Professional Documents
Culture Documents
תקשוב ג - מיקוד 2014
תקשוב ג - מיקוד 2014
תקשוב ג'
תוכן
פרק - 1מיתוג ברשת המקומית3 .............................................................................................. .
תכנון רשת3 ....................................................................................................................... .
רשת היררכית6 .................................................................................................................. .
פרוטוקול אתרנט 11 .............................................................................................................
פרוטוקולי גישה לרשת13 ......................................................................................................
מודל השכבות 14 .................................................................................................................
18 .................................................................................................... Virtual LAN – VLAN
23 ................................................................................... VLAN Trunking Protocol -VTP
פרק – 2טכנולוגיות אלחוטיות26 ............................................................................................. .
תקנים ברשת אלחוט 27 ........................................................................................................
רכיבי הרשת האלחוטית 28 ....................................................................................................
הגדרת נקודת גישה אלחוטית 30 .................................................................................... AP -
סכנות ברשת אלחוטית 31 .....................................................................................................
דרכים להגנה על הרשת האלחוטית 31 ....................................................................................
פרק – 3חיבור לאינטרנט באמצעות 35 ............................................................................... .ISP
מה זה אינטרנט? 35 .............................................................................................................
35 ............................................................................................................................... ISP
אפשרויות חיבור ל35 .................................................................................................... ISP -
שירותי 36 ..................................................................................................................... ISP
פרק – 4מבוא לרשת רחבה 38 .................................................... Wide Area Network – WAN
WANבמודל השכבות 39 .............................................................................................. OSI
עקרונות המיתוג ברשת 41 ........................................................................................... WAN
45 .............................................................................................................................. VPN
פרוטוקולים ב45 ....................................................................................................... WAN -
פרק – 5פרוטוקולים לניתוב ברשת רחבה55 ............................................................................. .
ניתוב סטטי 55 .....................................................................................................................
ניתוב דינמי 58 .....................................................................................................................
פרק – 6אבטחה ברשת רחבה –66 .................................................................................... ACL
פרק – 7שירותי עבודה מרחוק74 ............................................................................................. .
פרק – 8שירותי כתובות74 ...................................................................................................... .
CIDRלעומת 74 .................................................................................................... VLSM
75 ........................................................................................................................... DHCP
80 .............................................................................................................................. NAT
תכנון רשת.
טופולוגיה פיזית מתארת את המבנה הפיזי של תשתית הרשת .התרשים הפיזי מתאר היכן
נמצא כל מארח וכיצד הוא מחובר לרשת .התרשים הפיזית מתאר גם היכן עובר החיווט והיכן
נמצאים אביזרי הרשת המחברים את המחשבים.
טופולוגיה לוגית מתארת את המבנה הלוגי של תשתית הרשת .הטופולוגיה מתארת כיצד
המארחים מתקשרים ברשת ואת אופן זרימת המידע .תרשים של הטופולוגיה הלוגית מקבץ
מארחים לקבוצות עפ"י צורת השימוש שלהם ולא משנה היכן הם ממוקמים פיזית.
בתרשים של הטופולוגיה הלוגית מרכזים את שמות המארחים ,הכתובות שלהם ,מידע לגבי
הקבוצות שלהם והיישומים שלהם
טופולוגית ,Busאפיק
בטופולוגית זו כל המחשבים מתחברים לכבל משותף .הכבל מחבר מחשב אחד לשני כמו קו
אוטובוס .בקצה הכבל מתקינים פקק קטן הנקרא טרמינטור ) .(Terminatorהטרמינטור מונע
מאותות לחזור לתוך הרשת ולגרום לשגיאות.
מתארת מבנה של :רכיב רשת מרכזי אשר אליו מחוברים כל רכיבי הרשת .בדרך כלל מדובר
בהתקן כגון Hub, Switchאו .Router
היתרון :קל לפתור תקלות .במקרה של תקלה עם מארח או כבל ,ניתן לנתק אותם והרשת תמשיך
לעבוד כרגיל .אלא אם הכשל הוא ברכיב המרכזי ואז כל הרשת כושלת.
טופולוגית Mesh
בטופולוגית Meshכל התקן מחובר לכל שאר ההתקנים .היתרון :ישנה יתירות מלאה .כשל של
כבל כלשהו לא ישפיע על הרשת .אולם ,הטופולוגיה קשה לחיווט ולניהול ובד"כ יקרה .טופולוגית
Meshנמצאת בשימוש של WANsהמקשרים בין .LANs
טופולוגית , Ringטבעת
לדוגמה:
היא בבסיסה טופולוגית כוכב עם אביזרי רשת נוספים המחוברים לאביזר הרשת המרכזי .רשתות
גדולות כגון רשתות של תאגידים או אוניברסיטאות משתמשות בטופולוגית כוכב מורחב או
היררכית .
מקבצת את המידע המתקבל ממתגי שכבת הגישה ומעבירה לשכבת הליבה כדי להפיץ
ליעד .שכבת ההפצה שולטת על זרימת התעבורה בהתאם לדרישות .שכבת ההפצה יוצרת
ניתוב בין רשתות וירטואליות )(VLAN
ציוד שכבת ההפצה כולל ציוד בעל ביצועים גבוהים המאפשרים זמינות ויתירות כדי
להבטיח את אמינות הרשת.
שכבת הליבה היא שכבה מהירה מאוד ומהווה את עמוד השדרה של האינטרנט .השכבה
מחברת את הציוד של שכבת ההפצה ולכן השכבה צריכה להיות בעלת זמינות גבוהה
ויתירות .שכבת הליבה יכולה להתחבר גם למשאבי אינטרנט.
.2יתירות – Redundancy
ככל שהרשת גדלה הזמינות של הרשת חשובה .ניתן ליצור בקלות יחסית יתירות ברשת,
למשל :מתג שכבת הגישה מתחבר לשני מתגים של שכבת ההפצה .במידה ואחד המתגים
כושל ,ניתן להעביר את ההודעה ממתג אחר.
.3ביצועים – Performance
ביצועי המערכת מתקבלים ע"י העברת המידע במהירות גבוהה .בין שכבות הגישה וההפצה
המידע עובר כמעט "במהירות החוט" .שכבת ההפצה אוספת את המידע ומעבירה ע"י מתגים
מהירים לשכבת הגרעין שם המידע מנותב ליעדו .שכבות הגרעין וההפצה צריכות להיות
מהירות ובעלות "רוחב סרט גבוה" , Bandwidthכמעט מהירות החוט.
.4אבטחה – Security
.5ניהול
כל שכבה בהיררכיה מבצעת פונקציות מסוימות ,אשר מבוצעות בכל השכבה .במידה וצריך
למשל לשנות פונקציה במתג ,ניתן לבצע זאת לכל המתגים בשכבה .וכן,בהוספת מתג או
החלפת מתג ,ניתן להעתיק את התצורה ממתג אחד לשני בקלות יחסית.
.6תחזוקתיות
הרשתות הן מודולריות וניתנות להרחבה ותחזוקה בקלות .ברשתות "אחרות" ככל שהרשת
גדלה הניהול והתחזוקה שלהן קשה .ברשת היררכית קל לבחור מתג המתאים לכל שכבה
וניתן להוסיף מתגים מבלי לגרום ל"צווארי בקבוק" וכן לא כל המתגים זהים כמו ברשת Mesh
ולכן ניתן לבחור מתגים זולים יותר לשכבות הנמוכות
קוטר הרשת
בד"כ קוטר מציין מרחק .כאן הקוטר מציין :כמה רכיבי רשת ,חבילה ) (Packetצריכה לעבור ,עד
אשר מגיעה ליעדה .ככל שמספר זה קטן יותר כך תהינה פחות השהיות ברשת .כל רכיב מוסיף
השהייה .השהייה = הזמן מרגע שרכיב קיבל חבילה ועד לרגע שהחבילה יוצאת ממנו )זמן עיבוד
החבילה(.
ניתן לחבר מספר ערוצים פיזיים מקביליים בין המתגים כדי להשיג מעבר מידע מהיר יותר בערוץ
לוגי אחד) .מתג יכול לבצע מס' קישורים בו-זמנית( .ציוד סיסקו מאפשר לבצע איחוד כזה.
בתמונה :מנהל הרשת החליט להעביר רוחב סרט גדול יותר למתגים S1,S3,S5בגלל אפליקציות
מיוחדות בPC1,PC2,PC3 -
יתירות
יתירות משמשת להגברת הזמינות של הרשת .ניתן לבצע יתירות במספר דרכים:
לגבות את ערוצי התקשורת בין המתגים )אנו נתרכז באפשרות זו(. •
הכפלת מספר הערוצים בין המתגים עלולה להיות יקרה במידה וכל מתג יחובר לכל מתג בשכבה
אחרת .לא סביר לבצע יתירות בשכבת הגישה בגלל עלויות הציוד ומגבלות החיבור שלו .ניתן לבצע
יתירות בשכבת ההפצה והליבה.
דוגמה :בשכבת ההפצה יש תוספת של שני מתגים עבור יתירות .מתגי שכבת הגישה מחוברים
בצורה כזו שבמידה ומתקלקל מתג הפצה ) (Dהמערכת תמשיך לעבוד דרך מתג אחר.
.1מתחילים לבחור את ציוד הקצה בשכבת הגישה )מחשבים ,מדפסות ,מצלמות ,טלפוני IP
ועוד(...
.2בוחרים את מתגי שכבת הגישה ,ע"י הערכת נפח התעבורה שכל מתג צריך להעביר.
.3נקבע כמה שכבות תהיינה בשכבת ההפצה כדי להשיג את הביצועים והיתירות הנדרשת.
דוגמה:
מאז יצירת התקן ב – 1973הוא התפתח והשתנה רבות .מפרוטוקול המעביר מידע במהירות של
10mbpsעל פני כבל קואקסיאלי ) (coaxועד פרוטוקול המעביר מידע במהירות 10gbpsעל פני
כבלי זוג שזור ) (twisted pairוסיבים אופטיים ) .(fiber opticלכל גרסה של אתרנת יש תקן
משלה .למשל IEEE 802.3 100BASE-Tמציין אתרנת במהירות 100 Mbpsעל פני כבל זוג
שזור .הסימון מייצג את הפירוט הבא:
יתרונות :מהיר פי עשר מ (Ethernet) 10BASE-T -וכן משתמש בכבלי זוג שזור – זולים וקלים
להתקנה.
חסרונות :האורך המירבי של הכבל הוא 100 :מטרים והכבלים רגישים להפרעות אלקטרומגנטיות.
כתובות MACשל היעד משמשת בשכבה 2לקבוע למארח האם המידע נשלח אליו. •
אתרנט - IIשדה ה TYPE -מציין איזה סוג של מידע יש בשדה ה.DATA -
לפי הנתון בשדה זה ניתן לדעת איזה סוג של מסגרת זו ,אם זו מסגרת 802.3או אתרנט
.II
שדה המידע כולל בין 46ל 1500-בתים ) (Bytesשל מידע כמוס משכבה .3 •
Frame Check Seqenceנקרא גם CRCכולל מידע העוזר למארח המקבל את •
המסגרת לקבוע האם המידע תקין או שקיימות בו שגיאות
רשת אתרנט משתמשת בהרחבה של הפרוטוקול כדי לזהות התנגשויות .הפרוטוקול נקרא:
כיצד מתבצע?
כל המארחים המחוברים לרשת "מאזינים לרשת" ומוודאים שאין אותות ברשת. •
במידה ומארח מזהה תעבורה ,הוא מחכה זמן מסויים ומנסה להקשיב שוב. •
מרחק גדול בין המארחים עלול לגרום לזמני השהייה גבוהים וכתוצאה מכך שני מארחים
עלולים לשדר ולגרום להתנגשות המידע .שילוב שתי ההודעות ברשת הורס את שתי
ההודעות.
מארח אשר "מאזין" לרשת יכול לזהות התנגשות ,ע"י עליית עוצמת האותות בקו. •
כאשר מזוהה התנגשות ,המארח המשדר שולח הודעת שגיאה הגורמת לכל המארחים •
לעצור שידור לזמן אקראי.
CSMA/CAשומרת מקום בערוץ עבור תקשורת מסויימת .ברגע שנשמר הערוץ ,אף התקן אחר
אינו יכול לשדר וכך נמנעות התנגשויות.
כאשר התקן רוצה לשדר הוא מבקש רשות מה AP -באמצעות בקשת:
ובכך מציין שניתן להתחיל לשדר בערוץ .פקודה זו משודרת גם לכל הרשת כך שכל ההתקנים
יודעים שהערוץ תפוס.
מודל השכבות
המודל הראשון נוצר בתחילת שנות ה 70-ונקרא" :מודל האינטרנט" .המודל מגדיר 4רמות.
פרוטוקול TCP/IPעובד לפי המודל הזה .משום כך מודל האינטרנט נקרא :מודל TCP/IP
מודל חיבור מערכות פתוחות נקרא גם :מודל שבע השכבות או מודל OSI
אפס תן דף ...
מגדירה את האמצעים הפיזיים למשלוח נתונים דרך ציוד הרשת .השכבה הפיזית עוסקת ברמת
הביטים קידוד ואופן שליחתם :אור ,פולסים חשמליים.
קידוד הודעה הוא הפיכת ההודעה לסדרה של ביטים ,כדי להעביר אותה במדיה .הקידוד צריך
להיות מתאים למדיה:
מחשב היעד מקבל את הביטים ומפענח כדי להציג את ההודעה .תהליך זה נקרא DECODING
)פענוח(
השכבה עוסקת באופן מעבר הנתונים בתוך הרשת עצמה ,באמצעות המתג /רכזת .השכבה
מאתרת את מחשב היעד עפ"י הכתובת הפיזית ) .(MACהשכבה מטפלת ברמת המסגרת
) .(Frameבה נארז המידע עם הכתובות הפיזיות ) (MACשל המקור והיעד.
Madia Access Cntrol – MACזוהי כתובת פיזית הניתנת לכל אביזר רשת ,בזמן הייצור שלו.
דומה למספר ת.ז .לכל אביזר המיוצר בעולם כתובת פיזית אחרת )כרטיסי רשת וכו'(
כתובת IPהיא כתובת לוגית אשר מזהה את המארח .כדי לתכנן רשת היררכית יש צורך בכתובת
לוגית בנוסף לכתובת הפיזית .הכתובת הלוגית קובעת לאיזה רשת מקומית המארח שייך .דומה
לנתוני :מדינה ,עיר ,רחוב של הכתובת הפיזית.
כתובת ה IP -קובעת האם תעבורת התקשורת תהיה מקומית בתוך רשת מקומית או שתעלה
בשכבות ההיררכיה של הרשת .כתובת לוגית מוקצית לכרטיס הרשת כאשר המחשב מתחבר
לרשת ,ואינה צרובה בכרטיס כמו כתובת ה .MAC -הכתובת הלוגית עשויה להשתנות כאשר
המחשב עובר מרשת אחת )למשל בבית( לרשת אחרת ) למשל בבית קפה(.
מנהלת את העברת המידע ברשת מקצה לקצה .השכבה מוודאת שהנתונים שהתקבלו תקינים
מבחינת המבנה והתבנית )בקרת איכות( .השכבה מפצלת את ההודעה למנות בצד השולח ובונה
אותן מחדש בצד המקבל.
מטפלת בדו-שיח בין צרכנים המתקשרים ברשת .השכבה מקימה את הקשר ,מעבירה את המידע
ומנתקת את הקשר.
שכבת השיח מאמתת את קוד הכניסה של משתמש ואת הסיסמה שלו לכן יש לה חשיבות בנושא
אבטחת מידע.
מאפשר הצגת המידע המתקבל ממערכות שונות ,בצורה סטנדרטית .השכבה מטפלת בהמרה
וקידוד של מידע ,הצפנה ופיענוח ,דחיסה ופריסה של המידע.
VLANמאפשר למנהל הרשת ליצור קבוצות מארחים אשר עובדות כאילו הן רשתות נפרדות
ועצמאיות ,למרות שהן משתמשות באותן התשתיות VLAN .מאפשר לכמה רשתות ותת-רשתות )
(Subnetלהיות ביחד על אותו המתג.
חסכון – עלויות כספיות נמוכות יותר בזמן שדרוג הרשת וניצול יעיל יותר של •
רוחב -הסרט.
ביצועים – חלוקה של רשת בשכבה 2רחבה למספר קבוצות לוגיות וכך צמצם של •
סוגי VLAN
(Default Vlan ) Vlan 1משמש כברירת מחדל .לאחר איתחול המתג ) (Bootכל הפורטים
משוייכים אליו ,לא ניתן למחוק אותו ולא ניתן לשנות לו שם Vlan 1 .מתפקד כמו כל ,Vlan
משיקולי אבטחה מומלץ לקבוע את הפורטים ל Vlan -אחר מאשר .Vlan 1
- Native Vlanנוצר ע"י פרוטוקול IEEE 802.1Qכדי לתמוך לאחור ברשתות ישנות אשר לא
כוללות תיוג של מספר .Vlanהפרוטוקול (dot1q) 802.1Q :מעביר תעבורה "לא מתוייגת" ל-
.Native Vlan
"תיוג" הוא הוספת כמה ביטים בשדה המידע במסגרת ) .(Frameביטים אלה משמשים במתג
כדי לזהות לאיזה Vlanהמידע צריך להשלח.
Vlanניהול – הוא כל Vlanשאנו נבחר כדי שיגש ליכולות הניהול של המתג .אם לא נגדיר לכך
Vlanמיוחד אז vlan 1ישמש לכך.
יש לקבוע ל Vlan -הניהול כתובת IPו Subnet Mask -כדי שהמתג יוכללתקשר מרחוק באמצעות:
HTTP, Telnet, SSH
משיקולי אבטחה ,לא מומלץ להשתמש ב Vlan 1 -לצורכי ניהול.
SwitchPort
הם ממשקים משכבה 2המשוייכים לפורט פיזי .הם מנהלים את הכניסות/יציאות הפיזיות.
הגדרת Vlan
Vlanסטטי Vlan -המשוייך לממשק במתג בצורה ידנית ע"י ממשק פקודה .CLI
Vlanדינאמי – הגדרות ה Vlan -נעשות אוטומטית ע"י שרת ,VMPSהשרת משייך את הפורט
במתג ל Vlan -עפ"י כתובת ה MAC -של המארח המחובר לפורט.
יתרון השיטה הוא :כאשר מזיזים את המארח למתג אחר ברשת ,המתג מגדיר אוטומטית את
הפורט החדש ל Vlan -הדרוש.
זוהי תקשורת בין שני מחשבים,למשל ,השייכים לאותו ה Vlan -לדוגמה בין PC1לבין PC4
)מתבצעת תקשורת רגילה כולל פרוטוקול . ( ARP
מכיוון שמתג הוא רכיב של שכבה ,2הוא אינו מעביר הודעות בין רשתות שונות ) (Vlanלכן יש
צורך בראוטר הוא רכיב של שכבה 3ויכול להעביר מידע בין רשתות שונות.
Vlan Trunk
הוא עורק המחבר בין שני אביזרי רשת מתגים ו/או נתבים ומעביר יותר מ Vlan-אחד על גבי
המדיה.
ציו סיסקו תומך בפרוטוקול IEEE 802.1Q :להעברת עורקים באתרנת מהיר ובג'יגה ביט אתרנת.
נקרא גם .dot1q
באמצעות Trunkאנו מעבירים הרבה רשתות דרך קו פיזי אחד ,ללא Trunkהיינו צריכים קו פיזי
אחד עבור כל תת-רשת ,וכאשר רוצים להוסיף עוד תת-רשת יש צורך בעוד קו פיזי.
ללא Trunk
כאשר מתג מקבל ב Trunk -מסגרת ללא "תג" הוא מעביר את המסגרת לNative Vlan -
כאשר המתג מעביר את המסגרת למחשב הסופי הוא "מקלף" את ה" -תג" ומעביר למחשב רק את
מסגרת האתרנט.
הגדרת TRUNK
VTPמאפשר למנהל הרשת לקבוע תצורת VLANבמתג כך שכל המתגים ברשת יקבלו את
ההגדרות.
) .(Transparent .3שקוף
שרת – VTPמפרסם את הVLAN -ים למתגים אשר שייכים לאותו איזור ) .(VTP Domainבשרת
יוצרים ,מוחקים ומשנים שם ל.VLAN -
לקוח – VTPאצל לקוח לא ניתן ליצור ,למחוק ולשנות שם ל .VLAN -יש להגדיר מצב לקוח
במתג.
מתג שקוף – מעביר בלבד את פרסומי VTPלמתגי לקוח ומתגי שרת .אך אינו משנה לעצמו את
הגדרות הVlan .VLAN -ים הנוצרים במתג שקוף הם מקומיים בלבד למתג.
כאשר מחברים בין מתגים חדשים ובאחד מהם קובעים VTP Domainה Domain -מפורסם
לשאר המתגים ואלה משנים את ה Domain -של עצמם.
היא מספר המציין את מספר העדכונים של הרשת .המספר מתחיל מאפס כאשר מוגדר VTP
Domainועולה באחד ככל שמתווסף או יורד VLANמהרשת .נתון זה חשוב כדי לדעת האם יש
הגדרות חדשות ומעודכנות יותר לעדכן את המתג.
פרסומי - VTPנשלחים לכל המתגים המאופשרים .הפרסומים כוללים אתVTP Domain Name :
ושינויים בתצורת הVLAN -ים .תקציר פרסומי VTPנשלחים ע"י שרת VTPכל 5דקות וגם מיד
לאחר ביצוע שינוי ב .VLAN -תקציר זה מודיע למתגים את גרסת העדכונים.בנוסף מפורסמים גם:
יצירה/מחיקה/שינוי שם ,של .VLANלפי בקשה או לאחר עדכון.
תמיד אפס את נתון גרסת העידכונים לפני התקנת מתג חדש ל Domain -כדי למנוע •
בעיות עדכונים.
הגדר לפחות שני מתגים ברשת שיהיו שרתים כדי שיהיה גיבוי במידה ואחד המתגים יוצא •
משימוש .במידה וכל המתגים ברשת יהיו לקוחות ,לא תוכל ליצור VLANחדש ברשת.
הגדר VTP Domainבמתג השרת ,שאר המתגים המחוברים יקבלו הגדרה זו באמצעות •
הפרסום.
יש להכניס את סיסמת ה VTP -במדויק לכל המתגים ב Domain -מתג ללא סיסמה או •
סיסמה שגויה ידחה את הפרסומים.
ודא שכל המתגים משתמשים באותה גרסה של פרוטוקול .VTPמתגי סיסקו 2960 •
מריצים את גרסה 1כברירת מחדל ,אולם יכולים להריץ גם את גרסה .2
ודא שהפורטים במתג מוגדרים כ .Trunk -רק פורטי Trunkמעבירים .VTP •
חבר למתג שרת ,תוך מס' דקות מתג השרת ישלח פרסום. •
ודא שבוצע עדכון גירסה ) ע"י (VTP Statusבמתג והVLAN -ים מוגדרים לפני שמשייכים •
את הפורטים לVLAN -ים.
הגדר את הפורטים האחרים ) (Access Portsושייך אותם לVLAN -ים .במתג לקוח לא •
ניתן ליצור VLANים חדשים ,אלא רק לשייך את הפורטים לVLAN-ים קיימים.
הגדרות VTP
Switch(config)#vtp mode server
הגדרת מתג שרת
Switch(config)#vtp mode client הגדרת מתג לקוח
Switch(config)#vtp mode transparent הגדרת מתג שקוף
טכנולוגיות אלחוט משתמשות בגלים אלקטרומגנטיים להעברת מידע ,דרך האוויר .לדוגמה שידורי
רדיו.
טכנולוגיות אלו משתמשות בגלים שונים בספקטרום האלקטרו-מגנטי.
פותחו מספר תקנים כדי להבטיח תקשורת של ציוד אלחוטי .התקנים קובעים את :תחום תדרי ה
– ,RFקצב העברת הנתונים ,כיצד המידע משודר ועוד .ארגון IEEEאחראי ליצירת תקנים אלו.
תקן IEEE 802.11 :עוסק ברשתות אלחוטיות – WLANלתקן יש מספר שדרוגים:
802.11/a/b/g/nלתקנים השונים ,תכונות שונות של תקשורת אלחוטית .טכנולוגיות אלו נקראות:
Wireless Fidelity Wi-Fi
802.11a
תחום תדרים .5Ghz
לא מתאים לציוד 802.11/b/g/n :אשר משתמש ב2.4Ghz -
הטווח קצר בכ 33% -מאשר ב802.11/b/g -
יחסית יקר ליישום מאשר הטכנולוגיות האחרות .קשה כבר למצוא ציוד תואם בתקן זה.
802.11b
ראשון בטכנולוגיה של2.4Ghz :
קצב העברת מידע מירבי של11 Mbps :
טווח של כ 50 -מטרים בתוך מבנה.
וטווח של כ 100-מטרים בשטח פתוח.
802.11n
התקן המקובל היום.
תחומי תדר 2.4 Ghz :וגם .5 Ghz
טווח וקצב גבוהים יותר 540 Mbps :ל 250 -מטר.
תומך לאחור בציוד של802.11/b/g :
האנטנה משמשת לקליטה ושידור אותות RFבנקודת הגישה ובגשר האלחוטי .האנטנה חשובה
לביצועי הטווח של הרשת .ניתן להגדיל את טווח הרשת במידה ומשתמשים באנטנה מיוחדת
)כיוונית(.
ישנם שתי צורות בסיסיות להתקנת .WLANרשת תשתיתית ורשת זמנית למטרה ספציפית
).(ad-hoc
רשת זמנית היא הדרך הפשוטה ביותר להקים רשת אלחוטית ,ע"י חיבור peer to peerשל
שנים או יותר מארחים .לרשת זו אין נקודת גישה ) ( APוכל המארחים שווים.
אזור הכיסוי של הרשת נקראIndependent Basic Service Set – IBSS :
רשת זו יכולה לשמש לצורך העברת קבצים ,למשל ,בין מארחים מבלי לסבך ולהוציא כספים על
רכישת .APלדוגמה העברת קובץ מטלפון נייד לטלפון נייד .רשת זו מתאימה לרשתות קטנות.
רשת תשתיתית
ברשתות גדולות יש צורך באביזר אשר ינהל את התקשורת בתא .פעולה זו מתבצעת ע"י נקודת
הגישה ) (APאשר קובעת מי משדר ברשת ומתי .מארח לא יכול לפנות ישירות למארח אחר .כדי
לתקשר מארח צריך לבקש רשות מ AP-כדי לשדר.
אזור הכיסוי של APיחיד נקראBasic Service Set- BSS :
זוהי צורת העבודה הנפוצה ביותר ברשתות ביתיות ולעסקים
ערוץ אלחוטי
ערוצים נוצרים ע"י חלוקת תחום תדרי ה RF-הזמינים .כל ערוץ יכול להכיל תקשורת אחת ,בדומה
לערוצי הטלויזיה המשודרים דרך האוויר או ע"י כבלים.
מספר נקודות גישה ) ( APיכולות לעבוד ביחד אחת ליד השניה ,כל עוד הן משתמשות בערוצים
שונים לתקשורת .בבחירת ערוצי תקשורת יש לשים לב שלא תהיה חפיפה בינהן.
ניתן לקבוע ערוצי תקשורת באופן ידני או אוטומאטי.
Wireless Mode
קובע את סוג הטכנולוגיה למשל802.11b :
802.11g
802.11n
או - MIXשילוב של הטכנולוגיות.
יש הבדלים בין הטכנולוגיות למרות שכולן משתמשות בתדר של2.4 Ghz :
כאשר עובדים עם טכנולוגיה אחת עדיף לקבוע אותה ולא שילוב טכנולוגיות.
יתרונה של רשת אלחוטית היא בקלות להתחבר אליה .יתרון זה מהווה חיסרון משום שהרשת
חשופה להאזנה ולתקיפה .בגלל החיבור אלחוטי דרך האוויר ,אין צורך בחיבור פיזי למחשב או
להתקן רשת אחר כדי לחדור לרשת .גורם זר יכול לחדור לרשת בכל מקום שהתקשורת האלחוטית
מגיעה אליו.
ברגע שהצליח להגיע לרשת ניתן להשתמש בשרותי האינטרנט ,בחינם ,לחדור למחשבים ברשת
ולפגוע בקבצים או לגנוב מידע אישי.
הרגישות של רשת אלחוטית מצריכה הפעלה של תכונות אבטחה ושיטות כדי להגן על הרשת
האלחוטית מהתקפות.
ניתן לכבות את שידור ה SSID -וכך הוא יהיה מוסתר ,כל מחשב שנרצה לחבר לרשת נקבע
ידנית את ה.SSID -
בנוסף ,חשוב לשנות את ההגדרות הבסיסיות של היצרן ,משום שהן ידועות לכל.
נתונים כגון ,SSID :סיסמה ,כתובת IPוכו' נתונים אלו מקלים על פריצה לרשת .אפילו שה-
SSIDאינו משודר באוויר ,ניתן לחדור לרשת באמצעות SSIDידוע.
אם לא שינינו סיסמה או כתובת IPניתן לגשת לראוטר ולבצע שינויים.
את הפרטרים הללו יש לשנות לנתונים יותר "יחודיים" ובטוחים.
כל זאת ועדיין אנו לא בטוחים מספיק .קיימים אמצעים אשר בעזרתם ניתן "להאזין" לתקשורת
אלחוטית.
גם כאשר נכבה את שידור SSIDונשנה את הפרמטרים הראשוניים עדיין ניתן למצוא את שם
ונתוני הרשת באמצעות ציוד מיוחד.
כדי להגן על הרשת יש להשתמש בשילוב שיטות.
הצפנה
זיהו משתמש וסינון כתובות ,MACימנעו מהתחברות לרשת אולם ,לא ימנעו האזנה למידע
המשודר באוויר .הצפנה היא דרך לשנות את המידע המשודר כך שהמאזין לא יוכל להבין את
השידורים.
מה זה אינטרנט?
האינטרנט היא אוסף ,כלל עולמית ,של רשתות תקשורת אשר מתקשרות אחת עם השניה,
מחליפות מידע ומשתמשות בסטנדרט משותף .משתמשי אינטרנט יכולים להעביר מידע דרך :קווי
טלפון חוטי ,כבלים של סיבים אופטיים ,תקשורת אלחוטית ,תקשורת לווינית וטלפון סלולרי.
האינטרנט היא הרשת של הרשתות ,אשר מחברת משתמשים בכל מדינה בעולם .יותר ממיליארד
אנשים משתמשים כרגע באינטרנט ,בכל העולם.
האינטרנט הוא תאגיד של רשתות ואינו שייך לאף אדם או ארגון .לעומת זאת יש כמה ארגונים
בינלאומיים אשר עוזרים לנהל את רשת האינטרנט כך שכולם ישתמשו בה לפי הכללים.
ISP
כל אדם ,עסק או ארגון הרוצה להתחבר לאינטרנט חייב לעשות זאת דרך ספק אינטרנט:
Internet Service Provider – ISP
ספקיות האינטרנט הן חברות אשר מספקות חיבור ותמיכה לרשת האינטרנט .בנוסף הן יכולות
לספק שרותים נוספים כגון :דואר אלקטרוני ) ( Emailאו מקום בשרתים לצורך העלאת אתרים
לרשת.
לא ניתן להתחבר לאינטרנט ללא מארח וגם ללא . ISP
מחשבים בודדים ורשתות מקומיות מתחברים ל ISP -בPoint Of Presence – POP -
POPהיא נקודת הנוכחות של ספק האינטרנט באזור הגיאוגרפי ,שנקודת החיבור משרתת .לספק
אינטרנט יש רשת בעלת ראוטרים ומתגים מהירים מאוד כדי להעביר נתונים בין ה POP -ים.
ספקי האינטרנט מציעים מגוון דרכים כדי להתחבר לאינטרנט ,כתלות ,במיקום ובמהירות החיבור
הדרושה.
מודם – החיבור הפשוט ביותר ,מספק חיבור ישיר בין ספקית השרות והמחשב .אך אם נדרש
לחבר מספר מחשבים לנקודת חיבור אחת ,יש צורך במתג )כדי לחבר את המארחים לרשת(
ובראוטר )כדי להעביר מידע ל.( ISP -
הבחירה בטכנולוגיית החיבור לאינטרנט ,תלוייה בזמינות ,עלויות ,ציוד הגישה ,בערוץ ובמהירות
החיבור.
טכנולוגיות המשמשות לבתים ומשרדים קטנים:
.1חייגן – צורת החיבור אשר משתמשת ,אנלוגית ,בקו של ערוץ הטלפון )בזק( .זוהי צורת
החיבור האיטית ביותר.
שירותי ISP
עננת האנטרנט
כאשר חבילות עוברות באינטרנט ,הן עוברות הרבה אביזרי רשת .מסובך לתאר את כל אביזרי
הרשת והחיבורים בינהם ולמעשה הנתיב הסופי לא באמת חשוב .חשובה רק העובדה שהמקור
יכול לתקשר עם היעד .לכן כאשר מתארים אינטרנט או רשת מסובכת אחרת משתמשים בענן.
מבלי להראות פרטים .הענן מאפשר לפשט את התרשים ולהתמקד במקור והיעד בלבד.
ציוד הספק צריך לעבוד כמעט 100%משום שתקלה בציוד מפתח אצל הספק עלול לגרום לנזק
רציני בתעבורת הרשת .לכן הציוד צריך להיות איכותי ,בעל מהירות גבוהה ובעל יתירות.
בבתים פרטיים הציוד יכול להיות "פשוט" יותר משום שאינו מטפל בנפח תעבורה גדול מאוד.
לדוגמה ראוטר משולב הכולל מיתוג ,ניתוב וגישה אלחוטית.
דרך קמפוס ,המכיל מספר רשתות LANובו עד 100עובדים הנמצאים בבניין אחד או בניינים
סמוכים.
ועד לחברה גלובלית עם אלפי עובדים וסניפים בעולם .העובדים יכולים לעבוד מהבית ומהמשרד
או להיות ניידים ולעבוד מהשטח.
שכבת העורק ) – Data Link (2מגדירה כיצד המידע "כמוס" ) (encapsulationוכיצד לשלוח את
מסגרות המידע .לצורך כך ישנן מספר טכנולוגיות כגון Frame Relay :ו. ATM -
שכבת העורק מקבלת את המידע משכבת הרשת ומבצעת "כמיסה" encapsulation ,כדי לשלוח
את המידע בערוץ הפיזי.
שיטת הכמיסה )הפרוטוקול( תלויה בסוג הטכנולוגיה ובציוד.
כדי להבטיח מעבר של המידע כל ממשק ,ראוטר ,חייב להיות מוגדר בסוג הכמיסה המתאים.
Data Terminal Equipment – DTEהוא ציוד הלקוח אשר מעביר את המידע מרשת הלקוח ל-
WAN
Data Communications Equipment – DCEמספק ממשק התחברות לערוץ תקשורת ב-
WAN
אביזרי :WAN
מודמי חיוג – מאפשרים העברת מידע דיגיטלי על גבי תשתית אנלוגית כגון קווי טלפון
מודמים לכבלים או – DSLמאפשרים העברת מידע מהירה יותר על גבי תשתיות כבלים או .DSL
– CSU/DSUמאפשרים חיבור לתשתיות תקשורת טלפונית. T1 , T3 :
– WAN Switchציוד של שכבה 2הנמצא אצל הספק ומעביר מידע כגוןFrame Relay, ATM :
ראוטרים – מאפשרים חיבורים וגישה ל , WAN -בד"כ אלה משתמשים בחיבורים סריאליים.
מיתוג מעגלים
מיתוג מנות
בשיטה זו המידע מחולק למנות ) (Packetsאשר מנותבות עצמאית על גבי רשת משותפת .ואין
צורך בנתיב מסויים כמו במיתוג מעגלים.
ישנן שתי גישות לקביעת הנתיב:
א .כל חבילה נושאת את כתובת היעד שלה וכל נתב בוחר את הנתיב המתאים ,באותו הרגע,
כדי לשלוח את ה"חבילה" ליעד .כך פועל האינטרנט.
ב .לכל "חבילה" נקבע נתיב מראש ואז כל חבילה נושאת רק מספר מזהה שלה הנקרא:
)Data Link Connection Identifiers (DLCIs
כל נתב מנתב את "החבילה" עפ"י הטבלאות שבו .בגלל שהנתיבים הם משותפים עלולים
להיות השהיות במעבר ה"חבילות" כתוצאה של עומס ,אולם ,למרות זאת הטכנולוגיה
היום מאפשרת מעבר מידע בזמן טוב גם עבור מידע קול ווידאו.
קווים שכורים
קווים שכורים מאפשרים חיבור קבוע נקודה לנקודה ,בד"כ יקרים יותר מקווים משותפים.
התקשורת זמינה למשתמש בכל רגע ,אין בהם השהיות ,נפח התעבורה והמהירות מוגדרים
מראש עפ"י צרכי הארגון.
טכנולוגיות נפוצות להעברת קווים שכוריםE1, T1 :
E1ו T1 -הם תקנים להעברת מספר גדול של ערוצים בחלוקת זמן לכל ערוץ .משמשים בעיקר
להעברת טלפוניה ותקשורת נתונים ,ע"ג קווי דיגיטליים E1 .נפוץ בכל העולם פרט לארה"ב ויפן
שם משתמשים ב.T1 -
קווים שכורים
מודם כבלים ,משמש להעברת טלוויזיה ובנוסף מעביר תקשורת נתונים ומחבר מחשבים או ראוטר
של רשת LANדרך כבל קואקסיאלי.
ספקיות אינטרנט ) ( ISPמשתמשות בציוד הנקרא CMTSעל מנת לחבר משתמשים לרשת
הכבלים.
רשתות אלחוטיות הן טכנולוגיות המעבירות מידע דרך גלי רדיו .טכנולוגיות אלה כוללותWiMAX :
המעבירה מידע בדומה ל WiFi -אולם בקצב גבוה הרבה יותר ולטווחים של מעל ל 10 -ק"מ.
טכנולוגיה נוספת היא :אינטרנט דרך לווין ,אופציה זו איטית משמעותית לעמת DSLלמשל.
הגדרת :HDLC
פרוטוקול PPPמאפשר זיהוי של הראוטר השני לפני שנשלח מידע של שכבת הרשת בערוץ.
תהליך זיהוי המשתמש הוא אופציונלי.
אחד היתרונות של פרוטוקול : PPPהוא מאפשר זיהוי משתמש בשכבה 2בנוסף לשאר
שיטות האבטחה :זיהוי משתמש )בשכבה אחרת( ,הצפנה ,בקרת גישה וכו'
) CHAP (1בשונה מ (PAP -שולח כל פרק זמן מסויים הודעת "איתגור" עימה הוא בודק
שלצד השני יש עדיין שם משתמש וסיסמה ,גם לאחר יצירת הקשר הראשון.
R1 (2עונה עם שם משתמש וסיסמה מוצפנים.
R3בודק את שם המשתמש והסיסמה מול מאגר נתונים פנימי אצלו (3
ואז מאפשר או דוחה את התקשורת ע"י הודעת .ACK
הודעת האיתגור היא ייחודית ואינה חוזרת על עצמה ובכך מאפשרת את חוזק ההצפנה.
ה Hostname -של ראוטר אחד צריך להתאים ל Username -של השני ולהיפך.
הסיסמאות לא חייבות להיות תואמות!
ה Hostname -של ראוטר אחד צריך להתאים ל Username -של השני ולהיפך.
הסיסמאות לא חייבות להיות תואמות!
הוא פרוטוקול WANאשר פועל בשכבות 1ו 2-של מודל OSIהמאפשר מעבר מידע מהיר
באמצעות "תעלות וירטואליות".
FRהפך להיות אחד הפרוטוקולים ב WANהנפוצים ביותר בעולם בגלל המחיר הזול שלו יחסית
לקווים שכורים )פחות ציוד ,הציוד לא מסובך ומספק רוחב-סרט ואמינות( ומשום הגמישות
ופשטות ההגדרה שלו
FRיוצר ערוצים לוגיים )תעלות( הנקראים )permanent virtual circuits (PVC
PVCמגדיר מעבר בין שני קצוות
DTE
DCE
FRמגדיר כיצד המידע עובר בין DTEלבין DCEכלומר בין ציוד הלקוח לבין ספק התקשורת.
FRאינו מגדיר כיצד עובר המידע בין ה DCE -השונים ברשת הWAN -
FRיוצר תקשורת מהירה בכך שלא מספק תיקון טעויות בשידור" FR ,זורק" פאקטים שגויים )כן
מזהה שגיאות אך לא מתקן אותן( את תיקון השגיאות כמו למשל "שידור חוזר" הפרוטוקול משאיר
לציוד הקצה .דבר זה מביא למהירות תקשורת גבוהה יותר.
ה DLCI -מופיע בשדה הכתובת של כל "מסגרת" אשר נשלחת ובעזרתה המסגרת מנותבת
ברשת ספק תקשורת ה FR -מספק את כתובות ה.DLCI -
מספרי 1008-1023 0-15 DLCIהם שמורים למטרות מיוחדות
לכן ספק התקשורת מקצה בד"כ מספר בתחום . 16-1007
לפני שראוטר יוכל לשלוח מידע מעל FRהוא צריך לדעת את ה DLCI -המקומי של היעד.
ראוטרים של FRשולחים בקשות Inverse ARP :ע"ג ה PVC -כדי לגלות את הכתובת של
התחנה הרחוקה ברשת .FR
פרוטוקול Inverse ARPמשיג כתובת של שכבה ) 3כתובת ( IPשל תחנה אחרת מכתובת של
שכבה 2למשל DLCIבמסגרת של FR
הראוטר מאחסן את התוצאות בטבלה )כתובת מול (DLCI
שלב ראשון :הגדרת הממשק הסריאלי הגדרת כתובת IPוS.M - •
הגדרת הממשק מתבצעת באמצעות הפקודות:
> מס' הפורט < Router(config)# interface serial
> > < S.Mכתובת Router (config-if)# ip address < ip
Router (config-if)# no shut
שלב שני :הגדרת "כמיסה" ורוחב-פס) .הגדרת רוחב-הפס מגדירה את מהירות העברת •
הנתונים ביחידות .Kb/s :פרוטוקולי ניתוב כגון EIGRP :ו OSPF -משתמשים בנתון זה
כדי לקבוע את ה METRIC -של הערוץ(.
Local Management Interface - LMIהוא פרוטוקול המספק מידע על חיבורי FRבין הראוטר
) (DTEלבין מתג (DCE) FRלמשל :מספרי ה DLCI -העוברים בערוץ ,מידע זה מועבר כל כ-
10שניות ,כך ניתן למשל להבחין שתחנה מסויימת אינה פועלת.
הגדרת LMIנעשית באמצעות הפקודה:
] q933aאו ansiאו Router(config-if)# frame-relay lmi-type [cisco
ניתוב סטטי
הניתוב כולל כתובות IPו Subnet Mask -של רשתות רחוקות,
יחד ניתוב סטטי – מאפשר הוספת רשתות רחוקות לטבלת הניתוב באופן ידני.
עם כתובת IPשל הראוטר הבא בשרשרת הניתוב או של ממשק היציאה.
ניתובים סטטים מסומנים באות Sבטבלת הניתוב.
משתמשים בניתוב סטטי במקרים הבאים:
ברשת הכוללת מספר קטן של ראוטרים. •
ברשת המחוברת לאינטרנט רק דרך ספק ISPיחיד או גבול הרשת. •
אותה רוצים להוסיף הרחוקה ,אותה רוצים .1כתובת הראטור הבא בשרשרת.
לדוגמה:
במקום כתובת IPשל הראוטר הבא ,ניתן להכניס את ממשק היציאה לכיוון היעד ,לדוגמה:
פעולה זו חוסכת לראוטר שתי התבוננויות בטבלת הניתוב .הגדרת ממשק יציאה במקום כתובת
הראוטר הבא יעילה יותר וטובה במיוחד לרשתות serial PPP, HDLCמשום שרשתות אלו
עובדות כמו צינור שיש לו שני פתחים .מה שנכנס ב serial0/0/0 -של R1יכול להגיע רק ל-
serial0/0/0של . R2
ניתוב דינמי
ניתוב דינמי שימושי בעיקר ברשתות גדולות ,הוא מקל על ההפעלה והניהול יחסית לניתוב סטטי.
בד"כ רשתות כוללות גם ניתוב סטטי וגם דינאמי.
פרוטוקול ניתוב דינמי משמש להחלפת מידע ניתוב בין ראוטרים ,בצורה דינמית.
הראוטרים משתפים מידע על רשתות רחוקות ומוסיפים מידע זה אוטומטית לטבלאות הניתוב
שלהם .באמצעות מידע זה הראוטרים קובעים את המסלול הטוב ביותר לרשת הרחוקה.
אחד היתרונות בניתוב דינמי הוא:
כאשר משתנה טופולוגיית הרשת או בעת תקלה בערוץ מסויים ,הראוטרים מתעדכנים אוטומטית על
השינוי ,ובוחרים נתיב חלופי.
אולם ,פרוטוקול ניתוב דינמי גוזל משאבים :זמן עיבוד ,זיכרון ,רוחב-סרט.
המשימות של פרוטוקול ניתוב דינמי:
לגלות רשתות רחוקות. •
לתחזק מידע ניתוב מעודכן. •
לבחור את הנתיב הטוב ביותר לרשת היעד. •
למצוא את הנתיב החלופי הטוב ביותר במקרה שהנתיב הנוכחי לא זמין. •
לצורך כך הראוטר שולח ומקבל הודעות ניתוב.
השוואת ניתוב דינמי מול ניתוב סטטי:
Metricזהו נתון המשמש לקבוע מהו הנתיב הטוב ביותר לרשת היעד כאשר יש מספר נתיבים
אפשריים .נתון זה יכול להתבסס על:
– Hop Countמספר הקפיצות )ראוטרים( עד היעד. •
– Delayההשהייה עד היעד )הזמן שלוקח לחבילה להגיע( •
– Bandwidthרוחב סרט )מהירות( עד היעד. •
או על שילובים שלהם. •
כל פרוטוקול ניתוב משתמש ב Metric -משלו למשל:
פרוטוקול RIPמשתמש בHop Count -
EIGRPמשתמש בשילוב של השהייה ורוחב-סרט.
OSPFמשתמש ברוחב-סרט.
יש גם Metricsנוספים כגון:
-Loadהבודק את עומס התעבורה של הנתיב. •
) Reliabilityאמינות( –בודק את ההסתברות )סטטיסטיקה( שהערוץ תקין. •
) Costעלות( – כמה עולה להעביר את המידע בנתיב זה? •
הגדרת RIP
גירסת RIP
ACLהיא רשימה של הוראות "אישור" או "מניעה" המיושמת על "פאקטים" ומספקת דרך לשלוט
בתעבורה אל ומהרשת.
סינון הפאקטים שולט על הגישה לרשת באמצעות בדיקה של פאקטים נכנסים ויוצאים
ועצירה או אישור מעבר שלהם המבוסס על קריטריונים המוגדרים מראש .הראוטר משמש כמסנן
פאקטים בכך שהוא מעביר או מונע את הפאקטים העוברים דרכו עפ"י "רשימת הסינון".
הראוטר קורא את כותרת ההודעה ומבצע החלטה.
באמצעות שליטה על מספרי הפורטים ניתן "לאשר" גישה ,למשל ,לאינטרנט )( port 80
לרשת אחת ו"למנוע" גישה לאינטרנט מרשת אחרת .ומצד שני "לאשר" לשתי הרשתות גישה
לשאר השרותים.
לכן ל ACL -צריך שתהיה שוה אחת לפחות של "אישור" אחרת כל הפאקטים ידחו !
ניתן לתת ל ACL -שמות משמעותיים שיצביעו על מטרת ה ,ACL -במקום מספרים.
מיקום נכון של ACLהופך את הרשת יעילה יותר ACL .יכול לעבוד כמו "חומת אש" Fire Wallלסנן
פאקטים ולחסום תעבורה לא רצויה לרשת.
יש למקם ACLמורחב קרוב ככל האפשר למקור הפאקט הלא רצוי. .1
בצורה זו נמנע מתעבורה לא רצויה לעבור ברשת שלנו.
ACLסטנדרטי )מכיוון שאינו כולל את כתובת היעד( ימוקם קרוב ככך האפשר ליעד. .2
הפיתרון הוא למקם את ה ACL -בכניסת R1כדי למנוע את תעבורה שהמקור שלה
192.168.10.0/24
ניתן לבצע חסימה זו ב R3 -אך למנהל למנהל הרשת אין גישה ל R3 -ובנוסף ,פתרון זה לא יהיה
יעיל.
ניתן למקם ACLביציאת (s0/0/0) R1אשר תכיל את כתובות המקור והיעד ותמנע את הFTP -
ו-
– TELNETהחיסרון של פתרון זה :מידע מרשת 10יעבור תהליך עיבוד מסויים ב R1 -ויגרום
לבזבוז מסויים של משאבים.
הפתרון המועדף :למקם קרוב למקור ,כלומר בכניסת Fa0/2של R1דבר זה מבטיח שפאקטים
מרשת 11לא יכנסו ל R1 -ולא ל R2 -או R3ואילו פאקטים עם כתובת יעד אחרת או פורטים
אחרים עדיין יעברו דרך .R1
סיכום:
פאקט אשר מגיע לראוטר נבדק מול ההגדרות ה ACL -בהתבסס על הגדרות הבדיקה •
)כניסה או יציאה( .
הראוטר מעבד שורה אחר שורה ב ACL -עד אשר ישנה התאמה) .לכן יש למקם את •
ההגדרות השימושיות ביותר ,בתחילת ה ACL -כדי לחסוך בזמן עיבוד(
אם אין התאמה ,כאשר הראוטר מגיע לסוף הרשימה ,הפאקט נדחה) .לכן יש להכניס •
לפחות אישור אחד לרשימה כדי שלא כל התעבורה תדחה(
אם פאקט מקבל אישור הוא מנותב ליציאה המתאימה בראוטר .אם פאקט נדחה ,הוא •
"נזרק".
הגדרת ACLסטנדרטי
) - Logאופציונלי( מאפשר הוספת רישום בקונסול כדי לעקוב אחר תקלות. •
לדוגמה:
מחיקת :ACL
מסכת Wildcard
ACLכוללים מסכת Wildcardכדי לסמן לראוטר לאיזה חלק בכתובת ה IP -לאפשר או לדחות.
מסכת Subnetקובעת מהו חלק הרשת ומהו חלק המארח בכתובת ה.IP -
מסכת Wildcardלמעשה הפוכה ממסכת subnet /
שלב שני ,לאחר הגדרת ACLהוא לשייך אותו לממשק ,באמצעות הפקודה:
:הפקודה
access-list <number> <permit / deney> < protocol> host < source- ip > < wildcard
mask>
host <destination- ip> <wildcard mask> < eq / gt / lt / neg / range> <port number >
: בממשק,הפעלת הפקודה
Ip-access-group <number> <in / out>
CIDRלעומת VLSM
נניח לחברה נתונה הכתובת 192.168.15.0 /24 :לחברה 4מחלקות ,יש להקצות תת-רשת
) (Subnetלכל מחלקה.
מחלקה א – 58מארחים. •
מחלקה ב – 26מארחים. •
מחלקה ג – 10מארחים. •
מחלקה ד – 10מארחים. •
מחלקה ה – 2מארחים. •
הערה :בחישוב המארחים יש לקחת בחשבון כתובות עבור :מדפסות ,שרתים ,כתובות
ממשק לראוטרים ,אפשרויות להרחבת הרשת וכו'
בשיטת חלוקה ,CIDRנקצה גודל שווה של כתובות IPלכל מחלקה )לפי המחלקה הגדולה
ביותר( .במקרה זה נקצה 64כתובות IPלכל מחלקה באופן שווה .כלומר מסכת הרשת ) Subnet
(Maskתהיה שווה לכל המחלקות
ניתן לראות שחלוקה זו אינה יעילה ,משום הבזבוז שקיים בה )מקצים 64כתובות IPלמחלקה
בת 2מארחים בלבד(.
מקצים מסכת רשת ) (Subnet Maskבעלת גודל משתנה לכל מחלקה כלומר:
משימות אופציונאליות:
דוגמה:
הכתובת192.168.11.5 :
היא הכתובת של שרת הDHCP -
מגדירים:
אפשור השרות – Enable .1
כתובת IPהתחלתית. .2
כמות משתמשים מקסימלית. .3
כתובת שרת , DNSבמידת הצורך. .4
כתובות שמורות – Dhcp Reservation .5
מגדירים:
אפשור השרות – ON .1
שם למאגר הכתובות – pool name .2
כתובת שער ברירת מחדל – Default Gateway .3
כתובת שרת DNS .4
כתובת IPהתחלתית. .5
מסיכת רשת – Subnet Mask .6
מספר משתמשים .7
הוספה לרשימה – Add .8
פרוטוקול NATמאפשר לחסוך כתובות IPבכך שהוא מאפשר שימוש בכתובות IPפרטיות.
פרוטוקול NATממיר כתובות פנימיות פרטיות לכתובות חיצוניות ציבוריות.
פעולה זו מסייעת באבטחת הרשת משום שהכתובות הפנימיות מוסתרות מהרשת החיצונית.
הגדרות:
– Inside local addressכתובת פרטית פנימית.
– Inside global addressכתובת ציבורית הניתנת למארח כאשר הוא שולח מידע מחוץ לרשת.
– Outside global addressכתובת ציבורית הניתנת למארח ברשת החיצונית.
– Outside local addressלא נכלל בקורס.
.1יצירת המרה סטטית בין כתובת פנימית לחיצונית )המרה אחת לאחת(.
.2כניסה לממשק פנימי בראוטר.
.3הגדרת הממשק כפנימי – inside
.4כניסה לממשק חיצוני בראוטר.
.5הגדרת הממשק כחיצוני – outside
כעת שתי כתובות ה IP -יתחלפו בינהן
דוגמה:
חיצוני
פנימי
הגדרת מאגר כתובות ציבוריות ) כתובת התחלתית וכתובת סופית( ומתן שם למאגר. .1
הגדרת רשימת ACLהמאפשרת את הכתובות הפנימיות להמרה. .2
הגדרת NATהמאחדת את מאגר הכתובות והACL - .3
כניסה לממשק פנימי בראוטר. .4
הגדרת הממשק כפנימי – inside .5
כניסה לממשק חיצוני בראוטר. .6
הגדרת הממשק כחיצוני – outside .7
דוגמה:
דוגמה: