Cisco 3. Féléves Tananyag

Vllalati Hlzat
A vllalat zleti folyamatainak tmogatsa

Nagymret zleti vllalkozsokknt emlegetjk az olyan vllalati krnyezeteket,
melyekhez tbb telephely, sok felhasznl vagy sok klnbz rendszer tartozik. Az
albbiak tipikus nagymret zleti vllalkozsi terletek:
Termkgyrtk
Nagykereskedelmi lncok
ttermi s szolgltati franchise hlzatok
llami s kzigazgatsi szervezetek
Krhzak
Iskolarendszerek
A nagymret zleti vllalkozsokat kiszolgl szmtgpes hlzatokat nevezzk

nagyvllalati hlzatoknak. A nagyvllalati hlzatoknak szmos kzs
jellemzjk van. Ilyenek pldul a kvetkezk:
Kritikus zleti alkalmazsokat futtatnak
Konverglt hlzati forgalmat bonyoltanak
Kzpontostott felgyeletet ignyelnek
Szertegaz zleti ignyeket elgtenek ki
A vllalkozsok hlzati infrastruktrjnak kritikus zleti folyamatokat kell

kiszolglnia. A nagyvllalati hlzat lellsa ellehetetlenti az zleti folyamatokat, ami
tttelesen bevtelkiesshez s a vsrlk elvesztshez vezethet. A felhasznlk
ezrt 99,999%-os rendelkezsre llst vrnak el a nagyvllalati szmtgpes
hlzattl.
A nagyvllalati piacra sznt eszkzknl elsdleges szempont a megbzhatsg,
ezrt ezeknek az eszkzknek olyan jellemzik vannak, mint pldul a redundns
ramellts s automatikus hibakezelsi kpessg.
A j hlzati tervezs egyik legfontosabb clja, hogy minden kritikus hibaforrst
megelzznk. Ez elssorban a redundancia biztostsval valsthat meg.
A hlzattervezs tovbbi lnyeges elemei a svszlessg-felhasznls
optimalizlsa, valamint a hlzat biztonsgnak s teljestmnynek
garantlsa.
A forgalom lehetleg mindig az adott szegmensen bell maradjon, s ne kerljn t
olyan hlzatszakaszokra, ahova nem szl az zenet.
A hromrteg, hierarchikus tervezsi modell segt a hlzat megfelel
kialaktsban. Ez a modell hrom jl elklnthet rtegre osztja a hlzat
feladatait: hozzfrsi rteg, elosztsi rteg s kzponti rteg. Mindegyik
rtegnek jl meghatrozott feladata van.
A hozzfrsi rteg a felhasznlk szmra nyjt hlzati kapcsolatot. Az

elosztsi rteg a helyi hlzatok kztti adatramlst biztostja. Vgl, a kzponti
rteg az a nagy sebessg gerinc, ahol az egymstl tvoli vghlzatok kzti
kommunikci zajlik. Felhasznli forgalom a hozzfrsi rtegben keletkezik, s
amennyiben szksg van r, thaladhat a tbbi rtegen is.
Br a hierarchikus modell alapveten 3 rteg, a kltsgek cskkentse rdekben sajt kzponti
rteg helyett sok zleti hlzat hasznlja az internetszolgltat gerinchlzatt.
Hozzfrsi rteg
Kapcsoldsi pontot biztost a nagyvllalati hlzat vgfelhasznli eszkzei

szmra.
Egy hlzati eszkz, pldul kapcsol segtsgvel lehetv teszi, hogy tbb
lloms kapcsoldhasson egymshoz.
Ugyanazon a logikai hlzaton tallhatk.
Ugyanazon a logikai hlzaton tallhat llomsok fel tovbbtja a forgalmat.
Ha a csomag egy msik hlzaton tallhat llomsnak szl, az zenetet

tadja az elosztsi rtegnek kzbestsre.
Elosztsi Rteg
Kapcsoldsi pontot biztost a klnbz helyi hlzatoknak.
A helyi hlzatok kzti informciramlst szablyozza.
Biztostja, hogy az azonos helyi hlzaton tallhat eszkzk kzti forgalom

valban ne hagyja el a hlzatot.
Tovbbtja a ms hlzatokba irnyul forgalmat.
Biztonsgi s hlzatfelgyeleti okokbl szri a bejv s kimen forgalmat.
A hozzfrsi rtegnl erteljesebb kapcsolkat s forgalomirnytkat

hasznl.
Ha a clhlzat nem kapcsoldik kzvetlenl, akkor tadja az adatokat a

kzponti rtegnek kzbestsre.
Kzponti Rteg
Redundns (tartalk) kapcsolatokat tartalmaz, nagy sebessg gerincet

alkot.
Nagy mennyisg adatot szllt a szmos vghlzat kzt.
Igen erteljes, nagy sebessg kapcsolkbl s forgalomirnytkbl ll.
A Forgalom Alakulsa a Nagyvllalati Hlzatban

A Cisco Enterprise Architectures (Cisco Vllalati Architektrk) koncepci gy
bontja fel a hlzatot funkcionlis egysgekre, hogy kzben megtartja a gerinc-,
elosztsi- s hozzfrsi rteg hrmas tagolst. A Cisco Enterprise Architectures
a kvetkez funkcionlis egysgeket hasznlja:
Vllalati telephely (Enterprise Campus): A hlzati infrastruktrt, a

kiszolglfarmot s a hlzati menedzsmentszolgltatst tartalmazza
Vllalati hatrvonal (Enterprise Edge): Az internet, a VPN s a WAN modulok

sszessge, melyek a vllalat hlzatt sszekapcsoljk a szolgltat
hlzatval.
Szolgltati hatrvonal (Service Provider Edge): Internet-, nyilvnos kapcsolt

telefon- (PSTN Public Switched Telephone Network) s WAN
szolgltatsokat nyjt.
Minden az ECNM (Enterprise Composite Network Model sszetett vllalati

hlzatmodell) modellbe belp vagy kilp adat a hatreszkzkn halad
keresztl. Ez az a pont, ahol minden csomagot meg lehet vizsglni, s el lehet
dnteni, hogy az adott csomag beengedhet-e a vllalati hlzatba. A rosszindulat
tevkenysg kiszrst elvgz behatols-rzkelsi (Intrusion Detection System
IDS) s behatols-vdelmi (Intrusion Prevention System IPS) rendszereket is a
vllalat hatrra rdemes telepteni.
pletszint hozzfrs:
Ez a hozzfrsi rteg 2. rtegbeli vagy 3. rtegbeli kapcsolkkal valstja meg a szksges
portsrsget. Itt kerlnek megvalstsra a VLAN-ok s az plet elosztsi rtege fel
vezet trnkvonalak. Az plet elosztsi rtegben elhelyezett kapcsolk fontos jellemzje a
redindancia.
plet szint elosztsi rteg:
Ez az elosztsi rtegbeli modul 3. rtegbeli eszkzkkel valstja meg az plet szint

hozzfrst. Ebben a rtegben kerl megvalstsra a forgalomirnyts, a hozzfrsvezrls s a szolgltatsminsg (QoS). A redundancia elengedhetetlen ebben a rtegben
is.
Telephely gerince:
Ez a gerincrtegbeli modul nagy sebessg kapcsolatot biztost az elosztsi rteg modulja,
az adatkzpont kiszolglfarmja s a vllalati hatrvonal kztt. Ebben a rtegben a
redundancia, a gyors konvergencia s a hibatrs ll a tervezs kzppontjban.
Kiszolglfarm:
Ez a modul biztostja a gyors kapcsolatot s a vdelmet a kiszolglknak. Ezen a terleten a
biztonsg. a redundancia s a hibatrs a legfontosabb,
Felgyelet:
Ez a fontos terlet felgyeli a teljestmnyt azltal, hogy monitorozza az
eszkzket s a hlzati elrhetsgeket.
Vllalati hatrvonal:
Ez a modul terjeszti ki a vllalati szolgltatsokat a tvoli webhelyek fel s teszi lehetv,
hogy a vllalat elrje az internetet s a partnerek szolgltatsait. Ez a modul biztostja a
szolgltatsminsget (QoS), a hlzati szablyok betartst, a szolgltatsi szinteket s a
biztonsgot.
A hibatartomny az a hlzatszakasz, melyet kzvetlenl rint egy kulcsfontossg

hlzati eszkz vagy szolgltats meghibsodsa.
A hlzati krok cskkenthetk redundns kapcsolatok s megfelel minsg,
professzionlis eszkzk hasznlatval. A kismret meghibsodsi tartomnyok
cskkentik a meghibsodsok vllalati termelkenysgre gyakorolt hatst,
egyszersmind egyszerstik a hibaelhrtst, ezltal cskkentik az egyes
felhasznlk ltal tapasztalt lellsi idt.
Vllalati LAN-ok s WLAN-ok
Egy tipikus vllalati hlzatban egyetlen kiterjedt telephely szmos helyi hlzata
kapcsoldik egymshoz az elosztsi vagy a kzponti rtegen keresztl, ltrehozva
gy a vllalati LAN-t. Ezek a helyi hlzatok kapcsoldnak aztn a fldrajzilag
tvolabb lev hlzatokhoz, kialaktva egy WAN-t.
A LAN-ok privt hlzatok, egyetlen ember vagy szervezet felgyelete alatt. Ez a
szervezet telepti, felgyeli s gondozza a teljes vezetkezst s a LAN funkcionlis
ptkvetit kpez eszkzket.
Lteznek magnkzben lev WAN-ok is. A legtbb cg internetszolgltattl (ISP
Internet Service Provider) vsrolja a WAN kapcsolatt, gy aztn az ISP felel a LANok kzti hlzati szolgltatsokrt s a WAN vgpontok gondozsrt.
Elfordulhat, hogy a vllalat f internetszolgltatja nem nyjt minden telephelyen
vagy orszgban szolgltatst, ahol a vllalatnak irodja van. Ez oda vezethet, hogy a
vllalat tbb klnbz internetszolgltattl knytelen szolgltatst vsrolni.
Szmos feltrekv orszg esetn tapasztalhat a hlzattervez pldul markns
klnbsgeket az elrhet eszkzk, a knlt WAN szolgltatsok s az
adatbiztonsgot megvalst titkostsi technolgik tern. A vllalati hlzat
tmogatsa szempontjbl lnyeges, hogy az eszkzzk, a konfigurci s a
szolgltatsok egysges szabvnyokat kvessenek.
A LAN jellemzi:
Az zemeltet szervezet felels az infrastruktra kialaktsrt s

felgyeletrt.
Az Ethernet a leggyakrabban alkalmazott technolgia.
A hlzat jellemzen a hozzfrsi- s az elosztsi rtegre fkuszl.
A LAN biztostja a felhasznlk kapcsoldst, valamint helyi alkalmazsok s

kiszolglfarmok elrst.
Az sszekapcsolt eszkzk jellemzen egy behatrolt terleten pldul egy

pleten vagy egy nagyobb telephelyen bell helyezkednek el.
A WAN Jellemzi:
Az sszekapcsolt telephelyek fldrajzilag tvol helyezkednek el egymstl.
A WAN-hoz trtn csatlakozs kln eszkz modem vagy CSU/DSU

hasznlatt ignyelheti, amely lehetv teszi az adatok szolgltati
hlzatnak megfelel formtumra alaktst.
A szolgltatsokat az ISP nyjtja. A tipikus WAN szolgltatsok kz tartozik a

T1/T3, az E1/E3, a DSL, a kbel-TV alap internet, a Frame Relay s az ATM.
Az infrastruktra kialaktsa s felgyelete az ISP feladata.
A hatreszkzk alaktjk t az Ethernet begyazst soros WAN

begyazss.
Intranetek s Extranetek
A vllalati hlzatok LAN s WAN technolgikat is alkalmaznak. Ezek a hlzatok
szmos olyan szolgltatst is nyjtanak, melyeket jellemzen az internethez
szoktunk kapcsolni. Ilyen szolgltatsok pldul az albbiak:
E-mail
Web
FTP
Telnet/SSH
vitafrumok
A cgek jellemzen ezen a privt hlzaton vagy intraneten keresztl biztostjk a

helyi s a tvoli alkalmazottaiknak az elrst LAN s WAN technolgik
alkalmazsval.
Az intranetek kapcsoldhatnak az internethez is, ilyenkor ltalban tzfal felgyeli az
intranetre belp s onnan kilp forgalmat.
Az intranetek ltalban bizalmas informcikat tartalmaznak, s kizrlag a
vllalat alkalmazottai szmra vannak kialaktva. Az intranetet minden esetben
tzfallal kell vdeni. Azok a tvolrl dolgoz alkalmazottak, akik nem kzvetlenl
kapcsoldnak a vllalati LAN-hoz, hitelestst kveten kaphatnak hozzfrst.
Bizonyos esetekben a vllalkozsok kiterjeszthetik hlzatuk elrst a kiemelt
gyfeleik s beszlltik szmra. Ennek leggyakoribb megoldsai:
Kzvetlen WAN kapcsolat
Kulcs-alkalmazsoktvoli belpssel trtn elrse
VPN kapcsolds a vdett hlzathoz
Extranetnek hvjuk az olyan intranetet, ami kls kapcsoldst biztost a vllalat

beszllti s ms szerzdses partnerei szmra. Az extranet teht egy olyan
privt hlzat (intranet), amely szervezeten kvli egynek s trsasgok
szmra biztost ellenrztt hozzfrst. Az extranet nem nyilvnos hlzat.
Forgalomramlsi mintzatok
A hlzat megtervezsnek egyik fontos szempontja, hogy meghatrozzuk az egyes
clterletek fel irnyul forgalom mrtkt s forrst. Az albbi forgalomtpusoknak
pldul alapveten a felhasznlk hlzatn bell kell maradnia:
fjlmegoszts
nyomtats
bels biztonsgi ments s adattkrzs
telephelyen belli hangtvitel
Ms forgalomtpusok elfordulhatnak a hlzaton bell s a WAN kapcsolatokon is.

Ilyenek pldul az albbiak:
rendszerfrisstsek
vllalati elektronikus levelezs
tranzakci-feldolgozs
A WAN kapcsolati forgalom mellett kls forgalomnak szmt az internetrl

szrmaz, vagy oda irnyul forgalom is. A VPN s az internet adatforgalom
egyrtelmen kls forgalom.
Az adatforgalom szablyozsa optimalizlja a hlzati svszlessg felhasznlst,
tovbb azltal, hogy monitorozsi lehetsget biztost, hozzjrul az alapfok
adatbiztonsg megvalstshoz is.
Alkalmazsok s forgalom vllalati hlzaton

A hlzati folyamat menedzselsnek megtervezse szempontjbl elsdleges
fontossg a hlzaton zajl forgalom s adatramlsi folyamatok megrtse. Ha
nem ismerjk a hlzati forgalom sszetevit, akkor a forgalom, tovbbi elemzs

cljbl, csomagvizsgl alkalmazssal rgzthet.
A hlzati forgalmi mintk megismerse rdekben fontosak az albbiak:
Mindig a forgalmi cscs kzelben rgztsk a csomagokat, gy megfelelen

j mintt nyerhetnk a klnbz tpus forgalmakbl!
Mivel bizonyos forgalomtpusok adott helyhez kthetek, mindig vegynk

mintt tbb hlzatszakaszrl is!
A csomagvizsgl alkalmazssal gyjttt mintk alapjn meghatrozhatk a forgalmi

folyamatok. A minta elemzse sorn a hlzati technikus elssorban a megvizsglt
csomagok forrs- s clcmre, valamint a forgalmi tpusokra alapozva vonhat le
kvetkeztetseket.
Clszer lehet pldul a felesleges forgalom cskkentse, vagy a teljes forgalmi
minta talaktsa egy kiszolgl thelyezsvel.
Sokszor egyetlen kiszolgl, vagy szolgltats msik hlzati szakaszba val
thelyezse nmagban javthatja a hlzat teljestmnyt. Mskor azonban csak a
hlzat jratervezsvel vagy komolyabb beavatkozssal lehet a hlzati
teljestmnyt optimalizlni.
Prioritsok a hlzati forgalomban

Adatforgalom
A legtbb hlzati alkalmazs adatforgalmat generl. Egyes alkalmazsok
rendszertelen idkzkben kldenek adatokat, mg msok (pldul az adattrhzak)
hosszabb idn t jelents mennyisg adatot tovbbtanak.
Vannak adatalkalmazsok melyek rzkenyebbek az idtnyezre, mint a
megbzhatsgra, de tbbsgk jl tolerlja a ksst. A fentiek miatt a legtbb
adatalkalmazs a TCP (Transmission Control Protocol tvitelvezrlsi protokoll)
protokollt hasznlja. A TCP protokoll nyugtk alkalmazsval kveti, hogy jra kell-e
valamelyik csomagot kldeni, ezltal garantlja a megbzhat tvitelt. A nyugtk
alkalmazsa amellett, hogy megbzhatv teszi az tvitelt, ksletetst is okoz.
Hang- s vide tvitel
A hang- s vide forgalom alapveten klnbzik az adatforgalomtl. A hang- s
videtvitel zkkenmentes adatfolyamot kvetel a j hang- s kpminsg
rdekben. A TCP protokoll nyugtzsi technikja ksseket okoz, ami megtri az
adatfolyamot, s ezltal rontja az alkalmazs minsgt. Ezrt a hang- s vide
alkalmazsok ltalban az UDP (User Datagram Protocol felhasznli datagram
protokoll) protokollt hasznljk a TCP helyett. Mivel az UDP nem tartalmaz a
csomagok jrakldst biztost eljrst, gy csak minimlis ksst okoz.
A hlzati eszkzk is ksleltetst okoznak, mikzben a tovbbtshoz feldolgozzk
a csomagokat. Az OSI modell 3. rteghez tartoz eszkzk nagyobb
ksleltetst okoznak, mint a 2. rteghez tartozk, mivel tbb fejrsz-informcit
kell feldolgozniuk. Ennek megfelelen a forgalomirnytk okozta ksleltets
pldul nagyobb, mint a kapcsolk ltal okozott.
A hlzati torlds miatti ksleltetsi bizonytalansg (jitter) az a jelensg, amikor
az egyes csomagok vltakoz hosszsg id alatt rnek el a clhoz.
Idzts-rzkeny forgalom esetn fontos cl a ksleltets s a ksleltetsi
bizonytalansg hatsait minl jobban cskkenteni.
A szolgltatsminsg (Quality of Service QoS) olyan folyamat, ami egy adott

adatfolyam szmra minsgi garancikat biztost. A QoS folyamat prioritsok
alapjn sorokba rendezi a forgalmat. A hangtvitel pldul prioritst lvez a
hagyomnyos adatokkal szemben.
Telefonos Tvmunka
A telefonos tvmunka, ms nevn e-munkavgzs, lehetv teszi, hogy a
munkavllalk a klnbz telekommunikcis lehetsgeket kihasznlva otthonrl,
vagy ms, munkahelyktl tvoli helysznrl vgezzk munkjukat. Az ilyen, tvolrl
dolgoz munkatrsat nevezzk tvmunksnak.
A munkavllal idt s pnzt takart meg, radsul nem terheli a napi utazgatssal
egytt jr stressz. Otthonukban kiltznik sem kell, gy tovbbi pnzt takarthatnak
meg a munkaltzeten. Otthon dolgozva a munkavllalk tbb idt tlthetnek
csaldjukkal.
Vannak munkakrk, melyekben nem elnys a tvmunka. Egyes pozcik
egyszeren ignylik az adott idsvban a szemlyes irodai jelenltet. Mgis egyre
tbb vllalkozs s mind gyakrabban l a technolgia biztostotta e-munkavgzs
lehetsgvel.
A hatkony tvmunka megvalstsnak vannak eszkzszksgletei. Ilyenek pldul
az albbiak:
Elektronikus levelezs
Csevegs
Munkaasztal- s alkalmazs-megoszts
FTP
Telnet
VoIP
Videokonferencia
Videokonferencia
Lehetv teszi, hogy tvoli helyeken tartzkod rsztvevk szemtl-szembe,
egymst ltva beszlgethessenek.
E-mail
Lehetv teszi egy rott zenet eljuttatst egy tvoli felhasznlhoz, aki ksbb
vlaszolni tud arra.
Azonnal zenetkld alkalmazs
Lehetv teszi azonnali zenetek validej kldst a tvoli felhasznlnak, aki
rgtn tud azokra vlaszolni.
Alkalmazs-megoszts
Lehetv teszi, hogy egyszerre tbb felhasznl is ugyanazt az alkalmazst
hasznlja.
FTP
Fjltvitelt tesz lehetv szmtgpek kztt.
Telnet
Tvoli kapcsoldst s terminlkapcsolatot biztost tvoli eszkzkhz.
VoIP
Vals idej beszlgetst tesz lehetv internetes technolgik alkalmazsval.
Virtulis Magnhlzatok
A tvmunksok ltal leggyakrabban megtapasztalt nehzsg a tvmunkhoz
hasznlatos eszkzk adatbiztonsgi problmja. A nem biztonsgos eszkzk
hasznlata miatt a tovbbtott informci lehallgathat vagy mdosthat.
Az adott feladatot ellt alkalmazsok kzl a biztonsgos tvitelt alkalmaz
vltozatokat hasznljuk. Telnet helyett pldul hasznljunk SSH klienst! Sajnos nem
minden esetben ll rendelkezsre biztonsgos alkalmazs, gy sokkal kzenfekvbb
megolds, hogy titkostsunk minden forgalmat a tvoli helyszn s a vllalati hlzat
kztt virtulis magnhlzatot hasznlva (VPN Virtual Private Network).
A VPN-eket szoks alagtnak (angolul tunnel) is nevezni. A hasonlsg
megrtshez gondolatban hasonltsuk ssze kt pont kztt a fldalatti alagt s a
fldfelszni nyilvnos tvonal lehetsgeit! Minden, ami az alagutat hasznlja a kt
pont kztt, az vdve van, s lthatatlan. Itt az alagt jelkpezi a VPN begyazst s
a virtulis alagutat.
A forrs s a cl kzti sszes kommunikcit titkostja a biztonsgos begyazst

hasznl protokoll. Ez a biztonsgos csomag kerl tovbbtsra a hlzaton. A
clllomshoz megrkezve a csomagot kicsomagoljk s visszallitjk a
titkostatlan tartalmat.
A VPN megvalstsok gyfl/kiszolgl alapak, gy a tvmunksnak elszr
teleptenie kell a VPN kliensprogramot a szmtgpre, amivel aztn ki tudja
alaktani a biztonsgos kapcsolatot a vllalati hlzat irnyba.
A VPN hlzatok egyik leggyakrabban hasznlt begyazsi protokollja az IPSec,
ami az IP Security (IP biztonsg) angol kifejezs rvidtse. Az IPSec valjban
egy szmos szolgltatst nyjt protokollcsomag. Ilyen szolgltatsok pldul:
adattitkosts, integrits-ellenrzs, trsak hitelestse. kulcskezels.
Vllalatok Hlzati Infrastruktrjnak megismerse

Vllalatok hlzati dokumentcija
Az sszes vgfelhasznli munkallomsrl, kiszolglrl s hlzati
eszkzrl (pl. kapcsolkrl s forgalomirnytkrl) dokumentcit kell vezetni. A
dokumentcik szmos tpusa ltezik, ezek mind ms-ms szemszgbl mutatjk be
a hlzatot.
A hlzatszerkezeti diagram vagy mskppen topolgia diagram nyilvntartja az
eszkzk helyt, funkcijt s llapott. Topolgia diagram kszlhet a hlzat fizikai
s logikai felptsrl egyarnt.
A fizikai topolgia rajzn ikonokkal jellik az llomsok, hlzati eszkzk s az
tviteli kzegek helyt. A fizikai topolgia rajzt mindig napraksz llapotban kell
tartani, hogy segtsgnkre lehessen a ksbbi teleptsi s hibaelhrtsi feladatok
sorn.
A logikai topolgia rajza a fizikai helyktl fggetlenl, a hlzati sszetartozs
alapjn csoportostja az llomsokat. A logikai topolgia rajzn llomsnevek, cmek,
csoportinformcik s hlzati alkalmazsok megnevezse szerepelhet. A vllalatok
hlzati diagramjai hlzatirnytsi informcikat is tartalmaznak, melyek lerjk a
hibatartomnyokat, valamint megadjk, hogy mely interfszeknl keresztezik
egymst a klnbz hlzati technolgik.
A hlzati topolgia rajza rendszerint az eredeti plet-alaprajzokon alapul.
Elkpzelhet, hogy az alaprajz megvltozott az plet elkszlse ta. A vltozsok
megfelelen jellssel vagy trajzolssal az eredeti tervrajzon is dokumentlhatk.
Az ily mdon mdostott rajzot megvalsulsi diagramnak nevezzk. Az pts
szerinti diagram a tnyleges hlzati felptst dokumentlja, amely eltrhet az
eredeti tervektl.
A hlzati diagram ksztsre alkalmas programok jelents rsze azon kvl, hogy
rajzeszkzknt hasznlhat, egy adatbzishoz is kapcsoldik. Ez a funkci lehetv
teszi, hogy a hlzati tmogatst vgz csapat tagjai rszletes dokumentcit
ksztsenek, amelyben rgztik az llomsok s a hlzati eszkzk adatait,
belertve a gyrtt, a modellszmot, a vsrls dtumt, a jtllsi idt s ms
egyb informcikat. Ha a diagramon rkattintunk egy eszkzre, akkor az eszkz
adatait megjelent rlap nylik meg.
zletfolytonossgi terv:
Az zletfolytonossgi terv (Business Continuity Plan, BCP) hatrozza meg a
termszeti vagy ember ltal elidzett katasztrfa esetn az zletfolytonossg
megrzshez szksges lpseket.
zletbiztonsgi terv:
Az zletbiztonsgi terv (Business Security Plan, BSP) tartalmazza a fizikai-,
rendszer- s szervezeti szint adatvdelmi intzkedseket. Az ltalnos biztonsgi
tervnek tartalmaznia kell egy informatikai rszt, amely lerja, hogy a szervezet
hogyan vdi a hlzatt s informcis rtkeit.
Hlzat-karbantartsi terv:
A hlzat-karbantartsi terv (Network Maintenance Plan, NMP) a hlzat folyamatos
s hatkony zemeltetsvel biztostja az zletfolytonossgot. A hlzatkarbantartsi munkkat konkrt idszakokra (ltalban jszakra vagy htvgre)
kell temezni, hogy a lehet legkisebb legyen az zletmenetre gyakorolt hatsa.
Szolgltatsi szerzds:
A szolgltatsi szerzds (Service Level Agreement, SLA) az gyfl s a szolgltat
vagy ISP kztt ltrejtt megegyezs, amely olyan tteleket rgzt, mint pldul a
hlzat rendelkezsre llsa vagy a problmk kezelsre vllalt vlaszid.
A hlzati szolgltats kzpont

A legtbb vllalati hlzatban ltezik az sszes hlzati erforrs kzponti kezelst
lehetv tev hlzati szolgltatsi kzpont (Network Operations Center, NOC).
Az ilyen kzpontot nha adatkzpontnak is nevezik.
A hlzati kzpont tipikus jellemzi:
lpadl biztostja, hogy a kbelezs s az ramellts a padl alatt jusson el

a berendezsekhez
Nagyteljestmny sznetmentes ramforrs s lgkondicionl berendezs

biztostja az eszkzk biztonsgos zemeltetst
Mennyezetbe integrlt tzoltrendszer mkdik
Hlzatfigyel llomsok, kiszolglk, biztonsgi mentst vgz rendszerek

s adattrhzak llnak rendelkezsre
Hozzfrsi rtegbeli kapcsolknak s elosztsi rtegbeli

forgalomirnytknak biztost helyet, ha a kzponti kbelrendez (Main
Distribution Facility, MDF) szerept is ez tlti be az pletben vagy a
telephelyen.
A hlzati kzpont kiszolgli ltalban kiszolglfarmot alkot klaszterekbe vannak

szervezve. A kiszolglfarm rendszerint egyetlen erforrsnak tekinthet, de
valjban kt feladatot is ellt: biztonsgi mentst kszt s terhelselosztst vgez.
Amennyiben egy kiszolgl meghibsodik vagy tlterheltt vlik, egy msik veszi t a
szerept.
A farmot alkot kiszolglk llvnyba szerelhetk, a kztk fennll sszekttetst
pedig nagyon nagy sebessg (Gigabit Ethernet vagy gyorsabb) kapcsolk
biztostjk. Amennyiben kzs hzba szerelt pengeszerverekrl (blade server) van
sz, a kztk fennll sszekttetst a hzon belli nagysebessg htlap
(backplane) kapcsolat biztostja.
A vllalati hlzati kzpont msik fontos feladata, hogy nagysebessg s nagy
kapacits adattrhzknt mkdjn. Az adattrhz vagy hlzati adattrol
(Network Attached Storage, (NAS) nagyszm lemezmeghajtt foglal kzvetlenl a
hlzatra csatlakoztatott csoportba, brmely kiszolgl szmra elrhet mdon.
Egy NAS eszkz ltalban az Ethernetre kapcsoldik s sajt IP cmmel
rendelkezik.
A trolhlzat (Storage Area Network, SAN) a hlzati adattrolk sokkal

kifinomultabb vltozata. A trolhlzat olyan nagy sebessg hlzat, amely
klnbz tpus adattrol eszkzket kapcsol ssze helyi vagy nagytvolsg
hlzaton keresztl.
A legelterjedtebb llvnyok szlessge 48,26 cm (19 hvelyk). A legtbb berendezs
mrete ehhez igazodik. A berendezsek ltal fgglegesen elfoglalt teret
tartkeret-egysgben (Rack Unit, RU) adjk meg. Egy ilyen egysg 4,4 cm (1,75
hvelyk). A 2U-val jellt panel magassga pldul 8,9 cm (3,5 hvelyk). Minl kisebb
az RU szm, annl kevesebb helyet foglal el egy eszkz, gy tbb eszkz frhet egy
llvnyba.
Egy vllalat hlzati kzpontjba kbelek ezrei futnak be, illetve onnan ki.
Strukturlt kbelezssel olyan szervezett kbelrendszer alakthat ki, amely
knnyen tlthat a teleptk, hlzati rendszergazdk s brmely ms, a
kbelekkel dolgoz szakemberek szmra.
A megfelel kbelezsi mdszerek biztostjk a kbelek vdelmt a fizikai
srlsekkel s az elektromgneses zavarokkal (EMI) szemben, ami nagymrtkben
cskkenti a felmerl problmk szmt.
A hibaelhrts megknnytshez az albbi feladatokat clszer elvgezni:
rdemes felcmkzni az sszes kbel mindkt vgt valamilyen a forrst s

a clt is jell konvenci alapjn.
rdemes feltntetni az sszes kbelnyomvonalat a fizikai hlzati topolgia

diagramon.
rdemes ellenrizni az sszes mind a rz, mind az optikai

kbelnyomvonalat egyik vgtl a msikig. Ehhez kldjnk vgig egy
vizsgljelet a kbelen, majd mrjk meg a jelvesztesget!
A kbelszabvnyok az sszes kbeltpushoz s hlzati technolgihoz

meghatrozzk az thidalhat maximlis tvolsgot. Az IEEE pldul meghatrozza,
hogy az rnykolatlan csavart rpron (UTP) keresztli Fast Ethernet technolgia
esetben a kapcsol s az lloms kztti kbelnyomvonal hossza nem lehet tbb
mint 100 mter (krlbell 328 lb). Amennyiben a kbelnyomvonal hossza
meghaladja a javasolt mrtket, adattviteli problmk merlhetnek fel. Ez
klnsen igaz, ha a kbelvgzdsek rossz minsgek.
A hlzat mkdtetshez nlklzhetetlen a kbelezsi s ellenrzsi terv
megfelel dokumentlsa.
A telekommunikcis helyisg kialaktsnak

szempontjai
A hlzati kzpont a vllalat kzponti idegrendszere. A gyakorlatban azonban a
legtbb felhasznl egy, a hlzati kzponttl tvolabb es telekommunikcis
helyisg kapcsoljhoz csatlakozik. A telekommunikcis helyisget huzalozsi
kzpontnak vagy kzbls kbelrendeznek (Intermediate Distribution Facility,
IDF) is nevezik.
A tvkzlsi helyisgben a hozzfrsi rteg hlzati eszkzei vannak, s idelis esetben a hlzati kzponthoz
hasonl krlmnyeket (pl. lgkondicionlt s UPS-t) biztost.
A hozzfrsi rteg eszkzei (pl. a kapcsolk s a hozzfrsi pontok)

hlzatbiztonsgi szempontbl lehetsges veszlyforrsok.
Az ilyen berendezsekhez trtn fizikai s tvoli hozzfrst az arra illetkes
szemlyekre kell korltozni. A hlzati szemlyzet a kapcsolkon tbbek kztt
portvdelmet, a hozzfrsi pontokon pedig klnfle vezetk nlkli biztonsgi
intzkedseket alkalmazhat.
Egy kzponti kbelrendezhz (Main Distribution Facility, MDF) szmos IDF
csatlakozhat kiterjesztett csillag topolginak megfelel elrendezsben. Az MDF
ltalban a hlzati kzpontban vagy az plet kzepn helyezkedik el.
Az MDF-ben nagysebessg kapcsolk, forgalomirnytk s kiszolglfarmok

tallhatk. A kzponti MDF kapcsolihoz vllalati kiszolglk s adattrolk is
csatlakozhatnak, gigabites rzvezetken keresztl.
Az MDF ltalban lnyegesen nagyobb, mint egy IDF.
Az IDF-ben alacsonyabb sebessg kapcsolk, hozzfrsi pontok s hubok

tallhatk. Az IDF kapcsoli ltalban nagyszm Fast Ethernet porttal
rendelkeznek, hogy biztostsk a felhasznlk szmra a hozzfrsi rtegben
trtn csatakozst.
Az IDF kapcsolk ltalban gigabites interfszen keresztl csatlakoznak az MDF
kapcsolkhoz. Ez az elrendezs hozza ltre a gerinc- vagy ms nven
fkapcsolatokat (uplink). A rz alap gigabites vagy Fast Ethernet sszekttets
hossza CAT5e vagy CAT6 kbel hasznlatval legfeljebb 100 mter lehet. Optikai
kbellel ennl lnyegesen nagyobb tvolsg fedhet le. Optikai kbeleket ltalban
az pletek kztti sszekttetshez hasznlnak. Mivel ezek nem villamos jeleket
hasznlnak, rzketlenek a villmcsapsokkal, elektromgneses zavarral (EMI),
rdijel zavarral (RFI) s a klnbz fldpotencilbl add problmkkal
szemben.
Az alapvet hlzati hozzfrsen kvl egyre elterjedtebb, hogy a vgfelhasznli

berendezsek ramelltst is kzvetlenl a telekommunikcis helyisgben
tallhat Ethernet kapcsolk biztostjk. Az ilyen tpelltst hasznl
berendezsek kz tartozik az IP-telefon, a hozzfrsi pont s a megfigyel
kamera is.
A fenti eszkzk ramelltsa az Ethernet hlzat ltal biztostott ramelltst
(Power over Ethernet, PoE) ler, IEEE 802.3af szabvny alapjn trtnik. A PoE
ugyanazt a csavart rpras kbelt hasznlja az ramellts biztostsra is, amin
az adattvitel trtnik. gy pldul lehetv vlik, hogy egy IP-telefon kln
tpkbel vagy tpcsatlakoz nlkl kerljn az asztalra. Az IP-telefonhoz hasonl
PoE eszkzk mkdtetshez a csatlakozst biztost kapcsolnak PoE
funkcival kell rendelkeznie.
A PoE szabvnyt nem tmogat kapcsolk alkalmazsa esetn n.ram-injektorok
(power injectors) vagy PoE kbelrendezk hasznlatval is megvalsthat az
Ethernet hlzat ltal biztostott ramellts.
A hagyomnyos kapcsolt a PoE kbelrendezhz kell csatlakoztatni, amely azutn
a PoE funkcikkal rendelkez eszkzhz kapcsoldik.
A vllalati perem tmogatsa

Szolgltats-tads a szolgltats-elrsi ponton
A vllalati hlzat kls hatra a szolgltats-elrsi pont (Point-of-Presence,
POP), amely a vllalati hlzatba rkez szolgltatsok belpsi pontja szolgl.
A POP-on keresztl berkez kls szolgltatsok kz tartoznak az internethozzfrs, a nagytvolsg kapcsolatok s a telefonszolgltats (PSTN).
A POP tartalmaz egy hatrpontot. A hatrpont kijelli, hogy egy adott berendezse
karbantartsa s hibaelhrtsa a szolgltat (Service Provider, SP) vagy az
gyfl felelssge. A szolgltat ltal biztostott berendezsekrt a hatrpontig a
szolgltat, azon tl pedig az gyfl felel. A szolgltat ltal biztostott
berendezsekrt a hatrpontig a szolgltat, azon tl pedig mindenrt az gyfl
felel.
A vllalatoknl a POP biztostja a sszekttetst a kls szolgltatsok s
telephelyek fel. A POP kzvetlen sszekttetst biztosthat egy vagy tbb
internetszolgltathoz, amely a bels felhasznlk szmra lehetv teszi az
ignyelt internet-hozzfrst. A vllalatok tvoli telephelyeit szintn a szolgltats-
elrsi pontokon keresztl ktik ssze. Az ilyen telephelyek kztti nagytvolsg

sszekttetst a szolgltat hozza ltre.
Gyakran az gyfl kzponti kbelrendezjn bell kap helyet, de az
internetszolgltatnl is elhelyezkedhet.
A vllalati hatrvonal biztonsgi szempontjai

A hatrvonal a kvlrl rkez tmadsok belpsi pontja, s ez a pont rendkvl
sebezhet. A szolgltatsmegtagadsos (Denial of Service, DoS) tmadsok
pldul megakadlyozzk az erforrsokhoz trtn hozzfrst az arra jogosult
felhasznlk szmra a hlzaton bell s kvl egyarnt.
A szervezet sszes bejv s kimen forgalma keresztlhalad a hatrvonalon. A
hatrvonal berendezseit gy kell konfigurlni, hogy vdelmet nyjtsanak a
tmadsok ellen, webhely, IP-cm, forgalmi minta, alkalmazs s a protokoll alap
szrst biztostsanak.
A hlzat vdelmhez a szervezetek a hatrvonalnl tzfalakat, valamint behatolsrzkel rendszerrel (Intrusion Detection System, IDS) s behatols-megelz
rendszerrel (Intrusion Prevention System, IPS) felszerelt biztonsgi eszkzket
alkalmazhatnak.
A kls helysznen dolgoz rendszergazdknak a karbantartsi feladatok s
szoftverteleptsek elvgzshez hozzfrsre van szksge a bels hlzathoz. Ez
virtulis magnhlzatok (Virtual Private Network, VPN), hozzfrsi listk
(Access Control List, ACL), felhasznli azonostk s jelszavak segtsgvel
biztosthat.
A vllalati hlzat sszekapcsolsa kls szolgltatsokkal

A vllalatok ltal megvsrolt hlzatkapcsolati szolgltatsok kz tartozik a brelt
vonal, a T1/E1 (ms nven zleti kategria), a Frame Relay s az ATM. A fenti
szolgltatsok valamilyen fizikai kbelezsen keresztl jutnak el a vllalathoz. A
T1/E1 ltalban rzvezetket, a nagyobb sebessg szolgltatsok optikai kbelt
hasznlnak.
A T1/E1 szolgltats esetben az gyfl ignyelhet egy betz panelt a T1/E1
ramkr vgzdtetshez, csakgy mint egy csatornaszolgltat /
adatszolgltat egysget (Channel Service Unit / Data Service Unit, CSU/DSU) a
megfelel elektromos interfsz s a jelzsrendszer biztostshoz a szolgltat
fel. A tulajdonostl fggetlenl minden, a szolgltats-elrsi ponton bell, vagyis az
gyfl oldaln elhelyezett berendezst elfizeti vgberendezsnek (Customer
Premises Equipment, CPE) neveznk.
A forgalomirnyt
A vllalati hlzat elosztsi rtegnek egyik fontos eszkze a forgalomirnyt.
Forgalomirnyts nlkl a csomagok nem lennnek kpesek elhagyni a helyi
hlzatot.
A forgalomirnyt hozzfrst biztost ms magnhlzatokhoz, valamint az
internethez is. A forgalomirnyt helyi interfsznek IP-cmt meg kell adni a
helyi hlzat sszes llomsnak IP-belltsainl. A forgalomirnyt ezen
interfszt alaprtelmezett tjrnak nevezzk.
A forgalomirnytk szerepe a hlzatban kulcsfontossg, mivel sszekttetst
biztostanak egy vllalati hlzat tbb telephelye kztt, redundns tvonalakat
knlnak, s biztostjk az ISP-k kztti kapcsolatot az interneten keresztl.
A forgalomirnyt pldul jracsomagolja az Ethernet hlzatbl szrmaz
csomagokat a soros begyazsnak megfelelen.
A forgalomirnyt a cl IP-cm hlzati rszt hasznlja, hogy a csomagokat a
megfelel cl fel irnytsa. Ha megsznik egy sszekttets vagy torlds
alakul ki, akkor tartalktvonalat jell ki.
A forgalomirnytk ms hasznos funkcikat is elltnak:
A szrsok kzben tartsa
sszekttets biztostsa tvoli helyek kztt
A felhasznlk alkalmazsi terlet vagy szervezeti egysg szerinti logikai

csoportostsa
Fejlett adatbiztonsg megvalstsa (hlzati cmfordtssal s ACL-ekkel)
A forgalomirnytk az alapjn is csoportosthatk, hogy a hardverkonfigurcijuk

rgztett vagy modulris. A rgztett konfigurci esetben a forgalomirnyt
interfszei fixen beptettek. A modulris forgalomirnytkat tbb bvthellyel
szlltjk, amelyek lehetv teszik a hlzati rendszergazdk szmra a
forgalomirnyt interfszeinek cserjt.
A forgalomirnytkat a legklnflbb (pl. Fast Ethernet, Gigabit Ethernet, soros,
szloptikai) interfszekkel szlltjk. A forgalomirnyt interfszeinek megnevezse
a vezrl/interfsz vagy a vezrl/bvthely/interfsz konvencit kveti.
Ha pldul a vezrl/interfsz konvencit hasznljuk, a forgalomirnytn az els Fast Ethernet interfszt az
Fa0/0 (0. vezrl s 0. interfsz) jelli. A msodikat az Fa0/1. A vezrl/bvthely/interfsz konvencit hasznl
forgalomirnytn az els soros interfszt az S0/0/0 jelli.
Kt mdszer ltezik egy PC s egy hlzati eszkz konfigurcis s ellenrzsi

feladatok cljbl trtn sszekapcsolsra: a svon kvli s a svon belli
vezrls.
A svon kvli vezrls a kezdeti konfigurci megadshoz vagy hlzati
kapcsolat hinya esetn hasznlhat. A svon kvli vezrlst hasznl
konfigurcihoz az albbiak szksgesek:
Kzvetlen sszekttets a konzol- vagy AUX-porttal
Terminlemulcis gyflprogram
A svon belli vezrls egy hlzati eszkz hlzati kapcsolaton keresztl

trtn ellenrzsre s a konfigurcis belltsok elvgzsre hasznlhat. A
svon belli vezrlst hasznl konfigurcihoz az albbiak szksgesek:
Legalbb egy csatlakoztatott s mkdkpes hlzati interfsz az eszkzn
Telnet, SSH vagy HTTP kapcsolaton keresztl elrhet Cisco eszkz
A forgalomirnyt parancssoros felletnek alapvet show

parancsai
Konfigurcikezels:
enable
configure terminal
copy running-config startup-config
erase startup-config
Globlis belltsok:
hostname
banner motd
enable
password
enable-secret
reload
Vonali belltsok:
line con
Interfszbelltsok:
interface tpus/szm
line aux
description
line vty
ip address
login and password
no shutdown
clock rate
begyazs (encapsulation)
Forgalomirnytsi belltsok:
router
network
ip route
A kapcsol
A hierarchikus tervezsi modell mindhrom rtege tartalmaz ugyan kapcsolkat s
forgalomirnytkat, a hozzfrsi rtegben ltalban tbb a kapcsol. A kapcsolk
f feladata, hogy biztostsk az llomsok (pl. vgfelhasznli munkallomsok,
kiszolglk, IP-telefonok, webkamerk, hozzfrsi pontok s forgalomirnytk)
kztti sszekttetetst. Ez azt jelenti, hogy egy vllalatnl lnyegesen tbb
kapcsolra van szksg, mint forgalomirnytra.
A nagyteljestmny vllalati s szolgltati kapcsolk tmogatjk a 100 Mbit/sectl 10 Gbit/sec-ig terjed, klnbz sebessg portokat.
Egy vllalati MDF kapcsol gigabites optikai vagy rzkbellel csatlakozik az IDF
kapcsolkhoz. Az IDF kapcsolknak ltalban mindkt RJ-45 Fast Ethernet portra
szksgk van, de kell legalbb egy gigabites Ethernet port is (rz vagy optikai) az
MDF kapcsolhoz trtn felcsatlakozshoz. A nagyteljestmny kapcsolk
nmelyike modulris portokkal rendelkezik, amelyek szksg esetn cserlhetk.
A kapcsolk portsrsge szintn lnyeges szempont. Vllalati krnyezetben, ahol
felhasznlk szzainak s ezreinek kell csatlakozni valamilyen kapcsolhoz, egy 48
portos, 1RU magassg kapcsol portsrsge nagyobb, mint egy 24 portos, 1RU
magassg kapcsol.
A forgalomirnytknl alkalmazott svon belli s svon kvli konfigurlsi

technikk a kapcsol belltsnl is ugyangy hasznlhatk.
Ellenrizzk, majd mentsk el a kapcsol konfigurcijt a copy running-config

startup-config parancs hasznlatval! A kapcsol belltsainak trlshez
hasznljuk az erase startup-config, majd a reload parancsot! Szksg lehet a
VLAN informcik trlsre is, amely a delete flash:vlan.dat paranccsal
vgezhet el.
Konfigurcikezels:
enable
configure terminal
copy running-config startup-config
erase startup-config
delete flash:vlan.dat
reload
Vonali belltsok:
line con
line vty
login and password
Globlis belltsok:
banner motd
enable password
hostname
enable-secret
ip default-gateway
Interfszbelltsok:
interface
type/number (vlan1)
ip address
speed / duplex
switchport portsecurity
A vllalati szint kapcsolsi folyamatok

megismerse
Kapcsols s a hlzat szegmentlsa
A kapcsolk portonknti ra alacsonyabb, mint a forgalomirnytk, s a keretek
vezetk sebessg gyorstovbbtsra kpesek.
A kapcsol egy nagyon jl alkalmazhat 2. rtegbeli eszkz. Legegyszerbb
szerepben tbb lloms kzponti csatlakozpontjaknt a hub-ot helyettesti. A
kapcsol sszetettebb szerepet is kaphat, ha egy vagy tbb msik kapcsolhoz
csatlakozik: redundns kapcsolatokat s virtulis LAN (VLAN)-okat hozhat ltre,
kezelhet s tarthat karban.
Egy kapcsol a forgalmat a MAC-cmek alapjn tovbbtja. Minden kapcsol
tartalmaz egy MAC-cm tblt, melyet tartalom szerint cmezhet memrinak
(content addressable memory, CAM) nevezett gyors hozzfrs memriban trol.
Minden egyes keret fogadsakor a memria tartalma frissl a forrs MAC-cme s a
berkezsi port alapjn.
Ha egy MAC-cm tbla bejegyzs egy bizonyos idn bell nem volt hasznlva, akkor
a kapcsol trli. A szban forg idintervallumot elvlsi intervallumnak, a
bejegyzs eltvoltst pedig elvlsnek nevezzk.
Egyedi cmzs keret rkezsekor a kapcsol megnzi a keret forrs MACcmt, majd ellenrzi, hogy megtallhat-e a MAC-cm tblban.
Ha nincs a tblban, akkor a kapcsol egy MAC-cmbl s egy portbl ll
bejegyzst ad a MAC-cm tblhoz, s elindtja az elvlsi idztt. Ha a MACcmhez mr ltezik bejegyzs, akkor csak alaphelyzetbe lltja az idztt.
Kvetkez lpsknt a kapcsol megvizsglja, hogy van-e bejegyzs a cllloms
MAC-cmhez. Ha igen, akkor tovbbtja a keretet a megfelel porton. Ha nincs,
akkor a keretet a berkezsi portot kivve minden porton elrasztssal kikldi.
Az tkzsi- s a szrsi tartomnyok mrete ersen befolysolja a hlzati
forgalmat.
Ha egy kapcsol szrsos keretet kap, akkor az ismeretlen clcm keret mintjra
minden aktv interfszn kikldi. A szrsi tartomnyt azon eszkzk csoportja
alkotja, amelyek mind megkapjk a szrsos keretet. Tbb kapcsol
sszekapcsolsval a szrsi tartomnyok mrete nvekszik.
Az tkzsi tartomnyok hasonl problmt okoznak. Minl tbb eszkz tartozik egy
tkzsi tartomnyhoz, annl tbb tkzs trtnik.
A hubok nagymret tkzsi tartomnyokat hoznak ltre. A kapcsolk ezzel
szemben az gynevezett mikroszegmentcival mindssze egyetlen
kapcsolportra cskkentik az tkzsi tartomnyok mrett.
Ha a kapcsol egy portjra csak egy lloms csatlakozik, akkor dediklt kapcsolat
jn ltre. Ha kt csatlakoz lloms kommunikl egymssal, akkor a kapcsoltbla
alapjn a kapcsol egy virtulis kapcsolatot, ms nven mikroszegmenst hoz
ltre a portok kztt.
A kapcsol a kerettvitel vgig fenntartja a virtulis ramkrt (VC). Tbb virtulis

ramkr is lehet aktv egyszerre. A mikroszegmentci az tkzsek szmnak
cskkentsvel s tbb egyidej kapcsolat fenntartsval javtja a svszlessg
kihasznlst.
A kapcsolk szimmetrikus s aszimmetrikus kapcsolst is tmogathatnak. Azok a
kapcsolk, melyeknek minden portjuk azonos sebessg, szimmetrikus kapcsolst
vgeznek. Sok kapcsol rendelkezik kt vagy tbb nagysebessg porttal. Ezek
a nagysebessg, ms nven fkapcsolati (uplink) portok olyan nagy svszlessg
igny kapcsolatokat hoznak ltre, mint az albbiak:
Csatlakozs ms kapcsolkhoz
sszekttets kiszolglkhoz s kiszolglfarmokho
Csatlakozs ms hlzatokhoz
Klnbz sebessg portok kztti adattvitel esetn aszimmetrikus kapcsolsrl

beszlnk. Szksg esetn a kapcsol eltrolja az informcit a memriban, s
ezzel egy tmeneti trolt biztost a klnbz sebessg portok kztt.
Tbb rteg kapcsols

2. rteg
2. rteg kapcsolk hardver alapak. Az adatforgalmat a brmely bejv portot az
sszes tbbi porttal sszekt bels ramkrkkel, a vezetk sebessgvel
tovbbtjk. A tovbbts a keretben s a MAC-tblban megtallhat cl MAC-cm
alapjn trtnik. Egy 2. rteg eszkz az adatforgalmat csak egy hlzati
szegmensen, alhlzaton bell tovbbtja.
3. rteg
A forgalomirnytk szoftver alapak, melyek mikroprocesszorok segtsgvel, IPcmek alapjn hajtjk vgre a forgalomirnytst. A 3. rteg forgalomirnyts
lehetv teszi az adatok tovbbtst klnbz hlzatok s alhlzatok kztt. Egy
csomag berkezsekor a forgalomirnyt a szoftvere segtsgvel keresi meg a
cllloms IP-cmt s a clhlzat fel vezet legjobb tvonalat. A forgalomirnyt
ezek utn a megfelel interfszre kapcsolja a csomagot.
A 3. rteg, vagy ms nven tbbrteg kapcsols (multilayer switching)

egyetlen eszkzben egyesti a hardver-alap kapcsolst s a hardver-alap
forgalomirnytst.
Egy tbbrteg kapcsol egy 2. rtegbeli kapcsol s egy 3. rtegbeli
forgalomirnyt tulajdonsgait tvzi. A 3. rteg kapcsolst kln erre a clra
kifejlesztett, alkalmazs-specifikus integrlt ramkrk (application-specific
integrated circuit, ASIC) vgzik. A keret- s csomagtovbbts ugyanazon ramkrk
segtsgvel trtnik.
A tbbrteg kapcsolk gyakran elmentik vagy gyorsttrba helyezik egy
adatfolyam els csomagjnak irnytsi informciit. Ez lehetv teszi, hogy az
adatfolyam tbbi csomagjnl mr ne legyen szksg a keressi folyamatra,
hiszen a szksges informci a memriban mr megtallhat. Ez a
gyorsttras megolds is hozzjrul az ilyen eszkzk nagy
teljestkpessghez.
Kapcsolsi mdszerek
A kt mdszer a trol-s-tovbbt, illetve a kzvetlen tovbbts. Mindkt
mdszernek lteznek elnyei s htrnyai.
Trol-s-tovbbt
Ennl a kapcsolsi mdnl a kapcsols az egsz keretet beolvassa s eltrolja a
memriban, mieltt kiklden a cleszkz fel. A ciklikus redundancia ellenrz
rtk (cyclic redundancy check, CRC) kiszmtsval ellenrzi az adatbitek
rvnyessgt. Ha a kiszmtott rtk egyezik a CRC mez tartalmval, akkor a
kapcsol tovbbtja a keretet a cllloms fel. Ha a CRC rtkek nem egyeznek,
akkor a kapcsol nem tovbbtja a keretet. A CRC mez az Ethernet keret
keretellenrz (frame check sequence, FCS) mezjben tallhat.
Br ez a mdszer ugyan megakadlyozza a hibs keretek tovbbtst, nagy
htrnya, hogy a lehet legnagyobb ksleltetssel jr. Ennek kvetkeztben ezt a
kapcsolsi mdot leginkbb olyan krnyezetben hasznljk, ahol igen gyakoriak
pldul az elektromgneses interferencia (EMI) okozta tvitelhibk.
Kzvetlen kapcsols
Ennek a mdszernek tovbbi kt alvltozata ltezik: a gyorstovbbts s a
tredkmentes kapcsols. Mindkt esetben a kapcsol a teljes keret
megrkezse eltt mr elkezdi a keret tovbbtst. Mivel ebben az esetben a
kapcsol nem szmtja ki s nem ellenrzi a CRC rtket, srlt keretek is
tovbbtsra kerlhetnek.
A gyorstovbbts a kapcsols leggyorsabb mdja. A kapcsol amint elolvassa a
cl MAC-cmet, azonnal elkezdi a keret tovbbtst a megfelel clportra.
Ennek a mdszernek a legkisebb a ksleltetse, de tkzstredkeket s srlt
kereteket egyarnt tovbbt. Egy stabil, kis hibaarny hlzatban ez a
legmegfelelbb kapcsolsi mdszer.
A tredkmentes kapcsolsnl a kapcsol a tovbbts eltt megvrja a keret
els 64 bjtjt, majd tkapcsolja a keretet a clportra. A legrvidebb rvnyes
Ethernet keret ugyanis 64 bjt hossz. Kisebb keretek ltalban tkzsek
kvetkeztben jnnek ltre s ezeket tkzstredknek (runt) hvjuk.
A fentiek miatt az els 64 bjt ellenrzsvel elrhet, hogy a kapcsol

tkzstredkeket ne tovbbtson.
A trol-s-tovbbt mdszer jr a legnagyobb s a gyorstovbbts a legkisebb
ksleltetssel. A tredkmentes kapcsols ksleltetse az elz kt rtk kztt
helyezkedik el. A tredkmentes kapcsols a legmegfelelbb vlaszts olyan
krnyezetben, ahol sok az tkzs. A jl megtervezett hlzatoknl azonban az
tkzs nem jelent problmt, gy ilyen hlzatokban a gyorstovbbts a
legjobb mdszer.
Manapsg a legtbb Cisco LAN kapcsol a trol-s-tovbbt kapcsolsi
mdszert alkalmazza, mivel az jabb technolginak s a gyorsabb feldolgozsi
idnek ksznheten a kapcsolk hibzs nlkl kpesek a kzvetlen kapcsolssal
kzel megegyez sebessggel az adatokat eltrolni s feldolgozni. Ezen fell a
professzionlis, pldul a tbbrteg kapcsolk esetben mindenkppen a trols-tovbbt mdszer kell alkalmazni.
Lteznek olyan jabb 2. s 3. rtegbeli kapcsolk, melyek kpesek a vltoz hlzati
krlmnyekhez alkalmazkodni.
Ezek a kapcsolk kezdetben a gyorstovbbtst alkalmazzk az elrhet legkisebb
ksleltets rdekben. Ugyan a kapcsol nem ellenrzi a keretet a tovbbtsa
eltt, de felismeri a hibkat, s a memriban egy szmll segtsgvel
nyilvntartja azok szmt. A szmll rtkt a kapcsol idrl-idre sszeveti egy
elre definilt kszbrtkkel.
Ha a hibk szma meghaladja a kszbrtket, akkor ez a kapcsol szmra azt
jelenti, hogy a tovbbtott hibs keretek mennyisge mr nem elfogadhat mrtk.
Ebben az esetben a kapcsol tvlt trol-s-tovbbt kapcsolsi mdra. Ha a
hibk szma visszaesik a kszbrtk al, akkor a kapcsol visszavlt
gyorstovbbtsra. Ezt a mdszert adaptv kzvetlen kapcsolsnak hvjuk.
A kapcsolkat ltalban a szervezeten bell hasznljk, tervezsknl az egyszer
kapcsoldsi lehetsg biztostsa volt a cl, gy nem vagy csak kevs biztonsgi
bellts lehetsges rajtuk.
Az albbi, kapcsolkon alkalmazhat alapszint biztonsgi eljrsok lehetv
teszik, hogy csak jogosult felhasznlk frhessenek hozz az eszkzkhz:
Az eszkz fizikai vdelme
Titkostott jelszavak hasznlata
SSH elrs engedlyezse
A hozzfrs s az adatforgalom felgyelete
A http hozzfrs letiltsa
Nem hasznlt portok letiltsa
A portvdelem engedlyezse
A telnet letiltsa
A kapcsolsi hurkok kialakulsnak megelzse

Redundancia a kapcsolt hlzatokban
Egy sszekttets, egy eszkz vagy egy kapcsol kritikus portjnak meghibsodsa
a hlzat mkdskptelensgt okozza. A hlzat megtervezsekor
redundancira van szksg a magas szint megbzhatsg fenntartsa, valamint a
meghibsodsra rzkeny s kritikus pontok cskkentse rdekben. A
redundancit a hlzati eszkzk s a kritikus terletek fel vezet
sszekttetsek duplzsval lehet megvalstani.
A hlzati mrnkknek ltalban mrlegelnik kell s egyenslyt kell tallni a

redundancival jr kltsgek s a hlzat rendelkezsre llsi kvetelmnye
kztt.
A redundancia tulajdonkppen azt jelenti, hogy pldul egy adott cl fel kt tvonal
is ltezik.
A kapcsolk esetben redundancit a kztk kialakitott tbbszrs
sszekttetssel rhetnk el. A kapcsolt hlzatokban megvalstott redundancia
cskkenti a torldsokat, bizostja a nagymrtk rendelkezsre llst, valamint
a terhelselosztst.
A kapcsolk kztt ltrehozott sszektsek ugyanakkor problmk forrsai is
lehetnek. Az Ethernet forgalom szrsos jellege miatt pldul kapcsolsi hurkok
jhetnek ltre. A szrsos keretek krbe-krbe jrnak minden irnyban, szrsi
viharokat eredmnyezve. A szrsi viharok az elrhet svszlessget
lefoglaljk, gy elfordulhat, hogy jabb hlzati kapcsolatok ltrejttt akadlyozzk
meg, valamint rgiek megszaktst eredmnyezik.
Kapcsolt hlzatokban a szrsi viharok mellett az egyedi cmzs keretek is
okozhatnak problmt. Ilyen problmatpus pldul a tbbszrs kerettovbbts
vagy a MAC-adatbzis instabilitsa.
Tbbszrs kerettovbbts
Ha egy lloms egyedi cmzs keretet kld egy olyan llomsnak, melynek MACcme egyetlenegy csatlakoz kapcsol MAC-tbljban sem tallhat meg, akkor
mindegyik kapcsol az sszes portjn kikldi a keretet. Nem hurokmentes
hlzatban a keret visszarkezhet a kezdemnyez kapcsolhoz. A folyamat gy jra
meg jra megismtldik, a keret tbbszrs pldnyt ltrehozva a hlzaton.
Ez hrom problmt is okozhat: svszlessg felesleges lefoglalsa, CPU
idvesztesg, valamint az adatforgalom esetleges duplzsa.
MAC-adatbzis instabilits
Redundns hlzatokban elfordulhat, hogy a kapcsol egy lloms
elhelyezkedsrl rossz informcit tanul meg. Ha ltezik hurok, akkor a kapcsol
egy lloms MAC-cmt akr kt kln porttal is sszefggsbe hozhatja. Ez nem
egyrtelm helyzetet s az optimlistl elmarad kerettovbbtst okozhat.
Fesztfa protokoll (Spanning tree protocol, STP)

A fesztfa protokoll kapcsolt hlzatok redundns sszekttetseinek letiltsra
szolgl. Az STP hurkok nlkl biztostja a megbzhatsg nvelshez szksges
redundancit.
Az STP egy nylt szabvny protokoll, melyet kapcsolt krnyezetben,
hurokmentes logikai topolgia ltrehozsra hasznlnak.
Az STP egy minimlis konfigurlst ignyl, lnyegben nllan mkd protokoll.
Azok a kapcsolk, melyeken engedlyezett az STP az els bekapcsolskor
ellenrzik a kapcsolt hlzatok esetleges hurkait. Hurok szlelsekor letiltjk az
rintett portok valamelyikt, mg a tbbi porton aktv marad a kerettovbbts.
A kapcsolsi hurkok kialakulsnak megelzsre az STP az albbiakat teszi:
Bizonyos interfszeket kszenlti vagy lezrt llapotba helyez
A tbbi interfszt tovbbt llapotban hagyja
Ha egy tovbbt tvonal elrhetetlenn vlik, akkor a hlzat

jrakonfigurlsval a megfelel kszenlti tvonalat aktivlja.
Az STP terminolgit kvetve a kapcsolt gyakran hdnak nevezik. Pldul a

gykrponti hd az STP topolgia elsdleges kapcsolja, vagyis kzponti
pontja. A gykrponti hd gynevezett hd-protokoll adategysgek (Bridge Protocol
Data Unit, BPDU) segtsgvel kommunikl a tbbi kapcsolval. A gykrponti
kapcsol kt msodpercenknt csoportcmzssel BPDU keretet kldik ki az
sszes tbbi kapcsolnak. A BPDU tbbek kztt a kvetkez informcikat
tartalmazza:
A BPDU-t kld kapcsol azonostja
A forrsport azonostja
A gykrponti hdhoz vezet tvonal sszestett kltsge
Az elvlsi idztk rtke
A hello idztk rtke
Port azonost:
Minden port esetn egyedi rtket tartalmaz
A Port 1/1 esetn a 0x8001 rtket tartalmazza, mg a Port 1/2 esetn a 0x8002 rtket, stb.
A kapcsol elindtsa utn minden port vgighalad a kvetkez ngy llapot

sorozatn: lezrt, figyel, tanul s tovbbt. Az tdik, letiltott llapot jelzi, hogy
a rendszergazda a portot letiltotta.
Miutn a portok vgigmennek ezeken az llapotokon, a kapcsol port LED-jei villog
narancssznbl folyamatos zldre vltanak.
Bekapcsolskor a portok lezrt llapotba kerlnek, azonnal megakadlyozva a
hurkok kialakulst. Ezutn figyel llapotba lpnek, ahol mr fogadjk a
szomszd kapcsolk BPDU kereteit. A kapott BPDU informci feldolgozsa utn
a kapcsol eldnti, hogy mely portok tovbbthatnak adatkereteket anlkl, hogy
hurok alakulna ki. Ha egy port adatkereteket tovbbthat, akkor a port elszr
tanul mdba, majd tovbbt mdba kerl.
A hozzfrsi portok nem okozhatnak hurkokat a hlzatban, ezrt ha lloms
kapcsoldik rjuk rgtn tovbbt mdba kerlhetnek. A trnkportok esetn viszont
fennll a veszlye hurok kialakulsnak, gy azok vagy tovbbt-, vagy lezrt
llapotba kerlnek.
Gykrponti hidak
Az STP mkds els lpseknt a kapcsolk meghatrozzk a hlzat
kzponti pontjt. Az STP ezt a kzponti pontot, ms nven gykrponti hdat
(gykrponti kapcsolt) hasznlja annak eldntsre, hogy mely portok kerljenek

lezrt s melyek tovbbt llapotba. A gykrponti hd a hlzat topolgijra
vonatkoz informcit tartalmaz BPDU-kat kld minden kapcsolnak. Ezen
informcik teszik lehetv a hlzat jrakonfigurlst hiba esetn.
Minden hlzatban csak egy gykrponti hd ltezik, melyet a kapcsolk a
hdazonost (bridge ID, BID) alapjn vlasztanak ki. Ezt az azonostt a hd
prioritsa s MAC-cme hatrozza meg.
A hdpriorits alaprtelmezett rtke 32,768. Az AA-11-BB-22-CC-33 MAC-cm
kapcsol alaprtelmezett hdazonostja 32768 : AA-11-BB-22-CC-33 lenne.
A gykrponti hd a legkisebb hdazonostj kapcsol. Mivel ltalban a

kapcsolk az alaprtelmezett rtket hasznljk prioritsnak, gy alaprtelmezetten a
legkisebb MAC-cm kapcsol lesz a gykrponti hd.
Bekapcsolskor mindegyik kapcsol azt felttelezi, hogy a gykrponti hd,
ezrt elkezdi a sajt azonostjval elltott BPDU-k kikldst. Ha S2 kisebb rtk
azonostt hirdet mint S1, akkor S1 nem folytatja sajt azonostjnak hirdetst s
elfogadja, hogy S2 a gykrponti hd.
Az STP hrom klnbz port tpust definil: gykrponti port, kijellt port s
lezrt port.
Gykrponti port
Egy kapcsol azon portja amelybl a legkisebb kltsg tvonal vezet a gykrponti
kapcsolhoz. A kapcsolk a gykrponti kapcsolhoz vezet tvonal
sszekttetseinek ered kltsgrtke alapjn hatrozzk meg a legkisebb
kltsg tvonalat.
Kijellt port
Egy hlzatszegmens azon portja amelyen t az adott szegmens s gykrponti hd
kztti adatforgalom halad, de nem tartozik a legkisebb kltsg tvonalhoz.
Lezrt port
Olyan port, mely nem tovbbt adatforgalmat.
Az STP konfigurlsa eltt a hlzati rendszergazda elemzi s teszteli a hlzatot,
hogy a legmegfelelbb kapcsol legyen a fesztfa gykrpontja.
A gykrponti hd funkcinak legmegfelelbb kapcsol azonostjt a tbbihez

kpest kisebb priorits rtkkel kell konfigurlni. A bridge priority paranccsal
llthat be a priorits rtke. Ez 0-tl 65535-ig terjedhet, s 4096 egsz szm
tbbszrsnek kell lennie. Az alaprtelmezett rtk 32768.
A priorits belltsa:
S3(config)#spanning-tree vlan 1 priority 4096
A priorits alaprtelmezett rtknek visszalltsa:
S3(config)#no spanning-tree vlan 1 priority
Fesztfa egy hierarchikus hlzatban

A gykrponti hd kt msodpercenknt BPDU csomagokat kld a hlzaton
keresztl minden kapcsolnak. Az STP folyamatosan figyeli ezeket a BPDU-kat az
sszekttets hibinak s jabb hurkok keletkezsnek elkerlse rdekben.
Ha egy sszekttets meghibsodik, akkor az STP jbl elvgzi a szmtsokat.
Ennek eredmnyeknt:
Bizonyos lezrt portokat tovbbt mdba helyez
Bizonyos tovbbt portokat lezrt llapotba helyez
j fesztft kszt a hurokmentes hlzat fenntartsa rdekben
Az STP nem azonnal reagl a vltozsokra. Ha egy sszekttets meghibsodik,

akkor az STP szreveszi a hibt s kiszmolja a legjobb tvonalakat a hlzaton. Ez
a szmts akr 30-50 msodpercet is ignybe vehet.
Ezen id alatt nincs adatforgalom az jraszmtsban rintett portokon.
Gyakori STP jraszmolsok negatv hatst gyakorolnak a hlzat mkdsre.

Stabil hlzatban az STP jraszmolsok nem tl gyakoriak. Instabil hlzatban
fontos a kapcsolk stabilitsnak s konfigurci vltozsainak ellenrzse. Az STP
jraszmolsok egyik leggyakoribb oka a kapcsol hibs tpelltsa. A hibs
tpellts az eszkz vratlan jraindulst eredmnyezheti.
Az STP tbbirny tovbbfejlesztse is hozzjrul ahhoz, hogy az jraszmols
miatt fellp kiess idtartama cskkenjen.
PortFast
Az STP PortFast egy hozzfrsi port szmra lehetv teszi, hogy a figyel s
tanul llapotok kihagysval rgtn tovbbt mdba kerljn. A csupn
egyetlen lloms vagy kiszolgl kapcsoldst biztost hozzfrsi portokon
bellitott PortFast mddal elrhet, hogy ezen eszkzk mg az STP konverglsa

eltt csatlakozzanak a hlzathoz.
UplinkFast
Egy sszekttets vagy kapcsol meghibsodsa, illetve az STP
jrakonfigurlsa esetn az STP UplinkFast felgyorstja az j gykrport
kivlasztst. A gykrport az STP normlis mkdstl eltren, a figyel- s
tanul llapotok kihagysval rgtn tovbbt mdba kerl.
BackboneFast
A BackboneFast gyors konvergencit biztost a fesztfa topolgia megvltozsakor.
Gyorsan visszalltja a gerinchlzati sszekttetseket. Az elosztsi s a kzponti
rtegben hasznljk, ahol tbb kapcsol csatlakozik egymshoz.
Mivel a PortFast, UplinkFast s a BackboneFast a Cisco sajt fejlesztsei, gy
ms gyrtmny kapcsolk esetn nem alkalmazhatak. Ezen fell mindhrom
funkci kln konfigurlst ignyel.
Szmos hasznos parancs ltezik a fesztfa protokoll helyes mkdsnek
ellenrzsre.
Show spanning-tree A gykrponti hd azonostjt, a hdazonostt s a

portok llapott jelenti meg
Show spanning-tree summary A portok llapotrl ad sszefoglal

informcit
Show spanning-tree root A gykrponti hd llapott s konfigurcijt

jelenti meg
Show spannig-tree detail Rszletes informcit nyjt a portokrl
Show spanning-tree interface - Az STP interfszek llapott s

konfigurcijt jelenti meg
Show spanning-tree blockedports - Megmutatja a lezrt portokat
Gyors fesztfa protokoll (Rapid spannig tree

protocol, RSTP)
Amikor az IEEE kifejlesztette az eredeti 802.1D Fesztfa protokollt (STP), akkor mg
1-2 perc helyrelltsi id elfogadhat volt. Manapsg a 3. rteg kapcsols s a
fejlettebb irnyt protokollok gyorsabb alternatv tvonalat biztostanak a
clllomshoz.
Az IEEE 802.1w szabvnyaknt ismert gyors fesztfa protokoll (RSTP) jelentsen
felgyorstja a fesztfa jraszmolst. Eltren a PortFast, UplinkFast s
BackboneFast funkciktl az RSTP nem cgorientltan zrt protokoll.
Az RSTP a kapcsolk kztt duplex, pont-pont sszekttetst ignyel a legnagyobb

jrakonfigurlsi sebessg elrshez. Az RSTP-vel a fesztfa jrakonfigurlsa
kevesebb, mint 1 msodperc alatt megtrtnik,
Az RSTP hasznlatakor nincs szksg az olyan funkcikra, mint a PortFast s az
UplinkFast. Az RSTP visszallthat STP-re annak rdekben, hogy a szolgltats
hagyomnyos eszkzkkel egytt is mkdjn.
Az jraszmolsi id cskkentsre az RSTP mindssze hromra cskkenti a
port llapotok szmt: eldob, tanul s tovbbt. Az eldob llapot az eredeti
STP hrom llapothoz, a lezrt-, a figyel- s a letiltott llapotokhoz hasonlthat.
Az RSTP bevezeti az aktv topolgia fogalmt. Minden nem eldob llapotban lv
port az aktv topolgia rsze, s azonnal tovbbt mdba kerl.
VLAN-ok konfigurlsa
Virtulis LAN
Kapcsolt hlzatban az zenetszrsok korltozsa s az azonos felhasznlsi
terlethez tartoz llomsok csoportostsa rdekben virtulis helyi hlzatok
(VLAN - virtual local area network) hozhatk ltre.
A VLAN egy logikai zenetszrsi tartomny, mely tbb fizikai LAN szegmensre is
kiterjedhet. Lehetsget nyjt a rendszergazdknak az llomsok logikai
csoportostsra a fizikai elhelyezkeds figyelembevtele nlkl, pldul
projektcsoportok vagy alkalmazsi terlet alapjn.
Az zenetszrsok a VLAN-ok kztt nem kerlnek tovbbtsra, hanem a VLAN-on

bell maradnak.
Minden VLAN nll helyi hlzatknt mkdik.
A VLAN kt legfontosabb feladata:
Az zenetszrsok VLAN-on bell tartsa.
Az eszkzk csoportostsa. Az egyik VLAN-hoz tartoz llomsok

lthatatlanok maradnak egy msik VLAN llomsai szmra.
Virtulis helyi hlzatok kztti adattovbbtshoz harmadik rtegbeli eszkz

szksges.
Kapcsolt hlzatban az eszkzk elhelyezkedsk, MAC-cmk, IP-cmk vagy
leggyakrabban hasznlt alkalmazsaik alapjn lehetnek egy adott VLAN tagjai. A
hozzrendelst a rendszergazda elvgezheti statikusan vagy dinamikusan.
Statikus VLAN tagsg estn a rendszergazda manulisan rendel minden
kapcsolportot egy meghatrozott VLAN-hoz. Pldul az Fa0/3-as portot
hozzrendelheti a 20-as VLAN-hoz, gy brmelyik eszkzt is csatlakoztatunk ide, az
automatikusan a 20-as VLAN tagjv vlik.
Dinamikus VLAN-tagsg belltsnl egy VLAN-tagsgot kezel kiszolgl
(VMPS - VLAN management policy server) alkalmazsa szksges, amely
nyilvntartja a MAC-cmek s VLAN-ok kztti megfeleltetseket. Amikor egy eszkz
egy kapcsolporthoz csatlakozik, a VMPS megkeresi adatbzisban az adott MACcmet, s a hasznlt portot tmenetileg a megfelel VLAN-hoz rendeli.
A dinamikus VLAN-tagsg tbb szervezst s belltst ignyel, azonban jval

rugalmasabb rendszert hoz ltre a tagsgok kezelsre, mint a statikus mdszer. A
hozzads, a vltoztats s az eltvolts automatikusan megy vgbe, s nincs
szksg rendszergazdai beavatkozsra.
VLAN-ok ltrehozsa akr statikusan, akr dinamikusan trtnik, maximlis szmuk
a kapcsol tpustl s az IOS-tl fgg. Alaprtelmezs szerint az 1-es VLAN a
felgyeleti VLAN.
A kapcsol tvoli konfigurlsra a felgyeleti VLAN IP-cmt hasznlhatja a
rendszergazda. Tvoli elrs esetn bellthatja s karbantarthatja a VLANkonfigurcikat.
A felgyeleti VLAN szolgl a ms hlzati eszkzkkel folytatott Cisco Discovery
Protocol (CDP) s VLAN Trunking Protocol (VTP) informcicserre is.
Egy VLAN ltrehozsakor egy szmot s egy nevet kell megadni. A VLAN szma, az
1-es VLAN-t leszmtva, brmely rtk lehet a kapcsoln engedlyezett
tartomnybl. Nmely kapcsol megkzeltleg 1000 VLAN ltrehozst teszi
lehetv, mg msok akr a 4000-et is tmogatnak. A VLAN-ok elnevezse a hlzat
zemeltetinek erre vonatkoz gyakorlatt kveti.
Virtulis helyi hlzat konfigurlsa

VLAN-ok ltrehozsra globlis konfigurcis mdban az albbi parancsok
hasznlhatk:
Switch(config)#vlan vlan_szm
Switch(config-vlan)#name vlan_nv
Switch(config-vlan)#exit
Az egyes portok a mr ltez VLAN-okhoz rendelhetk. Kezdetben alaprtelmezs
szerint minden port az 1-es VLAN-hoz tartozik. A portok hozzrendelse trtnhet
egyesvel vagy csoportosan.
Tbb port egyidej VLAN-hoz rendelsre az albbi parancsok hasznlhatk:
Switch(config)#interface fa0/port_szm
Switch(config-if)#switchport access vlan vlan_szm
Switch(config-if)#exit
Tbb port egyidej VLAN-hoz rendelsre az albbi parancsok hasznlhatk:
Switch(config)#interface range fa0/tartomny_kezdete - tartomny_vge
Switch(config-if)#switchport access vlan vlan_szm
Switch(config-if)#exit
VLAN-ok ellenrzsre s karbantartsra az albbi parancsok hasznlhatk:

show vlan
Rszletes listt jelent meg a kapcsol jelenleg aktv VLAN-jairl, feltntetve

azok nevt, szmt s a hozzrendelt portokat.
STP statisztikt jelent meg, ha a kapcsol VLAN-alap STP-re van belltva.
show vlan brief
sszestett listt jelent meg kizrlag az aktv VLAN-okrl s az azokhoz

rendelt portokrl
show vlan id azonost_szm
Az azonostszmval (ID) megadott VLAN-ra vonatkozan jelent meg

informcikat.
show vlan name vlan_szm
A nevvel megadott VLAN-ra vonatkozan jelent meg informcikat.
Egy szervezetnl gyakran elfordul, hogy egy osztly vagy egy projektcsapat
sszettele megvltozik: j munkatrsak kerlhetnek a csapathoz, mg msok
munkahelye megsznhet vagy j helyre kerlhet. Az ilyen gyakori vltozsok
szksgess teszik a VLAN-ok karbantartst, belertve egy vagy tbb VLAN
trlst vagy portok hozzrendelst egy msik virtulis hlzathoz.
A VLAN-ok trlse s a VLAN-hoz taroz port-hozzrendelsek megszntetse kt,
egymstl jl elklnthet rendeltets s eredmny mvelet. Amikor egy port, egy
meghatrozott VLAN-hoz tartoz hozzrendelst megszntetjk, visszakerl az 1es VLAN-ba. Amikor egy VLAN-t trlnk, minden hozztartoz port inaktvv vlik,
mivel egyetlen VLAN-hoz sem tartozik.
VLAN trlse:
Switch(config)#no vlan vlan_szm
Port kivtele egy meghatrozott VLAN-bl:
Switch(config-if)#no switchport access vlan vlan_szm
VLAN-ok azonostsa
A kapcsol minden portjhoz egy meghatrozott VLAN-t rendel. Amikor egy keret
rkezik a portra, a kapcsol bejegyzi az Ethernet keretbe a VLAN azonostjt (VID VLAN ID). A VID Ethernet kerethez trtn hozzadst keretcmkzsnek (frame
tagging) nevezik. A leggyakrabban alkalmazott cmkzsi szabvny az IEEE
802.1Q.
A 802.1Q szabvny, rviden dot1q, egy 4-bjtos mezt illeszt az Ethernet keretbe, a
forrscm s a tpus/hossz mez kz.
Mivel az Ethernet keret legkisebb mrete 64 bjt, a legnagyobb mrete pedig 1518
bjt lehet, a felcmkzett keret mrete elrheti az 1522 bjtot.
A keretek tbbek kztt az albbi mezket tartalmazzk:
a forrs s a cl MAC-cme
a keret hossza
hasznos adat
keretellenrz sszeg (FCS - frame check sequence)
Az FCS mez a keret hibaellenrzst tesz lehetv, biztostva az sszes bit

srtetlen kzbestst.
A cmkzsi mez megnveli az Ethernet keret minimlis hosszt 64 bjtrl 68-ra, s
a maximlis hosszt 1518-rl 1522 bjtra.
Ha 802.1Q protokollt nem tmogat eszkz vagy port 802.1Q keretet kap, a
cmkzsi adatot figyelmen kvl hagyja, s a keretet egy szokvnyos Ethernet
keretknt tovbbtja a msodik rtegben. Ebbl kvetkezen tovbbi msodik
rtegbeli kzbls eszkzk (pldul kapcsolk s hidak) helyezhetk el a trnk
vonalon. A 802.1Q keretcmkzs kezelshez ezeknek az eszkzknek 1522 bjtos
vagy nagyobb keretek kezelsre is kpesnek kell lennik.
Trnkportok
A VLAN-oknak hrom f feladatuk van:
az zenetszrsi tartomnyok korltozsa
a hlzat teljestmnynek nvelse
alapszint vdelem biztostsa
A VLAN-ok sszes elnynek kihasznlsa rdekben a VLAN-ok tbb kapcsolra is

kiterjeszthetk.
A kapcsol portjai kt klnbz feladat elltsra konfigurlhatk: vagy hozzfrsi
portok, vagy trnkportok lesznek.
Hozzfrsi port
A hozzfrsi port kizrlag egy VLAN-hoz tartozik. ltalban egyetlen eszkz,
asztali gp vagy kiszolgl kapcsoldik ehhez a porthoz. Ha hubon keresztl tbb
lloms is csatlakozik hozz, mindegyik ugyanannak a VLAN-nak a tagja lesz.
Trnkport
A trnkport kt kapcsolt vagy ms hlzati eszkzt sszekt pont-pont kapcsolat,
mely tbb VLAN forgalmt tovbbtja egyetlen kapcsolaton keresztl, lehetv
tve a VLAN-ok szmra a teljes hlzat elrst. Trnkportokra van szksg,
amennyiben klnbz VLAN-okhoz tartoz eszkzk kztti forgalmat kell
tovbbtani olyan krnyezetben, ahol egy kapcsol egy msik kapcsolhoz, kapcsol
forgalomirnythoz vagy kapcsol egy 802.1Q trnklst tmogat hlzati
krtyval rendelekez llomshoz csatlakozik.
Tbb VLAN forgalmnak egyidej szlltsa egyetlen sszekttetsen a VLAN-ok

azonostst teszi szksgess. A trnkportok tmogatjk a keretcmkzst, melynek
sorn VLAN informcik kerlnek a keretbe.
A IEEE 802.1Q a keretcmkzsre vonatkoz szabvnyos s elfogadott eljrs. A
Cisco kifejlesztett egy sajt keretcmkzsi protokollt is, kapcsolk kztti
sszekttets (ISL - Inter-Switch Link) nven.
Alaprtelmezs szerint a kapcsolk portjai hozzfrsi portok. Trnkport
konfigurlsra az albbi parancsok hasznlhatk:
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk encapsulation {dot1q | isl | negotiate}
A 802.1Q s az ISL protokollokat egyarnt tmogat kapcsolk esetn az
utols parancssor is szksges. A 2960-as kapcsol esetn ez felesleges, hiszen
ez csak a 802.1Q protokollt tmogatja.
A negotiate (egyeztet) paramter a legtbb kapcsoln alaprtelmezett. Ez a
bellts a szomszdos kapcsolk kztti begyazs tpusnak automatikus
szlelst rja el.
Az jabb kapcsolk kpesek az sszekttetsek msik vgpontjnak belltsait

felismerni, gy a csatlakoz eszkz szerint konfigurljk a kapcsolatot trnk, illetve
hozzfrsi portnak.
Switch(config-if)#switchport mode dynamic {desirable | auto}
desirable (elvrt) mdban a port trnkport lesz, ha az sszekttets tls vge
trunk, desirable, vagy auto mdban van.
auto mdban a port trnkport lesz, ha az sszekttets tls vge trunk vagy
desirable mdban van.
Ha egy trnkportot ismt hozzfrsi portra szeretnnk konfigurlni, az albbi
parancsok hasznlhatk:
Switch(config-if)#no switchport mode trunk
vagy
Switch(config-if)#switchport mode access
Tbb kapcsolra kiterjed VLAN-ok

A trnklsi eljrs lehetv teszi tbb VLAN forgalmnak tovbbtst egyetlen
porton keresztl.
Mindkt vgn 802.1Q cmkzsre belltott sszekttets esetn minden keret egy
4-bjtos cmkzsi mezvel egszl ki. Ez a mez tartalmazza a VLAN azonostt
(VLAN ID).
Amikor egy kapcsol cmkzett keretet fogad egy trnkportjn, egy hozzfrsi
portra trtn tovbbts eltt eltvoltja a cmkt. A tovbbtst csak akkor hajtja
vgre, ha a port a cmkzsi mezben feltntetett VLAN-nak tagja.
Bizonyos forgalom-tipusok keretei esetn elkerlhetetlen, hogy azok VLAN ID nlkl
haladjanak t egy 802.1Q sszekttetsen. Az ilyen forgalmat cmkzetlen
forgalomnak nevezik.
Ilyen pldul a CDP s a VTP protokollok forgalma, valamint bizonyos tpus

hangtviteli forgalom. A cmkzetlen forgalom ksleltetse kisebb, mivel ilyenkor
kimarad a VLAN ID kezels fzisa.
A cmkzetlen forgalom lehetv ttele rdekben egy specilis VLAN, az
gynevezett natv VLAN alkalmazhat. Egy 802.1Q trnkportra rkez
cmkzetlen forgalom a natv VLAN-hoz fog tartozni. A Cisco Catalyst
kapcsolkon alaprtelmezs szerint az 1-es VLAN a natv VLAN.
Brmely VLAN bellthat natv VLAN-nak. Meg kell bizonyosodni ugyanakkor arrl,
hogy a trnkvonal mindkt vgn egyformn van belltva a natv VLAN. Ha
klnbzik a bellts, hurok jhet ltre a fesztfa kialaktsa sorn.
Egy 802.1Q sszekttetshez tartoz fizikai interfszen a natv VLAN belltsra az
albbi parancs alkalmazhat:
Switch(config-if)#dot1q native vlan vlan-azonost
VLAN-ok kztti forgalomirnyts

Habr a VLAN-ok tbb kapcsolra is kiterjedhetnek, csak az azonos VLAN-hoz
tartoz tagok kommuniklhatnak kzvetlenl egymssal.
A klnbz VLAN-ok kztt csak harmadik rtegbeli eszkz tud kapcsolatot
teremteni. Ez az elrendezs lehetv teszi a rendszergazda szmra a VLAN-ok
kztti forgalom szigor ellenrzst.
A VLAN-ok kztti forgalomirnyts megvalstsnak egyik mdja, amikor
minden VLAN a harmadik rtegbeli eszkz egy-egy kln interfszhez kapcsoldik.
A klnbz VLAN-ok kztti kapcsolat kialaktsnak msik mdja alinterfszek
alkalmazsval trtnik. Az alinterfszek egy fizikai interfsz logikai
felosztsbl jnnek ltre. Ebben az esetben minden VLAN-hoz egy alinterfszt
kell konfigurlni.
Az alinterfszek alkalmazsval megvalstott VLAN-ok kztti (inter-VLAN)
kommunikcihoz a kapcsoln s a forgalomirnytn egyarnt el kell vgezni a
megfelel belltsokat.
Kapcsol
Konfigurljuk a kapcsol interfszt 802.1Q trnkportra!
Forgalomirnyt
Vlasszunk a forgalomirnytn egy minimum 100 Mbit/s sebessg Fast

Ethernet interfszt!
Konfigurljunk alinterfszeket, s lltsuk be rajtuk a 802.1Q begyazst!
Konfigurljunk minden VLAN-hoz egy alinterfszt!
Az alinterfszek alkalmazsa lehetv teszi, hogy minden VLAN-nak sajt logikai

tvonala s alaprtelmezett tjrja legyen a forgalomirnytn.
A VLAN-hoz rendelt alinterfsz egyttal alaprtelmezett tjrknt fog mkdni az

adott VLAN llomsai szmra. A forgalomirnyt meghatrozza a cl IP-cmet,
majd kikeresi a hozztartoz bejegyzst az irnyttblban.
Ha a cl VLAN ugyanahhoz a kapcsolhoz csatlakozik, mint a forrs VLAN, akkor a
forgalomirnyt visszairnytja a csomagot a kapcsol fel a cl VLAN ID-nek
megfelel alinterfszt hasznlva. Ezt a konfigurci tpust gyakran router-on-a-stick
nven emlegetik.
Ha a forgalomirnyt kimen interfsze 802.1Q kompatibilis, a keret megtartja a 4bjtos VLAN cmkt. Ellenkez esetben a forgalomirnyt eltvoltja a cmkt a
keretbl, s visszalltja az eredeti Ethernet formt.
VLAN-ok kztti forgalomirnyts konfigurlshoz az albbi lpsek szksgesek:
1. Trnkport konfigurlsa a kapcsoln.
Router(config)#interface fa2/0
Switch(config-if)#switchport mode trunk
2. IP-cm s alhlzati maszk nlkli interfsz konfigurlsa a forgalomirnytn.
Router(config)#interface fa1/0
Router(config-if)#no ip address
Router(config-if)#no shutdown
3. Minden VLAN-hoz alinterfsz konfigurlsa a forgalomirnytn. Az
alinterfszeken 802.1Q begyazs szksges.
Router(config)#interface fa0.10/0
Router(config-subif)#encapsulation dot1q 10
Router(config-subif)#ip address 192.168.10.1 255.255.255.0
4. A VLAN-ok kztti forgalomirnyts belltsainak s mkdsnek
ellenrzshez az albbi parancsok hasznlhatk:
Switch#show trunk
Router#show ip interfaces
Router#show ip interfaces brief
Router#show ip route
VLAN trnkprotokoll (VTP)

A hlzatok mretnek s sszetettsgnek nvekedsvel szksgszerv vlik a
VLAN-ok kzponti felgyelete. A VLAN-trnkprotokoll (VTP VLAN Trunking
Protocol) egy 2. rtegbeli zenettovbbt protokoll, amely lehetv teszi egy
hlzati szegmensen a VLAN adatbzis megosztst s felgyelett egy kzponti
kiszolglrl. A forgalomirnytk nem tovbbtjk a VTP frisstseket.
A VTP gondoskodik a VLAN konfigurci egsz hlzatra kiterjed

egysgessgnek kialaktsrl, s cskkenti a VLAN felgyelettel s
megfigyelssel jr feladatok szmt.
A VTP egy gyfl-kiszolgl alap zenettovbbt protokoll, amely egy VTP
tartomnyban VLAN-ok ltrehozsra, trlsre s tnevezsre szolgl. A kzs
felgyelet al tartoz kapcsolk mindegyike egy tartomny rsze. Minden
tartomny egyedi nvvel rendelkezik. A VTP kapcsolk csak az ugyanahhoz a
tartomnyhoz tartoz kapcsolknak kldik el VTP zeneteiket.
Kt VTP vltozat ltezik, az 1-es s a 2-es. Az 1-es vltozat az alaprtelmezett, s
nem kompatibilis a 2-es vltozattal. Minden kapcsoln ugyanazt a vltozatot kell
belltani.
A VTP hrom mdban mkdik: kiszolgl, gyfl s transzparens. Alapesetben
minden kapcsol kiszolgl mdban van. A redundancia rdekben ajnlott legalbb
kt kiszolgl md kapcsolt konfigurlni.
Minden VTP kapcsol az NVRAM-ban trolja VLAN adatbzist, ami tartalmaz egy
verziszmot. Ha a kapcsol az adatbzisban troltnl nagyobb verziszm
hirdetmnyt kap, akkor frissti VLAN adatbzist az j informcikkal.
A VTP konfigurci verziszma 0-rl indul, s minden vltozskor eggyel n.
Maximlis rtke 2 147 483 648, amit elrve visszall 0-ra. A kapcsol jraindtsa
szintn 0-ra lltja a verziszmot.
A verziszm akkor okozhat gondot, ha a hlzatba egy eddiginl nagyobb
verziszmmal rendelkez kapcsol kerl. Mivel egy kapcsol alapesetben
kiszolgl, gy az j, de nem helyes informcik fellrjk a korbbi VLAN adatokat
minden kapcsoln.
Ennek a helyzetnek az elkerlsre bellthat a kapcsol azonostsra szolgl

VTP jelsz. Tovbbi megolds jelent, ha mieltt egy kiszolgl md kapcsolt mr
tartalmaz hlzathoz j kapcsolt adunk, megbizonyosodunk rla, hogy a kapcsol
gyfl vagy transzparens mdban van-e.
Hrom VTP zenettpus ltezik: sszegz hirdetmny, rszleges hirdetmny s
hirdetmnykrs.
sszegz hirdetmny
A Catalyst kapcsolk 5 msodpercenknt vagy a VLAN adatbzis

vltozsakor kldik sszegz hirdetmnyeiket. Ezek tartalmazzk az aktulis
VTP tartomny nevt s a konfigurci verziszmt.
VLAN ltrehozsakor, trlsekor vagy vltoztatsakor a kiszolgl eggyel

megnveli a verziszmot, s elkld egy sszegz hirdetmnyt.
Amikor egy kapcsol sszegz hirdetmnyt kap, sszehasonltja a benne

szerepl VTP tartomny nevt a sajtjval. Egyezs esetn ellenrzi a
verziszmot is. Kisebb vagy megegyez rtk esetn eldobja a keretet,
ellenkez esetben viszont egy hirdetmnykrst kld.
Rszleges hirdetmny
Az sszegz hirdetmnyt VLAN informcikat tartalmaz rszleges

hirdetmny kveti.
A rszleges hirdetmnyekben tallhatk az sszegz hirdetmnyhez

kapcsold j VLAN informcik. Ha tbb VLAN ltezik, akkor tbb rszleges
hirdetmnyre van szksg.
Hirdetmnykrs
A Catalyst kapcsolk a VLAN informcikat hirdetmnykrsekkel krdezik le.

Erre akkor kerl sor, ha a kapcsolt trltk, a VTP tartomny neve
megvltozott vagy a kapcsol a sajtjnl nagyobb verziszm VTP
sszegz hirdetmnyt kapott.
VTP Konfigurlsa
A kapcsolk alapesetben kiszolgl mdban vannak. Amikor egy kiszolgl mdban
lev kapcsol az eddig rvnyben lvnl nagyobb verziszm frisstst kld, az
sszes tbbi kapcsol az j informcinak megfelelen vltoztatja meg adatbzist.
j kapcsol meglv tartomnyhoz csatlakoztatsakor a kvetkez lpseket kell
elvgezni:
1. lps: VTP konfigurlsa off-line mdban (1-es verzi)
2. lps: VTP konfigurci ellenrzse
3. lps: Kapcsol jraindtsa
VLAN-ok az IP-telefnia s a vezetk nlkli

hlzatok vilgban
A szakadozott s rosszul hallhat beszlgetsek elkerlse rdekben a hangtvitel
szmra prioritst kell biztostani az adattvitellel szemben. Hangtvitelre szolgl
kln VLAN ltrehozsval elkerlhet a ktfajta forgalom versengse a
rendelkezsre ll svszlessgen.
Egy IP-telefonnak ltalban 2 portja van, az egyik a hang-, a msik pedig az
adattvitel szmra. A szmtgptl s az IP-telefontl kiindul ill. oda berkez
csomagok a telefontl a kapcsolig kzs fizikai sszekttetst, illetve ugyanazt a
kapcsolportot hasznljk. A hangforgalom elvlasztshoz kln hangtovbbtsra
szolgl VLAN-t rdemes ltrehozni a kapcsoln.
Vezetk nlkli forgalom esetn szintn elnykkel jr a VLAN-ok alkalmazsa.
A vendg felhasznlk tartozhatnak a vezetk nlkli VLAN-ba vagy akr
tkerlhetnek egy elklntett vendg VLAN-ba is.
Nhny hasznos tancs VLAN-ok konfigurlshoz vllalati hlzatokban:
Kiszolgl helynek megtervezse
Nem hasznlt portok letiltsa
A felgyeleti VLAN konfigurlsa 1-estl eltr VLAN-szmmal
VLAN trnkprotokoll hasznlata
VTP tartomnyok ltrehozsa
Minden a meglv hlzathoz csatlakoz j kapcsol csatlakoztats eltti

jraindtsa
Vllalati Hlzatok Cmzse

IP-hlzatok hierarchikus cmzsi smja
Egyszint s hierarchikus hlzatok
Egy teljesen kapcsolt hlzat ltalban egyetlen szrsi tartomnybl ll. Ilyen
egyszint hlzatban minden eszkz ugyanabba a hlzatba tartozik, s minden
szrsi zenetet megkap. Mindez kisebb hlzatok esetn elfogadhat.
Sok lloms esetn egy egyszint hlzat hatkonysga romlik. Ahogyan a
kapcsolt hlzat llomsainak szma n, gy kell egyre tbb szrsi zenetet
kldeni s fogadni. A szrsi zenetek svszlessget foglalnak le,
ksleltetseket s idtllpseket okoznak.
A nagyobb, egyszint hlzatok problmjra megoldst nyjthat a VLAN-ok
(virtulis helyi hlzatok) ltrehozsa. Ebben az esetben minden VLAN egy kln
szrsi tartomny.
Msik megolds lehet forgalomirnytk hasznlatval hierarchikus hlzat
kialaktsa.
Hierarchikus hlzati cmzs

A vllalati hlzatok nagy kiterjedsek s lhetnek a hierarchikus hlzattervezs
s cmzs elnyeivel. A hierarchikus cmzs a hlzatot logikailag kisebb
alhlzatokra osztja.
A hatkony hierarchikus cmzsi sma osztly alap hlzati cmzst hasznl a
kzponti rtegben, majd fokozatosan egyre kisebb mret alhlzatokat az elosztsi
s hozzfrsi rtegben.
Hierarchikus hlzat hierarchikus cmzs nlkl is mkdhet, de hatkonysga
cskken, s nhny irnyt protokoll tulajdonsg, mint pldul az tvonalak
sszegzse nem megfelelen mkdik.
A fldrajzilag klnll telephellyel rendelkez vllalati hlzatok esetben a
hierarchikus tervezs s cmzs egyszersti a hlzat felgyelett, a hibaelhrtst,
s javitja a bvithetsget s a forgalomirnyts hatkonysgt.
Hlzat felosztsa alhlzatokra

A hlzatok alhlzatokra bontsnak szmos oka lehet, kztk az albbiak:
Fizikai elhelyezkeds
Logikai csoportosts
Biztonsg
Alkalmazsi kvetelmnyek
Szrsok hatkrnek korltozsa
Hierarchikus tervezs
Ha egy szervezet pldul a 10.0.0.0 hlzatot hasznlja, akkor alkalmazhatja a

10.X.Y.0 cmzsi smt, ahol X egy fldrajzi terletet, Y pedig azon bell egy
pletet vagy emeletet jell. Ez a cmzs lehetv teszi:
255 klnbz fldrajzi terlet,
terletenknt 255 plet,
pletenknt 254 lloms ltrehozst.
A VLSM hasznlata
Alhlzati maszk
Az alhlzati maszk azonositja az ugyanabba a hlzatba tartoz llomsokat. A
maszk 32 bites, s az IP-cm hlzati s lloms bitjeit klnbzteti meg egymstl.
Felptst tekintve 1-eseket majd 0-kat tartalmaz. Az 1-es bit a hlzati, a 0-s bit
pedig az lloms biteket azonostja.
Az A osztly cmek alaprtelmezett alhlzati maszkja 255.0.0.0, vagy

perjeles formban: /8.
A B osztly cmek alaprtelmezett alhlzati maszkja 255.255.0.0, azaz /16.
A C osztly cmek alaprtelmezett alhlzati maszkja 255.255.255.0, azaz /

24.
A /x forma a cm hlzat azonositsra hasznlt bitjeinek szmt adja meg.

Egy vllalati hlzatban az alhlzati maszk hossza klnbz lehet. Az egyes LAN
szegmensekhez ugyanis gyakran eltr szm lloms tartozik, s ilyenkor
ugyanannak a maszknak a hasznlata nem hatkony.
Alhlzat-szmts binris formban

Az alhlzati maszk 32 bites s az IP-cm hlzati s lloms bitjeinek
megklnbztetsre szolgl. Az 1-es bitek az IP-cm hlzatcimzsre szolgl
bitjeit, a 0-s bitek pedig az llomscimzsre hasznlt biteket azonositja. A kld
lloms a forrs- s a clcim hlzat-azonosit bitjeit hasonltja ssze. Amennyiben
a kt hlzatcm megegyezik, a csomag helyileg tovbbthat, ellenkez
esetben a csomagot az alaprtelmezett tjrnak kell kldeni.
Br bjthatron vgzd alhlzati maszk esetn knny az IP-cm hlzati s
lloms rsznek felismerse, maga a folyamat ugyanaz abban az esetben is,
amikor a hlzati bitek nem oktetthatron vgzdnek. Legyen pldul a H1 lloms
IP-cme 192.168.13.21, alhlzati maszkja 255.255.255.248, azaz /29. Mindez azt
jelenti, hogy a 32 bitbl 29 bit a hlzatcim, vagyis a hlzati bitek az els hrom
oktettet teljesen, a negyedik oktettet rszben fedik le. Ebben az esetben a hlzat
azonostja 192.168.13.16.
Ha a 192.168.13.21/29 IP-cm H1 lloms zenetet szeretne kldeni a
192.168.13.25/29 IP-cm H2 llomsnak, a hlzati bitek sszehasonltsa
szksges annak eldntsre, hogy a kt lloms ugyanazon a helyi hlzaton
tallhat-e. Jelen esetben H1 hlzatazonostja 192.168.13.16, H2
hlzatazonostja pedig 192.168.13.24, gy H1 s H2 nem ugyanahhoz a
hlzathoz tartozik, ezrt kommunikcijukhoz forgalomirnyt szksges.
Hierarchikus cmzs esetn szmos informci meghatrozhat csupn az IP-cm s
az alhlzati maszk perjeles (/X) formjbl. A 192.168.1.74/26 IP-cm pldul a
kvetkez informcikat tartalmazza:
Decimlis alhlzati maszk
A /26 formnak megfelel alhlzati maszk a 255.255.255.192.
Ltrehozott alhlzatok szma
Az alaprtelmezett /24 maszkbl kiindulva 2 llomsbit lett tsorolva a

hlzatcimzsre szolgl bitekhez, e kt bittel 4 alhlzat hozhat ltre (2^2 =
4).
Alhlzatonknt megcmezhet llomsok szma
6 llomsbit segtsgvel 62 lloms cmezhet meg alhlzatonknt (2^6 2

= 64 - 2 = 62).
Hlzati cm
Az alhlzati maszk segtsgvel meghatrozhatk a hlzati bitek, s gy a

hlzati cm is. A pldban ez 192.168.1.64.
Els hasznlhat llomscm
Egy lloms IP-cmben nem lehet minden llomsbit 0, mivel az az alhlzat

hlzati cme. gy az els hasznlhat llomscm a .64-es alhlzatban a .65
zenetszrsi cm
Egy lloms IP-cmben nem lehet minden llomsbit 1-es, mivel az az

alhlzat zenetszrsi cme. Ebben az esetben az zenetszrsi cm .127, a
kvetkez alhlzat hlzati cme pedig .128.
Vltoz hosszsg alhlzati maszk (VLSM)

A vltoz hosszsg alhlzati maszk (VLSM Variable Length Subnet Mask) a
cmtr hatkony alkalmazst, s a hierarchikus IP-cmzsnek ksznheten az
tvonalsszegzs kihasznlst teszi lehetv. Az tvonalsszegzs (sszevons)
cskkenti az irnyttblk mrett a hozzfrsi s kzponti rteg
forgalomirnytiban. A kisebb irnyttblban val keress kevesebb CPU idt
ignyel.
Nem minden irnyt protokoll tmogatja a VLSM hasznlatt. Az osztly alap
irnyt protokollok, mint pldul a RIPv1, tvonalfrisstseikben nem
tartalmazzk az alhlzati maszkot. Adott alhlzati maszkkal rendelkez interfsz
esetn a forgalomirnyt felttelezi, hogy minden ugyanebbe az osztlyba taroz
csomag ugyanilyen maszkkal rendelkezik.
Az osztly nlkli irnyt protokollok tmogatjk a VLSM hasznlatt, mivel minden

tvonalfrisstsben elkldik az alhlzati maszkot. Osztly nlkli irnyt protokoll
pldul a RIPv2, az EIGRP s az OSPF.
A VLSM elnyei:
Cmtr hatkony kihasznlsa
Eltr alhlzati maszk hossz hasznlata
Cmblokkok kisebb egysgekre bontsa
tvonalsszegzs
Rugalmasabb hlzattervezs
Hierarchikus vllalati hlzatok tmogatsa
A VLSM lehetv teszi az akr alhlzatonknt klnbz alhlzati maszkok

hasznlatt. Egy hlzati cm alhlzatokra bontst kvet minden tovbbi
felbonts jabb alhlzatokat (al-alhlzatokat) hoz ltre.
A 10.0.0.0/8 hlzatot pldul egy /16-os alhlzati maszk 256 alhlzatra bontja,
melyek mindegyikben 16382 lloms cmezhet.
10.0.0.0/16
10.1.0.0/16
10.2.0.0/16 - 10.255.0.0/16
A /24 alhlzati maszkot alkalmazva brmely /16 alhlzatra, pldul, a 10.1.0.0/16ra, 256 tovbbi alhlzat jn ltre. Az gy kapott j alhlzatok mindegyike 254
lloms cmzsre alkalmasak.
10.1.1.0/24
10.1.2.0/24
10.1.3.0/24 - 10.1.255.0/24
Brmely /24 alhlzatra alkalmazva a /28 alhlzati maszkot, 16 jabb alhlzat jn
ltre (pldul 10.1.3.0/28). Az gy kapott j alhlzatok mindgyike 14 lloms
cmzsre alkalmasak.
10.1.3.0/28
10.1.3.16/28
10.1.3.32/28 10.1.3.240/28
VLSM cmzs megvalstsa

Egy IP-cmzsi sma ltrehozsa VLSM hasznlatval gyakorlst s tervezst
ignyel. Gyakorlskppen kpzeljnk el egy olyan sszetett hlzatot, amelyben a
kvetkez elvrsok jelentkeznek:
Atlanta HQ = 58 llomscm
Perth HQ = 26 llomscm
Sydney HQ = 10 llomscm
Corpus HQ = 10 llomscm
WAN sszekttetsek = 2 llomscm (sszekttetsenknt)
A legnagyobb hlzat 58 llomsnak cmzshez /26-os alhlzat szksges. Az

egyszer alhlzati sma hasznlata nem csak pazarl, de mindsszesen 4
alhlzat ltrehozst teszi lehetv, ami nem elegend a szksges 7 LAN/WAN
szegmens cmzshez. A megoldst a VLSM cmzs nyjtja.
VLSM alhlzati sma kialaktsnl az alhlzati kvetelmnyek
megtervezsekor mindig figyelembe kell venni az llomsok szmnak
esetleges nvekedst.
Szmos cmzsi rendszer kialaktst tmogat eszkz ltezik.
VLSM diagram
Az egyik ilyen mdszer VLSM diagram segtsgvel azonostja a mg felhasznlhat
s a mr kiosztott cmblokkokat.
VLSM krdiagram
Egy msik megolds egy krdiagram segtsgvel, a teljes krt kisebb krcikkekre
osztva brzolja az alhlzatokat.
Ezek az eljrsok megakadlyozzk a mr lefoglalt cmek jbli kiosztst, s
segtenek az tfed cmtartomnyok kialaktsnak elkerlsben.
Az osztly nlkli forgalomirnyts s a CIDR

alkalmazsa
Osztly alap s osztly nlkli forgalomirnyts
Az osztly alap cmzs az IP-cmek hrom alap osztlyt s a hozzjuk tartoz
alaprtelmezett alhlzati maszkokat hatrozza meg:
A osztly (255.0.0.0 vagy /8)
B osztly (255.255.0.0 vagy /16)
C osztly (255.255.255.0 vagy /24)
Egy vllalat A osztly hlzati cmtartomny hasznlata esetn tbb mint 16 milli,
B osztly esetn tbb mint 65.000, mg C osztly esetn mindsszesen 254
llomscmmel rendelkezik. Amita a felhasznlhat A s B osztly cmek szma
korltozott, sok vllalat tbb C osztly cm beszerzsvel biztostja a hlzat
kvetelmnyeinek megfelel szm cmet.
Ennek kvetkezmnyeknt a C osztly cmtr kimerlse az eredetileg tervezettnl
lnyegesen gyorsabban megtrtnt.
Osztly alap IP-cmek esetn az els oktett, azon bell is az els hrom bit rtke
hatrozza meg, hogy a hlzat A, B vagy C osztly. Minden f hlzathoz egy
alaprtelmezett maszk tartozik, melyek rendre 255.0.0.0, 255.255.0.0 vagy
255.255.255.0.
Az osztly alap irnyt protokollok, mint pldul a RIPv1, tvonalfrisstsei nem tartalmazzk az alhlzati
maszkot, gy a fogad forgalomirnytk ezeket felttelezsek alapjn hatrozzk meg.
Osztly alap irnyt protokoll esetn, ha egy forgalomirnyt frisstst kld egy
alhlzatokra bontott hlzatrl, pldul a 172.16.1.0/24-rl, egy olyan
forgalomirnytnak, melynek interfsze a frisstsben szerepl fhlzathoz tartozik,
pldul a 172.16.2.0/24-hez, akkor a kvetkez trtnik:
A kld forgalomirnyt a teljes hlzati cmet hirdeti alhlzati maszk nlkl,

ami ebben az esetben 172.6.1.0.
A fogad forgalomirnyt a 172.16.2.0 interfsznek megfelel alhlzati

maszkot alkalmazza a hirdetett hlzatra, azaz a pldban a 255.255.255.0
maszkot a 172.16.1.0 hlzatra.
Ha a forgalomirnyt frisstst kld egy alhlzatokra bontott hlzatrl, pldul a

172.16.1.0/24-rl, egy olyan forgalomirnytnak, melynek interfsze nem a
frisstsben szerepl f hlzathoz tartozik, hanem pldul a 192.168.1.0/24-hez,
akkor a kvetkez trtnik:
A kld forgalomirnyt nem az alhlzati, csak a f osztly alap hlzati

cmet hirdeti, ami ebben az esetben 172.16.0.0.
A fogad forgalomirnyt alkalmazza erre a hlzatra az alaprtelmezett

alhlzati maszkot, ami B osztly esetn 255.255.0.0.
Az IPv4 cmek gyors kimerlsre reaglva fejlesztette ki az IETF az osztly

nlkli forgalomirnytst (Classless Inter-Domain Routing - CIDR). A CIDR az
IPv4 cmtr hatkonyabb felhasznlst teszi lehetv, alkalmas hlzati cmek
sszegzsre, s gy az irnyttblk mretnek cskkentsre.
A CIDR hasznlata osztly nlkli irnyt protokollt ignyel, pldul RIPv2-t,
EIGRP-t vagy statikus forgalomirnytst. CIDR kompatibilis forgalomirnytk
esetn a cmosztlyoknak nincs jelentsge. Az alhlzati maszk meghatrozza a
cm hlzati rszt, amelyet hlzati eltagnak (network prefix) vagy eltag
hossznak is neveznek. A cm osztlya ebben az esetben mr nem hatrozza meg a
hlzati cmet.
Az internetszolgltatk az gyfelek nhny llomstl akr tbb szz vagy tbb ezer
llomsig terjed ignyei szerint IP-cmek megfelel csoportjt rendelik hozz egyegy gyflhlzathoz. CIDR s VLSM esetn mr nem csak a /8-as, a /16-os vagy
a /24-es eltag hosszt hasznlhatjk.
A VLSM-et s a CIDR-et tmogat osztly nlkli irnyt protokollok kz tartoz
bels tjr protokollok (IGP) a RIPv2, az EIGRP, az OSPF s az IS-IS. Az
internetszolgltatk kls tjr protokollokat (EGP) is hasznlnak. Pldaknt a
hatrtjr-protokollt (BGP Border Gateway Protocol) emlthet.
Osztly nlkli irnyt protokoll hasznlata akkor elengedhetetlen, ha a maszk az
els oktett rtke alapjn nem hatrozhat meg helyesen vagy egyrtelmen.
Amikor egy forgalomirnyt osztly nlkli protokollt hasznlva tvonalfrisstst kld,
pldul a 172.16.1.0 hlzatrl, egy olyan fogalomirnytnak, amelynek hirdetst
fogad interfsze a frisstsben hirdetett f hlzathoz tartozik, pldul a
172.16.2.0/24 hlzat rsze, akkor a kvetkez trtnik:
A kld forgalomirnyt minden alhlzatt alhlzati maszkkal egytt hirdeti.
Amikor egy forgalomirnyt pldul a 172.16.1.0 hlzatrl kld tvonalfrisstst egy

olyan fogalomirnytnak, melynek hirdetst fogad interfsze nem csatlakozik a
frisstsben hirdetett f hlzathoz, ehelyett pldul 192.168.1.0/24-hez tartozik,
akkor a kvetkez trtnik:
A kld forgalomirnyt alapesetben minden alhlzatot sszevon, s az

osztly alap f hlzatot hirdeti az sszevont alhlzati maszkkal egytt. Ezt
a folyamatot nevezik hlzat hatron trtn tvonalsszegzsnek. A legtbb
osztly nlkli protokoll alaprtelmezetten engedlyezi a hlzathatron
trtn automatikus tvonalsszegzst, de lehetsg van ennek letiltsra is.
Letilts esetn a kld forgalomirnyt minden alhlzatt alhlzati

maszkkal egytt hirdeti.
CIDR s tvonalsszegzs
Az tvonalsszegzs az sszefgg hlzat- s alhlzatcimeket a hlzat hatrn
lev hatr-forgalomirnytn egyetlen sszevont hlzatcmmel helyettesiti.
Az sszegzs cskkenti az tvonalfrisstsek gyakorisgt s az irnyttblabejegyzsek szmt. Javtja az tvonalfrisstsek svszlessg-kihasznlst s
gyorstja az irnyttblban val keresst.
Az tvonalsszegzs s a szuperhlzatt alakits (supernetting) jelentse

megegyezik. A szuperhlzatt alakits az alhlzatokra bonts ellentte, tbb
kisebb sszefgg hlzat sszevonsa.
Ha a hlzati bitek szma kisebb az osztly alaprtelmezett rtknl, mint pldul
172.16.3.0/14 esetn, akkor szuperhlzatrl beszlnk. B osztly cm esetn
minden /16-osnl kisebb eltag hossz szuperhlzatot jell.
Egy hatr-forgalomirnyt ltalban a vllalat minden ismert hlzatt hirdeti az
internetszolgltat fel. Ha pldul nyolc klnbz hlzat van, akkor elkpzelhet,
hogy mind a nyolcat hirdetni fogja. Ha minden vllalat ugyangy tenne, akkor az
internetszolgltat irnyttblja hatalmasra nne.
tvonalsszegzskor a forgalomirnyt az sszefgg hlzatokat csoportostja, s
egyetlen nagy hlzatknt hirdeti ket.
Hierarchikus cmzsi rendszer esetn knnyebben elvgezhetk az
tvonalsszegzsek. Vllalaton bell olyan hlzatcmeket osszunk ki, amelyek
CIDR hasznlatval csoportosthatk.
Az tvonalsszegzs meghatrozsa
Az sszegzett tvonal meghatrozshoz az rintett hlzatcimeket egyetlen cmm
kell sszevonni, ami hrom lpsben trtnik:
1. lps
rjuk fel az rintett hlzatcimeket binris formban.
2. lps:
Az sszegezett tvonal maszkjnak megadshoz hatrozzuk meg az sszevonni
kivnt hlzatcimekben a balrl megegyez bitek szmt. Ez a szm lesz az
sszegzett tvonal hlzati eltagja vagy alhlzati maszkja, pldul /14 vagy
255.252.0.0.
3. lps:
Az sszegzett hlzaticm meghatrozshoz az egyez biteket egszitsk ki 32
bites hosszsgra 0 bitrtkekkel. (A nem megegyez biteket 0 bitekkel
helyettesitjk.) Gyorsabb megoldshoz vezet, ha a hlzatok kztt megkeressk a
legkisebb hlzati cmmel rendelkezt.
Nem hierarchikus cmzs esetn nem felttlenl lehetsges az tvonalak
sszegzse. Ha a hlzati cmekben balrl jobbra sszehasonltva nincsenek
megegyez bitek, akkor sszefogott maszk nem hatrozhat meg.
Nem sszefgg alhlzatok

Az tvonal-sszegzseket vagy a rendszergazda maga konfigurlja, vagy az egyes
irnyt protokollok (pldul a RIPv1, a RIPv2 vagy az EIGRP) automatikusan teszik
ezt meg. Fontos az sszegzsek felgyelete, hogy a forgalomirnytk
flrevezet hlzati hirdetseket ne kldjenek ki.
Tegyk fel, hogy hrom forgalomirnyt az Ethernet interfszein a C osztly
192.168.3.0 hlzat alhlzatait hasznlja. A forgalomirnytk egymshoz soros
interfszeiken keresztl kapcsoldnak, s ezek egy msik, pldul a 172.16.100.0/24
f hlzathoz tartoznak. Osztly alap protokoll esetn mindegyik forgalomirnyt a
C osztly fhlzatot hirdeti hlzati maszk nlkl. Ennek eredmnyeknt a
kzbls forgalomirnyt ugyanarrl a hlzatrl kt klnbz irnybl is kap
hirdetmnyt. Ebben az esetben beszlnk nem sszefgg (nem folytonos)
hlzatrl.
A nem sszefgg hlzatok megbzhatatlan. nem optimlis forgalomirnytst
eredmnyeznek. Ennek elkerlse rdekben a rendszergazda a kvetkezket
teheti:
Lehetsg szerint mdostja a cmzsi smt.
Osztly nlkli irnyt protokollt hasznl, pldul RIPv2-t vagy OSPF-et.
Letiltja az automatikus sszegzst.
Manulisan vgzi el az tvonalsszegzst az osztly hatron.
Krltekint tervezst kveten is elfordulhat, hogy a hlzatban nem sszefgg alhlzatok vannak. A
kvetkez forgalmi s forgalomirnytsi pldk segtenek ezeknek a helyzeteknek a felismersben:
Egy forgalomirnyt nem ismer tvonalat egy msik forgalomirnythoz kapcsold LAN fel, pedig a
hlzat hirdetst konfigurltk.
Kzbls forgalomirnyt kt azonos kltsg tvonalat ismer a f hlzat fel annak ellenre, hogy az
alhlzatok eltr hlzati szegmensen tallhatk.
Kzbls forgalomirnyt terhelselosztst vgez a f hlzat valamelyik alhlzata fel tart forgalom
esetben.
A forgalomirnyt felttelezheten csak a forgalom felt kapja meg.
Alhlzatok ltrehozsakor s cmzsnl hasznlt bevlt

mdszerek
A hierarchikus hlzat ltrehozshoz nlklzhetetlen egy helyesen megtervezett VLSM cmzsi rendszer.
VLSM cmzs kialaktsakor kvessk a kvetkez alapelveket:
VLSM cmzst s nem sszefgg alhlzatokat tmogat, minl jabb irnyt protokollokat
alkalmazzunk.
Szksg esetn az automatikus tvonalsszegzst tiltsuk le.
A legfrissebb, nulls alhlzat hasznlatt tmogat IOS-t hasznljuk.
Egy hlzaton bell a privt cmtartomnyok keveredst kerljk el.
Lehetsg szerint a nem sszefgg alhlzatokat szntessk meg.
A cmzs hatkonysga rdekben VLSM-t hasznljunk.
Hierarchikus hlzattervezs s sszefgg cmzsi sma hasznlatval az tvonalsszegzst

tervezzk meg.
tvonalsszegzst hasznljunk a hlzat hatrain.
WAN sszekttetsekhez /30-as alhlzatokat rendeljnk.
A ltrehozhat alhlzatok s llomsok szmnak tervezsekor a hlzat jvbeni nvekedst

vegyk figyelembe.
NAT s PAT hasznlata

Privt IP-cmtr
A VLSM s a CIDR mellett a privt cmzs s a hlzati cmfordts (NAT)
hasznlata tovbb nvelte az IPv4 cmtr bvthetsgt.
Privt cmeket brki alkalmazhat sajt vllalati hlzatban, mivel ezek a cmek csak
a bels hlzatban irnythatk, az interneten soha nem jelennek meg.
A privt cmteret az RFC1918 definilja.
A osztly: 10.0.0.0 - 10.255.255.255
B osztly: 172.16.0.0 - 172.31.255.255
C osztly: 192.168.0.0 - 192.168.255.255
A privt cmek hasznlatnak elnyei:
Cskkenti az sszes lloms nyilvnos IP-cmnek beszerzsvel jr magas

kltsgeket.
Lehetv teszi, hogy tbb ezer bels alkalmazott hasznljon nhny nyilvnos
cmet.
Biztonsgot nyjt azzal, hogy ms hlzatok s szervezetek nem ltjk a

bels cmeket.
NAT a vllalati hlzat hatrn

Sok szervezet az internetkapcsolat biztostshoz kihasznlja a privt cmzs
elnyeit. Szmos LAN-t s WAN-t alaktanak ki privt cmzssel, s az internethez
val csatlakozshoz hlzati cmfordtst (NAT) hasznlnak.
A NAT az interneten val forgalomirnytshoz a bels privt cmeket fordtja egy
vagy tbb nyilvnos cmre. A NAT minden bels csomag privt forrs IP-cmt az
internet fel tovbbts eltt nyilvnosan bejegyzett IP-cmre cserli.
A kis s kzepes mret szervezetek sajt internetszolgltatjukhoz egyetlen
kapcsolaton, a NAT-tal konfigurlt helyi hatr-forgalomirnytn keresztl
csatlakoznak. Nagyobb szervezetek tbb ISP kapcsolattal is rendelkezhetnek,
ilyenkor a cmfordtst az egyes kapcsolatok hatr-forgalomirnyti vgzik.
A hatr-forgalomirnytkon alkalmazott cmfordts nveli a biztonsgot. A
bels privt cmeket minden alkalommal egy nyilvnos cmre fordtjk, amely elrejti a
vllalat llomsainak s kiszolglinak az aktulis cmt. A legtbb cmfordtst
vgz forgalomirnyt blokkolja azokat a privt hlzaton kvlrl rkez

csomagokat, amelyek nem egy bels lloms krsre rkez vlaszok.
Statikus s dinamikus NAT

A statikus NAT egyetlen bels helyi cmhez rendel egyetlen globlis vagy
nyilvnos cmet. Ez az sszerendels teszi lehetv, hogy egy adott bels helyi
cmhez mindig ugyanaz a nyilvnos cm tartozzon, s gy a kls eszkzk mindig
elrjenek egy bels eszkzt. Ilyen, a klvilgszmra is elrhet eszkzk pldul a
web- s ftp kiszolglk.
A dinamikus NAT az internet egy nyilvnos cmkszlett rendeli a bels helyi
cmekhez. Mindig a nyilvnos cmkszlet els felhasznlhat IP-cme lesz
hozzrendelve a klvilggal kommuniklni kvn bels llomshoz. Az lloms ezt a
globlis cmet a kapcsolat ideje alatt hasznlja, majd annak befejezsekor
visszakerl a ms llomsok szmra felhasznlhat cmek kz.
Kt bels lloms kapcsolathoz hasznlt cm a bels helyi cm. A vllalat
nyilvnos cmt bels globlis cmnek nevezzk, amely gyakran a hatrforgalomirnyt kls interfsznek cme.
A NAT forgalomirnyt cmprokat tartalmaz tbla segtsgvel kezeli a bels helyi
cmek s a bels globlis cmek kztti megfeleltetseket.
Statikus vagy dinamikus NAT konfigurlsa sorn:
Vegyk szmba azokat a kiszolglkat, amelyek lland kls cmet

ignyelnek!
Hatrozzuk meg mely bels llomsok ignyelnek cmfordtst!
Hatrozzuk meg, mely interfszekre rkezik a klvilg fel irnyul bels

forgalom! Ezek lesznek a bels interfszek.
Hatrozzuk meg, melyik interfsz tovbbtja a forgalmat az internet fel! Ez

lesz a kls interfsz.
Hatrozzuk meg a felhasznlhat nyilvnos cmtartomnyt!
Statikus NAT konfigurlsa

1. Hatrozzuk meg azt a nyilvnos IP-cmet, amelyet a kls felhasznlk
hasznlhatnak a bels eszkz vagy kiszolgl elrshez! A rendszergazdk erre a
clra leggyakrabban a statikus NAT cmtartomny els vagy utols cmeit hasznljk.
Vgezzk el a bels vagy privt cmek nyilvnos cmekhez rendelst!
2. lltsuk be a bels s kls interfszeket!
Dinamikus NAT konfigurlsa

1. Hatrozzuk meg a felhasznlhat nyilvnos IP-cmkszletet!
2. Hozzunk ltre hozzfrsi listt (ACL) a cmfordtst ignyl llomsok
meghatrozshoz.
3. lltsuk be a bels s a kls interfszeket.
4. Rendeljk hozz a cmkszlethez a hozzfrsi listt!
A dinamikus NAT konfigurlsnak fontos rsze a norml hozzfrsi listk
alkalmazsa. A norml hozzfrsi lista engedlyez s tilt utastsokkal hatrozza
meg azokat az llomsokat, amelyek cmfordtst ignyelnek. A hozzfrsi lista
vonatkozhat egy egsz hlzatra, egy alhlzatra vagy csak egy adott llomsra.
Terjedelmt tekintve llhat egyetlen sorbl vagy szmos engedlyez s tilt
parancsbl.
A PAT hasznlata
A dinamikus NAT egyik leggyakrabban alkalmazott vltozata a portcmfordts (PAT
Port Address Translation), vagy ms nven tlterhelt NAT. A PAT dinamikusan
egyetlen nyilvnos cmre fordt tbb bels helyi cmet.
Amikor a forrslloms zenetet kld a clllomsnak, egy IP-cmet s egy

portszmot hasznl minden egyes prbeszd kvetsre. PAT esetn a hatr
forgalomirnyt a helyi forrscm s portszm prt fordtja le egyetlen
nyilvnos IP-cmre s egy1024 fltti egyedi portszmra.
A forgalomirnyt egy tblban tartja nyilvn a kls cmre fordtott bels IP-cm s
portszm prokat. Br minden lloms cmt ugyanarra a globlis cmre fordtja, a
prbeszdekhez rendelt portszmok egyediek lesznek.
Mivel tbb, mint 64000 port hasznlhat, gy nem valszn, hogy egy
forgalomirnyt kioszthat cmei elfogynak.
Mind vllalati, mind otthoni hlzatok kihasznljk a PAT mkdsnek elnyeit. A
PAT az integrlt forgalomirnytk alapfunkcii kz tartozik, s alaprtelmezetten
engedlyezett.
Annak ellenre, hogy a PAT egy cmtartomny helyett egyetlen cmre fordt,
konfigurcija ugyanazokkal az alapvet lpsekkel s parancsokkal trtnik, mint a
NAT konfigurcija. A kvetkez parancs a bels cmeket fordtja a soros
interfsz IP-cmre:
ip nat inside source list 1 interface serial 0/0/0 overload
A NAT s PAT mkdsnek ellenrzsre szolgl parancsok:
show ip nat translations
A parancs az aktv fordtsokat mutatja. A nem hasznlt cmfordtsok adott id
utn kiregednek. Mg a statikus NAT-bejegyzsek folyamatosan a NAT-tblban
maradnak, addig a dinamikus bejegyzshez az lloms s a kls hlzatbeli
cllloms kztt valamilyen aktivitsra van szksg. Megfelel bellts mellett, egy
egyszer ping vagy trace parancs is bejegyzst eredmnyez a NAT-tblba.
show ip nat statistics
A parancs a fordtsok statisztikjt mutatja, belertve a hasznlt IP-cmek
szmt, valamint a sikeres s sikertelen fordtsokat. A kimenet tartalmazza tovbb
a bels cmeket meghatroz hozzfrsi listt, a nyilvnos cmkszletet s a
megadott cmtartomnyt.
Forgalomirnyts tvolsgalap irnyt

protokollokkal
Nagyvllalati hlzatok karbantartsa
Nagyvllalati hlzatok
A nagyvllalati hlzatok hierarchikus felptse megknnyti a vllalaton belli
informciramlst.
A kritikus szolgltatsok s informcik a hierarchia cscshoz tartoz biztonsgos
kiszolglfarmokon s trolhlzatokon tallhatk. Ez a struktra a hierarchia
alsbb szintjein tallhat rszlegekre is kiterjedhet.
A hierarchia klnbz szintjei kztti kommunikcihoz a LAN s WAN technolgik
egyarnt szksgesek. A vllalat nvekedsvel vagy az elektronikus kereskedelmi
szolgltatsok bvlsvel szksg lehet a klnbz funkcij kiszolglknak
helyet biztost demilitarizlt zna (DMZ) ltrehozsra.
A forgalomszablyozs elengedhetetlen a nagyvllalati hlzatokban. Enlkl ezek a

hlzatok nem tudnak mkdni.
A forgalomirnytk tovbbtjk az adatokat s megakadlyozzk, hogy a
szrsos zenetek tlterheljk a kritikus szolgltatsok fel vezet adatvonalakat.
A nagyvllalati hlzatok nagy megbzhatsgot s magas sznvonal
szolgltatsokat nyjtanak. Ennek biztostsra a hlzati szakemberek:
Tartalk tvonalakat terveznek a hlzathoz, arra az esetre, ha az adatok

elsdleges tvonala meghibsodna.
Szolgltatsminsgi eljrsok bevezetsvel biztostjk a kritikus adatok

elsbbsgt.
Csomagszrst hasznlnak bizonyos tpus csomagok letiltsra, az elrhet

svszlessg maximalizlsra s a hlzati tmadsok megelzsre.
Nagyvllalati hlzati topolgik

A hlzattervezk a topolgia kivlasztst a vllalat megbzhatsgi s
hatkonysgi kvetelmnyeihez igaztjk. Nagyvllalati krnyezetben leginkbb a
csillag s hl topolgikat alkalmazzk.
Csillag topolgia
A csillag kzepe megfelel a hierarchia cscsnak, mely ltalban a szervezet
kzponti irodja. A fikirodk tbb helysznrl csatlakoznak a csillag kzpontjhoz
(hub-jhoz).
A csillag topolgij hlzatok egyszeren bvthetk. Egy j fikiroda hozzadsa

mindssze a csillag kzpontjhoz trtn egyetlen, j csatlakozst ignyel. Ha egy
iroda tbb j gazatot tervez hozzadni, akkor elg, ha minden fikiroda a terletn
megtallhat kzponti hub-hoz csatlakozik, amely elvezet a kzponti iroda egyik
fcsatlakozsi pontjhoz. gy egy egyszer csillag egy kiterjesztett csillag
topolgiv vlik, melyben a kisebb csillagok a firodbl sugrirnyokban rhetk
el.
A csillag s a kiterjesztett csillag topolgiban egyetlen pont (a kzppont)

meghibsodsa a hlzat teljes mkdskptelensgt okozhatja. A hl
topolgij hlzatok ezt a problmt hivatottak kikszblni.
Hl Topolgia
Minden jabb kapcsolat egy-egy jabb alternatv tvonalat szolgltat az
adatforgalom szmra, s ezzel egyre nagyobb megbzhatsgot nyjt a
hlzatnak. jabb linkek hozzadsval a topolgia egyre inkbb sszekapcsolt
csompontok hljv alakul. Ugyanakkor minden egyes jabb kapcsolat
tbbletkltsget s tbbletterhelst is jelent, valamint a hlzat
karbantartsnak bonyolultsgt is nveli.
Rszleges (rszben sszekapcsolt) hl

A vllalati hlzat egy meghatrozott rszhez adott redundns kapcsolatokkal
rszleges hl topolgia jn ltre. Ez a topolgia a hlzat olyan kritikus rszeinek,
mint a kiszolglfarmok s a trolhlzatok, rendelkezsre llst,
megbzhatsgt a tbbletkltsgek minimalizlsa mellett javitja. A hlzat tbbi
rsze ugyanakkor tovbbra is srlkeny marad. Ezrt nagyon fontos, hogy a
redundns vonalakat oda helyezzk, ahol azok a legtbb elnyt nyjtjk.
Teljes (teljesen sszekapcsolt)hl
Amennyiben egy hlzatban egyltaln nem megengedett az zemkimarads, akkor
teljes hl topolgira van szksg. Egy teljes hl topolgiban minden egyes
csompont az sszes tbbi csomponttal sszekttetsben van. Ez a leginkbb
hibaellenll topolgia, de egyben ez a legkltsgesebb is.
Az internet kitn pldja a hl topolgij hlzatoknak. Az internet eszkzei

nem tartoznak sem egynek, sem szervezetek hatskre al. A fentiek miatt az
internet topolgija llandan vltozik, egyes csatlakozsok eltnnek, mindekzben
jabbak vlnak elrhetv. Tartalk kapcsolatok segtik a forgalomirnyitst, s
biztostjk a megbzhat tvonalat a cllloms fel.
A nagyvllalati hlzatok hasonl problmkkal kzdenek, mint az internet. Emiatt az
eszkzk klnbz eljrsokat hasznlnak a folyamatosan vltoz krlmnyekhez
trtn alkalmazkodshoz s a forgalom szksg szerinti tirnytshoz.
Statikus s dinamikus forgalomirnyts

A forgalomirnyts biztostja a mkdshez szksges mechanizmust. A
clhlzathoz vezet legjobb tvonal megtallsa igen bonyolult lehet egy
nagyvllalati krnyezetben, mivel egy forgalomirnyt nagyon sok forrsbl ptheti
fel az irnyttbljt.
Az irnyttbla minden hlzatot egy kimen interfsszel vagy egy kvetkez
ugrssal azonost.
A kimen interfsz azt a fizikai tvonalat adja meg, melyet a forgalomirnyt
tnylegesen az adatok clllomsra trtn tovbbtshoz hasznl. A kvetkez
ugrs egy kzvetlenl kapcsold msik forgalomirnyt olyan interfsze, amely a
vgs cl fel vezet ton tallhat.
A tbla minden egyes tvonalhoz egy szmrtket is rendel, amely az t

megbzhatsgt, pontossgt jelzi. Ez az rtk az adminisztratv tvolsg. A
forgalomirnytk kzvetlenl kapcsold, statikus s dinamikus tvonalakrl
trolnak bejegyzseket.
Kzvetlenl kapcsold tvonalak
Egy kzvetlenl kapcsold hlzat a forgalomirnyt interfszhez csatlakozik.
Az interfszen belltott IP-cm s alhlzati maszk lehetv teszi, hogy az
interfsz a csatlakoz hlzat egy llomsa legyen. Az interfsz hlzati cme, az
alhlzati maszkja, valamint az interfsz tpusa s a szma az irnyttblban, mint
kzvetlenl kapcsold hlzat jelenik meg. Az ilyen hlzatokat az
irnyttblban a C bet jelli.
Statikus tvonalak
Statikus tvonalak a hlzati rendszergazda ltal manulisan konfigurlt tvonalak.
Egy statikus tvonal tartalmazza a clhlzat hlzatcmt s hlzati
maszkjt, valamint a clhlzathoz vezet kimen interfszt vagy a kvetkez
ugrs IP-cmt. Az irnyttbla a statikus tvonalakat S-sel jelli. A statikus
tvonalak sokkal tartsabbak s megbzhatbbak, mint a dinamikusan tanult
tvonalak, gy adminisztratv tvolsguk is kisebb.
Dinamikus tvonalak
Dinamikus irnyt protokollok szintn bejegyzseket adnak hozz az
irnyttblhoz a tvoli hlzatokrl s lehetv teszik, hogy a forgalomirnytk a
hlzat feldertse sorn tvoli hlzatok elrhetsgrl s llapotrl
osszanak meg informcit. Minden irnyt protokoll adatokat kld s kap ms
forgalomirnytkon trolt informcirl, valamint frissti s karbantartja az
irnyttbljt. Minden dinamikus irnyt protokoll ltal megtanult tvonalat a
protokoll azonost. gy pldul R bet azonostja a RIP s D bet az EIGRP
irnyt protokollt. Az adminisztratv tvolsgot is ennek alapjn kapja az tvonal.
A hlzat ki- s bemen forgalmnak egyetlen pontra val korltozsa egy
vghlzat, ms nven zskhlzat (stub network) ltrejttt eredmnyezi.
Bizonyos nagyvllalati hlzatokban a kisebb fikirodk mindssze egyetlen
tvonalon kpesek elrni a hlzat tbbi rszt. Ilyen esetben nem fontos a
vghlzat forgalomirnytjt irnytsi frisstsekkel s a dinamikus irnyt
protokollokkal jr megnvekedett forgalommal terhelni. A statikus
forgalomirnyts ilyenkor elnysebb.
Elhelyezkedsktl s feladatuktl fggen bizonyos nagyvllalati forgalomirnytk
szintn hasznlhatnak statikus tvonalakat. A hatrtjrk ltalban statikus
tvonalakat hasznlnak az internetszolgltat biztonsgos s stabil elrsre,
mg a nagyvllalaton belli tbbi forgalomirnyt az ignyeknek megfelelen
statikus s dinamikus forgalomirnytst egyarnt alkalmazhat.
A nagyvllalati hlzatban hasznlt forgalomirnytknak svszlessgre, operatv

memrira s feldolgoz erforrsra egyarnt szksgk van a NAT/PAT-, a
csomagszrsi- s az egyb szolgltatsaik biztostshoz. Ezzel szemben a
statikus forgalomirnyts a legtbb dinamikus irnyt protokollnl fellp
tbbletterhels nlkl nyjt tovbbtsi funkcit.
Ezen fell a statikus forgalomirnyts a dinamikusnl nagyobb adatbiztonsgot
nyjt, mivel nincs szksge irnytsi frisstsekre. Egy hekker brmikor elfoghat egy
dinamikus irnytsi frisstst, s gy informcit szerezhet a hlzatrl.
A fentiek ellenre a statikus forgalomirnyts is egytt jrhat bizonyos
problmkkal. A hlzati rendszergazdtl idt s odafigyelst ignyel, mivel a
forgalomirnytsi informcit manulisan kell begpelnie. Egy statikus tvonal
egyszer elgpelsi hibja csomagvesztst s a hlzat mkdskptelensgt
okozhatja. Amikor egy statikus tvonal megvltozik, a manulis
konfigurcifrissts ideje alatt a hlzatban irnytsi hibk jelentkezhetnek.
Statikus tvonalak nagyvllalati hlzatban trtn ltalnos alkalmazsa a
fentiek miatt nem praktikus
Statikus tvonalak konfigurlsa

Statikus tvonalak konfigurlsra hasznlt globlis parancs az ip route
kulcsszavakkal kezddik, melyet a clhlzat cme, az alhlzati maszkja s az
elrshez hasznlt tvonal kvet. A teljes parancs:
Router(config)#ip route [hlzati-cm] [[alhlzati_maszk]
[[kvetkez_ugrs_cme VAGY kimen_interfsz]
A forgalomirnytk a kvetkez ugrs IP-cmt vagy a kimen interfszt hasznlva

tovbbtjk a csomagokat a megfelel clllomsnak. A kt paramter mgis
klnbzkppen viselkedik.
Mieltt egy forgalomirnyt tovbbtja a csomagot, meg kell hatrozni a kimen
interfszt. Kimen interfsszel konfigurlt statikus tvonalak csak egyszeri
keresst ignyelnek az irnyttblban, mg a kvetkez ugrssal megadott
tvonalak esetn ktszer is szksg van az irnyttbla tvizsglsra.
Nagyvllalati hlzatokban a pont-pont sszekttetsekhez (pldul egy
hatrtjr s a szolgltat (ISP) kztti kapcsolathoz) a statikus tvonalaknak
kimen interfsszel trtn megadsa a legjobb vlaszts.
Kvetkez ugrssal megadott statikus tvonalak esetn kt lps szksges a
kimen interfsz meghatrozshoz. Ezt hvjuk rekurzv keressnek. Rekurzv
keress esetn:
A forgalomirnyt elszr kivlasztja a csomag clcmhez illeszked statikus

tvonalat.
Ezutn a kimen interfszt hatrozza meg oly mdon, hogy az

irnyttbljban megkeresi a statikus tvonalban megadott kvetkez ugrs
cmhez tartoz bejegyzst.
Ha egy kimen interfsz elrhetetlenn vlik, akkor az rintett statikus tvonal eltnik az irnyttblbl, majd az
interfsz helyrellsa utn jra bekerl oda.
Tbb statikus tvonal egyetlen bejegyzss egyestse cskkenti az irnyttbla

mrett s hatkonyabb teszi a keressi folyamatot. Ezt a folyamatot tvonal
sszevonsnak (tvonal sszegzsnek) nevezzk.
Egy statikus tvonal tbb statikus tvonalat egyest, ha:
A clhlzatokat egy hlzati cm fogja ssze.
Mindegyik statikus tvonal ugyanazt a kimen interfszt vagy kvetkez ugrs

IP-cmt hasznlja.
tvonalsszegzs nlkl, az irnyttblk az internet gerinchlzatnak

forgalomirnytiban kezelhetetlenek lennnek. A nagyvllalati hlzatokban is
hasonl problma jelentkezhet. Az sszevont statikus tvonalak alkalmazsa
elengedhetetlen ahhoz, hogy nagy hlzatokban az irnyttblk mrete kezelhet
mret maradjon.
A vllalati hlzatokban hasznlt WAN-szolgltatsok kialakitstl fggen a

statikus tvonalak tartalk tvonalknt is funkcionlhatnak, ha az elsdleges
WAN kapcsolat kiesik. Az n. lebeg statikus tvonalak (floating static route)
biztostjk ezt a tartalk tvonal szolgltatst.
Alaprtelmezett belltsnl egy statikus tvonalnak kisebb az adminisztratv
tvolsga, mint egy dinamikusan tanult tvonalnak. A lebeg statikus tvonalnak az
adminisztratv tvolsga nagyobb, mint a dinamikus irnyt protokoll ltal tanult
tvonalnak, gy nem kerl be az irnyttblba, csak a dinamikusan tanult tvonal
kiesse esetn.
A lebeg statikus tvonal ltrehozshoz az ip route parancs vgre adjunk meg
egy adminisztratv tvolsg rtket:
Router(config)#ip route 192.168.4.0 255.255.255.0 192.168.9.1 200
A megadott adminisztratv tvolsgnak nagyobbnak kell lennie, mint a dinamikus
irnyt protokoll ltal tanult tvonalnak. A forgalomirnyt mindaddig az
elsdleges tvonalat fogja hasznlni, ameddig az aktv. Ha az elsdleges
tvonal valamilyen oknl fogva kiesik, akkor az irnyttblba bekerl a lebeg
statikus tvonal.
Alaprtelmezett tvonalak
Minl nagyobb az irnyttbla mrete, annl tbb RAMot s feldolgozsi idt
ignyel. Az alaprtelmezett tvonal a statikus tvonal egy olyan klnleges
tpusa, ami egy tjrt hatroz meg arra az esetre, ha az irnyttbla nem
tartalmaz bejegyzst a clhlzathoz. ltalban az alaprtelmezett tvonalak az

ISP fel vezet t legkzelebbi forgalomirnytjra mutatnak.
Az alaprtelmezett tvonalak ltrehozsra szolgl parancs hasonlt a
hagyomnyos vagy lebeg statikus tvonalakhoz, azzal a klnbsggel, hogy
ebben az esetben a hlzati cm s az hlzati maszk rtke egyarnt 0.0.0.0
(ngy 0-s tvonal). A parancs vagy a kvetkez ugrs IP-cmt vagy a kimen
interfszt hasznlja paramterknt.
A nullk jelzik a forgalomirnyt szmra, hogy nincs szksg a bitek
egyezsre az tvonal hasznlathoz. Mindaddig, amg jobb egyezs nem ltezik
a forgalomirnyt az alaprtelmezett statikus tvonalat fogja hasznlni.
A hatrtjrn ltrehozott alaprtelmezett tvonal a forgalmat az ISP fel

tovbbtja. Ez az tvonal azonostja a nagyvllalaton belli utols megllt, az olyan
csomagok vgs tjrjt (Gateway of Last Resort), amelyek clcme egyetlen
irnyttbla bejegyzssel sem egyezik. Ez az informci minden forgalomirnyt
irnyttbljban megjelenik.
RIP protokollal trtn forgalomirnyts

Tvolsgvektor alap forgalomirnyt protokollok
A dinamikus irnyt protokollok kt f kategriba sorolhatk: Tvolsgvektor
alap s kapcsolatllapot alap protokollok.
Tvolsgvektor alap irnyt protokollt futtat forgalomirnytk a hlzati
informcit a kzvetlenl kapcsold szomszdjaikkal osztjk meg. A szomszdos
forgalomirnytk tovbbtjk az informcit az szomszdjaiknak, mindaddig,
mg a vllalat minden forgalomirnytjhoz el nem jut az informci.
Egy tvolsgvektor alap irnyt protokollt futtat forgalomirnyt nem ismeri
a clllomsig terjed teljes tvonalat, csak a tvoli hlzat tvolsgt s irnyt,
azaz vektort. Az sszes informcija a kzvetlenl kapcsold szomszdjaitl
szrmazik.
A tbbi irnyt protokollhoz hasonlan a tvolsgvektor alap irnyt protokollok is
egy mrtket (mrszmot) hasznlnak a legjobb tvonal meghatrozsra. A
leggyakrabban hasznlt mrtk az ugrsszm, mely a forgalomirnyt s a
cllloms kztti forgalomirnytk szma.
A tvolsgvektor alap irnyt protokollok ltalban kevesebb s egyszerbb

konfigurlst s karbantartst ignyelnek, mint a kapcsolatllapot alapak. Rgebbi
verzij, kevsb erteljes forgalomirnytn is kpesek futni s kevesebb
memrit s feldolgozsi teljestmnyt ignyelnek.
Tvolsgvektor alap protokollt futtat forgalomirnytk rendszeres idkznknt
a teljes irnyttbljukat elkldik a szomszdos forgalomirnytknak
szrsos vagy csoportos klds segtsgvel. Ha egy forgalomirnyt tbb
tvonalat is ismer egy clhlzathoz, akkor a legkisebb mrtk utat hirdeti.
A RIP irnyt protokoll 1. s 2. verzija igazi tvolsgvektor alap protokoll,
mg az EIGRP lnyegben egy tvolsgvektor alap protokoll tovbbfejlesztett
lehetsgekkel. A RIPng-t, a RIP legjabb vltozatt kifejezetten az IPv6
tmogatsra fejlesztettk ki.
Forgalomirnytsi informcis protokoll (Routing Information

Protocol, RIP)
A forgalomirnytsi informcis protokoll (RIP) volt az els RFC-ben (az 1988-ban
kiadott RFC 1058-ban) szabvnyostott tvolsgvektor alap IP irnyt protokoll. Az
els verzit gyakran RIPv1-nek hvjk, megklnbztetsl a ksbbi javtott verzitl, a
RIPv2-tl s az IPv6-ot tmogat RIPng-tl.
Alaprtelmezett belltsoknl a RIPv1 30 msodpercenknt kld irnytsi frisstseket
minden aktv interfszen szrssal.
A RIPv1 osztly alap irnyt protokoll. Automatikusan sszegzi az alhlzatokat az
osztly hatrokon s a frisstsekben nem kld alhlzati maszkot. A fentiek miatt nem
tmogatja a vltoz hosszsg alhlzati maszkok hasznlatt (VLSM) s az
osztlyok nlkli, krzetek kztti forgalomirnytst (CIDR). Egy RIPv1-gyel konfigurlt
forgalomirnyt vagy a helyi interfszn belltott alhlzati maszkot, vagy az
alaprtelmezett osztly alap maszkot hasznlja. A RIPv1-el hirdetett alhlzatoknak a

megfelel forgalomirnyts rdekben folytonosaknak kell lennik.
A RIPv2 egy osztly nlkli irnyt protokoll, mely tmogatja a vltoz hosszsg
alhlzati maszkok hasznlatt (VLSM) s az osztlyok nlkli, krzetek kztti
forgalomirnytst (CIDR). A 2. verzij frisstsek tartalmazzk az alhlzati maszkot, gy
nem folytonos hlzatok hasznlata is megengedett RIPv2-t hasznl hlzatokban. Ezen
fell a RIPv2 esetn kikapcsolhat az automatikus hlzat sszegzsi funkci.
A RIP mindkt verzija minden konfigurlt interfszn kikldi a teljes irnyttblt.
Alapbellitsban a RIPv1 a 255.255.255.255 cmet hasznl szrsos klds (broadcast)
segtsgvel kldi a frisstseket.
A RIPv2 csoportos klds (tbbes klds, multicast) segtsgvel hirdeti frisstseit a

224.0.0.9-es cmen. A csoportos klds kevesebb svszlessget foglal le, mint a szrs.
Azok az eszkzk, melyeken nincs RIPv2 konfigurlva az adatkapcsolati rtegben, eldobjk
a csoportos kldses csomagokat.
Az irnytsi informcik titkostsa az irnyttblk tartalmt elrejti a jelszval vagy a
hitelest informcival nem rendelkez forgalomirnytk ell. A RIPv2 a RIPv1-el
ellenttben rendelkezik hitelest eljrssal.
A kt verzinak tbb, a kvetkezkben felsorolt kzs tulajdonsga ltezik:
Az ugrsszm a mrtk
15 ugrs a maximum
A TTL rtke 16 ugrs
Alaprtelmezetten 30 msodpercesek a frisstsi intervallumok
tvonalmrgezst, visszirny mrgezst, lthatrmegosztst s visszatart

szmllkat hasznlnak az irnytsi hurkok kikszblsre
Frisstsekhez az UDP 520-as portjt hasznljk
Az adminisztratv tvolsg rtke 120
Az zenet fejrsze maximum 25 hitelests nlkli tvonalat tartalmaz
Egy forgalomirnyt a bekapcsolsa utn minden RIP protokollal konfigurlt interfszn egy
krst kld a protokollban rsztvev szomszdoknak, hogy kldjk el a teljes irnyttbla
tartalmt. A RIP protokollal konfigurlt szomszdok az ltaluk ismert hlzatok
bejegyzseinek elkldsvel vlaszolnak. A fogad forgalomirnyt minden egyes
tvonalat a kvetkez kritriumok alapjn rtkel:
Ha a kapott tvonal ismeretlen, akkor a forgalomirnyt berja az irnyttbljba.
Ha az tvonalra mr tallhat bejegyzs az irnyttblban egy msik forrstl,

akkor az jat csak akkor rja be, ha az jobb ugrsszmmal rendelkezik a rginl.
Ha az tvonal mr a tblban van s ugyanattl a forrstl szrmazik, akkor

mindenkppen kicserli az j bejegyzsre, mg akkor is, ha a mrtk nem jobb.
A frissen bekapcsolt forgalomirnyt ezutn egy esemnyvezrelt frisstst kld a RIP

protokollal konfigurlt interfszein a sajt irnyttblja tartalmnak elkldsvel, gy
a RIP szomszdok az sszes j tvonalrl rteslnek.
Ha a forgalomirnytk a megfelel verzij frisstseket kldik s dolgozzk fel, akkor a RIPv1 s RIPv2
teljesen kompatibilisek egymssal. Alaprtelmezsben a RIPv2 csak 2. verzij frisstseket kld s fogad. Ha
egy hlzatban mindkt verzit kell hasznlni, akkor a hlzati rendszergazda konfigurlhatja gy a RIPv2-t,
hogy 1. s 2. verzij frisstst egyarnt kldjn s fogadjon. A RIPv1 alaprtelmezsben 1. verzij
frisstseket kld, de mindkettt fogadja.
Egy nagyvllalaton bell szksg lehet a RIP mindkt verzijnak hasznlatra. Pldul, mg a hlzat egy rsze
ttrt a 2. verzira, addig lehet, hogy egy msik rsze megmaradt az eredeti verzinl. A globlis RIP
konfigurci kiegsztse interfsz-specifikus tulajdonsgokkal lehetv teszi a kt verzi egyttes hasznlatt.
A globlis konfigurci interfszen trtn testre szabshoz hasznlja a kvetkez interfsz konfigurcis
parancsokat:
ip rip send version <1 | 2 | 1 2>
ip rip receive version <1 | 2 | 1 2>
A RIP Konfigurlsa
A RIP konfigurlsa eltt be kell lltani a forgalomirnytsban rsztvev interfszek
IP-cmeit s maszkjait, valamint az rajelet azokon a soros sszekttetseken ahol
szksges. Az alapszint belltsok utn kerlhet sor a RIP konfigurlsra.
A RIP alapvet konfigurlsa hrom parancsbl ll:
Router(config)#router rip
Az irnyt protokoll engedlyezse
Router(config)#version 2
A verzi megadsa
Router(config-router)#network [hlzati cm]
Az sszes kzvetlenl kapcsold, RIP hirdetsben rsztvev hlzat megadsa
Az MD5 autentikci konfigurlshoz a RIPv2 protokollban rsztvev
interfszeken ki kell adni az ip rip authentication mode md5 parancsot.
Ennek a parancsnak a hatsra az adott interfszen kimen sszes frissts
titkostva lesz.
A RIPv2 egy alaprtelmezett tvonalat is kpes elkldeni a frisstseiben a
szomszdos forgalomirnytknak. Ehhez szksg van az alaprtelmezett tvonal
konfigurlsra s a RIP konfigurci redistribute static paranccsal trtn
kiegsztsre.
A RIP problmi
Szmos teljestmnybeli s biztonsgi problma vetdik fel a RIP hasznlatakor. Az
els problma az irnyttbla pontossga.
A RIP mindkt verzija automatikusan sszegzi a hlzatokat az osztly
hatrokon. Ez azt jelenti, hogy a RIP az alhlzatokat, mint egyedi A, B s C
osztly hlzatok ismeri fel. Nagyvllalati hlzatok tipikusan osztly nlkli
cmzst hasznlnak, valamint alhlzatok sokasgt, melyek olykor nem sszefgg
alhlzatokat alkotnak, mivel nem mindig kapcsoldnak kzvetlenl egymshoz.
A RIPv1-el ellenttben a RIPv2 esetben az automatikus sszegzs
kikapcsolhat. Ebben az esetben a RIPv2 minden alhlzatot kln hirdet a
megfelel maszkkal egytt, gy pontosabb irnyttblt biztost. Ehhez a RIPv2
konfigurci no auto-summary paranccsal trtn kiegsztse szksges.
Router(config-router)#no auto-summary
Egy msik problmt okoz a RIPv1 frisstsek szrsos jellege. Amint a RIP
konfigurciban megadtunk legalbb egy network parancsot, a RIP azonnal elkezdi
kldeni a frisstseit network parancsban megadott hlzathoz tartoz
interfszein. Ezekre a frisstsekre nincs szksg a hlzat minden rszn.
Pldul ezeknek a frisstseknek egy Ethernet LAN interfszen keresztl a hlzat
sszes eszkznek trtn kikldse felesleges hlzati forgalmat okozhat az
adott szegmensen. Radsul ezeket a frisstseket brmely eszkz elfoghatja, s ez

a hlzat biztonsgt is cskkenti.
Az interfsz konfigurcis mdban kiadott passive-interface parancs a parancsban
megadott interfszen letiltja az irnytsi frisstsek kikldst.
Router(config-router)#passive-interface interfsz_tpus interfsz_szm
A RIP tvonalakat hirdet interfszek szmnak korltozsa nagyobb mrtk
biztonsghoz s forgalomszablyozshoz vezet.
Egy RIP-et hasznl hlzatban idre van szksg a konvergencihoz. A
forgalomirnytk helytelen tvonalakat is trolhatnak az irnyttblikban
mindaddig, amg az sszes forgalomirnyt nem frisstette az irnyttbljt, s
ugyanazt a kpet nem ltjk a hlzatrl.
A hibs hlzati informci az irnytsi frisstsek s ms forgalmak vgtelen
hurokba kerlst okozhatja. RIP irnyt protokoll esetn a vgtelent a 16
ugrsszm jelenti.
Az irnytsi hurkok rontjk a hlzat teljestmnyt. A RIP szmos lehetsget
tartalmaz ennek a hatsnak a kikszblsre, melyeket akr egyszerre is
alkalmazhatnak:
Visszirny mrgezs
Lthatrmegoszts
Visszatart idztk
Esemnyvezrelt frisstsek
A visszirny mrgezs az tvonal mrtkt 16-ra lltja, s gy elrhetetlennek

nyilvntja azt. Mivel a RIP a vgtelent 16-nak definilja, ezrt minden olyan hlzat
mely 15 ugrsnl tvolabb van elrhetetlennek minsl. Ha egy hlzat
elrhetetlen, akkor a forgalomirnyt megvltoztatja arra az tvonalra
vonatkoz mrtket 16-ra, hogy minden ms forgalomirnyt is elrhetetlennek
lssa. Ez a tulajdonsg akadlyozza meg a mrgezett tvonalakon kldtt
informcik terjedst.
A RIP hurokmentestsi megoldsai stabil mkdst eredmnyeznek, ugyanakkor a
hlzat konvergencia idejt nvelik.
A lthatrmegoszts megakadlyozza a hurkok kialakulst. Ha tbb
forgalomirnyt is ugyanazt az tvonalat hirdeti egymsnak, akkor irnytsi hurok
jhet ltre. A lthatrmegoszts megakadlyozza, hogy egy forgalomirnyt
azon az interfszn hirdessen egy tvonalat, amelyiken azt megismerte.
A visszatart szmllk stabilizljk az tvonalakat. A visszatart idztk
ugyanis megakadlyozzk egy lellt tvonalra vonatkoz frisstsnek az
elfogadst, ha a frissts a lellst kvet meghatrozott idintervallumon bell
rkezik, s nagyobb mrtket szerepel benne a korbbi rtknl. Ha a visszatart
idzt lejrta eltt az eredeti tvonal helyrell, vagy a forgalomirnyt olyan
tvonal informcit kap, mely kisebb mrtkkel rendelkezik, akkor a
forgalomirnyt felveszi az irnyttbljba, s azonnal hasznlni is kezdi.
Az alaprtelmezett visszatartsi id 180 msodperc, a rendszeres frisstsi id

hatszorosa.
Az alaprtelmezett rtk megvltoztathat, de a visszatartsi intervallum nvelse
lassabb hlzati konvergencit okoz, s negatv hatssal br a hlzati
teljestmnyre.
Ha egy tvonal kiesik, a RIP nem vrja meg a kvetkez frisstsi idt, hanem
azonnal kld egy rendkivli frisstst, amit esemnyvezrelt frisstsnek
neveznk. A kiesett tvonalat 16-os mrtkkel hirdeti, igy az utat megmrgezi.
Ez a frissts visszatartsi llapotban tartja az tvonalat, mindaddig amg a RIP
egy jobb mrtk alternatv tvonalat nem tall helyette.
RIP ellenrzse
A RIPv2 egy egyszeren konfigurlhat protokoll. Ennek ellenre hibk s
ellentmondsos llapotok mindig keletkezhetnek egy hlzaton.
Brmely irnyt protokoll esetn a show ip protocols s a show ip route
parancsok fontos szerepet jtszanak a hibaelhrtsban.
A kvetkez parancsok kifejezetten a RIP ellenrzst s hibaelhrtst szolgljk:
show ip rip database: Minden RIP ltal megismert tvonalat listz
debug ip rip vagy a debug ip rip {events}: A RIP ltal kldtt s fogadott
irnytsi frisstseket mutatja vals idben
Ennek a debug parancsnak a kimenete megmutatja az sszes frissts

forrsnak az IP-cmt s interfszt, valamint a protokoll verzijt s az tvonal
mrtkt.
Ne hasznlja a szksgesnl tbbet a debug parancsokat. A debug parancs
hasznlata nagy svszlessgi s feldolgozsi erforrs-ignnyel jr, ami lasstja a
hlzatot.
A ping paranccsal a vgponttl vgpontig terjed kapcsolatok tesztelhetk. A show
running-config parancs segtsgvel knyelmes ellenrizhetjk, hogy az sszes
parancsot megfelelen rtuk-e be.
Forgalomirnyts az EIGRP protokollal

A RIP korltai
A RIP irnyt protokollt knny konfigurlni, mkdtetshez minimlis
forgalomirnyt erforrs szksges.
A RIP ltal hasznlt egyszer ugrsszm mrtk azonban bonyolult hlzatokban
nem a legoptimlisabb a legjobb tvonal megtallshoz. A RIP ezen fell 15
ugrsban maximalizlja a tvoli hlzatok elrhetsgt.
A RIP az irnyttbljrl periodikus frisstseket kld, mely svszlessget
foglal, mg akkor is, ha nem trtnik vltozs a hlzatban.
Idt vesz ignybe, hogy a forgalomirnytrl forgalomirnytra kldtt
frisstsek a hlzat minden rszt elrjk, gy elkpzelhet, hogy a
forgalomirnytk nem rendelkeznek pontos informcival a hlzat aktulis
llapotrl. A hossz konvergencia id kvetkeztben irnytsi hurok keletkezhet,

mely rtkes svszlessget foglal le.
Tovbbfejlesztett bels tjr irnyt protokoll (EIGRP)

A Cisco kifejlesztette sajt tulajdon, specilis tvolsgvektor alap protokolljt, az
EIGRP-t. A fejlesztsek ms tvolsgvektor alap protokollok korltait prbljk meg
kikszblni. Az EIGRP szmos tulajdonsgban hasonlt a RIP irnyt
protokollhoz, mikzben sok fejlettebb funkcit is tmogat.
Az EIGRP-t kitn vlasztss teszik a nagy, tbb protokollt s elssorban Cisco
eszkzket hasznl hlzatok esetn.
Az EIGRP kt f clja a hurokmentes irnytsi krnyezet s a gyors konvergencia

biztostsa. sszetett mrtket hasznl, mely elssorban a svszlessgen s a
ksleltetsen alapszik, ezltal a cllloms fel vezet tvonal minsgnek
meghatrozsakor az ugrsszmnl sokkal pontosabb rtket szolgltat.
Az EIGRP ltal hasznlt n. sztszr frisst algoritmus (DUAL) a hurokmentes
forgalomirnytst az tvonal-szmts ideje alatti mkdsvel garantlja. A
topolgia megvltozsakor a DUAL egyszerre szinkronizlja az rintett
forgalomirnytkat. Ezen elnyei miatt az EIGRP tvonalak adminisztratv
tvolsga 90, mg a RIP tvonalak 120.
A kisebb rtk az EIGRP nagyobb megbzhatsgt s a mrtk nagyobb pontossgt mutatja. Emiatt ha egy
forgalomirnyt ugyanahhoz a clhlzathoz EIGRP s RIP tvonalat is ismer, akkor az EIGRP-tl szrmazt
fogja vlasztani.
Az EIGRP a ms irnyt protokollok ltal tanult tvonalakat kls tvonalknt

jelli meg. Mivel ezeknek az tvonalaknak a szmtshoz hasznlt informci nem
annyira megbzhat, mint az EIGRP mrtk, ezrt ezekhez az tvonalakhoz egy
nagyobb adminisztratv tvolsgot rendel.
Az EIGRP kitn vlaszts bonyolult, elssorban Cisco eszkzket hasznl,

nagyvllalati hlzatok szmra. A maximlis ugrsszma 255, amivel szintn a
nagy hlzatokat tmogatja. Az EIGRP tbb irnyttblt is tud kezelni, amivel
szmos irnytott protokoll (mint pldul az IP s az IPX) szmra kpes
irnytsi informcit gyjteni. Az EIGRP irnyttblk, mind a helyi rendszer,
mind a kls rendszer megtanult tvonalait megjelentik.
A tbbi tvolsgvektor alap irnyt protokolltl eltren az EIGRP nem kldi el a
teljes irnyttbljnak tartalmt a frisstsekben. Csoportos kldst
(multicast) alkalmazva rszleges frisstst kld az adott vltozsokrl, s nem a
terlet sszes, csak az rintett forgalomirnytjnak. Ezeket kapcsolt
frisstseknek hvjk, mivel csak bizonyos paramterekhez kapcsold informcit
tartalmaznak.
A periodikus frisstsek helyett az EIGRP kis hello csomagok kldsvel tartja
fenn a kapcsolatot szomszdjaival. Mivel ezek kismretek, gy mind a hello
csomagok, mind a kapcsolt frisstsek a svszlessgnek csak kis rszt foglaljk,
ennek ellenre a hlzati informci folyamatos frisstse biztostott.
EIGRP fogalmak s tblk

Az EIGRP tbb tblt tart fenn a frisstsi informcik trolsra s a gyors
konvergencia biztostshoz. Az EIGRP forgalomirnytk az tvonal s a topolgia
informcikat a RAM-ban troljk, gy gyorsan tudnak reaglni a hlzati
vltozsokra. Hrom egymssal sszefgg tblt tartanak fenn:
Szomszdtbla
Topolgiatbla
Irnyttbla
Szomszdtbla
Ez a tbla a kzvetlenl kapcsold szomszdos forgalomirnytkrl tartalmaz
informcit. Az EIGRP eltrolja az jonnan felfedezett szomszd cmt s a hozz
kapcsold interfszt.
Ha egy szomszd egy hello csomagot kld, abban meghirdet egy megtartsi
idt. A megtartsi id az az id, amg egy forgalomirnyt a szomszdjt
elrhetnek tekinti. Ha a megtartsi idintervallum alatt nem rkezik hello
csomag a szomszdtl, akkor az idzt lejr, a szomszd elrhetetlennek
minsl s emiatt a DUAL algoritmus jraszmolja a topolgit.
Mivel a gyors konvergencia elssorban a szomszdokrl trolt pontos informcin

alapszik, ezrt ez a tbla elengedhetetlen az EIGRP mkdshez.
Topolgiatbla
A topolgiatbla az sszes EIGRP szomszdtl tanult tvonalat tartalmazza. A DUAL
algoritmus a szomszd- s topolgiatblkban tallhat informcik alapjn szmolja
ki az egyes hlzatokhoz vezet legkisebb kltsg tvonalakat.
A topolgiatbla legfeljebb ngy elsdleges, hurokmentes tvonalat tartalmaz
clhlzatonknt.
Ezek a legjobb tvonalak bekerlnek az irnyttblba is. Az EIGRP kpes
terhelselosztst vgezni, azaz tbb tvonalat is hasznlni egy adott clhoz a
csomagok kldsekor. A terhelst egyenl kltsg s nem egyenl kltsg
tvonalak kztt is kpes elosztani. Ezzel a mdszerrel megelzhet, hogy az
egyes tvonalak tlterheldjenek.
A tartalk tvonalak, ms nven a msodik legjobb tvonalak (feasible
successor) az irnyttblban nem, csak a topolgiatblban tallhatk. Ha az
elsdleges tvonal kiesik, akkor a msodik legjobb tvonal vlik a legjobb
tvonall. Ez a folyamat azonban csak akkor kvetkezik be, ha a msodik legjobb
tvonal jelentett tvolsga kisebb, mint a jelenlegi legjobb tvonal tvolsga a
clig.
Irnyttbla
Mg a topolgiatbla szmos lehetsges tvonalrl trol informcit, addig az
irnyttbla csak a legjobb tvonalakat tartalmazza.
Az EIGRP kt mdon jelent meg informcit az tvonalakrl:
Az irnyttblban az EIGRP ltal tanult tvonalakat D-vel jelli.
A ms irnyt protokollok ltal megtanult statikus vagy dinamikus tvonalakat

D EX-el jelli, mert nem az autonm rendszeren belli EIGRP
forgalomirnytktl szrmaznak.
EIGRP szomszdok s szomszdsgi viszonyok

Az EIGRP forgalomirnytk hello csomagokat kldenek a szomszdok
feldertsre s a szomszdsgi viszonyok kialaktsra. Alaprtelmezsben hello
csomagokat csoportos klds segtsgvel 5 msodpercenknt kldenek a T1-nl
gyorsabb sszekttetseken s 60 msodpercenknt a T1 vagy annl lassabb
sszekttetseken.
IP hlzat a csoportos klds (multicast) cme 224.0.0.10. A hello csomagok a
forgalomirnyt interfszeirl s az interfszek cmeirl tartalmaz informcit. Az
EIGRP forgalomirnytk felttelezik, hogy ameddig hello csomagokat kapnak
a szomszdoktl, addig elrhetek ezek a szomszdok s tvonalaik is.
A megtartsi id az az idintervallum, ameddig az EIGRP egy hello csomag
megrkezsre vr. ltalban a megtartsi id a hello intervallum hromszorosa.
Ha a megtartsi id lejr s az EIGRP elrhetetlennek nyilvntja az tvonalat, s a
DUAL algoritmus jra kirtkeli a topolgiatblt s frissti az irnyttblt is.
A szomszdsgi viszony kialakulsa utn az EIGRP tbb klnbz csomagot

hasznl az irnyttbla tartalmnak frisstsre s hirdetsre. A szomszdok a
kvetkez csomagok segtsgvel tanulnak j -, jra felfedezett - s
elrhetetlen utakat:
Nyugtz
Frisst
Lekrdez
Vlasz
Ha egy tvonal kiesik, akkor aktv llapotba kerl s a DUAL egy j tvonalat keres a
clllomshoz. Ha tallt j tvonalat, akkor az bekerl az irnyttblba s passzv
llapotba kerl.
A fent emltett csomagokkal szerzett informcik alapjn szmolja ki a DUAL
algoritmus a legjobb tvonalat.
Egy nyugtz csomag jelzi a frisst, a lekrdez s a vlasz csomagok

megrkezst. Ezek adat nlkli, kismret hello csomagok. Az ilyen tpus
csomagok minden esetben egyedi cmzssel rkeznek.
A frisst csomag a szomszdoknak kldtt, topolgia-informcit tartalmaz
csomag. A szomszdok ennek alapjn frisstik a topolgiatblikat. Az j
szomszdoknak gyakran van szksgk olyan frisstsekre, melyek az egsz
topolgirl trolt informcit tartalmazzk.
Ha a DUAL egy tvonalat aktv llapotba helyez, akkor a forgalomirnytnak
lekrdez csomagot kell kldenie az sszes szomszd fel (ismernek-e a kiesett
hlzathoz vezet utat).
Erre a szomszdoknak vlaszt kell kldenik, mg akkor is, ha nincs informcijuk
a clhlzatrl. A vlasz csomagokban rkez informcik alapjn tallja meg a
DUAL a legjobb tvonalat a clhlzat fel. A lekrdez csomagok egyedi klds
(unicast) s csoportos klds (multicast) segtsgvel is tovbbthatk, mg a
vlaszok kizrlag egyedi kldssel rkezhetnek.
Az EIGRP csomagtpusok a TCP-hez hasonl sszekttets alap, vagy az UDPhez hasonl sszekttets nlkli szolgltatst hasznlnak. A frisst, a lekrdez
s a vlasz csomagok a TCP-hez hasonl szolgltatst vesznek ignybe, mg a
nyugtz s a hello csomagok UDP-szert.
Az EIGRP a hlzati rtegtl fggetlenl mkd irnyt protokoll. A Cisco
tervezett egy sajt, negyedik rteg megbzhat szlltsi protokollt (Reliable
Transport Protocol, RTP). Az RTP garantlja a klnbz hlzati rtegbeli
protokollok mindegyike szmra az EIGRP csomagok kzbestst s
fogadst.
Az RTP egyarnt hasznlhat mind TCP-hez hasonl megbzhat, mind UDPhez hasonlt legjobb szndk szlltsi protokollknt. Megbzhat RTP esetn,
a kld fl egy nyugtt vr a fogad fltl. A frisst, a lekrdez s a vlasz
csomagok megbzhat mdon kerlnek kzbestsre, mg a nyugtz s a hello
csomagok csupn legjobb szndkkal, gy ezek nem ignyelnek nyugtt. Az
RTP egyedi kldses s csoportos kldses csomagot is hasznl. A csoportos
kldses EIGRP csomagok a fenntartott csoportos cmet, a 224.0.0.10 cmet
hasznljk.
Minden hlzati rtegbeli protokoll egy az adott irnyt protokollrt felels
protokollfgg modulon (Protocol Dependent Module) keresztl dolgozik. Minden
PDM hrom tblt tart karban. Egy IP-t, IPX-et, s AppleTalk-t futtat
forgalomirnyt pldul hrom szomszdtblt, hrom topolgiatblt s hrom
irnyttblt kezel.
EIGRP mrtkek s konvergencia

Az EIGRP sszetett mrtket hasznl a clhlzathoz vezet legjobb tvonal
kivlasztsra, melyet a kvetkez rtkekbl szmol:
Svszlessg
Ksleltets
Megbzhatsg
Terhels
A maximlis adattviteli egysg (MTU) rtket szintn tartalmazzk az irnytsi

frisstsek, de ez nem tartozik az irnytsi mrtkek kz.
Az sszetett mrtket szmt kplet (K rtk) K1-tl K5-ig tartalmaz
paramtereket. Alaprtelmezsben K1=K3=1 s K2=K4=K5=0. Az 1 rtk azt
mutatja, hogy a svszlessg s a ksleltets egyforma sllyal jtszanak szerepet az
sszetett mrtk szmtsban.
Svszlessg
A svszlessg egy lland kbit/s-ban megadott rtk. A legtbb soros interfsz az
alaprtelmezett 1544 kbit/s-os rtket hasznlja. Ez a T1 kapcsolatnak megfelel
svszlessg.
Gyakran a svszlessg rtke nem tkrzi az adott interfsz tnyleges fizikai
svszlessgt. A svszlessg befolysolja a mrtk szmtst, s gy az EIGRP
tvonalvlasztst is. Ha egy 56 kbit/s-os sszekttetst 1544 kbit/s-os rtkkel
azonostanak, akkor ez problmkat okozhat a konvergencia elrsben, mivel
forgalomterhelssel fog kszkdni.
Az sszekttetsek kltsgnek kiszmtshoz hasznlt tbbi mrtk a

ksleltets, a megbzhatsg s a terhels.
A ksleltets a kimen interfsz tpustl fgg lland rtk. Az alaprtelmezett
rtk 20,000 mikroszekundum soros interfszek, s 100 mikroszekundum Fast
Ethernet interfszek esetn. A ksleltetsi rtk megvltoztatsa az adott
interfszeken tnylegesen nem befolysolja a hlzat mkdst.
A megbzhatsg megadja, hogy milyen gyakran trtnik hiba az adott

sszekttetsen. A ksleltetstl eltren ez az rtk automatikusan vltozik az
sszekttets krlmnyeitl fggen. Az rtkek 0 s 255 kztt lehetnek. A
255/255 s rtk 100%-os megbzhatsgot jelent.
A terhels az sszekttetst hasznl forgalom nagysgt jelli. Egy kisebb
terhelsi rtk jobb rtket jelent, mint a nagy. Az 1/255 jelenten pldul a
minimlisan terhelt, mg a 255/255 a 100%-osan kihasznlt sszekttetst.
Az EIGRP topolgiatbla szolgl a legkisebb tvolsg (Feaseable Distance, FD)
s a meghirdetett tvolsg (Advertized, AD), vagy a jelentett tvolsg (Reported,
RD) mrtkekhez tartoz rtkek karbantartsra. A DUAL ezen rtkek alapjn
vlasztja ki a legjobb - s a msodik legjobb tvonalat.
A legkisebb tvolsg a legjobb EIGRP mrtk a forgalomirnyttl a
clhlzatig.
A meghirdetett tvolsg a szomszd ltal hirdetett legjobb mrtk.
A legkisebb tvolsggal rendelkez hurokmentes tvonal lesz a legjobb
tvonal. Az aktulis topolgitl fggen egy adott clllomsig tbb legjobb tvonal
is ltezhet. A msodik legjobb tvonal a legjobb tvonal legkisebb tvolsgnl
kisebb jelentett tvolsggal rendelkez tvonal lesz.
A DUAL a topolgia-vltozs utn gyors konvergencit tesz lehetv. A msodik
legjobb tvonalakat a topolgiatblban trolja s a legjobbat kzlk az eredeti
legjobb tvonal kiesse esetn legjobb tvonalknt az irnyttblba helyezi. Ha
nem ltezik msodik legjobb tvonal, akkor az eredeti legjobb tvonal aktv llapotba
kerl s lekrdez csomagok kldse kvetkezik az j legjobb tvonal megtallsa
rdekben.
EIGRP megvalstsa
EIGRP konfigurlsa
1. lps
Az EIGRP irnytsi folyamat engedlyezse.
Az EIGRP irnytsi folyamat engedlyezshez egy autonm rendszerazonost
(autonomous system - AS) szksges. Ez az autonm rendszerazonost
brmilyen 16 bites rtk lehet, s egy vllalat vagy szervezet forgalomirnytit
azonostja. Br az EIGRP ezt az rtket autonm rendszerazonostnak hvja,
valjban folyamatazonostknt szolgl. Ennek az AS azonostnak csak helyi
jelentsge van s nem azonos az Internet Assigned Numbers Authority (IANA)
ltal kiosztott autonm rendszer szmval.
Az AS szmnak az adott EIGRP irnytsi folyamatban rsztvev forgalomirnytk
mindegyikn egyeznie kell.
2. lps
A network parancs kiadsa minden hirdetend hlzatra.
A network parancs hatrozza meg az EIGRP szmra az irnytsi folyamatban
rsztvev interfszeket s hlzatokat.
Csak bizonyos alhlzatok hirdetse esetn kell megadni a helyettest maszkot a

hlzat cme utn. A helyettest maszk kiszmtshoz vonja ki az alhlzati
maszkot a 255.255.255.255-bl.
A Cisco IOS bizonyos verzii lehetv teszik a helyettest maszk helyett az
alhlzati maszk hasznlatt. Mg akkor is, ha az alhlzati maszkot hasznljuk, a
show running-config parancs a helyettest maszkot jelenti meg.
Tovbbi kt parancs egszti ki az EIGRP tipikus alapszint konfigurcijt.
A szomszdsgi viszonyok vltozsainak kvetseihez adja hozz az eigrp logneighbor-changes parancsot a konfigurcihoz! Ez elsegti az EIGRP hlzat
stabilitsnak megfigyelst a hlzati rendszergazda szmra.
Olyan soros sszekttetseken, ahol a svszlessg nem az alaprtelmezett 1,544
Mbit/s, adja ki a Bandwith parancsot az sszekttets tnyleges sebessgnek
kbit/s-ban megadott rtkvel. A nem pontos svszlessg rtk
megakadlyozhatja a tnylegesen legjobb tvonal kivlasztst.
Lehetsg van az EIGRP konfigurcin bell a hirdetsek hitelestsnek
engedlyezsre. Amint a szomszdok hitelestse engedlyezett, a forgalomirnyt
a frisstsek forrsait az informcik feldolgozsa eltt hitelesti.
Az EIGRP hitelestshez elre megosztott kulcsokra van szksg. Az EIGRP
kulcsokat a rendszergazda tartja karban egy kulcslncon keresztl.
Kulcs ltrehozsa
key chain lnc_neve
Globlis konfigurcis parancs.
A kulcslnc nevt hatrozza meg s belp kulcslnc konfigurcis mdba.
key kulcs_azonost
Azonostja a kulcs szmt s belp a megadott kulcsazonost konfigurcis

mdba.
key-string szveg
Azonostja a kulcs karakterlncot vagy ms nven jelszt. Ennek minden

EIGRP forgalomirnytn egyeznie kell.
Hitelests engedlyezse
Az EIGRP MD5 hitelestst a kulcs segtsgvel a kvetkez interfsz konfigurcis
parancsokkal lehet engedlyezni:
ip authentication mode eigrp md5
Meghatrozza, hogy MD5 hitelests szksges a csomagok kldshez,

fogadshoz.
ip authentication key-chain eigrp AS lnc_neve
Az AS hatrozza meg az EIGRP konfigurci AS azonostjt.
A lnc_neve paramter hatrozza meg az elzleg konfigurlt kulcslncot.
EIGRP tvonal sszevons

Az EIGRP sszesen egy bejegyzst kszt az irnyttbljban az sszevont
tvonal szmra. A legjobb tvonal ez esetben mindig az sszevont tvonal, gy
minden olyan forgalom, melyet az alhlzatokba cmeztek ezen az egy tvonalon
megy vgig.
Ha az alaprtelmezett sszegzs tiltva van, akkor a frisstsek tartalmazzk az
alhlzati informcit. Az irnyttblba minden egyes alhlzathoz bekerl egy
bejegyzs, valamint egy msik bejegyzs az sszevont tvonal szmra. Az
sszevont tvonalat szl tvonalaknak, mg az alhlzati bejegyzseket
gyermek tvonalaknak nevezzk.
Az EIGRP minden szl-tvonalra vonatkozan egy Null0 sszevont tvonalat
helyez el az irnyttblba. A Null0 interfsz jelzi, hogy nem egy tnyleges
tvonalrl van sz, hanem csak egy hirdetsi clra hasznlt sszevont tvonalrl. Ha
egy csomag clcme azonos valamely gyermek tvonallal, akkor a forgalomirnyt a
megfelel interfszen tovbbtja azt. Ha a csomag clcme egyetlen gyermek
tvonallal sem, de az sszevont tvonallal egyezik, akkor a csomagot eldobja a
forgalomirnyt.
Az alaprtelmezett sszevons hasznlata kisebb irnyttblkat, mg az
sszevons letiltsa nagyobb mret frisstseket s nagy tblkat
eredmnyez. A teljes hlzati teljestmny s forgalommintk hatrozzk meg,
hogy az automatikus sszevons elnys-e.
A no auto-summary parancs segtsgvel kikapcsolhat az alaprtelmezett
sszevons.
Egy rendszergazda tallkozhat olyan esettel, amikor bizonyos tvonalakat

sszegezni kell, mg msokat nem. A dnts az alhlzatok elhelyezkedstl is
fgg. Ngy ugyanahhoz a forgalomirnythoz kapcsold folytonos alhlzat
esetben pldul rdemes sszevonni.
A manulis tvonal sszevons az EIGRP tvonalak pontosabb ellenrzst teszi
lehetv, gy a rendszergazda dntheti el, hogy mely interfszek mely alhlzatait
hirdeti sszevont tvonalknt.
A manulis sszevonst interfszenknt kell elvgezni. Ez az eljrs a
rendszergazda szmra teljes ellenrzst biztost. Egy manulisan sszevont
tvonal az irnyttblban logikai (nem fizikai) interfsztl szrmaz EIGRP
tvonalknt jelenik meg:
D 192.168.0.0/22 is a summary, Null0
Az EIGRP mkds ellenrzse

Br az EIGRP viszonylag egyszeren konfigurlhat protokoll, kifinomult technolgikat hasznl a tvolsgvektor
alap irnyt protokoll korltainak kikszblsre. Fontos, hogy megrtsk ezeket a technolgikat, hogy
megfelelen tudjuk egy EIGRP hlzat konfigurcijt ellenrizni s a hibkat megkeresni.
show ip protocols
Megmutatja, hogy az EIGRP a megfelel hlzatokat hirdeti-e,
valamint kimenetbl leolvashat az autonm rendszerazonost s az

adminisztratv tvolg.
show ip route
Segtsgvel leellenrizhet, hogy minden EIGRP tvonal az irnyttblban

van-e.
Az EIGRP tvonalak D vagy D EX betkkel vannak megjellve,
s a bels utak alaprtelmezett adminisztratv tvolsga 90.
show ip eigrp neighbors detail
Segtsgvel leellenrizhetk az EIGRP szomszdsgi viszonyai.
Megmutatja a szomszdos forgalomirnytk interfszeit s IP-cmeit.
show ip eigrp topology
Megmutatja a legjobb s az sszes msodik legjobb tvonalat,
valamint a legkisebb s a jelentett tvolsgot.
show ip eigrp interfaces detail
Segtsgvel leellenrizhetk az EIGRP-t hasznl interfszek.
show ip eigrp traffic
Megmutatja az EIGRP ltal kldtt s fogadott csomagok
Ha a szomszdsgi viszonyok megfelelek, de tovbbra is fennll a problma, akkor

a rendszergazdnak a debug parancsok segtsgvel kell a hibkat megkeresnie.
Ezek a parancsok lehetv teszik az EIGRP esemnyek vals-idej
nyomonkvetst.
debug eigrp packet
megmutatja az sszes EIGRP csomag kldst s fogadst
debug eigrp fsm
megjelenti az EIGRP-nek a msodik legjobb tvonalakkal kapcsolatos

tevkenysgeit, aminek alapjn megllapthat, hogy az tvonalakat trltk,
felfedeztk vagy bejegyeztk-e.
A debug folyamatok nagy svszlessget s feldolgozsi idt vesznek ignybe,

klnsen akkor, ha az EIGRP-hez hasonl nagyon komplex protokoll
monitorozsrl van sz.
Termszetesen ezen parancsok hasznlata leronthatja a hlzati teljestmnyt.
Az EIGRP korltai s problmi

Br az EIGRP egy erteljes s kifinomult irnyt protokoll, szmos tnyez
korltozhatja a hasznlatt:
Nem mkdik tbb gyrt eszkzvel kialaktott rendszerben, mivel Cisco

tulajdon protokoll.
Legjobban nem hierarchikus hlzati felpts mellett mkdik.
Minden forgalomirnytnak ugyanazzal az autonm rendszerazonostval kell

rendelkeznie, vagyis tovbb nem csoportosthatk az eszkzk.
Hatsra ltrejhetnek hatalmas irnyttblk, melyek sok frisstst

eredmnyeznek s nagy svszlessg hasznlatot vonnak maguk utn.
Tbb memrit s feldolgozst ignyel, mint a RIP
Alaprtelmezett belltsaival nem mkdik hatkonyan
A rendszergazdnak magas szint technikai tudssal kell rendelkeznie, mind

a protokollal, mind a hlzattal kapcsolatban.
Az EIGRP a legjobb tvolsgvektor alap irnyt protokoll, mely tipikusan

kapcsolatllapot alap irnyt protokollokra jellemz tulajdonsgokat is magba
foglal (kapcsolt frisstsek, szomszdsgi viszonyok). Az EIGRP szmos
tulajdonsgnak sikeres hasznlata figyelmes konfigurlst, felgyeletet s
hibafeldertst ignyel.
Kapcsolatllapot alap forgalomirnyts

OSPF protokollal trtn forgalomirnyts
Kapcsolatllapot alap protokoll mkdse
A vllalati hlzatok s az internetszolgltatk a hierarchikus (egymsra pl
rszekbl ll) felptsk s bvithetsgk miatt kapcsolatllapot alap
forgalomirnyit protokollt alkalmaznak. A tvolsgvektor alap forgalomirnyit
protokollok ltalban nem alkalmasak sszetett vllalati hlzatok
forgalomirnytsra.
Kapcsolatllapot alap protokollra plda a Legrvidebb t protokoll (OSPF Open Shortest Path First,), amely az Internet mrnki munkacsoport (IETF Internet Engineering Task Force) ltal kifejlesztett nylt szabvny, IP feletti irnyt
protokoll.
Az OSPF osztly nlkli bels tjr protokoll (IGP - interior gateway protocol),
amely a bvithetsg rdekben a hlzatot klnll rszekre, un. terletekre
(area) bontja. A hlzati szakember szmra a tbb terlet alkalmazsa lehetsget
ad meghatrozott tvonalak sszevonsra s bizonyos irnytsi feladatok egyetlen
terletre trtn leszktsre.
A kapcsolatllapot alap irnyt protokollok, mint pldul az OSPF, nem kldik
el egsz irnyttbljukat rendszeres idkznknt. Ehelyett a hlzat
konverglsa (kzeltse az optimlis mkdshez) utn kizrlag a topolgia
megvltozsa (pldul egy kapcsolat megszakadsa) kvetkeztben kldenek
frisstseket. Az OSPF teljes kr frisstst csupn 30 percenknt kld.
A kapcsolatllapot alap irnyt protokollok, mint az OSPF is, kivlan alkalmazhatk nagyobb, hierarchikus
hlzatokban, ahol a gyors konvergencia fontos.
A kapcsolatllapot alap irnyt protokollok a tvolsgvektor alapval sszehasonltva:
sszetett hlzattervezst s konfigurcit ignyel
nagyobb az erforrsignye
tbb tblzat karbantartsa miatt nagyobb memrit ignyel
az sszetett irnytsi szmtsok kvetkeztben nagyobb a CPU- s a

feldolgozsignye
Ezen kvetelmnyek nem jelentenek akadlyt, hiszen napjainkban nagy teljestmny forgalomirnytk llnak
rendelkezsre.
A RIP az ugrsszm alapjn vlasztja ki a legrvidebb tvonalat, mg az OSPF a svszlessg alapjn.
Az OSPF nem sszegzi automatikusan az tvonalakat a fbb hlzathatrokon,

tovbb a Cisco OSPF implementcija figyelembe veszi a svszlessget egy
kapcsolat kltsgnek meghatrozsnl
. A legjobb tvonal meghatrozshoz kltsgmrtket alkalmaz. A Cisco
OSPF implementcija egy tvonal kltsgnek meghatrozsnl a
svszlessget veszi figyelembe. A nagyobb svszlessg sszekttets
kisebb kltsget jelent. A clhoz vezet legkisebb kltsg tvonal lesz a
legmegfelelbb.
A legjobb t meghatrozsnl a forgalomirnyt szmra a svszlessg alap
mrtk megbzhatbb, az ugrsszm alapnl. A mrtk megbzhatsgbl s
pontossgbl addan az OSPF adminisztratv tvolsga 110, mely kisebb a RIP
protokollnl.
OSPF mrtk s konvergencia

Az OSPF protokoll a kapcsolat kltsgmrtkt, annak svszlessgre vagy sebessgre alapozza.
Meghatrozott clhlzatba vezet tvonal kltsge az egyes sszekttetsek kltsgnek
sszegbl addik. Egy hlzatba vezet sszes tvonal kzl a legkisebb sszkltsg tvonal
rszesl elnyben s kerl az irnyttblba.
A kltsg kiszmtsa az albbi kplet alapjn trtnik:

Kltsg = 100.000.000 / az sszekttets svszlessge [bit/s]
A szmts alapjul az interfszen belltott svszlessg szolgl, amely a show
interfaces parancs segtsgvel tekinthet meg.
A kplet alkalmazsa sorn problmt eredmnyeznek a 100 Mbit/s vagy
nagyobb sebessg kapcsolatok, mint a Fast s Gigabit Ethernet. Tekintet nlkl e
kt sszekttets sebessgnek klnbsgre, mindkt esetben a kltsgrtk 1,
gy klnbzsgk ellenre azonos eredmnyt nyjtanak. Ennek ellenslyozsa
rdekben, az ip ospf cost parancs alkalmazsval az interfsz kltsge kzzel
bellthat.
Az azonos terlethez tartoz OSPF forgalomirnytk a kapcsolat-llapotukrl n.

kapcsolatllapot-hirdetseket (LSA Link State Advertisement) kldenek a
szomszdjaiknak.
Miutn egy OSPF forgalomirnyt LSA zenetek segtsgvel a teljes terlet
minden sszekttetst feltrkpezi azaz meghatrozza a terlet hlzat trkpt,
ebbl az SPF algoritmus vagy ms nven Dijkstra algoritmus alkalmazsval
felpt egy az adott forgalomirnyitbl kiindul terleti topolgia ft. Minden
forgalomirnyt, mely az algoritmust futtatja, az SPF fa gykerben sajt magt
tnteti fel. A gykrbl kiindulva, az sszkltsg alapjn minden clhlzathoz
meghatrozza a legrvidebb utat. Ezek sszessge az SPF fa.
Az OSPF kapcsolatllapot vagy topolgiai adatbzis trolja az SPF fa

informciit, s minden hlzathoz vezet legrvidebb tvonal bekerl az
irnyttblba.
A konvergencia bekvetkezik, ha minden forgalomirnyt:
Megkapott minden informcit a hlzat sszes irnyrl
Az ismereteket feldolgozta az SPF algoritmus alkalmazsval
Frisstette az irnyttbljt
OSPF szomszdok s szomszdsgi viszony

Az OSPF forgalomirnytk szomszdsgi kapcsolatokat ptenek ki s
tartanak fenn ms csatlakoz forgalomirnytkkal. A szomszdokkal kialaktott
legteljesebb llapot a szomszdsgi viszony, melynek sorn kt forgalomirnyt
egymssal irnytsi informcikat cserl. A szomszdsgi viszony kialaktst
kveten a kt forgalomirnyt elkezdi a kapcsolatllapot frisstsek kldst
egymsnak. A teljes rtk (full state) szomszdsgi viszonyt akkor rik el, ha
kapcsolatllapot-adatbzisuk mr sszhangban van egymssal.
A teljes rtk szomszdsgi viszony kialaktsa sorn, a forgalomirnytk az albbi
llapotokon haladnak keresztl:
Kezdeti
Kt-utas
Kezds utni
Adat cserl
Adat feltlt
Teljes rtk
A szomszdsgi kapcsolatok kialaktsa a Hello protokollra pl, melynek sorn

a kzvetlenl kapcsold OSPF forgalomirnytk kismret csomagokat kldenek
egymsnak a 224.0.0.5 csoportos (tbbes kldses, multicast) cm alkalmazsval.
A Hello zenetek kldse Ethernet s zenetszrsos hlzatokon 10, mg nem
szrsos hlzatokon 30 msodpercenknt trtnik. A forgalomirnytk
belltsaiban a hello idzt, a vrakozsi idzt, a hlzattpus, a hitelests tpusa
s a hitelestsi adatok egyarnt megvltoztathatk. Szomszdsgi viszony esetn
ezeknek a paramtereknek egyeznik kell. A forgalomirnytk e viszonyokat a
kapcsolatllapot adatbzisban troljk.
Az OSPF forgalomirnyt norml esetben teljes rtk szomszdsgi llapotban

van. Szrsos krnyezetben egy forgalomirnyt a kijellt forgalomirnytval
(DR - designated router) s a tartalk kijellt forgalomirnytval (BDR - backup
designated router) alakt ki teljes rtk szomszdsgi viszonyt.
A DR s a BDR forgalomirnytk megvlasztsval a frisstsek szma s a
szksgtelen forgalom cskkenthet, tovbb a forgalomirnytk feldolgozsi
folyamata gyorsthat.
Szrsos hlzati szegmensen egyetlen kijellt, illetve tartalk kijellt
forgalomirnyt jelenlte szksges, az sszes tbbi forgalomirnyt csak
ezekkel van szomszdsgi kapcsolatban. Egy kapcsolat kiessekor, az a
forgalomirnyt, amelyiknek rzkeli a kapcsolat megsznst, zenetet kld a
DR forgalomirnytnak a 224.0.0.6 csoportos cmet hasznlva. A DR felelssge
eljuttatni az informcit a tbbi OSPF forgalomirnytnak a 224.0.0.5 csoportos
cm alkalmazsval. Azon kvl, hogy gy cskkenthet a frisstsek szma, a
folyamat biztostja, hogy minden forgalomirnyt egysgesen, egyidben s
ugyanazt az informcit kapja meg egyetlen forrsbl.
A tartalk kijellt forgalomirnyt (BDR) jelenltvel kikszblhet a hlzat
egyetlen hibapontbl szrmaz srlkenysge. A kijellt forgalomirnythoz
hasonlan a BDR is figyeli a 224.0.0.6 IP-cmre rkez zeneteket, illetve megkapja
a frisstseket. A DR mkdskptelenn vlsa esetn a BDR forgalomirnyt
azonnal tveszi a kijellt forgalomirnyt szerept, s j BDR vlaszts trtnik
a szegmensen. A kitntetett szereppel nem rendelkez forgalomirnytk neve:
DROther.
Helyi hlzatokon a legmagasabb OSPF forgalomirnyt azonostval
rendelkez forgalomirnytt lesz a DR. A msodik legnagyobb
forgalomirnyt-azonostval rendelkez lesz a BDR.
A forgalomirnyt azonost egy IP-cm, amelyet az albbi paramterek
befolysolnak:
1. A router-id parancs alkalmazsval meghatrozott rtk
2. Ha nincs belltott rtk a legmagasabb belltott IP-cm brmely loopback
interfszen
3. Ha nincs belltott loopback interfsz, akkor a legmagasabb IP-cm brmelyik
aktv fizikai interfszen.
A forgalomirnyt azonostja megtekinthet az albbi show parancsok

alkalmazsval:
show ip protocols, show ip ospf, show ip ospf interface
Elfordulhat, hogy a hlzati rendszergazda maga szeretn meghatrozni a kijellt
s a tartalk kijellt forgalomirnytt. Kivlaszthat pldul egy nagyobb
teljestmny vagy kisebb terheltsg forgalomirnytt erre a clra. Ehhez
befolysolnia kell a DR s BDR vlasztst a megfelel priorits belltsval az
albbi parancs segtsgvel:
ip ospf priority number
Alaprtelmezett belltsok szerint az OSPF forgalomirnytk prioritsa 1. Ha a
priorits rtke megvltozik egy forgalomirnytn, a nagyobb rtk nyer a DR s
BDR vlasztson. A legnagyobb bellthat rtk a 255. A 0 rtk belltsval
megakadlyozhat egy forgalomirnyt megvlasztsa DR-nek vagy BDR-nek.
Nem minden OSPF hlzattpus esetn szksges kijellt s tartalk kijellt

forgalomirnyt. Az OSPF protokoll az albbi tpusokat klnbzteti meg:
zenetszrsos tbbszrs hozzfrs hlzatok
Ethernet
Pont-pont (PPP) hlzatok:
Soros
T1/E1
Nem szrsos tbbszrs hozzfrs (NBMA - Non-Broadcast Multi-Access)

hlzatok:
Frame Relay
ATM
zenetszrsos tbbszrs hozzfrs hlzatok esetn, mint az Ethernet is, a

szomszdok szma igen sok lehet, ezrt szksges kijellt forgalomirnyt.
Pont-pont hlzatok esetn teljes rtk szomszdsgi viszonyok kialaktsa
problmamentes, hiszen a hlzattpus termszetbl addan a kapcsolatban
csupn kt forgalomirnyt vesz rszt. Ebben a helyzetben nem szksges
kijellt forgalomirnytt vlasztani s alkalmazni.
NBMA hlzatok esetn az OSPF protokoll ktfle mdban mkdhet:
Szimullt zenetszrsos krnyezetben: A rendszergazda bellthatja a

hlzat tpust zenetszrsosnak, gy a hlzat DR s BDR vlasztssal
zenetszrsos modellt szimull. Ilyen esetben ltalban ajnlott priorits
belltsval meghatrozni a kijellt s a tartalk kijellt forgalomirnytkat is,
s ezzel biztostani a DR s a BDR kapcsolatt a hlzat sszes tbbi
forgalomirnytjval. A szomszdos forgalomirnytk szintn bellthatk az
OSPF konfigurcis mdban alkalmazott neighbor parancs segtsgvel.
Pont-tbbpont krnyezet: Minden, nem zenetszrsos hlzatot pont-pont

kapcsolatok sszessgeknt kezel az OSPF, ezrt a DR vlaszts
szksgtelen. A szomszdos forgalomirnytkat ebben az esetben is
statikusan kell belltani.
Pont-Pont
Nem szrsos tbbszrs hozzfrs
OSPF terletek
Minden OSPF hlzat kiindulsi pontja a 0-s terlet, melyet gerinchlzatnak is
neveznek. A hlzat nvekedsvel tovbbi terletek hozhatk ltre a 0-s terlet
szomszdsgban, melyek 65 535-ig brmely szmmal jellhetk. Az egy
terlethez tartoz forgalomirnytk legnagyobb lehetsges szma 50.
A 0-s terlet, vagy ahogy szintn nevezik, gerinchlzat ll a fels szinten, s az

sszes tbbi terlet az als szinten. Minden terletnek, mely nem gerinchlzat, a
0-s terlethez kzvetlenl kell kapcsoldnia. A terletek egyttesen alkotnak egy
autonm rendszert (AS - Autonomous System).
A hlzati informcik sszevonsa ltalban terletek kztt jn ltre, aminek
segtsgvel cskkenthet az irnyttblk mrete a gerinchlzatban. Az
sszevons a vltozsok s a bizonytalan sszekttetsek hatst a
forgalomirnytsi tartomny rintett terletre korltozza. Topolgia-vltozs esetn
kizrlag az rintett terlet forgalomirnyti kapnak LSA hirdetseket, igy csak
ezeknek kell jrafuttatni az SPF algoritmust.
A hlzati informcik sszevonsa csak terletek kztt jn ltre, aminek
segtsgvel cskkenthet az irnyttblk mrete a gerinchlzatban.
A gerinchlzatot ms terlettel sszekt forgalomirnytt terleti hatrforgalomirnytnak (ARB - Area Border Router) nevezik. Egy adott terletet a
gerinchlzattal sszekt forgalomirnytt terleti hatrforgalomirnytnak (ARB - Area Border Router) nevezik. Azokat a
forgalomirnytkat, amelyek ms irnytprotokollt, pldul EIGRP protokollt
hasznl terletekhez is kapcsoldnak vagy statikus tvonalakat osztanak
meg az OSPF terletekkel, autonm rendszer hatr-forgalomirnytnak (ASBR
- Autonomous System Border Router) nevezik.
Egyterlet OSPF megvalstsa

Egyterlet OSPF alapszint belltsa
1. lps: Az OSPF engedlyezse
router(config)#router ospf <folyamat-azonost>
A folyamatazonost rtkt a rendszergazda vlasztja meg az 1-tl 65 535-ig
terjed intervallumbl. Csupn helyi jelentsg (csak az adott forgalomirnytn
hasznlt), ezrt nem szksges megegyeznie a tbbi OSPF forgalomirnytn
belltott folyamatazonostval.
2. lps: Hlzatok hirdetse
Router(config-router)#network <hlzati-cm> <helyettest-maszk> area
<terletazonost>
A network parancs funkcija megegyezik a ms bels irnyt protokollok esetn
megszokott funkcival. Egyfell meghatrozza azokat az interfszeket, amelyeken
engedlyezett az OSPF csomagok kldse s fogadsa, msfell azonostja azokat
a hlzatokat, amelyeket az OSPF irnytsi frisstseinek tartalmaznia kell.
Az OSPF network parancs egy hlzati cm s egy helyettest maszk (wildcard
mask) egyttest hasznlja, ezek kzsen jellik ki az OSPF OSPF szmra
engedlyezett interfszeket,s hlzatokat.
A terletazonost (area ID) meghatrozza azt a terletet, melyhez a hlzat
tartozik. Ha nincsenek terletek definilva, a 0-s terletet akkor is fel kell tntetni.
Egyterlet OSPF krnyezetben a terletazonost mindig 0.
Az OSPF network parancs alkalmazsnl a helyettest maszkot minden esetben

meg kell adni. tvonalsszegzs s szuperhlzatok hasznlata esetn a
helyettest maszk az alhlzati maszk inverze.
Egy hlzat vagy alhlzat helyettest maszkjnak meghatrozshoz az interfsz decimlis alhlzati maszkjt
egyszeren ki kell vonni a csupa 255-s maszkbl (255.255.255.255).
Pldul egy rendszergazda a 10.10.10.0/24-es alhlzatot szeretn hirdetni az OSPF protokoll esetn. Mivel
ebben az esetben az alhlzati maszk /24, azaz 255.255.255.0, a helyettest maszk kiszmtshoz ezt kell
kivonni a csupa 255-s maszkbl.
Csupa 255-s maszk: 255.255.255.255
Alhlzati maszk: - 255.255.255.0
----------------------Helyettest maszk: 0. 0 . 0 .255
A szmts alapjn az OSPF network parancs formja:
Router(config-router)#network 10.10.10.0 0.0.0.255 area 0
Az OSPF hitelests belltsa

Az OSPF, ms irnytprotokollokhoz hasonlan, a szomszdok kztti
informcicsert alaprtelmezetten nylt szvegknt bonyoltja le, s ezzel a hlzat
ellen irnyul biztonsgi fenyegetsre ad lehetsget.
Ha egy terleten a hitelests engedlyezett, a forgalomirnytk csak akkor osztjk
meg egymssal az informcikat, ha a hitelestsi adatok megegyeznek.
Egyszer jelszavas hitelests esetn, minden forgalomirnytn egy kulcsnak
nevezett jelszt kell belltani. A mdszer csupn alapszint vdelmet nyjt, mert a
forgalomirnytk nylt szvegben kldik a jelszt, gy az elolvassuk csak annyira
nehz, amennyire a nylt szveg elolvassa.
Biztonsgosabb hitelestsi eljrst jelent a Message Digest 5 (MD5) titkosts.
Ez egy kulcs s egy kulcsazonost belltst ignyli az sszes forgalomirnytn. A
forgalomirnyt a kulcsbl, az OSPF csomagbl s a kulcsazonostbl egy
algoritmus alkalmazsval ltrehoz egy titkostott szmot, amely belekerl minden
OSPF csomagba. A csomagellenrz alkalmazsok hasznlatval a kulcs nem
szerezhet meg, hiszen nem kerl tovbbtsra a hlzaton.
Az OSPF paramterek belltsa

Amikor a rendszergazda szeretn meghatrozni, hogy melyik forgalomirnyt
legyen a DR s melyik a BDR. Az interfsz prioritsnak vagy a forgalomirnyt
azonostjnak belltsval ez a feladat teljesthet.
A kijellt forgalomirnyt megvlasztsa az albbi sorrend szerint, a felsorolt
paramterek legmagasabb rtke alapjn trtnik:
1. Interfsz priorits: Az interfsz prioritsa a priority parancs alkalmazsval
llthat be.
2. Forgalomirnyt azonost: A forgalomirnyt azonost a router-id parancs

alkalmazsval llthat be.
3. Legmagasabb loopback-cm: Alaprtelmezsben a forgalomirnyt azonostja

a legmagasabb IP-cmmel rendelkez loopback interfsz IP-cme. Az OSPF
elnyben rszesti a loopback interfszeket, mivel azok logikai s nem fizikai
interfszek. A logikai interfszek mindig mkdnek.
4. A fizikai interfszek legmagasabb cme: A forgalomirnyt az aktv

interfszeinek cmei kzl a legmagasabb IP-cmet hasznlja a forgalomirnyt
azonostjaknt. Ez a lehetsg problmt okozhat, ha az interfsz
meghibsodik vagy jrakonfigurljk.
Miutn megvltozik egy forgalomirnyt azonostja vagy prioritsa, a
szomszdsgi viszonyokat alaphelyzetbe kell lltani.
A clear ip ospf process parancs alkalmazsval biztosthat az j rtkek
rvnybelpse. Ez a parancs biztostja az j rtk rvnybe lpst.
A svszlessg is olyan paramter, amely gyakori mdostst ignyelhet. A Cisco
forgalomirnytkon a legtbb soros interfsz svszlessgnek
alaprtelmezett belltsa 1.544 Mbit/s, azaz a T1 kapcsolat sebessge. Ez az
rtk meghatrozza a kapcsolat OSPF kltsgt, de valjban nem fgg ssze a
kapcsolat sebessgvel.
Bizonyos krlmnyek kztt egy szervezet rszleges T1 kapcsolatot kap az
internetszolgltattl. Rszleges T1 kapcsolat pldul a T1 kapcsolat egynegyed
rsze, azaz 384 Kbit/s. Az IOS a T1 kapcsolat alaprtelmezett teljes svszlessgt
rzkeli a soros kapcsolaton, mg ha az csak 384 Kbit/s is. A hibs rzkels
helytelen tvlasztst eredmnyez, mivel a kapcsolatot az irnyt protokollok

a tnylegesnl gyorsabb kapcsolatknt veszik szmtsba.
Amikor a soros interfsz nem az alaprtelmezett T1 sebessggel mkdik, a
megfelel bandwidth rtk kzi belltsa szksges. A kapcsolat mindkt
vgpontjn ugyanazt az rtket kell konfigurlni.
OSPF esetn a bandwidth interface s az ip ospf cost interface parancsok
alkalmazsval vgrehajtott mdostsok azonos eredmnyre vezetnek. Mindkt
parancs pontos rtket hatroz meg az OSPF protokoll szmra a legjobb tvonal
meghatrozshoz.
A bandwidth parancs megvltoztatja az OSPF kltsgmrtknek

meghatrozshoz hasznlt svszlessg rtkt. A kltsg kzvetlen
megvltoztatsra az ip ospf cost parancs hasznlhat.
Az OSPF protokoll kltsgmrtkhez kapcsold tovbbi paramter a

referencia-svszlessg, amely az interfsz kltsgnek, ms nven a kapcsolat
kltsgnek (link cost) kiszmtshoz szksges.
Az egyes interfszek esetn a svszlessg-rtknek meghatrozsa a
kvetkez kplettel trtnik: 100 000 000/svszlessg. A 100 000 000 (10^8) rtk
az n. referencia-svszlessg rtk.
Problmt okoznak a nagyobb sebessg sszekttetsek, pldul a Gigabit
Ethernet s a 10Gbit Ethernet. Az alaprtelmezett 100 000 000 referenciasvszlessg vagy az ennl gyorsabb kapcsolatok OSPF kltsge
egysgesen 1.
Pontosabb kltsgszmtsok rdekben szksges lehet a referenciasvszlessg rtknek mdostsa, mely az auto-cost reference-bandwidth
paranccal hajthat vgre.
Amennyiben szksg van ennek a parancsnak a hasznlatra, akkor az OSPF
mrtk kvetkezetessgnek rdekben minden forgalomirnytn egysgesen
kell alkalmazni a belltst. Az j referencia-svszlessg Mbit/s ban adhat
meg. Pldul, 10-Gigabit referencia-svszlessg megadsa esetn a megfelel

rtk 10 000.
Az OSPF mkdsnek ellenrzse

Az OSPF hlzat hibaelhrtsnl jl alkalmazhat a show ip ospf neighbor parancs,
mellyel a szomszdsgi viszonyok kialaktsa ellenrizhet.
Ha a szomszd forgalomirnyt azonostja nem jelenik meg, vagy nincs teljes rtk
llapotban, a kt forgalomirnyt kztt nem alakult ki szomszdsgi viszony. DROther
forgalomirnyt esetn szomszdsgi viszony teljes rtk vagy kt utas llapot esetn jn
ltre.
Tbbszrs hozzfrs Ethernet hlzat esetn a DR s BDR szerep csak a teljes rtk
szomszdsgi llapot belltt kveten vlik lthatv az llapot oszlopban.
Kt forgalomirnyt kztt nem jn ltre szomszdsgi viszony, ha:
az alhlzati maszkok klnbzsge miatt a forgalomirnytk nem azonos

hlzathoz tartoznak
az OSPF hello s vrakozsi idzti nem egyeznek meg
az OSPF hlzat tpusa nem egyezik
hinyos vagy helytelen valamelyik network parancs
Tbb show parancs is alkalmas az OSPF mkdsnek ellenrzsre.

show ip protocols
Megjelenti a forgalomirnyt azonostjt, a meghirdetett hlzatokat s a szomszdsgi
viszonyban lv forgalomirnytk IP-cmt.
show ip ospf
Megjelenti a forgalomirnyt azonostjt s az OSPF folyamatnak, idztinek s terleti

informcijnak rszleteit.
show ip ospf interface
Megjelenti a forgalomirnyt azonostjt, a hlzat tpusnak kltsgt s az idztk
belltsait.
show ip route
Informcit ad arra vonatkozan, hogy a forgalomirnyt kap-e s kld-e OSPF tvonal
informcit.
Tbb irnytprotokoll egyttes alkalmazsa

Alaprtelmezett tvonal belltsa s meghirdetse
Az OSPF protokoll egy autonm rendszeren bell biztost forgalomirnytsi informcikat.
Tovbb adatokkal szolgl az autonm rendszeren kvli, elrhet hlzatokrl is.
Bizonyos esetekben nmely forgalomirnytn a rendszergazda statikus tvonalakat llt be, amelyeket az
irnyt protokollok alaprtelmezetten nem terjesztenek. Nagy hlzat esetn igen krlmnyes feladat a statikus
tvonalak konfigurlsa az sszes forgalomirnytn. Ennl egyszerbb eljrs az internet fel vezet
alaprtelmezett tvonal belltsa.
OSPF esetn a rendszergazda ezt az tvonalat rendszerint egy n. ASBR

forgalomirnytn (Autonomous System Boundary Router / Autonomous System Border
Router) konfigurlja. Az ASBR forgalomirnyt kapcsolatot teremt az OSPF hlzat s a
klvilg kztt.
Miutn az irnyttbljba bekerlt a megfelel alaprtelmezett tvonal bellthat, hogy az
ABSR forgalomirnyt a tbbi forgalomirnyit fel hirdesse azt. Amint egy
alaprtelmezett tvonal bekerl az irnyttbljba, megfelel belltssal a
forgalomirnyt hirdetni fogja az OSPF hlzat tbbi rsze fel. Ez a hirdetett tvonal
kijratknt szolgl az OSPF hlzat tbbi rsze szmra. Az eljrs lehetv teszi az AS
minden forgalomirnytjnak tjkoztatst az alaprtelmezett tvonalrl, s megkmli a
rendszergazdt alaprtelmezett tvonalak statikus konfigurlstl az egyes
forgalomirnytkon.
1. lps
Alaprtelmezett tvonal konfigurlsa az ASBR forgalomirnytn.
R1(config)#ip route 0.0.0.0 0.0.0.0 serial 0/0/0
Az ip route parancs alkalmazsa sorn vagy egy interfszt vagy a kvetkez ugrs IP-cmt
kell megadni.
2. lps
ASBR forgalomirnyt konfigurlsa az alaprtelmezett tvonal hirdetsre.
Alaprtelmezs szerint, az OSPF protokoll hirdetsei mg akkor sem tartalmazzk az
alaprtelmezett tvonalat, ha az mr szerepel az irnyttblban.
R1(config)#router ospf 1
R1(config-router)#default-information originate
A fenti parancsok eredmnyeknt az OSPF tartomny forgalomirnytinak

irnyttbljban megjelenik egy vgs (last resort) tjr s a 0.0.0.0/0 hlzat. Az gy
bejegyzett alaprtelmezett tvonal az irnyttblban kls tvonalknt (E2) ltszik.
Az OSPF tvonalsszegzs belltsa

Az OSPF tvonalsszegzs megknnytse rdekben az IP-cmeket a terleteknek
megfelelen rdemes csoportostani. Az albbi pldban egy OSPF terlethez a kvetkez
ngy, folytonos hlzati szegmens tartozik:
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24
Ez a ngy hlzat sszevonhat s egyetlen hlzatknt hirdethet a 192.168.0.0/22

cmmel.
Az tvonalsszevons az OSPF tartomnyban cskkenti a meghirdetett hlzatok szmt, a szksges
memria nagysgt s a forgalomirnyt frisstseiben szerepl bejegyzsek szmt.
Tovbb elnyt jelent, hogy az sszevons mrskli a folyamatosan eltn, majd

jramegjelen n. vltakoz tvonalak (flapping route) negatv hatst.
A vergds olyan tvonalra utal, amely folyamatosan vltozik a mkd s a mkdskptelen llapot kztt.
Alaprtelmezsben egy vltakoz (hol mkd, hol lekapcsolt llapot) tvonal minden llapotvltozsa
tvonalfrisstst eredmnyez az egsz tartomnyban, s ez jelentsen megnveli a hlzat forgalmt s
terheltsgt.
Amikor egy forgalomirnyt tvonalsszevonst alkalmaz, egyetlen, szuperhlzatcmmel jell tbb tvonalat. Az tvonalak kzl elg csupn egy mkdkpessge
ahhoz, hogy a forgalomirnyt meghirdethesse az sszevont tvonalat.
Abban az esetben ha az tvonalak kztt van egy vagy tbb vltakoz tvonal, a forgalomirnyt
tovbbra is csak a sokkal stabilabb sszevont tvonalat fogja hirdetni, s az egyes klnll
tvonalakrl egyltaln nem tovbbt frisstst. Az tvonalsszevonst vgz forgalomirnyt brmely
vltakoz tvonalon tovbbtand csomagot egyszeren eldobja, amg az adott tvonal
mkdskptelen.
Az OSPF ASBR eszkz forgalomirnyt konfigurcis zemmdjban az albbi parancs

segtsgvel konfigurlhat sszevont tvonal:
area terlet-azonost range IP-cm maszk
A parancson bell meg kell hatrozni azt a terletet, amelyen az tvonalsszegzs trtnik,
valamint a kezd hlzat cmt s alhlzati maszkjt.
Az OSPF problmi s korltai

Az OSPF egy bvthet irnyt protokoll. Gyors konvergencira kpes s nagy hlzatokban is alkalmazhat.
Ennek ellenre a hasznlata sorn nhny problmval kell szembenzni.
Az OSPF tbb adatbzist is karbantart, ezrt nagyobb memria- s CPU kapacitsra van szksge, mint a
tvolsgvektor alap irnyt protokolloknak.
A Dijkstra algoritmus a legjobb tvonal meghatrozshoz a CPU-t nagymrtkben ignybe veszi. Ha az OSPF
hlzat bonyolult s nem stabil, a gyakori jraszmols kvetkeztben az algoritmus erforrs hasznlata
jelents lehet. Az OSPF protokollt futtat forgalomirnytk ltalban nagyobb teljestmnyek s ezrt
drgbbak.
A tlzott erforrs-hasznlat elkerlse rdekben, a hlzatot ajnlott kisebb terletekre osztani egy szigor,
hierarchikus tervezs alkalmazsval. Minden terletnek a 0-s terlethez kell kapcsoldnia, klnben
elveszthetik a kapcsolatot a tbbi terlettel.
Az OSPF protokoll lehetv teszi nagy s bonyolult hlzatok tervezst, azonban az OSPF adatbzisokban s
irnyttblban trolt adatok rtelmezse a technolgia magas szint ismerett kveteli meg.
A kezdeti, feltrkpez folyamat sorn, az OSPF LSA hirdetsek elrasztjk a hlzatot, korltozva ezzel a
felhasznli adatok tovbbtst. Kis svszlessggel rendelkez, sok forgalomirnytt tartalmaz kiterjedt
hlzatokban az elraszts jelentsen cskkentheti a hlzat teljestmnyt.
Korltai s problmi ellenre vllalati hlzatokban az OSPF protokoll a legszlesebb krben alkalmazott
irnyt protokoll.
Tbb protokoll egyidej alkalmazsa nagyvllalati krnyezetben

Amikor tbb irnyt protokoll fut egyetlen forgalomirnytn, elfordulhat, hogy ugyanazt az
tvonalat a forgalomirnyt tbb forrsbl is megtanulja. Ilyen esetben elengedhetetlen egy
olyan jl meghatrozott mdszer a forgalomirnyt szmra, amellyel kivlaszthatja a
legmegfelelbb tvonalat s elhelyezheti az irnyttblban.
Amikor egy forgalomirnyt egyetlen hlzatrl tbb forrsbl is rtesl, az adminisztratv

tvolsg (AD - administrative distance) figyelembevtelvel hatrozza meg az elnyben
rszestett tvonalat. A Cisco IOS minden irnytsi informcit alkalmaz mdszerhez egy
adminisztratv tvolsgot rendel.
Ha egy forgalomirnyt egy meghatrozott alhlzatrl RIP s OSPF forrsbl is
rtesl, az OSPF ltal tanult tvonalat fogja elnybe rszesiteni s eltrolni az
irnyttblban. Az irnyttbla bejegyzseinek elejn lthat kd jelzi az tvonal forrst,
vagy a tanuls mdjt. Minden kdhoz meghatrozott AD tartozik.
Ha kt hlzat azonos hlzati cmmel s alhlzati maszkkal rendelkezik, akkor a

forgalomirnytk azonosnak ltjk ket. Ez a megllapts akkor is igaz, ha a kt hlzat kzl az egyik egy
sszevont hlzat, a msik pedig az sszevonsban szerepl valamelyik nll hlzat.
Annak ellenre, hogy a 192.168.0.0/22 sszevont hlzat tartalmazza a 192.168.1.0/24 hlzatot, kln
bejegyzsknt szerepelnek. Ilyen esetekben mindkt bejegyzs megtallhat az irnyttblban. Annak
eldntsre, hogy melyik tvonal legyen hasznlatban, a leghosszabb eltag-egyezs szolgl.
Pldul, egy forgalomirnyt csomagot kap a 172.16.0.10 clcmmel. Hrom lehetsges tvonalnak felel meg:
172.16.0.0/12, 172.16.0.0/18, s. Kzlk a 172.16.0.0/26 mutatja a leghosszabb egyezst. Egyezsrl akkor
beszlhetnk, ha legalbb az alhlzati maszkban jelzett bitszmig megegyezik binrisan a clcm s az adott
tvonal.
Vllalati WAN kapcsolatok megvalstsa

A vllalati WAN hlzatok sszekapcsolsa
WAN eszkzk s technolgik
Ahogy a vllalatok nvekednek, gyakori, hogy az egytelephelyes cgbl tbbtelephelyes lesz. Ez a bvls
ltalban kiknyszeriti a vllalati hlzat bvlst, igy a helyi hlzati (Local Area Network, LAN) szint mellett a
nagykiterjeds hlzatok (Wide Area Network, WAN) megjelenst is.
Egy helyi hlzat rendszergazdja mg fizikailag is kpes a teljes hlzati kbelezs, az eszkzk s a
szolgltatsok felgyeletre. Annak ellenre, hogy nhny nagyobb vllalat sajt WAN hlzat zemeltet, a
legtbb szervezet valamilyen szolgltattl vsrolja a WAN szolgltatsokat. A szolgltatk hasznlati djat
szmolnak fel hlzati erforrsaik ignybevtelrt. Az internetszolgltatk (Internet Service Provider, ISP)
segtsgvel a felhasznlk megoszthatjk az erforrsaikat a tvoli helyeik kztt, anlkl, hogy szmolniuk
kellene egy sajt hlzat megptsnek s fenntartsnak kltsgeivel.
A LAN-ok s WAN-ok kztt nemcsak a hlzati erforrsok felgyeletben van klnbsg. A technolgik is
eltrek. A leggyakoribb LAN technolgia az Ethernet. A WAN technolgik viszont soros tvitelt
valstanak meg. A soros tvitel lehetv teszi a megbzhat, nagytvolsg kommunikcit, de a helyi
hlzatoknl alacsonyabb sebessgeken.
A WAN hlzatokhoz val kapcsoldskor pldul tjrknt forgalomirnytt

hasznlunk, amely a szolgltat hlzata szmra kezelhet formtumv alaktja az
adatokat. A modemek s az ezekhez hasonl, talakt szerepet betlt eszkzk
(translation device), az adatok szolgltati hlzaton keresztl trtn tvitelt kszitik
el.
Digitlis vonalak esetn csatornaszolgltat (Channel Service Unit, CSU) s
adatszolgltat (Data Service Unit, DSU) egysgekre van szksg az adatok
elksztsre a WAN-kapcsolaton trtn adat-tovbbtshoz. Ez a kt eszkz gyakran
egyetlen berendezsben egyestve fordul el, melyet CSU/DSU-nak neveznk. Ez az
eszkz tbbnyire a forgalomirnytk interfszkrtyjba van beptve. Analg
kapcsolatok esetn modemre van szksg.
Amikor egy vllalat valamilyen WAN szolgltatsra fizet el akkor a szolgltat birtokolja s tartja fent a
szksges berendezseket. Bizonyos esetekben azonban az elfizet tulajdonban is van nhny
kommunikcis eszkz, melyek mkdsrt maga felel. Azon a ponton, ahol az gyfl felgyeleti feladatai
s felelssgi ktelezettsgei vget rnek, ott kezddik a szolgltat felgyeleti s felelssgi
feladatkre. . Ezt a pontot demarkcis pontnak nevezzk (demarcation point, demarc). A demarkcis
pont elhelyezkedhet pldul a forgalomirnyt s az talakt berendezs kztt de akr az talakt
berendezs s a szolgltat kzponti irodja (Central Office, CO) kztti vonal csatlakozsnl. Tekintet
nlkl a tulajdonjogra, a szolgltatk az elfizeti vgberendezs (Customer Premise Equipment, CPE)
kifejezst hasznljk az gyfl telephelyn elhelyezked berendezs megjellsre.
A kzponti iroda (CO) az a hely, ahol a szolgltat a berendezseit trolja, s fogadja az

gyflkapcsolatokat. A CPE-tl kiindul fizikai vonal rz vagy optikai kbelt hasznlva
csatlakozik a kzponti irodban elhelyezett forgalomirnythoz vagy WAN
kapcsolhoz.
Ez a kapcsolat az gynevezett helyi hurok vagy utols mrfld (last mile). Az gyfl
szemszgbl ez a els mrfld (first mile), mivel ez az gyfl telephelyrl kivezet
tviteli kzeg els szakasza.
A CSU/DSU vagy a modem feladata a helyi hurok fel tart adatok mozgsnak
temezse, valamint az rajel biztostsa a forgalomirnyt szmra. A CSU/DSU
adatkommunikcis (Data Communications Equipment, DCE) eszkznek minsl. A DCE
fel tart adatok tovbbtsrt felels forgalomirnyt viszont az adatvgberendezsek (Data Terminal Equipment, DTE) csoportjba tartozik.
A DTE/DCE interfsz szmos fizikai rtegbeli protokollt hasznl, pldul az X.21-et s a
V.35-t.
Ezek a protokollok rgztik azokat a jel- kd- s elektronikus paramtereket, melyeket a

forgalomirnytk s a CSU/DSU eszkzk hasznlnak az egymssal val
kommunikcihoz.
A megfelel WAN technolgia kivlasztsakor fontos szempont a kapcsolat

sebessge. A WAN-kapcsolatokat megvalstsra ltrehozott els digitlis hlzatok 64
kbit/s sebessg kapcsolatokat tmogattak, brelt vonalon keresztl. A 0-s szint
digitlis csatorna (Digital Signal level 0, DS0) kifejezs erre a szabvnyra utal.
A technolgia fejldsvel, a szolgltatk a DS0 csatorna kibvtett vltozatait is
biztostottk az elfizetk szmra. szak-Amerikban pdul a DS1 szabvny, ms
nven T1 vonal, egy olyan kommunikcis vonalat definil, amely 24 DS0 adatcsatornt,
s egy 8 kbit/s sebessg, jelzsrenszeri csatornt foglal magban. Ez a szabvny
maximlisan 1,544 Mbit/s sebessget tesz lehetv. A T3 vonalak a DS3 szabvnyt
hasznljk, amely 28 DS1 csatornt fog ssze s ezltal maximlisan 44,736 Mbit/s tviteli
sebessgre kpes.
A vilg ms rszein ms szabvnyokat alkalmaznak. Eurpban pldul E1 vonalakat
knlnak a szolgltatk, melyek 32 DS0 csatorna tmogatsval 2,048 Mbit/s sebessgre
kpesek. Tallkozhatunk E3 kapcsolatokkal is, melyek 16 E1 vonalat felhasznlva
maximlisan 34,064 Mbit/s sebessget biztostanak.
WAN szabvnyok
A WAN szabvnyok az adatok szlltsnak fizikai- s adatkapcsolati rtegbeli
jellemzit specifikljk. Az adatkapcsolati rtegre vonatkoz WAN szabvnyok olyan
paramtereket irnak el, mint a fizikai cmzs, az adatfolyamvezrls (flow control)
vagy a begyazs tpusa, de leirjk az informci mozgatsnak a WAN-kapcsolaton
keresztli megoldst is.
Nhny plda 2. rtegbeli WAN protokollokra:
Kapcsolatelrsi eljrs Frame Relay-hez (Link Access Procedure for Frame Relay,
LAPF)
Magasszint adatkapcsolat-vezrls (High-level Data Link Control, HDLC)
Pont-pont protokoll (Point-to-Point Protocol, PPP)
Szmos szervezet van, amely a fizikai- s az adatkapcsolati rtegbeli WAN szabvnyok

kezelsrt felels. Ilyen szervezet pldul:
Nemzetkzi Telekommunikcis Szvetsg Telekommunikcis

Szabvnyostsi Csoportja (International Telecommunications Union
Telecommunications Standardization Sector, ITU-T)
Nemzetkzi Szabvnygyi Hivatal (International Organization for Standardization,

ISO)
Internet Mrnki Munkacsoport (Internet Engineering Task Force, IETF)
Elektronikai Ipargak Szvetsge (Electronics Industry Alliance, EIA)
Telekommunikcis Ipari Szvetsg (Telecommunications Industry Association,

TIA)
WAN-kapcsolatok ltestse
A WAN-kapcsolatok digitlis vagy analg technolgit hasznlnak. Analg
kapcsolatok esetn az adatok kdolssal, ms nven modullssal kerlnek r egy
vivhullmra. A modullt jel ezutn tovbbviszi az informcikat az tviteli kzegen a tvoli
vgpont fel. A tvoli helyen a jel demodullsra kerl, s a vevoldal kinyeri az
informcit.
Nevt feladatrl kapta: a vivjel modullsa s demodullsa (modem).
Modemek segtsgvel a tvoli llomsok a hagyomnyos telefon-rendszert (Plain Old
Telephone System, POTS) hasznlatva kommuniklhatnak egymssal. Ezen kvl a
felhasznlk digitlis elfizeti vonalakon (Digital Subscriber Line, DSL) vagy
kbeltelevzis (Cable Television, CATV) kapcsolatokon is csatlakozhatnak a szolgltatk
hlzataihoz.
Szmos vllalat fizet el olyan szolgltatsokra, amelyek dediklt vonalak segtsgvel

biztostjk az sszekttetst telephelyk s az ISP kztt.
Ezek gyakran brelt vonali szolgltatsok formjban valsulnak meg, melyekrt a vllalatok havi elfizetsi djat
fizetnek.
Ezek a vonalak risi mennyisg adat tvitelre kpesek. Egy T1 kapcsolat pldul 1,544 Mbit/s, mg egy E1
vonal 2,048 Mbit/s sebessggel kpes tovbbtani a forgalmat.
Gyakran ez a svszlessg nagyobb, mint amire a szervezetnek valjban szksge lenne.

Egy T1 vonal feloszthat 24 darab 64 Kbit/s sebessg DS0 csatornra. Ebben az
esetben az gyfl a T1/E1 kapcsolatnak csak egy rszre, ms nven rszleges
(frakcionlis) T1 vagy E1 kapcsolatra fizet el.
A nagy svszlessg kapcsolatok tbb DS0 csatornra bonthatak fel.
Az internetszolgltatk az egyes DS0 vonalakhoz klnbz kommunikcis prbeszdeket vagy
vgfelhasznlkat rendelhetnek hozz. A szervezetek egy vagy tbb DS0 csatornt is megvsrolhatnak. Egy
DS0 csatorna nem egy fizikailag klnll entits, inkbb a vonal fizikai svszlessgnek egy idszelethez
hasonlthat.
Az egyes frakcionlis kapcsolatok az sszes idtartam egy tredkig teljes hozzfrst

tesznek lehetv az tviteli kzeghez a szervezet szmra. Kt technika ltezik arra, hogy
az id fggvnyben az informcikldshez egyetlen kbel svszlessgt tbb
csatorna kztt lehessen megosztani: az egyszer idosztsos multiplexels (Time

Division Multiplexing, TDM) s a statisztikai alap idosztsos multiplexels (StatisticalTime Division Multiplexing, STDM).
Az idosztsos multiplexels (TDM) elre meghatrozott idrsek alapjn osztja meg a

svszlessget. Minden ilyen idrst egy egyedi prbeszdhez rendelnek. Az egyes
idrsek azt az idtartamot reprezentljk, ami alatt egy prbeszd teljes kren
hasznlhatja a fizikai tviteli kzeget. A svszlessget attl fggetlenl lefoglaljk az egyes
csatornk vagy idrsek szmra, hogy a csatornt hasznl llomsnak vannak-e
tovbbtsra vr adatai. Kvetkezskppen a szabvnyos TDM esetn, ha egy
llomsnak ppen nincs kldend zenete, idrse kihasznlatlan marad, elpazarolva
az rtkes svszlessget.
A statisztikai idosztsos multiplexels (STDM) hasonlt a TDM-hez, eltekintve attl,
hogy nyomon kveti a tbblet svszlessget ignyl prbeszd-folyamokat. Ez a
megolds a fel nem hasznlt idrseket az aktulis szksgletek szerint dinamikusan
kiosztja. Ily mdon az STDM segtsgvel minimalizlhat az elpazarolt svszlessg.
Csomag- s vonalkapcsols
Dediklt brelt vonal
Az egyik kapcsoldsi tpus a pont-pont soros sszekttets kt forgalomirnyt
kztt, dediklt brelt vonal segtsgvel. Ezzel vgpont-vgpontpont tpus kapcsolat
hozhat ltre, mely alapvet adattovbbtsi feladatok elltsra kpes. Minden ilyen
sszekttets vgpontonknt egy klnll fizikai interfszt s egy kln CSU/DSU
berendezst ignyel. Ahogy egy szervezet egyre tbb telephelyet alakt ki, az egyes
helysznek kztti brelt vonalak fenntartsa nagyon kltsgess vlhat.
Vonalkapcsols
Vonalkapcsols esetn egy ramkr jn ltre az llomsok kztt, mieltt azok brmilyen
adatot tovbbtannak. A szabvnyos telefonos hvsok ezt a kapcsoldsi tpust
hasznljk. A vonalkapcsols az ramkr bekapcsolt llapota alatt fix svszlessget
biztost a kt vgpont kztt. A prbeszd befejeztvel az ramkr felszabadul. Ms
szervezet nem hasznlhatja az ramkrt addig, amg az szabadd nem vlik. Ez egyfajta
biztonsgot jelent, amely nincs jelen a csomagkapcsolt vagy a cellakapcsolt technolgik
esetben.
Vonalkapcsols esetn akkor rendelik hozz a szolgltatk az egyes kapcsolatokhoz az sszekttetseket,
amikor az erre vonatkoz ignyt berkezik. Kltsget csak akkor szmolnak fel, ha az sszekttets
hasznlatban van. Egy vonalkapcsolt sszekttets kltsge a hasznlati id fggvnyben vltozik, s gyakori
hasznlat esetn meglehetsen drga lehet.
Csomagkapcsols
A csomagkapcsols jval hatkonyabban hasznlja ki a vonalak svszlessgt, mint
ms kapcsolsi tpusok. Az adatokat itt csomagokra bontjk, melyekhez cl- s forrsazonostkat rendelnek. Ezutn az adatok a szolgltat hlzatba lpnek. A szolgltat
fogadja az adatokat s clcimk alapjn tovbbkapcsolja azokat egyik csompontrl a
msikra, mg el nem rik vgs cljukat. A forrs s cl kztti tvonal vagy ramkr,
ltalban elre meghatrozott, de nem kizrlagos hasznlat sszekttets. A szolgltatk

a klnbz szervezetek fell rkez csomagokat ugyanazon sszekttetseken keresztl
kapcsoljk. A csomagkapcsolt technolgia egyik pldja a Frame Relay.
Cellakapcsols
A cellakapcsols a csomagkapcsols egy vltozata. Alkalmas hang, video s
adattvitelre magn vagy nyilvnos hlzatokon keresztl, akr 155 Mbit/s
sebessggel. Az ATM (Asynchronous Transfer Mode) technolgia fix mret, 53
bjtos cellkat hasznl, melyek egy 48 bjtos adatrszbl s egy 5 bjtos
fejrszbl llnak. A kicsi, egyforma mret cellk gyors s hatkony kapcsolst
tesznek lehetv a csompontok kztt.
Az ATM technolgia egyik elnye, hogy megakadlyozza, hogy a kisebb mret
zeneteket visszatartsk a nagyobb mret zenetek. A fknt szegmentlt adatokat
forgalmaz hlzatokban azonban az ATM nagymrtk tbbletterhelst eredmnyez,
amely tnylegesen cskkenti a hlzat teljestmnyt.
Virtulis ramkrk
Csomagkapcsolt technolgia hasznlata sorn a szolgltat virtulis ramkrket
(Virtual Circuit, VC) hoz ltre. Egy virtulis ramkr az egyes csomagkapcsol eszkzk
kztti sszekttetseket a klnbz forrsbl szrmaz csomagok kztt megosztva
hasznlja. Ennek eredmnyekppen, az tviteli kzeg nem kerl kizrlagos hasznlat al a
kapcsolat idtartama alatt. Ktfle virtulis ramkr ltezik: kapcsolt s lland.
Kapcsolt virtulis ramkrk
A kapcsolt virtulis ramkrk (Switched, SVC) dinamikusan jnnek ltre kt vgpont
kztt, amikor egy forgalomirnyt adatot kvn tovbbtani. Az ramkr igny szerint pl
fel, s lebomlik miutn az tvitel befejezdtt, (pldul letltdtt egy llomny). Egy SVC
ltrejttekor hvsfelptsi informcikat kell elkldeni mieltt brmilyen adatot kldhet. A
hvsbontsi informcik megszaktjk a kapcsolatot, ha arra mr nincs szksg. Ez a
folyamat nmi ksleltetst eredmnyez a hlzatban, mivel minden prbeszd esetn fel
kell pteni majd le kell bontani a virtulis ramkrket.
lland virtulis ramkrk
Az lland virtulis ramkrk (Permanent, PVC) tarts tvonalat biztostanak kt pont
kztt az adatok tovbbtshoz. A szolgltatnak elre be kell lltania a PVC-ket, melyek
nagyon ritkn bomlanak fel vagy kapcsoldnak szt. Ez a tulajdonsg szksgtelenn teszi a
hvsok felptst, illetve lebontst, s ennek ksznheten felgyorsul az
informciramls a WAN-kapcsolaton keresztl. A PVC-k segtsgvel a szolgltatk sokkal
nagyobb mrtkben kpesek kzben tartani a hlzat adatramlsi mintit s a felgyeleti
feladatokat. A PVC-k npszerbbek az SVC-knl, s gyakran olyan telephelyek
kiszolglsra hasznljk ket, amelyek lland, nagymret adatforgalmat bonyoltanak. A
Frame Relay jellemzen PVC-ket hasznl.
Helyi hurok s nagytvolsg WAN technolgik

Az ISP-k tbbfajta WAN technolgit hasznlnak gyfeleik csatlakoztatshoz. Az a
kapcsoldsi tpus, melyet a helyi hurok, vagy ms nven utols mrfld (last mile)
esetben hasznlnak, nem felttlenl egyezik meg azzal a WAN kapcsoldsi tpussal, amit
az ISP hlzatn bell vagy a klnbz szolgltatk kztt alkalmaznak.
Helyi huroknl alkalmazott technolgik pldul a kvetkezk:
analg betrcszs
integrlt digitlis hlzat (Integrated Services Digital Network, ISDN)
brelt vonal
kbeltvs kapcsolat
digitlis elfizeti vonal (Digital Subscriber Line, DSL)
Frame Relay
vezetk nlkli kapcsolat
Ezen technolgik mindegyike biztost elnyket s htrnyokat egyarnt az elfizetk szmra. Nem minden
fldrajzi terleten rhet el az sszes itt felsorolt technolgia.
Amikor egy szolgltat adatokat fogad, tovbbtania kell azokat a tvoli vgpontok fel, hogy vgl eljussanak a
cmzetthez. Ezek a tvoli helyek tartozhatnak az ISP hlzathoz vagy kpezhetik a klnbz
internetszolgltatk kztti szakaszokat. Nagytvolsg kommunikcis kapcsolatokkal gyakran tallkozhatunk
az internetszolgltatk kztt vagy risvllalatok fikirodinak sszekttetse esetn.
Sok klnbz WAN technolgia ll rendelkezsre a szolgltatk szmra, amelyek nagy tvolsgok
esetn is lehetv teszik a megbzhat adattovbbtst. Ezek kz tartoznak pldul az ATM, a Frame
Relay, a mholdas- s a brelt vonalas kapcsolatok.
A nagyvllalatok folyamatos nvekedse nvekv szm, a vilg legklnbzbb terletein ltrejv

telephelyet eredmnyeznek. Ennek eredmnyekppen az alkalmazsoknak egyre nagyobb s
nagyobb svszlessgre van szksgk. Ez a nvekeds olyan nagysebessg s nagy
svszlessg technolgit ignyel, ami alkalmas nagyobb tvolsgra trtn adattovbbtsra is.
A Szinkron Optikai hlzat (Synchronous Optical Network, SONET) s a Szinkron

Digitlis Hierarchia (Synchronous Digital Hierarchy, SDH) olyan szabvnyok, melyek
nagy mennyisg adat tvitelt biztostjk, nagy hattvolsggal rendelkeznek, s
optikai kbeleket hasznlnak. Mind a SONET, mind az SDH magban foglalja a korai
digitlis tviteli szabvnyokat, s tmogatja az ATM, illetve a Packet over SONET/SDH
(POS) hlzatokat. Mindkt technolgit hasznljk adatok s hangzenetek tovbbtsra
is.
A DWDM (Dense Wavelength Division Multiplexing) az egyik olyan j fejleszts, amely
tmogatja a rendkvl nagy tvolsg adatkommunikcit. A DWDM a berkez optikai
jelekhez meghatrozott frekvencij vagy hullmhossz fnyt rendel hozz. Kpes e

hullmhosszok erstsre is, ami fokozza a jelerssget.
A DWDM tbb mint 80 klnbz hullmhossz vagy adatcsatorna egyetlen vegszlra
trtn multiplexelsre ad lehetsget. Az egyes csatornk 2,5 Gbit/s sebessgen
kpesek tvinni a multiplexelt jeleket.
Az adat vev oldalon trtn demultiplexelse lehetsget ad tbb klnbz adatfolyam
egyetlen optikai szlon trtn tvitelre, akr eltr adattviteli sebessgek hasznlatval
is. A DWDM pldul kpes IP, SONET s ATM formtum adatok egyidej tvitelre.
Gyakori WAN begyazsok sszehasonltsa

Ethernet s WAN begyazsok
A begyazsi folyamat mg azeltt lezajlik, mieltt az adatok thaladnak a WANkapcsolaton. A begyazs egy olyan konkrt formtumhoz illeszkedik, amely a hlzaton
hasznlt technolgin alapszik. Mieltt az adatokat bitekk alaktank a kzegen val
tvitelhez, a 2. rtegbeli begyazsi folyamat cmzsi s vezrlsi informcikat ad az
adatokhoz.
A 2. rteg a fizikai hlzati tvitel tpusra jellemz fejlc informcikat ad hozz az adatokhoz. LAN
krnyezetben az Ethernet a leggyakrabban elfordul technolgia. Az adatkapcsolati rteg Ethernet keretekbe
gyazza a csomagokat. A keret fejlcek olyan informcikat tartalmaznak, mint a forrs s cl MACcmek, s olyan Ethernetre jellemz vezrlket, mint a keretmret s az idztsi informcik.
Hasonlkppen az elbbiekhez, a WAN-kapcsolatokon val tvitelre sznt keretek

begyazsa illeszkedik az sszekttetsen hasznlatban lv technolgival. Ha egy
sszekttets pldul Frame Relay-t hasznl, akkor Frame Relay specifikus
begyazsi tpusra van szksg.
Az adatkapcsolati rtegbeli begyazs tpusa elklnl a hlzati rteg begyazsi
tpustl. A hlzati rtegbeli begyazs mindvgig vltozatlan marad. Ha egy csomag a
cllloms elrshez thalad egy WAN-kapcsolaton, a 2. rtegbeli begyazs tpusa a
kapcsolatot megvalsit WAN technolgihoz igazodik.
A csomagok a helyi hlzatokbl az alaprtelmezett tjr szerept betlt forgalomirnytn
keresztl jutnak ki. A forgalomirnyt eltvoltja az Ethernet keret informciit majd a
WAN-kapcsolatnak megfelel j keretbe gyazza az adatokat. A WAN interfszen
fogadott adatok Ethernet keretformtumra trtn talaktsa azeltt megy vgbe, hogy
azokat a helyi hlzatra helyeznk. A forgalomirnyt tviteli kzeg talaktknt szolgl
(mdia konverter), mivel az adatkapcsolati rtegbeli keretformtumot az interfsznek
megfelelen vltoztatja meg.
Pont-pont kapcsolatok esetn a begyazsi tpusnak mindkt oldalon meg kell egyeznie. Az
adatkapcsolat rtegbeli begyazsi tpusok a kvetkez adatmezket tartalmazzk:
Jelz (flag)
Az egyes keretek kezdett s vgt jelli meg.
Cm
A begyazs tpustl fgg.
Nem szksges a pont-pont WAN-kapcsolatoknl.
Vezrls
A keret tpusnak jelzsre szolgl.
Protokoll
A begyazott hlzati rtegbeli protokoll megadsra hasznljk.
Nem szerepel minden WAN begyazsi tpus esetn.
Adat
rtegbeli adatot s az IP adategysget foglalja magba.
Keretellenrz sorozat (FCS)
Ellenrzsi mechanizmust biztost annak megllaptshoz, hogy nem srlt-e meg a

keret tvitel kzben.
HDLC s PPP
A HDLC s a PPP a kt leggyakoribb soros vonali 2. rtegbeli begyazsi tpus.
A HDLC (High-level Data Link Control) szabvnyos, bit-orientlt adatkapcsolati
rtegbeli begyazsi tpus. A HDLC szinkron soros tvitelt hasznl, mely hibamentes
kommunikcit biztost kt pont kztt. A HDLC protokoll definil egy 2. rtegbeli
keretszervezsi (frame) struktrt, amely nyugtzs s ablakozsi rendszer hasznlatval
ramlsvezrlsre s hibakezelsre ad lehetsget. Minden keret ugyanolyan
formtum, akr adatkeretrl, akr vezrlkeretrl legyen sz.
A szabvnyos HDLC keretformtum nem tartalmaz olyan adatmezt, amely azonostan a
keret ltal hordozott protokoll tpust. A szabvnyos HDLC emiatt nem kpes tbbfajta
protokoll tvitelre ugyanazon az sszekttetsen keresztl.
A Cisco HDLC protokoll bevezet egy tovbbi adatmezt, amely tpus (Type) nven
ismert. Segtsgvel lehetsg nylik arra, hogy tbb hlzati rtegbeli protokoll
megosztva hasznlja ugyanazt a kapcsolatot. Csak akkor hasznljuk a Cisco HDLC
protokollt, ha Cisco kszlkeket szeretnnk sszekapcsolni egymssal. A Cisco HDLC
az alaprtelmezett adatkapcsolati protokoll a Cisco soros kapcsolatoknl.
A HDLC-hez hasonlan a Pont-Pont Protokoll (PPP) is soros sszekttetsek szmra

kszlt adatkapcsolat rtegbeli begyazsi tpus. Rteges felptst hasznl, mely
segtsgvel kpes multi-protokoll adatcsomagok begyazsra s tvitelre pont-pont
kapcsolatokon keresztl. Mivel a PPP protokoll szabvnyokon alapul, lehetv teszi a
kommunikcit a klnbz gyrttl szrmaz kszlkek kztt.
A PPP a kvetkez interfszeket tmogatja:
aszinkron soros
szinkron soros
HSSI (High-Speed Serial Interface)
ISDN (Integrated Services Digital Network)
A PPP kt alprotokollal rendelkezik:
Kapcsolatvezrl protokoll (Link Control Protocol, LCP) a pont-pont kapcsolatok

felptsrt, fenntartsrt s lebontsrt felels.
Hlzatvezrl protokoll (Network Control Protocol, NCP) egyttmkdst biztost a

klnbz hlzat rtegbeli protokollokkal.
Kapcsolatvezrl protokoll
A PPP az LCP-t hasznlja pont-pont sszekttetsek kialaktsra, fenntartsra,
tesztelsre s befejezsre. Az LCP szleli s konfigurlja a WAN-kapcsolat vezrlbelltsait. Nhny belltsi lehetsg, amiket az LCP kezel:
hitelests (authentication)
tmrts
hibafelismers
tbb kapcsolat (multilink)
PPP visszahvs
A fentieken tl az LCP a kvetkezkrt felels:
kezeli a klnbz mret csomagokat
szleli a gyakori konfigurcis hibkat
kpes a jl s a hibsan mkd kapcsolatok megklnbztetsre
Hlzatvezrl protokoll (NCP)

A PPP az NCP-t hasznlja a klnbz hlzat rtegbeli protokollok begyazsra, gy
azok kpesek ugyanazon kommunikcis kapcsolaton keresztl mkdni.
A PPP kapcsolatokon hasznlt minden hlzati protokolloknak sajt hlzatvezrl
protokollra van szksge. Az internetprotokoll (IP) pldul, az IP vezrlprotokollt
(IPCP), az IPX pedig az IPX vezrlprotokollt (IPXCP) hasznlja. Az NCP-k a begyazott
hlzati rtegbeli protokollok azonositsra jelzkdokat tartalmaz adatmezket
hasznlnak.
A PPP-kapcsolatok ltrehozsnak folyamata hrom fzisra bonthat, ezek az

sszekttets ltrehozsa, a hitelests (ez elhagyhat) s a hlzati rtegbeli protokoll
hasznlatnak fzisa.
Az sszekttets ltrehozsa
A PPP LCP-kereteket kld az adatkapcsolat konfigurlsa s tesztelse cljbl. Az LCPkeretek tartalmaznak egy konfigurcis mezt, amely lehetv teszi pldul a maximlis
tviteli egysg (Maximum Transmission Unit, MTU) mretnek, a tmrtsnek s a
kapcsolat hitelestsnek egyeztetst. Ha egy LCP-keretbl hinyzik valamelyik
konfigurcis bellts, a hinyz konfigurcis elemhez a protokoll az
alaprtelmezett rtket rendeli hozz. A kapcsolat hitelestsi tpusnak meghatrozsa s
az tviteli minsg tesztelse elhagyhat paramtereknek szmtanak az sszekttets
ltrehozsa sorn. A kapcsolat minsgnek meghatrozsval eldnthet, hogy az
sszekttets megfelel-e a hlzati rtegbeli protokollok hasznlathoz. A fentebb emltett
elhagyhat konfigurcis paramterek belltsnak meg kell trtnni, mieltt az eszkzk
fogadnk a konfigurci helyessgt igazol nyugtt. Ez a fzis akkor tekinthet
befejezettnek, ha a vgponti kszlkek megkaptk a konfigurcit nyugtz keretet.
Hitelestsi fzis (elhagyhat)
A hitelestsi fzis jelszavas vdelmet biztost a kapcsold vgpontok (pldul
forgalomirnytk) azonostshoz. A hitelestsre a forgalomirnytk paramtereinek
elfogadsa utn kerl sor, de mg azeltt, hogy az NCP egyeztetsi fzis megkezddne.
NCP egyeztetsi fzis
A PPP vgpont NCP csomagokat kld, melyekkel egy vagy tbb hlzati rtegbeli
protokollt (pldul, az IP-t vagy az IPX-et) vlaszt ki s konfigurl. Amikor az LCP bontja a
kapcsolatot, rtesti a hlzati rtegbeli protokollokat, gy azok vgrehajthatjk a
megfelel mveletet. A show interfaces parancs megmutatja az LCP s NCP
llapotokat.
Ha a PPP kapcsolat ltrejtt, mindaddig aktv marad, amg az LCP vagy az NCP fel nem
bontja a kapcsolatot, vagy le nem jr egy aktivitst figyel szmll. A felhasznlk is
kezdemnyezhetik a kapcsolat befejezst.
A PPP konfigurlsa
A Cisco forgalomirnytk soros interfszein a HDLC az alaprtelemezett begyazsi
tpus. A begyazs tpusnak megvltoztatshoz, valamint a PPP sajtossgainak
hasznlathoz hasznlja a kvetkez parancsot:
encapsulation ppp
Ez aktivlja a PPP begyazst a soros interfszen.
Miutn a PPP engedlyezsre kerlt, bellthatv vlnak az opcionlis paramterek,
pldul a tmrts s a terhelseloszts.
compress [predictor | stac]
Engedlyezi a tmrtst az interfszen, predictor (eljsl) vagy stacker (veremtrolsos) mdszer hasznlatval.
ppp multilink
Segtsgvel terhelseloszts konfigurlhat tbb sszekttets kztt.
A hlzaton tkldtt adatok tmrtse javthatja a hlzat teljestmnyt. A predictor
s stacker szoftveres tmrtsi technikk, amelyek tmrtsi mdjukban trnek el
egymstl.
A stacker processzorignyesebb tmrts, de kevesebb memrira van szksge, a
predictor technika viszont kevsb terheli a processzort, de tbb memrit hasznl.
A stacker-t akkor rdemes hasznlni, ha a vonal svszlessge a szk keresztmetszet,
a predictor-t pedig abban az esetben, ha a forgalomirnyt tlterhelt.
Csak akkor engedlyezzk a tmrtst, ha a hlzat teljestmnye megkvnja azt,
mivel hasznlata nveli a forgalomirnyt feldolgozsi idejt s tbbletterhelst okoz.
Abban az esetben sem rdemes tmrtst alkalmazni, ha a hlzat forgalmt kpez
adatok dnt tbbsge mr egybknt is tmrtett llomnyokbl ll. Egy tmrtett fjl
jbli tmrtse tbbnyire mretnvekedssel jr.
A PPP multilink tbb WAN sszekttets egyetlen logikai csatornv trtn
sszevonst teszi lehetv. Ez terhelsmegosztst eredmnyez klnbz kapcsolatok
kztt, s bizonyos szint biztonsgot jelent abban az esetben, ha valamelyik
sszekttets meghibsodna.
Az albbi parancsokat HDLC s PPP begyazsok konfigurciinak ellenrzshez s
hibaelhrtshoz hasznljk.
show interfaces serial
Megjelenti a begyazs tpust s a kapcsolatvezrl protokoll (LCP) llapotait.
show controllers
Kijelzi az interfsz-csatornk llapott s azt, hogy csatlakozik-e kbel az interfszhez.
debug serial interface
Segtsgvel ellenrizhet az brenlti (keepalive) zenetek szmnak folyamatos

nvekedse. Ha ezeknek a csomagoknak a szma nem nvekszik, akkor valsznleg
idztsi problma lpett fel az interfszkrtyban vagy a hlzatban.
debug ppp
Informcit biztost a PPP protokoll mkdsi folyamatnak klnbz szakaszairl,

belertve az egyeztetst s a hitelestst.
PPP hitelests
A PPP sszekttetsek hitelestsnek belltsa elhagyhat. Ha be van lltva, a hitelestsi folyamat
kzvetlenl a kapcsolat ltrehozsa utn, de mg a hlzati rtegbeli protokollok konfigurcis fzisa eltt
lezajlik.
A PPP sszekttetsek kt lehetsges hitelestsi tpusa a jelsz hitelest protokoll

(Password Authentication Protocol, PAP), illetve a kihvsos kzfogs hitelestsi
protokoll (Challenge Handshake Authentication Protocol, CHAP).
A PAP egyszer eljrst biztost a tvoli lloms azonostshoz. Ktfzis (ktutas,
kt zenetbl ll) kzfogst hasznl a felhasznli nv s a jelsz elkldshez.
A hvott eszkz megvizsglja a kezdemnyez eszkz felhasznli nevt, majd meggyzdik arrl, hogy a
fogadott jelsz megegyezik-e az adatbzisban tallhatval. Ha a kt jelsz megegyezik, a hitelests
sikeres.
A PAP nylt szveges formtumban egyms utn ismtelve mindaddig elkldi a

hlzaton a felhasznlnv/jelsz prt, mg nyugta nem rkezik a hitelestsrl vagy le
nem zrul a kapcsolat. Ez a hitelestsi md nem biztost vdelmet a felhasznli nv s
jelsz csomaglehallgat program segtsgvel trtn ellopsa ellen.
Miutn a tvoli lloms hitelestse megtrtnt, az a tovbbiakban nem lesz jraellenrizve.
A folyamatos ellenrzs hinyban az sszekttets vdtelen a hitelestett kapcsolat
ellopsval (hijacking), illetve a forgalomirnythoz jogtalanul hitelestett hozzfrst
eredmnyez visszajtszsos tmadsokkal szemben.
A kihvsos kzfogs hitelestsi protokoll

A CHAP nem kldi el a jelszt az sszekttetsen keresztl. A CHAP alap hitelests az
sszekttets felptsekor trtnik meg elszr, majd annak lebontsig jra s jra
megismtldik. Itt a hvott eszkz felel a hitelests gyakorisgnak szablyozsrt s
temezsrt, ami elgg valszntlenn teszi a jelszlopson alapul tmadsok
sikeressgt.
A CHAP hromutas kzfogst hasznl.
1. A PPP-sszekttets ltrehozsnak fzisa megtrtnik.
2. A helyi forgalomirnyt kihv (challange) zenetet kld a tvoli forgalomirnytnak.
3. A tvoli forgalomirnyt a kapott kihv zenet s a megosztott titkos kulcs
segtsgvel, egyirny hash fggvny felhasznlsval egy kivonatot hoz ltre.
4. Ezutn a kivonatot visszakldi a helyi fogalomirnytnak.
5. A helyi forgalomirnyt sszeveti az rkezett vlaszt a sajt maga ltal szmtott
kivonattal, melyet a kihv zenet s ugyanazon megosztott titkos jelsz valamint
ugyanazon egyirny hash fggvny felhasznlsval hatroz meg.
6. Ha a kt szmtott rtk megegyezik, a helyi forgalomirnyt nyugtzza a

hitelestst.
7. Abban az esetben, ha a kt rtk nem egyezik meg, a helyi forgalomirnyt bontja a
kapcsolatot.
A CHAP a kihv zenetek rtknek megvltoztatsval biztost vdelmet a visszajtszsos
tmadsokkal szemben. Mivel a kihv zenet rtke egyedi s vletlenszer, ezrt az
ebbl szmtott kivonat (hash) rtke is egyedi s vletlenszer lesz. Az ismtelt
kihvsok hasznlata cskkenti azt az idtartamot, amg veszlynek van kitve a kapcsolat. A
helyi forgalomirnyt vagy egy kls hitelestsi kiszolgl felel a kihv zenetek
gyakorisgnak s temezsnek szablyozsrt.
PAP s CHAP konfigurlsa

PPP kapcsolatok hitelestsnek belltsa:
username nv password jelsz
Globlis konfigurcis parancs.

Ltrehoz egy helyi adatbzist, amely a tvoli eszkz felhasznli nevt s jelszavt
tartalmazza.
A felhasznli nvnek pontosan meg kell egyeznie a tvoli forgalomirnyt
llomsnevvel. Ez a nv rzkeny a kis- s nagybetkre.
ppp authentication {chap | chap pap | pap chap | pap}
Interfszkonfigurcis parancs.
Segtsgvel megadhat az egyes interfszek ltal alkalmazott PPP hitelests tpusa
(PAP vagy CHAP).
Ha egynl tbb hitelestsi tpust lltottak be, pldul, chap pap, akkor a forgalomirnyt
elszr az els tpussal prblkozik s csak akkor fog prblkozni a msodik mdszerrel, ha
arra a tvoli forgalomirnyt kri.
A CHAP hitelests belltshoz nincs szksg tovbbi konfigurcis parancsokra. rdemes
tudni, hogy a Cisco IOS 11.1 verzijtl kezdden alaprtelmezs szerint a PAP le van
tiltva az interfszeken. Ez azt jelenti, hogy a forgalomirnyt akkor sem fogja elkldeni
sajt felhasznli nv/jelsz rtkeit, ha a PAP hitelests engedlyezett. A PAP
hasznlathoz tovbbi parancsok szksgesek.
ppp pap sent-username nv password jelsz
Interfszkonfigurcis parancs.
A tvoli forgalomirnytnak kldend felhasznli nv/jelsz kombinci adhat meg
vele.
Ennek meg kell egyeznie a tvoli forgalomirnyt helyi adatbzisban belltott
felhasznli nvvel s jelszval.
A konfigurlt ktutas hitelests segtsgvel az egyik forgalomirnyt hitelesti a msikat.

Ha mindkt forgalomirnytn hasznljuk a debug parancsokat, akkor a hitelestsi folyamat
alatt figyelhet meg az zenetcsere forgalma.
debug ppp {authentication | packet | error | negotiation | chap }
Authentication (hitelests)
Megjelenti a hitelestsi zenetek sorozatt.
Packet (csomag)
Megjelenti az sszes kldtt s fogadott PPP csomagot.
Negotiation (egyeztets, trgyals)
Megjelenti a PPP protokoll indulsakor tovbbtott, a PPP belltsok egyeztetsrt felels

csomagokat.
Error (hiba)
Protokollhibkat s statisztikai adatokat jelent meg a PPP kapcsolatra s egyeztetsre

vonatkozan.
CHAP (kihv zenetek)
Megjelenti az egymssal vltott CHAP csomagokat.

A hibakeresst az egyes parancsok no eltaggal kiegsztett vltozatval llthatjuk le.
Frame Relay
A Frame Relay ttekintse
A Frame Relay egy gyakran elfordul 2. rtegbeli WAN begyazsi tpus. A Frame Relay
hlzatok tbbszrs hozzfrsek, hasonlan az Ethernethez, viszont az Ethernettl
eltren nem tovbbtjk a szrsos (broadcast) forgalmat. A Frame Relay hlzatok a
nem szrsos tbbszrs hozzfrs hlzatok kz tartoznak (NonBroadcast MultiAccess network, NBMA).
A Frame Relay vltoz hosszsg csomagokat s csomagkapcsolsi technolgit
hasznl. Ez a protokoll is szinkron, idosztsos multiplexelst hasznl, a rendelkezsre
ll vonali svszlessg optimlis kihasznlshoz.
A forgalomirnyt (DTE) ltalban brelt vonal segtsgvel ll sszekttetsben a
szolgltatval. Ez a vonal egy Frame Relay kapcsoln (DCE) keresztl csatlakozik a
szolgltat legkzelebb es kapcsoldsi pontjhoz (POP). Ezt a kapcsolatot
nevezzk hozzfrsi sszekttetsnek.
A clhlzathoz tartoz tvoli forgalomirnyt is DTE eszkz. A kt DTE eszkz kztti
kapcsolatot virtulis ramkrnek nevezzk (VC).
A virtulis ramkrk jellemzen a szolgltat ltal elre konfigurlt PVC-k segtsgvel
jnnek ltre. A legtbb ISP nem javasolja vagy nem is teszi lehetv a Frame Relay
hlzatokban az SVC-k hasznlatt.
A Frame Rekay mkdse

Az NMBA hlzatokban minden virtulis ramkrnek szksge van 2. rtegbeli cmre az
azonostshoz. Frame Relaynl ez a cm az adatkapcsolati azonost (Data-Link
Connection Identifier, DLCI).
A DLCI azonostja a virtulis ramkrt, amelyet az adatok hasznlnak egy bizonyos
cllloms elrshez. A DLCI minden tovbbtott keret cmmezjben megtallhat. A
DLCI-nek ltalban csak helyi jelentsge van, s ugyanazon virtulis ramkr kt vgn
eltr DLCI is szerepelhet.
A 2. rtegbeli DLCI kapcsolatban van a virtulis ramkr msik vgn lv eszkz 3.
rtegbeli cmvel. A DLCI sszerendelse a tvoli IP-cmmel trtnhet statikusan, illetve
dinamikusan is, az inverz ARP-knt ismert folyamat segtsgvel.
A DLCI azonost tvoli IP-cmmel trtn sszerendelsnek folyamata a kvetkez
lpsek alapjn megy vgbe:
1. A helyi eszkz kihirdeti jelenltt a virtulis ramkrn a 3. rtegbeli cmnek
kikldsvel.
2. A tvoli eszkz fogadja ezt az informcit s hozzrendeli a kapott 3. rtegbeli IPcmet a helyi 2. rtegbeli DLCI cmhez.
3. A tvoli eszkz is hirdeti sajt IP-cmt a virtulis ramkrn.
4. A helyi eszkz azon DLCI-hez rendeli a tvoli eszkz 3. rtegbeli cmt, amelyen
keresztl fogadta az informcit.
A helyi kezelfellet (Local Management Interface, LMI) egy jelzsi rendszerre vonatkoz
szabvny, amit a DTE eszkz s a Frame Relay kapcsol hasznl egyms kztt. Az
LMI a kapcsolat kezelsrt s az eszkzk kztti llapotok fenntartsrt felels.
Az LMI zenetek kommunikcit s szinkronizcit biztostanak a Frame Relay hlzat
s a felhasznl vgponti eszkze kztt. Szablyos idkznknt tjkoztatnak az j
PVC-k ltrejttrl, a meglv PVC-k trlsrl, tovbb informlnak arrl is, hogy a
korbban ltrehozott PVC-k tovbbra is lteznek. A virtulis ramkr llapot-zenetek
megakadlyozzk az adatok kldst a mr nem ltez PVC-k irnyba.
Az LMI kapcsolatllapot informcit szolgltat azon virtulis ramkrkl, melyek a Frame
Relay lekpzsi tblzatban (map table) jelennek meg:
Aktv llapot (Active State)

A kapcsolat aktv, a forgalomirnytk kpesek az adatcserre.
Inaktv llapot (Inactive State)
A helyi vgpont s az Frame Relay (FR) kapcsol kztti sszekttets mkdkpes,
viszont a FR kapcsol s a tvoli vgpont kztti sszekttets nem megfelel.
Trlt llapot (Deleted State)
A helyi kapcsolat nem fogad LMI zeneteket a FR kapcsoltl, vagy a szolgltats nem
zemel a CPE forgalomirnyt s a Frame Relay kapcsol kztt.
Amikor egy vgfelhasznl Frame Relay szolgltatsra fizet el, bizonyos szolgltatsi paramtereket
egyeztetnie kell a szolgltatval.
Az egyik ilyen paramter a vllalt adatsebessg (Committed Information Rate, CIR). A CIR rtke az a minimlis
svszlessg, melyet a szolgltat az adatok tovbbtsra garantl a virtulis ramkrn.
A szolgltat a CIR rtkt egy adott egysgnyi idtartam alatt tvitt tlagos adatmennyisg alapjn szmolja ki.
A kiszmolt idintervallum rtke a vllalsi id (committed time, Tc). A Tc-n bell vllalt bitek szma a vllalt lket
(committed burst, Bc). A Frame Relay szolgltats kltsge a kapcsolat sebessgtl s a CIR rtktl fgg.
A CIR ugyan meghatroz egy minimlisan biztostand sebessget, azonban ha nincs torlds az
sszekttetseken, akkor a szolgltat megnveli a svszlessget a msodik elzetesen elfogadott
svszlessg rtkig.
A tllpsi adatsebessg (Excess Information Rate, EIR) a CIR ltal rgztett rtk feletti tlagos sebessg,
amelyet a virtulis ramkr akkor biztost, ha nincs tlterhelve a hlzat. Minden rads bit, amely a vllalt
adatsebessgen tl forgalmazhat, egszen a hozzfrsi kapcsolat maximlis sebessgig, tbblet lket
(excess Burst, Be) nven ismert.
A vllalt adatsebessgen (CIR) tli keretek tovbbtst nem garantlja a szolgltats, de biztostja, ha a hlzati
terhels lehetv teszi azt. Az ilyen tbblet kereteket figyelmen kvl hagyhatknt (Discard Eligible, DE) jelli
meg a rendszer. Ha torlds kvetkezne be, a szolgltat elszr a DE rtkkel belltott kereteket dobja el.
A felhasznlk gyakran alacsonyabb CIR rtkkel rendelkez kapcsolatra fizetnek el, arra a tnyre alapozva,
hogy a szolgltat nagyobb svszlessget biztost s meggyorstja az adatforgalmat, ha nincs torlds a
hlzaton.
Az elremutat explicit torldsjelzs (Forward Explicit Congestion Notification, FECN)

egy egybites mez, melynek rtkt 1-re llthatjk a kapcsolk. Ez azt jelzi a vgponti
DTE eszkzk szmra, hogy torlds lpett fel a hlzatban a clhlzat fel vezet
irnyban.
A visszirny explicit torldsjelzs (Backward Explicit Congestion Notification, BECN)
egy egybites rtk, melyet a Frame Relay kapcsolk akkor lltanak 1-es rtkre, ha a
hlzaton torlds lp fel az ellenkez, azaz a forrshlzat irnyban.
A FECN s BECN bitek segtsgvel a magasabb szint protokollok intelligensen
reaglhatnak ezekre a torldsjelzsekre. A kld eszkz pldul a BECN-t figyelembe
vve lassthatja az tviteli sebessgt.
Forgalomszrs Hozzfrsi Listk Ltrehozssval

A hozzfrsi listk hasznlata
Forgalomszrs
A forgalomszrs segtsgvel a hlzati rendszergazda felgyelheti a hlzat klnbz
rszeit. A szrs a csomagtartalom elemzsnek folyamata, amely alapjn eldnthet, hogy
egy adott csomagot tengednk vagy blokkolunk.
A csomagszrs lehet egyszer vagy sszetett, a forgalom engedlyezse vagy tiltsa az
albbiak szerint trtnhet:
Forrs IP-cm
Cl IP-cm
MAC-cm
Protokollok
Alkalmazstpus
A forgalomszrshez hasznlt leggyakoribb eszkzk:
Integrlt forgalomirnytba ptett tzfalak
Adatbiztonsgi funkcikat ellt clkszlkek
Kiszolglk
Szinte minden forgalomirnyt kpes a forrs s cl IP-cm alapjn trtn

csomagszrsre, emellett meghatrozott alkalmazsok s protokollok (pl. IP, TCP, HTTP,
FTP s Telnet) szerinti szrsre is alkalmasak.
A hozzfrs-vezrlsi listk
A forgalomszrs egyik legltalnosabb mdja a hozzfrs-vezrlsi listk (Access
Control List, ACL) hasznlata. Az ACL-ek hasznlatval a hlzatba belp s az onnan
tvoz forgalom ellenrizhet s szrhet.
Az ACL elsdlegesen az engedlyezni vagy elutastani kvnt csomagtpusok
azonostsra hasznlhat.
Az ACL ltal azonostott forgalom az albbi clokra is felhasznlhat:
A bels llomsok meghatrozsa cmfordtshoz
A specilis funkcikhoz (pl. a szolgltatsminsg /QoS - Quality of Service/, sorba

llts) tartoz forgalom azonostsa s csoportostsa
A forgalomirnytsi frisstsek tartalmi korltozsa
A hibakeressi zenetek korltozsa
A forgalomirnytk virtulis terminlrl trtn elrsnek szablyozsa
Az ACL-ek hasznlatbl ered potencilis problmk:
Az sszes csomag ellenrzse komoly terhelst jelent a forgalomirnyt szmra,

gy kevesebb id jut a csomagtovbbtsra.
A rosszul megtervezett ACL-ek mg nagyobb terhelst okoznak, ami zavart okozhat a

hlzat hasznlatban.
A nem megfelelen elhelyezett ACL-ek blokkolhatjk az engedlyezni kvnt, s

engedlyezhetik a blokkolni kvnt forgalmat.
Az ACL tpusok s hasznlatuk

Hrom ACL tpus ltezik:
Norml ACL
A norml ACL (Standard ACL) a legegyszerbb a hrom tpusbl. Norml IP ACL
ltrehozsakor az ACL a csomag forrs IP-cmnek alapjn vgzi a szrst. A norml
ACL a teljes (pl. IP) protokollmkds alapjn engedlyezi vagy tiltja a forgalmat. Ha
pldul egy norml ACL nem engedlyezi egy hlzati lloms IP forgalmt, akkor az
llomsrl rkez sszes szolgltatst tiltja. Ez az ACL-tpus egy adott felhasznl vagy LAN
szmra engedlyezheti az sszes szolgltats elrst a forgalomirnytn keresztl, mg
az sszes tbbi IP-cm esetn tiltja a hozzfrst. A norml ACL-ek a hozzjuk rendelt
azonositsi szm alapjn azonosthatk. Az IP-forgalom engedlyezst vagy tiltst
vgz hozzfrsi listk azonostsi szma 1 s 99, illetve 1300 s 1999 kztti lehet.
Kiterjesztett ACL
A kiterjesztett ACL (Extended ACL) nem csupn a forrs IP-cm, hanem a cl IP-cm, a
protokoll s a portszmok alapjn is szrhet. A kiterjesztett ACL-ek hasznlata sokkal
elterjedtebb, mint a norml ACL-ek, mivel specifikusabbak s jobb ellenrzst tesznek
lehetv. A kiterjesztett ACL-ek azonositsi szma 100 s 199, illetve 2000 s 2699
kztti lehet.
Nevestett ACL
A nevestett ACL (Named ACL, NACL) olyan norml vagy kiterjesztett hozzfrsi lista,
amelyre szm helyett egy beszdes nvvel hivatkozunk. A nevestett ACL-ek belltsa a
forgalomirnyt NACL zemmdjban trtnik.
Az ACL feldolgozsa
Az ACL utols utastsa mindig implicit tilts. Ez az utasts automatikusan is odakerl
mindegyik ACL vgre, mg akkor is, ha a konfigurci ksztje nem rja oda. Az implicit
tilts semmilyen forgalmat nem engedlyez. Ezrt az implicit tilts funkci megakadlyozza a
nemkvnatos forgalom vletlen thaladst.
A hozzfrsi lista akkor lp mkdsbe ha elkszitse utn hozzrendeljk a megfelel
interfszhez. Az ACL az interfszen, a bellitstl fggen, vagy a bejv vagy a kimen
forgalmat figyeli. Amennyiben az ACL egy engedlyez utastsnak elirsa megegyezik
az ppen vizsglt csomag paramtereivel, a csomag tovbbhaladsa engedlyezett. Ha a
csomaghoz egy tilt utasts illeszkedik, akkor nem haladhat tovbb. Az engedlyez
utastst nem tartalmaz ACL minden forgalmat tilt, mivel minden ACL vgn szerepel az
implicit tilts. Az ACL teht minden olyan forgalmat tilt, ami nincs konkrtan engedlyezve.
A rendszergazda akr befel akr kifel irnyul forgalmat szr ACL listt rendelhet a
forgalomirnyt brmely interfszhez. A bejv vagy kimen irnyt mindig a
forgalomirnyt szemszgbl nzzk, gy az interfszre berkez forgalom bejv (a
forgalomirnyitba belp), az onnan tvoz forgalom pedig kimen.
Amikor egy csomag rkezik valamely interfszre, a forgalomirnyt az albbi paramtereket
ellenrzi:
Ltezik-e az interfszhez rendelt ACL lista?
Az ACL lista a bejv vagy a kimen forgalomra vonatkozik?
A forgalomra teljesl-e valamely engedlyez vagy tilt felttel?
A forgalomirnyt interfszekhez protokollonknt s irnyonknt egy-egy ACL adhat meg. Igy az IP protokoll
esetben is egy interfszhez egyszerre csak egy befel s egy kifel halad forgalmat szr ACL adhat meg.
Az interfszhez hozzrendelt ACL-ek vgrehajtsa kslelteti a forgalmat. Akr egyetlen hossz ACL is
szrevehet hatssal lehet a forgalomirnyt teljestmnyre.
A helyettest maszk hasznlata

A helyettest maszk clja s felptse
Az IP-cm s a helyettest maszk egyttes hasznlata sokkal rugalmasabb megoldst nyjt. A
helyettest maszk lehetv teszi egy adott cmtartomny, vagy akr egy egsz hlzat szrst
egyetlen utasts segtsgvel.
A helyettest maszkban a 0-k jellik ki az IP-cm azon bitjeit, amiknek pontosan egyeznie kell a
megadott cmmel, mg a 1-eseknl nincs szksg egyezsre.
A 0.0.0.0 helyettest maszk pontos egyezst r el az IP-cm mind a 32 bitjn. Ez a maszk
egyenrtk a host paramterrel.
Az ACL-ek ltal hasznlt helyettest maszk hasonlt az OSPF irnytprotokoll esetben hasznlt
maszkhoz. Ennek ellenre a kt maszk eltr clra szolgl. Az ACL-utastsokban szerepl
helyettest maszk az engedlyezni vagy tiltani kvnt cmtartomnyt hatrozza meg.
Egy ACL-utastsban az IP-cm s a hozz tartoz helyettest maszk kzsen, egyttesen
hatrozzk meg, hogy az utasits mely cimbitjeit kell sszehasonlitani a vizsglt csomagok
megfelel cimbitjeivel.
Az albbi utasts pldul a 192.168.1.0 hlzat minden llomst engedlyezi, ugyanakkor minden
mst tilt:
access-list 1 permit 192.168.1.0 0.0.0.255
A fentiekbl kvetkezik, hogy ha a bejv csomag els 24 bitje megegyezik a viszonytsi mez els
24 bitjvel, akkor a csomag engedlyezve lesz. A helyettest maszk szerint brmely csomag,
amelynek forrs IP-cme a 192.168.1.1 s a 192.168.1.255 kztti tartomnyba esik, illeszkedni
fog a pldban szerepl sszehasonltsi cmhez. Minden ms csomagot az ACL implicit tilts
(deny any) utastsa letilt.
A helyettest maszk hatsainak elemzse

A host paramter
Egy bizonyos lloms szrshez az IP-cm utni 0.0.0.0 helyettestsi maszkot, vagy az
IP-cm eltti host paramtert kell hasznlnunk.
R1(config)#access-list 9 deny 192.168.15.99 0.0.0.0
Ugyanaz, mint:
R1(config)#access-list 9 deny host 192.168.15.99
Az any paramter
Az sszes lloms szrshez hasznljuk a csupa egyesekbl ll paramtert, amelyet a
255.255.255.255 helyettest maszk belltsval adhatunk meg! A 255.255.255.255
helyettest maszk az sszes bitet egyeznek tekinti, ezrt ltalban az IP-cmet a 0.0.0.0
jelli. Az sszes lloms szrsre hasznlt msik mdszer az any paramter hasznlata.
R1(config)#access-list 9 permit 0.0.0.0 255.255.255.255
Ugyanaz, mint:
R1(config)#access-list 9 permit any
Nzzk meg az albbi pldt, amely egy bizonyos llomst letilt, mg az sszes tbbit
engedlyezi:
R1(config)#access-list 9 deny host 192.168.15.99
R1(config)#access-list 9 permit any
A permit any parancs minden forgalmat engedlyez, amely az ACL-ben nincs konkrtan
elutastva. Ezzel a belltssal egyik csomag sem ri el az ACL vgn szerepl implicit
deny any utastst.
Amennyiben a 192.168.77.0 hlzat alhlzatokra osztshoz 3 bitet hasznlunk, az
alhlzati maszk 255.255.255.224 lesz. Ha a fenti alhlzati maszkot kivonjuk a csupa 255bl ll 32 bites hlzati maszkbl, a 0.0.0.31 helyettest maszkot kapjuk. Ennek
megfelelen a 192.168.77.32 alhlzat llomsainak engedlyezshez az albbi ACL
utastst kell hasznlnunk:
Minden csomag els 27 bitje megegyezik a viszonytsi cm els 27 bitjvel. A fenti utasts
ltal engedlyezett teljes cmtartomny a 192.168.77.33-tl a 192.168.77.63-ig terjed, amely
pontosan lefedi a 192.168.77.32 alhlzat sszes cmt.
A 192.168.77.0 hlzat a 255.255.255.192 vagy a /26 alhlzati maszkkal az albbi ngy

alhlzatot jelenti:
192.168.77.0/26
192.168.77.64/26
192.168.77.128/26
192.168.77.192/26
A fenti ngy alhlzat brmelyikt szr ACL ltrehozshoz vonjuk ki a 255.255.255.192
alhlzati maszkot a csupa 255-bl ll maszkbl, amely a 0.0.0.63 helyettest maszkot
eredmnyezi. Az els kt alhlzatbl rkez forgalom engedlyezshez kt ACL utastst
kell hasznlnunk:
Az els kt alhlzat sszevonhat a 192.168.77.0/25 megadsval. A 255.255.255.128

sszevont alhlzati maszk kivonsa a csupa 255-bl ll maszkbl a 0.0.0.127 helyettest
maszkot eredmnyezi. A fenti maszk hasznlatval a kt alhlzat kett helyett egyetlen
ACL-ben sszefoghat.
A hozzfrsi listk paramterezse

A norml s a kiterjesztett ACL-ek elhelyezse
Tervezznk meg a hozzfrsi listk ltrehozst s elhelyezst a maximlis hats
rdekben!
A tervezs az albbi lpsekbl ll:
1. A forgalomszrsi ignyek meghatrozsa.
2. Az ignyeknek leginkbb megfelel ACL tpusnak kivlasztsa.
3. Annak a forgalomirnytnak s interfsznek a kivlasztsa, amelyhez az ACL-t
rendeljk.
4. A forgalomszrs irnynak meghatrozsa
1 lps: A forgalomszrsi ignyek meghatrozsa
Gyjtsk ssze a forgalomszrsi ignyeket az rintettektl, a vllalat minden osztlyrl! A
fenti felhasznli ignyeken, forgalomtpuson, terheltsgen s biztonsgi szempontokon
alapul ignyek vllalatonknt eltrek lehetnek.
2. lps: Az ignyeknek leginkbb megfelel ACL tpusnak kivlasztsa
Mindig a helyzetnek megfelel szrsi ignyeken mlik, hogy norml vagy kiterjesztett ACL-t hasznlunk. Az ACL
tpusnak kivlasztsa hatssal lehet az ACL rugalmassgra csakgy, mint a forgalomirnyt teljestmnyre
s a hlzati kapcsolat svszlessgre.
A norml ACL ltrehozsa s alkalmazsa egyszer. A norml ACL viszont kizrlag a forrscm alapjn
kpes szrni, tekintet nlkl a forgalom tpusra s cljra. A tbb hlzatba vezet tvonalak esetben egy,
a forrshoz tl kzel elhelyezett ACL akaratlanul is letilthatja az engedlyezni kvnt forgalmat is. Ezrt fontos,
hogy a norml ACL-eket a clhoz a lehet legkzelebb helyezzk el!
Ha a szrsi ignyek jval sszetettebbek, hasznljunk kiterjesztett ACL-t! A kiterjesztett ACL precizebb
szelekcit biztost, mint a norml ACL. Forrs- s clcm szerinti szrsre egyarnt kpes. Szksg esetn a
hlzati s szlltsi rteg protokolljai s a portszmok alapjn is szrhet. Ez a megnvelt szrsi rszletessg
lehetv teszi a hlzati rendszergazda szmra a biztonsgi terv ignyeinek megfelel ACL-ek ltrehozst.
A kiterjesztett ACL-t mindig a forrscmhez kzel helyezzk el! Ha az ACL mind a forrs-, mind a clcmet
megvizsglja, akkor bizonyos clhlzatba sznt csomagokat mg azeltt letilthat, hogy azok elhagynk a forrs-
forgalomirnytt. A csomagok szrse mg a hlzaton trtn thaladsuk eltt trtnik, ami segt a
svszlessg megrzsben.
3. lps: A megfelel forgalomirnyt s interfsz meghatrozsa, amelyhez az ACL-t rendeljk

Helyezzk az ACL-eket a hozzfrsi vagy az elosztsi rteg forgalomirnytira! A hlzati
rendszergazdnak megfelel jogosultsgokkal kell rendelkeznie a fenti forgalomirnytk vezrlshez s a
biztonsgi irnyelvek alkalmazshoz. Az a hlzati rendszergazda, aki nem rendelkezik hozzfrssel a
forgalomirnythoz, az ACL-t sem kpes ott belltani.
A megfelel interfsz kivlasztshoz a szrsi ignyeket, az ACL tpust s a forgalomirnyt hlzaton
belli pozicijt egyarnt figyelembe kell venni. A forgalom szrst mg azeltt clszer elvgezni, hogy az
elrne egy alacsonyabb svszlessg soros sszekttetst. Az interfsz kivlasztsa a forgalomirnyt
kijellst kveten mr ltalban egyrtelm.
4. lps: A forgalomszrs irnynak meghatrozsa
Szemlljk a forgalom ramlst a forgalomirnyt szemszgbl azrt, hogy az ACL alkalmazsnak
irnyt meg tudjuk hatrozni!
Bejv forgalom a forgalomirnyt valamely interfszre kvlrl rkez forgalom. A forgalomirnyt
sszeveti a berkez csomagot az ACL-lel, mieltt megkeresn a clhlzatot az irnyttblban. Az itt
elutastott csomagok megsproljk az irnyttblban trtn keress kltsgt. Emiatt a befel szr
hozzfrsi lista jval hatkonyabb a forgalomirnyt szmra, mint a kifel szr hozzfrsi lista.
A kimen forgalom a forgalomirnytn bell ramlik, majd onnan valamelyik interfszen keresztl tvozik. A
kimen csomagra vonatkozan a forgalomirnyt mr elvgezte az irnytsi keresst, s a csomagot a
megfelel interfszre kapcsolta. A csomag sszevetse az ACL-lel kzvetlenl a forgalomirnytrl val tvozs
eltt trtnik.
Az ACL alapbelltsnak folyamata

Mindegyik ACL egyedi azonostt ignyel, amely lehet egy szm vagy egy beszdes nv.
A szmozott hozzfrsi listkban a szm meghatrozza a ltrehozott ACL tpust:
A norml IP ACL-ek azonost szma 1 s 99 kztt, illetve 1300 s 1999 kztt

lehet.
A kiterjesztett IP ACL-ek azonost szma 100 s 199 kztt, valamint 2000 s 2699
kztt mozoghat.
AppleTalk s IPX ACL ltrehozsa szintn lehetsges.

Egy forgalomirnyt brmely interfszre protokollonknt s irnyonknt legfeljebb egy ACL-t lehet
hozzrendelni. Amennyiben a forgalomirnyt kizrlag IP-t futtat, mindegyik interfsz legfeljebb kt
ACL-t kezelhet: egy befel s egy kifel szrt. Mivel minden, az adott interfszen thalad csomagot
ssze kell vetni mindegyik ACL-lel, ezrt az ACL ksleltetst okoz.
Az ACL ltrehozsa
Lpjnk be a globlis konfigurcis mdba! Az access-list parancs hasznlatval adjuk meg

a hozzfrsi lista utastsait! Az sszes utastst ugyanazzal az ACL szmmal lssuk el,
amg a hozzfrsi lista nem lesz teljes!
A norml ACL utasts-szintaktikja az albbi:
access-list [hozzfrsi_lista_szma] [deny|permit] [forrscm]

[forrs_helyettest_maszk][log]
Mindaddig, amg nincs egyezs, minden csomagot ssze kell vetni az sszes ACL utastssal, ezrt az utastsok
ACL-en belli sorrendje nagymrtkben befolysolhatja a mr emltett ksleltetst. A fentiek miatt, az utastsok
sorrendjnl rdemes a gyakoribb feltteleket a kevsb gyakoriak el helyezni! A forgalom dnt rszt kpez
utastsokat pldul tegyk mindig az ACL elejre!
Azt azonban tartsuk fejben, hogy egyezs esetn a csomag mr nem lesz sszevetve
az ACL tovbbi utastsaival! Ez azt jelenti, hogy ha az egyik sor engedlyez egy
csomagot, de az ACL egy ksbbi sora tiltja azt, a csomag engedlyezve lesz. Ezrt gy
tervezzk meg az ACL-t, hogy a konkrtabb felttelek az ltalnosabbak eltt szerepeljenek!
Mskppen fogalmazva, elszr tiltsuk le egy hlzat bizonyos llomst, s csak
azutn engedlyezzk a teljes hlzat maradk rszt!
Dokumentljuk az ACL minden rsznek vagy utastsnak a funkcijt a remark parancs
segtsgvel:
access-list [a lista szma] remark [szveg]
Egy ACL trlshez hasznljuk az albbi parancsot:
no access-list [a lista szma]
Nincs lehetsg arra, hogy csupn a norml vagy kiterjesztett ACL egyetlen sort trljk! Ehelyett az
egsz ACL-t trlni kell, majd a javtott listval kell lecserlni.
A szmozott norml ACL belltsa

Az ACL addig nem szri a forgalmat, amg egy interfszre nem alkalmazzuk, azaz hozz nem
rendeljk az interfszhez.
Az ACL alkalmazsa
Rendeljk az ACL-t egy vagy tbb interfszhez s hatrozzuk meg, hogy bejv vagy
kimen forgalomra vonatkozik-e! Az ACL-t a clhoz lehet legkzelebb alkalmazzuk!
R2(config-if)#ip access-group hozzfrsi lista szma [in | out]
Az albbi parancsokkal az 5-s szm hozzfrsi lista az R2 forgalomirnyt Fa0/0

interfszre helyezhet, hogy a bejv forgalmat szrje:
R2(config)#interface fastethernet 0/0
R2(config-if)#ip access-group 5 in
Egy interfszre alkalmazott ACL esetben (bizonyos IOS vltozatok alkalmazsakor) a

kimen irny az alaprtelmezett, ennek ellenre az irny megadsa a zavarok elkerlse
s a forgalom megfelel irnyba trtn szrsnek biztostsa rdekben nagyon fontos.
Az ACL eltvoltsa az interfszrl az ACL rintetlenl hagysval, a no ip access-group
interface paranccsal lehetsges.
Szmos ACL paranccsal ellenrizhet a megfelel szintaktika, az utastsok sorrendje
s az interfszeken trtn elhelyezs.
show ip interface
A fenti parancs megjelenti az IP interfsz informciit, s jelzi a hozzrendelt ACL-eket.
show access-lists [hozzfrsi lista szma]
A fenti parancs nem csupn a forgalomirnyt sszes ACL-jnek tartalmt jelenti meg,
hanem az egyes engedlyez s tilt utastsokhoz tartoz az ACL alkalmazsa ta tallt
egyezsek szmt is. Egy adott lista megtekintshez adjuk meg az ACL nevt vagy
szmt a parancs paramtereknt!
show running-config
A fenti parancs megjelenti a forgalomirnytn belltott sszes ACL-t, akkor is, ha

azok jelenleg egyik interfszhez sincsenek hozzrendelve.
Szmozott ACL hasznlatakor az ACL els ltrehozsa utn hozzadott parancsok a lista vgre kerlnek. Ez a
sorrend nem biztos, hogy a kvnt eredmnyhez vezet. A problma megoldshoz tvoltsuk el az eredeti ACL-t,
majd a szksges korrekcival hozzuk ltre ismt!
Jl bevlt mdszer, ha az ACL-t egy szvegszerkesztben hozzuk ltre, amely lehetv teszi az ACL knny
szerkesztst s a forgalomirnyt konfigurcijba trtn beillesztst. Ugyanakkor arra is figyeljnk oda,
hogy az ACL msolsa s beillesztse eltt tvoltsuk el a jelenleg alkalmazott ACL-t, msklnben az sszes
utasts annak a vgre kerl.
A szmozott kiterjesztett ACL belltsa

A leglnyegesebb eltrs a kiterjesztett ACL szintaktikjban az, hogy az engedlyez vagy
tilt felttel utn egy protokoll megadsa ktelez. Ez a protokoll akr az IP is lehet ha a
teljes IP-forgalom tiltsa vagy engedlyezse a cl de lehet az IP forgalom egy kivlasztott
rszhalmazt kpez ms protokoll (pl. a TCP, az UDP, az ICMP s az OSPF) is.
Ha egy vllalatnak van egy 192.168.3.75 cmen elrhet kiszolglja akkor ennek elrsre
vonatkozan pldul az albbi elvrsok lehetsgesek:
A 192.168.2.0 LAN llomsai szmra engedlyezzk a kiszolgl elrst!
A 192.168.1.66 lloms szmra engedlyezzk kiszolgl elrst!
Tiltsuk meg a 192.168.4.0 LAN llomsai szmra a kiszolgl elrst!
A vllalaton bell mindenki msnak engedlyezzk a kiszolgl elrst!
Legalbb kt lehetsges megolds van, amely a fenti elvrsoknak megfelel. Az ACL

tervezsekor trekedjnk arra, hogy a lehetsgekhez mrten minl kevesebb utastssal
oldjuk meg a problmt!
Az utastsok szmnak minimalizlsa s a forgalomirnyt feldolgozsi terhelsnek
cskkentse tbbek kztt az albbi mdon lehetsges:
Nagy forgalom vizsglatt s a nem engedlyezett forgalom tiltst az ACL elejn

vgezzk! Ez a megkzeltsmd garantlja, hogy itt kiejtett a csomagokat nem kell
az ACL ksbbi rsznek utastsaival sszevetni.
Tartomnyok hasznlatval vonjunk ssze tbb engedlyez, illetve tilt utastst

egyetlen utastsba!
Fontoljuk meg egy bizonyos csoport tiltst a vele ellenttes elbrls, nagyobb
csoport engedlyezse helyett!
A nevestett ACL belltsa

nevestett ACL a norml s a kiterjesztett ACL minden funkcijval s elnyvel rendelkezik,
csupn a ltrehozshoz hasznlt szintaktika eltr.
Az ACL-hez rendelt nv egyedi. A csupa nagybetvel megadott nv knnyebben
felismerhet a forgalomirnyt parancskimenetben s a hibaelhrts sorn.
Nevestett ACL az albbi paranccsal hozhat ltre:
ip access-list {standard | extended} nv
A fenti parancs kiadsa utn a forgalomirnyt az NACL konfigurcis almdba vlt.
A kezdeti nvmegadsi parancs utn egyesvel vigyk be az sszes engedlyez s tilt

utastst! Az NACL a norml vagy a kiterjesztett ACL permit vagy deny utastssal kezdd
parancsformtumt hasznlja.
A nevestett ACL hozzrendelse egy interfszhez gy trtnik, mint a norml s a
kiterjesztett ACL-ek esetben, csak itt nv azonositja az interfszhez kapcsolt ACL-t.
Egy nevestett ACL megfelel szintaktikjt, az utastsok sorrendjt s az interfszeken
trtn elhelyezst a norml ACL esetben is hasznlt parancsokkal ellenrizhetjk.
Az IOS rgebbi verziiban az ACL tszerkesztshez az albbiakra volt szksg:
Az ACL kimsolsa egy szvegszerkesztbe.
Az ACL eltvoltsa a forgalomirnytrl.
Az ACL ismtelt ltrehozsa, majd a szerkesztett vltozat alkalmazsa.
Sajnos a fenti folyamat a szerkesztsi ciklus vgig minden forgalmat tenged az

interfszen, gy a hlzat vdtelen marad a lehetsges biztonsgi rsekkel szemben.
Az IOS jelenlegi verziiban a szmozott s a nevestett ACL-ek szerkesztshez hasznljuk
az ip access-list parancsot! Az ACL-ek sorai szmozva (10, 20, 30, stb.) jelennek meg. A
sorokhoz tartoz szmok megtekintshez hasznljuk az albbi parancsot:
show access-lists
Egy mr ltez sor szerkesztshez az albbiakat kell tenni:
A no line number parancs hasznlatval tvoltsuk el a sort!
A sorhoz tartoz szm hasznlatval adjuk ismt hozz ugyanazt a sort az ACL-hez!
A 20-as s 30-as sorok kz egy j sor beillesztshez:
Adjuk ki a kt meglv sor kz es szmmal (pl.: 25) kezdd j ACL utastst!
Az jrarendezett s 10-esvel jraszmozott sorok megtekintshez adjuk ki a show accesslists parancsot!
A virtulis terminl alap hozzfrs belltsa a forgalomirnytn

Amikor a hlzati rendszergazda a Telnet gyflprogram hasznlatval egy tvoli
forgalomirnythoz kapcsoldik, akkor a forgalomirnyt szemszgbl egy bejv
kapcsolat kezdemnyezse trtnik. A Telnet s az SSH egyarnt svon belli hlzatfelgyeleti eszkz, ezrt szksge van az IP-protokollra s a forgalomirnythoz vezet
mkd hlzati kapcsolatra.
Ha a forgalomirnyt virtulis portjn nincs hozzfrsi lista, akkor brki bejuthat, aki a
Telnet felhasznli nevt s jelszavt ismeri. Amennyiben a forgalomirnyt vty portjhoz
rendelt ACL kizrlag meghatrozott IP-cmeket engedlyez, akkor az ACL-ben nem
engedlyezett IP-cmrl, a telnet segtsgvel kapcsoldni prbl brmilyen szemly
hozzfrst megtagadja a forgalomirnyt.
A virtulis terminl alap hozzfrsi lista ltrehozsnak folyamata ugyanaz, mint egy
norml interfszhez kapcsold ACL esetn. Ezzel szemben az ACL hozzrendelse egy
vagy tbb VTY vonalhoz ms paranccsal trtnik. Az ip access-group parancs helyett az
access-class parancsot kell hasznlnunk.
A VTY vonalakhoz hozzrendelt hozzfrsi listk belltshoz kvessk az albbi
irnyelveket:
A VTY vonalakhoz ne nevestett, hanem szmozott ACL-t hasznljunk!
A korltozsokat minden VTY vonalhoz hozz kell rendelni, mivel nem

szablyozhat, hogy a felhasznl melyik vonalon kapcsoldjon!
A hlzati rendszergazda ltrehozza a kapcsolatot a clknt megadott forgalomirnytval,

megadja felhasznli nevt s jelszavt, majd elvgzi a szksges konfigurcis
vltoztatsokat.
Meghatrozott forgalomtpusok engedlyezse s

tiltsa
ACL-ek belltsnak alkalmazsa- s portszrse
A kiterjesztett ACL ltalban a forrs- s a cl IP-cm alapjn szr. A szrs anonban ennl specifikusabb
csomagjellemzk alapjn is elvgezhet. Az OSI 3. rtegbeli hlzati protokollja, valamint a 4. rtegbeli
szlltsi protokollok s az alkalmazsportok lehetv teszik az ilyen jelleg szrst.
A szrshez rendelkezsre ll protokollok kztt szerepel az IP, a TCP, az UDP s az ICMP.
A kiterjesztett ACL a clport szma alapjn is vgez szrst.
A forgalomirnytnak meg kell vizsglnia az Ethernet keret szllitmnyt, hogy az ACL-ekkel trtn
sszehasonltshoz kigyjtse a szksges IP-cmeket s portszmokat.
Az utasts kirtkelse eltt a portszmokon kvl egy felttel megadsa is szksges.

Erre az albbi gyakori rvidtsek hasznlatosak:
eq - egyenl (equals)
gt nagyobb, mint (greater than)
lt kisebb, mint (less than)
Vegyk az albbi pldt:
R1(config)#access-list 122 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.89 eq

80
A fenti ACL utasts engedlyezi a 192.168.1.0 hlzatbl szrmaz, a 80-as porton HTTPhozzfrst ignyl forgalmat. Amennyiben egy felhasznl telnet- vagy FTP-kapcsolatot
prbl ltesteni a 192.168.2.89 cm llomssal, a minden hozzfrsi lista vgn
megtallhat implicit tilt utasts megakadlyozza azt.
Egy konkrt alkalmazs alapjn trtn szrshez ismernnk kell az adott alkalmazs portszmt. Az
alkalmazsokat egy portszm s egy nv azonositja. Egy ACL pldul hivatkozhat akr a 80-as portra, akr a
HTTP nvre.
Amennyiben sem az alkalmazshoz tartoz portszm, sem pedig a nv nem ismert, prbljuk megtallni az
informcit az albbi lpsek valamelyikvel:
1.
Keressnk fel egy IP-cmek bejegyzsvel foglalkoz oldalt (pl.: http://www.iana.org) a vilghln!
2.
Nzznk utna a szoftver dokumentcijban!
3.
Ltogassunk el a szoftvergyrt weboldalra!
4.
Szerezzk meg az adatokat egy csomagvizsgl (packet sniffer) segtsgvel kzvetlenl az

alkalmazsbl!
5.
Hasznljuk a ? lehetsget az access-list parancshoz! Az gy kapott lista tartalmazza a TCP protokollhoz

tartoz legismertebb portneveket s portszmokat.
Nhny alkalmazs egynl tbb portszmot hasznl. Pldul, az FTP adattvitel a 20-as porton trtnik, de
az FTP-t lehetv tev kapcsolatvezrls a 21-s portot hasznlja. Az FTP forgalom teljes tiltshoz mindkt
portot le kell tiltanunk!
Tbb portszm megfelel kezelshez a Cisco IOS ACL-ek kpesek port-tartomnyok alapjn is szrni. Ehhez
hasznljuk az ACL utasts gt, lt vagy range opertort! A kt FTP-t tilt ACL utasts pldul sszevonhat az
albbi paranccsal:
R1(config)#access-list 181 deny tcp any 192.168.77.0 0.0.0.255 range 20 21
Az ACL-ek belltsa a kapcsolat-felvtel utni forgalom

tmogatshoz
A bels hlzat vdelme mellett a bels felhasznlk szmra biztostani kell a hozzfrst minden
erforrshoz. Amikor a bels felhasznlk kls erforrsokat hasznlnak, az ltaluk ignyelt
erforrsoknak t kell jutniuk az ACL-en.
Ha pldul egy bels felhasznl kapcsoldni akar egy kls webkiszolglhoz, az ACL-nek
engedlyeznie kell a bentrl krt kls html csomagok bejutst. Mivel az ACL-ek vgn mindig
ott szerepel az implicit tilts, a fenti erforrsokat kln engedlyezni kell az ACL-ben. A minden
lehetsges ignyelt erforrst engedlyez klnll utastsok hossz ACL-t s biztonsgi rseket
eredmnyezhetnek.
A problma megoldhat egyetlen utasts megadsval, amely a bels felhasznlk szmra
engedlyezi egy TCP kapcsolat felptst a kls erforrsokhoz. Amint megtrtnt a TCP
hromfzis kzfogsa s a kapcsolat ltrejtt, a kt eszkz kztt kldtt sszes csomag
engedlyezve lesz. Ehhez hasznljuk az established kulcsszt!
access-list 101 permit tcp any any established
A fenti utasts hasznlatval az sszes kvlrl rkez tcp csomag engedlyezve lesz, feltve,
ha a vlasz egy bellrl rkez krsre jtt. A bentrl kezdemnyezett kommunikci
eredmnyeknt berkez vlaszcsomagok engedlyezse az llapottart csomagvizsglat (Stateful
Packet Inspection, SPI) egyik formja.
A mr ltrejtt forgalmon kvl arra is szksg lehet, hogy egy bels felhasznl kls eszkzket
pingelhessen. Ugyanakkor nem kvnatos, hogy kls felhasznlk megpingelhessk a bels hlzat
eszkzeit vagy kvethessk az azokhoz vezet tvonalat.
Ilyen esetekben hasznlhat az ACL utastsban megadott echo-reply s az unreachable kulcssz a
ping vlaszok s a cl elrhetetlensgt jelz zenetek fogadsnak engedlyezsre. Ugyanakkor a
kls forrsokbl szrmaz ping mindaddig el lesz utastva, amg azt egy msik utasts kln nem
engedlyezi.
A NAT s a PAT szerepe az ACL-ek elhelyezsbeb

Az ACL-ek megtervezsnl gondot okozhat a hlzati cmfordts (NAT) s a
portcmfordts (PAT) hasznlata.
1. Ha egy bejv csomag rkezik a cmfordtst vgz kls interfszre, akkor a
forgalomirnyt:
Alkalmazza a bejv ACL-t.
A clcmet klsrl belsre (globlisrl loklisra) fordtja.
Tovbbtja a csomagot.
2. Ha egy csomag kifel tvozik a cmfordtst vgz kls interfszrl, akkor a

forgalomirnyt:
A forrscmet belsrl klsre (loklisrl globlisra) fordtja. Alkalmazza a kimen

ACL-t.
Alkalmazza a kimen ACL-t.
Az ACL-t gy tervezzk meg, hogy a cmfordtshoz val viszonytl fggen vagy csak a
privt, vagy csak a publikus cmeket szrje! Amennyiben a cmfordtst vgz kls
interfszre bejv vagy onnan kimen forgalomrl van sz, akkor a publikus cmeket kell
szrni.
A hlzati ACL-ek s elhelyezsk elemzse

Egy interfszhez rendelt, de rosszul megtervezett ACL azonnali problmkhoz vezethet.
Ezek a problmk a hamis biztonsgrzettl, a forgalomirnyt felesleges terhelsn
keresztl, a mkdskptelen hlzatig terjedhetnek.
Kiterjesztett ACL vizsglatakor nem szabad megfeledkezni az albbi kulcsszempontokrl:
A tcp kulcssz az FTP, a HTTP, a Telnet s hasonl protokollokat engedlyezi vagy

tiltja.
A permit ip kulcskifejezs a teljes IP-forgalmat belertve a TCP, az UDP s az ICMP

protokollt engedlyezi.
Az ACL-ek belltsa a VLAN-ok kztti forgalomirnytshoz

Ha egy hlzatban VLAN-ok kztti forgalomirnytst hasznlunk, esetenknt szksg lehet az egyik
VLAN-bl a msikba tart forgalom ACL-ekkel trtn vezrlsre.
Az ACL-eket rendeljk kzvetlenl a forgalomirnyt VLAN interfszeihez vagy alinterfszeihez
ppen gy, mint a fizikai interfszek esetben!
A vllalati hlzatokban a kiszolglk ltalban a felhasznli csoportoktl eltr VLAN-ban kapnak
helyet. Ilyen esetekben a kiszolgli VLAN-hoz val hozzfrs szrst ignyel.
Forgalomszrs, hozzfrsi alkalmazsval

A naplzs hasznlata az ACL funkcionalitsnak ellenrzsre
Egy ACL megrsa s interfszhez rendelse utn a hlzati rendszergazdnak rdemes
megvizsglnia az egyezsek szmt.
Egyezsrl beszlnk, ha egy bejv csomag mezi megfelelnek az ACL sszes viszonytsi
mezjnek. Az egyezsek szmnak megtekintse segt annak megtlsben, hogy az ACL
utastsok elrik-e a kvnt hatst.
Az ACL utastsok alaprtelmezs szerint rgztik az egyezsek (tallatok) szmt,
amelyet megjelentenek az rintett utastsok vgn. Az egyezsek megtekintshez
hasznljuk az albbi parancsot:
show access-list
A show access-list parancs hasznlatval ACL soronknt megjelentett egyezsi
szmrtkek utastsonknt megmutatjk, hny csomag-egyezs trtnt. A kimenet a
csomag forrst vagy cljt, sem pedig a hasznlt protokollt nem jelzi.
Az engedlyezett vagy elutastott csomagokkal kapcsolatos tovbbi rszletek
megismershez aktivljuk a naplzs folyamatt! A naplzs az egyes ACL utastsokra
kln-kln aktivlhat, a vizsglni kvnt utastsok vgre illesztett log opcival.
A naplzst csak rvid idre, az ACL tesztelsnek befejezsig kapcsoljuk be, az
esemnyek naplzsa ugyanis jelentsen nvelheti a forgalomirnyt terhelst.
A konzolra trtn naplzs a forgalomirnyt memrijt hasznlja, ami korltozott
erforrsnak szmt. Ehelyett lltsuk be a forgalomirnytn, hogy a naplzand
informcit egy kls kiszolglra kldje! Ezek az n. syslog zenetek lehetv teszik
az informcik vals idej vagy egy ksbbi idpontban trtn megtekintst.
A syslog esemny-zenetek nyolc slyossgi szint valamelyikbe sorolhatk. A 0. szint
vszhelyzetet vagy hasznlhatatlan rendszert jelent, a 7. pedig informcis (pl.:
hibakeressi) zeneteket azonosit.
Az ACL naplzs tbbek kztt az albbi informcis zenetet generlja:
az ACL szma
az engedlyezett vagy elutastott csomag
a forrs- s clcmek
a csomagok szma
Az zenet az els csomagegyezs esetn, majd ezt kveten 5 percenknt generldik.

A naplzs kikapcsolshoz hasznljuk az albbi parancsot:
no logging console
A hibakeress teljes kikapcsolshoz hasznljuk az albbi parancsot:
undebug all
Egy konkrt (pl. IP-csomagokhoz kapcsold) hibakeress kikapcsolshoz hasznljuk az
albbi parancsot:
no debug ip packet
A forgalomirnyt naplinak elemzse

A naplzott esemnytpusok az albbiak llapott tartalmazzk:
a forgalomirnyt interfszei
a hasznlt protokollok
a svszlessg-hasznlat
az ACL zenetek
a konfigurcis esemnyek
Mindenkppen tancsos kihasznlni azt a lehetsget, amely egy kritikus esemny

bekvetkezsekor e-mailben, szemlyi hvn vagy mobiltelefonon rtesti a hlzati
rendszergazdt.
Az egyb belltsi lehetsgek kztt szerepel:
rtests az jonnan rkezett zenetekrl
az zenetek rendezse s csoportostsa
az zenetek slyossga alapjn trtn szrs
az sszes vagy csak a kijellt zenetek trlse
A syslog egy olyan protokoll, amelyet minden hlzati berendezs idertve a kapcsolkat,
forgalomirnytkat, tzfalakat, trolrendszereket, modemeket, vezetk nlkli eszkzket
s UNIX llomsokat tmogat.
Egy syslog kiszolgl hasznlathoz teleptsk a programot egy Windows, Linux, UNIX vagy MAC OS opercis
rendszert futtat kiszolglra, majd lltsuk be a forgalomirnytn, hogy a naplzott esemnyeket erre a syslog
kiszolglra kldje!
Az albbi pldban szerepl parancs egy syslog kiszolglt futtat lloms IP-cmt hasznlja:
logging 192.168.3.11
Egy problma elhrtsa sorn mindig lltsuk be az idblyeg szolgltatst a naplzshoz! Bizonyosodjunk meg
arrl, hogy a forgalomirnytn a dtum s id be legyen lltva, s gy a naplllomnyok mindig a megfelel
idblyeget jelentsk meg!
A dtum s id belltsainak ellenrzshez hasznljuk a show clock parancsot!
R1>show clock
*00:03:45.213 UTC Mon Mar 1 2007
A pontos id belltshoz elszr adjuk meg a Greenwich-i kzpidhz (GMT) viszonytott idznt, majd
lltsuk be az idt! Figyeljnk oda, hogy az id belltst (clock set) vgz parancsot nem a konfigurcis
mdban kell kiadni!
Az idzna belltshoz:
R1(config)#clock timezone CST -6
Az id belltshoz:
R1#clock set 10:25:00 Sep 10 2007
Bevlt ACL megoldsok

Az ACL nagyon hatkony szrsi eszkz. Egy ACL azonnal aktvv vlnak, amint
alkalmazzuk egy interfszre.
Sokkal jobban jrunk, ha tbb idt tltnk az ACL megtervezsvel s hibaelhrtsval mg
a tnyleges hasznlat megkezdse eltt, mintha utna prblnnk megtallni s kijavtani a
problmkat!
Naplzs esetn az ACL utols sorba irjuk be a deny ip any utastst, gy nyomon
kvethetjk az elutastott csomagok szmt!
Ha tvoli forgalomirnytval dolgozunk, s az ACL mkdst ellenrizzk, hasznljuk a
reload in 30 parancsot! Ha ugyanis egy esetleges hiba az ACL-ben letiltja a hozzfrst a
forgalomirnythoz, a tvoli kapcsolat is megsznhet. A fenti parancs hasznlatval a
forgalomirnyt 30 perc elteltvel jraindul az ACL nlkli indtsi konfigurci belltsaival.
Amikor mr elgedettek vagyunk az ACL mkdsvel, msoljuk az aktv konfigurcit az
indtsi konfigurciba!
Hibaelhrts egy vllalati hlzaton

A hlzati meghibsodsok hatsai
Elvrsok a vllalati hlzatokkal szemben
Egy lells miatt a vllalatnl jelentkez vesztesg meghatrozsra tbb klnbz mrsi
mdszert hasznlnak. Egy adott vllalat szmra a tnyleges kltsg a napszak, a dtum s
az idpont fggvnyben vltozik.
A nagyvllalatok tbbnyire tbb idznban is rendelkeznek telephellyel, alkalmazottaik,
gyfeleik s beszlltk pedig a nap minden szakban hasznljk a vllalati hlzatot. Az
ilyen szervezetek esetben rendkvl kltsges brmilyen lells. Szmos tnyez okozhat
hlzati lellst. Ilyenek pldul az albbiak:
Idjrsi s termszeti katasztrfk
Betrsek
Emberi beavatkozs ltal elidzett katasztrfk
Tlfeszltsg lksek
Vrustmadsok
Meghibsodott berendezsek
Rosszul konfigurlt eszkzk
Erforrshiny
Egy jl megtervezett hlzat a megfelel s hatkony adatramls biztostshoz

redundnsan tartalmaz minden kritikus fontossg sszetevt s adattvonalat. Ez a
redundancia kizrja az egyetlen pontbl ered meghibsodsokat.
A hromrteg hierarchikus hlzattervezsi modell funkcionlisan vlasztja szt egymstl
a klnfle hlzati eszkzket s sszekttetseket. Ez az elklnts gondoskodik a
hlzat teljestmnynek hatkonysgrl.
Egy SLA vilgosan rgzti a szolgltats szintjvel szemben tmasztott elvrsokat. Ezen
elvrsok kz tartozik pldul az elfogadhat mrtk hlzati lells s a helyrellts
idtartama is. Ezekben a szerzdsekben gyakran elrjk a szolgltats brmely
hinyossghoz trstott jvttel mrtkt is.
Az zletfolytonossgi tervek rszletes akcitervvel szolglnak az olyan nem vrt,
mestersgesen elidzett vagy termszeti katasztrfk esetn, mint pldul az
ramkimaradsok vagy a fldrengsek.
Egyrtelmen lerjk, hogyan fog a hlzat mkdkpessge jra kialakulni egy kritikus
meghibsods esetn. A mkdkpessg biztostsnak egyik mdja, ha egy redundns,
biztonsgi telephellyel rendelkeznk egy msik helysznen, arra az esetre, ha az elsdleges
telephely meghibsodna.
Nyomon kvets s megelz karbantarts

Szmos eszkzcsoport ll rendelkezsre a hlzati teljestmnyszintek nyomon kvetshez
s adatok gyjtshez. Ilyen eszkzk pldul az albbiak:
Hlzati segdprogramok
Csomagvizsgl (packet sniffing) eszkzk
SNMP felgyeleti eszkzk
Egy hlzati rendszergazda rendszeresen proaktv (megelz) karbantartsi feladatokat

vgez a berendezsek ellenrzshez s karbantartshoz. Ezzel a rendszergazda mg
egy kritikus hiba bekvetkezse eltt kpes lehet megtallni azokat a gyenge pontokat,
amelyek a hlzat lellst okozhatnk.
A hlzatfigyel eszkzk, mdszerek s programok hasznlathoz szksg van egy teljes
kr, pontos s aktulis hlzati dokumentcira. Az ilyen dokumentciknak a kvetkezket
kell tartalmazniuk:
Fizikai s logikai topolgia diagramok
Minden hlzati eszkz konfigurcis llomnya
Viszonytsi teljestmnyszint
Bevlt gyakorlatnak szmt a hlzat els teleptse utn, illetve minden nagyobb
vltoztatst vagy fejlesztst kveten meghatrozni a viszonytsi teljestmnyszinteket. A
hlzati rendszergazdk normlis terheltsgi szintek mellett vgzik a hlzat tesztelst,
olyan protokollok s alkalmazsok hasznlatval, melyek ltalnosan elfordulnak a
hlzaton.
Az egyszer hlzati segdprogramok, mint a ping vagy a tracert, informcit szolgltatnak a
hlzat vagy a hlzati kapcsolat teljestmnyrl.
Az egyszer hlzatfelgyeleti protokoll (SNMP) lehetv teszi egyedi berendezsek
megfigyelst a hlzaton. Az SNMP-kpes eszkzk bepitett SNMP gynkprogramokat
hasznlnak nhny elre meghatrozott paramter bizonyos krlmnyek kztt trtn
megfigyelshez. Ezek az gynkk sszegyjtik az informcikat s egy sajt, felgyeleti
informcis adatbzis (MIB) nven ismert adatbzisban troljk azokat.
Az SNMP szablyos idkznknt lekrdezssel begyjti az az eszkzktl a felgyelt
paramterekre vonatkoz informcikat. Ezenfell az SNMP kpes olyan esemnyek
detektlsra, amelyek tllpnek egy elre meghatrozott kszbrtket vagy felttelt.
Ha a hibk szma tllpi a kszbrtket, az SNMP szleli ezt az llapotot, s elkldi azt a
hlzatfelgyeleti llomsnak (NMS). Az NMS riasztja a hlzati rendszergazdt.
Hibaelhrts s hibatartomny
A redundancia kulcsfontossg tervezsi alkotelem a vllalati hlzatok esetben.
Redundns krnyezetben, ha egy sszekttets lell, akkor azonnal megindul a forgalom
elterelse a tartalk sszekttets fel.
Ha egy adott eszkzzel vagy konfigurcival problma addik, akkor a konfigurcis
llomnyokrl kszlt biztonsgi msolat vagy egy tartalk eszkz az sszekttets gyors
helyrelltst teszik lehetv.
A hlzat biztonsgi vonatkozsait az zletfolytonossgi tervben is rszletezni kell. A terv a
kvetkezket tartalmazza:
A lehetsges problmk dokumentlsa
A problmk bekvetkezsekor elvgzend intzkedsek lersa
A vllalat biztonsgi hzirendjnek rszletei
Az intzkedsek biztonsgi kockzatainak rszletei
Vllalati hlzatok tervezse sorn korltozni kell a hibatartomnyok mrett. A

hibatartomny a hlzat azon rsze, amelyre hatssal van egy hlzati eszkz
meghibsodsa vagy hibs konfigurcija. A tartomny tnyleges mrete fgg az eszkztl
s a meghibsods vagy a konfigurcis hiba tpustl. Egy hlzat hibaelhrtsakor
hatrozzuk meg a problma hatkrt s hatroljuk krl az rintett hibatartomnyt.
Egy LAN szegmensen lv 2. rtegbeli kapcsol meghibsodsa csak a szrsi
tartomnyban lv felhasznlkra van hatssal, s nincs befolyssal a hlzat tbbi
tartomnyra. Egy hatr forgalomirnyt meghibsodsa azonban meggtolja a vllalat
minden felhasznljt a helyi hlzatukon kvl tallhat hlzati erforrsok elrsben.
A hibaelhrtsi folyamat
Amikor egy vllalati hlzatban valamilyen problma kvetkezik be, nagyon fontos a
problma gyors s hatkony elhrtsa a hossz ideig tart lells elkerlse rdekben.
Tbb strukturlt s strukturlatlan problmamegold technika ll a hlzati szakemberek
rendelkezsre. Ezek kz tartoznak pldul az albbiak:
Fentrl lefel
Lentrl felfel
Oszd meg s uralkodj
Prblgats
Helyettests
mikor olyan helyzet addik, amikor strukturltabb megkzeltsre van szksg, a legtbb
hlzati szakember az OSI vagy a TCP/IP modellek rtegein alapul mdszert alkalmaz. A
rteg szabja meg, hogy a fentrl lefel vagy a lentrl felfel trtn megkzelts lesz-e a
megfelel.
Egy problms szituci megkzeltse sorn kvessk az ltalnos problmamegold
modellt, tekintet nlkl az alkalmazott hibaelhrtsi technika tpusra.
Hatrozzuk meg a problmt!
Gyjtsk ssze a fennll krlmnyeket!
Kvetkeztessnk a lehetsgekre s az alternatvkra!
Hozzunk ltre egy intzkedsi tervet!
Valstsuk meg a megoldst!
Elemezzk az eredmnyeket!
Dokumentljuk a kezdeti tneteket s minden elfordulst a problma oknak megtallsa s annak

kijavtsa rdekben! Ez a dokumentci rtkes eszkzknt szolglhat egy ilyen vagy ehhez hasonl
problma bekvetkezse esetn. Mg a sikertelen prblkozsokat is fontos dokumentlni, hogy idt
takarthassunk meg a jvbeni hibaelhrtsi tevkenysgek sorn.
Kapcsolsi s kapcsoldsi problmk

hibaelhrtsa
Kapcsolk alapvet hibaelhrtsa
A kapcsolknl fellp leggyakoribb hibk a fizikai rteg szintjn kvetkeznek be. Ha egy
kapcsolt nem kellen vdett krnyezetbe teleptettek, akkor olyan krosodsokat is
elszenvedhetnek, mint a kimozdult vagy megsrlt adat- s tpkbelek. Gyzdjnk meg
rla, hogy a kapcsolkat fizikailag vdett terleten helyeztk el!
Ha egy vgponti eszkz nem kpes csatlakozni a hlzathoz s a kapcsolatjelz LED nem
vilgt, akkor az sszekttets vagy a kapcsolport hibsodott meg, vagy llt le. Ebben az
esetben vgezzk el az albbi lpseket:
Gyzdjnk meg rla, hogy vilgt-e az ramelltst jelz LED!
Gyzdjnk meg arrl, hogy a megfelel tpus kbel csatlakoztatja-e a vgponti

eszkzt a kapcsolhoz!
Hzzuk ki s dugjuk be jra a kbeleket a munkallomsnl s a kapcsolnl is!
Ellenrizzk a konfigurcit annak rdekben, hogy a port ne letiltott llapotban

legyen!
Gyzdjnk meg arrl, hogy nem tiltotta-e le a portot a kapcsol portvdelme. Ez az albbi
parancsok segtsgvel ellenrizhet:
show running-config
show port-security interface interface_azonost
Ha a kapcsol vdelmi belltsai tiltottk le a portot, akkor ellenrzzk le a biztonsgi
hzirendben, hogy megengedett-e a biztonsgi szablyok megvltoztatsa.
A kapcsolk a 2. rtegben mkdnek, s egy tblban nyilvntartst vezetnek minden
csatlakoztatott eszkz MAC-cmrl. Ha ebben a tblban egy MAC-cmhez helytelen
bejegyzs tartozik, akkor a kapcsol nem a megfelel port fel fogja tovbbtani az
informcit, s gy a kommunikci nem jn ltre.
Az egyes kapcsolportokhoz csatlakoztatott eszkzk MAC-cmeinek megtekintshez a
kvetkez parancs hasznlhat:
show mac-address-table
A tbla dinamikus bejegyzseinek trlshez adja ki az albbi parancsot:
clear mac-address-table dynamic
A kapcsol ezt kveten a legfrissebb informcik alapjn jra feltlti MAC-cm tblt.
Nhny kapcsol nem megfelelen szleli a csatlakoztatott eszkz sebessgt s
duplexitst. Amennyiben ez a felttelezett problma, rgztsk le az rtkeket a kapcsoln
a gazdagpnek megfelelen, az interface speed s a duplex parancsok segtsgvel!
Egy adott port sebessgnek s duplex belltsainak megjelentshez ez a parancs
hasznlhat:
show interface interface_azonost
A kapcsoldsi problmk tovbbi lehetsges forrsait a kapcsolsi hurkok alkotjk. Egy

kapcsolt hlzatban az STP elhrtja a kapcsolsi hurkokat s a szrsi viharokat
azltal, hogy lelltja a redundns tvonalakat. Ha az STP pontatlan informcik alapjn
hozza meg a dntseit, hurkok alakulhatnak ki.
Ha hurok van jelen egy hlzatban, annak az albbi jelei lehetnek:
Megsznt az sszekttets az rintett hlzati tartomnyok fel, fell s azokon

keresztl
Magas CPU kihasznltsg az rintett szegmensekhez csatlakoz

forgalomirnytkon
Az sszekttets magas, akr 100%-os kihasznltsga
Magas a kapcsol n. htlapi kommunikcis rendszernek kihasznltsga a

viszonytsi pont kihasznltsg rtkhez kpest
A syslog zenetek csomaghurkot vagy lland cm jratanulst jeleznek, esetleg egy

MAC-cm tbb porton trtn szlelsrl (MAC address flapping) rkezik
figyelmeztet zenet
Nvekv szm eldobott kimen keret tbb interfszen
Hurok akkor alakul ki, amikor a kapcsol nem kap BPDU-kat vagy nem kpes feldolgozni
azokat. Ez a problma a kvetkezk miatt lehet:
Hibs konfigurcik
Meghibsodott mdia konverterek
Hardveres vagy kbelezsi problmk
Tlterhelt processzorok
A tlterhelt processzorok miatt lellhat az STP mkdse, s a kapcsolk nem lesznek

kpesek feldolgozni a BPDU-kat. A tbb porton is megjelen MAC-cmek megsokszorozzk
az tvitelek szmt. A megnvekedett tvitelszm tlterhelheti a processzort. Ilyen helyzet
csak nagyon ritkn kvetkezhet be egy megfelelen konfigurlt hlzatban. A problmatpus
orvoslshoz meg kell szntetni az sszes redundns tvonalat.
Egy msik hibaelhrtsi problma az gynevezett nem optimlis kapcsols (suboptimal
switching) esete. Az alaprtelmezett rtkeken hagyva az STP nem mindig a legjobb
pozicij hidat vagy portot vlasztja ki gykrponti hidnak illetve gykr portnak. Egy
kapcsoln a priorits rtknek megvltoztatsval knyszerthet ki a megfelel
gykrponti hd kivlasztsa. Az optimlis kapcsols rdekben a gykrponti hdnak a
hlzat kzponti helyn kell elhelyezkednie.
STP hibaelhrtsakor hasznljuk a kvetkez parancsokat:
Informcit ad az STP konfigurcijrl:
show spanning-tree
Informcit ad egy adott interfsz STP llapotrl:
show spanning-tree interface interface_azonost
VLAN konfigurcis problmk hibaelhrtsa

Ha informcira van szksgnk egy bizonyos VLAN-rl, hasznljuk a show vlan id
vlan_szm parancsot, amivel megtekinthetek az egyes VLAN-okhoz rendelt portok!
Ha VLAN-ok kztti forgalomirnytsa van szksg, ellenrizzk a kvetkez
konfigurcikat:
VLAN-onknt egy port egy forgalomirnyt interfszhez vagy alinterfszhez

csatlakozzon.
Mind a kapcsolport, mind a forgalomirnyt interfsze konfigurlva legyen

trnklsre.
Mind a kapcsolport, mind a forgalomirnyt interfsze ugyanazon begyazssal

legyen konfigurlva.
Az jabb kapcsolk alaprtelmezs szerinti belltsa a 802.1Q, de nhny Cisco kapcsol

tmogatja a 802.1Q-t s a Cisco tulajdonban lv Inter-Switch Link (ISL) formtumot is.
Ahol lehetsges az IEEE 802.1Q-t kell hasznlni, mivel ez szmt de facto szabvnynak,
tovbb a 802.1Q s az ISL nem kompatibilisek egymssal.
VLAN-ok kztti forgalomirnytsi problmk hibaelhrtsakor gyzdjnk meg arrl, hogy
a forgalomirnyt fizikai interfsznek ne legyen IP-cme. Ennek az interfsznek aktvnak
kell lennie.
Az interfszek konfigurcijnak megtekintshez a kvetkez parancs hasznlhat:

show ip interface brief
Az egyes VLAN-okhoz rendelt hlzatnak lthatnak kell lennie a forgalomirnyt tblban.
Ellenkez esetben ellenrizzk jra az sszes fizikai csatlakozst s a trnk konfigurcijt
az sszekttets mindkt vgn! Ha a forgalomirnyt nem kzvetlenl csatlakozik egy
vagy tbb VLAN alhlzathoz, ellenrizzk az irnyt protokoll konfigurcijt annak
rdekben, hogy minden VLAN fel legyen tvonal! Hasznljuk az albbi parancsot:
show ip route
Hozzfrsi port vagy trnkport
Minden kapcsolport vagy hozzfrsi portknt vagy trnkportknt zemel. Nhny kapcsol
modellen ms tpus kapcsolportok is rendelkezsre llnak, s a kapcsol automatikusan
lltja be a portot a megfelel llapotba.
Natv s menedzsment VLAN-ok
A kapcsolportok vagy hozzfrsi portknt vagy trnkportknt zemelnek. A trnkvonal
natv VLAN-jhoz vannak hozzrendelve a trnkn tkldtt cmkzetlen keretek. Ha egy
eszkzn megvltoztattuk a natv VLAN kiosztst, akkor a 802.1Q trnk mindkt vgpontjn
be kell lltani ugyanazt a natv VLAN azonostszmot. Ha a trnk egyik vgn a VLAN10
lett natvknt konfigurlva, a msik vgen pedig a VLAN 14, akkor az egyik vgen a
VLAN10-bl kldtt keret a msik oldalon a VLAN14-ben lesz fogadva. Ekkor a VLAN10
tszivrog a VLAN14-be. Ez vratlan kapcsoldsi problmkat okozhat s nvelheti a
ksleltetst.
VTP hibaelhrts
A VTP leegyszersti a VLAN informcik sztosztst tbb kapcsol kztt egy

tartomnyon bell. A VTP mkdsben rszt vev kapcsolk a kvetkez hrom md
egyikben zemelnek: kiszolgl, gyfl s transzparens. Csak a kiszolgl veheti fel,
trlheti vagy mdosthatja a VLAN informcikat.
Amikor VTP hibaelhrtst vgznk egy hlzaton, bizonyosodjunk meg az albbiakrl:
Minden rszt vev eszkznek ugyanazzal a VTP tartomnynvvel kell rendelkeznie.
Kt VTP kiszolglnak kell lennie minden tartomnyban arra az esetre, ha az egyik

meghibsodna.
Minden kiszolglnak ugyanazokkal az informcikkal kell rendelkeznie.
Minden eszkznek ugyanazt a VTP-protokoll verzit kell hasznlnia.
Egy eszkzn a hasznlatban lv VTP-protokoll verzi, a VTP tartomnynv, a VTP md s

a VTP-verziszm (revision number) megjelentshez, adjuk ki az albbi parancsot:
show vtp status
A VTP-protokoll verzi megvltoztatshoz:
vtp version <1 | 2>
Mindig ellenrizzk le a VTP-verziszmot s a VTP mdot, mieltt brmilyen kapcsolt
csatlakoztatnnk a hlzathoz. A verziszmot az NVRAM-ban troljk a kapcsolk, s az
indt konfigurci trlse nem lltja alaphelyzetbe ezt az rtket. A verziszm
alaphelyzetbe hozshoz vagy lltsuk a kapcsol VTP mdjt transzparensre vagy
vltoztassuk meg a VTP tartomnynevet.
Az is problmt okozhat, ha egy illeglis (rogue) kapcsol csatlakozik a tartomnyhoz, s

megvltoztatja a VLAN informcikat. Ennek megakadlyozshoz rdemes jelszt
belltani a VTP tartomnyhoz. A tartomny VTP jelszavnak belltshoz hasznljuk a
kvetkez globlis konfigurcis parancsot:
vtp password jelsz
Forgalomirnytsi problmk hibaelhrtsa

RIP forgalomirnytsi problmk
Kompatibilitsi problmk lteznek a RIPv1 s a RIPv2 kztt. Ha a RIP tvonalakat nem
hirdetik a forgalomirnytk, akkor vizsgljuk meg a kvetkez lehetsges problmkat:
vagy 2. rtegbeli kapcsoldsi problmk
Szksg van a VLSM alhlzatok kezelsre, de RIPv1 van hasznlatban
Nem illeszkednek egymssal a RIPv1 s a RIPv2 forgalomirnytsi konfigurcik
Hinyoznak vagy helytelenek a network parancsok
Az interfszek IP-cmzse nem megfelel
A kimen interfsz lekapcsolt llapotban van
A hirdetett hlzathoz tartoz interfsz lekapcsolt llapotban van
Helytelenl konfigurlt passzv interfszek
A show ip route paranccsal trtn tesztels eltt rdemes trlni az irnyttbla tartalmt
a clear ip route * paranccsal.
Az itt felismert problmkon fell, nagyon fontos, hogy mindig emlkezznk arra, hogy a RIP
mrtke az ugrsszm, mely 15 ugrsra van korltozva! Ez a korltozs nmagban is
okozhat problmt egy nagyobb vllalati hlzatban.
EIGRP forgalomirnytsi problmk

Kizrlag csak az EIGRP hibaelhrtshoz hasznlhat parancsok kz az albbiak
tartoznak:
show ip eigrp neighbors
Megjelenti a szomszdok IP-cmeit s az interfszek azonostit, amelyeken keresztl
megtanulta ezeket a cmeket.
show ip eigrp topology
Megjelenti az ismert hlzatok topolgia tbljt a legjobb tvonalakkal, az llapotjelzkkel,
a legrvidebb tvolsggal s az interfszek azonostival egytt.
show ip eigrp traffic
Megjelenti az EIGRP forgalmi statisztikit a konfigurlt autonm rendszerben, egyebek
mellett a kldtt s fogadott hello csomagok, valamint a frisstsek szmt.
debug eigrp packets
Vals idben jelenti meg a szomszdok ltal egymsnak kldtt EIGRP csomagokat.
debug ip eigrp
Vals idben jelenti meg az EIGRP esemnyeket, kzte az sszekttetsek llapotnak
vltozsait s a forgalomirnyt tbla frisstseit.
Bizonyos problmk gyakran elfordulnak az EIGRP protokoll konfigurlsa sorn. A
kvetkez lehetsges okok miatt nem mkdhet az EIGRP:
vagy 2. rtegbeli kapcsoldsi problmk
Hibs cmzssel vagy alhlzati maszkkal rendelkez interfsz
Egymssal nem egyez autonmrendszer azonostk a klnbz EIGRP

forgalomirnytkon
Rossz hlzat vagy helytelen helyettest maszk van megadva az irnytsi

folyamatban
Az sszekttets lellt vagy torlds lpett fel
A kimen interfsz lekapcsolt llapotban van
Egy hirdetett hlzathoz tartoz interfsz lekapcsolt llapotban van
Ha az automatikus tvonalsszegzs engedlyezve van a forgalomirnytkon, mikzben az

alhlzatok nem sszefggek, elkpzelhet, hogy az tvonalak nem megfelelen lesznek
hirdetve.
OSPF forgalomirnytsi problmk
Az OSPF kapcsn felmerl problmk tlnyom rsze a szomszdsgi kapcsolatok

ltrehozsval s a kapcsolatllapot-adatbzisok szinkronizlsval fgg ssze.
Az OSPF kapcsn felmerl problmk elhrtsa
A szomszdos forgalomirnytknak ugyanazon OSPF terlethez kell tartozniuk.
A szomszdos forgalomirnytk interfszeinek egymssal kompatibilis IP-cmmel s

alhlzati maszkkal kell rendelkeznik.
Az egy terleten lv forgalomirnytkon ugyanazt az OSPF hello intervallumot s

halott intervallumot kell megadni.
A forgalomirnytknak az interfszeknek megfelel hlzatokat kell hirdetnik az

OSPF folyamatban val rszvtelhez.
A megfelel helyettest maszkokat kell hasznlni a helyes IP-cm tartomnyok

hirdetshez.
A kommunikci megvalsulshoz a hitelestst megfelelen kell belltani a

forgalomirnytkon.
A szabvnyos show s debug parancsokon fell, az albbi parancsok hasznlata segthet

az OSPF-fel kapcsolatos problmk elhrtsban:
show ip ospf
show ip ospf neighbor
show ip ospf interface
debug ip ospf events
debug ip ospf packet
tvonal elosztsi problmk

Brmely irnyt protokollt is hasznljuk, konfigurljunk egy alaprtelmezett ngynulls
statikus tvonalat a hatr-forgalomirnytn.
ip route 0.0.0.0 0.0.0.0 S0/0/0
Ezutn lltsuk be a hatr-forgalomirnytt, hogy hirdesse vagy terjessze alaprtelmezett
tvonalt a tbbi forgalomirnyt fel. RIP s OSPF esetn lpjnk be forgalomirnyt
konfigurcis mdba s hasznljuk a default-information originate parancsot! Az EIGRP
azonnal hirdeti az alaprtelmezett tvonalakat, de hasznlhat a redistribute static parancs
is.
Az alaprtelmezett tvonalak nem megfelel hirdetse megakadlyozza a bels
forgalomirnytkhoz csatlakoz felhasznlkat a kls hlzatok elrsben.
WAN konfigurcis problmk hibaelhrtsa

WAN kapcsolds hibaelhrtsa
A fizikai rteg szintjn elfordul leggyakoribb problmk az rajel, a kbeltpusok s a
kilazult vagy hibs csatlakozk miatt addnak. A soros vonali sszekttetsek egy DCE
eszkzt csatlakoztatnak egy DTE eszkzhz. Kt klnbz tpus kbel ltezik az eszkzk
csatlakoztatshoz: DTE s DCE. ltalban a szolgltatnl lv DCE eszkz biztostja az
rajelet.
A kbel tpusnak megjelentshez, valamint a DTE, DCE llapot s az rajel
felismershez hasznljuk a kvetkez parancsot:
show controllers <soros_port>

Ahhoz, hogy egy soros sszekttets mkdjn, a kapcsolat mindkt vgpontjn egyeznie
kell a begyazsi tpusnak. A Cisco forgalomirnytkon a HDLC az alaprtelmezett
soros vonali begyazsi tpus. Mivel a Cisco HDLC s a nylt szabvny HDLC nem
kompatibilisek egymssal, ne hasznljuk az alaprtelmezett Cisco begyazst egy nemCisco gyrtmny eszkzhz val csatlakozs sorn!
Nhny 2. rtegbeli begyazsi tpusnak tbb vltozata is van. Pldul a Cisco
forgalomirnytk tmogatjk mind a Cisco sajt Frame Relay formtumt, mind az ipari
szabvny IETF formtumot. Ezek a formtumok nem kompatibilisek egymssal. A Cisco
eszkzkn a Cisco Frame Relay formtum az alaprtelmezett.
Annak megtekintshez, hogy egy soros vonalon milyen begyazs van hasznlatban,
hasznljuk a kvetkez parancsot:
show interfaces <soros_port>
3. rteggel kapcsolatos konfigurcis belltsok is megakadlyozhatjk az adatok mozgst
egy soros sszekttetsen. Br soros sszekttetsek esetn nem szksges IP-cmeket
belltani, ha hasznlni szeretnnk azokat, akkor az sszekttets mindkt vgpontjnak
ugyanazon a hlzaton vagy alhlzaton kell lennie.
Az a folyamat, amely soros vonali cmfelold protokoll (SLARP) nven ismert, hozzrendel
egy cmet egy soros sszekttets egyik vgpontjhoz, feltve, ha az sszekttets msik
vge mr konfigurlva van. Az SLARP felttelezi, hogy minden soros vonal egy klnll IPalhlzat s a vonal egyik vgnek llomsazonostja 1, a msik vgnek pedig 2.
Felttelezve azt, hogy a soros sszekttets egyik vge mr konfigurlva van, az SLARP
automatikusan konfigurlja az IP-cmet a msik oldalon.
Az albbi paranccsal megtekinthet a belltott IP-cm egy interfszen, valamint a port s a
vonali protokoll llapota:
show ip interface brief
A PPP folyamat magban foglalja mind az LCP mind az NCP fzisokat. Az LCP ltrehozza
az sszekttetst s ellenrzi azt, hogy annak minsge megfelel-e a 3. rtegbeli
protokollok hasznlathoz. Az NCP lehetv teszi a 3. rtegbeli forgalom szmra az
sszekttetsen val thaladst. Egy elhagyhat hitelestsi szakasz van az LCP s az NCP
fzisok kztt.
PPP sszekttetsek hibaelhrtsakor ellenrizzk a kvetkezket:
Befejezdtt-e mr az LCP fzis?
Ha konfigurlva van, akkor sikeres volt-e a hitelests?
Befejezdtt-e mr az NCP fzis?
A kvetkezkben nhny parancs segtsget nyjt a PPP sszekttetsek hibaelhrtsakor.

Az LCP s NCP fzisok llapotainak megtekintshez az albbi parancs hasznlhat:
show interface
A kvetkez parancs az sszekttets ltrehozsnak fzisa alatt tkldtt, a PPP
konfigurcis belltsok egyeztetsre hasznlt PPP csomagok megtekintshez
hasznlhat:
debug ppp negotiation
A kvetkez utasts a PPP csomagok ramlsnak vals idej megtekintshez

hasznlhat:
debug ppp packet
WAN hitelests hibaelhrtsa

A PPP szmos elnnyel rendelkezik az alaprtelmezett HDLC soros vonali begyazshoz
kpest. Ezen tulajdonsgok kz tartozik a PAP vagy CHAP hasznlata, a vgponti
eszkzk hitelestse rdekben. Az elhagyhat hitelestsi fzis azutn kvetkezik be, hogy
az LCP ltrehozta az sszekttetst, de mg azeltt, hogy az NCP engedlyezn a 3.
rtegbeli forgalom megindulst.
Ha az LCP nem tud csatlakozni, akkor az elhagyhat konfigurcis belltsok kztk a
hitelests egyeztetse elmarad. Az aktv NCP-k hinya sikertelen hitelestsre utal.
PPP hitelests hibaelhrtsakor hatrozzuk meg, hogy a hitelests okozza-e a problmt.
Ehhez vizsgljuk meg az LCP s az NCP-k llapotait a show interface parancs segtsgvel!
Ha mind az LCP, mind az NCP-k aktvak, akkor a hitelests sikeres volt s a problma
mshol tallhat.
Ha az LCP nem aktv, akkor problma ll fenn a forrs s a cl kztti fizikai
sszekttetssel.
Ha az LCP aktv, de az NCP-k nem azok, akkor a hitelestsre kell gyanakodni.
A hitelests lehet egyutas, illetve ktutas. A fokozott biztonsg rdekben hasznljunk

ktutas vagy klcsns hitelestst! A ktutas hitelests megkveteli, hogy mindkt vgponti
eszkz meggyzdjn a msik eszkz hitelessgrl.
A hitelestssel kapcsolatos leggyakoribb problmk abbl erednek, hogy egyrszt
elfelejtenek felhasznli bejegyzst konfigurlni a tvoli forgalomirnyt szmra, vagy
hibsan lltjk be a felhasznli nevet s a jelszt. Alaprtelmezs szerint a felhasznli
nv a tvoli forgalomirnyt llomsneve. Mind a felhasznli nv, mind a jelsz rzkeny a
kis- s nagybetkre.
Ha PAP hitelestst szeretnnk hasznlni egy aktulis verzij IOS rendszeren, aktivljuk azt
az albbi paranccsal:
ppp pap sent-username felhasznli_nv password jelsz
A hitelestsi folyamat nyomon kvetse gyors mdszert biztost a hiba meghatrozshoz.
Hasznljuk a kvetkez parancsot a vgberendezsek ltal egymsnak kldtt, a hitelestsi
folyamattal kapcsolatban ll csomagok megjelentshez:
debug ppp authentication
ACL-ekkel kapcsolatos problmk hibaelhrtsa

ACL-ekkel kapcsolatos problmk meghatrozsa
Amikor ACL-eket hasznlnak, s elrhetetlenn vlnak hlzatok vagy llomsok, lnyeges
annak meghatrozsa, hogy az ACL okozza-e a problmt. A kvetkez krdsek
segthetnek a problma azonostsban:
Van-e ACL alkalmazva a problms forgalomirnytra vagy interfszre?
Nemrg lett-e alkalmazva?
Ltezett-e a problma az ACL alkalmazsa eltt?
Az ACL az elvrsoknak megfelelen mkdik?
rinti-e a problma az interfszhez csatlakoz sszes llomst vagy csak bizonyos

llomsokat?
Minden tovbbtsra kerl protokollt rint a problma vagy csak bizonyos

protokollokat?
A hlzatok az elvrsoknak megfelelen jelentek meg a forgalomirnyt tblban?
Ezen krdsek kzl nhnyra vlaszt kaphatunk a naplzs engedlyezsvel. A naplzs

megmutatja, hogy milyen hatssal van az ACL a klnbz csomagokra. Alaprtelmezs
szerint az egyezsek szma a show access-list paranccsal jelenthet meg.
Az engedlyezett, illetve tiltott csomagok rszleteinek megtekintshez tegyk az ACL
parancsok vgre a log kulcsszt.
A forgalomirnytn konfigurlt sszes ACL megjelentshez, attl fggetlenl, hogy
alkalmazva lett-e egy interfszre vagy sem, hasznljuk a kvetkez parancsot:
show access-lists
Az egyes ACL utastsokhoz tartoz illeszkedsi szmllk trlshez a kvetkez
parancs hasznlhat:
clear access-list counters
A forgalomirnyt brmely interfsze ltal fogadott vagy kldtt sszes csomag

forrs s cl IP-cmnek megjelentshez az albbi parancs hasznlhat:
debug ip packet
A debug ip packet parancs azokat a csomagokat mutatja meg, melyeknek forrs-, illetve
clcme egy forgalomirnyt interfsze. Azok a csomagok is megjelennek a parancs
hatsra, amelyeket letiltott egy ACL az interfszen. Nhny forgalomtpus, melyek debug
zeneteket hoznak ltre:
RIP frisstsek egy forgalomirnyt interfsze irnybl vagy irnyba
Brmilyen kls forrsbl szrmaz, kls cllloms fel tart telnet forgalom,
melyet blokkolt egy ACL az interfszen.
Ha a csomagok egyszeren tovbbhaladnak, s az ACL nem blokkol egyetlen csomagot

sem errl az IP-cmrl, akkor nem keletkeznek debug zenetek.
Amennyiben az ACL utastsok nem a leghatkonyabb sorrendben kvetik egymst ahhoz,
hogy azok a hozzfrsi listban minl korbban engedlyezzk a legnagyobb mennyisg
forgalmat, ellenrizzk a naplzs eredmnyeit egy hatkonyabb sorrend
meghatrozshoz!
Az implicit deny utastsnak nem vrt kvetkezmnyei lehetnek ms forgalomtpusokra
nzve. Ebben az esetben egy explicit deny ip any any log parancs hasznlatval
megfigyelhetek azok a csomagok, melyekre nem trtnt egyezs egyetlen korbban
szerepl ACL utasts rszrl sem.
Hasznljunk naplzst annak eldntshez, hogy az ACL optimlisan, illetve az elvrtak
szerint mkdik-e!
Annak meghatrozsn tl, hogy az ACL megfelelen lett-e konfigurlva, az is nagyon
fontos, hogy az ACL a helyes forgalomirnyt interfszre legyen alkalmazva s a megfelel
irnyban. Egy helyesen konfigurlt, de nem megfelelen alkalmazott ACL, az ACL-ek
ltrehozsa sorn elfordul egyik leggyakoribb problma.
A norml ACL-ek csupn a forrs IP-cmet szrik, ezrt lehetleg a clhoz legkzelebb kell
elhelyezni azokat.
Egy a forrshoz kzel elhelyezett norml ACL olyan hlzati forgalmakat is blokkolhat,
amelyeket egybknt t kellene engednie.
A clhoz kzel elhelyezett ACL sajnos egy vagy tbb hlzati szegmensen t lehetv teszi
a forgalom ramlst, mg mieltt azok tiltsra kerlnnek. Ez az rtkes svszlessg
pazarlst jelenti.
Egy kiterjesztett ACL hasznlata megoldst jelent mindkt elbb emltett problmra.
Azokra a csomagokra, melyek nem a blokkolt hlzat fel tartanak, nem lesz hatsa. A
lehetsges hlzati tvonalon tallhat forgalomirnytk soha nem fognak tallkozni a tiltott
csomagokkal, s ez hozzjrul a svszlessggel val takarkoskodshoz.

Cisco 3. Féléves Tananyag

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cisco 3. Féléves Tananyag

Uploaded by

Copyright:

Available Formats

Vllalati Hlzat

A vllalat zleti folyamatainak tmogatsa

ttermi s szolgltati franchise hlzatok

llami s kzigazgatsi szervezetek

A nagymret zleti vllalkozsokat kiszolgl szmtgpes hlzatokat nevezzk

Kritikus zleti alkalmazsokat futtatnak

Konverglt hlzati forgalmat bonyoltanak

Kzpontostott felgyeletet ignyelnek

Szertegaz zleti ignyeket elgtenek ki

A vllalkozsok hlzati infrastruktrjnak kritikus zleti folyamatokat kell

A hozzfrsi rteg a felhasznlk szmra nyjt hlzati kapcsolatot. Az

Kapcsoldsi pontot biztost a nagyvllalati hlzat vgfelhasznli eszkzei

Ugyanazon a logikai hlzaton tallhatk.

Ugyanazon a logikai hlzaton tallhat llomsok fel tovbbtja a forgalmat.

Ha a csomag egy msik hlzaton tallhat llomsnak szl, az zenetet

Kapcsoldsi pontot biztost a klnbz helyi hlzatoknak.

A helyi hlzatok kzti informciramlst szablyozza.

Biztostja, hogy az azonos helyi hlzaton tallhat eszkzk kzti forgalom

Tovbbtja a ms hlzatokba irnyul forgalmat.

Biztonsgi s hlzatfelgyeleti okokbl szri a bejv s kimen forgalmat.

A hozzfrsi rtegnl erteljesebb kapcsolkat s forgalomirnytkat

Ha a clhlzat nem kapcsoldik kzvetlenl, akkor tadja az adatokat a

Redundns (tartalk) kapcsolatokat tartalmaz, nagy sebessg gerincet

Nagy mennyisg adatot szllt a szmos vghlzat kzt.

Igen erteljes, nagy sebessg kapcsolkbl s forgalomirnytkbl ll.

A Forgalom Alakulsa a Nagyvllalati Hlzatban

Vllalati telephely (Enterprise Campus): A hlzati infrastruktrt, a

Vllalati hatrvonal (Enterprise Edge): Az internet, a VPN s a WAN modulok

Szolgltati hatrvonal (Service Provider Edge): Internet-, nyilvnos kapcsolt

Minden az ECNM (Enterprise Composite Network Model sszetett vllalati

Ez az elosztsi rtegbeli modul 3. rtegbeli eszkzkkel valstja meg az plet szint

A hibatartomny az a hlzatszakasz, melyet kzvetlenl rint egy kulcsfontossg

Az zemeltet szervezet felels az infrastruktra kialaktsrt s

Az Ethernet a leggyakrabban alkalmazott technolgia.

A hlzat jellemzen a hozzfrsi- s az elosztsi rtegre fkuszl.

A LAN biztostja a felhasznlk kapcsoldst, valamint helyi alkalmazsok s

Az sszekapcsolt eszkzk jellemzen egy behatrolt terleten pldul egy

Az sszekapcsolt telephelyek fldrajzilag tvol helyezkednek el egymstl.

A WAN-hoz trtn csatlakozs kln eszkz modem vagy CSU/DSU

A szolgltatsokat az ISP nyjtja. A tipikus WAN szolgltatsok kz tartozik a

Az infrastruktra kialaktsa s felgyelete az ISP feladata.

A hatreszkzk alaktjk t az Ethernet begyazst soros WAN

A cgek jellemzen ezen a privt hlzaton vagy intraneten keresztl biztostjk a

Kzvetlen WAN kapcsolat

Kulcs-alkalmazsoktvoli belpssel trtn elrse

VPN kapcsolds a vdett hlzathoz

Extranetnek hvjuk az olyan intranetet, ami kls kapcsoldst biztost a vllalat

bels biztonsgi ments s adattkrzs

telephelyen belli hangtvitel

Ms forgalomtpusok elfordulhatnak a hlzaton bell s a WAN kapcsolatokon is.

vllalati elektronikus levelezs

A WAN kapcsolati forgalom mellett kls forgalomnak szmt az internetrl

Alkalmazsok s forgalom vllalati hlzaton

nem ismerjk a hlzati forgalom sszetevit, akkor a forgalom, tovbbi elemzs

Mindig a forgalmi cscs kzelben rgztsk a csomagokat, gy megfelelen

Mivel bizonyos forgalomtpusok adott helyhez kthetek, mindig vegynk

A csomagvizsgl alkalmazssal gyjttt mintk alapjn meghatrozhatk a forgalmi

Prioritsok a hlzati forgalomban

A szolgltatsminsg (Quality of Service QoS) olyan folyamat, ami egy adott

A forrs s a cl kzti sszes kommunikcit titkostja a biztonsgos begyazst

Vllalatok Hlzati Infrastruktrjnak megismerse

A hlzati szolgltats kzpont

lpadl biztostja, hogy a kbelezs s az ramellts a padl alatt jusson el

Nagyteljestmny sznetmentes ramforrs s lgkondicionl berendezs