Professional Documents
Culture Documents
Termkgyrtk
Nagykereskedelmi lncok
Krhzak
Iskolarendszerek
Hozzfrsi rteg
Egy hlzati eszkz, pldul kapcsol segtsgvel lehetv teszi, hogy tbb
lloms kapcsoldhasson egymshoz.
Elosztsi Rteg
Kzponti Rteg
pletszint hozzfrs:
Ez a hozzfrsi rteg 2. rtegbeli vagy 3. rtegbeli kapcsolkkal valstja meg a szksges
portsrsget. Itt kerlnek megvalstsra a VLAN-ok s az plet elosztsi rtege fel
vezet trnkvonalak. Az plet elosztsi rtegben elhelyezett kapcsolk fontos jellemzje a
redindancia.
plet szint elosztsi rteg:
A LAN jellemzi:
A WAN Jellemzi:
Intranetek s Extranetek
A vllalati hlzatok LAN s WAN technolgikat is alkalmaznak. Ezek a hlzatok
szmos olyan szolgltatst is nyjtanak, melyeket jellemzen az internethez
szoktunk kapcsolni. Ilyen szolgltatsok pldul az albbiak:
Web
FTP
Telnet/SSH
vitafrumok
Forgalomramlsi mintzatok
A hlzat megtervezsnek egyik fontos szempontja, hogy meghatrozzuk az egyes
clterletek fel irnyul forgalom mrtkt s forrst. Az albbi forgalomtpusoknak
pldul alapveten a felhasznlk hlzatn bell kell maradnia:
fjlmegoszts
nyomtats
rendszerfrisstsek
tranzakci-feldolgozs
Telefonos Tvmunka
A telefonos tvmunka, ms nevn e-munkavgzs, lehetv teszi, hogy a
munkavllalk a klnbz telekommunikcis lehetsgeket kihasznlva otthonrl,
vagy ms, munkahelyktl tvoli helysznrl vgezzk munkjukat. Az ilyen, tvolrl
dolgoz munkatrsat nevezzk tvmunksnak.
A munkavllal idt s pnzt takart meg, radsul nem terheli a napi utazgatssal
egytt jr stressz. Otthonukban kiltznik sem kell, gy tovbbi pnzt takarthatnak
meg a munkaltzeten. Otthon dolgozva a munkavllalk tbb idt tlthetnek
csaldjukkal.
Vannak munkakrk, melyekben nem elnys a tvmunka. Egyes pozcik
egyszeren ignylik az adott idsvban a szemlyes irodai jelenltet. Mgis egyre
tbb vllalkozs s mind gyakrabban l a technolgia biztostotta e-munkavgzs
lehetsgvel.
A hatkony tvmunka megvalstsnak vannak eszkzszksgletei. Ilyenek pldul
az albbiak:
Elektronikus levelezs
Csevegs
Munkaasztal- s alkalmazs-megoszts
FTP
Telnet
VoIP
Videokonferencia
Videokonferencia
Lehetv teszi, hogy tvoli helyeken tartzkod rsztvevk szemtl-szembe,
egymst ltva beszlgethessenek.
E-mail
Lehetv teszi egy rott zenet eljuttatst egy tvoli felhasznlhoz, aki ksbb
vlaszolni tud arra.
Azonnal zenetkld alkalmazs
Lehetv teszi azonnali zenetek validej kldst a tvoli felhasznlnak, aki
rgtn tud azokra vlaszolni.
Alkalmazs-megoszts
Lehetv teszi, hogy egyszerre tbb felhasznl is ugyanazt az alkalmazst
hasznlja.
FTP
Fjltvitelt tesz lehetv szmtgpek kztt.
Telnet
Tvoli kapcsoldst s terminlkapcsolatot biztost tvoli eszkzkhz.
VoIP
Vals idej beszlgetst tesz lehetv internetes technolgik alkalmazsval.
Virtulis Magnhlzatok
A tvmunksok ltal leggyakrabban megtapasztalt nehzsg a tvmunkhoz
hasznlatos eszkzk adatbiztonsgi problmja. A nem biztonsgos eszkzk
hasznlata miatt a tovbbtott informci lehallgathat vagy mdosthat.
Az adott feladatot ellt alkalmazsok kzl a biztonsgos tvitelt alkalmaz
vltozatokat hasznljuk. Telnet helyett pldul hasznljunk SSH klienst! Sajnos nem
minden esetben ll rendelkezsre biztonsgos alkalmazs, gy sokkal kzenfekvbb
megolds, hogy titkostsunk minden forgalmat a tvoli helyszn s a vllalati hlzat
kztt virtulis magnhlzatot hasznlva (VPN Virtual Private Network).
A VPN-eket szoks alagtnak (angolul tunnel) is nevezni. A hasonlsg
megrtshez gondolatban hasonltsuk ssze kt pont kztt a fldalatti alagt s a
fldfelszni nyilvnos tvonal lehetsgeit! Minden, ami az alagutat hasznlja a kt
pont kztt, az vdve van, s lthatatlan. Itt az alagt jelkpezi a VPN begyazst s
a virtulis alagutat.
zletbiztonsgi terv:
Az zletbiztonsgi terv (Business Security Plan, BSP) tartalmazza a fizikai-,
rendszer- s szervezeti szint adatvdelmi intzkedseket. Az ltalnos biztonsgi
tervnek tartalmaznia kell egy informatikai rszt, amely lerja, hogy a szervezet
hogyan vdi a hlzatt s informcis rtkeit.
Hlzat-karbantartsi terv:
A hlzat-karbantartsi terv (Network Maintenance Plan, NMP) a hlzat folyamatos
s hatkony zemeltetsvel biztostja az zletfolytonossgot. A hlzatkarbantartsi munkkat konkrt idszakokra (ltalban jszakra vagy htvgre)
kell temezni, hogy a lehet legkisebb legyen az zletmenetre gyakorolt hatsa.
Szolgltatsi szerzds:
A szolgltatsi szerzds (Service Level Agreement, SLA) az gyfl s a szolgltat
vagy ISP kztt ltrejtt megegyezs, amely olyan tteleket rgzt, mint pldul a
hlzat rendelkezsre llsa vagy a problmk kezelsre vllalt vlaszid.
Egy vllalat hlzati kzpontjba kbelek ezrei futnak be, illetve onnan ki.
Strukturlt kbelezssel olyan szervezett kbelrendszer alakthat ki, amely
knnyen tlthat a teleptk, hlzati rendszergazdk s brmely ms, a
kbelekkel dolgoz szakemberek szmra.
A megfelel kbelezsi mdszerek biztostjk a kbelek vdelmt a fizikai
srlsekkel s az elektromgneses zavarokkal (EMI) szemben, ami nagymrtkben
cskkenti a felmerl problmk szmt.
A hibaelhrts megknnytshez az albbi feladatokat clszer elvgezni:
A forgalomirnyt
A vllalati hlzat elosztsi rtegnek egyik fontos eszkze a forgalomirnyt.
Forgalomirnyts nlkl a csomagok nem lennnek kpesek elhagyni a helyi
hlzatot.
A forgalomirnyt hozzfrst biztost ms magnhlzatokhoz, valamint az
internethez is. A forgalomirnyt helyi interfsznek IP-cmt meg kell adni a
helyi hlzat sszes llomsnak IP-belltsainl. A forgalomirnyt ezen
interfszt alaprtelmezett tjrnak nevezzk.
A forgalomirnytk szerepe a hlzatban kulcsfontossg, mivel sszekttetst
biztostanak egy vllalati hlzat tbb telephelye kztt, redundns tvonalakat
knlnak, s biztostjk az ISP-k kztti kapcsolatot az interneten keresztl.
A forgalomirnyt pldul jracsomagolja az Ethernet hlzatbl szrmaz
csomagokat a soros begyazsnak megfelelen.
A forgalomirnyt a cl IP-cm hlzati rszt hasznlja, hogy a csomagokat a
megfelel cl fel irnytsa. Ha megsznik egy sszekttets vagy torlds
alakul ki, akkor tartalktvonalat jell ki.
A forgalomirnytk ms hasznos funkcikat is elltnak:
Terminlemulcis gyflprogram
Konfigurcikezels:
enable
configure terminal
erase startup-config
Globlis belltsok:
hostname
banner motd
enable
password
enable-secret
reload
Vonali belltsok:
line con
Interfszbelltsok:
interface tpus/szm
line aux
description
line vty
ip address
no shutdown
clock rate
begyazs (encapsulation)
Forgalomirnytsi belltsok:
router
network
ip route
A kapcsol
A hierarchikus tervezsi modell mindhrom rtege tartalmaz ugyan kapcsolkat s
forgalomirnytkat, a hozzfrsi rtegben ltalban tbb a kapcsol. A kapcsolk
f feladata, hogy biztostsk az llomsok (pl. vgfelhasznli munkallomsok,
kiszolglk, IP-telefonok, webkamerk, hozzfrsi pontok s forgalomirnytk)
kztti sszekttetetst. Ez azt jelenti, hogy egy vllalatnl lnyegesen tbb
kapcsolra van szksg, mint forgalomirnytra.
A nagyteljestmny vllalati s szolgltati kapcsolk tmogatjk a 100 Mbit/sectl 10 Gbit/sec-ig terjed, klnbz sebessg portokat.
Egy vllalati MDF kapcsol gigabites optikai vagy rzkbellel csatlakozik az IDF
kapcsolkhoz. Az IDF kapcsolknak ltalban mindkt RJ-45 Fast Ethernet portra
szksgk van, de kell legalbb egy gigabites Ethernet port is (rz vagy optikai) az
MDF kapcsolhoz trtn felcsatlakozshoz. A nagyteljestmny kapcsolk
nmelyike modulris portokkal rendelkezik, amelyek szksg esetn cserlhetk.
A kapcsolk portsrsge szintn lnyeges szempont. Vllalati krnyezetben, ahol
felhasznlk szzainak s ezreinek kell csatlakozni valamilyen kapcsolhoz, egy 48
portos, 1RU magassg kapcsol portsrsge nagyobb, mint egy 24 portos, 1RU
magassg kapcsol.
Konfigurcikezels:
enable
configure terminal
erase startup-config
delete flash:vlan.dat
reload
Vonali belltsok:
line con
line vty
Globlis belltsok:
banner motd
enable password
hostname
enable-secret
ip default-gateway
Interfszbelltsok:
interface
type/number (vlan1)
ip address
speed / duplex
switchport portsecurity
Csatlakozs ms kapcsolkhoz
Csatlakozs ms hlzatokhoz
Kapcsolsi mdszerek
A kt mdszer a trol-s-tovbbt, illetve a kzvetlen tovbbts. Mindkt
mdszernek lteznek elnyei s htrnyai.
Trol-s-tovbbt
Ennl a kapcsolsi mdnl a kapcsols az egsz keretet beolvassa s eltrolja a
memriban, mieltt kiklden a cleszkz fel. A ciklikus redundancia ellenrz
rtk (cyclic redundancy check, CRC) kiszmtsval ellenrzi az adatbitek
rvnyessgt. Ha a kiszmtott rtk egyezik a CRC mez tartalmval, akkor a
kapcsol tovbbtja a keretet a cllloms fel. Ha a CRC rtkek nem egyeznek,
akkor a kapcsol nem tovbbtja a keretet. A CRC mez az Ethernet keret
keretellenrz (frame check sequence, FCS) mezjben tallhat.
Br ez a mdszer ugyan megakadlyozza a hibs keretek tovbbtst, nagy
htrnya, hogy a lehet legnagyobb ksleltetssel jr. Ennek kvetkeztben ezt a
kapcsolsi mdot leginkbb olyan krnyezetben hasznljk, ahol igen gyakoriak
pldul az elektromgneses interferencia (EMI) okozta tvitelhibk.
Kzvetlen kapcsols
Ennek a mdszernek tovbbi kt alvltozata ltezik: a gyorstovbbts s a
tredkmentes kapcsols. Mindkt esetben a kapcsol a teljes keret
megrkezse eltt mr elkezdi a keret tovbbtst. Mivel ebben az esetben a
kapcsol nem szmtja ki s nem ellenrzi a CRC rtket, srlt keretek is
tovbbtsra kerlhetnek.
A gyorstovbbts a kapcsols leggyorsabb mdja. A kapcsol amint elolvassa a
cl MAC-cmet, azonnal elkezdi a keret tovbbtst a megfelel clportra.
Ennek a mdszernek a legkisebb a ksleltetse, de tkzstredkeket s srlt
kereteket egyarnt tovbbt. Egy stabil, kis hibaarny hlzatban ez a
legmegfelelbb kapcsolsi mdszer.
A tredkmentes kapcsolsnl a kapcsol a tovbbts eltt megvrja a keret
els 64 bjtjt, majd tkapcsolja a keretet a clportra. A legrvidebb rvnyes
Ethernet keret ugyanis 64 bjt hossz. Kisebb keretek ltalban tkzsek
kvetkeztben jnnek ltre s ezeket tkzstredknek (runt) hvjuk.
A portvdelem engedlyezse
A telnet letiltsa
A forrsport azonostja
Port azonost:
Minden port esetn egyedi rtket tartalmaz
A Port 1/1 esetn a 0x8001 rtket tartalmazza, mg a Port 1/2 esetn a 0x8002 rtket, stb.
Gykrponti hidak
Az STP mkds els lpseknt a kapcsolk meghatrozzk a hlzat
kzponti pontjt. Az STP ezt a kzponti pontot, ms nven gykrponti hdat
Az STP hrom klnbz port tpust definil: gykrponti port, kijellt port s
lezrt port.
Gykrponti port
Egy kapcsol azon portja amelybl a legkisebb kltsg tvonal vezet a gykrponti
kapcsolhoz. A kapcsolk a gykrponti kapcsolhoz vezet tvonal
sszekttetseinek ered kltsgrtke alapjn hatrozzk meg a legkisebb
kltsg tvonalat.
Kijellt port
Egy hlzatszegmens azon portja amelyen t az adott szegmens s gykrponti hd
kztti adatforgalom halad, de nem tartozik a legkisebb kltsg tvonalhoz.
Lezrt port
Olyan port, mely nem tovbbt adatforgalmat.
Az STP konfigurlsa eltt a hlzati rendszergazda elemzi s teszteli a hlzatot,
hogy a legmegfelelbb kapcsol legyen a fesztfa gykrpontja.
BackboneFast
A BackboneFast gyors konvergencit biztost a fesztfa topolgia megvltozsakor.
Gyorsan visszalltja a gerinchlzati sszekttetseket. Az elosztsi s a kzponti
rtegben hasznljk, ahol tbb kapcsol csatlakozik egymshoz.
Mivel a PortFast, UplinkFast s a BackboneFast a Cisco sajt fejlesztsei, gy
ms gyrtmny kapcsolk esetn nem alkalmazhatak. Ezen fell mindhrom
funkci kln konfigurlst ignyel.
Szmos hasznos parancs ltezik a fesztfa protokoll helyes mkdsnek
ellenrzsre.
VLAN-ok konfigurlsa
Virtulis LAN
Kapcsolt hlzatban az zenetszrsok korltozsa s az azonos felhasznlsi
terlethez tartoz llomsok csoportostsa rdekben virtulis helyi hlzatok
(VLAN - virtual local area network) hozhatk ltre.
A VLAN egy logikai zenetszrsi tartomny, mely tbb fizikai LAN szegmensre is
kiterjedhet. Lehetsget nyjt a rendszergazdknak az llomsok logikai
csoportostsra a fizikai elhelyezkeds figyelembevtele nlkl, pldul
projektcsoportok vagy alkalmazsi terlet alapjn.
Egy szervezetnl gyakran elfordul, hogy egy osztly vagy egy projektcsapat
sszettele megvltozik: j munkatrsak kerlhetnek a csapathoz, mg msok
munkahelye megsznhet vagy j helyre kerlhet. Az ilyen gyakori vltozsok
szksgess teszik a VLAN-ok karbantartst, belertve egy vagy tbb VLAN
trlst vagy portok hozzrendelst egy msik virtulis hlzathoz.
A VLAN-ok trlse s a VLAN-hoz taroz port-hozzrendelsek megszntetse kt,
egymstl jl elklnthet rendeltets s eredmny mvelet. Amikor egy port, egy
meghatrozott VLAN-hoz tartoz hozzrendelst megszntetjk, visszakerl az 1es VLAN-ba. Amikor egy VLAN-t trlnk, minden hozztartoz port inaktvv vlik,
mivel egyetlen VLAN-hoz sem tartozik.
VLAN trlse:
Switch(config)#no vlan vlan_szm
Port kivtele egy meghatrozott VLAN-bl:
Switch(config)#interface fa0/port_szm
Switch(config-if)#no switchport access vlan vlan_szm
VLAN-ok azonostsa
A kapcsol minden portjhoz egy meghatrozott VLAN-t rendel. Amikor egy keret
rkezik a portra, a kapcsol bejegyzi az Ethernet keretbe a VLAN azonostjt (VID VLAN ID). A VID Ethernet kerethez trtn hozzadst keretcmkzsnek (frame
tagging) nevezik. A leggyakrabban alkalmazott cmkzsi szabvny az IEEE
802.1Q.
A 802.1Q szabvny, rviden dot1q, egy 4-bjtos mezt illeszt az Ethernet keretbe, a
forrscm s a tpus/hossz mez kz.
Mivel az Ethernet keret legkisebb mrete 64 bjt, a legnagyobb mrete pedig 1518
bjt lehet, a felcmkzett keret mrete elrheti az 1522 bjtot.
a forrs s a cl MAC-cme
a keret hossza
hasznos adat
Trnkportok
A VLAN-oknak hrom f feladatuk van:
Switch(config)#interface fa0/port_szm
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk encapsulation {dot1q | isl | negotiate}
A 802.1Q s az ISL protokollokat egyarnt tmogat kapcsolk esetn az
utols parancssor is szksges. A 2960-as kapcsol esetn ez felesleges, hiszen
ez csak a 802.1Q protokollt tmogatja.
A negotiate (egyeztet) paramter a legtbb kapcsoln alaprtelmezett. Ez a
bellts a szomszdos kapcsolk kztti begyazs tpusnak automatikus
szlelst rja el.
Forgalomirnyt
Minden VTP kapcsol az NVRAM-ban trolja VLAN adatbzist, ami tartalmaz egy
verziszmot. Ha a kapcsol az adatbzisban troltnl nagyobb verziszm
hirdetmnyt kap, akkor frissti VLAN adatbzist az j informcikkal.
A VTP konfigurci verziszma 0-rl indul, s minden vltozskor eggyel n.
Maximlis rtke 2 147 483 648, amit elrve visszall 0-ra. A kapcsol jraindtsa
szintn 0-ra lltja a verziszmot.
A verziszm akkor okozhat gondot, ha a hlzatba egy eddiginl nagyobb
verziszmmal rendelkez kapcsol kerl. Mivel egy kapcsol alapesetben
kiszolgl, gy az j, de nem helyes informcik fellrjk a korbbi VLAN adatokat
minden kapcsoln.
Rszleges hirdetmny
Hirdetmnykrs
VTP Konfigurlsa
A kapcsolk alapesetben kiszolgl mdban vannak. Amikor egy kiszolgl mdban
lev kapcsol az eddig rvnyben lvnl nagyobb verziszm frisstst kld, az
sszes tbbi kapcsol az j informcinak megfelelen vltoztatja meg adatbzist.
j kapcsol meglv tartomnyhoz csatlakoztatsakor a kvetkez lpseket kell
elvgezni:
1. lps: VTP konfigurlsa off-line mdban (1-es verzi)
2. lps: VTP konfigurci ellenrzse
3. lps: Kapcsol jraindtsa
Fizikai elhelyezkeds
Logikai csoportosts
Biztonsg
Alkalmazsi kvetelmnyek
Hierarchikus tervezs
A VLSM hasznlata
Alhlzati maszk
Az alhlzati maszk azonositja az ugyanabba a hlzatba tartoz llomsokat. A
maszk 32 bites, s az IP-cm hlzati s lloms bitjeit klnbzteti meg egymstl.
Felptst tekintve 1-eseket majd 0-kat tartalmaz. Az 1-es bit a hlzati, a 0-s bit
pedig az lloms biteket azonostja.
Hlzati cm
zenetszrsi cm
tvonalsszegzs
Rugalmasabb hlzattervezs
Atlanta HQ = 58 llomscm
Perth HQ = 26 llomscm
Sydney HQ = 10 llomscm
Corpus HQ = 10 llomscm
Egy vllalat A osztly hlzati cmtartomny hasznlata esetn tbb mint 16 milli,
B osztly esetn tbb mint 65.000, mg C osztly esetn mindsszesen 254
llomscmmel rendelkezik. Amita a felhasznlhat A s B osztly cmek szma
korltozott, sok vllalat tbb C osztly cm beszerzsvel biztostja a hlzat
kvetelmnyeinek megfelel szm cmet.
Ennek kvetkezmnyeknt a C osztly cmtr kimerlse az eredetileg tervezettnl
lnyegesen gyorsabban megtrtnt.
Osztly alap IP-cmek esetn az els oktett, azon bell is az els hrom bit rtke
hatrozza meg, hogy a hlzat A, B vagy C osztly. Minden f hlzathoz egy
alaprtelmezett maszk tartozik, melyek rendre 255.0.0.0, 255.255.0.0 vagy
255.255.255.0.
Az osztly alap irnyt protokollok, mint pldul a RIPv1, tvonalfrisstsei nem tartalmazzk az alhlzati
maszkot, gy a fogad forgalomirnytk ezeket felttelezsek alapjn hatrozzk meg.
Osztly alap irnyt protokoll esetn, ha egy forgalomirnyt frisstst kld egy
alhlzatokra bontott hlzatrl, pldul a 172.16.1.0/24-rl, egy olyan
forgalomirnytnak, melynek interfsze a frisstsben szerepl fhlzathoz tartozik,
pldul a 172.16.2.0/24-hez, akkor a kvetkez trtnik:
CIDR s tvonalsszegzs
Az tvonalsszegzs az sszefgg hlzat- s alhlzatcimeket a hlzat hatrn
lev hatr-forgalomirnytn egyetlen sszevont hlzatcmmel helyettesiti.
Az sszegzs cskkenti az tvonalfrisstsek gyakorisgt s az irnyttblabejegyzsek szmt. Javtja az tvonalfrisstsek svszlessg-kihasznlst s
gyorstja az irnyttblban val keresst.
Az tvonalsszegzs meghatrozsa
Az sszegzett tvonal meghatrozshoz az rintett hlzatcimeket egyetlen cmm
kell sszevonni, ami hrom lpsben trtnik:
1. lps
rjuk fel az rintett hlzatcimeket binris formban.
2. lps:
Az sszegezett tvonal maszkjnak megadshoz hatrozzuk meg az sszevonni
kivnt hlzatcimekben a balrl megegyez bitek szmt. Ez a szm lesz az
sszegzett tvonal hlzati eltagja vagy alhlzati maszkja, pldul /14 vagy
255.252.0.0.
3. lps:
Az sszegzett hlzaticm meghatrozshoz az egyez biteket egszitsk ki 32
bites hosszsgra 0 bitrtkekkel. (A nem megegyez biteket 0 bitekkel
helyettesitjk.) Gyorsabb megoldshoz vezet, ha a hlzatok kztt megkeressk a
legkisebb hlzati cmmel rendelkezt.
Nem hierarchikus cmzs esetn nem felttlenl lehetsges az tvonalak
sszegzse. Ha a hlzati cmekben balrl jobbra sszehasonltva nincsenek
megegyez bitek, akkor sszefogott maszk nem hatrozhat meg.
Krltekint tervezst kveten is elfordulhat, hogy a hlzatban nem sszefgg alhlzatok vannak. A
kvetkez forgalmi s forgalomirnytsi pldk segtenek ezeknek a helyzeteknek a felismersben:
Egy forgalomirnyt nem ismer tvonalat egy msik forgalomirnythoz kapcsold LAN fel, pedig a
hlzat hirdetst konfigurltk.
Kzbls forgalomirnyt kt azonos kltsg tvonalat ismer a f hlzat fel annak ellenre, hogy az
alhlzatok eltr hlzati szegmensen tallhatk.
Kzbls forgalomirnyt terhelselosztst vgez a f hlzat valamelyik alhlzata fel tart forgalom
esetben.
VLSM cmzst s nem sszefgg alhlzatokat tmogat, minl jabb irnyt protokollokat
alkalmazzunk.
Lehetv teszi, hogy tbb ezer bels alkalmazott hasznljon nhny nyilvnos
cmet.
clra leggyakrabban a statikus NAT cmtartomny els vagy utols cmeit hasznljk.
Vgezzk el a bels vagy privt cmek nyilvnos cmekhez rendelst!
2. lltsuk be a bels s kls interfszeket!
A PAT hasznlata
A dinamikus NAT egyik leggyakrabban alkalmazott vltozata a portcmfordts (PAT
Port Address Translation), vagy ms nven tlterhelt NAT. A PAT dinamikusan
egyetlen nyilvnos cmre fordt tbb bels helyi cmet.
Csillag topolgia
A csillag kzepe megfelel a hierarchia cscsnak, mely ltalban a szervezet
kzponti irodja. A fikirodk tbb helysznrl csatlakoznak a csillag kzpontjhoz
(hub-jhoz).
Ha egy kimen interfsz elrhetetlenn vlik, akkor az rintett statikus tvonal eltnik az irnyttblbl, majd az
interfsz helyrellsa utn jra bekerl oda.
Alaprtelmezett tvonalak
Minl nagyobb az irnyttbla mrete, annl tbb RAMot s feldolgozsi idt
ignyel. Az alaprtelmezett tvonal a statikus tvonal egy olyan klnleges
tpusa, ami egy tjrt hatroz meg arra az esetre, ha az irnyttbla nem
Az ugrsszm a mrtk
15 ugrs a maximum
Egy forgalomirnyt a bekapcsolsa utn minden RIP protokollal konfigurlt interfszn egy
krst kld a protokollban rsztvev szomszdoknak, hogy kldjk el a teljes irnyttbla
tartalmt. A RIP protokollal konfigurlt szomszdok az ltaluk ismert hlzatok
bejegyzseinek elkldsvel vlaszolnak. A fogad forgalomirnyt minden egyes
tvonalat a kvetkez kritriumok alapjn rtkel:
A RIP Konfigurlsa
A RIP konfigurlsa eltt be kell lltani a forgalomirnytsban rsztvev interfszek
IP-cmeit s maszkjait, valamint az rajelet azokon a soros sszekttetseken ahol
szksges. Az alapszint belltsok utn kerlhet sor a RIP konfigurlsra.
A RIP alapvet konfigurlsa hrom parancsbl ll:
Router(config)#router rip
Az irnyt protokoll engedlyezse
Router(config)#version 2
A verzi megadsa
Router(config-router)#network [hlzati cm]
Az sszes kzvetlenl kapcsold, RIP hirdetsben rsztvev hlzat megadsa
Az MD5 autentikci konfigurlshoz a RIPv2 protokollban rsztvev
interfszeken ki kell adni az ip rip authentication mode md5 parancsot.
Ennek a parancsnak a hatsra az adott interfszen kimen sszes frissts
titkostva lesz.
A RIPv2 egy alaprtelmezett tvonalat is kpes elkldeni a frisstseiben a
szomszdos forgalomirnytknak. Ehhez szksg van az alaprtelmezett tvonal
konfigurlsra s a RIP konfigurci redistribute static paranccsal trtn
kiegsztsre.
A RIP problmi
Szmos teljestmnybeli s biztonsgi problma vetdik fel a RIP hasznlatakor. Az
els problma az irnyttbla pontossga.
A RIP mindkt verzija automatikusan sszegzi a hlzatokat az osztly
hatrokon. Ez azt jelenti, hogy a RIP az alhlzatokat, mint egyedi A, B s C
osztly hlzatok ismeri fel. Nagyvllalati hlzatok tipikusan osztly nlkli
cmzst hasznlnak, valamint alhlzatok sokasgt, melyek olykor nem sszefgg
alhlzatokat alkotnak, mivel nem mindig kapcsoldnak kzvetlenl egymshoz.
A RIPv1-el ellenttben a RIPv2 esetben az automatikus sszegzs
kikapcsolhat. Ebben az esetben a RIPv2 minden alhlzatot kln hirdet a
megfelel maszkkal egytt, gy pontosabb irnyttblt biztost. Ehhez a RIPv2
konfigurci no auto-summary paranccsal trtn kiegsztse szksges.
Router(config-router)#no auto-summary
Egy msik problmt okoz a RIPv1 frisstsek szrsos jellege. Amint a RIP
konfigurciban megadtunk legalbb egy network parancsot, a RIP azonnal elkezdi
kldeni a frisstseit network parancsban megadott hlzathoz tartoz
interfszein. Ezekre a frisstsekre nincs szksg a hlzat minden rszn.
Pldul ezeknek a frisstseknek egy Ethernet LAN interfszen keresztl a hlzat
sszes eszkznek trtn kikldse felesleges hlzati forgalmat okozhat az
Visszirny mrgezs
Lthatrmegoszts
Visszatart idztk
Esemnyvezrelt frisstsek
RIP ellenrzse
A RIPv2 egy egyszeren konfigurlhat protokoll. Ennek ellenre hibk s
ellentmondsos llapotok mindig keletkezhetnek egy hlzaton.
Brmely irnyt protokoll esetn a show ip protocols s a show ip route
parancsok fontos szerepet jtszanak a hibaelhrtsban.
A kvetkez parancsok kifejezetten a RIP ellenrzst s hibaelhrtst szolgljk:
debug ip rip vagy a debug ip rip {events}: A RIP ltal kldtt s fogadott
irnytsi frisstseket mutatja vals idben
Szomszdtbla
Topolgiatbla
Irnyttbla
Szomszdtbla
Ez a tbla a kzvetlenl kapcsold szomszdos forgalomirnytkrl tartalmaz
informcit. Az EIGRP eltrolja az jonnan felfedezett szomszd cmt s a hozz
kapcsold interfszt.
Ha egy szomszd egy hello csomagot kld, abban meghirdet egy megtartsi
idt. A megtartsi id az az id, amg egy forgalomirnyt a szomszdjt
elrhetnek tekinti. Ha a megtartsi idintervallum alatt nem rkezik hello
csomag a szomszdtl, akkor az idzt lejr, a szomszd elrhetetlennek
minsl s emiatt a DUAL algoritmus jraszmolja a topolgit.
Nyugtz
Frisst
Lekrdez
Vlasz
Ha egy tvonal kiesik, akkor aktv llapotba kerl s a DUAL egy j tvonalat keres a
clllomshoz. Ha tallt j tvonalat, akkor az bekerl az irnyttblba s passzv
llapotba kerl.
A fent emltett csomagokkal szerzett informcik alapjn szmolja ki a DUAL
algoritmus a legjobb tvonalat.
Svszlessg
Ksleltets
Megbzhatsg
Terhels
EIGRP megvalstsa
EIGRP konfigurlsa
1. lps
Az EIGRP irnytsi folyamat engedlyezse.
Az EIGRP irnytsi folyamat engedlyezshez egy autonm rendszerazonost
(autonomous system - AS) szksges. Ez az autonm rendszerazonost
brmilyen 16 bites rtk lehet, s egy vllalat vagy szervezet forgalomirnytit
azonostja. Br az EIGRP ezt az rtket autonm rendszerazonostnak hvja,
valjban folyamatazonostknt szolgl. Ennek az AS azonostnak csak helyi
jelentsge van s nem azonos az Internet Assigned Numbers Authority (IANA)
ltal kiosztott autonm rendszer szmval.
Az AS szmnak az adott EIGRP irnytsi folyamatban rsztvev forgalomirnytk
mindegyikn egyeznie kell.
2. lps
A network parancs kiadsa minden hirdetend hlzatra.
A network parancs hatrozza meg az EIGRP szmra az irnytsi folyamatban
rsztvev interfszeket s hlzatokat.
A szomszdsgi viszonyok vltozsainak kvetseihez adja hozz az eigrp logneighbor-changes parancsot a konfigurcihoz! Ez elsegti az EIGRP hlzat
stabilitsnak megfigyelst a hlzati rendszergazda szmra.
Olyan soros sszekttetseken, ahol a svszlessg nem az alaprtelmezett 1,544
Mbit/s, adja ki a Bandwith parancsot az sszekttets tnyleges sebessgnek
kbit/s-ban megadott rtkvel. A nem pontos svszlessg rtk
megakadlyozhatja a tnylegesen legjobb tvonal kivlasztst.
Lehetsg van az EIGRP konfigurcin bell a hirdetsek hitelestsnek
engedlyezsre. Amint a szomszdok hitelestse engedlyezett, a forgalomirnyt
a frisstsek forrsait az informcik feldolgozsa eltt hitelesti.
Az EIGRP hitelestshez elre megosztott kulcsokra van szksg. Az EIGRP
kulcsokat a rendszergazda tartja karban egy kulcslncon keresztl.
Kulcs ltrehozsa
key chain lnc_neve
key kulcs_azonost
key-string szveg
Hitelests engedlyezse
Az EIGRP MD5 hitelestst a kulcs segtsgvel a kvetkez interfsz konfigurcis
parancsokkal lehet engedlyezni:
ip authentication mode eigrp md5
show ip protocols
show ip route
nagyobb az erforrsignye
Ezen kvetelmnyek nem jelentenek akadlyt, hiszen napjainkban nagy teljestmny forgalomirnytk llnak
rendelkezsre.
A RIP az ugrsszm alapjn vlasztja ki a legrvidebb tvonalat, mg az OSPF a svszlessg alapjn.
Frisstette az irnyttbljt
Kezdeti
Kt-utas
Kezds utni
Adat cserl
Adat feltlt
Teljes rtk
Ethernet
Soros
T1/E1
Frame Relay
ATM
Pont-Pont
OSPF terletek
Minden OSPF hlzat kiindulsi pontja a 0-s terlet, melyet gerinchlzatnak is
neveznek. A hlzat nvekedsvel tovbbi terletek hozhatk ltre a 0-s terlet
szomszdsgban, melyek 65 535-ig brmely szmmal jellhetk. Az egy
terlethez tartoz forgalomirnytk legnagyobb lehetsges szma 50.
1. lps
Alaprtelmezett tvonal konfigurlsa az ASBR forgalomirnytn.
R1(config)#ip route 0.0.0.0 0.0.0.0 serial 0/0/0
Az ip route parancs alkalmazsa sorn vagy egy interfszt vagy a kvetkez ugrs IP-cmt
kell megadni.
2. lps
ASBR forgalomirnyt konfigurlsa az alaprtelmezett tvonal hirdetsre.
Alaprtelmezs szerint, az OSPF protokoll hirdetsei mg akkor sem tartalmazzk az
alaprtelmezett tvonalat, ha az mr szerepel az irnyttblban.
R1(config)#router ospf 1
R1(config-router)#default-information originate
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24
Amikor egy forgalomirnyt tvonalsszevonst alkalmaz, egyetlen, szuperhlzatcmmel jell tbb tvonalat. Az tvonalak kzl elg csupn egy mkdkpessge
ahhoz, hogy a forgalomirnyt meghirdethesse az sszevont tvonalat.
Abban az esetben ha az tvonalak kztt van egy vagy tbb vltakoz tvonal, a forgalomirnyt
tovbbra is csak a sokkal stabilabb sszevont tvonalat fogja hirdetni, s az egyes klnll
tvonalakrl egyltaln nem tovbbt frisstst. Az tvonalsszevonst vgz forgalomirnyt brmely
vltakoz tvonalon tovbbtand csomagot egyszeren eldobja, amg az adott tvonal
mkdskptelen.
WAN szabvnyok
A WAN szabvnyok az adatok szlltsnak fizikai- s adatkapcsolati rtegbeli
jellemzit specifikljk. Az adatkapcsolati rtegre vonatkoz WAN szabvnyok olyan
paramtereket irnak el, mint a fizikai cmzs, az adatfolyamvezrls (flow control)
vagy a begyazs tpusa, de leirjk az informci mozgatsnak a WAN-kapcsolaton
keresztli megoldst is.
Nhny plda 2. rtegbeli WAN protokollokra:
Kapcsolatelrsi eljrs Frame Relay-hez (Link Access Procedure for Frame Relay,
LAPF)
WAN-kapcsolatok ltestse
A WAN-kapcsolatok digitlis vagy analg technolgit hasznlnak. Analg
kapcsolatok esetn az adatok kdolssal, ms nven modullssal kerlnek r egy
vivhullmra. A modullt jel ezutn tovbbviszi az informcikat az tviteli kzegen a tvoli
vgpont fel. A tvoli helyen a jel demodullsra kerl, s a vevoldal kinyeri az
informcit.
Nevt feladatrl kapta: a vivjel modullsa s demodullsa (modem).
Modemek segtsgvel a tvoli llomsok a hagyomnyos telefon-rendszert (Plain Old
Telephone System, POTS) hasznlatva kommuniklhatnak egymssal. Ezen kvl a
felhasznlk digitlis elfizeti vonalakon (Digital Subscriber Line, DSL) vagy
kbeltelevzis (Cable Television, CATV) kapcsolatokon is csatlakozhatnak a szolgltatk
hlzataihoz.
Csomag- s vonalkapcsols
Dediklt brelt vonal
Az egyik kapcsoldsi tpus a pont-pont soros sszekttets kt forgalomirnyt
kztt, dediklt brelt vonal segtsgvel. Ezzel vgpont-vgpontpont tpus kapcsolat
hozhat ltre, mely alapvet adattovbbtsi feladatok elltsra kpes. Minden ilyen
sszekttets vgpontonknt egy klnll fizikai interfszt s egy kln CSU/DSU
berendezst ignyel. Ahogy egy szervezet egyre tbb telephelyet alakt ki, az egyes
helysznek kztti brelt vonalak fenntartsa nagyon kltsgess vlhat.
Vonalkapcsols
Vonalkapcsols esetn egy ramkr jn ltre az llomsok kztt, mieltt azok brmilyen
adatot tovbbtannak. A szabvnyos telefonos hvsok ezt a kapcsoldsi tpust
hasznljk. A vonalkapcsols az ramkr bekapcsolt llapota alatt fix svszlessget
biztost a kt vgpont kztt. A prbeszd befejeztvel az ramkr felszabadul. Ms
szervezet nem hasznlhatja az ramkrt addig, amg az szabadd nem vlik. Ez egyfajta
biztonsgot jelent, amely nincs jelen a csomagkapcsolt vagy a cellakapcsolt technolgik
esetben.
Vonalkapcsols esetn akkor rendelik hozz a szolgltatk az egyes kapcsolatokhoz az sszekttetseket,
amikor az erre vonatkoz ignyt berkezik. Kltsget csak akkor szmolnak fel, ha az sszekttets
hasznlatban van. Egy vonalkapcsolt sszekttets kltsge a hasznlati id fggvnyben vltozik, s gyakori
hasznlat esetn meglehetsen drga lehet.
Csomagkapcsols
A csomagkapcsols jval hatkonyabban hasznlja ki a vonalak svszlessgt, mint
ms kapcsolsi tpusok. Az adatokat itt csomagokra bontjk, melyekhez cl- s forrsazonostkat rendelnek. Ezutn az adatok a szolgltat hlzatba lpnek. A szolgltat
fogadja az adatokat s clcimk alapjn tovbbkapcsolja azokat egyik csompontrl a
msikra, mg el nem rik vgs cljukat. A forrs s cl kztti tvonal vagy ramkr,
Cellakapcsols
A cellakapcsols a csomagkapcsols egy vltozata. Alkalmas hang, video s
adattvitelre magn vagy nyilvnos hlzatokon keresztl, akr 155 Mbit/s
sebessggel. Az ATM (Asynchronous Transfer Mode) technolgia fix mret, 53
bjtos cellkat hasznl, melyek egy 48 bjtos adatrszbl s egy 5 bjtos
fejrszbl llnak. A kicsi, egyforma mret cellk gyors s hatkony kapcsolst
tesznek lehetv a csompontok kztt.
Az ATM technolgia egyik elnye, hogy megakadlyozza, hogy a kisebb mret
zeneteket visszatartsk a nagyobb mret zenetek. A fknt szegmentlt adatokat
forgalmaz hlzatokban azonban az ATM nagymrtk tbbletterhelst eredmnyez,
amely tnylegesen cskkenti a hlzat teljestmnyt.
Virtulis ramkrk
Csomagkapcsolt technolgia hasznlata sorn a szolgltat virtulis ramkrket
(Virtual Circuit, VC) hoz ltre. Egy virtulis ramkr az egyes csomagkapcsol eszkzk
kztti sszekttetseket a klnbz forrsbl szrmaz csomagok kztt megosztva
hasznlja. Ennek eredmnyekppen, az tviteli kzeg nem kerl kizrlagos hasznlat al a
kapcsolat idtartama alatt. Ktfle virtulis ramkr ltezik: kapcsolt s lland.
Kapcsolt virtulis ramkrk
A kapcsolt virtulis ramkrk (Switched, SVC) dinamikusan jnnek ltre kt vgpont
kztt, amikor egy forgalomirnyt adatot kvn tovbbtani. Az ramkr igny szerint pl
fel, s lebomlik miutn az tvitel befejezdtt, (pldul letltdtt egy llomny). Egy SVC
ltrejttekor hvsfelptsi informcikat kell elkldeni mieltt brmilyen adatot kldhet. A
hvsbontsi informcik megszaktjk a kapcsolatot, ha arra mr nincs szksg. Ez a
folyamat nmi ksleltetst eredmnyez a hlzatban, mivel minden prbeszd esetn fel
kell pteni majd le kell bontani a virtulis ramkrket.
lland virtulis ramkrk
Az lland virtulis ramkrk (Permanent, PVC) tarts tvonalat biztostanak kt pont
kztt az adatok tovbbtshoz. A szolgltatnak elre be kell lltania a PVC-ket, melyek
nagyon ritkn bomlanak fel vagy kapcsoldnak szt. Ez a tulajdonsg szksgtelenn teszi a
hvsok felptst, illetve lebontst, s ennek ksznheten felgyorsul az
informciramls a WAN-kapcsolaton keresztl. A PVC-k segtsgvel a szolgltatk sokkal
nagyobb mrtkben kpesek kzben tartani a hlzat adatramlsi mintit s a felgyeleti
feladatokat. A PVC-k npszerbbek az SVC-knl, s gyakran olyan telephelyek
kiszolglsra hasznljk ket, amelyek lland, nagymret adatforgalmat bonyoltanak. A
Frame Relay jellemzen PVC-ket hasznl.
analg betrcszs
brelt vonal
kbeltvs kapcsolat
Frame Relay
Ezen technolgik mindegyike biztost elnyket s htrnyokat egyarnt az elfizetk szmra. Nem minden
fldrajzi terleten rhet el az sszes itt felsorolt technolgia.
Amikor egy szolgltat adatokat fogad, tovbbtania kell azokat a tvoli vgpontok fel, hogy vgl eljussanak a
cmzetthez. Ezek a tvoli helyek tartozhatnak az ISP hlzathoz vagy kpezhetik a klnbz
internetszolgltatk kztti szakaszokat. Nagytvolsg kommunikcis kapcsolatokkal gyakran tallkozhatunk
az internetszolgltatk kztt vagy risvllalatok fikirodinak sszekttetse esetn.
Sok klnbz WAN technolgia ll rendelkezsre a szolgltatk szmra, amelyek nagy tvolsgok
esetn is lehetv teszik a megbzhat adattovbbtst. Ezek kz tartoznak pldul az ATM, a Frame
Relay, a mholdas- s a brelt vonalas kapcsolatok.
Cm
Vezrls
Protokoll
Adat
HDLC s PPP
A HDLC s a PPP a kt leggyakoribb soros vonali 2. rtegbeli begyazsi tpus.
A HDLC (High-level Data Link Control) szabvnyos, bit-orientlt adatkapcsolati
rtegbeli begyazsi tpus. A HDLC szinkron soros tvitelt hasznl, mely hibamentes
kommunikcit biztost kt pont kztt. A HDLC protokoll definil egy 2. rtegbeli
keretszervezsi (frame) struktrt, amely nyugtzs s ablakozsi rendszer hasznlatval
ramlsvezrlsre s hibakezelsre ad lehetsget. Minden keret ugyanolyan
formtum, akr adatkeretrl, akr vezrlkeretrl legyen sz.
A szabvnyos HDLC keretformtum nem tartalmaz olyan adatmezt, amely azonostan a
keret ltal hordozott protokoll tpust. A szabvnyos HDLC emiatt nem kpes tbbfajta
protokoll tvitelre ugyanazon az sszekttetsen keresztl.
A Cisco HDLC protokoll bevezet egy tovbbi adatmezt, amely tpus (Type) nven
ismert. Segtsgvel lehetsg nylik arra, hogy tbb hlzati rtegbeli protokoll
megosztva hasznlja ugyanazt a kapcsolatot. Csak akkor hasznljuk a Cisco HDLC
protokollt, ha Cisco kszlkeket szeretnnk sszekapcsolni egymssal. A Cisco HDLC
az alaprtelmezett adatkapcsolati protokoll a Cisco soros kapcsolatoknl.
aszinkron soros
szinkron soros
Kapcsolatvezrl protokoll
A PPP az LCP-t hasznlja pont-pont sszekttetsek kialaktsra, fenntartsra,
tesztelsre s befejezsre. Az LCP szleli s konfigurlja a WAN-kapcsolat vezrlbelltsait. Nhny belltsi lehetsg, amiket az LCP kezel:
hitelests (authentication)
tmrts
hibafelismers
PPP visszahvs
A PPP konfigurlsa
A Cisco forgalomirnytk soros interfszein a HDLC az alaprtelemezett begyazsi
tpus. A begyazs tpusnak megvltoztatshoz, valamint a PPP sajtossgainak
hasznlathoz hasznlja a kvetkez parancsot:
encapsulation ppp
Ez aktivlja a PPP begyazst a soros interfszen.
Miutn a PPP engedlyezsre kerlt, bellthatv vlnak az opcionlis paramterek,
pldul a tmrts s a terhelseloszts.
compress [predictor | stac]
Engedlyezi a tmrtst az interfszen, predictor (eljsl) vagy stacker (veremtrolsos) mdszer hasznlatval.
ppp multilink
Segtsgvel terhelseloszts konfigurlhat tbb sszekttets kztt.
A hlzaton tkldtt adatok tmrtse javthatja a hlzat teljestmnyt. A predictor
s stacker szoftveres tmrtsi technikk, amelyek tmrtsi mdjukban trnek el
egymstl.
A stacker processzorignyesebb tmrts, de kevesebb memrira van szksge, a
predictor technika viszont kevsb terheli a processzort, de tbb memrit hasznl.
A stacker-t akkor rdemes hasznlni, ha a vonal svszlessge a szk keresztmetszet,
a predictor-t pedig abban az esetben, ha a forgalomirnyt tlterhelt.
Csak akkor engedlyezzk a tmrtst, ha a hlzat teljestmnye megkvnja azt,
mivel hasznlata nveli a forgalomirnyt feldolgozsi idejt s tbbletterhelst okoz.
Abban az esetben sem rdemes tmrtst alkalmazni, ha a hlzat forgalmt kpez
adatok dnt tbbsge mr egybknt is tmrtett llomnyokbl ll. Egy tmrtett fjl
jbli tmrtse tbbnyire mretnvekedssel jr.
A PPP multilink tbb WAN sszekttets egyetlen logikai csatornv trtn
sszevonst teszi lehetv. Ez terhelsmegosztst eredmnyez klnbz kapcsolatok
kztt, s bizonyos szint biztonsgot jelent abban az esetben, ha valamelyik
sszekttets meghibsodna.
Az albbi parancsokat HDLC s PPP begyazsok konfigurciinak ellenrzshez s
hibaelhrtshoz hasznljk.
show controllers
debug ppp
PPP hitelests
A PPP sszekttetsek hitelestsnek belltsa elhagyhat. Ha be van lltva, a hitelestsi folyamat
kzvetlenl a kapcsolat ltrehozsa utn, de mg a hlzati rtegbeli protokollok konfigurcis fzisa eltt
lezajlik.
Interfszkonfigurcis parancs.
Segtsgvel megadhat az egyes interfszek ltal alkalmazott PPP hitelests tpusa
(PAP vagy CHAP).
Ha egynl tbb hitelestsi tpust lltottak be, pldul, chap pap, akkor a forgalomirnyt
elszr az els tpussal prblkozik s csak akkor fog prblkozni a msodik mdszerrel, ha
arra a tvoli forgalomirnyt kri.
A CHAP hitelests belltshoz nincs szksg tovbbi konfigurcis parancsokra. rdemes
tudni, hogy a Cisco IOS 11.1 verzijtl kezdden alaprtelmezs szerint a PAP le van
tiltva az interfszeken. Ez azt jelenti, hogy a forgalomirnyt akkor sem fogja elkldeni
sajt felhasznli nv/jelsz rtkeit, ha a PAP hitelests engedlyezett. A PAP
hasznlathoz tovbbi parancsok szksgesek.
Interfszkonfigurcis parancs.
A tvoli forgalomirnytnak kldend felhasznli nv/jelsz kombinci adhat meg
vele.
Ennek meg kell egyeznie a tvoli forgalomirnyt helyi adatbzisban belltott
felhasznli nvvel s jelszval.
Authentication (hitelests)
Packet (csomag)
Error (hiba)
Frame Relay
A Frame Relay ttekintse
A Frame Relay egy gyakran elfordul 2. rtegbeli WAN begyazsi tpus. A Frame Relay
hlzatok tbbszrs hozzfrsek, hasonlan az Ethernethez, viszont az Ethernettl
eltren nem tovbbtjk a szrsos (broadcast) forgalmat. A Frame Relay hlzatok a
nem szrsos tbbszrs hozzfrs hlzatok kz tartoznak (NonBroadcast MultiAccess network, NBMA).
A Frame Relay vltoz hosszsg csomagokat s csomagkapcsolsi technolgit
hasznl. Ez a protokoll is szinkron, idosztsos multiplexelst hasznl, a rendelkezsre
ll vonali svszlessg optimlis kihasznlshoz.
A forgalomirnyt (DTE) ltalban brelt vonal segtsgvel ll sszekttetsben a
szolgltatval. Ez a vonal egy Frame Relay kapcsoln (DCE) keresztl csatlakozik a
szolgltat legkzelebb es kapcsoldsi pontjhoz (POP). Ezt a kapcsolatot
nevezzk hozzfrsi sszekttetsnek.
A clhlzathoz tartoz tvoli forgalomirnyt is DTE eszkz. A kt DTE eszkz kztti
kapcsolatot virtulis ramkrnek nevezzk (VC).
A virtulis ramkrk jellemzen a szolgltat ltal elre konfigurlt PVC-k segtsgvel
jnnek ltre. A legtbb ISP nem javasolja vagy nem is teszi lehetv a Frame Relay
hlzatokban az SVC-k hasznlatt.
Amikor egy vgfelhasznl Frame Relay szolgltatsra fizet el, bizonyos szolgltatsi paramtereket
egyeztetnie kell a szolgltatval.
Az egyik ilyen paramter a vllalt adatsebessg (Committed Information Rate, CIR). A CIR rtke az a minimlis
svszlessg, melyet a szolgltat az adatok tovbbtsra garantl a virtulis ramkrn.
A szolgltat a CIR rtkt egy adott egysgnyi idtartam alatt tvitt tlagos adatmennyisg alapjn szmolja ki.
A kiszmolt idintervallum rtke a vllalsi id (committed time, Tc). A Tc-n bell vllalt bitek szma a vllalt lket
(committed burst, Bc). A Frame Relay szolgltats kltsge a kapcsolat sebessgtl s a CIR rtktl fgg.
A CIR ugyan meghatroz egy minimlisan biztostand sebessget, azonban ha nincs torlds az
sszekttetseken, akkor a szolgltat megnveli a svszlessget a msodik elzetesen elfogadott
svszlessg rtkig.
A tllpsi adatsebessg (Excess Information Rate, EIR) a CIR ltal rgztett rtk feletti tlagos sebessg,
amelyet a virtulis ramkr akkor biztost, ha nincs tlterhelve a hlzat. Minden rads bit, amely a vllalt
adatsebessgen tl forgalmazhat, egszen a hozzfrsi kapcsolat maximlis sebessgig, tbblet lket
(excess Burst, Be) nven ismert.
A vllalt adatsebessgen (CIR) tli keretek tovbbtst nem garantlja a szolgltats, de biztostja, ha a hlzati
terhels lehetv teszi azt. Az ilyen tbblet kereteket figyelmen kvl hagyhatknt (Discard Eligible, DE) jelli
meg a rendszer. Ha torlds kvetkezne be, a szolgltat elszr a DE rtkkel belltott kereteket dobja el.
A felhasznlk gyakran alacsonyabb CIR rtkkel rendelkez kapcsolatra fizetnek el, arra a tnyre alapozva,
hogy a szolgltat nagyobb svszlessget biztost s meggyorstja az adatforgalmat, ha nincs torlds a
hlzaton.
Forrs IP-cm
Cl IP-cm
MAC-cm
Protokollok
Alkalmazstpus
Kiszolglk
A hozzfrs-vezrlsi listk
A forgalomszrs egyik legltalnosabb mdja a hozzfrs-vezrlsi listk (Access
Control List, ACL) hasznlata. Az ACL-ek hasznlatval a hlzatba belp s az onnan
tvoz forgalom ellenrizhet s szrhet.
Az ACL elsdlegesen az engedlyezni vagy elutastani kvnt csomagtpusok
azonostsra hasznlhat.
Az ACL ltal azonostott forgalom az albbi clokra is felhasznlhat:
Nevestett ACL
A nevestett ACL (Named ACL, NACL) olyan norml vagy kiterjesztett hozzfrsi lista,
amelyre szm helyett egy beszdes nvvel hivatkozunk. A nevestett ACL-ek belltsa a
forgalomirnyt NACL zemmdjban trtnik.
Az ACL feldolgozsa
Az ACL utols utastsa mindig implicit tilts. Ez az utasts automatikusan is odakerl
mindegyik ACL vgre, mg akkor is, ha a konfigurci ksztje nem rja oda. Az implicit
tilts semmilyen forgalmat nem engedlyez. Ezrt az implicit tilts funkci megakadlyozza a
nemkvnatos forgalom vletlen thaladst.
A hozzfrsi lista akkor lp mkdsbe ha elkszitse utn hozzrendeljk a megfelel
interfszhez. Az ACL az interfszen, a bellitstl fggen, vagy a bejv vagy a kimen
forgalmat figyeli. Amennyiben az ACL egy engedlyez utastsnak elirsa megegyezik
az ppen vizsglt csomag paramtereivel, a csomag tovbbhaladsa engedlyezett. Ha a
csomaghoz egy tilt utasts illeszkedik, akkor nem haladhat tovbb. Az engedlyez
utastst nem tartalmaz ACL minden forgalmat tilt, mivel minden ACL vgn szerepel az
implicit tilts. Az ACL teht minden olyan forgalmat tilt, ami nincs konkrtan engedlyezve.
A rendszergazda akr befel akr kifel irnyul forgalmat szr ACL listt rendelhet a
forgalomirnyt brmely interfszhez. A bejv vagy kimen irnyt mindig a
forgalomirnyt szemszgbl nzzk, gy az interfszre berkez forgalom bejv (a
forgalomirnyitba belp), az onnan tvoz forgalom pedig kimen.
Amikor egy csomag rkezik valamely interfszre, a forgalomirnyt az albbi paramtereket
ellenrzi:
A forgalomirnyt interfszekhez protokollonknt s irnyonknt egy-egy ACL adhat meg. Igy az IP protokoll
esetben is egy interfszhez egyszerre csak egy befel s egy kifel halad forgalmat szr ACL adhat meg.
Az interfszhez hozzrendelt ACL-ek vgrehajtsa kslelteti a forgalmat. Akr egyetlen hossz ACL is
szrevehet hatssal lehet a forgalomirnyt teljestmnyre.
Ugyanaz, mint:
Az any paramter
Az sszes lloms szrshez hasznljuk a csupa egyesekbl ll paramtert, amelyet a
255.255.255.255 helyettest maszk belltsval adhatunk meg! A 255.255.255.255
helyettest maszk az sszes bitet egyeznek tekinti, ezrt ltalban az IP-cmet a 0.0.0.0
jelli. Az sszes lloms szrsre hasznlt msik mdszer az any paramter hasznlata.
Ugyanaz, mint:
Nzzk meg az albbi pldt, amely egy bizonyos llomst letilt, mg az sszes tbbit
engedlyezi:
A permit any parancs minden forgalmat engedlyez, amely az ACL-ben nincs konkrtan
elutastva. Ezzel a belltssal egyik csomag sem ri el az ACL vgn szerepl implicit
deny any utastst.
Amennyiben a 192.168.77.0 hlzat alhlzatokra osztshoz 3 bitet hasznlunk, az
alhlzati maszk 255.255.255.224 lesz. Ha a fenti alhlzati maszkot kivonjuk a csupa 255bl ll 32 bites hlzati maszkbl, a 0.0.0.31 helyettest maszkot kapjuk. Ennek
megfelelen a 192.168.77.32 alhlzat llomsainak engedlyezshez az albbi ACL
utastst kell hasznlnunk:
access-list 44 permit 192.168.77.32 0.0.0.31
Minden csomag els 27 bitje megegyezik a viszonytsi cm els 27 bitjvel. A fenti utasts
ltal engedlyezett teljes cmtartomny a 192.168.77.33-tl a 192.168.77.63-ig terjed, amely
pontosan lefedi a 192.168.77.32 alhlzat sszes cmt.
forgalomirnytt. A csomagok szrse mg a hlzaton trtn thaladsuk eltt trtnik, ami segt a
svszlessg megrzsben.
megfelel interfszre kapcsolta. A csomag sszevetse az ACL-lel kzvetlenl a forgalomirnytrl val tvozs
eltt trtnik.
A kiterjesztett IP ACL-ek azonost szma 100 s 199 kztt, valamint 2000 s 2699
kztt mozoghat.
Az ACL ltrehozsa
Mindaddig, amg nincs egyezs, minden csomagot ssze kell vetni az sszes ACL utastssal, ezrt az utastsok
ACL-en belli sorrendje nagymrtkben befolysolhatja a mr emltett ksleltetst. A fentiek miatt, az utastsok
sorrendjnl rdemes a gyakoribb feltteleket a kevsb gyakoriak el helyezni! A forgalom dnt rszt kpez
utastsokat pldul tegyk mindig az ACL elejre!
Azt azonban tartsuk fejben, hogy egyezs esetn a csomag mr nem lesz sszevetve
az ACL tovbbi utastsaival! Ez azt jelenti, hogy ha az egyik sor engedlyez egy
csomagot, de az ACL egy ksbbi sora tiltja azt, a csomag engedlyezve lesz. Ezrt gy
tervezzk meg az ACL-t, hogy a konkrtabb felttelek az ltalnosabbak eltt szerepeljenek!
Mskppen fogalmazva, elszr tiltsuk le egy hlzat bizonyos llomst, s csak
azutn engedlyezzk a teljes hlzat maradk rszt!
Dokumentljuk az ACL minden rsznek vagy utastsnak a funkcijt a remark parancs
segtsgvel:
Nincs lehetsg arra, hogy csupn a norml vagy kiterjesztett ACL egyetlen sort trljk! Ehelyett az
egsz ACL-t trlni kell, majd a javtott listval kell lecserlni.
Az ACL alkalmazsa
Rendeljk az ACL-t egy vagy tbb interfszhez s hatrozzuk meg, hogy bejv vagy
kimen forgalomra vonatkozik-e! Az ACL-t a clhoz lehet legkzelebb alkalmazzuk!
R2(config-if)#ip access-group 5 in
show ip interface
A fenti parancs nem csupn a forgalomirnyt sszes ACL-jnek tartalmt jelenti meg,
hanem az egyes engedlyez s tilt utastsokhoz tartoz az ACL alkalmazsa ta tallt
egyezsek szmt is. Egy adott lista megtekintshez adjuk meg az ACL nevt vagy
szmt a parancs paramtereknt!
show running-config
Ha egy vllalatnak van egy 192.168.3.75 cmen elrhet kiszolglja akkor ennek elrsre
vonatkozan pldul az albbi elvrsok lehetsgesek:
Fontoljuk meg egy bizonyos csoport tiltst a vele ellenttes elbrls, nagyobb
csoport engedlyezse helyett!
A virtulis terminl alap hozzfrsi lista ltrehozsnak folyamata ugyanaz, mint egy
norml interfszhez kapcsold ACL esetn. Ezzel szemben az ACL hozzrendelse egy
vagy tbb VTY vonalhoz ms paranccsal trtnik. Az ip access-group parancs helyett az
access-class parancsot kell hasznlnunk.
A VTY vonalakhoz hozzrendelt hozzfrsi listk belltshoz kvessk az albbi
irnyelveket:
eq - egyenl (equals)
A fenti ACL utasts engedlyezi a 192.168.1.0 hlzatbl szrmaz, a 80-as porton HTTPhozzfrst ignyl forgalmat. Amennyiben egy felhasznl telnet- vagy FTP-kapcsolatot
prbl ltesteni a 192.168.2.89 cm llomssal, a minden hozzfrsi lista vgn
megtallhat implicit tilt utasts megakadlyozza azt.
Egy konkrt alkalmazs alapjn trtn szrshez ismernnk kell az adott alkalmazs portszmt. Az
alkalmazsokat egy portszm s egy nv azonositja. Egy ACL pldul hivatkozhat akr a 80-as portra, akr a
HTTP nvre.
Amennyiben sem az alkalmazshoz tartoz portszm, sem pedig a nv nem ismert, prbljuk megtallni az
informcit az albbi lpsek valamelyikvel:
1.
Keressnk fel egy IP-cmek bejegyzsvel foglalkoz oldalt (pl.: http://www.iana.org) a vilghln!
2.
3.
4.
5.
Nhny alkalmazs egynl tbb portszmot hasznl. Pldul, az FTP adattvitel a 20-as porton trtnik, de
az FTP-t lehetv tev kapcsolatvezrls a 21-s portot hasznlja. Az FTP forgalom teljes tiltshoz mindkt
portot le kell tiltanunk!
Tbb portszm megfelel kezelshez a Cisco IOS ACL-ek kpesek port-tartomnyok alapjn is szrni. Ehhez
hasznljuk az ACL utasts gt, lt vagy range opertort! A kt FTP-t tilt ACL utasts pldul sszevonhat az
albbi paranccsal:
R1(config)#access-list 181 deny tcp any 192.168.77.0 0.0.0.255 range 20 21
Tovbbtja a csomagot.
Az ACL-t gy tervezzk meg, hogy a cmfordtshoz val viszonytl fggen vagy csak a
privt, vagy csak a publikus cmeket szrje! Amennyiben a cmfordtst vgz kls
interfszre bejv vagy onnan kimen forgalomrl van sz, akkor a publikus cmeket kell
szrni.
az ACL szma
a forrs- s clcmek
a csomagok szma
a forgalomirnyt interfszei
a hasznlt protokollok
a svszlessg-hasznlat
az ACL zenetek
a konfigurcis esemnyek
A syslog egy olyan protokoll, amelyet minden hlzati berendezs idertve a kapcsolkat,
forgalomirnytkat, tzfalakat, trolrendszereket, modemeket, vezetk nlkli eszkzket
s UNIX llomsokat tmogat.
Egy syslog kiszolgl hasznlathoz teleptsk a programot egy Windows, Linux, UNIX vagy MAC OS opercis
rendszert futtat kiszolglra, majd lltsuk be a forgalomirnytn, hogy a naplzott esemnyeket erre a syslog
kiszolglra kldje!
Az albbi pldban szerepl parancs egy syslog kiszolglt futtat lloms IP-cmt hasznlja:
logging 192.168.3.11
Egy problma elhrtsa sorn mindig lltsuk be az idblyeg szolgltatst a naplzshoz! Bizonyosodjunk meg
arrl, hogy a forgalomirnytn a dtum s id be legyen lltva, s gy a naplllomnyok mindig a megfelel
idblyeget jelentsk meg!
A dtum s id belltsainak ellenrzshez hasznljuk a show clock parancsot!
R1>show clock
*00:03:45.213 UTC Mon Mar 1 2007
A pontos id belltshoz elszr adjuk meg a Greenwich-i kzpidhz (GMT) viszonytott idznt, majd
lltsuk be az idt! Figyeljnk oda, hogy az id belltst (clock set) vgz parancsot nem a konfigurcis
mdban kell kiadni!
Az idzna belltshoz:
R1(config)#clock timezone CST -6
Az id belltshoz:
R1#clock set 10:25:00 Sep 10 2007
Betrsek
Tlfeszltsg lksek
Vrustmadsok
Meghibsodott berendezsek
Erforrshiny
Egy SLA vilgosan rgzti a szolgltats szintjvel szemben tmasztott elvrsokat. Ezen
elvrsok kz tartozik pldul az elfogadhat mrtk hlzati lells s a helyrellts
idtartama is. Ezekben a szerzdsekben gyakran elrjk a szolgltats brmely
hinyossghoz trstott jvttel mrtkt is.
Az zletfolytonossgi tervek rszletes akcitervvel szolglnak az olyan nem vrt,
mestersgesen elidzett vagy termszeti katasztrfk esetn, mint pldul az
ramkimaradsok vagy a fldrengsek.
Egyrtelmen lerjk, hogyan fog a hlzat mkdkpessge jra kialakulni egy kritikus
meghibsods esetn. A mkdkpessg biztostsnak egyik mdja, ha egy redundns,
biztonsgi telephellyel rendelkeznk egy msik helysznen, arra az esetre, ha az elsdleges
telephely meghibsodna.
Hlzati segdprogramok
Viszonytsi teljestmnyszint
Bevlt gyakorlatnak szmt a hlzat els teleptse utn, illetve minden nagyobb
vltoztatst vagy fejlesztst kveten meghatrozni a viszonytsi teljestmnyszinteket. A
hlzati rendszergazdk normlis terheltsgi szintek mellett vgzik a hlzat tesztelst,
olyan protokollok s alkalmazsok hasznlatval, melyek ltalnosan elfordulnak a
hlzaton.
Az egyszer hlzati segdprogramok, mint a ping vagy a tracert, informcit szolgltatnak a
hlzat vagy a hlzati kapcsolat teljestmnyrl.
Az egyszer hlzatfelgyeleti protokoll (SNMP) lehetv teszi egyedi berendezsek
megfigyelst a hlzaton. Az SNMP-kpes eszkzk bepitett SNMP gynkprogramokat
hasznlnak nhny elre meghatrozott paramter bizonyos krlmnyek kztt trtn
megfigyelshez. Ezek az gynkk sszegyjtik az informcikat s egy sajt, felgyeleti
informcis adatbzis (MIB) nven ismert adatbzisban troljk azokat.
Az SNMP szablyos idkznknt lekrdezssel begyjti az az eszkzktl a felgyelt
paramterekre vonatkoz informcikat. Ezenfell az SNMP kpes olyan esemnyek
detektlsra, amelyek tllpnek egy elre meghatrozott kszbrtket vagy felttelt.
Ha a hibk szma tllpi a kszbrtket, az SNMP szleli ezt az llapotot, s elkldi azt a
hlzatfelgyeleti llomsnak (NMS). Az NMS riasztja a hlzati rendszergazdt.
Hibaelhrts s hibatartomny
A redundancia kulcsfontossg tervezsi alkotelem a vllalati hlzatok esetben.
Redundns krnyezetben, ha egy sszekttets lell, akkor azonnal megindul a forgalom
elterelse a tartalk sszekttets fel.
Ha egy adott eszkzzel vagy konfigurcival problma addik, akkor a konfigurcis
llomnyokrl kszlt biztonsgi msolat vagy egy tartalk eszkz az sszekttets gyors
helyrelltst teszik lehetv.
A hlzat biztonsgi vonatkozsait az zletfolytonossgi tervben is rszletezni kell. A terv a
kvetkezket tartalmazza:
A hibaelhrtsi folyamat
Amikor egy vllalati hlzatban valamilyen problma kvetkezik be, nagyon fontos a
problma gyors s hatkony elhrtsa a hossz ideig tart lells elkerlse rdekben.
Tbb strukturlt s strukturlatlan problmamegold technika ll a hlzati szakemberek
rendelkezsre. Ezek kz tartoznak pldul az albbiak:
Fentrl lefel
Lentrl felfel
Prblgats
Helyettests
mikor olyan helyzet addik, amikor strukturltabb megkzeltsre van szksg, a legtbb
hlzati szakember az OSI vagy a TCP/IP modellek rtegein alapul mdszert alkalmaz. A
rteg szabja meg, hogy a fentrl lefel vagy a lentrl felfel trtn megkzelts lesz-e a
megfelel.
Egy problms szituci megkzeltse sorn kvessk az ltalnos problmamegold
modellt, tekintet nlkl az alkalmazott hibaelhrtsi technika tpusra.
Elemezzk az eredmnyeket!
Gyzdjnk meg arrl, hogy nem tiltotta-e le a portot a kapcsol portvdelme. Ez az albbi
parancsok segtsgvel ellenrizhet:
show running-config
show port-security interface interface_azonost
Ha a kapcsol vdelmi belltsai tiltottk le a portot, akkor ellenrzzk le a biztonsgi
hzirendben, hogy megengedett-e a biztonsgi szablyok megvltoztatsa.
A kapcsolk a 2. rtegben mkdnek, s egy tblban nyilvntartst vezetnek minden
csatlakoztatott eszkz MAC-cmrl. Ha ebben a tblban egy MAC-cmhez helytelen
bejegyzs tartozik, akkor a kapcsol nem a megfelel port fel fogja tovbbtani az
informcit, s gy a kommunikci nem jn ltre.
Az egyes kapcsolportokhoz csatlakoztatott eszkzk MAC-cmeinek megtekintshez a
kvetkez parancs hasznlhat:
show mac-address-table
A tbla dinamikus bejegyzseinek trlshez adja ki az albbi parancsot:
clear mac-address-table dynamic
A kapcsol ezt kveten a legfrissebb informcik alapjn jra feltlti MAC-cm tblt.
Nhny kapcsol nem megfelelen szleli a csatlakoztatott eszkz sebessgt s
duplexitst. Amennyiben ez a felttelezett problma, rgztsk le az rtkeket a kapcsoln
a gazdagpnek megfelelen, az interface speed s a duplex parancsok segtsgvel!
Egy adott port sebessgnek s duplex belltsainak megjelentshez ez a parancs
hasznlhat:
show interface interface_azonost
Hurok akkor alakul ki, amikor a kapcsol nem kap BPDU-kat vagy nem kpes feldolgozni
azokat. Ez a problma a kvetkezk miatt lehet:
Hibs konfigurcik
Tlterhelt processzorok
VTP hibaelhrts
A show ip route paranccsal trtn tesztels eltt rdemes trlni az irnyttbla tartalmt
a clear ip route * paranccsal.
Az itt felismert problmkon fell, nagyon fontos, hogy mindig emlkezznk arra, hogy a RIP
mrtke az ugrsszm, mely 15 ugrsra van korltozva! Ez a korltozs nmagban is
okozhat problmt egy nagyobb vllalati hlzatban.
debug ip eigrp
Vals idben jelenti meg az EIGRP esemnyeket, kzte az sszekttetsek llapotnak
vltozsait s a forgalomirnyt tbla frisstseit.
Bizonyos problmk gyakran elfordulnak az EIGRP protokoll konfigurlsa sorn. A
kvetkez lehetsges okok miatt nem mkdhet az EIGRP:
Brmilyen kls forrsbl szrmaz, kls cllloms fel tart telnet forgalom,
melyet blokkolt egy ACL az interfszen.