az adatok, fleg a bizalmas informci vdelmre, sok ISP nyjt biztonsgos
webszolgltatst HTTPS segtsgvel. A HTTPS tulajdonkppen HTTP, egy
biztonsgos csatol rteg (SSL secure socket layer) felett. A HTTPS ugyanazt
az gyflkrs kiszolglvlasz zeneteket hasznlja mint a HTTP, de az adatokat
a hlzaton trtn tvitel eltt SSL hasznlatval titkostja.
Amikor a HTTP adatfolyam megrkezik a kiszolglhoz, akkor a TCP rteg tadja a
kiszolgl alkalmazsi rtegben lv SSL-nek dekdolsra.
A HTTPS kiszolgl kevesebb egyidej kapcsolatot tud elltni, mint a HTTP
kiszolgl. A HTTPS tbbletterhelst r a kiszolglra az adatforgalom titkostsa
s dekdolsa rdekben. A kiszolgl teljestmnynek javtsra a HTTPS-t csak
indokolt esetben rdemes hasznlni, pldul bizalmas adatok kldse esetn.

FTP
Az FTP egy sszekttets-alap protokoll, mely TCP-t hasznl az gyfl folyamat
s a kiszolgl folyamat kztti kommunikci lebonyoltsra. Az FTP
implementcik a protokoll rtelmez (PI Protocol Interpreter) s az adattviteli
folyamat (DTP data transfer process) funkcikat is tartalmazzk. A PI s a DTP
kt kln folyamatot hatroznak meg, melyek egytt dolgoznak a fjltvitelben.
Ennek eredmnyekppen az FTP kt kapcsolat megltt ignyli az gyfl s a
kiszolgl kztt. Egyet a vezrl informcik s parancsok kldshez (21-es
port), egyet pedig az aktulis adattvitelhez (20-as port).
Protokoll rtelmez (PI - Protocol Interpreter)
A PI a f vezrl kapcsolat az FTP gyfl s az FTP kiszolgl kztt. Ltrehozza a
TCP kapcsolatot s tovbbtja a vezrl informcit a kiszolglnak, amely a fjl
hierarchin trtn naviglshoz, tnevezshez vagy fjlmozgatshoz szksges
parancsokat is magba foglalja.

A vezrl kapcsolat vagy vezrl folyam addig nyitva marad, mg a felhasznl be

nem zrja. Amikor egy felhasznl kapcsoldni akar egy FTP kiszolglhoz, akkor ez
t lpsben trtnik:
1. lps: A felhasznl PI kapcsolat felpts krst kld a kiszolgl PI-nek a
21-es porton.
2. lps: A kiszolgl PI vlaszol s a kapcsolat felplt.
3. lps: Miutn a TCP vezrl kapcsolat megnylt, a kiszolgl PI megkezdi a
bejelentkezsi folyamatot.
4. lps: A felhasznl a felhasznli interfszen keresztl megadja a szemlyi
adatait, s elvgzi a hitelestst.
5. lps: Megkezddik az adattvitel.
Adattviteli folyamat (DTP Data Transfer Process)
A DTP egy klnll adattviteli funkci. Ez a funkci csak akkor engedlyezett, ha a
felhasznl akar tnylegesen llomnyokat le vagy feltlteni az FTP kiszolglra. A
PI kapcsolattl eltren, mely nyitva marad, a DTP kapcsolat automatikusan bezrul
a fjltvitel befejezse utn.

Az FTP ltal tmogatott ktfajta adatkapcsolat az aktv s a passzv kapcsolat.

Aktv adatkapcsolatok
Aktv adatkapcsolat esetn az gyfl kezdemnyezi a krst a kiszolgl fel s
megnyit egy portot a vrt adatnak. A kiszolgl aztn kapcsoldik az gyflhez a
megadott porton s megkezddik a fjltvitel.
Passzv adatkapcsolatok
Passzv adatkapcsolat esetn az FTP kiszolgl nyit meg egy vletlenszeren
kivlasztott portot (nagyobb, mint 1023). A kiszolgl elkldi az FTP gyflnek az IP
cmt s a megnyitott port szmt egy vezrl folyamon. A kiszolgl vrja az FTP
gyfl kapcsoldst s a fjltvitel megkezdst.
Az ISP-k az FTP kiszolglknak ltalban passzv adatkapcsolatokat szolgltatnak. A
tzfalak gyakran nem engedlyezik az aktv FTP kapcsolatokat a bels hlzaton
lv llomsok szmra.
SMTP, POP3, IMAP4
Az elektronikus levelezs szolgltats a trol s tovbbt mdszert alkalmazza az
zenetek hlzaton trtn kldsre, trolsra s elrsre. Az elektronikus
leveleket a levelezkiszolglk adatbzisokban troljk. Az internetszolgltatk
gyakran alkalmaznak olyan levelezkiszolglkat, melyek tbb klnbz
felhasznli fikot is tmogatnak.
A levelez gyfelek a kiszolglknak kldik s tlk kapjk a leveleket.
Levelezkiszolglk ms kiszolglkkal is kommuniklnak, hogy egyik tartomnybl
a msikba kldjk az zeneteket. Levlklds esetn az gyfelek nem
kommuniklnak egymssal kzvetlenl, helyettk a kiszolglk vgzik az
zenettovbbtst mg akkor is, ha a kld s fogad lloms ugyanabban a
tartomnyban van.
Amikor a kiszolgl megkapja az zenetet, akkor elszr ellenrzi, hogy a cmzett a
helyi adatbzisban van-e. Ha nem, akkor egy DNS krst kld a cllloms
tartomnyban megtallhat levelezkiszolgl meghatrozsra. Ha a cllloms
levelezkiszolgljnak IP-cme mr ismert akkor a levelet tovbbtja ennek a
kiszolglnak.
Az elektronikus levelezs hrom klnbz protokollt tmogat: SMTP, POP3 s
IMAP4. Az az alkalmazsi rtegbeli folyamat, amely az gyfltl a kiszolglig,
vagy kt kiszolgl kztt tovbbtja a leveleket, az SMTP protokollra pl. Az gyfl
pedig a POP3 vagy IMAP4 alkalmazsi rtegbeli protokoll valamelyikvel hvja le
az e-maileket.
Az SMTP zenetnek van egy fejrsze s adatrsze. Mg az zenet adatrsze
tetszleges mennyisg szveges informcit tartalmazhat, addig a fejrsznek
megfelel formtum cmzett s felad cmet kell tartalmaznia. A tbbi fejrsz
informci nem ktelez.
Amikor az gyfl e-mailt kld, akkor az SMTP folyamata kapcsoldik a kiszolgl
SMTP folyamathoz a jl ismert 25-s porton. A kapcsolat felptse utn az gyfl
megksrli a kapcsolaton keresztl az e-mail kldst.

Ha a kiszolgl megkapja az zenetet, akkor vagy elhelyezi egy helyi levelzfikban

vagy tovbbtja egy msik kiszolglnak ugyanazon az SMTP folyamaton keresztl.
A cllloms e-mail kiszolglja lehet, hogy nem elrhet az zenetklds idejben,
ezrt az SMTP eltrolja az zeneteket egy sorban a ksbbi kldshez. A
kiszolgl peridikus idkznknt ellenrzi az zenetsort s jra megprblja
elkldeni. Ha az zenetet nem sikerlt egy elre meghatrozott lejrati idn bell
kzbesteni, akkor visszakerl a feladhoz kzbestetlenl.
Az e-mail zenet fejrsznek egyik szksges mezje a cmzett e-mail cme. Az email cm felptsben megtallhat az e-mail fik neve vagy egy fednv a levelez
kiszolgl tartomny neve mellett. Plda az e-mail cmre:
cmzett@cisco.com
@ szimblum a kiszolgl tartomny nevt s a levelez fik nevt vlasztja el
egymstl. Ha a DNS kiszolgl egy olyan krst kap, amiben megtallhat a @
szimblum, akkor tudja, hogy egy levelez kiszolgl IP-cmt kell keresnie.
Ha az zenet a cmzett@cisco.com-nak szl, akkor a tartomnynevet elkldik a
DNS kiszolglnak, hogy a tartomny levelez kiszolgljnak IP-cmt
megszerezzk. A evelez kiszolglkat a DNS-en bell egy MX bejegyzs jellel
klnbztetik meg. Az MX egy erforrs bejegyzs tpus, mely a DNS
kiszolglkon megtallhat. Ha a cllloms levelez kiszolglja megkapja az
zenetet, akkor eltrolja a megfelel levelesldban. A leveleslda helye az e-mail
cm els rszben meghatrozott elfizeti fikon alapszik, jelen esetben ez a
"cmzett" elfizeti fik. Az zenet addig a levelesldban marad, amg a cmzett
nem kapcsoldik a kiszolglhoz s le nem tlti az e-mailt.
Ha a levelez kiszolgl kap egy e-mail zenetet, ami egy ismeretlen elfizeti
fiknak szl, az e-mailt kzbestetlenl visszakldi a feladnak.
Postafik protokoll 3-as verzi (POP3 Post Office Protocol) lehetv teszi
egy munkalloms szmra az e-mailek levelez kiszolglrl trtn lehvst.
POP3 esetn az e-mailek letlts utn trldnek a kiszolglrl.
A kiszolgl a POP3 szolgltatst a 110-es TCP port passzv figyelsvel teszi
elrhetv az gyflek szmra. Ha az gyflnek szksge van a szolgltatsra,
akkor krst kld a TCP kapcsolat felptsre. A kapcsolat felptse utn a POP3
kiszolgl egy dvzl zenetet kld. Az gyfl s a POP3 kiszolgl utastsokat
s vlaszokat vltanak egymssal, addig amg a kapcsolat nem zrul vagy meg
nem szakad.
Mivel az e-mail zeneteket az gyfelek letltik s aztn a kiszolglrl trldnek, gy
az zenetek nincsenek egyetlen kzponti helyen trolva. Mivel a POP3 nem trolja
az zeneteket, ezrt kis vllalatok szmra nem ajnlott, mert kzpontostott mentsi
megoldst ignyelnek.
POP3 az ISP-k szmra megfelel vlaszts, mivel nem szksges a
levelezkiszolglkon nagymret trolterlet fenntartsa s karbantartsa.

Internetes zenetelrsi protokoll (IMAP4 Internet Message Access Protocol)

egy msik e-mail hozzfrsi mdszert definil. A POP3-tl eltren azonban, amikor
a felhasznl az IMAP kiszolglhoz kapcsoldik, az gyfl alkalmazs az e-mail
zeneteknek csak egy msolatt tlti le. Az eredeti zenetek kezeli trlsig a
kiszolgln maradnak. A felhasznlk a levelez gyflprogram segtsgvel
tekinthetik meg az zenetek msolatt.
Az gyfelek a kiszolgln fjlhierarchit hozhatnak ltre a levelek trolsra s
rendszerezsre. A fjlhierarchia msolata az e-mail gyflen is megtallhat. Ha az
gyfl trl egy zenetet, akkor a kiszolgl szinkronizlja a mveletet s trli
az zenetet a kiszolglrl.
Kis s kzpvllalatok szempontjbl sok elnye van az IMAP szolgltatsnak. Az
IMAP hossztv e-mail trolst, s kzpontostott mentst tesz lehetv.
A leveleslda knyvtrszerkezetnek megtekintse fggetlen a leveleslda elrsi
mdjtl.
Egy ISP szmra az IMAP nem megfelel vlaszts. Nagyon kltsges lenne az emailek trolshoz szksges trkapacits megvsrlsa s karbantartsa. Ezen
fell az gyfelek postafikjainak rendszeres mentse tovbb nveln az ISP
kltsgeit.
Az ISP Biztonsgi szolgltatsok
Ha egy internetszolgltat trhely s levelez szolgltatst nyjt, fontos feladata az
adatok vdelme a rosszindulat tmadsokkal szemben. A vdelem megteremtse
bonyolult lehet, mert az egyetlen vagy nhny kiszolgln trolt adatok tbb
felhasznlhoz tartozhatnak.
A sebezhet felletek elleni tmadsok megelzsre a szolgltatk knnyen
kezelhet, asztali lehetsgeket nyjtanak. A helyszni telept munkjnak fontos
rszt kpezi az alapvet biztonsgi lehetsgek teleptse s belltsa az gyfl
szmtgpn, melyek az albbiak lehetnek:

Segtsgnyjts az eszkzk biztonsgos jelszavainak belltshoz.

Alkalmazsok javtsi s frisstsi lehetsgekkel trtn vdelme.

A tmadsi felletet jelent, m nem hasznlt programok s szolgltatsok

eltvoltsa.

Felhasznlk ltal hozzfrhet s kizrlag a szmukra szksges

alkalmazsok biztostsa.

Asztali tzfal s vrusellenrz program belltsa.

Biztonsgi tesztek elvgzse a programokon s szolgltatsokon a sebezhet

pontok feldertse s fokozott vdelme rdekben.

Az felhasznlk adatainak vdelmben tett szolgltat oldali intzkedsek

elengedhetetlenek a rosszindulat tmadsokkal szemben. A leggyakrabban
alkalmazott lehetsgek s eljrsok a kvetkezk:

A kiszolgl merevlemezn trolt adatok titkostsa.

Jogosultsgok alkalmazsa llomnyok s knyvtrak elrse esetn.

Felhasznli azonost vagy csoporttagsg alapjn trtn hozzfrs

engedlyezse illetve megtagadsa.

Tbbszint hozzfrsi jogosultsgok hasznlata felhasznli azonost vagy

csoporttagsg alapjn.

llomnyok s knyvtrak jogosultsgainak belltsakor a "lehet legkevesebb

eljog elve" alapjn rhet el a legnagyobb biztonsg. Ez annyit jelent, hogy a
felhasznlknak csak annyi jogosultsgot szabad adni az erforrsok elrshez,
amennyi a munkjuk elvgzshez elengedhetetlenl szksges.
Hitelests, Jogosultsg ellenrzs s Naplzs (AAA - Authentication,
Authorization, Accounting) a rendszergazdk ltal hasznlt hrom lpses
eljrs, amely megnehezti a tmadk hlzathoz trtn hozzfrst.
A hitelests sorn a felhasznlnak azonostania kell magt egy felhasznlnvvel
s egy jelszval. A hitelestsi adatbzisokat ltalban RADIUS vagy TACACS
protokollt hasznl kiszolglkon troljk.
A jogosultsgok kezelsvel a felhasznlk megfelel jogokat kapnak az
erforrsok elrshez s bizonyos feladatok elvgzshez.
Naplzssal nyomonkvethetk a felhasznlk ltal hasznlt alkalmazsok s
hasznlati idejk.
Pldul a hitelestsi folyamat rsze a "tanul " nev felhasznl felismerse s
a rendszerbe trtn bejelentkezsnek engedlyezse. Az jogosultsg
ellenrzs meghatrozza a "tanul" felhasznl jogait az XYZ kiszolgl
elrshez Telnet segtsgvel. A naplzs nyomonkveti a "tanul" felhasznl
hozzfrst az XYZ kiszolglhoz s a Telnet hasznlatt egy bizonyos napon 15
percen keresztl.
Az AAA klnbz hlzati kapcsolatokban hasznlhat. Adatbzis
alkalmazsval tartja nyilvn a felhasznli azonostkat, jogosultsgokat s
hozzfrsi statisztikkat. A helyi hitelests a legegyszerbb megolds, ebben az
esetben a helyi adatbzist az tjr forgalomirnytn lehet elhelyezni. Ha egy
szervezetnek tbb tucat felhasznlt kell hitelestenie az AAA segtsgvel, kln
kiszolgln kell az adatbzist fenntartania.

Adattitkosts
A hlzatok alaprtelmezett adattovbbtsa nem biztonsgos, nylt szvegben
trtnik, amelyet illetktelen felhasznlk lehallgathatnak. Az tmen forgalom
adatainak elfogsa sorn az sszes, az adatokon belltott llomnyrendszerbeli
vdelmet elkerlik. Vannak mdszerek a biztonsgi problmk elleni vdelemre.
A digitlis titkosts az gyfl s a kiszolgl kztti forgalom titkostst teszi
lehetv. Szmos protokoll, amelynek biztonsgos vltozatt hasznljk az
adattovbbtshoz, digitlis titkostst alkalmaz. Legjobb minden esetben a protokoll
biztonsgos vltozatt hasznlni, valahnyszor bizalmas adatokat kell tovbbtani
llomsok kztt.
Az internet bngszse s nyilvnos honlapok nzegetse kzben az adatok
biztonsgos tovbbtsa nem szksges, st, felesleges szmtsi tbbletet s
lassabb vlaszidt eredmnyezhet.
Az alkalmazsok szmos hlzati protokollt hasznlnak, melyek kzl
nmelyiknek van biztonsgos vltozata, nmelyiknek azonban nincs:

Web kiszolglk - A Web kiszolglk HTTP protokollt hasznlnak, amely nem

biztonsgos. A HTTPS, Biztonsgos tviteli protokoll (SSL - Secure Socket
Layer) alkalmazsval azonban lehetv vlik a biztonsgos adattovbbts.

Levelez kiszolglk - Klnbz protokollokat hasznlnak, pldul SMTP,

POP3 s IMAP4. A felhasznl bejelentkezse sorn a POP3 s az IMAP4
felhasznlnevet s jelszt kr a hitelestshez, amelyeket nem biztonsgos
mdon kldenek. A POP3 SSL segtsgvel biztonsgoss tehet. Az SMTP
s az IMAP4 SSL-t s Szlltsi rtegbeli biztonsg (TLS - Transport Layer
Security) protokollt is hasznlhat a vdelem rdekben.

Telnet kiszolglk - Cisco forgalomirnytra vagy kapcsolra trtn Telnet

bejelentkezs esetn a kapcsolat nem biztonsgos. A Telnet program a
hitelest adatokat s a parancsokat nylt szvegknt kldi a hlzaton
keresztl, de a Biztonsgos Parancshj (SSH - Secure Shell) protokoll
hasznlatval a hitelests s a munka biztonsgos mdon trtnik.

FTP kiszolglk - Az FTP szintn nem biztonsgos protokoll, a

bejelentkezshez s a hitelestshez krt adatokat nylt szvegknt tovbbtja.
SSL hasznlatval a biztonsgos adatklds megvalsthat, s nmely
verzi SSH alkalmazsra is kpes.

llomnykiszolglk - A szmtgp opercis rendszertl fggen tbb

klnbz protokollt is hasznlhatnak adattovbbtsra, de az esetek
tbbsgben ezek nem biztonsgosak.

Az IP Biztonsg (IPSec - IP Security) egy hlzati rtegbeli protokoll, amellyel

brmely alkalmazs rtegbeli protokoll hasznlata biztonsgos kommunikcit
eredmnyez. Ez magban foglal llomnykiszolgl protokollokat, amelyeket
semmilyen ms biztonsgi protokollverzi nem knl.

Hozzfrsi listk s portszrs

Mg az AAA s a titkosts hasznlata esetn is, sok klnbz tpus tmads ellen
kell az ISP-nek vdekeznie. Klnsen sebezhetk a Szolgltatsmegtagadsi
tmadsokkal (DoS - denial-of-service) szemben, mivel szmos klnbz,
regisztrlt tartomnynvvel rendelkez oldalt trolhatnak, amelyek nmelyike ignyel
hitelestst, ms rszk viszont nem. Jelenleg hrom kulcsfontossg DoS
tmads ltezik:
DoS
A DoS tmadsok alapformja a kiszolgl vagy szolgltats elleni tmads a jogos
felhasznlk hozzfrsnek megakadlyozsra. Ilyen pldul a SYN
elraszts, ping elraszts, Land tmads, svszlessget leterhel tmads
s buffer tlcsordulsi tmads.
DDoS
Az elosztott szolgltatsmegtagadsi tmads(DDoS - distributed denial-ofservice) esetn tbb szmtgp egyszerre lp fel egy meghatrozott clpont ellen. A
tmad sok feltrt szmtgphez fr hozz, ltalban interneten keresztl, ly
mdon tvolrl indthatja a tmadst. A DDoS tmadsok az alap Dos
tmadsokhoz hasonltanak, leszmtva, hogy egyszerre tbb szmtgprl,
prhuzamosan indulnak.
DRDoS
Az elosztott reflektlt szolgltatsmegtagadsi tmads (DRDoS - distributed
reflected denial-of-service) alkalmval a tmad l- vagy ltszatzenetkrst kld
egyszerre tbb szmtgpnek az interneten keresztl, mdostva a forrs cmet a
clpont szmtgp cmre. Azok a szmtgpek, amelyek a krst megkapjk,
mind vlaszolnak a clpont szmtgp cmre. Mivel a tmads reflektlt, a tmad
kezdemnyezjt nagyon nehz meghatrozni.
Az internetszolgltatknak kpesnek kell lennik az olyan hlzati forgalom
kiszrsre, mint pldul a DoS tmads, amely veszlyezteti a hlzatuk vagy a
kiszolglk mkdst. A Portszrs (Port filtering) s a hozzfrsi lista (ACL access control list) segtsgvel a kiszolgl s ms hlzati eszkzk fel men
adatforgalom szablyozhat.
Portszrs
Meghatrozott TCP vagy UDP portok alapjn ellenrzi az adatforgalmat. Szmos
kiszolgl opercis rendszerben van lehetsg a hozzfrsek korltozsra
portszrs segtsgvel. Hlzati forgalomirnytkon s kapcsolkon is gyakran
hasznljk a forgalom ellenrzsre s az eszkzkhz val biztonsgos
hozzfrshez.

Hozzfrsi listk
A hozzfrsi listkkal definilhat a tiltott vagy engedlyezett hlzati forgalom a
forrs s cl IP-cmek alapjn, valamint a hasznlt protokoll forrs- s clportjai
alapjn. Tovbb az ICMP zenetek s a forgalomirnyt protokollok frisstsei is
ellenrizhetk. A rendszergazda ACL-eket hoz ltre olyan hlzati eszkzkn, mint
pldul a forgalomirnyt, annak eldntsre, vajon a forgalom tengedhet-e vagy
sem.
Az ACL-ek a vdelemnek csak az els lpsei, nmagukban nem elgsgesek a
hlzat biztonsghoz. Csupn megelzik a hlzathoz trtn hozzfrst, de nem
vdik meg a rosszindulat tmadsok minden fajtjtl.

Tzfalak
A tzfal olyan hlzati hardver vagy szoftver, amely meghatrozza, melyik forgalom
jhet be vagy tvozhat a hlzat bizonyos rszeibl, illetve hogyan kell az adatokat
kezelni.
Az ACL mechanizmus egy a tzfalak ltal hasznlt eszkzk kzl, amelyek
szablyozzk, mely forgalom haladjon t a tzfalon. Az engedlyezett forgalom
irnya is szablyozhat.
Egy kzepes mret hlzatban az ellenrizni kvnt forgalom, illetve a
szablyozand hlzati protokollok mennyisge igen nagy lehet, gy a tzfalon
elhelyezett ACL-ek tl bonyolultt vlhatnak.
A tzfalak hozzfrsi listkat hasznlnak az tengedhet s a letiltand forgalom
ellenrzsre. llandan fejldnek, ahogy j kpessgeket fejlesztenek ki, s j
fenyegetseket fedeznek fel.
A klnbz tzfalak klnbz jellemzkkel rendelkeznek. Az llapotalap
tzfalknt is ismert dinamikus csomagszr tzfalak llapottbla alkalmazsval
kpesek a forrs- s cleszkzk kztti kommunikci kvetsre. Ezek adott
adatfolyamok engedlyezst kveten csak az azokhoz tartoz forgalom
thaladst engedik a tzfalon. A Cisco IOS-be gyazott Cisco IOS tzfal
hasznlatval a forgalomirnytk hlzati rtegbeli dinamikus, llapotalap
csomagszr tzfalknt is hasznlhatk.
Egy ISP hlzaton bell vagy egy kzepes mret vllalat hlzatban a tzfalakat
ltalban tbb rtegben valstjk meg. A nem megbzhat hlzatbl bejv
forgalom elszr egy hatrforgalomirnyt csomagszrjn halad t, amelynek
bels tzfala az engedlyezett csomagokat egy demilitarizlt zna fel (DMZ demilitarized zone) irnytja. A DMZ az internet fell rkez felhasznlk szmra
hozzfrhet kiszolglkat trolja s kizrlag az a forgalom rkezhet ide,
amelyiknek engedlyezett ezekhez a kiszolglkhoz trtn hozzfrse. A tzfalak
a vdett, bels hlzatba rkez forgalom tpust is ellenrzik. ltalban a bels
eszkzk meghatrozott krseire rkez vlaszok engedhetk be a bels
hlzatba. Pldul, ha egy bels eszkz egy kls kiszolgltl kr egy weboldalt, a
tzfal beengedi.

IDS s IPS
Szintn az internetszolgltat ktelezettsge, hogy amennyire lehetsges
akadlyozza meg a sajt, s az olyan elfizetk hlzatba trtn behatolst, akik
fizetnek a szervezett szolgltatsokrt. Ennek rdekben kt, gyakran hasznlt
megolds kzl vlaszthatnak a szolgltatk.
Behatolsrzkel rendszer (IDS - Intrusion Detection System)
Az IDS a hlzati forgalmat passzvan figyel szoftver- vagy hardver alap
megolds. Az IDS eszkz a hlzati interfszeken thalad forgalmat figyeli, amely
az IDS-en nem halad t. Amint rosszindulat forgalmat szlel, vszzenetet kld egy
elre konfigurlt felgyel llomsnak.

Behatols megelz rendszer (IPS - Intrusion Prevention System)

Az IPS aktv fizikai eszkz vagy szoftver. A forgalom az IPS egyik interfszn megy
be s a msikon megy ki. Az IPS megvizsglja a hlzati forgalomban rsztvev
aktulis adatcsomagokat, s vals idben mkdve engedi vagy tltja a hlzatot
elrni kvn csomagokat.

Az IDS s IPS technolgia szenzorokon alapul, amelyek az albbiak lehetnek:

Cisco IOS IPS-sel elltott verzijval konfigurlt forgalomirnyt.

IDS vagy IPS szolgltatsra tervezett specilis (hardver) berendezs.

Adaptv biztonsgi berendezsbe (ASA - adaptive security appliance),

forgalomirnytba vagy kapcsolba ptett hlzati modul.

Az IDS s IPS szenzorok klnbz mdon vlaszolnak a hlzatban szlelt, nem

megszokott esemnyekre, de mindegyiknek sajt szerepe van a hlzatban.
Az IDS megoldsok reaktvak, a behatols szlelsekor riasztanak. A behatolst
a jellemz hlzati forgalom vagy a szmtgp jellemz tevkenysgnek
ismeretben, az attl val eltrs alapjn detektljk. A kezdeti forgalmat nem
tudjk lelltani a clpont elrse eltt, csak reaglnak a detektlt esemnyre.
A rosszindulat forgalom szlelst kveten egy helyesen konfigurlt IDS
meg tudja akadlyozni a kvetkez tmadsokat az olyan hlzati eszkzk
jrakonfigurlsval, mint a biztonsgi berendezsek vagy a forgalomirnytk.
Megjegyzend, hogy a kezdeti tmads keresztlhalad a hlzaton az rintett
clpont fel, lelltani nem lehet, csak a tovbbi rosszindulat forgalom
akadlyozhat meg. Ebben a tekintetben, az IDS nem tudja teljes mrtkben
megakadlyozni a sikeres tmadst.
Gyakran a hlzatok nem megbzhat hatrvonalban alkalmazzk, a tzfalon kvl.
Itt az IDS tudja elemezni a tzfal fel halad forgalom tpusokat s meghatrozza
milyen a vgrehajtott tmads. A tzfallal blokkolhat a legtbb rosszindulat
forgalom.

IDS a tzfalon bell is elhelyezhet a tzfal flrekonfigurlsnak felismersre.

Amikor az IDS itt van elhelyezve, brmely felbukkan vszjel azt mutatja, hogy
rosszindulat forgalom lett tengedve a tzfalon. Ezek a vszjelek a tzfal helytelen
konfigurcijt jelzik. (Bvebben 2.flv 8.2.2)
IPS
Az IDS megoldsaival ellenttben, melyek reaktvak, az IPS megoldsai
proaktvak. Minden gyans esemnyt azonnal blokkolnak. Az IPS majdnem a
teljes adatcsomagot kpes megvizsglni az OSI modell msodik rtegtl a
hetedikig. Amikor rosszindulat forgalmat szlel, azonnal blokkolja, majd
vszjelet kld a felgyel llomsnak a behatolsrl. A kiindul s a rkvetkez
tmadsokat egyarnt megakadlyozza.
Megjegyzend, hogy az IPS egy behatols detektl berendezs, nem pedig egy
program. ltalban a tzfalon bell helyezik el, ezrt tudja megvizsglni a teljes
adatcsomagot s megvdeni a kiszolgl alkalmazsokat tmads esetn. A tzfal
ltalban nem vizsglja meg a teljes csomagot, mint az IPS, hanem a legtbb nem
engedlyezett csomagokat eldobja, de mg gy is tengedhet rosszindulat
csomagokat. Mivel az IPS-nek kevesebb szm adatcsomagot kell megvizsglnia,
ellenrizheti az egsz csomagot, gy azonnal blokkolhatja az jabb tmadsokat,
amelyek a tzfal eredeti konfigurcijban mg nem voltak tiltva. Az IPS olyan
tmadsokat is kpes meglltani, amelyeket a tzfal, sajt korltaibl kifolylag,
nem tud.
Vezetk nlkli hlzatok biztonsga
Nmely ISP lehetsget ad vezetknlkli hozzfrsi pontok (hot spot) ltestsre,
amelyeken az elfizetk elrhetik a vezetknlkli helyi hlzatokat (WLAN wireless local-area network). WLAN-okat knny implementlni, m knnyen is
sebezhetk rossz konfigurci esetn. Mivel a vezetknlkli jelek thaladnak a
falakon, a vllalat terletn kvlrl is elrhetk. Az alaprtelmezett belltsok
megvltoztatsval, hitelests vagy MAC-cm szrs belltsval a
vezetknlkli hlzatok vdhetk.
Az alaprtelmezett belltsok megvltoztatsa.
Az SSID, a felhasznlnv s a jelsz alaprtelmezett belltsait ajnlott
megvltoztatni, illetve az SSID zenetszrst kikapcsolni.
A hitelests belltsa
A hitelests az a folyamat, mely sorn hitelest informcik alapjn dl el a belps
engedlyezse. A kapcsoldni kvn eszkzk megbzhatsgnak eldntsre
hasznljk. Hrom hitelestsi mdszer hasznlhat:

Nylt hitelests - Szemlytl fggetlenl, brmely felhasznl kaphat

hozzfrst. ltalban nyilvnos vezetknlkli hlzatokban hasznljk.

Elre megosztott kulcs (PSK - Pre-shared key) - A kiszolglnak s az

gyflnek egyarnt, egy megegyez, elre konfigurlt kulcsra van szksge.
Kapcsolds esetn, a hozzfrsi pont egy vletlen bjtsorozatot kld a
felhasznlnak, amelyet az titkost (vagy sszekever) a kulcs alapjn, majd
visszakld.

A hozzfrsi pont a titkostott karaktersorozatot a kulcs segtsgvel

visszafejti (vagy visszakeveri). Egyezs esetn a hitelests sikeres.

Kiterjeszthet hitelest protokoll. (EAP - Extensible Authentication

Protocol) - Klcsns vagy kt-utas hitelestst s felhasznlhitelestst tesz
lehetv. Ha EAP-ot hasznl programot teleptettek egy llomsra, az gyfl
egy kiszolgl oldali hitelest szerverrel kommunikl, mint pldul a RADIUS.

MAC-cm szrs belltsa

A MAC-cm szrs megakadlyozza az illetktelen szmtgp hlzatra
csatlakozst a MAC-cmek korltozsval. Br a mdszer mkdik, mgis, mivel a
MAC-cm lemsolhat, ms biztonsgi megoldsokkal egytt alkalmazand!
A legfontosabb a vezetknlkli hlzaton keresztl kldtt adatok titkostsa.
WLAN-ok esetn hrom fontos titkostsi eljrs ltezik:

Vezetkessel egyenrtk titkosts (WEP - Wired Equivalent Privacy) Vezetknlkli csompontok kztt kldtt adatok titkostsra szolgl. 64,
128, vagy 256 bites, elre kiosztott kulcsokat alkalmaz. Legnagyobb hibja a
kulcsok llandsgbl addik, azaz minden eszkznl ugyanazt a kulcsot
hasznlja az adatok titkostsra. Szmos WEP feltr eszkz rhet el az
Interneten, ezrt csak rgebbi eszkzkn hasznlhat, amelyek nem
tmogatjk az jabb biztonsgi protokollokat.

WiFi vdett hozzfrs (WPA - Wi-Fi Protected Access) - egy j

vezetknlkli titkostsi protokoll, amely egy tovbbfejlesztett titkostsi
algoritmust, az tmeneti kulcsintegrits protokollt (TKIP - Temporal Key
Integrity Protocol) hasznlja. A TKIP egyedi kulcsot generl minden gyfl
szmra, amelyeket egy konfigurlhat intervallumon bell forgat. Klcsns
hitelestsi eljrst nyjt, mivel a felhasznl s a hozzfrsi pont egyarnt
rendelkezik a kulccsal, amelyet sohasem kldenek t a hlzaton.

WPA2 - A WPA egy j, tovbbfejlesztett vltozata. A WPA2 a

biztonsgosabb Fejlett titkostsi szabvnyt (AES - Advanced Encryption
Standard) hasznlja.

A munkalloms biztonsga
Az llomsalap tzfal kzvetlenl a munkalloms opercis rendszern fut
program. Megvdi a szmtgpet az olyan rosszindulat tmadstl, amelyik a
vdelem sszes tbbi rtegn keresztljutott. A hlzaton belli s kvli forgalmat
egyarnt ellenrzi. Lehetv teszi a szmtgp cme s portja szerinti szrst, mely
tovbbi vdekezsi lehetsget ad a hagyomnyos portszrsen tl.
Az llomsalap tzfalak ltalban elre meghatrozott szablyokkal kaphatk,
amelyek blokkoljk az sszes berkez forgalmat. A szablyokhoz kivteleket
hozzadva vlik engedlyezett a bejv s a kimen forgalom megfelel arnya.
Az ISP-k llomsalap tzfalakat hasznlnak arra, hogy korltozzk egy kiszolgl
ltal ajnlott specifikus szolgltatsokhoz val hozzfrst. Egy llomsalap tzfal
hasznlatval az ISP megvdi a szervereiket s az elfizetik adatait, a meglv, de
felesleges portjai elrsnek blokkolsval.

Az llomsalap tzfalakat alkalmaz ISP kiszolglk vdettek a tmadsok s

sebezhetsgek klnbz fajtival szemben.
Ismert tmadsok
Az llomsalap tzfalak frissthet alrsoknak is nevezett jellemz aktivitsmintk
alapjn ismerik fel a rosszindulat tevkenysget, majd blokkoljk a forgalmat a
tmads ltal hasznlt porton.
A kihasznlhat szolgltatsok
Az llomsalap tzfalak vdik a kihasznlhat szolgltatsokat nyjt kiszolglkat
a szolgltats portjain trtn elrs megakadlyozsval.
A web s levelez kiszolglk npszer clpontjai a szolgltats tmadsoknak, de
csomagvizsglatra alkalmas llomsalap tzfalak alkalmazsval megvdhetk.
Frgek s vrusok
Frgek s vrusok a szolgltatsok sebezhetsgnek kiaknzsval s az
opercis rendszerek ms gyengesgeivel terjednek. Az llomsalap tzfalak
megakadlyozzk az ilyen rosszindulat programok hozzfrst a kiszolglkhoz.
Megakadlyozhatjk a frgek s vrusok terjedst is a kiszolgltl szrmaz
kimen forgalom ellenrzsvel.
Back Doors s Trjai falovak
A Back door-ok (hts ajt) s Trjai falovak lehetv teszik a hekkerek tvoli
hozzfrst a hlzat kiszolglihoz. A program ltalban zenetet kld a
hekkernek, tudatva vele a behatols sikeressgt, majd lehetsget ad a
rendszerhez val hozzfrshez. Az llomsalap tzfal a kimenforgalom
korltozsval megakadlyozhatja a trjai fal zenetkldst s a tmad brmely
szolgltatshoz val kapcsoldst.
Az anti_X program teleptsvel mg tfogbb biztonsgi szint rhet el. Az
anti_X segt a szmtgp vdelmben a vrusok, frgek, kmprogramok,
rosszindulat programok, adathalszat s mg a spam tmadsokkal szemben is.
Tbb internetszolgltat nyjt anti_X programot a teljeskr biztonsgi
szolgltatsaik rszeknt. Az ISP-nek llandan szemmel kell tartania, hogy az antiX szoftver valjban mely veszlyek ellen vd, s a veszlyek elemzse alapjn kell
javaslatokat tennie.
Szmos anti_X programcsomag tesz lehetv tvoli felgyeletet, azaz tartalmaz
megfigyel rendszert, amely elektronikus levlben vagy szemlyi hvn figyelmezteti
az adminisztrtort vagy mszaki szakembert az illetktelen behatolsrl.

Szolgltati Szerzds SLA

Az internetszolgltat s az elfizet kztt rendszerint szolgltati szerzds (SLA Service Level Agreement) jn ltre, mely meghatrozza a felek elvrsait s
ktelessgeit. ltalban az albbi rszeket tartalmazza:

Szolgltatslers

Kltsgek

Megfigyels s tjkoztats

Problmakezels

Biztonsg (Security)

Vgzdtets

Krtrts szolgltatskimarads esetn

Rendelkezsre lls, teljestmny s megbzhatsg

Az SLA fontos dokumentum, mely egyrtelmen vzolja a hlzat felgyelett,

megfigyelst s fenntartst.
A hlzati sszekttetsek teljestmnynek figyelse
Az intrenetszolgltat kteles figyelemmel kisrni s ellenrizni az eszkzk kztti
kapcsolatot. A felelssg magban foglalja az ISP-hez tartoz brmely berendezst,
s a felhasznli oldalon lv azon felszerelseket, amelyeknek az ISP az SLA-ban
elvllalta a megfigyelst. A felgyelet s a belltsok trtnhetnek svon kvl,
kzvetlen konzol kapcsolaton keresztl, vagy svon bell, hlzati kapcsolaton
keresztl.
A svon kvli felgyelet a kezdeti konfigurcinl hasznos, amikor az eszkz mg
nem rhet el hlzaton keresztl, vagy ha az eszkz helyszni megtekintst ignyel.
A legtbb szolgltatnak nem ll mdjban fizikai kapcsolatot teremteni minden
eszkzzel vagy megtekinteni azokat. A svon belli eszkzk hagyomnyosan tbb
felgyeleti funkcit tesznek lehetv, mint amelyek a svon kivli felgyeletettel
megvalsthatk, pldul egy hlzati eszkz teljes vizsglatra is md van.
Hagyomnyos svon belli felgyeleti protokollok a Telnet, SSH, HTTP, s az
Egyszer hlzatfelgyeleti protokoll (SNMP - Simple Network Management
Protocol).
Eszkzfelgyelet svon belli eszkzkkel
Elfizeti oldalon trtn j hlzati eszkz teleptst kveten, egy tvoli ISP
helyrl kell a berendezst figyelemme kisrni. Nha csak a kisebb belltsi
vltoztatsokra van szksg a szakember fizikai jelenlte nlkl.
IP hlzatok esetn Telnet gyflprogrammal, svon bell lehet az eszkzhz
kapcsoldni a felgyeleti s adminisztrcis teendk elvgzse rdekben. A Telnet
ltal hasznlt kapcsolatot Virtulis treminl (VTY) kapcsolatnak hvjk. A Telnet
egy kiszolgl/gyfl protokoll.

A legtbb opercis rendszer tartalmaz alkalmazs rtegbeli Telnet

gyflprogramot. A Microsoft Windowst hasznl szmtgpeken a Telnet,
parancssorbl indithat. Ms, kzismert Telnet gyfelet futtat terminl-emultor
alkalmazsok, a HyperTerminal, Minicom, s TeraTerm. A hlzati eszkzk, mint
pldul a forgalomirnytk, a Telnet-dmon s a Telnet-gyflprogramot egyarnt
tmogatjk,ezrt akr gyflknt, akr kiszolglknt hasznlhatk.
Egy Telnet kapcsolat felplst kveten a felhasznlk brmilyen
engedlyezett mveletet vgrehajthatnak a kiszolgln, gy, mintha magn a
kiszolgln hasznlnk a parancssort. Megfelel jogosultsg esetn a felhasznl
elindthat s lellthat folyamatokat, konfigurlhatja az eszkzt, vagy akr a rendszert
is lellthatja.
Telnet kapcsolatot a forgalomirnyt parancssorbl a telnet parancs s azt
kveten egy IP-cm vagy egy domain nv segtsgvel lehet kezdemnyezni,
egyszerre akr tbb kiszolglval is.
Radsul egy Telnet kiszolgl kpes egyszerre tbb gyfllel kommuniklni. Egy
kiszolglknt mkd forgalomirnytn a show sessions paranccsal
megjelenthetk az gyflkapcsolatok.
Br a telnet a felhasznlk hitelestst tmogatja, a hlzaton tkldtt adatok
titkostst nem. A telnetkapcsolat teljes adatforgalma nylt szvegknt
tovbbtdik, az zenetek a felhasznlnvvel s jelszval egytt knnyen
lehallgathatk.
Amennyiben a biztonsg is fontos szerepet jtszik, a Secure Shell (SSH)
protokoll teremt alternatv megoldst a kiszolgl biztonsgos elrshez. Az SSH
biztonsgos tvoli bejelentkezst s ms hlzati szolgltatsokat nyjt,
valamint a Telnetnl ersebb hitelestsi mdszert s titkostott adatszlltst. A
hlzati szakembereknek minden lehetsges esetben az SSH hasznlata ajnlott
Telnet helyett.
Az SSH kiszolgl alkalmazsnak kt vltozata ltezik, a vlaszts az eszkzre
betlttt Cisco IOS verzijtl fgg. Asztali gpenn futtathat SSH gyfl esetn tbb
klnbz programcsomag rhet el. Az SSH gyflnek tmogatnia kell a
kiszolgln konfigurlt vltozatot.
SNMP s Syslog hasznlata
Az SNMP hlzatfelgyeleti protokoll, amely a rendszergazda szmra lehetv
teszi hlzati s ms eszkzkrl az adatok sszegyjtst.
Az SNMP felgyeleti gynk programokat gyakran a kiszolglk, forgalomirnytk
s kapcsolk opercis rendszerbe gyazzk be.

Az SNMP ngy f sszetevbl ll:

Felgyeleti lloms - A rendszergazda ltal, a hlzat megfigyelsre s

konfigurlsra hasznlt lloms, melyen SNMP felgyeleti alkalmazs fut.

Felgyeleti gynk (Management agent) - Az SNMP ltal felgyelt

eszkzn teleptett program.

Felgyeleti informcis adatbzis (MIB - Management Information Base) Adatbzis, amelyet az eszkzk maguk vezetnek a hlzati teljestmny
paramtereirl.

Hlzatfelgyeleti protokoll - A felgyeleti lloms s az gynkk kztt

hasznlt kommunikcis protokoll.

A felgyel lloms futtatja a rendszergazda ltal a hlzati eszkzk

konfigurlsra hasznlt SNMP alkalmazst. Itt troldnak az adatok ezekrl az
eszkzkrl. A felgyeleti lloms az eszkzk lekrdezsvel gyjti az adatokat.
Lekrdezs akkor kvetkezik be, amikor a felgyel lloms meghatrozott
informcikat kr egy gynktl.
Az gynk tjloztatst ad, vlaszolva a lekrdezsre. Amikor a felgyel lloms
lekrdez egy gynkt, az gynk elveszi a MIB-ben sszegyjttt statisztikt.
Az SNMP gynkk nem csak lekrdezhetk, trap-nek nevezett nll
riasztzenet elkldsre is konfigurlhatk. A trap egy esemnyvezrelt jelzs.
Bizonyos terleteken az gynkkn egy kszb- vagy maximumrtket
konfigurlnak, amely pldul egy meghatrozott porton thalad adatforgalom
mennyisgre vonatkozik. Ha a forgalom mennyisge a kszbt elri, az gynk
riasztzenetet kld a felgyel llomsnak. A riasztzenetek megkmlik a
felgyel llomsokat a hlzati eszkzk folyamatos lekrdezstl.
A felgyel llomsok s a felgyelt eszkzk hitelestse egy kzssgi
azonostnak nevezett karakterlnc alapjn trtnik. Az SNMP gynk s az SNMP
lloms kzssgi karakterlncnak meg kell egyeznie. Amikor az gynk egy
lekrdezs vagy egy riasztzenetet generl esemny hatsra informcit kld a
felgyel llomsnak, mindketten elszr a karakterlncot egyeztetik.
A syslog
A hlzat megfigyelsnek fontos rsze a device log (eszkz napl) trolsa s
rendszeres idkznknti fellvizsglata. A Syslog a rendszeresemnyek
naplzsra kidolgozott szabvny. Az SNMP-hez hasonlan egy alkalmazsrtegbeli protokoll, amely lehetv teszi az eszkzk informcikldst a felgyeleti
llomson teleptett s futtatott syslog dmon szmra.
A Syslog rendszer egy kiszolglbl s egy gyflbl ll. Az elbbiek fogadjk s
feldolgozzk az gyfelek naplzsi zeneteit, az utbbiak az eszkzk megfigyelst
vgzik, amirl tjkoztatjk a Syslog kiszolglt.
A naplzsi zenetek ltalban egy azonostbl, az zenet tpusbl, az elklds
idpontjt jell idblyegbl (dtum, id) s az zenet szvegbl llnak. A kld
hlzati eszkztl fggen, a felsoroltaknl tbb elemet is tartalmazhatnak.

Archivlsi hordozk
A hiba oktl fggetlenl a felhasznlk weboldalait s leveleit trol ISP
ktelessge biztostani az adatveszts elleni vdelmet. A weboldalakon trolt adatok
elvesztse utni helyrellts tbb szz, vagy akr tbb ezer rt is ignybe vehet,
nem beszlve a tartalom elvesztse s jratltse kzti zleti forgalom kiessrl.
Az ISP levelez kiszolgljn trolt zenetek adatainak elvesztse a vllalatok
szmra kritikus lehet. Nmely vllalkozs szmra trvny rja el a levelezsek
adatainak megtartst, minek kvetkeztben azok megsemmislse
megengedhetetlen.
Az adatok mentse elengedhetetlen. Egy informatikai szakember munkakrhez
tartozik az adatveszts kockzatnak cskkentse, s egy esetleges helyrelltsi
eljrs megtervezse.
Amikor az ISP-nek adatai mentsre vagy archivlsra van szksge, a
lehetsgek kltsgnek s hatkonysgnak egyenslyban kell lennie. Az
archivlsi hordozk kivlasztsa a szmos befolysol tnyez kvetkeztben
sszetett feladat.
Nhny tnyez az albbi lehet:

Adat mennyisge

Trolhely kltsge

Trolhely teljestmnye

Trolhely megbzhatsga

A kls trols egyszersge

Tbbfle archivlsi hordoz ltezik, pldul szalagok, optikai lemezek s flvezet

alap httrtrak.
A szalag mig a legkzismertebb kls trolk egyike, nagy kapacits, s
mig a piac leginkbb kltsghatkony trolja. Ha az adatmennyisg
meghaladja egyetlen szalag trolkpessgt, a mentsi folyamat alatt az
automatikus betltk s knyvtrak cserlgethetik a szalagokat, lehetv tve annyi
adat eltrolst, amennyire szksg van. Az automatikus betltk s knyvtrak
igen kltsgesek lehetnek, amivel a kis- s kzpvllalatok ltalban nem is
rendelkeznek, mindamellett nagyobb adatmennyisg esetn, lehetsges, hogy nincs
ms vlasztsuk.
A szalag hibarzkenysge nagy, a vezrleszkzt rendszeresen tiszttani kell a
hibtlan mkds rdekben. Knnyen elkopik, ezrt csak meghatrozott ideig
hasznlhat. A szalagoknak klnbz fajti lteznek:

Digitlis adattrol (DDS - Digital data storage)

Digitlis hangszalag (DAT - Digital audio tape)

Digitlis lineris szalag (DLT - Digital linear tape)

Nylt (formtum) lineris szalag (LTO - Linear tape-open)

Mindegyik tpus klnbz kapacits s teljestmny jellemzkkel rendelkezik.

Optikai lemezek
Az optikai lemez kis mennyisg adat esetn a legkedveltebb troleszkz. A cd 700
MB, az egyoldalas kt rteg dvd tbb, mint 8.5 GB adat trolsra kpes, a HD-dvd
s a Blue-Ray lemezek kapacitsa a 25 GB-ot is meghaladhatja. A weboldalak
tartalmnak a felhasznlk s az ISP kiszolglk kztti hordozsra mindkt fl
egyarnt optikai trolkat alkalmazhat. Az optikai hordozk brmely szmtgprl
knnyen elrhetk cd vagy dvd meghajt segtsgvel.
Merevlemezek
A merevlemez alap mentsi rendszerek egyre kzkedveltebb vlnak alacsony
kltsgk s nagy trolsi kapacitsuk kvetkeztben. Mindamellett a merevlemezek
msik helyen trtn trolsa nehzkes. A hatalmas lemeztmbk, mint a
kzvetlenl csatlakoztatott trol (DAS - direct attached storage), hlzathoz
kapcsolt trol (NAS - network attached storage) s a trol hlzatok (SAN storage area network) nem hordozhatk.
A merevlemez alap mentsi rendszerek klnbz megvalstsai a szalagos
mentsi rendszerekkel egyttmkdnek a kls helyen trtn trolsban.
Tbbszint biztonsgi ments esetn a merevlemezes s a szalagos lehetsgek
egyarnt gyors helyrelltsi idt tesznek lehetv a merevlemezen helyileg elrhet
adatok s a hossztv archivlsi megoldsok kombinlsval.
Flvezet alap trol rendszerek
A flvezet alap trol rendszerekkz soroland az sszes nemfelejt
troleszkz, amelyben nincsenek mozg rszek. A pdk szles sklja az 1 GB
trolsra kpes, kicsi postai blyeg mret eszkztl az 1000 GB (1 TB) adat
trolsra kpes forgalomirnytnak megfelel mret eszkzkig terjed.
Az adatok gyors trolsi s visszakereshetsgi ignye esetn kitn. A flvezet
alap trol rendszerek alkalmazsai kz sorolhatk az adatbzisgyorstk, a HD
vide letltk s szerkesztk, az informaciszolgltatk s a trolhlzatok

(Storage Area Network- SAN) A nagy tejestmny, flvezet alap trol rendszerek
kirvan drgk lehetnek, de a technikai fejlds termszetbl fakadan az rak
folyamatosan cskkennek.
Az llomnyments mdszerei
Norml
A norml vagy teljes biztonsgi ments sorn az sszes kijellt llomnyrl
msolat kszl, teljes egszben. Utna mindegyik llomny kap egy "msolva"
jelet. Norml mentsek esetn elegend mindig a legutols mentst megtartani,
ami meggyorstja s egyszersti a helyrelltsi folyamatot. Mindamellett, mivel
mindig a teljes adatllomny mentsre kerl, ez a legidignyesebb mentsi
mdszer.
Klnbsgi
A klnbsgi ments esetn, mindig csak a legutols teljes ments ta
keletkezett vagy vltozott llomnyokrl kszl msolat. Ennl a mdszernl a
mentsi ciklus els napjn teljes ments szksges, azt kveten pedig mindig csak
az ahhoz kpest trtnt vltozsok, egszen a ciklus vgt jelent legkzelebbi
teljes mentsig. Ezltal a folyamat kevesebb idt vesz ignybe. Az adatok
helyrelltshoz az utols teljes s az utols klnbsgi ments szksges.
Nvekmnyes
A nvekmnyes ments egyetlen lnyeges pontban tr el a klnbsgitl. Amg a
klnbsgi ments sorn az utols teljes ments utn trtnt vltozsokrl
kszl msolat, addig a nvekmnyes esetben az utols nvekmnyes ments
ta bekvetkezett vltozsokat kell elmenteni. Ha minden nap nvekmnyes
mentsi eljrs trtnik, az archivlsi kzegen mindig csak az aznapi vltozsok
troldnak. A nvekmnyes mentsi mdszer a leggyorsabb, viszont a
helyrelltsi folyamata a legidignyesebb, mivel az utols norml s az utna
kvetkez sszes nvekmnyes ments szksges hozz.
A mentsi rendszerek a helyes mkds rdekben rendszeres karbantartst
ignyelnek. Lteznek a mentsek sikeressgt segt eljrsok:
Az adathordozk cserje - szmos mentsi mdszer ignyli az adathordozk napi cserjt, az elmentett adatok
elzmnyeinek fenntartsra. Ha a szalagot vagy lemezt nem cserlik napi rendszeressggel, adatveszts lphet
fel. Mivel a szalagok cserje kzzel vgezhet feladat, ki van tve a hiba bekvetkezsnek. A felhasznlnak
szksgk van egy feljegyzsi mdszerre, mint a naptr vagy hatridnapl.
A mentsi naplzsok ttekintse - Jformn az sszes mentsre szolgl program ltrehoz naplzsi
llomnyokat. Ezek az llomnyok tjkoztatnak a mvelet sikeressgrl, vagy meghatrozzk a hiba helyt. A
mentsi naplzsok rendszeres felgyelete lehetv teszi brmely olyan mentsi problma gyors azonostst,
amely megkveteli a figyelmet.
Helyrelltsi folyamatok kiprblsa - Mgha a naplk szerint a ments sikeres is volt, felmerlhetnek a
naplkban nem jelzett, ms problmk. Az adatok rendszeres prbahelyrelltsval ellenrizhet az elmentett
adatok hasznlhatsga s a mentsi eljrs megfelel mkdse.
Az eszkzvezrl karbantartsa - Sok archivlsi rendszer specilis hardvereket ignyel az eljrs
vgrehajtshoz. A szalagos mentsi rendszer a szalag olvasshoz s rshoz mgnesszalagos egysget
hasznl, amely a hasznlat sorn piszkoldik, s ksbb mechanikai hibhoz vezethet. Ezrt megfelel tisztt
szalagok segtsgvel rendszeres tiszttst kell rajta vgezni. A merevlemez alap archivl rendszereken
alkalmanknt tredezettsg-mentests ajnlott a teljestmny nvelse rdekben.

A CISCO IOS mentse s helyrelltsa

Az ISP szmra a kiszolglk llomnyainak mentsn tl a hlzati eszkzeiken
hasznlt, az ISP tulajdonban lv Cisco IOS s konfigurcis llomnyok vdelmt
is biztostania kell. Ezekrl az llomnyokrl is kszlhet msolat egy hlzati TFTP
kiszolgln a megfelel copy parancs segtsgvel. Az IOS s a konfigurcis
llomnyok mentse hasonl parancsal trtnik.
A Cisco IOS kd biztonsgi mentse hrom alapvet lpsbl ll:
1. lps: A ping parancs segtsgvel az llomny trolsra szolgl TFTP
kiszolglval fenntartott kapcsolat ellenrzse.
2. lps: A forgalomirnyt flash memrijban trolt IOS kd ellenrzse. Az
llomny nevnek s mretnek megtekintse a show flash parancs hasznlatval.
Fontos megbizonyosodni a kiszolgln tallhat szabad hely megfelel mretrl.
3. lps: Az IOS rendszerkd TFTP kiszolglra trtn msolsa az albbi parancs
segtsgvel.
Router# copy flash tftp
A copy parancs alkalmazsnl a forgalomirnyt kri a felhasznltl a forrs
llomnynevet, a TFTP kiszolgl IP-cmt s a cl llomnynevet.
A TFTP kiszolgln trolt rendszerkd llomnyok segtsgvel a hlzat
forgalomirnytinak s kapcsolinak Cisco IOS szoftvere helyrellthat vagy
frissthet.
A forgalomirnytk IOS rendszerkd frisstsnek s a rendszerkd TFTP szerverre
val mentsnek a lpsei hasonlak. Hasznlja a show flash parancsot a flashben
lv bjtok szmnak megllaptsra, s bizonyosodjk meg arrl, hogy az IOS
szmra van elegend szabad hely, mieltt elkezdi a frisstst vagy a visszalltst.
A Cisco IOS frisstsre a kvetkez parancs szolgl:
copy tftp: flash:
Frissts sorn a forgalomirnyt kri a felhasznltl a TFTP kiszolgl IP-cmt,
majd a kiszolglrl letlteni kvnt rendszerkd nevt. Ha nincs elegend hely mind
a rgi, mind az j kd trolsra, a forgalomirnyt krheti a felhasznlt a flash
trlsre. A kd flash memribl trtn eltvoltsa alatt a folyamatot jelz "e"
betk sora jelenik meg. A letlts befejeztvel az ellenrzsre is sor kerl, s ezzel a
hlzati eszkz ksz az jraindulsra az j Cisco IOS rendszerkddal.
Ha az IOS kd elveszett s helyre kell lltani, egy kln eljrs szksges ROMmon
md hasznlatval.
Ha a belltsok alapjn a forgalomirnyt flashbl indul, de onnan a Cisco
IOS rendszerkdot kitrltk, megsrlt vagy helyhiny kvetkeztben nem
elrhet, azt helyre kell lltani. Ennek leggyorsabb mdja a TFTP hasznlata
ROM monitor (ROMmon) mdbl.

A ROMmon TFTP tvitel egy meghatrozott LAN interfszen keresztl trtnik,

amely alaprtelmezsben az els elrhet LAN interfsz.
A mvelet vgrehajtshoz a felhasznlnak elszr be kell lltania nhny
krnyezeti vltozt, belertve az IP-cmet, majd a tftpdnld parancs
segtsgvel helyrelltani a kpfjlt.
A ROMmon krnyezeti vltozinak belltshoz be kell gpelni a vltoz nevt,
majd az egyenlsg (=) jelet, s vgl a vltoz rtkt. Pldul az IP-cm 10.0.0.1re trtn belltshoz be kell gpelni az IP_ADDRESS=10.0.0.1. parancsot.
A szksges krnyezeti vltozk a kvetkezk:
IP_ADDRESS - a LAN interfsz IP-cme
IP_SUBNET_MASK - a LAN interfsz alhlzati maszkja
DEFAULT_GATEWAY - a LAN interfsz alaprtelmezett tjrja
TFTP_SERVER - a TFTP kiszolgl IP-cme
TFTP_FILE - a Cisco IOS llomnyneve a kiszolgln

A set parancs hasznlatval a ROMmon krnyezeti vltozi megnzhetk s

ellenrizhetk.

A vltozk belltsa utn a tftpdnld parancsot kell hasznlni. Az Cisco IOS llomny
sszes adatcsomagjnak megrkezse utn egy felkilt jel (!) jelenik meg. Amint az
IOS msolata elkszl, a Flash memria meglv tartalma kitrldik, melybe nem
csak az aktulis IOS fjl, hanem az sszes itt trolt llomny is beletartozik.

Ezrt ezek megvsa s szksg esetn helyrelltsa rdekben a msolatok TFTP

kiszolgln trtn ideiglenes trolsa elengedhetetlen.
A ROMmon parancssornak (rommon1>) megjelensekor a forgalomirnyt a reset
parancs, vagy az i begpelsvel jraindthat. A forgalomirnyt most a flash
memriban trolt j Cisco IOS rendszerkd alapjn fog indulni.
Katasztrfa helyrelltsi terv
A katasztrfahelyzet helyrelltsi tervnek fontos rsze az adatok biztonsgi
mentse. A katasztrfahelyzet helyrelltsi terv egy mindent tfog dokumentum a
gyors trolsi folyamatokrl, s a vllalat katasztrfa alatti s utni folyamatos
mkdsnek fenntartsi feltteleirl. Clja a vllalat katasztrfa okozta fizikai s
szocilis vltozsokhoz trtn alkalmazkodsnak biztostsa.
A katasztrfahelyzet-helyrelltsi terv informcikat tartalmazhat ms telephelyekrl,
ahova a szolgltatsok ttehetk, a hlzati eszkzk s kiszolglk kikapcsolsrl,
valamint a tartalk csatlakozsi lehetsgekrl.
Katasztrfahelyzet esetn is elrhetnek kell lennie az albbi
szolgltatsoknak:

Adatbzisok

Alkalmazskiszolglk

Rendszerfelgyeleti kiszolglk

Web

Adattrolk

Cmtr

A katasztrfahelyzet-helyrelltsi terv ksztsnl fontos megrteni a szervezet

ignyeit s elnyerni a tmogatst. Sok lps kell egy hatkony helyrelltsi terv
elksztshez.
Sebezhetsgfelmrs - Fel kell mrni a kritikus vllalati folyamatok s
alkalmazsaik srlkenysgnek mrtkt egy htkznapi katasztrfa esetn.
Kockzatfelmrs - Elemezni kell az esetleges katasztrfa s hatsainak
kockzatt illetve kltsgt. A kockzati felmrs rszeknt ssze kell lltani a tz
legvalsznbb katasztrfa listjt a kvetkezmnyeikkel egytt, belertve a
vllalat teljes megsemmislst is.
Szervezsi tudatossg - Hasznlja fel a sebezhetsgekrl s a kockzatokrl
sszegyjttt informcikat, hogy elnyerje a felsbb vezets tmogatst a
katasztrfahelyzet-helyrelltsi projekthez. A felszerelsek s elhelyezkedsek
fenntartsa egy esetleges katasztrfa helyzet helyrelltsban igen kltsges lehet,
ezrt a vezetkkel fontos megrtetni a lehetsges kvetkezmnyeket.
Tervez csoport felltsa - Fel kell lltani egy tervez csoportot a
katasztrfahelyzet-helyrelltsi stratgia s terv kidolgozsra s megvalstsra.

Akr kis vagy kzepes mrtk katasztrfa esetn is fontos, hogy mindenki tisztban
legyen a feladataival s ktelezettsgeivel.
Elsbbsgi sorrend fellltsa - Prioritst kell rendelni minden, a vllalat hlzatt,
alkalmazsait s rendszereit rint lehetsges katasztrfahelyzethez, gymint
kritikus, fontos vagy kevsb fontos.
A vllalkozs szmra legfontosabb alkalmazsok s szolgltatsok meghatrozst
kveten, a gyjttt informcik alapjn el kell kszteni a katasztrfahelyzethelyrelltsi tervet. t f lps szksges a terv megvalstshoz:
1. lps - Hlzathelyrellt stratgia
A hlzat tervnek elemzse. A hlzat tervnl figyelembe vett
katasztrfahelyrelltsi szempontok a kvetkezk:

Vajon a tervezett hlzat tllne-e egy nagyobb katasztrft? Lteznek-e

tartalk kapcsolatok s redundancik a hlzatban?

Azok a nem helysznen trolt kiszolglk, melyek olyan alkalmazsokat

tmogatnak, mint a levelezs vagy adatbzis-kezels, elrhetk maradnak-e?

Megszakadna-e a tartalk forgalomirnytk, kapcsolk s ms hlzati

eszkzk elrhetsge?

A hlzat szmra szksges erforrsok s szolgltatsok elhelyezkedse

nagy fldrajzi terletre terjed-e ki?

2. lps - Leltr s dokumentci

Leltr ksztse az sszes helyrl, az sszes eszkzrl, gyrtrl, a felhasznlt
szolgltatsokrl s a kapcsolatok neveirl! A kockzatfelmrsi lpsben
megbecslt kltsg ellenrzse.
3. lps - Ellenrzs
Olyan tesztfolyamat ltrehozsa, melynek segtsgvel ellenrizhat a
katasztrfahelyrelltsi stratgia mkdkpessge. Bevlt katasztrfahelyzethelyrelltsi gyakorlat a terv korszersgnek s hatkonysgnak biztostsra.
4. fzis - Jvhagys s megvalsts
A felsvezetk jvhagysnak elnyerse, s a terv megvalstsi kltsgvetsnek
elksztse.
5. fzis - Fellvizsglat
A katasztrfahelyrelltsi tervezet megvalstst kvet els vben a terv
fellvizsglata.

Hibaelhrts
A hlzati hibaelhrts sorn a szakemberek ltalban az OSI referenciamodell
vagy a TCP/IP hlzati modell segtsgvel hatroljk be a hiba lehetsges okt. A
logikai hlzati modellek rtegekre bontjk a hlzati mkdst. Az OSI s a TCP/IP
modell rtegei jl meghatrozott feladatokat ltnak el adott protokollokkal.

Az OSI referenciamodell mint hibaelhrtsi segdeszkz

Az OSI modell felsbb (5-7) rtegei jellemzen specilis alkalmazsi funkcit ltnak
el, tbbnyire szoftveresen valstjk meg ket. A problmk gykere ltalban az
gyfl vagy a kiszolgli oldalon fut vgfelhasznli szoftverek belltsaiban
keresend.
Az OSI modell alsbb (1-4) rtegei elssorban az adattovbbtsi krdsekrt
felelsek.

A 3. (hlzati) s 4. (szlltsi) rteget ltalban teljesen szoftveresen valstjk

meg. Egyttal a vgrendszerek szoftveres hibit, s a forgalomirnytk s tzfalak
konfigurcis hibit tartjk felelsnek e kt rtegben elfordul problmk
tbsgrt. Az IP-cmzsi s a forgalomirnytsi hibk a 3. rtegre jellemzek.
Az 1. (fizikai) s a 2. (adatkapcsolati) rteg szoftveres s hardveres sszetevkbl
pl fel. A fizikai rteg az tviteli kzeghez (mint pldul a kbelezs) ll
legkzelebb, s ez a rteg a felels az adatok tviteli kzegre juttatsrt. Az 1. s a
2. rtegben elfordul hibk zmrt hardveres vagy kompatibilitsi problmk
okolhatk.
Hibaelhrtsi eszkzk
A hlzati diagram mellett szmos tovbbi eszkz segtheti a hatkony hibaelhrtst
a hlzati teljestmny javtsa s a rendszerhibk feltrsa sorn.
Hlzati dokumentcis s alapszint-ellenrz eszkzk
Ilyen eszkzk szp szmban llnak rendelkezsre Windows, Linux s UNIX
opercis rendszerekhez is. A CiscoWorks nev szoftver kivlan alkalmas a
hlzati diagramok megrajzolsra, a szoftver- s hardverdokumentci
naprakszen tartsra, valamint a jellemz hlzati svszlessgigny
kltsghatkony felmrsre. A hlzati mkds alapszintjnek meghatrozshoz
ezek a szoftverek ltalban monitoroz s jelentskszt eszkzket biztostanak.
Hlzatfelgyeleti rendszereszkzk
A hlzatfelgyeleti rendszereszkzk (NMS - Network Management System tools)
elsdleges
feladata
a
hlzat
teljestmnynek
kvetse.
A hlzati eszkzk fizikai elrendezst jelentik meg grafikusan. Meghibsods
esetn ezekkel az eszkzkkel meghatrozhat a hiba forrsa, tovbb kiderthet,
hogy rosszindulat program, betrsi ksrlet vagy egy eszkz meghibsodsa
okozta a hibt. A gyakran hasznlt hlzatfelgyeleti eszkzk kz tartozik a
CiscoView, a HP Openview, a SolarWinds s WhatUp Gold.
Tudsbzis
Mra az egyes gyrtk ltal gondozott tudsbzisok nlklzhetetlen
informciforrsokk nttk ki magukat. Az on-line tudsbzisok internetes
kereskkel trtn kombinlsa hatalmas mennyisg tapasztalati alapokon nyugv
ismeret hozzfrst teszik lehetv.
Protokollelemzk
A protokollelemzk a kereteket kpesek hlzati rtegekre tagoltan dekdolni s
viszonylag knnyen rtelmezhet alakban megjelenteni, s ezltal a hlzati
forgalmat tovbbi elemzs cljbl rgzteni. Az gy rgztett kimenet klnbz
ignyek s kritriumok szerint szrhet: megjelenthet pldul csak egy adott
eszkzrl indtott s annak cmzett forgalom. A Wireshark s a hasonl
protokollelemz alkalmazsok a hlzaton forgalmazott adatokrl nyjtanak
rszletes hibaelhrtsi informcit. J plda a protokollelemzkkel feltrhat
informcira a kt lloms kztt zajl TCP viszony felptse s lezrsa.

Kbelteszterek
A kbelteszterek olyan kismret clmszerek, melyeket klnbz kommunikcis
kbelek ellenrzsre terveztek. Alkalmazsukkal feltrhatk a trtt kbelek, a
hibs bektsek, a rvidzrlatok s a felcserlt kbelek. A fejlettebb eszkzk, mint
pldul a TDR kbelteszter (time-domain reflectometer - idtartomnyi reflektomter)
kpesek a kbelben a szakads helyt is meghatrozni. Kbelteszterrel
meghatrozhat a kbel hossza is.
Digitlis multimterek
A digitlis multimterek olyan mrmszerek, melyekkel kzvetlenl mrhetnk
bizonyos elektromos jellemzket: feszltsget, ramerssget s ellenllst. A
hlzati hibaelhrtsban a multimter elssorban az egyes ramforrsok
feszltsgszintjeinek s az adott hlzati kszlkek ramelltsnak ellenrzsekor
hasznos.
Hordozhat hlzatanaliztorok
A hlzat tetszleges pontjn egy hlzatanaliztor kapcsolhoz csatlakoztatsval
rgtn lthatv vlik az adott szegmens tlagos s cscskihasznltsga.
Analiztorral az is knnyen kiderthet, hogy melyik eszkz generlja a legnagyobb
hlzati forgalmat, de elemezhet vele a forgalom is protokollok szerint, vagy akr
rszletesen vizsglhatk az egyes interfszek. A hlzatanaliztorok klnsen jl
hasznlhatk rosszindulat programok, vagy szolgltatsmegtagadsi tmads
okozta problmk feldertsekor.
1. s 2. Rtegbeli Problmk
A fizikai s az adatkapcsolati rteg hardveres s szoftveres megvalstsokat is
tartalmaz.
A fizikai rteg felels az egyik llomsrl a msik llomsra kldtt bitek fizikai
s elektromos jellemzinek a definilsrt fggetlenl attl, hogy vezetkes vagy
vezetk nlkli tviteli kzeget alkalmaznak. Az 1. rtegben elfordul hibk a
kapcsolat elvesztsvel, vagy - egyszerbb esetben - teljestmnycskkenssel
jrhatnak.
Az 1. rtegben elfordul hibk szorosan kapcsoldnak az alkalmazott
technolgihoz. Az Ethernet pldul tbbszrs hozzfrs technolgia. Az
Ethernet protokollban alkalmazott algoritmus alapja, hogy az egyes llomsok
rzkelik, hogy szabad-e a csatorna mieltt adni kezdenek. Ennek ellenre elfordul,
hogy kt lloms ugyanabban az idpillanatban kezd adni, ezzel tkzs keletkezik.
Minden tkzsnl az sszes rintett eszkz abbahagyja a tovbbtst, s vletlen
ideig vr az jrakezds eltt. Mivel az Ethernet szleli az tkzst s kpes reaglni
r, ezrt gyakran Vivjel-figyelses tbbszrs hozzfrs tkzsrzkelses
(CSMA/CD - Carrier Sense Multiple Access with Collision Detection) technolginak
nevezik.
Ugyanakkor a tl gyakori tkzsek ersen ronthatjk a hlzat teljestmnyt.
Osztott kzegen, amilyen a hubokkal kialaktott hlzat, az tkzsek sokkal
komolyabb problmt jelentenek, mint a kapcsolt hlzatokban.

Az adatkapcsolati rteg (azaz a 2. rteg) definilja az adott kzegen trtn

tovbbtsra elksztett adatok formtumt. Ebben a rtegben kerl szablyozsra
a kzeghozzfrs is. A 2. rteg teremti meg a kapcsolatot a hlzati rteg
szoftveres megvalstsa s az 1. rteg hardveres LAN s WAN technolgii
kztt. Az 1. s 2. rtegben elfordul hibk hatkony kezelshez elengedhetetlen
a kbelezsi szabvnyok, a begyazsi folyamat s a keretformtumok ismerete.
Az 1. rteg mkdkpessgnek ellenrzse utn meg kell llaptani, hogy a hiba a
2. rtegben jelentkezik-e, vagy valamelyik felsbb rtegben. Pldul, ha az lloms
meg tudja pingelni a visszacsatolsi hurok cmt (127.0.0.1), de nem ri el a hlzati
szolgltatsokat, akkor a hiba j esllyel a 2. rtegbeli keretezsben, vagy a hlzati
csatol hibs belltsban keresend. A hlzati analiztorok s ms, hasonl online eszkzk segtsgvel behatrolhat a 2. rtegbeli hiba helye. Egyes esetekben
az eszkzk felismerhetik a 2. rtegben jelentkez hibt, melyrl akr hibazenetet
is kldhetnek a konzolra.
Hardveres Eszkzhibk s Rendszerindtsi Problmk Hibaelhrtsa
A hlzati problmk gyakran egy eszkz jraindtst kveten jelentkeznek. A
rendszer jraindtsa lehet szndkos (pldul egy eszkzfrisstst kveten), vagy
vratlan (pldul ramkimarads utn). A hardveres eszkzhibk s a
rendszerindtsi problmk kezelse megkveteli a Cisco IOS rendszerindtsi
folyamatnak ismerett.
1. Az nellenrzs (POST) s a rendszerbetlt program (bootstrap) futtatsa.
2. A Cisco IOS megkeresse s betltse.
3. Az indtsi konfigurcikat tartalmaz llomny megkeresse s betltse, vagy
belltsi mdba vlts.
A show version parancs kimenetbl megllapthat a hasznlatban lev opercis
rendszer verziszma, valamint megtudhat, hogy a rendszer rendben felismerte-e a
hardver interfszeket.
A show flash parancs a flash memria tartalmt listzza ki, belertve az Cisco IOS
fjlnevt is. A kimenetbl megllapthat a hasznlatban lev s a szabad flash
memria mrete.
A show ip interfaces brief parancs kimenetben az egyes fizikai interfszek
llapota s a hozzjuk rendelt IP-cmek lthatk.
A show running-configuration s a show startup-configuration parancsok
kimenetbl megllapthat, hogy minden utastst felismert-e a rendszer az indtsi
folyamat sorn.
Amikor egy eszkz nem indul el megfelelen, s ezzel hlzatlellst okoz, az
eszkzt ki kell cserlni egy ellenrztten mkdkpes kszlkre a szolgltats
helyrelltsa rdekben. A szolgltats helyrelltst kveten elegend idt kell
sznni a meghibsodott eszkz diagnosztizlsra s javtsra.

A kvetkezkben 5 gyakori rendszerindtsi hiba hibaelhrtsi stratgijt trgyaljuk

meg.
Az eszkz nem jut t az nellenrzsen
Ha az nellenrzs sikertelen, nem jelennek meg zenetek a konzolkpernyn. Az
eszkz tpustl fggen a rendszer LED vagy villog, vagy ms sznre vlt.
Ha az nellenrzs sikertelen, az eszkzt ki kell kapcsolni, a hlzati ramforrsbl
ki kell hzni s el kell tvoltani az sszes interfszmodult. Ezek utn az eszkz
jraindthat. Ha az nellenrzs mg mindig sikertelen, az eszkz javtsra szorul.
Ha az interfszmodulok nlkl sikeres lesz az nellenrzs, akkor valsznsthet,
hogy az egyik modul okozta a hibt. ramtalants utn egyenknt vissza kell
szerelni az interfszmodulokat, s jraindtani a rendszert, hogy a hibs modul
kiszrhet legyen. A hibs modult egy ellenrztten mkdkpes modulra ki kell
cserlni, majd jra kell indtani a kszlket.
Srlt Cisco IOS rendszerkd a flash memriban
Ha a flash memriban trolt rendszerkd megsrlt, vagy hinyzik, a rendszerindt
program nem tall rvnyes, betlthet opercis rendszert. Egyes Cisco
eszkzkn van egy korltozott kpessg opercis rendszer is, melyet az eszkz
betlt, ha nem tall opercis rendszert a flash memriban vagy ms
meghatrozott helyen. Ezt a limitlt rendszerkdot nevezzk betltssegtnek
(Boothelper). A betltssegtk sokszor nem rendelkeznek olyan
szolgltatskszlettel, hogy sikeresen lehessen konfigurcis parancsokat futtatni,
s ezltal helyrelltani az eszkz helyes mkdst. Betltssegt hinyban az
eszkz ltalban ROMmon mdba lp. A ROMmon md parancsaival TFTP
kiszolglrl betlthet egy mkdkpes Cisco IOS fjl.

A rendszer nem ismeri fel a memrit, vagy memriahibt jelez

Elfordulhat, hogy nem ll rendelkezsre kell mret memria az opercis
rendszer kicsomagolshoz s betltshez. Ilyenkor hibazenetek peregnek a
konzolkpernyn, vagy a rendszer folyton jraindul. Lehet, hogy ROMmon mdban
elindthat ilyenkor is az eszkz. Ehhez a CTRL+Break billentykombincit kell
letni rendszerindts kzben. ROMmon mdban, a megfelel parancs hasznlatval
megllapthat a memria llapota. A rendes mkds helyrelltshoz
elkpzelhet, hogy ki kell cserlni, vagy ki kell bvteni a memrit.

A rendszer nem ismeri fel az interfszmodulokat

Ilyenkor a show version parancs kimenetben listzott s hasznlhat interfszek
nem egyeznek meg a fizikailag teleptett interfszekkel. j interfszmodulokat mindig
ellenrizni kell, hogy a kszlken fut IOS tmogatja-e, illetve van-e elg memria a
mkdshez. A hardver hiba biztonsgos felismershez a kszlk ramtalantsa
s a tpcsatlakoz kihzsa utn az interfszmodult jra be kell szerelni a
kszlkbe. Ha jratelepts utn sem ismeri fel a rendszer a modult, ki kell cserlni
egy ellenrztten jl mkdre.
Hibs vagy hinyz konfigurcis llomny
Egyes Cisco kszlkek beptett automatikus teleptsi segdprogramot futtatnak,
ha nem tallnak rvnyes konfigurcis llomnyt. Ez a segdprogram szrsos
TFTP krst kld ki, hogy konfigurcis llomnyt szerezzen. Ms eszkzk azonnal
a kezdeti konfigurcis prbeszdbe lpnek, amit belltsi segdprogramnak vagy
belltsi mdnak is neveznk. Az automatikus teleptsi segdprogramot futtat
kszlkek is belltsi mdba lpnek, ha 5 krs utn egyetlen TFTP kiszolgl
sem vlaszol. A konfigurci betltse vagy ltrehozsa rdekben TFTP vagy kzi
bellts is alkalmazhat. Az eszkzk nem tovbbtanak hlzati forgalmat, amg
helyes konfigurcihoz nem jutottak.
Kbelezsi s Interfszproblmk hibaelhrtsa
A forgalomirnyt interfsz hibk gyakran az els tnetei az 1. s 2. rtegbeli
kbelezsi s kapcsolati hibknak. A hibakeresst rdemes az adott interfsz show
interfaces parancs kimenetn tallhat statisztikinak az ttekintsvel, valamint a
show ip interface brief parancs kimenetn lthat llapot informcik ellenrzsvel
kezdeni!
A show ip interface brief parancs kimenete tmr sszefoglalst tartalmaz az
sszes interfszrl, belertve az interfszek llapott s hozzrendelt IP-cmt is.

up/up llapot - a norml mkdst jelzi, mind a kzeg, mind a 2. rtegbeli

protokoll zemkpes.

down/down llapot - kapcsolati vagy tviteli kzeg problmra utal.

up/down llapot - azt jelzi, hogy az tviteli kzeg megfelelen csatlakozik, de

a 2. rtegbeli protokoll nem mkdik megfelelen, belltsi hibk lehetnek.

Down/down llapothoz vezet gyakori kbelezsi vagy tviteli kzeg hibk:

Meglazult vagy megfeszl kbel - akr egyetlen rintkez rossz csatlakozsa

az ramkr megszakadst okozhatja.

Hibs vgzdtets - ellenrizni kell az rintkezk szabvny szerinti bektst,

s hogy az rintkezk helyesen vannak-e vgzdtetve a csatlakozban.

Srlt soros interfszcsatlakoz - a csatlakoz egyes rintkezi elgrbltek,

vagy hinyoznak.

Szakads vagy rvidzr a vezetkben - ha hibk lpnek fel az ramkrben, az

interfsz nem rzkel megfelel jeleket.

Up/down llapothoz vezet gyakori 2. rtegbeli problmk:

Helytelen begyazsi belltsok.

Az adott interfszen nem rkeznek brenlti jelek.

A show interfaces parancs kimenetben megtallhat:

Ers zaj - Ethernet s soros interfszen rzkelhet sok CRC hiba s kevs
tkzs ers zajra utal. A CRC hibk ltalban az tviteli kzeg vagy a
kbelezs hibjra utalnak. Jellemz hibk: elektromos interferencia,
meglazult vagy srlt kapcsolatok, nem megfelel kbeltpus alkalmazsa.

Sok tkzs - az tkzsek a fl-duplex kommunikcira s az osztott

kzegre jellemzek. A srlt kbelek az tkzsek szmnak
megnvekedshez vezethetnek.

Sok tl kicsi (runt) keret - a tl kicsi keretek szmnak megemelkedst

ltalban egy hibsan mkd hlzati krtya okozza, de elidzheti a sok
tkzshez vezet llapot is.

Ksi tkzs - a helyesen megtervezett s kialaktott hlzatokban soha

nem fordulhat el ksi tkzs. Leggyakoribb elidzi a tl hossz kbelek.
A tves duplex egyeztets is okozhat ksi tkzst.

A LAN kapcsolati hibk elhrtsa

A LAN kapcsolati hibk elhrtsnak els lpse annak ellenrzse, hogy a
felhasznl csatlakozst biztost kapcsolport mkdik-e, s hogy a LED kijelzk
vilgtanak-e. Ha a kapcsol fizikailag hozzfrhet, akkor a legidhatkonyabb
megolds rpillantani a LED kijelzre, amibl kiderl, hogy van-e kapcsolat (zld
fny), vagy hiba van (vrs vagy narancs fny). Az sszekttets mindkt vgn
ellenrizni kell a kapcsolat megltt.
Ha a kapcsolatjelz nem vilgt, meg kell gyzdni a kbel helyes csatlakozsrl az
sszekttets mindkt vgn, s hogy a kbel a megfelel porthoz csatlakozik-e.
Tovbb ellenrizni kell, hogy mindkt eszkz be van-e kapcsolva, s hogy a
rendszerindtsi folyamat hiba nlkl befejezdtt-e. A lengkbeleket ki kell cserlni
ellenrztten j kbelekre, s ellenrizni kell a csatlakozk bektst a kvnt
kapcsolattpusnak megfelelen. Ha a kapcsolatjelz fny tovbbra sem gyullad ki,
ellenrzni kell, hogy a port nincs-e adminisztratv mdon kikapcsolva. A portok
belltsainak megtekintshez a show running-config interface parancs
hasznlhat.
A vilgt kapcsolatjelz nem felttlenl jelenti a kbel tkletes mkdst. A kbel
lehet srlt, ami idszakos teljestmnyproblmkat okozhat.
A kapcsoln kiadott show version s show interfaces parancsok kimenete hasonl
informcit szolgltat a forgalomirnytn kiadott parancsokhoz. A show interface
portazonost counter errors paranccsal egy adott interfsz hibastatisztiki
gyorsan megjelenthetk.
A hibs duplexbellts sokkal jellemzbb a kapcsolkra, mint a
forgalomirnytkra. Sok eszkz automatikusan egyezteti a sebessg- s
duplexbelltsokat. Knnyen ellentmond belltshoz, s gy
csomagvesztshez s tkzshez vezethet, ha a kapcsolat egyik vgn
automatikus egyeztetst, mg a msik vgn kzi belltst alkalmaznak.
A show interface portazonost status parancs segtsgvel megjelenthet, hogy
milyen duplex- s sebessgbelltsok (kzi, vagy automatikus, illetve milyen
konkrt rtk) vannak rvnyben egy adott porton.
Ha az egyeztetsi hiba olyan Cisco eszkzkn jelentkezik, melyeken a Cisco
Discovery Protocol (CDP) engedlyezve van, mindkt eszkz konzolkpernyjn
vagy a naplfjlokban hibazenetek jelennek meg. A CDP hasznos segtsg a
szomdszdos Cisco eszkzk hibinak, port- s rendszerstatisztikinak
ellenrzshez.

A duplex egyeztetsi hibk kijavtsnak legegyszerbb mdja, mindkt eszkz

automatikus egyeztetsre lltsa. Ha az automatikus bellts nem hozn meg a
vrt eredmnyt, akkor kzzel kell belltani az egyez sebessg s duplex rtkeket.
WAN Kapcsolati hibk elhrtsa
WAN kapcsolat jellemzen tvkzlsi szolgltat (TSP - telecommunications service
provider) birtokban lev kszlkek s az tviteli kzeg mkdstl fgg.
A soros interfszek s vonali problmk tbbsgnek felismershez s
megoldshoz elegend a show interfaces serial parancs kimenetbl nyerhet
informci. A soros sszekttetsekre ltalban csomaghibk, belltsi hibk,
begyazsi eltrsek vagy rossz idztsek jellemzk. Mivel a soros WAN
sszekttetsek az idztsi informcit rendszerint CSU/DSU kszlkektl
vagy modemektl kapjk, a soros vonalak hibaelhrtsakor ezeket az eszkzket
is rdemes szmtsba venni. Prototpus hlzatokban a forgalomirnytn
bellthat a DCE rajel-szolgltats, ekkor nincs szksg CSU vagy modem
hasznlatra.
A hatkony WAN kapcsolati hibaelhrtshoz ismerni kell az alkalmazott CSU/DSU
eszkz vagy modem tpust, s a visszahurkolsi md belltsnak mdjt a
tesztelshez.
A show interfaces serial parancs kimenetn a soros vonal llapott jelz sor hat
klnbz llapotot mutathat:

Serial x is down, line protocol is down (DTE mode) - amikor a

forgalomirnyt soros interfsze nem rzkel semmifle jelet a vonalon,
akkor mind a vonalat, mind a 2. rtegbeli protokollt lelltnak tekinti.

Serial x is up, line protocol is down (DTE mode) - amennyiben a soros

interfszre nem rkeznek brenlti jelek, vagy begyazsi hiba van, akkor a 2.
rtegbeli protokollt tekinti lelltnak.

Serial x is up, line protocol is down (DCE mode) - az olyan esetekben,

amikor a forgalomirnyt szolgltatn az rajelet, s az interfszhez DCE
kbel csatlakozik, de nincs belltva rajel, akkor a 2. rtegbeli protokollt
lelltnak tekinti.

Serial xis up, line protocol is up (looped) - bevett gyakorlat, hogy a

kapcsolat tesztelshez visszacsatolsi llapotba helyezik az ramkrt.
Amikor a soros interfsz sajt jelt kapja vissza az ramkrben, akkor
hurkoltnak jelzi a vonalat.

Serial x is up, line protocol is down (disabled) - a magas hibaarny arra

kszteti a forgalomirnytt, hogy az adott vonalat "protokoll zemen kvl"
llapotba helyezze. Az ilyen hiba ltalban hardveres hibra vezethet vissza.

Serial x is administratively down, line protocol is down - egy interfsz

akkor van adminisztratv lezrt llapotban, ha a konfigurcijban szerepel a
shutdown utasts. A hiba kijavtshoz rendszerint csak az szksges, hogy
interfszkonfigurcis mdban kiadjuk a no shutdown parancsot. Ha az
interfsz nem kapcsol fel a no shutdown parancs hatsra, ellenrizzk a
konzolon, hogy nem jelent-e meg dupliklt IP-cmre utal hibazenet.
Dupliklt IP-cm esetn ki kell javtani a hibt, majd jra ki kell adni a no
shutdown parancsot.

Serial x is up, line protocol is up - az interfsz az elvrsoknak megfelelen

mkdik.

3. Rtegbeli mkds s IP cmzs Ismtls

A 3. rtegben (azaz a hlzati rtegben) mkd protokollok nem ktdnek egy adott
tviteli kzeghez, sem a 2. rtegbeli keretformtumokhoz. Ugyanaz a 3. rtegbeli
protokoll mkdhet Ethernet, vezetk nlkli, soros vagy brmi ms 2. rtegbeli
megvalsts fltt is. Egyazon 3. rtegbeli hlzat llomsait tbbfle 1. s 2.
rtegbeli technolgia is sszektheti. Az OSI modell 3. rtegnek elsdleges
feladata a hlzati cmzs s a forgalomirnyts megvalstsa. A 3. rtegbeli
hlzatokat logikai hlzatoknak nevezzk, mivel megvalstsuk tisztn szoftver
segtsgvel trtnik.
A mai hlzatok tbbsge a TCP/IP protokollkszlet megvalstsval oldja meg az
llomsok kzti informcicsert. ppen ezrt a 3. rteg hibaelhrtsa fleg az IPcmzsi problmkra s az irnytprotokollokra koncentrl.
A hlzati teljestmnyproblmk zme rosszul megtervezett s kialaktott IP-cmzsi
smkra vezethet vissza.
A 3. rtegben minden csomagnak hordoznia kell a forrs- s a clrendszer cmt. Az
IPv4 rendszer 3. rtegbeli fejrsze tartalmazza a forrs s a cl 32-bites cmt.
Egy egyszer IP-hlzat kialaktshoz elegend, ha kzvetlenl sszekapcsolunk
kt llomst, melyekhez ugyanabbl az alhlzatbl rendelnk IP-cmet, s azonos
alhlzati maszkot adunk.
A klnll 3. rtegbeli IP-hlzatok lnyegben IP-cmtartomnyokat jelentenek. A
hlzatok hatrait a cm hlzati eltagjt alkot bitek szma hatrozza meg. Az
klszably egyszer: minl hosszabb a hlzati eltag a cmben, annl kevesebb
egyedi cmet lehet llomsoknak kiosztani az adott IP-hlzatban.

A cmtartomny az llomscmet alkot bitek szmtl s pozcijtl fgg. Tegyk

fel pldul, hogy a 192.168.1.0/24 hlzatban 3 bitet klcsnvesznk alhlzatok
kialaktsra. gy 5 bit marad az llomscmzsre. 8 alhlzatot kapunk (2^3=8),
mindegyikben 30 llomssal (2^5 - 2 = 30).
Akkor beszlnk tlapold alhlzatokrl, ha egyes IP-cmek vagy szrsi cmek
kt klnll alhlzatnak is a tagjai. Az tlapolds oka ltalban a rossz tervezs,
vagy a vletlenl hibsan megadott alhlzati maszk, illetve hlzati eltag. Az
tlapold cmzs nem minden esetben vezet hlzatlellshoz. A hibsan belltott
alhlzati maszk helytl fggen tbbnyire csak nhny llomst rint a problma.
Ha egy interfsz adminisztratv lezrt llapotban marad a no shutdown parancs
kiadsa utn, az tbbnyire IP-cmzsi problmra utal.
Egyetlen rosszul belltott alhlzati maszk is okozhat nhny llomson
hlzatelrsi nehzsgeket. A rosszul belltott alhlzati maszkok klnfle
tneteket mutathatnak, amelyek olykor nehezen azonosthatk.
A rendszergazdk gyakran albecslik a lehetsges nvekedst az alhlzatok
tervezsekor.
Tl sok lloms jelenltre utal az alhlzatban, ha egyes llomsok nem kapnak IPcmet a DHCP kiszolgltl.
Amikor egy Microsoft Windows opercis rendszert futtat szmtgp nem kap IPcmet a DHCP kiszolgltl, automatikusan vlaszt magnak egyet a 169.254.0.0
hlzatbl. A tnet jelentkezsekor ellenrizni kell a show ip dhcp binding
paranccsal, hogy van-e szabad, kioszthat cm a DHCP kiszolgln.
A tl kevs IP-cm msik jellemz tnete a dupliklt IP-cmre utal hibazenet az
llomson. Ha a DHCP brleti ideje akkor jr le, amikor az azt birtokl lloms ki
van kapcsolva, akkor a cm visszakerl a kioszthat cmek kszletbe, gy
kioszthatv vlik egy msik szmtgp szmra. Amikor a cm eredeti
brljt jra bekapcsoljk, az elszr megprblja megjtani a korbbi IP
cmt. Ebben az idpillanatban mindkt Microsoft Windows rendszert futtat lloms
hibazenetet jelent meg a dupliklt cmek miatt.
DHCP s NAT problmk
Fggetlenl attl, hogy a DHCP szolgltats egy dediklt kiszolgln, vagy a
forgalomirnytn fut, a hibaelhrts els lpse a fizikai kapcsolat ellenrzse.
Ha a szolgltats a forgalomirnytn fut, a show interfaces paranccsal ellenrizhet
az interfsz mkdse. A lelltott llapotban lev interfszek nem tovbbtanak
semmilyen hlzati forgalmat, gy DHCP krsekre sem vlaszolnak.
Kvetkez lps a DHCP kiszolgl belltsainak ellenrzse, klnsen, hogy vane elegend kioszthat IP-cme. Ezek utn a cmtkzsek vizsglat kvetkezik.
Cmtkzs akkor is elfordulhat, ha van elegend cm a DHCP cmkszletben.
Cmtkzs keletkezhet pldul, ha egy llomson olyan cm van statikusan
belltva, mely szerepel a DHCP kioszthat cmei kzt is.
A show ip dhcp conflict paranccsal kilistztathat az sszes olyan cmtkzs,
melyet a DHCP kiszolgl regisztrlt. Cmtkzs esetn az rintett cm kikerl a
kioszthat cmek halmazbl, s mindaddig vissza sem kerl, amg a rendszergazda
fel nem oldja az tkzst.

lltsunk be statikus IP-cmet, alhlzati maszkot s az alaprtelmezett tjrt az

llomson. Ha az lloms nem fr hozz a hlzat erforrsaihoz, akkor minden
bizonnyal nem a DHCP szolgltats felels a hibrt. Ezen a ponton a hlzati
kapcsolat hibaelhrtsra van szksg.
A DHCP alapveten zenetszrst alkalmaz protokoll, ami azt jelenti, hogy a
DHCP kiszolglnak elrhetnek kell lennie szrsos zenetekkel. Tekintve, hogy a
forgalomirnytk ltalban nem tovbbtjk a szrsos forgalmat, a DHCP
kiszolglnak vagy az llomssal megegyez helyi hlzaton kell lennie, vagy a
forgalomirnytn be kell lltani a szrsos zenetek tovbbtst.
A forgalomirnytk az ip helper-address parancs segtsgvel konfigurlhatk a
szrsos zenetek, gy a DHCP krsek tovbbkldsre is egy meghatrozott
kiszolglra. A parancs hatsra a forgalomirnyt egyedi cmekre cserli a
szrsos clcmeket a csomagban:
Router(config-if)# ip helper-address x.x.x.x
A parancs kiadsa utn az sszes szrsos zenet (kztk a DHCP krsek is)
a parancsban megadott IP-cmmel rendelkez kiszolglhoz kerlnek.
Amikor egyik lloms sem kap IP-cmet a msik hlzaton tallhat DHCP
kiszolgltl, ellenrizni kell az ip helper-address bellts helyessgt a
forgalomirnytn.

Ha a bels hlzat llomsai privt cmmel rendelkeznek, az llomsok csak

NAT segtsgvel tudnak kommuniklni a nyilvnos hlzattal.
A NAT problmk legjellemzbb tnete, hogy az llomsok nem rik el az internetes
oldalakat. Hromfle cmfordtst klnbztetnk meg: statikus, dinamikus s
PAT (port address translation - port alap cmfordts) A kt legjellemzbb
belltsi hiba mindhrom fajtt rinti.
A bels s kls interfszek hibs kijellse
A NAT mkdse szempontjbl alapvet fontossg, hogy a megfelel interfszek
legyenek bels s kls interfszknt kijellve. A legtbb NAT megvalstsban a
bels interfsz kapcsoldik a privt cmteret hasznl helyi hlzathoz. A kls
interfsz kapcsoldik a nyilvnos hlzathoz, ami rendszerint egy internetszolgltat
hlzata. Ezek a belltsok a show running-config interface paranccsal
ellenrizhetk.
Helytelen IP-cmbellts az interfszen vagy rossz NAT cmtartomny
A legtbb NAT megvalstsban a NAT cmtartomnynak s a statikus
cmfordtsnak ugyanabbl a tartomnybl szrmaz IP-cmeket kell hasznlnia,
mint amibe a kls interfsz IP-cme esik. Ellenkez esetben a cmfordts
megtrtnik, de a rendszer nem tall tvonalat a lefordtott cmhez. Amikor a
cmfordts a kls interfsz cmt hasznlja PAT esetn, ellenrizni kell, hogy az
interfsz cme a megfelel hlzathoz tartozik, s helyes alhlzati maszkkal
rendelkezik.

Tovbbi problmt jelenthet, ha dinamikus NAT vagy PAT hasznlata esetn a kls
felhasznlk nem rik el a bels erforrsokat. Ha kls felhasznlknak el kell
rnik bizonyos kiszolglkat a bels hlzaton, akkor ezekhez statikus
fordtst kell alkalmazni.

A NAT mkds ellenrzsben az egyik leghasznosabb parancs a show ip nat

translations. Az rvnyben lev fordtsok megtekintse utn a lista a clear ip nat
translation * paranccsal trlhet. Megjegyzend, hogy az rvnyben lev IP
cmfordtsok trlse fennakadsokat okozhat a felhasznli
szolgltatsokban. A trlst kveten jbl alkalmazni kell a show ip nat
translations parancsot! Ha j cmfordtsok jelennek meg a listban, elkpzelhet,
hogy valami ms hiba miatt nem rhet el az internet.
Ebben az esetben ellenrizni kell, hogy van-e rvnyes tvonalbejegyzs az internet
fel a lefordtott cmekhez! A traceroute paranccsal megjelenthet a lefordtott
csomagok tvonala.
Ha van r md, ellenrizni kell az tvonalat az egyik lefordtott cmre egy kls
hlzaton tallhat tvoli szmtgprl. Ez segthet kivlasztani azt az eszkzt,
amely a hibt okozhatja. Elkpzelhet, hogy forgalomirnytsi problma van azon
a forgalomirnytn, ahol az tvonalkvets elakadt.

3. Rtegbel irnytsi problmk

A 3. rteg gyakorlatilag az llomsok s hlzatok cmzst, valamint az ezek kzti
forgalomirnytst vgz protokollokat definilja. A legtbb hlzatban klnbz
tpus tvonalak vannak egyszerre jelen: statikus, dinamikus s
alaprtelmezett tvonalak. A hibk forrsa sokfle lehet: rossz kzi
tvonalbejegyzsek, irnytprotokollok belltsi s mkdsi hibi, valamint az OSI
alsbb rtegeinek hibi.
Szmos tnyeznek ksznheten a hlzat llapota gyakran vltozhat:

Egy interfsz meghibsodik.

A szolgltat megszaktja az sszekttetst.

A rendelkezsre ll svszlessg tlterheltt vlik.

Egy rendszergazda helytelen konfigurcit kszt.

A 3. rtegbeli problmk feltrsnak legfontosabb eszkze a show ip route

parancs, amely kilistzza az sszes olyan tvonalat, amelyet a forgalomirnyt
felhasznl a csomagok tovbbtsra. A forgalomirnyt-tbla az albbi forrsokbl
szrmaz bejegyzseket tartalmaz:

Kzvetlenl kapcsold hlzatok

Statikus tvonalak

Dinamikus forgalomirnyt protokollok

Az irnytprotokollok az irnytsi mrtk alapjn vlasztjk ki az elnyben

rszestett tvonalakat.
A kzvetlenl kapcsold hlzatok mrtke 0, csakgy mint a statikus tvonalak
alaprtelmezett mrtke. A dinamikus tvonalak irnytsi mrtke
irnytprotokollonknt vltoz.
Ha egy clhlzat fel tbb tvonal is ltezik, a legkisebb adminisztratv tvolsg
(administrative distance - AD) tvonal kerl be az irnyttblba.

Kzvetlenl kapcsold hlzatok problmi

A kzvetlenl kapcsold hlzatok automatikusan bekerlnek az irnyttblba,
mihelyt az interfsz IP-cmet kap, s a no shutdown parancs vgrehajtdik. Ha egy
kzvetlenl kapcsold hlzat nem jelenik meg az irnyttblban, a show
interfaces vagy a show ip interface brief paranccsal ellenrizhet, hogy rendben
van-e az interfsz IP-cme, illetve up/up llapotban van-e.
Statikus s alaprtelmezett tvonalak problmi
Szinte mindig belltsi problma van a httrben, ha egy statikus vagy egy
alaprtelmezett tvonal nem jelenik meg az irnyttblban. Statikus s
alaprtelmezett tvonalak megadhatk a kimen interfsz vagy a kvetkez ugrs
IP-cmnek megnevezsvel. A statikus tvonalak hibja gyakran abbl ered, hogy a
megadott kvetkez ugrs IP-cme nem esik egyik kzvetlenl kapcsold hlzat
tartomnyba sem. Mindig ellenrizni kell a konfigurcis parancsok helyessgt s
hogy a hasznlt kimen interfszek up/up llapotban vannak-e.
Dinamikus tvonalak problmi
Mivel a dinamikus irnytprotokollok irnytsi informcikat cserlnek a hlzat
tbbi forgalomirnytjval, a clhoz vezet tvonalon lv brmelyik
forgalomirnyt hibs belltsa eredmnyezheti egy-egy tvonal kiesst.

A dinamikus forgalomirnyts hibi

A dinamikus forgalomirnyt protokollok automatikusan frisstseket kldenek a
hlzat ms forgalomirnytinak. Ha a dinamikus forgalomirnyts engedlyezve
van, a forgalomirnyt mindig frissti az irnyttbljt, amikor egy szomszdos
forgalomirnyttl kapott frisstsben vltozst szlel.
A RIP protokollal kapcsolatos hibk kijavtsakor ellenrizni kell a verzi
belltst s konfigurcis parancsokat.
Tancsos a forgalomirnyt protokollnak ugyanazt a verzijt hasznlni az sszes
forgalomirnytn. Br a RIPv1 s a RIPv2 kompatibilis, a RIPv1 nem tudja kezelni
az osztly nlkli forgalomirnytst (CIDR) s a vltoz hosszsg alhlzati
maszkokat (VLSM). A RIPv1 s a RIPv2 egyidej futtatsa ugyanazon a hlzaton
problmkat okozhat. Mg a RIPv2 automatikusan figyeli a RIPv1 s a RIPv2
frisstseket is, a RIPv1 nem fogadja a RIPv2 frisstseit.
Abbl is forgalomirnytsi problmk szrmazhatnak, ha hinyoznak vagy hibsak
a network utastsok. A network utastsok szerepe ketts:

Engedlyezi, hogy az irnytprotokoll minden olyan interfszen frisstseket

kldjn s fogadjon, melynek IP-cme a network parancs ltal megadott
hlzatba esik.

A kikldtt frisstseiben feltnteti ezt a hlzatot.

A hinyz, vagy hibs network utasts, teht hibs irnytsi frisstseket

generlhat, illetve megakadlyozhatja, hogy a forgalomirnyt adott interfszn
frisstseket kldjn s fogadjon.
A TCP/IP ping s traceroute segdprogramja hasznlhat a kapcsolat
ellenrzshez. A telnet segtsgvel egyrszt ellenrizhet a kapcsolat, msrszt
tvoli eszkzk is konfigurlhatk.
A debug parancsok dinamikus mkdsek, vals idej informcit szolgltatnak a
hlzati forgalomrl s a protokollok kommunikcijrl. Pldul a debug ip rip
parancs a RIP irnytprotokoll zenetvltsait mutatja meg.
A debug parancsok komoly CPU erforrsokat ktnek le, gy lassthatjk, vagy akr
meg is llthatjk a forgalomirnyt norml mkdst. ppen ezrt a debug
parancsokat csak a hibafeltrsban szabad hasznlni, a forgalomirnyt
norml mkdsnek monitorozsra nem ajnlott.

4. Rtegbeli problmk javtsa

A 4. rteg felels az adatcsomagok szlltsrt, s definilja az egyes
alkalmazsok elrshez hasznlatos portszmokat. A 4. rtegbeli problmk a
hlzat hatrn lpnek fel, ahol a biztonsgi technolgik ellenrzik s mdostjk a
forgalmat. Szmos problmt okoznak a tzfalak, amelyeket gy konfigurlnak,
hogy a portszmok alapjn tiltsk a forgalmat, amelyet egybknt tovbbtniuk
kellene.
A 4. rteg az UDP s a TCP forgalmat tmogatja. Egyes alkalmazsok kizrlag az
egyiket hasznljk, msok mindkettt. ppen ezrt a portszmokon alapul
forgalomszrsnl meg kell nevezni a protokollt is.
A tzfalakat gyakran gy konfigurljk, hogy az explicit permit utastsokkal
engedlyezett forgalom kivtelvel minden ms forgalmat tiltsanak.
A 4. rtegre jellemz hibajelensg, hogy a felhasznlk bizonyos webes
szolgltatsokat (pldul video- s audioszolgltatsokat) nem rnek el.
Ellenrizni kell, hogy a tzfalon engedlyezett ill. tiltott portok biztostjk-e az
alkalmazsok megfelel mkdst.
A fels rtegek hibinak elhrtsa
A felsbb rtegbeli protokollok tbbnyire olyan felhasznli szolgltatsokat
nyjtanak, mint a hlzatfelgyelet, a fjltvitel, az elosztott szolgltatsok, a
terminlemulci s az elektronikus levelezs. A felsbb rtegekben mkd
protokollokat szoks TCP/IP alkalmazsi rtegbeli protokolloknak is nevezni, mivel a
TCP/IP modell alkalmazsi rtege az OSI modell fels 3 rtegt egyesti.
Az albbi listban lthatk a legismertebb, leggyakrabban megvalstott TCP/IP
alkalmazsi rtegbeli protokollok:

Telnet - lehetv teszi terminlkapcsolat kialaktst egy tvoli llomssal.

HTTP - webes felleten trtn adatcsert (szvegek, kpek, hangok, videk

s ms multimdis tartalmak) tesz lehetv.

FTP - TCP alap, interaktv fjltvitelt tesz lehetv az llomsok kztt.

TFTP - egyszer, de interaktv fjltvitelt tesz lehetv UDP fltt, jellemzen

llomsok s hlzati eszkzk kztt.

SMTP - alapvet levltovbbtsi szolgltatst nyjt.

POP3 - kapcsolatot teremt a levelez-kiszolglval s letlti a leveleket a

levelezprogramba.

IMAP4 - lehetv teszi, hogy a levelezprogramok letltsk a leveleket

kiszolglrl, s kldjenek leveleket a kiszolglra.

SNMP - a felgyelt eszkzkrl gyjt informcit.

NTP - pontos id szolgltatst nyjt a hlzati eszkzknek s llomsoknak.

DNS - a hlzati neveket s az IP-cmeket trstja.

SSL - a HTTP tranzakcik titkostst s biztonsgt garantlja.

SSH - kiszolglk s hlzati eszkzk biztonsgos tvoli elrst teszi

lehetv.

A felsbb rtegek hibaelhrtst is az alapvet kapcsolati hibk kiszrsvel

rdemes kezdeni.
Az "oszd meg s uralkodj" elv alapjn clszer a 3. rtegbeli kapcsolat
ellenrzsvel kezdeni a hibaelhrtst.
1. lps Ping zenet kldse az lloms alaprtelmezett tjrjhoz.

2. lps A vgpontl-vgpontig tart kapcsolat ellenrzse.

3. lps Az irnytsi belltsok ellenrzse.

4. lps A NAT megfelel mkdsnek ellenrzse.

5. lps A tzfalszablyok ellenrzse.

Ha mindez megtrtnt, s a vgponttl-vgpontig tart kapcsolat mkdkpes,

mikzben a vgberendezs mg mindig nem mkdik megfelelen, akkor a hibt a
felsbb rtegekben kell keresni.
A felsbb rtegbeli hibkrt legtbbszr a rossz gyflprogram-belltsok a
felelsek. Az gyfl nem jut hozz a szksges informcihoz, ha rossz levelezvagy az FTP kiszolgl van megadva. Ha tbb alkalmazst is rintett, a felsbb
rteg hibjt a DNS szolgltats krnykn rdemes keresni.
A Windows nslookup segdprogramjval ellenrizhet, hogy a DNS szolgltats
hibtlanul mkdik-e, s fel tudja-e oldani a kiszolglk IP-cmeit. Ha a DNS
szolgltats nem az elvrsoknak megfelelen mkdik, ellenrizni kell az llomson
a DNS kiszolgl cmnek belltst.
Ha a DNS kiszolgl zemel s elrhet, ellenrizni kell a DNS znabelltsok
hibit. A hibt gyakran a cmek s a tartomnynevek elrsa okozza a konfigurcis
fjlokban.
Felsbb Rtegbeli Kapcsolat Ellenrzse Telnetrl
Segtsgvel a rendszergazdk gy kapcsoldhatnak a hlzati eszkzkhz, s
adhatnak ki parancsokat, mintha helyileg csatlakoznnak. Sikeres bejelentkezs egy
eszkzre telnettel, egyttal az alsbb rtegek megfelel mkdst is jelzi.
Mindazonltal, a telnet nem biztonsgos protokoll, vagyis minden tovbbtott
informci knnyedn lehallgathat s olvashat.

Ha a legkisebb eslye is megvan, hogy illetktelenek lehallgatjk a hlzati

kommunikcit, akkor telnet helyett a Secure Shell (SSH) protokoll hasznlata
ajnlott. Az SSH lnyegesen biztonsgosabb mdja a tvoli eszkzk elrsnek.
Az SSH gyflprogram nem minden opercis rendszernek rsze, ebben az esetben
a rendszergazdnak kln kell beszereznie, teleptenie s konfigurlnia.
SSH engedlyezse
(config)#hostnamerouter1
(config)#ipdomainnameteszt.hu
(config)#cryptokeygeneratersa
vagy:
(config)#cryptokeygeneratersageneralkeysmodulus1024
(config)#ipsshversion1|2
esetlegmg:
(config)#ipsshtimeout60(mpbenmegadva)
(config)#ipsshauthenticationretries2
(config)#usernameadminprivilege15password0cisco
(config)#linevty015
(configline)#loginlocal
(configline)#transportinputssh
(configline)#privilegelevel15
Kulcstrlse:
(config)#cryptokeyzeroizersa