Luminia SCRIPCARIU Bazele reelelor de calculatoare

ntrzierile determinate de switch n procesul de transmisie a datelor devin importante

n transmisiile de date n timp real (voce, audio, video). Switch-urile definite pe nivelele OSI
3 sunt mai rapide dect routerele ntruct folosesc i metoda comutrii de circuite. De aceea,
s-a trecut la includerea unor matrici de comutaie n routerele clasice prin care conexiunile
paralele, simultane dintre mai muli utilizatori ai reelei de calculatoare sunt create asemenea
circuitelor virtuale telefonice.

III.5.4 PUNTI DE RETEA (BRIDGE)

Creterea volumului de date vehiculate n reelele de arie larg, n particular n

Internet i WWW, impune utilizarea unei limi de band tot mai mari i a unor sisteme de
operare mai rapide (Windows XP, Fedora Core LINUX etc.), care admit efectuarea simultan
a mai multor sarcini (multitasking), deci i a tranzaciilor multiple, simultane cu reeaua.
Creterea limii de band disponibile pentru utilizatorii unei reele locale, este
posibil prin segmentarea LAN n mai multe domenii de coliziune, folosind echipamente de
tip switch, bridge i/sau router, interconectate prin intermediul unei magistrale de date de
mare vitez (backbone), la nivelul creia se definete un alt domeniu de coliziune, distinct de
cele asociate segmentelor de reea formate.
Segmentarea LAN n subreele de dimensiuni mai mici permite simplificarea
procesului de administrare i limitarea blocajelor de trafic la un numr mai mic de noduri.
BRIDGE-ul sau puntea dintr-o reea de calculatoare este un echipament de reea care
lucreaz pe subnivelul MAC al modelului OSI, fiind denumit i releu de nivel 2 (Layer 2
Relay) (fig. III.37).

Fig. III.37 Reprezentri grafice pentru puntea de reea (bridge)

(a) panoul frontal; (b) panoul din spate; (c) simbol grafic

161
Luminia SCRIPCARIU Bazele reelelor de calculatoare

Puntea interconecteaz mai multe segmente de LAN pentru a realiza o reea local
extins (Extended LAN), cu mai multe noduri dect numrul maxim prevzut de standardele
de reea, respectiv la distane mai mari dect cele impuse prin limitrile cauzate de
caracteristicile fiecrui mediu fizic de transmisie (lungime maxim a segmentului de cablu;
numr maxim de segmente interconectate prin repetoare sau hub-uri conform regulii Ethernet
5-4-3 etc).
Bridge-ul lucreaz pe nivelul legturii de date cu cadre de date (data frame), deci n
mod transparent fa de protocoalele definite pe nivelele OSI superioare i independent de
protocoalele de reea aplicate (TCP/IP, IPX/SPX etc).
Accesul la mediul fizic de transmisie se realizeaz n baza standardului de reea
utilizat deci este posibil s apar ntrzieri n transferul cadrelor prin punte ntruct este
necesar stocarea lor. Puntea citete cmpurile de adres MAC ale sursei i destinaiei i
retransmite fiecare cadru ctre reeaua n care se gsete destinaia (store-and-forward).
Este posibil filtrarea inteligent a cadrelor pe baza adreselor MAC ceea ce permite
reducerea ncrcrii reelelor, creterea limii de band disponibile, controlul accesului i
securizarea transmisiei la nivelul punii.
O punte poate interconecta segmente de LAN avnd medii fizice de transmisie diferite
(UTP, cablu coaxial, fibr optic), dar care lucreaz pe baza aceluiai protocol de nivel 2 (de
exemplu, Fast Ethernet: 100 BASE-T; 100 BASE-2; 100 BASE-5 etc).
O punte este prevzut cu diferite porturi fizice care pot asigura fiecare accesul
multiplu la nivelul lor, dac se configureaz n mod adecvat cu mai multe interfee logice
(ppp; fr).
Dac puntea dispune de un port pentru legtur n WAN, atunci ea poate fi utilizat
pentru realizarea unui LAN extins (Extended LAN) din mai multe reele locale din WAN,
separate geografic, i poate fi configurat 'de la distan' (remote bridge).
Fiecare punte permite intrarea sau transferul cadrelor din reeaua central n cea local
numai dac destinaia aparine acesteia din urm. n caz contrar cadrul nu este transferat prin
bridge. De asemenea, un cadru trimis din LAN-ul propriu este transferat de punte n reeaua
de legtur, pe magistrala de date de mare vitez (backbone), numai dac destinaia nu se
gsete n acelai LAN cu sursa. Dac se face o transmisie ntre dou terminale din interiorul
aceluiai LAN, atunci cadrul nu este transferat de puntea proprie n reeaua central.
n figura III.38 este reprezentat o reea local extins cu puni.

162
Luminia SCRIPCARIU Bazele reelelor de calculatoare

Fig. III.38 Reea LAN extins cu puni de reea

Un mesaj transmis de staia A1 ctre staia C2 va fi transferat prin puntea B1 n

reeaua de legtur, preluat de puntea B2 i retransmis staiei C2. Mesajul nu trece prin
puntea B3.
Puntea memoreaz adresele nodurilor din reeaua local proprie ntr-un tabel de
adrese. Tabelul punii conine numele interfeelor i adresele MAC ale echipamentelor direct
conectate la fiecare dintre acestea.
Dac adresa destinaiei nu este cunoscut, atunci mesajul respectiv este transmis prin
broadcast ctre toate staiile.
Tabelul III.3 exemplific intrrile n puntea B1, cu dou interfee Ethernet (eth0 ;
eth1), cu 3 staii n reeaua proprie i o conexiune la magistrala principal. Staiile sunt
conectate la interfaa eth0.
Pe baza tabelului de comutare, puntea ia decizii referitoare la dirijarea cadrelor de date
n reea. Cadrele pentru care se specific o anumit cale spre destinaie sunt transferate
necondiionat, fr a se mai folosi tabelul punii.

163
Luminia SCRIPCARIU Bazele reelelor de calculatoare

Tabel III.3 Tabelul punii

Interfa Adresa MAC a nodului de reea
Eth 0 00-23-A1-52-BF-CE
Eth 0 00-23-A1-70-59-43
Eth 0 00-23-A1-41-DA-03
Eth 1 51-88-A3-22-4C-F0

n situaia n care adresa destinaiei este inexistent i exist bucle n topologia reelei,
mesajul se poate propaga la infinit, producnd aa-numitul fenomen de 'furtun de difuzare'
(broadcast storm). Acest fenomen este mai puternic dac un mesaj este destinat unui nod
care nu aparine reelei proprii i este trecut prin mai multe puni ctre aa-zisa destinaie.
Broadcast-ul se realizeaz atunci la nivelul fiecrei puni i fenomenul ia amploare. Deducem
c punile sunt ineficiente i chiar neindicate n reelele cu topologie redundant.
n reelele de arie larg cu topologie fizic de tip 'plas' (mesh), unele puni permit
utilizarea cilor multiple (redundante) de transmisie i alegerea cii optime dintre surs i
destinaie aplicnd algoritmul de deducere a drumului minim dintr-un graf (STA Spanning-
Tree Algorithm). De asemenea, pentru WAN, se pot defini la nivelul punii ierarhii de
prioriti pentru reducerea ntrzierilor de transmisie a anumitor cadre.
Comutarea de pachete prin intermediul punilor de transmisie se realizeaz prin
algoritmi software, ceea ce determin apariia unor ntrzieri de transmisie cauzate de
procesele logice de decizie. Segmentarea reelelor locale cu puni determin o cretere a
timpului de transmisie de pn la 30 %. Avantajoas este posibilitatea definirii filtrelor de
trafic la nivelul punii.
Spre deosebire de punile de reea, comutarea de pachete prin switch este un proces
mai rapid care se realizeaz prin intermediul unei structuri hardware (matricea de comutaie)
la care calculatoarele sunt direct conectate.
Prin utilizarea switch-urilor se observ formarea mai multor domenii de coliziune, dar
meninerea unui singur domeniu de braodcast i imposibilitatea limitrii vitezei de trafic prin
switch. Ca avantaje ale switch-urilor trebuie remarcate viteza mare de comutare i
posibilitatea definirii reelelor locale virtuale (VLAN - Virtual LAN).
Procesul de comunicaie prin punte (bridging process) este complex i se realizeaz n
dou etape:

164
Luminia SCRIPCARIU Bazele reelelor de calculatoare

1. procesul de nvare (learning process) se realizeaz n mod adaptiv i const n

'nvarea' adreselor MAC ale tuturor staiilor dintr-un LAN extins. La primirea unui cadru,
puntea caut adresa MAC a sursei n harta staiilor (station map) i dac nu o gsete, atunci
o include n aceasta. Se iniializeaz contorul pentru msurarea duratei intervalului de timp n
care puntea cunoate aceast adres (aging timer). Contorul este reiniializat de fiecare dat
cnd se recepioneaz o adres cunoscut. La expirarea acestui timp, adresa staiei respective
este tears din harta staiilor. Orice cadru recepionat care are adresa de destinaie cunoscut
(inclus n harta staiilor) este transmis pe portul corespunztor staiei respective.
2. procesul de transferare (forwarding process). Orice cadru recepionat este preluat
de punte cu condiia ca adresa destinaiei s aparin LAN-ului respectiv i numai dac portul
pe care a fost primit este n starea activ (forwarding state). Dac adresa destinaiei apare n
harta staiilor atunci cadrul este transferat pe portul respectiv. n cazul n care adresa
destinaiei nu este inclus n harta staiilor, cadrul este retransmis pe toate porturile punii
(flooding) cu excepia celui de pe care a fost recepionat. Cadrul este transferat de un port
numai dac acesta este activ. n caz contrar, cadrul este descrcat din memoria punii i datele
se pierd. Procesul de transfer a cadrelor prin punte poate fi controlat prin filtrare. Rata de
transfer a cadrelor la nivelul punii poate avea valori cuprinse ntre 700 i 30.000 pachete pe
secund.
Porturile unei puni, definite ca tip i numr, pot s se gseasc n una din urmtoarele
cinci stri:
1. starea inactiv (disabled) - nu se face nici o operaie la nivelul portului;
2. starea de 'ascultare' (listening) - se pot recepiona cadre;
3. starea de 'nvare' (learning) - se recepioneaz cadrele i se realizeaz harta
staiilor;
4. starea activ (forwarding) - se recepioneaz i se transfer cadre prin portul
respectiv iar algoritmul 'spanning tree' (STA)
este activat;
5. starea de blocare (blocking) - transferul de cadre prin port este inactiv dar
algoritmul STA este activ pentru operare la
nivelul portului.
Exist puni care permit realizarea transmisiilor de tip 'broadcast' sau 'multicast' la
cerere' (on-demand bridge). Acest fapt poate conduce la ncrcarea excesiv a reelelor ceea

165
Luminia SCRIPCARIU Bazele reelelor de calculatoare

ce impune configurarea adecvat a echipamentelor pentru filtrarea sever a traficului. n acest

caz nu se aplic algoritmul 'spanning tree'.
Urmrirea funcionrii unei puni se face cu protocoale de management de reea
(SNMP) folosind baze de date separate (Bridge MIB).
Clasificarea punilor se poate face pe mai multe criterii.
n funcie de arhitectura LAN utilizat, punile se mpart n:
1. puni transparente (transparent bridges) care interconecteaz segmente de LAN
cu acelai protocol la nivelul legturii de date;
2. puni de translare (translating bridge sau multiprotocol bridge) care realizeaz
conversia formatului cadrului de date dintr-un standard n altul (de exemplu, Ethernet i
Token-Ring) i sunt prevzute cu mai multe plci de reea.
3. puni de ncapsulare (encapsulating bridge) pentru interconectarea unui LAN
Ethernet cu unul FDDI.
Punile "transparente" nu cer utilizatorului s specifice calea ctre destinaie i de
aceea utilizeaz un tabel de adresare. Celelalte tipuri de puni, denumite i "puni-surs"
transfer cadrul pe calea impus de nodul-surs.
n funcie de localizarea lor, punile pot fi:
1. puni locale (local bridge) care interconecteaz dou LAN-uri direct printr-un
anumit mediu de transmisie. Acestea conin mai multe plci de reea i pot face conversia de
la un mediu la altul.
2. puni 'la distan' (remote bridge) conin plci de reea pentru conectarea la
diverse LAN-uri precum i porturi de acces 'la distan' n WAN prin modemuri i un port
serial (RS-232). Ele realizeaz compresia datelor pentru reducerea limii de band ocupate,
sunt monitorizate prin SNMP i suport Telnet pentru configurarea lor 'de la distan'.
n reelele WAN 'fr fir' (wireless) se utilizeaz perechi de puni de transmisie 'fr
fir' (wireless bridge) pentru legturi la distane mari (de peste 5 km), care suport STA,
filtrare bazat pe adrese MAC, SNMP, criptare de date i protecie contra fenomenului
'broadcast storm'.
O alt clasificare a punilor de reea se poate face pe criteriul numrului i tipurilor de
porturi disponibile la nivelul acestora (Fig. III.39):
1. punte de tip 'backbone' pentru conectarea unui segment de LAN la o magistral
de date ;

166
Luminia SCRIPCARIU Bazele reelelor de calculatoare

2. punte 'multiport' care poate interconecta dou sau mai multe segmente de LAN.

(a)

(b)
Fig. III.39 Conexiuni prin punte:
(a) punte de tip backbone; (b) punte multiport

167
Luminia SCRIPCARIU Bazele reelelor de calculatoare

Performanele unei puni se apreciaz prin urmtorii parametri:

1. rata de transfer fr erori;
2. rata de pierdere a pachetelor;
3. ntrzierea de transmisie (se minimizeaz prin folosirea unui procesor rapid de
comunicaie n punte).
Configurarea prin soft a unei puni include:
1. definirea porturilor, fizice, respectiv logice (de exemplu: eth0; eth1; ppp0; ppp1;
ppp2) ;
2. definirea protocoalelor pentru care se aplic procesul de 'bridging' (ARP; Novell;
AppleTalk .a.), eventual activarea algoritmului 'spanning tree';
3. definirea grupurilor de utilizatori;
4. definirea filtrelor de includere a utilizatorilor autorizai sau de excludere a anumitor
cadre (de exemplu, ncapsulate conform anumitor standarde sau de dimensiuni prea mari).
Rata de filtrare a unei puni variaz de la 7000 la 60.000 de cadre pe secund.
Observaie : O punte de comunicaie ntre dou noduri de tip 'poart de reea'
(gateway) se poate configura prin software i la nivelul unui calculator cu minimum dou
plci de reea, folosit pentru interconectarea a dou LAN-uri diferite.
In ultimii ani, s-au adugat tot mai multe faciliti punilor (tabel de adresare extins,
debit ridicat, diversitate mare de interfee etc.), astfel c diferenele dintre puni i routere se
reduc. Integrarea unor funcii de rutare este realizat prin ncrcarea software-ului specific
platformelor hardware disponibile. Au aprut astfel echipamente care lucreaz pe nivele OSI
superioare celui pentru care au fost definite iniial.

III.6 ECHIPAMENTE DE NIVEL RETEA (ROUTER)

Echipamentul de dirijare a pachetelor (router) este un echipament de comunicaie

de nivel reea (layer 3 device) care utilizeaz algoritmi specifici de deducere a cii optime de
transfer a datelor ntr-o reea de arie larg avnd ci redundante, pe baza informaiilor pe care
le deine referitor la topologia i starea reelei.

168
Luminia SCRIPCARIU Bazele reelelor de calculatoare

Rutarea este operaia de dirijare a datelor ntre dou noduri prin stabilirea 'drumului
minim' din graful asociat topologiei fizice sau celei logice a unei reele folosind un algoritm
STA (Spanning-Tree Algorithm).
Orice LAN poate comunica ntr-un WAN dac este conectat la aceasta printr-un
router, denumit i poart de reea (gateway). Routerul maximizeaz ratele de transfer i de
filtrare a pachetelor.
Un router folosit pentru conectarea unui LAN n WAN, la nivelul cruia se aplic o
anumit politic de securitate, se numete i echipament de tip 'zid de protecie' (firewall).
n figura III.40 sunt prezentate cteva moduri de reprezentare grafic a routerelor n
diagramele de reea.

Fig. III.40 Reprezentri grafice ale routerului

Un router poate transfera date ntre LAN-uri diferite ca standard de transmisie

(Ethernet, FDDI, ATM) fiind prevzut cu diverse interfee avnd adrese individuale.
Routerele pot face conversiile necesare ale formatului pachetelor n cazul interconectrii unor
segmente de reea cu standarde i protocoale diferite.
Routerele sunt prevzute n general cu mai multe interfee fizice (eth, bri, pri, RS-
232).
La nivelul acestora se pot configura diverse interfee logice. De exemplu, pe o
interfa Ethernet se pot defini mai multe interfee ppp (PPP - Point-to-Point Protocol) pentru
transmisii TDM, avnd alocate adrese de nivel-reea proprii care sunt folosite pentru rutarea
pachetelor.
PPP, ca protocol de nivel OSI 2, ncapsuleaz n mod transparent datagramele
transmise pe legturi seriale lucrnd ca multiplexor/demultiplexor pe aceste linii. PPP (RFC
1717) este responsabil de aplicarea protocoalelor de autentificare PAP (Password
Authentication Protocol) i CHAP (Challenge Handshake Authentication Protocol). PPP

169
Luminia SCRIPCARIU Bazele reelelor de calculatoare

negociaz cu utilizatorii numele de utilizator i parolele dar exist riscul interceptrii lor
ntruct aceste informaii nu sunt transmise criptat prin reea. De aceea, se recomand
schimbarea periodic a parolelor. ntre routerele aflate la 'distan' se pot aplica diverse
procedee de criptografiere pentru securizarea comunicaiei.
Rutarea pachetelor, mai precis transferul pachetelor n interiorul routerului ctre un
anumit port de ieire din router, se face pe baza tabelului de rutare, care asociaz adresele
reelelor de destinaie posibile cu interfeele de ieire din router. Routerul realizeaz deci
operaia de comutare a pachetelor (switching) pe interfaa corespunztoare. Pentru adrese de
destinaie neincluse explicit n tabelul de rutare, se definete o rut implicit (default route).
Din cadrul recepionat se extrage pachetul i se citete adresa de nivel OSI 3 a staiei
de destinaie. Aplicndu-se acesteia masca de reea se deduce adresa reelei de destinaie,
urmnd s se ia decizia de comutare pe o anumit interfa a routerului prin deducerea rutei
optime.
Se observ c n locul adreselor de destinaie individuale, n tabelele de rutare se
folosesc adresele de reea, deduse prin aplicarea mtilor de reea adreselor de destinaie
utiliznd operaia I logic. Acest fapt permite reducerea dimensiunilor tabelelor de rutare i
implicit a timpului de gsire a rutei optime.
Tabelul de rutare poate fi configurat static, de ctre administratorul de reea, sau
dinamic, prin intermediul protocoalelor de rutare.
Rutarea static nu permite reactualizarea la timp a tabelelor de rutare i este practic
ineficient n cazul utilizrii protocoalelor de adresare dinamic.
Exemplu: n figura III.41, o staie din LAN A transmite pachete ctre o staie din LAN
D, printr-o reea de transport cu patru routere.
LAN A este conectat la interfaa Eth 0 a routerului 1. Un pachet trimis din LAN A
spre LAN D, poate fi transferat fie prin interfaa Eth 1, fie prin Eth 2. Routerul transmite
pachetul pe ruta optim, cea de rezerv urmnd a fi utilizat n cazul ntreruperii traficului pe
prima rut.
Pentru un pachet avnd LAN D ca destinaie, n tabelul de rutare al routerului 1, se
includ dou ci, cu precizarea cii optime (Tabel III.4).
Criteriul de optim poate viza numrul de routere intermediare (hops), viteza de
transfer, riscul de coliziune etc.

170
Luminia SCRIPCARIU Bazele reelelor de calculatoare

Tabel III.4
Intrri n tabelul de rutare al routerului 1 cu destinaia LAN D
LAN destinaie Interfaa de ieire Optim
LAN D Eth 1 +
LAN D Eth 2 -

Fig. III.41 Interconectarea reelelor locale prin routere

Pentru aplicarea algoritmului drumului minim, n graful reelei de transport (cu

routere) nu trebuie s apar bucle. Se folosete o anumit metric pentru stabilirea 'drumului
minim' dintre dou noduri din graful reelei (numr de routere sau 'hopuri' prin care se face
transferul, ntrziere de transmisie, risc minim de coliziune etc).
La nivelul interfeei de ieire din router, pachetul este rencapsulat ntr-un cadru,
conform standardului de nivel OSI 2 aplicat pe acea interfa.
n reelele WAN mixte (de exemplu, Ethernet i Token-Ring) se poate folosi acelai
protocol de nivel-reea (de exemplu, IP) i acelai mod de adresare de nivel OSI 3, dar
formate diferite pentru cadrele definite pe nivelul OSI 2.

171
Luminia SCRIPCARIU Bazele reelelor de calculatoare

De fiecare dat cnd topologia reelei se modific (prin dezvoltarea sau reconfigurarea
reelei ori din cauza coliziunile sau congestiilor de trafic), este necesar reactualizarea
tabelelor de rutare (reconvergence). Timpul de reconversie a tabelelor depinde de protocolul
de rutare aplicat. Dac routerele din WAN nu dispun toate de aceleai informaii topologice,
atunci este posibil s se ia decizii de rutare incorecte sau inaplicabile. Dac un router nu poate
expedia un pachet (destination unreachable), atunci se transmite ctre surs un mesaj de
eroare (de exemplu, prin intermediul ICMP).
Protocoalele care utilizeaz modul de adresare ierarhizat definit pe nivelul OSI 3 se
numesc protocoale rutabile.
De exemplu, IP, FTP, IPX, AFP (AppleTalk) sunt protocoale rutabile.
Orice protocol care nu utilizeaz adrese definite pe nivelul de reea este considerat
protocol nerutabil. De exemplu, protocolul NetBeui utilizat pentru managementul unui LAN
este nerutabil i pachetele transmise de acesta vor fi transferate de router prin procedeul de
bridging.
Dac ntr-o reea un anumit protocol (de exemplu, IP) este definit ca protocol rutabil,
atunci cadrele transmise de un router IP definite cu un protocol nerutabil (cadrele non-IP) vor
fi retransmise de acesta prin procesul de 'bridging'.
Un router definit pe un singur protocol de reea are avantajul c tie exact unde se
gsete n pachet adresa destinaiei i proceseaz rapid datele. n plus, prin citirea tipului
protocolului de reea n cadrul de date (de exemplu, n cadrul Ethernet), routerul poate
transfera datele numai n reeaua care lucreaz cu acel protocol. Astfel se reduce ncrcarea
reelei i se pot defini prioriti de transmisie.
Routerele multiprotocol lucreaz cu structuri diferite de pachete, cu diverse formate
ale adresei de destinaie, ceea ce ngreuiaz procesul de rutare i determin ntrzieri de
transmisie mai mari (30 % - 40 %). De aceea, n multe cazuri, se prefer interconectarea
LAN-urilor cu switch-uri de nivel 3 sau 4.
Un router definit pentru IP este numit router IP sau gateway ('poart de reea'). n
prezent, un gateway poate lucra i la nivelele superioare celui de reea din modelul OSI,
termenul fiind utilizat ntr-un sens mult mai larg dect cel de router IP.
Rutarea IP se poate face n dou moduri:
1. static, caz n care administratorul de reea introduce manual rutele n tabelul de
rutare, specificnd pentru fiecare adres a reelei de destinaie:

172
Luminia SCRIPCARIU Bazele reelelor de calculatoare

- adresa interfeei de ieire din router;

- adresa urmtorului router (next Hop);
- eventual metrica de cale.
Rutarea se face simplu, pe baza tabelului de rutare. Din adresa destinaiei, prin
aplicarea mtii de reea, se deduce adresa reelei de destinaie i pachetul este transferat pe
portul de ieire corespunztor. Metoda nu asigur deducerea cii optime i nu elimin riscul
congestiilor de trafic.
2. dinamic, prin reactualizarea tabelelor de rutare atunci cnd apar modificri ale
adreselor reelelor sau subreelelor, ale metricii utilizate sau coliziuni n WAN. Acest mod de
rutare permite deducerea cii optime dintre reeaua-surs i cea destinaie pentru reducerea
timpului, a costurilor de transmisie sau a riscului de coliziune.
Rutarea IP dinamic presupune alegerea protocolului de rutare (de exemplu, RIP
Routing Information Protocol sau OSPF Open Shortest Path First), stabilirea adreselor i a
mtilor de reea pentru toate reelele direct conectate la acel router.
ntruct spaiul de adrese IP este limitat, n numeroase reele se aloc utilizatorilor
adrese IP private care nu trebuie confundate cu adresele IP reale (public address) alocate de
InterNIC. Rutarea pachetelor se face pe baza adreselor IP reale alocate interfeelor routerelor
de ieire n WAN, folosind procedeul NAT de translare a adreselor.
Routerele IP admit definirea reelelor locale virtuale (VLAN - Virtual LAN), constnd
n gruparea logic a nodurilor reelei, fr a ine cont de segmentul fizic de care aparin. n
reelele Ethernet i Fast Ethernet bazate pe VLAN-uri, se utilizeaz protocolul STP
(Spanning-Tree Protocol), pentru a elimina buclele din graf i a evita apariia fenomenului
"broadcast storm", care determin creterea la infinit a numrului pachetelor transmise prin
broadcast ntr-o reea redundant. STP configureaz porturile pentru a realiza transferul sau
blocarea pachetelor pe anumite ci.
Numeroase organizaii care au sedii distribuite n arii geografice extinse utilizeaz
reele private virtuale (VPN Virtual Private Network), definite asemenea VLAN dar n care
se aplic diferite tehnici de securizare a transferurilor informaiilor.

Observaii:
1. Un router, dei este un echipament de comunicaie de nivel 3, poate fi configurat s
lucreze i ca bridge (BR - BRouter).

173
Luminia SCRIPCARIU Bazele reelelor de calculatoare

2. Un router poate lucra ca 'zid de protecie' (firewall) ntre dou LAN-uri

interconectate pentru eliminarea transmisiilor broadcast nedorite i a fenomenului de saturare
a reelelor (flooding), pentru securizarea traficului de pachete i asigurarea transparenei
legturii.
3. Segmentarea reelelor cu routere este mai avantajoas dect cea realizat cu bridge-
uri sau switch-uri, deoarece se lucreaz cu adrese de reea, respectiv cu o schem de adresare
ierarhizat, pe domenii de coliziune mai mici, aplicnd un algoritm de deducere a rutei
optime, ceea ce asigur fluena traficului i minimizeaz riscul de coliziune, dar determin
unele ntrzieri de transmisie.
4. Routerele nu retransmit cadre prin broadcast, ceea ce reduce ncrcarea reelelor.
Astfel, spre deosebire de switch-uri i bridge-uri, routerele delimiteaz domeniile de
broadcast.
5. Routerele pot fi configurate software, prin comenzi specifice, definite de firma
productoare.
6. Nu toate routerele recunosc subreelele. Routerele interne (internal router) dintr-un
LAN folosite pentru segmentare n subreele trebuie s lucreze cu adrese i mti de subreea.
Routerele de grani (boundary router) sau cele externe (external router), incluse n reeaua
de transport, vor folosi numai adrese i mti de reea.
7. Routerele pot afla mtile de reea prin cereri adresate unor servere de nume,
folosind protocolul ICMP.

III.7 ECHIPAMENTE DE SECURIZARE (FIREWALL)

Internetul este o reea cu foarte muli utilizatori din ntreaga lume i prin care se
transfer cantiti uriae de informaii.
Pentru aplicarea unei politici de securitate a reelei, se utilizeaz echipamente de
securizare de tip "zid de foc" (firewall) care aplic anumite reguli i constrngeri privind
accesul pe diferite interfee ale sale.
Un router poate fi configurat ca firewall. De asemenea, unele sisteme de operare (de
exemplu, Windows XP) au opiunea de activare a unui firewall intern.

174
Luminia SCRIPCARIU Bazele reelelor de calculatoare

Firewall-ul interconecteaz reeaua public i o reea privat, asigurnd securitatea

datelor vehiculate intern n reea i protecia reelei private fa de eventualele atacuri externe
(Fig.III.42).

Fig. III.42 Conectarea unei reele private la Internet

prin intermediul unui firewall

Un firewall are minimum dou interfee:

una pentru conexiunea dintre firewall i reeaua public (n particular, Internet-ul);
cealalt interconecteaz firewall-ul cu reeaua intern privat (intranet), care necesit
securizare.
Firewall-ul protejeaz reeaua privat de unele atacuri externe i restricioneaz
accesul din afar la resursele acesteia.
ntruct firewall-ul reprezint singura conexiune dintre reeaua privat i cea public,
la nivelul su se poate monitoriza traficul de pachete i se verific drepturile de acces ale
utilizatorilor din afara reelei interne (prin operaia de login).
n prezent, se utilizeaz dou tipuri de firewall:
1. Poart de aplicaii (Application Gateway) - varianta tradiional de firewall.
Orice conexiune ntre dou reele se face prin intermediul unui program de aplicaii
(proxy). O sesiune deschis n reeaua privat este ncheiat de proxy, dup care acesta
creeaz o nou sesiune spre nodul de destinaie.
Programul proxy se bazeaz pe particularitile suitei TCP/IP i este restrictiv pentru
alte suite de protocoale. Execuia acestui program necesit resurse relativ mari din partea
CPU.
La nivelul firewall-ului sunt admise numai acele protocoale pentru care sunt
configurate aplicaii proxy specifice. Cadrele bazate pe alte tipuri de protocoale sunt automat
rejectate.

175
Luminia SCRIPCARIU Bazele reelelor de calculatoare

n practic, se configureaz i firewall-uri transparente, care transfer cadrele ntre

cele dou sesiuni fr analiza prealabil a datelor.
2. Modul de inspecie dependent de stare (Stateful Inspection) sau de filtrare
dinamic a pachetelor, denumit i nod de control al accesului n funcie de context (CBAC -
Context-Based Access Control) - concept relativ nou de implementare a firewall-ului.
n aceast tehnologie, se preiau pachetele de date i se citesc antetele introduse de
protocolul de reea (IP) i de cele corespunztoare nivelelor OSI i TCP/IP superioare, pn
la nivelul de aplicaie.
Firewall-ul verific fiecare pachet care urmeaz s fie transferat i acord dreptul de
acces n funcie de adresele sursei i destinaiei, precum i de serviciul solicitat. Acest tip de
firewall realizeaz controlul fluxului cu memorie, astfel nct echipamentul este capabil s
recunoasc acele pachete transmise din reeaua public (extranet) ca rspuns la o cerere
adresat de un nod din reeaua intern (intranet), prin monitorizarea sesiunilor TCP. n
paralel, se rejecteaz toate pachetele transmise din reeaua public n cea intern, dar care nu
provin din traficul iniiat intern.
Prin acest nou concept, se asigur o procesare rapid i eficient a traficului de
informaii dintre Internet i reelele private, perfect adaptat noilor aplicaii Internet i
realizat cu resurse hardware relativ reduse.
Implementarea firewall-ului cu routere se face prin filtrarea dinamic a pachetelor i
controlul traficului pe baza regulii care stabilete c:
orice pachet transmis din reeaua intern ctre o destinaie extern este transferat de
firewall necondiionat, cu excepia cazurilor n care se impun constrngeri;
transferul oricrui pachet din reeaua public spre o destinaie din reeaua privat este
blocat de firewall, cu excepia cazurilor n care se admite accesul acestora n mod
explicit, prin configurarea adecvat a interfeelor publice referitor la accesul din
exterior.
Interfeele firewall-ului sunt deschise numai pe durata sesiunii iniiate de un utilizator
cu drept de acces.
Firewall-ul intercepteaz orice conexiune stabilit prin TCP i o continu numai dup
verificarea prealabil a legturii. Acest lucru previne atacurile din exterior asupra reelei
private, prin distrugerea cadrelor transmise prin TCP fr drept de acces.

176
Luminia SCRIPCARIU Bazele reelelor de calculatoare

Firewall-ul poate fi configurat n vederea limitrii accesului utilizatorilor din reeaua

intern n cea public.
Mesajele generate prin ICMP pot fi transferate sau blocate de firewall n funcie de
modul de configurare a acestuia.
Pentru evenimentele semnificative care apar la nivelul firewall-ului se pot trimite
mesaje de ntiinare ctre nodurile de destinaie accesate.
Echipamentele de tip firewall admit diverse protocoale de aplicaie: FTP, NETBIOS,
GRE, OSPF, RSVP (ReSerVation Protocol), VDOnet's VDOLive, Microsoft's NetShow etc.
Firewall-ul protejeaz reeaua privat fa de atacurile externe de tip "inundare" cu
pachete (flooding), cu pachete PING ilegale sau ICMP generate n numr excesiv, atacuri
Smurf cu pachete avnd adresa IP din spaiul de adrese alocat reelei private, de cele mai
multe ori fiind chiar adresa de broadcast a acesteia, scanare a porturilor.
Firewall-ul permite controlul i monitorizarea accesului (Logging Facility) n reeaua
privat dar numai pentru sesiunile create pe baza protocolului Internet, nu i pentru alte suite
de protocoale (Appletalk, DECnet, IPX/SPX).
Politica de securitate aplicat de firewall stabilete regulile pe baza crora se admite
sau se blocheaz transferul pachetelor ntre reeaua privat i cea public.
Un firewall devine activ numai dup ce au fost configurate cel puin o interfa
public i una privat i s-au stabilit regulile de acces la nivelul acestora.
Traficul ntre dou interfee ale firewall-ului nesupuse politicii de securitate se
desfoar normal, fr restricii.
Transferul pachetelor de la o interfa nesecurizat ctre una securizat este automat
blocat.
Firewall-ul controleaz traficul de pachete pe baza adreselor fizice sau IP, a porturilor
de aplicaie i chiar a zilei sau orei la care se acceseaz reeaua.
Politica de securitate se aplic pe baza listelor de acces stocate n routere sau n
servere RADIUS (Remote Authentication Dial In User Service).
RADIUS este un protocol de autentificare, configurare i contorizare a transferurilor
ntre firewall, ca server de control a accesului (Network Access Server) i un server RADIUS
care deine baza de date cu informaii despre utilizatorii reelei (nume de utilizatori i parole),
modul de configurare a reelei (adrese IP, mti de reele i de subreele etc), precum i
despre sesiunile stabilite anterior, sub forma unui istoric al evenimentelor din reea.

177
Luminia SCRIPCARIU Bazele reelelor de calculatoare

Firewall-ul este clientul RADIUS care adreseaz cererea de autentificare ctre

serverele RADIUS, pentru accesarea listelor de acces. Acestea sunt fiiere de tip 'text' (.txt),
codate ASCII, care includ liste de adrese IP sau MAC.
Listele de acces bazate pe adrese IP includ adrese IP individuale, eventual numele
calculatoarelor-gazd, domeniul de adrese IP al unei reele i eventual unele comentarii care
faciliteaz administrarea acestor liste.
Listele de acces cu adrese fizice includ adrese MAC individuale ale componentelor
reelei, eventual numele staiilor i comentarii ajuttoare.
Numrul maxim de liste de acces care pot fi stocate pe un router, precum i
dimensiunile acestora este n general limitat.
Pentru un spaiu de adrese extins se prefer utilizarea unui server RADIUS care s
gestioneze eficient aceste liste, pentru a reduce ntrzierile de trafic produse de routere.
n acest caz, routerul devine un simplu client RADIUS care adreseaz cererea de
autentificare ctre serverul RADIUS i primete un rspuns din partea acestuia.

Observaii:
1. Filtrarea dinamic a pachetelor se realizeaz la nivelul firewall-ului prin politica de
securitate dar i prin procedeele de translare a adreselor private n adrese publice
(NAT; ENAT - Enhanced NAT). Pentru a evita dubla filtrare a pachetelor n routere,
se dezactiveaz serviciul NAT pe durata activrii firewall-ului.
2. Se poate monitoriza activitatea firewall-ului, mai precis evenimentele care se
desfoar la nivelul su:
accesarea adreselor de e-mail;
desfurarea sesiunilor Telnet de acces de la distan n reeaua privat;
comunicarea pe porturi asincrone (de exemplu, interfee seriale);
accesarea agenilor SNMP.

178
Luminia SCRIPCARIU Bazele reelelor de calculatoare

III.8 Test-gril 3

III.1 Zona decablare orizontal nu include:

cabluri
conectori
hub-uri
routere

III.2 La capetele unui cablu de transmisie folosit ca magistral de date conductoarele

metalice trebuie:
lsate n gol
puse n scurt
legate la pmnt
conectate la o terminaie cu aceeai impedan ca i cablul

III.3 Dimensiunea 24 AWG este echivalent cu:

0,24 mm
2,4 mm
24 mm
2,4 cm

III.4 Torsadarea firelor dintr-un cablu de telecomunicaii este folosit pentru:

reducerea efectelor EMI externe
reducerea efectelor RFI externe
creterea rezistenei mecanice
reducerea efectelor EMI din interiorul cablului

III.5 Cablul UTP pentru reelele Ethernet folosete pentru transmisia i recepia
datelor perechile de fire:
1-2 i 3-4
1-2 i 4-5
1-2 i 3-6

179
Luminia SCRIPCARIU Bazele reelelor de calculatoare

1-2 i 7-8

III.6 n zone cu fenomene EMI i RFI puternice, nu se utilizeaz cabluri:

FTP
UTP
optice
coaxiale

III.7 ntr-o reea 100 Base-5 se poate folosi cablu de tip:

RG - 8
RG - 58
RG - 59
RG - 62

III.8 ntr-o reea cu cablu optic, pentru transmisia semnalului luminos la distane mari
se folosesc:
LED-uri
diode LASER
fotodiode
fototranzistori

III.9 O fibr optic unimod poate avea dimensiunile (n microni):

10/125
50/125
62,5/125
100/140

III.10 O interfa Ultra 3 SCSI care lucreaz pe 64 de bii la 10 MHz are viteza de:
64 Mbps
64 MBps
80 Mbps
80 MBps

180