Sunteți pe pagina 1din 86

Cap 1 - Introducere WAN = o retea de date care opereaza dincolo de aria de acoperire geografica a unui LAN.

Ca sa poata folosi un WAN, o companie trebuie sa se aboneze la un service provider de WAN (in general WAN-ul nu este detinut de companie, fata de LAN, care este detinut de companie). In general pe WAN sunt transportate diferite tipuri de trafic: date, voce, video. 3 caracteristici majore ale WAN-ului: - de regula conecteaza device-uri separate de o arie geografica mai mare decat poate acoperi un LAN - WAN-urile folosesc serviciile unui carrier (care poate fi o companie de telefonie, tv prin cablu, sistem satelit sau provider de retea) - WAN-urile folosesc conectori seriali de diferite tipuri WAN-urile sunt folosite pentru comunicarea pe distante mari. Modelul de design ierarhic - access layer - daca in LAN permitea accesul la retea al statiilor de lucru si al serverelor, in WAN permite accesul teleworkerilor sau al site-urilor remote la reteaua corporatiei - distribution layer - agrega wiring closets folosind switchuri, pentru a segmenta grupurile (de lucru) si a izola problemele retelei intr-un campus. In WAN este similar, layerul distribution agrega conexiunile WAN la edge (marginea) campusului si furnizeaza conectivitate pe baza politicii (policy-based connectivity). - core layer / backbone - un backbone (coloana vertebrala) de viteza mare, care este gandit sa switch-uiasca pachetele cat mai repede posibil. Pentru ca core-ul este critic pentru conectivitate, trebuie sa ofere un nivel mare de disponibilitate (availability) si sa se adapteze la schimbari foarte rapid. De asemenea ofera scalabilitate si convergenta rapida. Diferite afaceri au nevoie de tipuri de retele diferite, in functie de organizare si obiective. Ca reteaua pe care o administrezi sa nu devina prea dezorganizata, Cisco recomanda Cisco Enterprise Architecture. Aceasta ofera repere pentru dezvoltarea retelei in fazele evolutive ale unei companii. Exemple de module ale arhitecturii: - Enterprise Campus Architecture - Enterprise Branch Architecture - Enterprise Data Center Architecture - Enterprise Teleworker Architecture WAN-urile si modelul OSI WAN-urile opereaza la layerele 1 si 2. La layerul 1 protocoalele descriu cum sa furnizeze conexiuni? electrice, mecanice, operationale si functionale serviciilor unui service provider de comunicatii. >>> cam ciudata forma de exprimare... La layerul 2 protocoalele definesc modul de incapsulare a datelor pentru a fi transmise locatiilor remote si mecanismul de transferare a frame-urilor rezultate. Sunt folosite tehnologii diferite, ca

86

Frame Relay sau ATM. Unele dintre aceste protocoale folosesc acelasi mecanism de frame-uire de baza, High-Level Data Link Control [HDLC], care este standard ISO, sau una dintre derivatiile / variantele acestuia. Terminologia WAN pentru layerul fizic De obicei infrastructura pentru WAN nu apartine companiei, ci unui service provider de WAN, la care compania trebuie sa se abonez, ca sa poata folosi WAN-ul. Customer Premises Equipment [CPE] = echipamentele si cablurile abonatului (fie proprietare, fie inchiriate) (prin) care se conecteaza la carrier. Data Communications Equipment [DCE] = [data circuit terminating equipment] e alcatuit din device-urile care pun date pe local loop. Furnizeaza o interfata care conecteaza abonatii la un link de comunicatie din cloud-ul WAN. Data Terminating Equipment [DTE] = device-ul clientului care trimite datele catre WAN. Se conecteaza prin DCE la local loop. Demarcation Point [DP] = punctul de la care se separa echipamentele clientului de cele ale providerului. Fizic, punctul de demarcare este cutia cu cabluri de jonctiune care se afla la client, care conecteaza cablurile CPE la local loop. Este pusa in asa fel incat un tehnician sa aiba acces usor la ea. Punctul de demarcare separa responsabilitatile pentru conexiune. Local Loop = cablul de telefon? din cupru sau fibra care conecteaza CPE al clientului la Central Office [CO] al providerului. Local loop se mai numeste si last-mile. Central Office = un edificiu (facility) sau o cladire a providerului unde cablurile de telefonie locala se leaga de liniile de comunicatie de mare distanta, digitale, prin fibra optica, printr-un sistem de switch-uri si alte echipamente. Device-uri WAN: Modem - moduleaza un semnal analog de carrier pentru a coda informatia si demoduleaza semnalul carrier pentru a decoda informatia transmisa. CSU/DSU - liniile digitale, ca liniile de carrier T1 si T3, necesita un channel service unit [CSU] si un data service unit [DSU]. Cele 2 sunt deseori combinate intr-un singur echipament, numit CSU/DSU. CSU furnizeaza terminatia pentru semnale digitale si asigura integritatea conexiei prin corectarea erorilor si monitorizarea liniei. DSU converteste frame-urile liniei T-carrier in frame-uri care pot fi interpretate de LAN si invers. Access server - concentreaza comunicarea in si out a userilor. Un access server poate avea o mixtura de interfete analogice si digitale si poate suporta sute de useri simultan. WAN switch - un device multiport interretele folosit in retelele carrier. De obicei acest device comuta (switch) traficul Frame Relay, ATM sau X.25 si opereaza la layerul Data Link al stivei OSI. Switchurile Public Switched Telephone Network [PSTN] pot fi folosite si in cloud pentru conexiuni cu comutare de circuite ca Integrated Service Digital Networks [ISDN] sau dialup analog. Router - furnizeaza porturi pe interfetele de acces pentru conectivitatea interretele si WAN, folosite pentru conectarea cu service providerul. Aceste interfete pot folosi interfete seriale sau alt tip de interfete WAN. Pentru unele tipuri de interfete WAN este necesar un device extern (DSU/CSU sau modem analog, cable sau DSL) ca sa conecteze routerul cu punctul de prezenta locala [POP] al providerului. Core router - se afla in mijlocul sau in backbone-ul WAN. Trebuie sa fie capabil sa suporte multiple interfete de telecomunicatii la cea mai mare viteza din core-ul WAN si trebuie sa poata

86

forwarda pachete IP la full speed pe celelalte interfete. In plus trebuie sa suporte si protocolul de rutare folosit in core. Standarde WAN la layerul fizic: - EIA/TIA-232: signal speed de 64 bps si D-connector cu 25 de pini. A fost numit RS-232. Specificatia ITU-T V.24 este efectiv acelasi lucru. - EIA/TIA-449/530 - este varianta mai rapida a lui EIA/TIA-232, transmite cu 2 Mbps, foloseste D-connector cu 36 pini, cablul poate fi mai lung, standardul mai este cunoscut ca RS422 si RS423. - EIA/TIA-612/613 - descrie protocolul High-speed serial interface [HSSI]. Are viteza de transfer pana la 52 Mbps si foloseste D-connector cu 60 pini. - V.35 este standardul ITU-T pentru comunicarea sincrona dintre un device de network access si o retea cu pachete. Viteza originala/initiala a fost de 48 kbps, acum este de 2.048 Mbps; foloseste un conector dreptunghiular cu 34 pini. - X.21 - este standard ITU-T, e folosit pentru comunicarea digitala sincrona; foloseste un Dconector cu 15 pini. Alegerea protocolului este determinata in mare masura de metoda de facilitare a service providerului. Terminologia WAN pentru layerul Data Link Protocoalele data link: in afara de device-urile WAN de layer fizic, sunt necesare si protocoale data link, care stabilesc legatura emitator-receptor de-a lungul canalelor de comunicatie. Protocoalele data link definesc modul in care sunt incapsulate datele pentru transmisie si mecanismul de transferare a frame-urilor rezultate. Sunt folosite o varietate de tehnologii, ca: Frame Relay, ISDN sau ATM. Multe dintre aceste protocoale folosesc acelasi mecanism de framing (sau variatii) - HDLC-ul, care este un standard ISO. ATM-ul este diferit de celelalte protocoale, el foloseste celule de dimensiune fixa, de 53 bytes (48 bytes de date), fata de celelalte tehnologii packet-switched, care folosesc pachete cu dimensiune variabila. Cele mai intalnite protocoale data link de WAN sunt: - HDLC - PPP - Frame Relay - ATM ISDN si X.25 sunt protocoale mai vechi, care acum sunt mai putin folosite. Cu toate astea, protocolul ISDN este inca tratat in acest curs, pentru ca este folosit pentru retelele VoIP prin linkuri PRI. Si X.25 este in uz in tarile in dezvoltare, pentru trimiterea datelor tranzactiilor cu card de la retaileri prin packet data network [PDN] Nota: mai exista si protocolul Multiprotocol Label Switching [MPLS], care este o solutie economica pentru transportul traficului de retea cu comutare de circuite si cu comutare de pachete. Poate opera peste orice tip de infrastructura existenta, cum ar fi: IP, Frame Relay, ATM sau Ethernet. Pentru ca sta intre Layerul 2 si Layerul 3, este considerat protocol de Layerul 2.5. MPLS nu este tratat in acest curs, ci in CCNP. Incapsularea WAN

86

Fiecare tip de conexiune WAN foloseste un protocol de layer 2 ca sa incapsuleze pachetul care traverseaza linkul WAN. Multe protocoale sunt dezvoltate pe HDLC, pentru ca acesta este aparut de mult timp (din 1979). Formatul de incapsulare al frame-urilor WAN: Frame-urile incep si se termina cu un flag field pe 8 biti, cu patern-ul 01111110. Frame-ul are urmatoarele campuri: Flag | Header | Data | FCS | Flag Header-ul are urmatoarele campuri: Address | Control | Protocol Campul de adresa nu este necesar, pentru ca linkurile WAN sunt in general point-to-point. Totusi el exista si are 1-2 byti. Campul de control are 1 byte si arata tipul continutului: informatie de control sau date de la layerul network. Campul Protocol indica protocolul de layer 3 catre care este directionat. Circuit switching / comutarea circuitelor O retea cu comutare de circuite stabileste un circuit (canal) dedicat intre noduri inainte ca terminalele sa fie capabile sa comunice. Pentru ca acest canal este partajat de mai multe conversatii, se foloseste Time Division Multiplexing [TDM] ca sa le asigure fiecareia o parte a conexiunii, pe rand. TDM asigura ca o capacitate fixa a conexiunii este alocata fiecarui abonat. Pentru circuitele care transporta date (de computer, nu de telefon), utilizarea unei capacitati fixe nu este eficienta. De exemplu, daca cineva acceseaza o pagina de internet, va genera un trafic momentan mare, cat se incarca pagina, apoi nu va mai genera trafic pana cand nu va cere pagina urmatoare. Traficul normal pentru retelele de calculatoare este o variatie intre nimic si maxim :D . Pentru ca abonatul este unicul care foloseste alocarea fixa, switched circuits sunt in general un mod scump de a transfera date. PSTN si ISDN sunt 2 tipuri de tehnologii de circuit-switching care pot fi folosite pentru WAN-ul unei companii (enterprise). Packet switching / comutarea pachetelor Pachetele sunt rutate peste o retea share-uita. Nu mai este necesar sa se creeze un circuit. Pe baza adresei din fiecare pachet, switchurile determina care este urmatorul link pe care trimit pachetele. Sunt 2 abordari in determinarea linkului: - connectionless - connection-oriented In cazul sistemelor connectionless fiecare pachet contine intreaga adresa. Fiecare switch evalueaza adresa pentru a determina unde sa trimita pachetul. In cazul sistemelor connection-oriented intai se determina (se predetermina) ruta pentru pachete, iar pachetele care vor fi trimise trebuie sa contina doar un identificator. In cazul Frame Relay acestia se numesc Data Link Control Identifiers [DLCIs].

86

Pentru ca linkurile sunt share-uite, costurile sunt mai mici, iar delay-ul este mai mare (latenta si jitter-ul) fata de circuit-switched networks. Circuite virtuale [VC] Retelele packet-switched pot stabili rute prin switchuri pentru anumite conexiuni end-to-end. Aceste rute se numesc circuite virtuale. Un circuit virtual este un circuit logic creat in cadrul unei retele share-uite, intre 2 device-uri de retea. Exista 2 tipuri de circuite virtuale: - permanent virtual circuit [PVC] - switched virtual circuit [SVC] PVC sunt folosite cand transferul de date dintre device-uri este constant. PVC-ul scade utilizarea bandwidth pentru stabilirea si terminarea VC, dar creste costul datorita disponibilitatii acestui circuit. In general PVC sunt configurate de service provider, la cererea clientului. SVC este stabilit dinamic, la cerere, si se termina cand s-a finalizat transmisia. Comunicarea peste un SVC are 3 faze: stabilirea / realizarea circuitului, transferul de date, terminarea / eliminarea circuitului. SVC-urile sunt folosite cand transmisia de date dintre device-uri este intermitenta, cel mai des ca sa reduca din costuri. Conectarea la o retea packet-switched se face prin bucla locala pana la cea mai apropiata locatie unde providerul furnizeaza acest serviciu. Locatia se numeste point of presence [POP]. Exemple de conexiuni packet/cell -switched: X.25, ATM, Frame Relay. Optiuni de conectare WAN: WAN: - privat: dedicat: leased-line switched: circuit-switched: ISDN, PSTN packet-switched: Frame Relay, X.25, ATM, Metro Ethernet - public - Internet - Broadband VPN: DSL, Cable, Broadband Wireless I. Leased-line: costa mai mult, dar au delay si jitter mic. Este nevoie de cate un port serial de router pentru fiecare linie inchiriata + un CSU/DSU si un circuit de la service provider. Dezavantaje: cost mare, capacitate fixa - care nu este utilizata eficient, si pentru ca fiecare endpoint are nevoie de o interfata fizica de router separata pot rezulta costuri mari ale echipamentelor. Orice schimbare a liniei inchiriate in general necesita ca site-ului sa fie vizitat de catre carrier. II. Circuit-switched: a) Dialup analog: Cand ai nevoie sa transmiti volume mici de date, intermitent, modemurile si liniile de telefonie dialed analog furnizeaza o capacitate redusa si conexiuni switch-uite dedicate. Avantaje: disponibilitate, simplitate si costuri mici de implementare. Dezavantaje: rata de transfer mica (56 kbps) si timp de conectare relativ mare. Desi are jitter si delay mic, traficul de voce si video nu opereaza adecvat datorita vitezei de transfer mica.

86

b) ISDN e o tehnologie circuit-switching care permite ca bucla locala a unei PSTN sa transporte semnale digitale, ceea ce duce la capacitati mai mari ale conexiunii. ISDN schimba conexiunea interna a unei PSTN de la semnale analog(ice) la semnale digitale TDM [Time Division Multiplexed]. TDM permite ca 2 sau mai multe semnale / streamuri de biti sa fie transferate ca subcanale intr-un canal de comunicare. ISDN transforma bucla locala intr-o conexiune digitala TDM, care transporta 64 kbps per bearer channel (B channel) si un canal de semnalizare delta [D]. Sunt 2 tipuri de interfete ISDN: - Basic Rate Interface [BRI] care are 2 B-channel x 64 kbps si 1 D-channel de 16 kbps, pentru control - Primary Rate Interface [PRI] care are 23 B-channels x 64 kbps si 1 D-channel de 64 kbps, pentru America de Nord => 1.544 Mbps. In Europa, Australia si in alte parti ale lumii, ISDN PRI ofera 30 B-channels si 1 D-channel, rezultand 2.048 Mbps. PRI in America de Nord corespunde unei conexiuni T1; PRI pentru celelalte parti ale lumii corespunde unei conexiuni E1 sau J1. III. Packet-switched a) X.25 Este un protocol de layer Network mostenit, care ofera abonatilor adresa de retea. Circuite virtuale pot fi setate de-a lungul retelei prin pachete de call requests catre adresa tinta. SVC-ul rezultat este identificat printr-un numar de canal. Pachetele de date etichetate (labeled) cu numarul de canal sunt livrate la adresa corespunzatoare. Mai multe canale pot fi active pe o conexiune. Folositea obisnuita a X.25 este pentru cititoarele de carduri de la punctele de vanzare. Viteza lui X.25 variaza intre 2400 bps si 2 Mbps. Retelele publice au in general viteza mica, ce rareori depaseste 64 kbps. Retelele X.25 sunt acum intr-un declin dramatic, fiind inlocuite de noile tehnologii de layer 2, ca Frame Relay, ATM si ADSL. b) Frame Relay Chiar daca layerul network pare similar cu cel al X.25, Frame Relay difera de X.25 in mai multe moduri. Cel mai important, este un protocol mult mai simplu, care lucreaza la layerul data link in loc de layerul network. Frame Relay nu implementeaza controlul erorilor si al fluxului. Gestionarea simplificata a frame-urilor duce la o latenta redusa si masurile luate pentru evitarea construirii frame-urilor la switch-urile intermediare reduc jitter-ul. Frame Relay ofera rate de transfer pana la 4 Mbps (unii provideri oferind rate mai bune). Circuitele virtuale Frame Relay sunt identificate in mod unic printr-un DLCI, care asigura comunicarea bidirectionala intre device-urile DTE. Cele mai multe conexiuni Frame Relay sunt PVC (fata de SVC). Frame Relay furnizeaza conectivitate permanenta, bandwidth mediu, shared, care transporta trafic de voce si de date. Frame Relay este ideal pentru conectarea LAN-urilor enterprise. Routerele din LAN au nevoie de o singura interfata, chiar daca sunt folosite mai multe circuite virtuale. Linia inchiriata scurta pana la reteaua Frame Relay permite conexiuni eficiente dpv cost intre LAN-uri foarte raspandite / imprastite. c) ATM ATM = asynchronous transfer mode Este o tehnologie capabila sa transfere date, voce si video prin retele publice si private. Este construita pe o arhitectura bazata pe celule, fata de cea bazata pe frame-uri. Intotdeauna o

86

celula ATM are o dimensiune fixa, de 53 bytes, din care 5 bytes sunt pentru header, restul sunt pentru date. Celulele ATM sunt mai putin eficiente ca frame-urile mai mari ale Frame Relay si X.25. La fiecare 48 bytes de date, ele au un overhead de 5 bytes, ceea ce duce la un overhead mare pentru cantitati mari de date. La acelasi volum de date, ATM are nevoie de un bandwidrh cu 20% mai mare ca Frame Relay sau X.25. ATM a fost proiectat sa fie foarte scalabil, si supporta viteze ale linkului de la T1 (1.544 Mbps), pana la OC-12 (622 Mbps) sau chiar mai mult. ATM ofera PVC si SVC, cu toate ca PVC este mai intalnit in WAN. La fel ca alte tehnologii shared, si ATM ofera mai multe circuite virtuale pe o singura linie inchiriata pana la network edge. IV. WAN - public - Internet 1. Servicii broadband: Optiunile de conectare broadband sunt in general folosite pentru a conecta angajatii telecommuting la un site corporate peste internet. Aceste optiuni includ DSL, cablu, wireless. a) Tehnologia DSL este o tehnologie de conectare always-on care foloseste liniile de telefonie twisted pair ca sa transporte date la bandwidth ridicat si sa furnizeze servicii IP abonatilor. Un modem DSL converteste semnalul Ethernet al device-ului userului in semnal DSL, pe care il transmite la central office [CO]. La locatia providerului mai multe linii ale abonatilor DSL sunt multiplexate intr-un singur link de capacitate mare prin folosirea unui DSL access multiplexer [DSLAM]. DSLAM-urile incorporeaza tehnologia TDM pentru a agrega mai multe linii ale abonatilor intr-o singur mediu, de obicei o conexiune T3 / DS3. Tehnologiile curente de DSL folosesc tehnici sofisticate de codare si modulare si ajung la rate de transfer de pana la 8.129 Mbps. b) Cable modem Cablul coaxial este foarte folosit in zonele urbane pentru a distribui semnal TV. Accesul la retea este posibil prin unele retele de televiziune prin cablu. Aceasta permite un bandwidth mai mare decat cel prin bucla locala a telefoniei conventionale. Cable modem ofera o conexiune always-on si un mod simplu de instalare. Abonatul conecteaza un computer sau un LAN router la modem, care traduce semnalele digitale in frecventa de broadband folosita pentru transmisia pe reteau de televiziune prin cablu. Biroul local al televiziunii prin cablu - care se mai numeste si cable headend - contine sistemul de computere si baze de date care furnizeaza accesul la internet. Cea mai importanta componenta din headend este cable modem termination system [CMTS], care trimite si primeste semnale digitale prin cable modem pe retea si este necesara ca sa furnizeze servicii internet abonatilor. Abonatii trebuie sa foloseasca ISP-ul asociat service providerului si in plus, pe masura ce sunt mai multi abonati, bandwidth-ul se imparte la toti, ceea ce poate avea ca rezultat un bandwidth sub asteptari. c) Wireless broadband Tehnologia wireless foloseste spectrul de frecvente radio nelicentiate pentru a trimite si primi date. Acest spectru nelicentiat este accesibil oricui are echipamentul necesar. Pana de curand o limitare a accesului la wireless era ca trebuia sa te afli in aria de acoperire a transmisiei locale. Acest lucru este schimbat de dezvoltarea tehnologiei de broadband wireless:

86

- municipal WiFi: acoperire wireless la nivelul orasului si acces la retea gratuit sau la tarife modice. Alte retele wireless sunt disponibile doar politiei, pompierilor, sau altor angajati ai orasului. - WiMAX - worldwide interoperability for microwave access este definit in standardul IEEE 802.16. Furnizeaza servicii broadband la viteze mari cu acces wireless si furnizeaza acoperire mare, similar cu retelele de telefonie. WiMAX functioneaza similar cu WiFi, dar la viteze mai mari, peste distante mai mari si pentru un numar mai mare de utilizatori. Foloseste o retea de turnuri WiMAX, similar cu turnurile de telefonie. Ca sa acceseze WiMAX abonatii trebuie sa aiba turnul unui ISP la mai putin de 10 mile, au nevoie de un computer capabil sa acceseze WiMAX si au nevoie de un cod special de criptare. - Satellite Internet Este folosit in general in zonele rurale, unde cablul si DSL-ul nu sunt disponibile. Antena satelit ofera viteze de 10 ori mai mari ca modemul analog, cu o viteza de upload cam de 1/10 din 500 kbps (50 kbps). 2. Tehnologia VPN Riscuri de securitate apar cand un teleworker sau un remote office foloseste servicii broadband ca sa acceseze WAN-ul corporate peste Internet. Ca sa adreseze problemele de securitate, serviciile de broadband ofera capabilitati pentru utilizarea conexiunilor Virtual Private Network [VPN] la un server VPN, aflat de regula in site-ul corporatiei. Un VPN este o conexiune criptata intre 2 retele private peste o conexiune publica cum este Internetul. In loc sa foloseasca o conexiune dedicata de layer 2, cum sunt liniile dedicate, un VPN foloseste conexiuni virtuale numite tunele VPN, care sunt rutate prin internet, de la reteaua privata a companiei la site-ul remote sau hostul angajatului. Beneficii: - reducerea costurilor (nu mai folosesti linkuri de WAN dedicate si grupuri de modemuri) - securitate (prin protocoale de criptare si autentificare) - scalabilitate - compatibilitate cu tehnologia broadband Tipuri de acces VPN: - site-to-site VPN conecteaza retele intregi, una la alta; fiecare locatie are un VPN gateway (router, firewall, VPN concentrator, security appliance) - remote-access VPN permite hosturilor individuali (telecommuteri, mobile users, extranet consumers) sa acceseze securizat, peste Internet, reteaua companiei. Fiecare host ruleaza (de regula) un software de client VPN sau foloseste un clent web-based. 3. Metro Ethernet Este o tehnologie de retea cu o maturizare rapida, care largeste Ethernetul catre retelele publice, controlate de telco (telecommunication companies). Beneficii: - reducerea cheltuielilor si administrarii - tehnologia permite conectarea site-urilor din aceeasi arie metropolitana - integrare usoara cu retelele existente - imbunatatirea productivitatii

86

*********************************************************** Cap 2 - PPP Conexiunea Point-to-Point este una din cele mai cunoscute conexiuni WAN. Este folosita sa conecteze LAN-urile la WAN-urile service providerilor si sa conecteze segmente de LAN din retelele enterprise. O conexiune LAN-to-WAN point-to-point se mai numeste conexiune seriala sau leased-line pentru ca liniile sunt inchiriate de la un carrier (in general o companie de telefonie) si sunt dedicate companiei care le-a inchiriat. Protocolul Point-to Point [PPP] furnizeaza un mod de gestionare simultana a conexiunilor multiprotocol LAN-to-WAN: TCP/IP, IPX si AppleTalk. Poate fi folosit peste twisted pair, fibra optica sau comunicare prin satelit. PPP furnizeaza transport peste ATM, Frame Relay, ISDN si linkuri optice. Securitatea se realizeaza prin Password Authentication Protocol [PAP] si prin Challenge Handshake Authentication Protocol [CHAP]. Introducere in comunicarea seriala Ca sa trimiti bitii mai rapid prin fir poti fie sa compresezi datele si sa ai de trimis mai putini biti, fie sa ii trimiti simultan. Comunicarea paralela vs comunicarea seriala: - pe o conexiune seriala datele sunt trimise pe 1 fir, cate 1 bit o data. Conectorii seriali cu 9 pini folositi de majoritatea computerelor folosesc 2 bucle pe fir, cate 1 pentru fiecare directie, plus fire aditionale ca sa controleze fluxul de informatii. In oricare directie datele curg tot pe un singur fir. - o conexiune paralela trimite bitii simultan pe mai multe fire. In cazul unui port paralel cu 25 pini, sunt 8 fire care transporta 8 biti simultan. Teoretic, o conexiune paralela trimite 8 biti (1 byte) in timpul in care o conexiune seriala trimite doar 1 bit. Datorita clock skew si crosstalk interferences [* skew = asimetric, inclinat] linkurile seriale pot atinge rate de transfer mai mari. Clock skew = in conexiunile paralele bitii nu pot fi trimisi chiar simultan, nici nu ajung la destinatie simultan. Din aceasta cauza emitatorul trebuie sa citeasca, sa astepte, sa faca latch (zavorasca?), sa astepte semnalul de clock si sa transmita cei 8 biti. In felul acesta se adauga timpi pentru realizarea transmisiei. Un latch este un sistem de pastrare a datelor (data storage) folosit pentru a pastra informatiile intr-un sistem de secventa logica. Cu cat linkul este mai lung si cu cat sunt mai multi pini, creste delay-ul. Aceasta problema nu este intalnita in cazul linkurilor seriale, pentru ca cele mai multe dintre ele nu au nevoie de ceas / clock. Conexiunile seriale necesita mai putine fire si cabluri. Ocupa un spatiu mai mic si pot fi mai bine izolate de interferente. Crosstalk = influenta semnalelor unul asupra celuilalt (interferenta). Cu cat creste frecventa, cu atat trebuie mai multa procesare pentru crosstalk. Pentru ca linkurile seriale au mai putine fire, este mai putin crosstalk, si device-urile de retea transmit comunicarea seriala la frecvente mai mari.

86

In cele mai multe cazuri implementarea comunicarii seriale este mai ieftina (foloseste mai putine fire, cabluri mai ieftine si mai putini pini). Standarde de comunicare seriala: Toate comunicarile la distanta mare si cele mai multe retele de calclatoare folosesc conexiuni seriale, pentru ca costul cablurilor si dificultatile de sincronizare fac sa fie nepractica conexiunea paralela. Cel mai semnificativ avantaj este cablarea simpla. De asemenea cablurile seriale pot fi mai lungi ca cele paralele, pentru ca sunt mult mai putine interferente intre conductorii din cablu. In comunicarea prin WAN, acelasi protocol de comunicare trebuie folosit la trimiterea si la receptionarea frame-urilor. Standarde cheie de comunicare seriala LAN-WAN: a) RS-232: cele mai multe porturi seriale ale PC-urilor sunt conforme cu acesta sau cu variantele mai noi (RS-232C, RS-422. RS-423). Sunt folositi conectori cu 9 si cu 25 de pini. Un port serial este o interfata care poate fi folosita pentru aproape orice device, inclusiv modemuri, mousi, imprimante. Multe device-uri de retea folosesc RJ-45, care de asemenea este conform cu RS-232 (ei na!? cum asa?) b) V.35: este in general folosit pentru comunicarile dintre modem-multiplexor, este standard de viteza mare al ITU, transporta date sincronizat si combina bandwidth-ul mai multor circuite de telefonie. In USA este interfata standard folosita de cele mai multe routere si DSU pentru conectarea la carrierii T1. Cablurile V.35 sunt linii seriale proiectate sa suporte ratele de transfer mari si comunicatiile intre DTE si DCE peste liniile digitale. c) HSSI: high-speed serial interface, suporta rate de transfer de pana la 52 Mbps. Sunt folosite pentru a conecta routerele din LAN la WAN peste linii high-speed gen T3. De asemenea este folosit pentru a furniza conectivitate de viteza mare intre LAN-uri, folosind Token Ring sau Ethernet. HSSI este o interfata DTE/DCE dezvoltata de Cisco Systems si T3plus Networking pentru a adresa nevoia de comunicatii de viteza mare peste WAN. Aceste standarde nu numai ca folosesc diferite metode de semnalizare, dar folosesc si diferite tipuri de cabluri si conectori. Fiecare standard joaca un rol diferit in topologia LAN-WAN. Functiile celor 9 pini ai conectorul RS-232: pinul 1: data carrier detect [DCD] arata ca carrierul pentru transmisia de date este on pinul 2: pinul receptor [RXD] transporta datele de la device-ul serial la computer pinul 3: pinul transmitator [TxD] transporta datele de la computer la device-ul serial pinul 4: data terminal ready [DTR] ii indica modemului ca computerul este pregatit sa transmita. pinul 5: ground (impamantare) pinul 6: data set ready [DSR] este similar cu DTR. Arata ca dataset este on. pinul 7: pinul RTS solicita autorizarea sa trimita date modemului pinul 8: device-ul serial foloseste pinul clear to send [CTS] ca sa confirme semnalul RTS de la computer. In multe situatii RTS si CTS sunt constant on in timpul sesiunii de comunicare. pinul 9: un modem cu auto raspuns foloseste Ring Indicator [RI] sa semnalizeze receptia unui semnal de sunat al telefonului (ring signal). Pinii DCD si RI sunt disponibili doar la conectarea cu un modem. Aceste 2 linii sunt rar folosite pentru ca cele mai multe modemuri trimit informatii despre status unui PC cand este detectat un

86

semnal de carrier (cand se face o conexiune cu un alt modem) sau cand modemul primeste un semnal de sunat de la o liniie de telefoni. Time Division Multiplexing [TDM] A fost inventata de Bell Laboratories ca sa maximizeze volumul de trafic de voce peste un mediu. Pana la multiplexare, fiecare apel telefonic avea nevoie de propriul lui link fizic. Solutia respectiva nu era scalabila si era si scumpa. TDM imparte bandwidth-ul unei singure legaturi (link) in mai multe canale separate sau segmente de timp (time slots). TDM transmite 2-n canale pe un singur link, prin alocarea unui interval de timp diferit pentru fiecare canal. Canalele folosesc linkul pe rand. TDM este un concept de layer fizic, nu il intereseaza natura informatiei pe care o multiplexeaza pe canalul de iesire. TDM este independent de protocoalele de layer 2 folosite de canalele de intrare. TDM creste capacitatea de transmisiea linkului prin impartirea timpului in intervale mai mici in asa fel incat linkul sa transporte biti de la surse multiple, crescand efectiv numarul de biti transportati intr-o secunda. In cazul TDM emitatorul si receptorul stiu exact ce semnal este trimis. Multiplexorul [MUX] imparte semnalele in segmente si le plaseaza intr-un singur canal prin inserarea fiecarui segment intr-un time slot. La receptor un alt multiplexor face reconstructia, prin recrearea semnalelor in streamuri separate, pe baza timpului de venire a fiecarui bit. Tehnica numita bit interleaving tine evidenta numarului si secventei bitilor din fiecare transmisie specifica, ca la receptie sa poata fi reasamblati rapid si eficient in forma originala. *Byte interleaving face acelasi lucru, dar cu cate 8 biti (procesul are nevoie de un time slot mai mare/lung). Exemple comune de TDM sincron sunt liniile de telefonie T1/E1 si ISDN. TDM-ul are o ineficienta: rezerva time slots si daca nu sunt date de trimis. Pentru a compensa aceasta ineficienta a fost dezvoltat Statistical time-division multiplexing [STDM]. STDM foloseste o lungime variabila a time slot-ului, permitand canalelor sa concureze pentru orice slot liber. Foloseste un buffer de memorie care pastreaza temporar datele in timpul perioadelor de varf ale traficului. In acest mod STDM nu iroseste timp al liniilor de viteza mare, pentru canalele inactive. STDM necesita ca fiecare transmisie sa transporte informatii de indentificare (un identificator de canal). Exemple de TDM: ISDN si SONET BRI ISDN are 2 B-channel de 64 kbps si 1 D-channel de 16 kbps. Are 9 time slots, repetate dupa paternul <br1-br2-br1-br2-br1-br2-br1-br2-br1-br2-d>. La o scala mai mare, industria de telecomunicatii foloseste SONET sau standardul SDH pentru a transporta prin fibra optica date TDM. SONET-ul e folosit in America de Nord, SDH-ul e folosit in celelalte zone. Cele 2 standarde sunt strans relationate / legate. Ex: 4 streamuri de 2.5 G sunt multiplexate intr-un stream de 10 G, prin fibra optica. DS0 = digital signal zero = unitatea originala folosita la multiplexarea liniilor de telefon, are 64 kbps.

86

Signal bit DS0 DS1 DS2 DS3

Rate 64 kbps 1.544 Mbps 6.312 Mbps 44.736 Mbps

Voice slot 1 DS0 24 DS0 96 DS0 672 DS0 sau 28 DS1

* se refera la T1, care are 24 B-channels. E1/J1 au 32 B-channels T-carriers: 1 T4 = 6 T3 = 274 Mbps 1 T3 = 7 T2 = 45 Mbps 1 T2 = 2 T1C = 6.312 Mbps 1 T1C = 24 T1 = 1.544 Mbps Demarcation point: In America de Nord, este inainte de CSU/DSU (pe bucla locala - e mai departe de client). In restul lumii este intre DTE si DCE (e mai aproape de client). DTE-DCE DTE este la client, este de obicei un router, dar poate fi si un terminal, PC, printer, fax, daca se conecteaza direct la service provider. DCE este la service provider, de obicei este un modem sau un CSU/DSU. Standarde de cabluri La origine, conceptul de DTE si DCE s-a bazat pe 2 tipuri de echipamente: - echipamente terminale, care primesc si trimit date - echipamente de comunicatie, care doar retransmit datele. De aceea sunt 2 tipuri de cabluri: 1 care conecteaza un DCE la un DTE si 1 care conecteaza direct 2 DTE-uri. Interfata DTE/DCE pentru un anumit standard defineste specificatiile: - mecanice / fizice - numar de pini si tip de conectori - electrice - voltajele de 0 si 1 - functionale - specifica functiile care sunt realizate prin alocarea unui inteles fiecarei linii de semnal a interfetei - procedurale - specifica secventa de evenimente pentru transmiterea de date. 2 DTE-uri pot comunica direct cu ajutorul unui cablu special, numit null modem. Cu null modem, la unul din capetele cablului se face cross intre Tx si Rx. >>> trebuie sa setezi clock rate. Tipuri de incapsulari WAN 1. HDLC: incapsulare defaul pe linkurile point-to-point, linkuri dedicate si conexiuni circuit switched sincrone, cand link-ul foloseste 2 device-uri Cisco. Este baza pentru PPP sincron.

86

2. PPP: face legatura intre routere si intre host si retea, peste circuite sincrone si asincrone. Este folosit cu IP, IPX. Are mecanisme de securitate built-in PAP si CHAP. 3. Serial Line Internet Protocol [SLIP]: un protocol standard pentru protocolul TCP/IP peste linii asincrone, este inlocuit masiv de PPP. 4. X.25 / Link Access Procedure, Balanced [LAPB]: este standard ITU-T, defineste cum este mentinuta legatura intre DTE-DCE pentru accesarea remote a unui terminal si pentru comunicarea computerelor in retelele publice de date. X.25 specifica protocolul LAPB (este de layer-ul data link). X.25 este precursorul lui Fram Relay. 5. Frame Relay: standard la nivel de industrie, switched, e protocol de data link care gestioneaza multiple circuite virtuale. Nu face corectarea erorilor si flow control. 6. ATM: standard international pentru cell relay, trimite voce, video, date, in celule de 53 de bytes. Procesarea se face in hardware. Leased line: HDLC, PPP, SLIP Circuit-switched: HDLC, PPP, SLIP Packet-switched: X.25, Frame Relay, ATM HDLC - este un protocol de layer data link, sincron, bit-oriented, dezvoltat de ISO. S-a dezvoltat din SDLC. - este connected-oriented si connectionless - foloseste transmisia seriala sincrona - foloseste acknowledgement pentru flow control si error control A derivat in Cisco HDLC [cHDLC] si are in plus multiprotocol support. Formatul frame-ului HDLC: HDLC defineste 3 tipuri de frame-uri, fiecare cu un camp de control diferit. Campurile frame-ului HDLC: - flag: 01111110, frame-ul incepe si se termina cu acest flag. Ca intre datele normale sa nu apara un patern ca cel al flag-ului, dupa 5 de 1 consecutivi este inserat un 0. Cand mai multe frame-uri sunt trimise consecutiv, flag-ul care termina un frame este considerat frame de inceput pentru urmatorul frame. - address: contine adresa statiei secondary. Poate fi o adresa specifica, o adresa de grup sau o adresa broadcast. O adresa primary este fie sursa, fie destinatia comunicarii, ceea ce elimina nevoia de a include adresa primary. ??? - control: are 3 formate diferite, in functie de tipul frame-ului - information frame (i-frame) - transporta informatii pentru layerele superioare si ceva informatii de control. Trimite si primeste sequence number si bitul final poll [p/f] face controlul flow-ului si al erorilor. Are campurile receive sequence number >>> poll final >>> send sequece number. Receive sec number = numarul urmatorului frame care va fi primit. Send seq number = nr frame-ului care va fi trimis. Statia primary foloseste bitul p/f ca sa anunte statia secondary daca solicita un raspuns imediat. Statia secondary foloseste bitul p/f ca sa anunte daca frame-ul trimis este ultimul frame al raspunsului curent. - supervisory frame - furnizeaza informatie de control. Poate sa solicite si sa suspende transmisia, raportul statusului si confirma primirea I-frame-urilor. Nu are camp de informatie.

86

Unnumbered frame - U frames sunt tot in scop de control si nu sunt secventiate. Un uframe poate fi folosit pentru a initializa secondaries. - protocol - folosit doar in cHDLC, specifica tipul protocolul incapsulat in frame (ex: 0x0800 pentru IP). - data - contine sau path information unit sau exchange identification information. - Frame check sequence [FCS] - precede campul de flag. Foloseste un CRC, calculat de receptor, identifica daca sunt erori. Configurarea HDLC: Este default pe echipamentele Cisco pe liniile sincrone seriale. Daca nu ai ambele echipamente Cisco, foloseste PPP sincron. R1(config-if)#encapslation hdlc >>> activeaza incapsularea hdlc

Troubleshooting pe interfetele seriale R#show interfaces serial >>> arata tipul de incapsulare, starile linkului, etc. Stari posibile: - serial x is down, line protocol is down - serial x is up, line protocol is down - serial x is up, line protocol is up (looped) - serial x is up, line protocol is down (disabled) - serial x is admin down, line protocol is down R#show controllers >>> arata DTE/DCE si tipul de conector (ex: V.35)

PPP Incapsularea PPP a fost gandita sa fie compatibila cu cele mai utilizate tipuri de hardware. Este incapsulare de layer 2. Poate fi folosit peste: cabluri seriale, linii de telefon, linii trunk, retea de telefonie mobila (cellular phone), linii radio specializate, fibra optica. Avantaje: - PPP nu este proprietar. fata de HDLC are in plus: - monitorizeaza calitatea linkului. Daca detecteaza prea multe erori, pune linkul in down - suporta autentificarea PAP si CHAP. PPP contine 3 componente majore: - protocolul HDLC pentru incapsularea datagramelor peste linkurile point-to-point - Extensible Link Control Protocol [LCP] pentru a stabili, configura si testa conexiunea data link. - familia de Network Control Protocols pentru stabilirea si configurarea diferitelor protocoale de layer Network. PPP permite simultan folosirea mai multor protocoale de layer 3 (multiple layer network protocols). Exemple: IPCP, AppleTalkCP, IPXCP, Cisco System CP, SNACP, Compression CP. CP = control protocol

86

Arhitectura PPP Fata de modelul OSI, PPP are doar layerul fizic la fel. Layerele data link (s.n. link control protocol) si network (s.n. network control protocol) difera. La layerul fizic poti configura PPP pe interfete: - seriale sincrone - seriale asincrone - ISDN - HSSI PPP opereaza peste orice interfata DTE/DCE, singura conditie care trebuie indeplinita este sa existe un circuit duplex, switched sau dedicat, sincron sau asincron, care sa fie transparent frame-urilor PPP la layerul link. PPP face cea mai multa munca la layerele data link si network. LCP la data link layer seteaza conexiunea PPP si parametrii acesteia. NPC la network layer gestioneaza configuratiile protocoalelor de nivele superioare. --> dupa care conexiunea este terminata de LPC. Layerul link control protocol: LCP este partea care munceste cu adevarat in PPP. LCP sta deasupra layerului fizic si are rol in stabilirea, configurarea si testarea conexiunii data-link. LCP stabileste linkul point-to-point. De asemenea negociaza si seteaza optiunile de control pe data link-ul WAN, care sunt gestionate de NCP. LCP-ul furnizeaza configurarea automata a interfetelor la ambele capete, incluzand: - gestionarea limitelor variabile ale dimensiunii pachetelor - detectarea erorilor comune de configurare - inchiderea (terminating) linkului - determinarea cand un link functioneaza corect si cand este cazut De asemenea PPP foloseste LCP pentru a agrea automat formatul de incapsulare (autentificare, compresie, detectarea erorilor) imediat ce linkul este stabilit. Layerul network control protocol: Problemele multor familii de protocoale de retea se inrautatesc la folosirea point-to-point. Ca sa rezolve aceste probleme PPP foloseste NCP.

linkurilor

PPP permite multiple protocoale de layer network sa opereze pe acelasi link de comunicare. Pentru fiecare protocol de layer network folosit, PPP foloseste un NCP distinct / separat. Ex: IP foloseste IPCP, IPX foloseste IPXCP, etc. NCP include campuri functionale ce contin coduri standardizate pentru a indica protocolul de layer network incapsulat de PPP. Fiecare NCP gestioneaza nevoile specifice ale unui protocol de layer network. Diferite componente ale NCP incapsuleaza si negociaza optiuni pentru multiple protocoale de layer network. Structura frame-ului PPP:

86

Flag >>> Address >>> Control >>> Protocol >>> Data >>> FCS Adresa este de broadcast. Campul Control are 1 byte, are valoarea 3 (in binar 00000011) - cere datele generate de user in frame-uri nesecventiate. Campul Protocol identifica protocolul incapsulat in frame-ul data link. Campul Data poate avea intre 0 si 1500 bytes. FCS face verificarea erorilor. Modul de stabilire a unei sesiuni PPP: Se face in 3 pasi: 1. Stabilirea linkului si negocierea configuratiei: Inainte ca PPP sa poata schimba orice tip de datagrame, LPC trebuie intai sa deschida o conexiune si sa negocieze optiunile de configurare. Aceasta faza este finalizata cand routerul receptor trimite un frame de configuration-acknowledgement catre routerul care a initiat conexiunea. 2. Determinarea calitatii linkului (oprional): LPC testeaza linkul pentru a determina nivelul de calitate a acestuia. Daca nu este un nivel suficient, nu ridica protocolul de layer network. 3. Negocierea configuratiei protocolului de layer network: NCP configureaza individual protocoalele layerului network; le poate trece oricand in up sau down. Daca LCP inchide linkul, informeaza si NCP ca si acesta sa poata lua masurile potrivite. Linkul ramane configurat pentru comunicare pana cand LCP sau NCP trimit frame-uri explicite de inchidere sau pana cand are loc un eveniment extern. LCP poate inchide linkul oricand (prin request termination sau motiv / eveniment fizic). Modul de operare al LCP: Operarea LCP implica stabilirea, mentinerea si terminarea linkului. Pentru a realiza acestea LCP foloseste 3 clase de frame-uri LCP: a) pentru stabilirea si configurarea linkului se folosesc frame-uri: Configure-Request, ConfigureAck, Configure-Nak, Configure-Reject. b) pentru mentinere (gestionare si debug) se folosesc frame-uri: Code-Reject, Protocol-Reject, Echo-Request, Echo-Reply, Discard-Request) c) terminare: Terminate-Request, Terminate-Ack a) Stabilirea linkului incepe prin trimiterea unui Configure-Request (cu wish list pt configuratie). Raspunsuri posibile: - Configure Ack (si daca si autentificarea este ok se stabileste linkul) - Configure-Nak (optiunile sunt recunoscute, dar nu sunt acceptate) - Configure-Reject (nu sunt recunoscute optiunile) Pentru Configure-Nak si -Reject procesul de negociere se reia. b) In faza de mentinere a linkului: - Code-Reject si Protocol- sunt cauzate de primirea unui frame invalid (cod invalid sau bad protocol identifier) - Echo-Request, -Reply, Discard- , dunt folosite pentru testarea linkului. c) daca NCP trimite solicitare de terminare a linkului, primeste Ack, linkul trebuie inchis / terminat si de LCP. Daca LCP termina linkul, sesiunea NCP este automat terminata.

86

Terminarea linkului poate fi cauzata de: loss of the carrier / de carrier, eroare de autentificare, calitatea linkului pica, expira un cronometru de idle / inactivitate, inchidere administrativa a linkului. Pachetele LCP: Fiecare pachet LCP este un mesaj LCP, care contine un camp cod (specifica tipul de pachet) si un camp identificator (pentru match-ul request-reply), camp length si camp data. Optiuni de configurare PPP: - autentificare PAP sau CHAP - compresie prin Stackr sau Predictor - multilink (combina mai multe canale ca sa creasca bandwidth-ul WAN) Cand se initiaza stabilirea linkului se negociaza optiunile. Daca o optiune nu este inclusa in frame-ul de Config-Request, i se atribuie valoarea default. Faza de initiere se termina cu primirea frame-ului Configure-Ack. Procesul NCP: Dupa ce linkul a fost initializat, LCP ii cedeaza controlul lui NCP <=> LCP face autentificarea si configurarea de baza, dupa care invoca NCP, ca sa faca configurarea specifica protocolului de layer retea. Cand NCP a configurat cu succes protocolul de layer network, protocolul de retea este in starea open. Exemplu pentru IPCP: Dupa ce LCP a stabilit linkul, routerele schimba mesaje IPCP ca sa negocieze optiunile specifice protocolului. IPCP negociaza 2 optiuni: - compression: negociaza algoritmul de compresie a headerelor TCP si IP, ca sa economiseasca bandwidth. Compresia Van Jacobsen reduce headerele TCP/IP la 3 bytes. - IP-Address: device-ul initiator specifica o adresa IP ce va fi folosita peste linkul PPP, sau solicita o adresa IP de la respondent. Dupa terminarea procesului NCP linkul intra in starea open si LCP preia controlul din nou. Traficul pe link poate fi orice combinatie de LCP, NCP si pachete de L3. 2.3.1.1 Optiuni de configurare LCP: - autentificare: Password Authentication Protocol si Challenge Handshake Authentication Protocol. - compresie: creste throughput-ul efectiv al conexiunilor PPP prin reducerea volumului de date care trebuie sa traverseze linkul. 2 protocoale disponibile pe routerele Cisco sunt Stacker si Predictor. - error detection: identifica conditiile de eroare. Este folosit magic number - multilink: e disponibil de la IOS-ul 11.1, permite load balancing daca am mai multe linkuri seriale. Are ca acronime: MP, MPPP, MLP sau multilink.

86

- PPP callback: ca sa intareasca securitatea. Routerul actioneaza ca un client / server de callback. Clientul initiaza telefonul, serverul il identifica si termina telefonul, dupa care serverul suna inapoi. Comanda este ppp callback [accept | request] Comenzi pentru PPP: R2(config-if)#encapsulation ppp > activeaza incapsularea PPP Inainte de activarea PPP ar trebui sa configurezi un protocol de rutare. De ce? Vezi ca protocolul default pe echipamentele Cisco este HDLC. R2(config-if)#compression [ predictor | stacker] >>> va compresa traficul. Va afecta performanta sistemului. Daca traficul consista din fisiere compresate, nu folosi aceasta optiune compresia la compresie de obicei nu are sens pt ca rezulta un volum mai mare de date. R2(config-if)#ppp quality procent > asigura calitatea linkului (in ambele sensuri). Daca aceasta scade sub procentul precizat, linkul este pus in down. Exista un lag ca linkul sa nu flapeze. R2(config-if)#ppp multilink>>> face load balancing pe linkuri seriale catre aceeasi destinatie. Atentie: poate masura traficul de in sau out, dar nu in ambele directii simultan. Verificarea setarilor de incapsulare PPP serial: R2#show interfaces serial x >>> arata tipul de incapsulare. Pt PPP mai arata si starea LCP si NCP. R2#debug ppp {packet | negotiation | error | authentication | compression | cbcp } packet: arata pachetele ppp (low level) trimise si primite negotiation: arata pachetele de negociere error: arata o statistica a erorilor authentication: arata mesajele protocoalelor de autentificare compresie: arata informatii specifice cbcp: arata statistici si erori ale protocolului asociate cu negocierea conexiunii PPP care foloseste MSCB. lcp_rlqr >> LCP request link quality report lcp_slqr >> LCP send link quality report Protocoale de autentificare PPP PAP [Password authentication protocol]: e un proces 2 way, in care clientul trimite in text clar user name si parola, iar serverul o accepta sau refuza, dupa caz. Are loc dupa ce LCP a stabilit linkul si inainte sa inceapa configurarea protocoalelor de layer network. R(config-if)#ppp authentication pap 1. Dupa ce s-a incheiat faza de stabilire a linkului, clinetul trimite repetat informatiile de autentificare, pana cand primeste accept sau este terminata (inchisa) conexiunea. 2. Serverul verifica daca informatiile de autentificare sunt corecte si trimite raspunsul accept / reject.

86

PAP nu este un protocol de autentificare puternic, pentru ca trimite informatiile in text clar, fara sa le cripteze. In plus, clientul este cel care decide cand si cu ce frecventa incearca sa se autentifice. Cu toate astea, sunt situatii in care autentificarea PAP este justificata: - cand sunt instalate aplicatii client care nu suporta CHAP - incompatibilitati intre implementari de CHAP ale diferitilor vendori - situatii in care trebuie furnizata parola in text clar, pentru a simula un login pe un host remote. CHAP [challenge handshake authentication protocol]: In cazul lui PAP, dupa ce s-a realizat autentificarea, nu se mai face nicio verificare => reteaua este vulnerabila la atacuri. Fata de PPP, care se autentifica o singura data, CHAP face cutentificari (challenge-uri) periodice, ca sa verifice ca clientul are o parola valida. CHAP este 3 way proces. Dupa ce s-a stabilit linkul: 1. routerul server solicita autentificarea clientului. Ii trimite un mesaj cu id-ul solicitarii, un numar random si user name-ul sau (server id). 2. clientul calculeaza un hash pe baza user name-ului serverului, numarului din mesaj, id-ului mesajului si parolei pe care o are el clientul. Trimite hash-ul serverului. 3. serverul calculeaza si el hash-ul si il compara cu cel primit de la client. Daca valorile coincid, accepta autentificarea. Daca nu, o refuza. Daca autentificarea esueaza, se genereaza un mesaj care contine: -04: codul pentru fail - id = cel al mesajului - un text human readable de genul Authentication failure CHAP ofera protectie impotriva playback attack prin limitarea expunerii. Hash-ul comparat este variabil; routerul local sau un server controleaza autentificarea, nu clientul. Comenzi de autentificare: Rconfig-if)#ppp authentication {chap | chap pap | pap chap | pap [if-needed] [list-name | default] [callin]} chap | chap pap | pap chap | pap >>> arata tipul si ordinea autentificarii if-needed] >>> doar pe interfetele asincrone, se foloseste cu TACACS sau XTACACS. Nu se foloseste in combinatie cu pap / chap, pt ca deja userul s-a autentificat. list name >>> se fol cu AAA sau TACACS+, defineste numele listei care va fi folosit ca default. Lista este o metoda de autentificare TACACS+. Listele sunt create cu comanda aaa authentication ppp. default>>> la fel ca list name callin >>> specifica autentificarea doar pe callin care vin (sunt pe sensul in) pap si chap verifica username si parola intr-o baza de date locala sau intr-o baza de date remote TACACS/TACACS+ AAA/TACACS sunt servere dedicate pentru autentificarea userilor.

86

2.4.5.2 PAP: R1(config)#username R3 password parola #int s0/0/0 -if)#ip address 128.0.1.1 255.255.255.0 -if)#encapsulation ppp -if)#ppp authentication pap -if)#ppp pap sent-username R1 password parola R3(config)#username R1 password parola #int s0/0/0 -if)#ip address 128.0.1.2 255.255.255.0 -if)#encapsulation ppp -if)#ppp authentication pap -if)#ppp pap sent-username R1 password parola ??? nu R3 ??? CHAP e similar, doar ca se modifica autentificarea: ppp authentication chap Troubleshooting pe configurarile PPP cu autentificare: Dupa ce ai facut setarile de autentifcare, verifica-le, nu presupune ca merg. Ca sa le verifici foloseste show interfaces serial si debug ppp authentication . codurile generate de debug: - 1 = challenge - 2 = response - 3 = succes - 4 = fail de facut laboratoarele, inclusiv 2.6.1.3 ************************************ cap 3 Frame Relay Frame Relay este un protocol WAN foarte performant, ce opereaza la layerele 1 si 2 din stiva OSI. Eric Scace de la Sprint International a dezvoltat Frame Relay ca o versiune mai simpla a X.25, ca sa il foloseasca peste interfetele ISDN (Integrated Services Digital Network). Astazi este folosit peste o varietate de alte interfete de retea. Network providerii implementeaza Frame Relay ca tehnica de incapsulare de date si voce pentru LAN peste WAN. Fiecare end-user obtine o linie privata / leased line la un nod Frame Relay. Reteaua Frame Relay gestioneaza transmisia peste o cale care se schimba frecvent si este transparenta tuturor end-userilor. Frame Relay-ul a devenit un protocol WAN foarte folosit pentru ca este mult mai ieftin decat liniile dedicate. In plus configurarea echipamentelor userilor este foarte simpla. Conexiunile

86

Frame Relay sunt create prin configurarea routerelor (sau a altor device-uri cu rol de) CPE sa comunice cu un switch Frame Relay al service providerului. Frame Relay este un protocol WAN foarte performant, ce opereaza la layerele 1 si 2 din stiva OSI. Eric Scace de la Sprint International a dezvoltat Frame Relay ca o versiune mai simpla a X.25, ca sa il foloseasca peste interfetele ISDN (Integrated Services Digital Network). Astazi este folosit peste o varietate de alte interfete de retea. Network providerii implementeaza Frame Relay ca tehnica de incapsulare de date si voce pentru LAN peste WAN. Fiecare end-user obtine o linie privata / leased line la un nod Frame Relay. Reteaua Frame Relay gestioneaza transmisia peste o cale care se schimba frecvent si este transparenta tuturor end-userilor. Frame Relay-ul a devenit un protocol WAN foarte folosit pentru ca este mult mai ieftin decat liniile dedicate. In plus configurarea echipamentelor userilor este foarte simpla. Conexiunile Frame Relay sunt create prin configurarea routerelor (sau a altor device-uri cu rol de) CPE sa comunice cu un switch Frame Relay al service providerului. Tehnologia Frame Relay a devenit cea mai raspandita tehnologie WAN din lume datorita pretului si flexibilitatii sale. Frame Relay reduce costul retelei pentru ca foloseste mai putin echipament (leased-lines necesitau cate 1 linie pentru fiecare end-point), complexitatea este mai redusa si este mai usor de implementat; ofera mai mult bandwidth, reliability si resiliency fata de leased-lines; are o arhitectura mai simpla a retelei si un cost of ownership mai mic. O retea Frame Relay foloseste circuite virtuale [VC] permanente sau switched. In cazul liniilor dedicate clientul plateste toata linia: local loop si link-ul din reteaua providerului. Daca providerul ii da doar canale din linie, incrementarea se face din 64 in 64 kbps. Doar traficul clientului este pe link. In cazul Frame Relay clientul plateste doar pentru local loop si bandwidth-ul folosit, indiferent la ce distanta se afla celalalt capat (end-point). Incrementarea poate fi si din 4 in 4 kbps. Linkul este share-uit cu alti clienti. Costul de implementare al Frame Relay este mai mare ca al liniilor dedicate, dar costul de operare este mai mic. Cand construiesti un WAN ai nevoie de 3 elemente: 1. DTE ca sa accesezi CO al providerului, pentru fiecare site / end-point 2. DCE e al providerului 3. tot ce este intre DCE al providerului (ex: frame relay cloud) Frame Relay este urmasul lui X.25. Fata de acesta are mai putine capabilitati; de ex. nu ofera error correction. Frame Relay gestioneaza eficient volumul si viteza prin combinarea functionalitatilor necesare de la layerele data link si network intr-un singur protocol mai simplu.

86

Ca protocol de layer data link, FR furnizeaza acces la retea, delimiteaza si livreaza frame-urile in ordinea corecta, recunoaste erorile printr-un CRC standard. Ca protocol de layer network, FR ofera multiple conexiuni logice peste un singur circuit fizic si permite retelei sa ruteze date peste aceste conexiuni catre destinatiile dorite. FR opereaza intre device-ul end-user (router / bridge) si retea. Reteaua poate folosi orice metoda de transmisie care este compatibila cu viteza si eficienta ceruta de aplicatiile FR. Unele retele folosesc FR, altele digital circuit switching sau ATM. Conexiunea dintre un device DTE si un device DCE consta din componente de layer fizic si data link: Layerul fizic: defineste specificatiile mecanice, electrice, functionale si procedurale, pentru conexiunea dintre device-uri. (Ex: RS-232) Layerul data link: defineste protocolul care stabileste conexiunea dintre DTE (router) si DCE (switch). Cand carrierii folosesc FR ca sa interconecteze LAN-uri, routerele de LAN sunt DTE. O conexiune seriala, de obicei un T1/E1leased line, conecteaza routerul la switchul Frame Relay din cel mai apropiat POP (point of presence) al providerului. *echipamente de calcul care nu sunt intr-un LAN pot trimite date intr-o retea Frame Relay, printr-un Frame Relay Access Device [FRAD], care are rol de DTE, si care este un dedicated appliance sau un router configurat sa suporte Frame Relay. Se afla in grija clientului (customer premise) si se conecteaza intr-un port de switch al retelei providerului. Circuitele virtuale [VC] Conectarea a 2 DTE prin intermediul unei retele Frame Relay se numeste circuit virtual. Se numeste circuit virtual pentru ca nu este o conexiune electrica directa intre cele 2 capete. Cu VC mai multi useri share-uiesc bandwidth-ul si oricare 2 noduri pot sa comunice intre ele, fara sa foloseasca mai multe linii fizice dedicate. SVC se creaza dinamic prin trimiterea de mesaje de semnalizare in retea (call setup, data transfer, idle, call termination). PVC sunt preconfigurate de provider, iar dupa ce sunt create opereaza doar in modurile idle si data transfer. *unele publicatii se refera la PVC ca la private VC (in loc de permanent VC). VC-urile sunt identificate prin DLCI-uri; valorile pentru DLCI sunt de obicei alocate de service provider, dar au valoare locala, ceea ce inseamna ca aceste valori nu sunt unice in WAN-ul Frame Relay. DLCI-ul nu are nicio semnificatie de la un link la altul (adica poate fi transformata valoarea... dlci = 10 pt segmentul AB, si sa devina 20 pentru segmentul BC). DLCI-urile sunt de obicei cuprinse in intervalul 16-1007 (0-15 si 1008-1023 sunt rezervate). DLCI este inclus in campul de adresa al fiecarui frame transmis. Multiple VCs Frame Relay este statistic multiplexat, adica transmite doar cate un frame o data, dar mai multe conexiuni logice pot coexista pe acelasi link fizic. Frame Relay Access Device [FRAD] sau routerul pot avea mai multe VC care se conecteaza la diferite end point-uri. VC-urile pot fi distinse, chiar daca sunt pe acelasi link, prin faptul ca au DLCI-uri diferite.

86

Aceasta caracteristica reduce costul cu echipamentele si cu complexitatea retelei ==> un inlocuitor pentru mesh, convenabil din perspectiva costului. Incapsularea Frame Relay FraMe Relay ia pachetele de date de la protocolul de layer network si le incapsuleaza ca portiunea de date din frame-ul frame relay. II adauga un camp de adresa (care contine DLCI-ul) si un check sum, apoi pune flag-urile de inceput si sfarsit de frame. Mai detaliat, headerul si trailerul frame relay sunt definite in specificatiile LAPF (link access procedure for frame relay) Bearer Services: campul de adresa contine: DLCI = numar pe 10 biti (maxim 1024 in zecimal) EA (extended address) = daca e setat pe 1, DLCI foloseste doar 1 byte, altfel va folosi 2 bytes =>> numar DLCI mai mare. Al 8-lea bit al fiecarui byte din campul de adresa este EA. C/R = in prezent nu este definit. Controlul congestiei = contine 3 biti care controleaza mecanismul de notificare a congestiei in Frame Relay. Daca frame-ul este cu erori frame relay il arunca (discard) dar nu notifica sursa ca a aruncat frame-ul, lasa asta in grija layerelor superioare. Topologiile Frame Relay pot fi star, full mesh si partial mesh. star: hub and spoke: costul frame relay nu este legat de distanta =>> hub-ul nu trebuie sa fie localizat geografic in centrul retelei. full mesh: realizat prin crearea VC pentru a conecta toate end pointurile intre ele. partial mesh: limita teoretica este de 1000 VC pe un link, real este mai mica. Maparea adreselor Frame Relay Ca sa poata trimite adrese peste Frame Relay, un router trebuie sa asocieze DLCI-ul (pe care il cunoaste) cu IP-ul / adresa de layer 3 (pe care nu o cunoaste). Ca sa afle adresa de layer 3, routerul foloseste Inverse Address Resolution Protocol [Inverse ARP]. Inverse ARP e folosit cu precadere in retelele Frame Relay si ATM si face corespondenta intre adresele de layer 2 (cunoscute) in adrese de layer 3 (necunoscute). Maparea dinamica Se bazeaza pe inverse ARP. Routerul construieste si mentine o tabela de mapare (corespondente), care contine toate cererile rezolvate de Inverse ARP. Pe routerele cisco protocolul Inverse ARP este activat by default. Maparea statica Poti alege sa faci mapare statica si dai de mana corespondentele dlci - adresa de layer 3. Are ca efect dezactivarea inverse ARP. Faci asta cand routerul de la celalalt capat nu suporta Inverse ARP. Alta varianta este cand ai o topologie hub end spoke si vrei ca spoke-urile sa comunice direct intre ele. Maparea dinamica ar face ca spoke-urile sa comunice cu hub-ul, nu direct intre ele.

86

Comenzi pentru configurarea maparii statice: R1(config)#interface s0/0/0 R1(config-if)#ip address 10.1.1.1 255.255.255.0 R1(config-if)#encapsulation frame-relay R1(config-if)#no frame-relay inverse-arp R1(config-if)#frame-relay map ip 10.1.1.2 102 broadcast cisco varianta generica este mai jos R1(config-if)#frame-relay map protocol protocol-address dlci [broadcast] [cisco / ietf] R1(config-if)#no shut LMI = Local Management Interface In esenta, LMI este un mecanism de keepalive care ofera informatii despre conexiunea dintre routerul DTE si switchul frame relay DCE. O data la 10 secunde (default) routerul solicita un raspuns la un mesaj care contine un numar de secventa sau solicita informatii despre starea canalului. Daca nu primeste raspuns, considera ca linkul este cazut. La 60 sec primeste ca raspuns un FULL STATUS, care include informatii despre toate DLCI-urile alocate acelui link. Nu trebuie confundat LMI cu incapsularea. Diferente: - LMI = mesaj intre router si switch; switch-ul si routerul trebuie sa foloseasca acelasi tip de LMI - Incapsularea = headerele folosite ca 2 DTE sa comunice intre ele; switchul nu este interesat de tipul de incapsulare. DTE-urile sunt interesate / afectate de tipul de incapsulare. Extensiile LMI Sunt folositoare in mediul dintre retele (internetwork environment). - VC status messages: furnizeaza informatii despre integritatea PVC prin comunicarea si sincronizarea dintre device-uri, raportand periodic existenta noilor PVC si stergandu-le pe cele care deja exista (adica suprascrie PVC existente cu PVC care ar trebui sa fie pe acel link ???). Aceste mesaje previn ca datele sa fie trimise in black holes (PVC care nu mai exista). -Multicast: permite unui emitator sa trimita un frame catre mai multi receptori. Multicastul suporta protocoalele de rutare si procedurilor de address resolution. - Global addressing / adresare globala: ofera identificatorilor de conexiune o semnificatie globala in loc de una locala. a.i orice interfata din reteaua frame relay va putea fi identificata. =>> reteaua Frame Relay se va comporta ca un LAN, iar ARP se va comporta si el ca in LAN. - Un control simplu al fluxului (flow): furnizeaza un mecanism XON/XOFF pentru controlul fluxului, care se aplica intregii interfete Frame Relay. Se adreseaza acelor device-uri ale caror layere superioare nu pot gestiona bitii de notificare a congestiei, dar au nevoie de un nivel de control al fluxului. Identificatorii LMI Sunt mai multe tipuri de LMI, incompatibile unul cu celalalt. Ca sa poata comunica, LMI routerului trebuie sa fie de acelasi tip cu cel folosit de echipamentul providerului. Routerele Cisco suporta 3 tipuri de LMI: - Cisco, extensia LMI originala. - Ansi, corespunzator standardului Ansi T1.617 Anexa D

86

- q933a, corespunzator standardului ITU Q933 Anexa A. Incepand cu IOS-ul 11.2 a aparut feature-ul de LMI autosense care detecteaza tipul de LMI folosit de switchul frame relay direct conectat. Pe baza mesajului de status LMI primit de la switch, routerul isi configureaza automat interfata ca sa foloseasca acelasi tip de LMI cu cel suportat de switch-ul Frame Relay. Comanda manuala este frame-relay lmi-type [ansi | cisco | q933a], dar atentie ca va dezactiva autosense. Cand configurezi manual LMI-ul, trebuie sa specifici si intervalul de keepalive. VC identifiers >>>> VC types 0 >>> LMI (Ansi, ITU) 1-15 >>> rezervati pentru o utilizare viitoare 992-1007 >>> CLLM 1008-1022 >>> rezervati pentru o utilizare viitoare (Ansi, ITU) 1019-1020 >>> multicasting (cisco) 1023 >>> LMI (Cisco) Identificatorii VC nu sunt DLCI-urile??? Mesajele de status ale LMI cu mesajele Inverse ARP permit unui router sa asocieze adresele de layer 3 cu cele de layer 2. Cand un router se conecteaza la o retea frame relay, interaba care este statusul LMI al retelei. Reteaua raspunde cu un mesaj de status LMI care contine detaliile pentru fiecare VC asociat linkului. Periodic, routerul repeta mesajul despre statusul LMI, iar reteaua ii raspunde doar cu actualizari. O data la un numar de mesaje, reteaua trimite un mesaj full status. Daca routerul are nevoie sa mapeze VC-urile la adresele de Layer 3, va trimite un mesaj Inverse ARP catre fiecare VC. Mesajul inverse arp include adresa de layer 3 a routerului, in asa fel incat routerul DTE destinatie sa poata face si el maparea. Se trimit mesaje inverse arp pentru fiecare protocol de layer 3 suportat pe link. Configurarea de baza a Frame Relay: pasi obligatorii: 1. activezi incapsularea frame relay pe interfata 2. configurezi modul de mapare al adreselor - static sau dinamic. Pasi optionali: 3. configurezi LMI 4. configurezi SCV-urile frame relay 5. configurezi forma traficului frame relay 6. customizezi frame relay pentru reteaua ta 7. monitorizezi si intretii conexiunile frame relay In plus setezi si bandwidth-ul, care este folosit de EIGRP si OSPF in calcularea metricii. Incapsularea frame-relay cisco are un header de 4 bytes, din care 2 bytes sunt pentru identificarea DLCI si 2 bytes pentru a identifica tipul de pachet.

86

Configurarea unei mapari statice frame relay Maparea dinamica se face prin inverse ARP, care este activat by default, deci nu trebuie sa faci nimic. Pentru maparea statica trebuie sa configurezi manual un router. Comanda care trebuie data este: R1(config-if)#frame-relay map ip 10.1.1.2 102 broadcast cisco varianta generica este mai jos R1(config-if)#frame-relay map protocol protocol-address dlci [broadcast] [cisco / ietf] Parametrii: 1. [broadcast] Frame Relay, ATM si X.25 sunt retele non-broadcast multiple access [NBMA]. Acest tip de retele nu suporta multicast sau broadcast, ci doar unicast. Daca vrei sa comunici broadcast, trebuie sa trimiti manual frame-ul catre fiecare destinatie. Unele protocoale de rutare (RIP, EIGRP, OSPF) necesita configurari aditionale ca sa fie suportate de retelele NBMA. Prin parametrul broadcast se vor forwarda update-urile de rutare, pentru ca acesta va permite comunicarea broadcast / multicast peste PVC. 2. [protocol] Defineste protocolul suportat, bridging sau logical link control: appletalk, decnet, dlsw, ip, ipx, llc2, rsrb, vines si xns. 3. [protocol-address] defineste adresa de layer 3 a interfetei routerului destinatie 4. [DLCI] defineste DLCI-ul local folosit pentru conectarea la adresa protocolului remote Split horizon: Din perspectiva protocoalelor de rutare apare o problema, daca sunt mai multe VC pe aceeasi interfata: nu se trimit update-uri de rutare pe aceeasi interfata de pe care au fost primite / invatate. Ca sa se rezolve aceasta problema este indicata folosirea subinterfetelor (echivaleaza cu o topologie full mesh), varianta in care se dezactiveaza split horizon putand genera bucle de rutare. Plata pentru Frame Relay Cand isi creaza reteaua Frame Relay, service providerul foloseste switchuri (echipamente) rapide si mari (si scumpe), dar clientul (respectiv echipamentele acestuia) nu vad decat interfata switchului service providerului, nu si ce este in spatele acesteia. Concepte: - Access rate sau port speed: viteza liniei / capacitatea local loop. - Committed information rate [CIR] = capacitatea garantata de service provider prin bucla locala. Un avantaj al Frame Relay este ca daca exista capacitate nefolosita, aceasta se imparte la toti clientii, de obicei fara niciun cost =>> burst-ul poate fi preluat (si transmis).

86

Burst = device-urile care au temporar nevoie de mai mult bandwidth o imprumuta de la alte device-uri care nu folosesc atunci bandwidth, fara sa implice un cost suplimentar. Committed Burst Information Rate [CBIR] = rata negociata peste CIR pe care clientul o poate folosi pentru a transmite burst-ul. Nu poate depasi viteza portului de pe acel link (banuiesc ca e vorba de viteza maxima reala a linkului). Durata de transmisie a burst-ului trebiue sa fie scurta, mai putin de 3-4 secunde. Frame-urile trimise la viteza mai mare ca CIR sunt marcate ca discard eligible [DE] <=> pot fi aruncate daca reteaua este congestionata sau daca nu este suficient bw (capacitate) in retea. BE este termenul care descrie bandwidth-ul disponibil intre CBIR si bw real al linkului. NU este negociabil si, cu toate ca frame-urile pot fi transmise la acest nivel, este foarte posibil sa fie aruncate (dropped). Flow control in Frame Relay Frame Relay reduce overhead-ul prin implementarea unor mecanisme simple de notificare a congestiei, per VC. Aceste mecanisme sunt: Forward Explicit Congestion Notification [FECN] si Backward Explicit Congestion Notification [BECN]. BECN este o notificare directa. FECN este o notificare indirecta. In perioade de congestie switch-ul frame relay al providerului aplica urmatoarele reguli logice: 1. daca frame-urile care vin nu depasesc CBIR, vor trece mai departe 2. daca frame-urile care vin depasesc CBIR, vor fi marcate ca DE 3. daca frame-urile care vin depasesc CBIR + BE, vor fi aruncate. Cand apare o incarcare / congestie, switch-ul trimite FECN echipamentelor din downstream si BECN echipamentelor din upstream <=> pune F frame-urilor pe care le primeste pe linkul cu congestie si B frame-urilor pe care le trimite pe linkul cu congestie. DTE-urile care primes frame-uri cu bitii ECN setati, ar trebui sa isi reduca fluxul de trafic pana cand se descongestioneaza linkul. *Daca congestia apare pe un link intern, DTE-urile pot sa primeasca notificari chiar daca nu sunt ele cauza congestiei. 3.4.1.1 Configurarea subinterfetelor Frame Relay Subinterfetele adreseaza limitarea retelelor Frame Relay prin oferirea unui mod de a subdiviza retele partially meshed intr-un numar de subretele mai mici, full mesh sau point-to-point. Fiecare subretea are propriul network number si din perspectiva protocolului apare ca s-ar fi ajuns la aceasta printr-o interfata diferita. Subinterfetele point-to-oint pot fi nenumerotate (unnumbered) cand sunt folosite cu IP, reducand efortul de adresare care ar fi rezultat. R1(config-if)#interface serial 0/0/0.103 point-to-point >>> creaza o subinterfata. conventional i se da numarul dlci-ului, ca sa se poata face troubleshooting mai usor. Obligatoriu trebuie folosit multipoint sau point-to-point, pentru ca nu este o valoare default a optiunii.

86

Daca subinterfata este configurata ca point-to-point, DLCI-ul local pentru subinterfata trebuie de asemenea configurat, ca sa se poata distinge de cel al interfetei fizice. DLCI-ul este de asemenea necesar pentru subinterfetele multipoint in cazul in care inverse ARP-ul este activat. DLCI-ul nu este necesar in cazul subinterfetelor multipoint configurate cu mapare statica. *Nota: din nefericire modificarea configuratiei unei subinterfete Frame Relay existente poate sa nu genereze rezultatele asteptate (si tu sa fi dat comenzile necesare). In aceste cazuri este posibil sa trebuiasca sa salvezi configurarea si sa reincarci routerul. ** Singurul mod de a lega un LMI de DLCI-ul unei subinterfete este prin comanda frame-relay interface-dlci, pentru ca LMI nu stie despre subinterfete. Aceasta comanda se foloseste numai pe subinterfete. Pasi pentru configurarea unei subinterfete: 1. stergi configurarea anterioara a interfetei fizice 2. encapsulation frame-relay >>> activeaza incapsularea frame-relay 3. creezi subinterfete pentru fiecare PVC, pt un troubleshooting mai usor, dai numarul PVC subinterfetei. interface serial 0/0/0.103 point-to-point 4. configurezi o adresa ip si setezi bandwidth-ul 5. configurezi DLCI-ul pe subinterfata (DLCI-ul e dat de service provider) frame-relay interface-dlci Verificarea configurarii Frame Relay 1. Comanda show interfaces 2. show frame-relay lmi >>> daca afiseaza orice valoare diferita de 0 la elementele cu invalid. In felul acesta incepi sa izolezi problemele. 3. verifici statusul PVC-urilor: show frame-relay pvc [interface interfata] [dlci] Statusul poate fi active, inactive sau deleted. clear counters >>> va reseta statisticile, astepti cateva minute si verifici daca au aparut noi erori. Te ajuta sa ii spui providerului de unde apar erorile. 4. verifici functionarea inverse ARP show frame-relay map ca sa stergi maparea inverse ARP dai comanda: clear frame-relay inarp Troubleshooting: debug frame-relay lmi si urmaresti mesajele afisate. - out este un LMI status message trimis de router - in este un mesaj primit de la switchul Frame Relay - type 0 = LMI full status message - type 1= LMI exchange - dlci 100, status 0x2 = dlci 100 este active Statusurile: - active = indica un circuit end-to-end (DTE-DTE) successful - inactive = arata ca doar legatura router - switch este ok, nu detecteaza DTE-ul de la capatul celalalt. Poate fi cauzata de configurari incorecte sau reziduale de pe switch. - Deleted = DTE este configurat pentru un DLCI pe care switch-ul nu il recunoaste ca valid pentru acea interfata.

86

Valori pentru statusuri: - 0x0 = switch-ul are acest DLCI programat, dar dintr-un motiv (sau altul) nu poate fi folosit. (inactive cred). Posibil celalalt capat al PVC este down. - 0x2 = switchul Frame Relay are acest DLCI programat si totul este operational - 0x4 = switchul nu are acest DLCI programat pentru acest router, dar a fost programat candva in trecut. Ar putea fi cauzat de inversarea DLCI pe router sau PVC a fost sters in norul Frame Relay de catre service provider. ************************** cap 4 - network security Raportul de cunostinte de retea, de programare si detinerea echipamentelor sofisticate pentru a ataca o retea s-a inversat odata cu trecerea timpului. La inceput trebuia sa ai cunostinte bune ca sa poti folosi cele cateva unelte si atacuri rudimentare; ulterior raportul cunostinte - unelte (tools) s-a inversat, oferind si celor cu cunostinte entry level posibilitatea de a ataca o retea. Terminologie: - White hat - persoana care cauta vulnerabilitati in sistem / retea si le raporteaza detinatorului retelei / sistemului, pt ca respectivul sa le poata trata. White hat securizeaza vs black hat care sparge securitatea - Hacker - initial desemna un expert in programare. Acum identifica o persoana care incearca sa obtina acces neautorizat la resursele retelei; are intentii ostile. - Black hat - tot o persoana care incearca sa isi foloseasca cunostintele in scop ostil, in general pentru un castig personal sau financiar. - Cracker - un termen mai exact care defineste o persoana care incearca sa obtina acces neautoriza la resursele retelei si care are intentii ostile. - Phreaker - o persoana care manipuleaza reteaua de telefoane ca sa faca o functie nepermisa. O tinta obisnuita a acestuia este sa sparga reteaua de telefonie ca sa faca convorbiri la distante mari, gratuit. - Spammer - trimite mesaje nesolicitate si atasamente cu virusi ca sa preia controlul computerului infectat si sa trimita mai departe spam. - Phiser - foloseste email / altceva ca sa pacaleasca utilizatorii sa isi dea date sensibile / confidentiale, ca datele cardului, parole, etc. Etapele / pasii unui atac: 1. footprint analysis (recunoastere) 2. enumerate information - vezi ce stii 3. manipulezi userii ca sa obtii acces 4. escalezi privilegiile - iti dai privilegii mai mari 5. strangi si alte parole si secrete 6. instalezi backdoors - ca sa nu mai fi detectat cand intri in sistem 7. te folosesti de sistemul infectat ca sa ataci si alte hosturi din sistem Din perspectiva securitatii o retea poate fi: echilibrata, deschisa, restrictiva, inchisa. *Reteaua inchisa este ferita de riscurile externe, dar tot este expusa riscurilor interne.

86

Politica de securitate: este un set de principii care ajuta procesul de decizie si le permite liderilor organizatiei sa distribuie autoritatea cu incredere. O politica de securitate are urmatoarele obiective: - sa informeze utilizatorii, angajatii si managerii de cerintele obligatorii pentru a proteja bunurile tehnologice si informationale. - specifica mecanismele prin care pot fi indeplinite aceste cerinte - furnizeaza o structura de pornire de la care se poate obtine, configura si audita sistemul de computere si retele ca sa fie in conformitate cu politica. ISO si IEC au publicat un document standard pentru crearea politicii de securitate, numit ISO/IEC 27002. Are 12 sectiuni: - Risk assessment - Security policy - Organization of information security - Asset management - Human resources security - Physical and environmental security - Communications and operations management - Access control - Information systems acquisition, development, and maintenance - Information security incident management - Business continuity management - Compliance Amenintari comune / Common sec urity threats

Cand vorbesti de securitate vei intalni des 3 elemente: -vulnerabilitati -amenintari -atacuri Vulnerabilitate = slabiciunea inerenta a unui device / retea. Amenintari = oameni interesati si pregatiti sa obtina avantaje din slabiciunile de securitate. Atacurile sunt desfasurate de amenintari prin scripturi, programe, tool-uri la adresa retelelor si a echipamentelor de retea. Sunt 3 tipuri de vulnerabilitati / slabiciuni: - de tehnologie - de configurare - de politica de securitate 1. Amenintari la adresa infrastructurii fizice: - amenintari hardware: distrugerea fizica a serverelor, routerelor, switchurilor, cablurilor, workstations

86

- amenintari de mediu (environment): temperatura prea rece / calda, umiditate prea multa / putina) - amenintari electrice: fluctuatii de electricitate, subalimentare, zgomot pe canalele de comunicatie, pierderea completa a curentului. - amenintari de intretinere (maintenance): descarcari electrostatice cauzate de proasta gestionare a echipamentelor (cheie), lipsa pieselor de schimb, cablare proasta, etichetare proasta. Eliminarea / micsorarea riscurilor hardware: - incuierea echipamentelor si limitarea accesului la acestea - monitorizarea si controlul celor care intra / au acces la echipamente - folosirea camerelor de supraveghere Eliminarea / micsorarea riscurilor de mediu: - controlul temperaturii - controlul umiditatii - asigurarea unui flux constant de aer - monitorizarea si inregistrarea alarmelor de mediu Eliminarea / micsorarea riscurilor de alimentare cu energie electrica: - instaleaza sisteme UPS - instaleaza generatoare - respecta un plan de prevenire - instaleaza alimentari de energie redundante - realizeaza alarme remote si monitorizare Eliminarea / micsorarea riscurilor de intretinere: - foloseste o cablare ingrijita - eticheteaza cablurile si componentele critice - foloseste proceduri de descarcare electrostatice - stocheaza componente de rezerva critice - controleaza accesul la porturile de consola 2. Amenintari la adresa retelei: - amenintari nestructurate - amenintari structurate - amenintari externe - amenintari interne Amenintarile nestructurate sunt realizate de indivizi neexperimentati, care folosesc tool-uri de hack usor accesibile. Amenintarile structurate sunt realizate de indivizi / grupuri care sunt bine motivati si competenti dpv tehnic. Amenintari externe = indivizi din afara companiei sau care nu au acces la reteaua acesteia Amenintari interne = indivizi care au acces autorizat la reteaua companiei 3. Social engineering

86

= orice metoda (nu hacking) de a-l convinge pe user sa-si dea datele singur. Ex: phishing. Tipuri de atacuri ale retelei: Sunt 4 tipuri: - recunoastere - acces - denial of service - worns, viruses, trojan horses Recunoasterea = descoperirea neautorizata si maparea sistemelor, serviciilor sau vulnerabilitatilor. S.n. si strangere de informatii si de obicei precede un alt atac. Acces = abilitatea unui intrus de a obtine acces la un device pentru care acesta nu are user sau parola. De obicei exploateaza vulnerabilitatile cunoscute ale sistemului / aplicatiei atacate. Denial of service [DoS] = un atacator dezactiveaza sau corupe un sistem, retea sau servciu cu intentia sa interzica servicii anumitor useri. De obicei DoS inseamna crashuirea unui sistem sau incetinirea acestuia pana la punctul in care nu mai este utilizabil. De cele mai multe ori implica rularea unui hack sau script. Viermi, virusi, troieni = sunt introdusi intr-o gazda cu scopul sa o distruga sau corupa, sa se multiplice, sa interzica accesul la retea, la sistem sau la servicii. 1. Recunoasterea: poate consta din urmatoarele: - internet information querry - ping sweep - scanarea porturilor - packet sniffers Cu utilitarele nslookup sau whois, un atacator poate identifica spatiul de adrese alocat unei corporatii / entitati. Pasul urmator este sa trimita ping-uri la toate adresele publice din spatiul de adrese respectiv, ca sa le identifice pe cele active. Tool-uri automate de ping sweep, ca fping sau gping, ii vor face munca si mai usoara. Adresele IP active sunt identificate, iar atacatorul trece la scanarea porturilor, pentru a determina ce servicii de retea sau porturi sunt active pe respectivele adrese. Un port scaner este un soft, ca nmap sau superscan, care este destinat sa caute hostul unei retele pentru a gasi porturile care sunt deschise. Port scaner-ul intreaba portul ca sa determine tipul si versiunea aplicatiei, precum si tipul si versiunea OS-ului. Pe baza acestor informatii intrusul poate incerca sa exploateze posibilele vulnerabilitati existente. Atacatorii interni pot incerca si eavesdrop (a auzi fara sa vrea, desi pare cam voita actiunea :D ) asupra traficului retelei. 4.1.3.2 Network snooping si packet sniffing sunt exemple comune de eavesdrop. Eavesdrop este folosit des pentru: - strangerea de informatii - furtul de informatii

86

Exemple de date susceptibile la eavesdropping sunt: versiunea 1 de SMNP community string, capturarea perechii user - parola cand acestea sunt trimise (trec prin retea), etc. O metoda comuna de eavesdropping asupra comunicarii este sa captureze pachete TCP/IP sau de alt protocol si sa le decodezi continutul cu un protocol analyzer. Un protocol analyzer este Wireshark; dupa ce ai capturat pachetele, le poti examina ca sa gasesti informatii valoroase. Metode de contracarare a eavesdropping: - folosesti switch-uri in loc de hub-uri (si vei avea comunicare full-duplex, traficul nu va mai ajunge la toate hosturile din retea) - folosesti comunicarea criptata - implementezi si intaresti directive ale politicii (de securitate) ca sa interzici utilizarea protocoalelor susceptibile la eavesdropping (folosesti SNMP 3 - care poate cripta community strings, in loc de SNMP 1) O metoda de criptare utila poate fi criptarea payload-only. Aceasta cripteaza doar continutul pachetului, lasa necriptate headerele, in asa fel incat pachetul trece prin switch-uri / routere fara sa fie nevoie sa fie decriptat. 2. Acces: Atacul acces exploateaza vulnerabilitati cunoscute in serviciile de autentificare, FTP, web, pentru a intra in conturi de web, baze de date sau in alte informatii sensibile. Password attacks: - packet sniffer: obtinerea parolei din pachetele capturate - brute force: dictionare de cuvinte - trojan horses *tools: L0pthCrack, Cain Trust exploitation: Reteaua este protejata printr-un firewall, dar un host din retea are incredere intr-un host exterior retelei =>> poti ataca reteaua prin intermediul hostului extern in care aceasta are incredere. Port redirecting Este un tip de trust exploitation, care foloseste un host compromis pentru a tece traficul de firewall. Ex: ai un firewall cu 3 interfete, cate un host pe fiecare interfata. Hostul din exterior poate ajunge la hostul din segmentul de servicii publice, dar nu si la hostul din interior. Segmentul de acces public se numeste DMZ [demilitarized zone] . Hostul din DMZ poate ajunge la ambele hosturi, din interior si din exterior. Atacul vizeaza compromiterea hostului din DMZ si prin intermediul acestuia atacarea hostului din interior. Dupa ce hostul din DMZ este compromis, sunt instalate software-uri care sa redirectioneze traficul de la hostul din exterior la hostul din interior. *tools: netcat Man-in-the-middle [MITM]

86

Presupune ca un atacator sa se pozitioneze intre 2 hosturi legitime. - transparent proxy e un exemplu. Atacatorul pacaleste victima printr-un phishing email sau web defacing, dupa care isi insereaza url-ul lui in fata url-ului legitim. Ex: http:www.legitimate.com devine http:www.attacker.com/http://www.legitimate.com Tot traficul victimei poate fi interceptat de atacator, care poate sa corupa informatia care se intoarce la victima. Prin alte tipuri de atacuri MITM se pot face si: furt de informatii, obtinerea (highjack / rapirea) unei sesiuni la resurse la care atacatorul nu ar avea acces in mod normal, DoS, coruperea datelor transmise, introducerea de date intr-o sesiune deschisa. Reducerea atacurilor MITM WAN se face prin folosirea tunelurilor VPN - atacatorul vede doar informatii criptate. Pentru LAN se foloseste port security pe switchuri. *Tool-uri pentru MITM in LAN: ettercap, ARP poisoning. 3. Denial of Service [DoS] Impiedica persoanele autorizate sa ruleze un serviciu prin consumarea resurselor sistemului. Este considerata o forma triviala de atac, pentru ca este usor de implementat. Exemple: Ping of Death: un ping are in mod normal 64 - 84 bytes. Ping of Death modifica headerul pachetului ping si ii spune ca pachetul are 65535 de bytes, ceea ce face ca vechile sisteme sa crashuiasca. A fost popular la sfarsitul anilor 90. Acum cele mai multe retele nu mai sunt susceptibile la acest tip de atac. SYN flood: exploateaza 3 way handshake. Trimite multiple syn requests (peste 1000) unui server, care raspunde cu syn-ack, dar softul ostil nu mai raspunde cu ack final, ca sa incheie 3way handshake-ul. Acest lucru leaga serverul care va ramane fara resurse si nu va mai putea raspunde cererii unui host legitim. E-mail bombs: sunt trimise e-mailuri bulk persoanelor, listelor sau domeniilor, monopolizand serviciul de email. Applet-uri ostile: folosesc Java, JavaScript, ActiveX, care cauzeaza distrugeri sau blocheaza computerul. DDoS Attacks Distributed DoS sunt menite sa satureze linkurile retelei cu date nelegitime. Astfel se poate incarca linkul, cauzand ca traficul legitim sa fie dropped. DDoS foloseste metode de atac similare cu DoS, dar la o scala mult mai mare. In general sute sau mii de puncte de atac incearca sa copleseasca o tinta. De obicei un DDoS are 3 componente: - 1 client / atacator - 1 handler care este un host compromis si care este capabil sa gestioneze mai multi agenti - 1 agent care este un host compromis pe care ruleaza programul de atac si care este responsabil de generarea fluxului de pachete catre tinta. Exemple de atacuri DDoS:

86

- smurf - tribe flood network - stacheldraht - MyDoom Atacul smurf foloseste mesaje ping pe adrese de broadcast capturate (spoofed) pentru a floda un sistem tinta. In pasul 1 atacatorul trimite ICMP echo request catre o adresa de broadcast de retea (direct broadcast) cu o adresa valida, luata dintr-un pachet spoofed. Routerul face broadcast de la L3 la L2, cele mai multe hosturi raspund cu ICMP echo reply, multiplicand traficul cu nr de hosturi care raspund. Intr-o retea multiple access broadcast network pot fi sute de hosturi care raspund unui astfel de mesaj. Preventia la acest tip de atac se face prin oprire (turn off) a broadcastului direct; de la IOS 12.0 acesta este oprit. Atacurile DoS si DDoS pot fi reduse prin implementarea listelor de acces anti spoof si anti DoS. ISP-isti pot sa implementeze si controlul traficului (prin rate), limitand volumul de trafic neesential din segmentele de retea. Un exemplu comun este limitarea traficului ICMP, pentru ca este trafic doar de diagnosticare. Malicious code attacks (atacuri prin cod ostil): viermi, virusi, troieni Un vierme executa cod si instaleaza copii ale lui in memoria computerului infectat, care la randul lui poate sa infecteze alte computere. Un virus este un software ostil care este atasat altui program cu scopul de a executa functii nedorite pe o statie. Un troian este o intreaga aplicatie care a fost scrisa ca sa arate ca altceva, ca sa mascheze ca este un instrument de atac (attacking tool). Cum arata atacul unui vierme: - vulnerabilitate activata: viermele se instaleaza - mecanism de propagare: dupa ce s-a instalat, viermele se copiaza si isi selecteaza noile tinte - payload: dupa ce hostul este infectat, de obicei atacatorul are acces la host cu privilegii de user. Atacatorul poate folosi exploit-urile locale ca sa isi dea privilegii de administrator. Viermii sunt programe de sine statatoare care infecteaza sisteme si incearca sa se propage si la alte sisteme conectate? cu acestea. Diminuarea / eliminarea acestor atacuri implica multa rigurozitate din partea adminilor de retea si de sistem (ai a echipelor acestora). Pasii recomandati sunt: - containment (izolare) a raspandirii viermior in retea (izolarea segmentelor de retea? ) - inoculation (vaccinare): aplicarea patch-urilor tuturor sistemelor - carantina: blocarea masinilor infectate, izolarea acestora - tratare: curatarea si patch-uirea fiecarui sistem infectat Virusi si troieni

86

Elementul care diferentiaza un vierme de un virus este ca virusul are nevoie de interactiunea umana pentru a se raspandi (printr-un atasament la un mail, etc). De virusi si troieni te protejezi cu antivirusi pentru useri si pentru retea. Tehnici de reducere / eliminare a amenintarilor - device hardening (protejarea device-urilor) prin schimbarea user + pass default, accesul la resursele sistemului permis doar celor in drept, oprirea / dezinstalarea aplicatiilor sau serviciilor care nu sunt necesare. - instalarea softurilor antivirus - folosirea firewall-urilor - aplicarea patch-urilor sistemelor de operare Dispozitive si aplicatii de securitate In trecut un firewall era suficient pentru securizarea retelei, dar acum a devenit necesara folosirea unei abordari integrate / unei solutii mai complexe: firewall + intrusion prevention + VPN. Abordarea integrata presupune: - controlul amenintarilor: reguleaza accesul la retea, izoleaza sistemele infectate, previne intruziunile, protejeaza bunurile (assets) prin contracararea traficului ostil (viermi si virusi). Echipamente care ofera aceasta functie sunt: seria Cisco ASA 5500 (ASA = Adaptive Security Appliance), Integrated Services Routers (ISR), Network Admission Control (NAC), Cisco Security Agent for Desktop, Cisco Intrusion Prevention Systems (IPS). - securizarea comunicatiilor: securizezi cu VPN-uri. Echipamente care ofera VPN: routerele ISR cisco cu Cisco IOS VPN solution, Cisco 5500 ASA, switch-urile Catalyst 6500. - Network Admission Control: previn accesul neautorizat la retea - IOS-ul Cisco de pe ISR-uri: multe dintre masurile de securitate cerute de clienti se afla incluse in IOS-ul cisco (trebuie sa mai stii cum sa le configurezi ;) ) - Cisco ASA 5500: firewall-ul PIX a evoluat si acum include: firewall, voice security, SSL si IPsec VPN, IPS si servicii de securitate a continutului, toate intr-un singur device. - senzori din seria IPS 4200: acesti senzori identifica, clasifica si opresc traficul ostil - Cisco NAC appliance: foloseste infrastructura de retea pentru a intari conformitatea cu politica de securitate pentru toate echipamentele ce vor sa acceseze resursele retelei. - Cisco security agent (CSA): este un software care ofera capabilitati de protectie pentru servere, desktopuri si sistemele de computere point-of-service (POS). Le protejeaza impotriva atacurilor tintite / directionate, spyware, rootkits, day-zero. The network security wheel Cele mai multe incidente de securitate au loc pentru ca sys adminii nu implementeaza masurile de securitate disponibile si atacatorii / angajatii nemultumiti exploateaza aceste scapari =>> nu trebuie doar sa gasesti vulnerabilitatea si contramasura, ci sa te si asiguri ca solutia este folosita si ca functioneaza corect. Network security wheel este un proces continuu, care presupune retestarea si reaplicarea masurilor de securitate updatate, in mod continuu. Politica de securitate include urmatoarele:

86

- identifica obiectivelor de securitate ale organizatiei - documenteaza resursele care trebuie protejate - fa o inventariere si o harta a infrastructurii de retea - identifica resursele critice pe care trebuie sa le protejezi Pasii de la security wheel sunt: - securizeaza - monitorizeaza - testeaza - imbunatateste 1. Securizeaza: - aparare la amenintari - inspectie stateful si filtrarea pachetelor * stateful inspection = un firewall care pastreaza informatii despre starea unei conexii in tabela de stare ca sa poata recunoaste schimbarile din conexiune care ar putea insemna ca un atacator incearca sa deturneze o sesiune sau sa manipuleze o conexiune. - sistem de prevenirea intruziunilor (IPS), pus la nivelul host si retea pentru a opri in mod activ traficul ostil - patch-uirea vulnerabilitatilor - se repara sau se iau alte masuri pentru a opri exploatarea vulnerabilitatilor cunoscute - dezactivarea serviciilor care nu sunt necesare - cu cat sunt mai putine servicii, cu atat este mai greu pentru un atacator sa obtina acces Conexiuni securizate: - VPN-urile - cripteaza traficul de retea pentru preveni dezvaluirea informatiilor catre indivizi neautorizati / ostili - trust and identify - implementezi constrangeri stranse pe nivele de incredere (in cadrul retelei). - autentificare - dai acces doar userilor autorizati - intarirea politicii - te asiguri ca userii si end device-urile resprecta politica corporate 2. Monitorizare: Monitorizarea securitatii implica metode pasive si active de a detecta incalcari ale securitatii. Metoda cea mai comun folosita este sa auditezi fisierul de log la nivel de host. Sys adminii trebuie sa activeze sistemul de auditare pentru fiecare host din retea si sa verifice si sa interpreteze intrarile din aceste fisiere. Metodele pasive includ dispozitive IDS (intrusion detecting systems) pentru a detecta automat intruziunile. Aceasta metoda necesita din partea adminului de securitate a retelei mai putina atentie decat metodele active. Metodele active pot detecta in timp real violarile de securitate si pot fi configurate sa raspunda imediat, inainte ca intrusul sa poata strica ceva. Un beneficiu in plus al monitorizarii retelei este verificarea daca masurile de securitate implementate la pasul 1 sunt configurate si functioneaza corect. 3. Testarea:

86

In aceasta etapa masurile de securitate sunt testate proactiv. Mai precis sunt verificate masurile din pasii 1 si 2. Unelte de verificarea vulnerabilitatilor de securitate ca nessus sau nmap sunt folosite pentru testarea periodica a masurilor de securitate de la nivelul retelei si al hostului. 4. Imbunatateste: Implica analiza datelor colectate in timpul fazelor de monitorizare si testare. Are ca rezultat amplificarea politicii de securitate prin imbunatatirea mecanismului implementat <=> se adauga itemi la pasul 1. *Securizarea este un proces continuu. Politica de securitate a unei companii Politica de securitate este un set de indrumari menite sa fereasca reteaua de atacuri, din interior si exterior. Politica de secutitate aduce urmatoarele beneficii organizatiei: - furnizeaza o modalitate de auditare a securitatii existente si compara cerintele cu ce este gasit in acel moment - planifica imbunatatirile de securitate, inclusiv echipamente, software si proceduri. - defineste rolurile si responsabilitatile executivilor, userilor, administratorilor - defineste ce comportamente sunt permise si ce nu - defineste procedura de gestionare a incidentelor de securitate - activeaza o implementare globala a securitatii si o intareste prin actionarea ca si cum ar fi un standard intre locatii - creaza o baza pentru actiuni legale, daca este cazul Politica de securitate este un document viu, in continua actualizare. Functiile unei politici de securitate - protejeaza oamenii si informatiile - stabileste regulile de comportament asteptat din partea userilor, executivilor, adminilor - autorizeaza personalul de securitate sa monitorizeze, probeze, investigheze - defineste si autorizeaza consecintele violarilor de securitate *nu intotdeauna este necesar sa explici de ce este ceva facut intr-un anumit fel Componentele politicii de securitate *nu sunt toate obligatorii - declaratia de autoritate si aria de cuprindere: defineste cine din organizatie sponsorizeaza politica de securitate, cine este responsabil pentru implementarea ei, ce arii sunt acoperite de politica de securitate. - politica de utilizare acceptata: defineste modul de utilizare acceptat al echipamentelor si serviciilor, masurile de securitate potrivite pentru angajati pentru a proteja resursele companiei si informatiile proprietare - politica de identificare si autorizare: defineste ce tehnologii foloseste compania pentru a se asigura ca doar personalul autorizat are acces la date. - politica de acces la internet - politica de acces la campus

86

- politica de acces remote - procedurile de gestionare a incidentelor in plus mai poti sa folosesti: - politica de solicitare a accesului la cont - politica de achizitii de valori - politica de audit - politica pentru informatii sensibile - politica pentru parole - politica de analiza a riscului - politica globala pentru web server altele - politica de forwardare automata a emailurilor - politica de trimitere de emailuri - politica pentru spam remote access: - politica de acces dial-in - politica de remote acces - politica de securitate VPN Cine incalca politica de securitate poate fi concediat. Probleme de securitate ale routerelor Securitatea routerelor este un element critic cand vorbim despre securitate (a retelei), pentru ca routerele indeplinesc rolul de: - anuntarea retelelor si filtreaza cine le poate folosi - ofera acces la segmentele de retea si subretea Motivele pentru care routerele sunt atacate: - daca compromiti controlul accesului, poti sa dezvalui detaliile de configurare a retelei, facilitand atacul asupra componentelor retelei - daca compromiti tabela de rutare poti sa reduci performanta, sa interzici servicii de comunicare in retea, sa dezvalui date sensibile - configurand gresit un filtru de trafic poti sa expui componentele retelei la atacuri / scanari, usurand evitarea detectiei pentru atacatori. Securizarea routerelor la perimetrul retelei este un important prim pas in securizarea retelei. Securizarea routerelor inseamna: - securizare fizica - actualizarea IOS routerelor ori de cate ori este indicat - backupul configuratiei si IOS-ului routerelor - intarirea routerul prin eliminarea abuzului potential referitor la porturile si serviciile nefolosite. Securitatea fizica = amplaseaza routerul intr-o zona cu acces controlat, incuiata, fara interferente magnetice, electrosatatice, controleaza temperatura si umiditatea, trece alimentarea curentului printr-un UPS, cumpara / stocheaza piese de schimb.

86

Echipamentele care se conecteaza la router trebuie sa fie si ele securizate sau aflate sub jurisdictia cuiva de incredere. Daca sunt expuse ar putea sa fie infectate cu troieni sau alte executabile. Da-i routerului maximul de memorie posibila :D ca sa fie mai ferit de DoS. Nu-i pune ultimul IOS, ci pe cel mai stabil. Pastreaza o copie de siguranta a IOS-ului si a fisierului de configurare, ca in caz de nevoie sa ai optiune de backup. Elimina serviciile care pornesc default si de care nu te folosesti. Pasi pentru a securiza un router: 1. gestionezi securitatea routerului 2. securizeaza accesul la administrarea remote 3. foloseste un log pentru activitatea routerului 4. securizeaza serviciile si interfetele vulnerabile ale routerului 5. securizeaza protocoalele de rutare 6. controleaza si filtreaza traficul de retea 1. gestionezi securitatea routerului Configureaza o parola puternica: - nu o scrie pe ceva pe care apoi sa il lasi la vedere - nu folosi cuvinte din dictionar - combina litere, cifre, simboluri. - scrie gresit cuvintele (intentionat) - foloseste cel putin 8 caractere - schimba des parolele -! parafrazeaza Cripteaza parolele - IOS-ul cisco le lasa default in plain text. R(config)#service password-encryption In show run, 0 la parola = nu e criptata, 7 = e criptata cu algoritm cisco, 5 e criptata cu un hash MD5. Criptarea cu MD5 se face cu comanda enable secret text R1(config)# username Student secret cisco >>> cripteaza cu md5 parola userului Student. PAP si CHAP nu pot folosi criptarea md5. R2(config)#security password min-length >>> defineste lungimea minima a parolei (de la IOS-ul 12.3(1) ). 2. securizeaza accesul la administrarea remote Cel mai securizat mod de a te conecta la un router este prin consola. Daca totusi nu ai cum sa te conectezi prin consola, te vei conecta remote. Conectarea remote trebuie facuta cu alicarea unor precautii suplimentare de securitate.

86

Pentru a securiza accesul la administrarea remote a switchurilor si routerelor intai trebuie sa securizezi liniile administrative (VTY si AUX), apoi configurezi reteaua sa cripteze traficul prin tunele SSH. Accesul remote inseamna Telnet, SSH, HTTP, HTTPS, SNMP. Pentru acces remote: - instaleaza o retea dedicata pentru management care sa includa doar hosturile de administrare si conexiunile la device-urile de infrastructura. - cripteaza tot traficul dintre router si computerul de administrare. Securizarea remote access se refera la VTY si la TTY (text telephone). TTY = acces asincron la router folosind un modem. Daca vrei sa blochezi o linie (VTY sau TTY), folosesti comenzile no password si login, adica ii ceri explicit o parola, dar aceasta nu exista => nu te poti loga pe acea linie. Pentru VTY, folosirea Telnet sau SSH se face cu comenzile: R(config-line)#no transport input >>> anulez protocolul anterior R(config-line)#transport input telnet ssh >>> pot sa le dau pe amandoua sau doar unul dintre ele. Un device Cisco are de obicei 5 linii virtuale => daca sunt toate deschise (inclusiv in idle) nu mai poti deschide o alta linie =>> trebuie ca ultima linie virtuala sa nu accepte conexiuni decat de la o masina de administrare aflata strict sub controlul tau (faci reguli prin ACL cu comanda ip access-class); alta optiune este comanda exec-timeout <minute> (din config-line) combinata cu comanda service tcp-keepalive-in (din config) telnet este pe portul TCP 23 ssh este pe portul TCP 22 Nu toate IOS-urile Cisco suporta SSH; de obicei doar cele cu k8 sau k9 in nume suporta SSH. Accesul din terminal prin ssh permite adminilor sa faca urmatoarele: - sa se conecteze (securizat) la un router care are linii multiple de terminal cu porturile de consola sau seriale ale altor routere, switchuri sau device-uri - sa simplifice conectarea la routere de oriunde, conectandu-se securizat de oriunde la un terminal-server pe o linie specifica - sa permita modemurilor atasate routerelor sa fie folosite pentru dial-out securizat - sa solicite autentificarea pe fiecare linie, folosind fie user + parola locale, fie un server TACACS+ sau RADIUS Routerele cisco functioneaza ca server si client de SSH. Ca client se conecteaza la un server de ssh, ca server permit clientilor sa se conecteze la ele prin ssh. Cand activezi SSH, trebuie sa configurezi:: - hostname - numele domeniului - chei asimetrice

86

- autentificare locala optional mai configurezi si: - numarul de reincercari de conectare - timeouts Router(config)#hostname R1 R1(config)#ip domain-name alexandru.com R1(config)#crypto key generate rsa >>> de preferat dimensiunea 1024 R1(config)#username Student password cisco123 R1(config)#line vty 0 4 R1(config-line)#transport input ssh R1(config-line)#login local R1(config-line)#end R1(config)#ip ssh time-out 15 R1(config)#ip ssh authentication-retries 2 La conectarea remote trebuie sa dai user si parola ca sa te poti conecta (logic :D ). 3. foloseste un log pentru pastrarea activitatilor routerului Logurile iti permit sa identifici daca un router functioneaza corect sau daca a fost compromis. Uneori din loguri poti sa vezi ce tipuri de probe sau atacuri sunt incercate asupra routerului sau retelei. Configurarea logarilor (syslog) pe router trebuie facuta cu grija. Trimite logurile catre un log host, iar log host-ul trebuie sa fie conectat la o retea de incredere sau protejata sau la o interfata de router izolata si dedicata. Intareste log host-ul prin eliminarea serviciilor si conturilor care nu sunt necesare. Routerele suporta 8 nivele de logare, 0 este cel mai important (arata ca sistemul e instabil), 7 este pentru informatii din mesajele de debug. Logurile pot fi forwardate catre diferite locatii: memoria routerelor (volatila), sau catre un server dedicat pentru loguri. Un server de syslog este o solutie mai buna, pentru ca mai multe masini pot trimite logurile catre acesta, iar adminul le poate urmari (eventual centralizat?). Exemplu de aplicatie de server syslog este kiwi syslog daemon. De asemenea ia in calcul trimiterea logurilor si catre o a 2-a locatie, ca sa tratezi si worst case scenario. *Logurile trebuie citite cu regularitate. In acest fel te vei obisnui cu modul normal de functionare a retelei si vei repera mai usor atacurile / functionarea anormala. E necesar ca timpul sa fie inregistrat corect. Desi routerele au un ceas intern, este mai indicat sa folosesti servere de timp (minim 2, pentru redundanta). Aceste servere se numesc servere NTP (network time protocol). 4. serviciile si interfetele vulnerabile ale routerului

86

Routerele cisco suporta multe servicii de retea de layer 2, 3, 4, 7. Daca nu le folosesti, dezactiveaza-le. Unele dintre ele sunt dedicate fie configurarilor specializate sau mostenite (legacy), fie sunt servicii de layer aplicatie (L7). Este recomandat sa opresti: CDP, TCP si UDP small servers, finger, http server, BOOTP server, configuration autoloading, IP source routing, proxy ARP, IP direct broadcast, clasless routing behavior ???, IP unreachable notifications, IP mask reply, IP redirects, NTP services, SNMP, DNS. La unele din serviciile de mai sus, daca nu le dezactivezi, ar trebui sa restrictionezi accesul / securizare. 5. securizeaza protocoalele de rutare Sistemele de pe routere pot fi atacate in 2 feluri: - subminarea perechilor - falsificarea informatiilor de rutare Subminarea perechilor nu este critica, pentru ca protocoalele de rutare se vindeca intre ele. Un atac mai subtil este cand se falsifica informatiile de rutare si sistemele se vor minti intre ele, cauzand un DoS sau traficul va fi rutat pe o cale pe care nu ar parcurge-o in mod normal. Falsificarea informatiilor de rutare poate cauza: - redirectarea traficului ca sa rezulte bucle de rutare - redirectarea traficului ca sa poata fi monitorizat - redirectarea traficului ca sa fie aruncat Pentru a preveni aceste neplaceri se poate folosi autentificarea protocoalelor de rutare si criptarea informatiilor de rutare. Autentificarea in RIPv2: r(c)#router rip r(c-router)#passive-interface default r(c-router)# no passive-interface s0/0/0 r(c)#key chain rip_key r(c-keychain)#key 1 r(c-keychain-key)#key-string cisco r(c)#int s0/0/0 r(c-if)#ip rip authentication mode md5 r(c-if)#ip rip authentication key-chain rip_key Aceste comenzi trebuie date pe toate routerele pe care ruleaza rip. Autentificarea in EIGRP r(c)#kay chain eigrp_key r(c-keychain)#key 1 r(c-keychain-key)#key-string cisco r(c-keychain-key)#exit

86

r(c-keychain)#exit r(c)#int s0/0/0 r(c-if)#ip authentication mode eigrp 1 md5 r(c-if)#ip authentication key-chain eigrp 1 eigrp_key Autentificare in OSPF r(c)#int s0/0/0 r(c-if)#ip ospf message-digest-key 1 md5 cisco r(c-if)#ip ospf authentication message-digest r(c-if)#exit r(c)#router ospf 10 r(c-router)#area 0 authentication message-digest Auto Secure Este o singura comanda, dar care dezactiveaza procesele si serviciile neesentiale. are 2 moduri de functionare: - interactiv: te intreaba promptul - non interactiv: nu te intreaba Comanda este auto secure Cisco router and security device manager (SDM) furnizeaza un feature similar cu auto secure. SDM este un tool web-based prin care se poate face configurarea LAN, WAN si a functiilor de securitate pe routerele cu IOS cisco + configurare VPN si firewall. Cisco recomanda instalarea SDM pe toate routerele moderne. Ca sa instalezi SDM-ul, trebuie mai intai sa: - te conectezi la router - activezi HTTP si HTTPS pe router - creezi un cont cu parola si privilegii de exec (level 15) - configurezi ssh sau telnet pentru login local si privilegii level 15 SDM este stocat in memoria flash (dar poate fi stocat si pe un PC). Ca sa lansezi SDM-ul, scrii adresa routerului intr-un browser, cu HTTPS pentru ssh, sau http pentru telnet. Intretinerea IOS-ului routerului Periodic la un router se updateaza fie IOS-ul, fie fisierul de configurare. *nu e mereu indicat sa faci update la cel mai nou sistem de operare, pt ca e posibil sa nu fie stabil. Update = inlocuieste un release cu altul, fara sa modifice setul de feature-uri. Noul release fixeaza bugurile sau inloieste vechiul release, care nu mai este suportat. Sunt gratis Upgrade = inlocuieste... si modifica setul de feature-uri. Nu sunt gratis. Cisco recomanda un proces de migrare in 4 pasi: - planifici: setezi obiectivele, identifici resursele, faci profilul retelei, creezi un orar preliminar pentru migrarea la noul release. - design: alegi noile release-uri de IOS-uri cisco si creezi o strategie de migrare la acestea

86

- implementezi: schedule si executi migrarea - operezi: monitorizezi procesul de migrare si faci copii de siguranta ale imaginilor (IOS-urilor?) care ruleaza in reteaua ta. Tools care te ajuta la migrare: - fara login pe site-ul cisco: Cisco IOS reference guide, cisco IOS software technical document, software center. - cu login...: bug toolkit, cisco feature navigator, software advisor, cisco IOS upgrade planner. 4.5.2.1 Sistemul de fisiere (integrated file system) Daca un atacator iti sterge fisierul de configurare sau IOS-ul trebuie sa fii capabil sa il pui la loc. Evident, trebuie sa ai backup la ele. Network file system include folosirea ftp, tftp, rcp (remote copy protocol).=> cursul acesta se concentreaza pe tftp. La show file system, * = sistemul default, iar # = discul este bootabil (discul este memoria flash, care nu prea e disc :D ) caracterul # se citeste pound dir afiseaza un sistem de fisiere din directorul curent. cd nvram: pwd >>> ca il linux, iti arata calea catre directorul curent dir >>> afiseaza directorul curent. Prefixe URL pentru device-urile cisco Pentru examplul tftp://192.168.20.254/configs/backup-configs: "tftp:" = prefix tot ce e dupa // = locatia 1. 192.168.20.254 este locatia serverului TFTP 2. "configs" este master directory 3. "backup-configs" este fisierul Copierea din RAM in NVRAM: R2# copy running-config startup-config copy system:running-config nvram:startup-config Copierea din RAM intr-o locatie remote: R2# copy running-config tftp: R2# copy system:running-config tftp: Copierea dintr-o sursa remote in running-config R2# copy tftp: running-config R2# copy tftp: system:running-config

86

Copierea dintr-o sursa remote in startup-config: R2# copy tftp: startup-config R2# copy tftp: nvram:startup-config Numele IOS este ca in linux. Exemplu: c1841-ipbase-mz-123-14.t7.bin se traduce in: c1841 = platforma pe care ruleaza (careia ii este destinat) ipbase = feature-ul, ip mz = formatul fisierului: m = ruleaza in RAM, z = comprimat 123-14.t7 = version number 12.3(14)T7 bin = binary executable Alte optiuni: i = destinat pentru setul de features IP i = destinat pentru setul de protocoale enterprise. Definesc un set de features in plus (extra queueing, manipulare, translatie) 56i = arata encryption DES IPsec pe 56 biti (criptare pe 56 biti) 3 = destinat pentru firewall / DS k2 = criptare DES pe 168 biti IPsec Cand faci update pentru IOS: Prima data confirmi dimensiunea update-ului (si instalezi mai multa memorie daca este cazul), testezi terminalul pentru conexiunea la router, planifici update-ul pentru perioade mai linistite (in afara orelor de munca), dupa care, la pasul 2: dai shut down pe interfetele nefolosite, faci backup la running config si IOS (pe un server tftp), faci transferul de fisiere, testezi functiile updatate (daca e ok mergi mai departe, daca nu e ok faci back out si reiei tot procesul) si scoti interfetele din shut. Backup pe server tftp: 1. ping in serverul de tftp 2. show flash: arata: - cata memorie flash are routerul - cata memorie flash e disponibila - numele fisierelor din memoria flash 3. copiezi IOS-ul de pe router pe serverul de tftp *cand copiezi IOS pe un router ai grija sa fie IOS pentru acel router, altfel se poate intampla ca routerul sa nu mai poata boota si sa fii obligat sa folosesti ROMmon! R1(config)#boot system flash numeIOS >>> ii spune explicit routerului cu ce IOS din flash sa booteze. trebuie salvat run in start Daca routerul nu mai are IOS si a fost restartat, va intra in ROMmon. Acesta dispune de putine comenzi, dar iti da posibilitatea sa incarci un IOS corespunzator pentru router. Trebuie sa ii configurezi o interfata si sa ii spui de unde isi ia IOS-ul (TFTP), dupa care dai comanda tftpdnld (tftp download).

86

Poti restaura IOS-ul si folosind Xmodem, dar pentru ca merge prin cablul de consola, este foarte lent comparat cu tftp. Viteza default este de 9600 b/s, dar poate fi setata si pe router si pe HyperTerminal la 115000 b/s (creste foarte mult). Comanda este data din ROMmon: xmodem cyr; semnificatia c, y, r difera in functie de configuratie. c = CRC 16, y = Ymodem protocol ??, r = copiaza IOS in RAM. Troubleshooting Show vs debug: show afiseaza parametrii configurati si valorile lor; incarcarea procesorului este mica debug iti permite sa urmaresti executia unui proces; incarcarea procesorului este mare Debug in mediul de productie, ai grija ca: - debug primeste timp de CPU (are prioritate mare). - debug te ajuta sa identifici si sa rezolvi probleme persistente ale retelei - debug poate genera volume mari de date. Ar fi bine sa stii dupa ce te uiti inainte de a da debug. - formatul informatiilor difera pentru debug-uri diferite - planifica folosirea debug (in afara orelor de munca - poate sa iti blocheze routerul) Comenzi folosite cu debug: R1(config)#service timestamps debug datetime msec >>> adauga timpul la mesajele sau logurile debug-ului. R1(config)#show proceses >> afiseaza cat procesor folosesc procesele R1(config)#no debug all >> opreste toate debugurile R1(config)#terminal monitor >> afiseaza outputul debugului pe sesiunea mea vty curenta Pentru a folosi cat mai eficient uneltele de debug, trebuie sa iei in considerare: - impactul asupra performantelor routerului - care este modul cel mai selectiv de a folosi debugul (debugul cel mai specific) - cum fac sa minimizez impactul asupra celorlalte procese - cum opresc debugul dupa ce am aflat ce ma interesa Recuperarea parolei Ca sa recuperezi o parola trebuie sa ai acces fizic la router; singura parola care poate fi recuperata este enable password; enable secret este criptata, deci trebuie inlocuita. Configuration register al routerului este similar cu setarile BIOS ale unui PC. Configuration register este cel mai des folosit pentru recuperarea parolei (mai are si alte functii). 1. te conectezi la consola 2. daca ai acces la R> dai show version si verifici valoarea de la configuration register. Ar trebui sa fie 0x2102 (asta e de cele mai multe ori). 3. Inchizi si deschizi routerul din butonul de power 4. apesi / dai break din tastatura terminalului in primele 60 de sec ca sa intri in ROMmon. 5. in rommon1>confreg 0x2142 face ca routerul sa nu incarce startup-config.

86

6. rommon2>reset routerul se restarteaza, dar nu incarca startup-config. Te intreaba daca vrei sa configurezi cu wizard-ul. 7. dai nu ca sa nu rescrie startup-ul existent in nvram. 8. copiezi start in run. Nu copiezi invers pentru ca pierzi setarile vechi ale routerului! 9. show run iti afiseaza parolele salvate in text clar 10. rescri parolele criptate 11. default interfetele au intrat in shut, trebuie sa le reactivezi 12. R1(config)#config-register 0x2102 >> ca sa tina cont de noul startup-config 13. copiezi run in start ca sa salvezi modificarile R1(config)#login block-for 300 attempt 2 within 120 >> blocheaza loginul 300 sec daca a gresit de 2 ori parola de autentificare R1(config)#security authentication failure rate 5 log >> inregistreaza autentificarile esuate? R1(config)#aaa new-model >> ? ce face ? R1(config)#aaa authentication login LOCAL_AUTH local >>creaza o lista de autentificare definita local. pentru SDM ar trebui sa ai SDM instalat pe router si sa ai user + parola si sa fi dat comanda R2(config)#ip http secure-server ************************************************ cap 5 - Access Control List (ACL) ACL-urile iti permit sa controlezi traficul in / din retea. Pot fi simple (interzici sau permiti retele sau hosturi) sau mai complexe (interzici porturi). Porturi TCP: - well-known [0-1023]: 21 - FTP, 23 - telnet, 25 - SMTP, 80 - HTTP, 110 - POP3, 194 - internet relay chat (IRC), 443 - HTTPS - registered ports [1024 - 49151]: 1863 - MSN Messenger, 8008 - Alternate HTTP, 8080 Alternate HTTP (da, e corect). Porturi UDP: - well-known: 69 - TFTP, 520 - RIP. - registered ports: 1812 - RADIUS authentication protocol, 2000 - cisco SCCP (VoIP), 5004 RTP (voice and video transport protocol), 5060 - SIP (VoIP). Filtrarea pachetelor Filtrarea pachetelor (numita uneori si filtrare statica a pachetelor) controleaza accesul la retea prin analizarea pachetelor care intra / ies si permiterea / interzicerea lor pe baza unui set de criterii. Routerul face filtrare la L3 (mai face si la L1,2,4,7 - dar nu zice materialul, in aceasta pagina). Regulile dupa care routerul face filtrare sunt definite in ACL-uri. ACL-ul = script de configurare care permite sau interzice pachete, pe baza unei liste de intrari permit si deny care se aplica adreselor IP sau protocoalelor superioare.

86

ACL-urile isi extrag din headerul pachetului: IP sursa, IP destinatie, tipul mesajului ICMP. ACL-urile isi pot extrage informatii despre layerele superioare din: portul sursa TCP/UDP sau portul destinatie TCP/UDP. ACL-urile mai sunt folosite si pentru selectarea tipului de trafic care va fi analizat, forwardat sau procesat in alt fel. Cand un pachet este primit pe o interfata care are asociat un ACL pe in, ACLul va fi analizat de sus in jos, cautandu-se o linie care sa se potriveasca. ACL-ul intareste 1-n politici de securitate corporate prin decizii deny / permit; ACL-urile pot fi configurate sa controleze accesul la o retea / subretea. By default routerele nu au ACL-uri configurate => by default nu filtreaza traficul. Guidelines pentru folosirea ACL-urilor: - foloseste ACL-uri in routerele cu rol de firewall aflate intre reteaua ta si o retea externa (internet) - foloseste ACL-uri pe routerul care separa 2 parti ale retelei tale interne, pentru a controla traficul care intra sau iese dintr-o zona specifica - foloseste ACL-uri pe routerele de granita (border routers) - configureaza ACl-uri pentru fiecare protocol de retea de pe interfetele routerelor de granita. Poti configura: - 1 ACL per protocol - 1 ACL per interfata - 1 ACL per directie ==>> cei 3 P, per proto, per interfata, per directie. ==>>> ex: pentru 3 protocoale pe un router cu 2 interfete pot avea 3x2x2 ACL <=> 12 ACL Protocoalele din exemplu: IP, IPX, AppleTalk ACL-urile fac urmatoarele taskuri: - limiteaza traficul din retea pentru a creste performanta retelei (fara trafic video) - ofera controlul fluxului de trafic (update-uri de rutare doar la nevoie) - ofera un nivel de securitate de baza pentru accesul retelei. (cine ce are voie sa acceseze) - decid ce tip de trafic este blocat / forwardat la interfetele routerului (email da, telnet nu) - ecraneaza hosturile ca sa le permita / refuze accesul la serviciile retelei (acces la HTTP, FTP, etc). ACL-urile mai fac, pe langa permit / deny trafic, si clasificarea traficului ca sa activeze procesele de prioritate. Modul de functionare ACL-urile actioneaza pe pachetele care intra sau ies din router (care tranziteaza routerul), nu si pe pachetele generate de router. Inbound ACL: pachetele sunt analizate inainte sa fie trimise la interfata de iesire. Daca pachetul este aruncat, se economiseste timpul in care ar fi fost cautata ruta. Outbound ACL: pachetul este trimis interfetei de iesire, unde este analizat.

86

ACL-ul este parcurs de sus in jos. Cand se face match pe o conditie se opreste verificarea. *Ultima conditie din ACL este implicita si este deny all. Cisco recomanda sa o treci de mana, pentru ca asa poti sa vezi cate pachete au facut match pe ea. Un ACl poate fi aplicat mai multor interfete. Cu toate astea, trebuie sa fie doar 1 ACL per protocol, directie si interfata. Pentru Outbound ACL Cand routerul primeste un pachet, verifica daca are cum sa il trimita mai departe. Daca nu are cum, il arunca. Daca are ruta, il trimite pe interfata de iesire, unde este verificat conform ACLului. Conform conditiilor din ACL pachetul este forwardat mai departe sau aruncat. *Ai grija la deny any care este implicit la sfarsitul ACL-urilor. In cazul protocoalelor de rutare, daca nu esti atent cand configurezi ACL-ul, poti sa nu permiti update-urile si sa pierzi comunicarea intre routere! Tipuri de ACL-uri Cisco ACL-urile Cisco sunt standard si extinse. - ACL-urile standard: filtreaza traficul numai in functie de IP sursa. - ACL-urile extinse: filtreaza traficul dupa mai multe criterii: ip sursa/destinatie, port sursa/destinatie, tipul protocolului. Numarul ACL-ului: - ACL standard: 1-99 reunit cu 1300-1999 -ACL extins: 100-199 reunit cu 2000-2699 ACL-urile pot avea nume. Este indicat ca: - numele sa contina caractere alpha-numerice - numele sa fie scris cu majuscule - numele nu pot contine spatii sau semne de punctuatie si trebuie sa inceapa cu o litera - in cazul ACL denominate (= cele cu nume) poti adauga sau sterge intrari. Pozitionarea ACL-urilor Plasarea optima a ACL-urilor face ca reteaua sa opereze mai eficient. Regula de baza este sa plasezi ACL-urile: - standarde cat mai aproape de destinatie (ca sa nu interzici traficul legitim de la o sursa, pentru ca filtrezi numai dupa IP sursa) - cat mai aproape de sursa, ca sa nu incarci reteaua cu pachete pe care oricum le-ar arunca routerul cu ACL. ACL Best Practices: 1. Bazeaza-ti ACL-ul pe politica de securitate a companiei >>> asa te asiguri ca implementezi guideline-urile de securitatea ale companiei 2. Pregateste o descriere a ce vrei sa faca ACL-ul >> o sa eviti inadvertentele si nu vei crea probleme de acces

86

3. foloseste un editor de text ca sa creezi, editezi si salvezi ACL-urile >>> vei putea refolosi ACL-urile ;) 4. testeaza ACL-urile pe o retea de dezvoltare inainte de a le implementa pe o retea din productie >>> te ajuta sa eviti erori costisitoare. ACL-urile trebuie sa aiba cel putin o inregistrare permit, pentru ca ele interzic implicit tot traficul. Configurarea ACL-urilor standard Router(config)#access-list access-list-number deny / permit / remark source [sourcewildcard] [log] access-list-number = numar intre 1 - 99 sau 1300 - 1999 deny / permit remark = comentariu source = adresa de retea / host in zecimal sau any pentru orice sursa source-wildcard = numar pe 32 biti, in dotted decimal sau any log = optional, are ca efect trimiterea unui mesaj catre consola. Mesajul include numarul ACL, daca pachetul a fost permis sau interzis, adresa sursa, numarul de pachete. Mesajul este generat pentru primul pachet care se potriveste, apoi la intervale de 5 minute, cu numarul de pachete permise / interzise in intervalul de 5 minute. Exemplu: R1(config)# access-list 10 permit 192.168.10.0 Remove ACL R1# show access-list R1(config)#no access-list 10 Remark Permite comentarii de maxim 100 de caractere. Wildcard mask [WM] WM difera de subnet mask, dar ofera o functionalitate similara. Ea determina cat de mult din adresa IP trebuie sa se potriveasca cu intrarea din ACL ca sa se considere match. Bitii din WM: - 0 do care = bitul din adresa trebuie sa se potriveasca - 1 dont care = nu conteaza WM se calculeaza ca 255.255.255.255 - (minus) subnet mask. any = substituie masca 255.255.255.255 host = substituie masca 0.0.0.0 => poti scrie R1(config)#access-list 1 permit 192.168.1.2 0.0.0.0 ca R1(config)#access-list 1 permit host 192.168.1.2 si

86

R1(config)#acces-list 1 permit 0.0.0.0 255.255.255.255 ca R1(config)#access-list 1 permit any 5.2.4.1 ACL-ul se ataseaza unei interfete prin comanda: Router(config-if)#ip access-group {access-list-number | access-list-name} {in | out} se dezaloca cu: Router(config-if)#no ip acces-group Se sterge cu: Router(config)#no access-list >>> fara numar / nume ??? *Daca nu atasezi ACL-ul pe interfata, nu va face nimic. Folosirea ACL ca sa controlezi accesul la VTY (liniile virtuale) E bine sa securizezi accesul la router prin folosirea protocolului SSH. Daca nu ai cum, macar creaza o lista de acces, ca sa specifici ce IP-uri au voie sa se conecteze la router. Comanda este R1(config)#access-list 21 permit host 10.0.0.2 R1(config)#line vty 0 4 R1(config-line)#access-class 21 in >>> acelasi numar cu al ACL-ului Poti folosi tehnica asta si cu SSH. Comanda access-class din line config restrictioneaza conexiunile in si out dintre VTY-urile device-ului cisco si o adresa din lista de acces. R1(config-line)#access-class access-list-number {in [vrf-also] | out} Atentie: - doar listele de acces numerice se pot aplica liniilor VTY - restrictii identice trebuie setate pe toate liniile VTY, pentru ca un user se poate conecta pe oricare dintre acestea. Editarea ACL-urilor numerice: nu se poate, trebuie sters si refacut. De aceea este indicat sa folosesti un editor de text si sa apoi sa faci copy-paste in router. Pentru un ACL existent, il afisezi cu show running-config | include ACL list si il copiezi in editorul de texte, dupa care il copiezi modificat in router. Comentarea cu remark poate fi facuta inainte sau dupa intrarea la care face referire, trebuie sa fii consistent, ca sa stii cum interpretezi lista de acces. ACL standard named [cu nume] E mai usor sa identifici un ACL dupa nume, in loc de numar. Numele unui ACL trebuie sa nu inceapa cu o litera. R1(config)#ip access-list [standard | extended] name

86

R1(config-std-nacl)#[permit/deny/remark] {source / source WM] } [log] R1(config-if)#ip access-group name [in | out] Dupa ce termini de configurat un ACL da comanda show access-list [acl-number | name]. In felul acesta verifici daca ACL-ul este configurat cum ai intentionat. Pasul urmator este sa testezi daca ACL-ul face ce a fost planificat sa faca. Editarea ACL-urilor named: de la IOS 12.3 ACE-urile din ACL-urile named pot fi sterse individual + poti folosi numarul de secventa pentru a insera ACE-uri unde ai nevoie :D . Numarul de secventa este din 10 in 10, cand inserezi un ACE dai un numar de secventa cu valoarea care te intereseaza. 10 permit ceva 20 permit altceva R1(config)#ip acces-list standard NUME R!(config-std-nacl)#15 permit host 192.168.1.3 >> insereaza acest ACE intre cele 2 ACE-uri care au fost configurate initial. 5.3.1.1 ACL-urile extinse Pot fi numerice sau named; cele extinse numerice au valori intre 100-199 si 2000-2699. Sunt mai des folosite decat cele standard, pentru ca filtreaza dupa IP sursa, dar in plus filtreaza si dupa: IP destinatie, protocol, port (mai sunt criterii, dar in CCNP?). Exemplu: poti permite trafic de email catre o sursa, dar nu si trafic web sau file transfer. R1(config)#access-list 101 permit tcp any eq telnet (sau 23) >>> poti spune pe ce porturi (aici destinatie) filtrezi traficul. *poti folosi numele protocolului (aici telnet) sau numarul portului (aici 23)! Configurare -numerice R1(config)#access-list <nr> {permit/deny/remark} protocol source [WM] [operator] [port sau nume] destinatie [WM] [operator] [port sau nume] [established] Established se refera numai la TCP, indica o conexiune stabilita. ( 3 way handshake) -named R1(config)#access-list extended NUME R1(config-ext-nacl)#permit tcp 192.168.10.0 0.0.0.255 any eq 80 R1(config-ext-nacl)#permit tcp 192.168.10.0 0.0.0.255 any eq 443 5.3.4.2 Tipuri de ACL-uri 1. standard 2. extended 3. dinamice (lock-and-key): userii care vor sa treaca prin router sunt blocati pana cand se conecteaza la router si se autentifica prin telnet

86

4. reflexive: permit traficul catre exterior, dar limiteaza traficul catre interior (doar sesiunile deschise dinspre router) 5. time-based: ACL-uri care se activeaza in functie de ora sau zi a saptamanii 3. Lock-and-key este o functie de securitate care filtreaza traficul si care foloseste ACL-uri dinamice (uneori referite ca lock-and-key ACL). Lock-and-key este valabil numai pentru IP. ACL-urile dinamice sunt dependente de conectivitatea Telnet, autentificare (locala sau remote) si ACL-uri extinse. Configurarea ACL-urilor dinamice incepe cu configurarea ACL-urilor extinse care sa blocheze traficul prin router. Userii care vor sa treaca prin router trebuie sa se autentifice folosind Telnet. Dupa autentificare conexiunea Telnet este dropped si o singura linie este adaugata ACL-ului extins. ACL-uri dinamice se folosesc daca: - vrei ca un anumit user / grup de useri sa acceseze un host din reteaua ta, prin conectare remote via internet. Lock-and-key autentifica userii si le permite accesul pentru un timp limitat prin firewall-ul tau. - vrei ca mai multe host-uri din reteaua locala sa acceseze un host remote, protejat prin firewall Beneficii: - foloseste un mecanism challenge ca sa autentifice userii - simplifica managementul in interretelele mari - in multe cazuri reduce procesarea pe router (care este necesara pentru ACL-uri) - reduce oportunitatile de a patrunde hackerii in reteaua ta - crearea unui acces dinamic (liste de?) al userilor printr-un firewall, fara sa compromita alte restrictii de securitate. R1(config)#username student password 0 cisco R1(config)#access-list 101 permit any host 10.2.2.2 eq telnet R1(config)#access-list 101 dynamic testlist timeout 15 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 R1(config)#interface s0/0/0 R1(config-if)#ip access-group 101 in R1(config)#line vty 0 4 R1(config-line)#login local R1(config-line)#autocommand access-enable host timeout 15 4. ACL-uri reflexive Forteaza ca traficul reply de la o destinatie a unui pachet outbound recent sa ajunga numai la sursa pachetului <=> din exterior pachetele ajung numai daca au fost cerute si numai la cine lea cerut. Routerul examineaza pachetele si, cand este initiata o noua sesiune, adauga o intrare temporara intr-o ACL reflexiva. Intrarea este stearsa cand se termina sesiunea. ACL reflexive sunt o forma mai puternica de filtrare fata de ACL extinse cu established, pentru ca se aplica si traficului UDP si ICMP, si pentru ca functioneaza si pentru aplicatiile care isi modifica dinamic portul sursa pentru traficul unei sesiuni.

86

ACL-urile reflexive sunt nested intr-o IP ACL named extinsa; nu pot fi definite in ACL-urile standard named sau numbered sau cu alt protocol ACL; ACL-urile reflexive pot fi folosite impreuna cu alte ACL-uri extinse statice si ACL-uri standard. Beneficii: - ajuta la securizarea retelei impotriva hackerilor si pot fi incluse intr-un firewall - furnizeaza oarecare securitate impotriva spoofing si DoS. E mult mai greu sa incerci sa tragi cu ochiul in ele pentru ca mai multe criterii trebuie sa se potriveasca inainte ca un pachet sa aiba voie sa treaca. - sunt usor de folosit si, comparat cu ACL-urile de baza, ofera un control mai mare / bun asupra caror pachete au voie sa intre in retea. R1(config)# ip access-list extended OUTBOUND R1(config-ext-nacl)#permit tcp 192.168.0.0 0.0.255.255 any reflect TCPTRAFFIC R1(config-ext-nacl)#permit icmp 192.168.0.0 0.0.255.255 any reflect ICMPTRAFFIC R1(config)#ip access-list extended INBOUD R1(config-ext-nacl)#evaluate TCPTRAFFIC R1(config-ext-nacl)#evaluate ICMPTRAFFIC R1(config)#interface s0/1/0 R1(config-if)#ip access-group INBOUND in R1(config-if)#ip access-group OUTBOUND out 5. time-based ACL Sunt similare cu ACL-urile extinse. Permit accesul in anumite intervale de timp sau in anumite zile ale saptamanii. Ca sa implementezi ACL-uri time-based trebuie sa definesti un interval de timp, pe care il identifici cu un nume si te referi la el printr-o functie. Restrictiile de timp sunt impuse functiei insasi. Beneficii: - ofera adminilor de retea mai mult control asupra permit / deny acces la resurse - permite adminilor de retea sa controleze mesajele de log. R1(config)#time-range EVERYOTHERDAY R1(config-time-range)#periodic Monaday Wednesday Friday 8:00 to 17:00 R1(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq telnet time-range EVERYOTHERDAY R1(config-if)#ip access-group 101 out Troubleshooting - Comanda show access-list iti poate arata cele mai multe erori ale ACL-urilor. - cand evaluezi un ACL, verifica regulile dupa care trebuie creat (ordinea in caare trebuie introduse ACE-urile, etc) tipuri de erori: - ordinea ACE este gresita - protocolul este gresit (tcp / udp)

86

- portul este gresit (e pusa restrictia pe portul sursa, nu pe cel destinatie) - uiti sa treci o ACE de deny / permit - pui ACL-ul pe alta directie (out in loc de in) ************************* cap 6 - servicii pentru teleworkeri Beneficiile muncii la distanta: 1. pentru companie: - continuitate in operatii - responsabilizare mai mare - accesul la informatie securizat, reliable si gestionabil - eficientizarea costului pentru integrarea de date, voce, video si aplicatii - cresterea productivitatii, satisfactiei si retentiei angajatilor 2. sociale - cresterea oportunitatilor de angajare pentru grupurile marginalizate - mai putin stres cauzat de deplasare 3. de mediu: - reducerea emisiilor de carbon, atat ale indivizilor, cat si ale organizatiilor Solutia teleworkerilor: Companiile au nevoie de retele sigure, reliable si eficiente dpv cost pentru a se conecta la HQuri, branch-uri si furnizori. Cand incep sa foloseasca teleworkeri le cresc nevoile de securitate, reliability si de eficienta a costurilor. Sunt 3 tehnologii de acces remote care suporta teleworkerii: - tehnologiile traditionale de WAN, de layer 2: Frame Relay, ATM, leased lines - securitatea depinde de service provider - IPsec VPN - ofera o modalitate de conexiune scalabila si flexibila - conexiunile site-to-site ofera teleworkerilor o conexiune sigura, rapida si reliable. E cea mai intalnita optiune pentru teleworkeri, impreuna cu accesul remote peste broadband pentru a stabili o conexiune VPN sigura peste internetul public. Termenul broadband defineste un sistem de comunicare avansat, capabil sa furnizeze servicii de transmisie de viteza mare. Tehnologiile folosite sunt DSL, fibra optica, cablu coaxial, wireless si satelit. Viteza de transmitere a datelor este de peste 200 kbps, cel putin intr-o directie (downstream sau upstream). Ca sa se conecteze la reteaua unei organizatii teleworkerii au nevoie de 2 seturi de componente cheie: - componente home office: laptop / PC, acces broadband (cablu sau DSL), router VPN sau client VPN instalat pe PC. Aditional pot avea wireless Access Point, iar cand calatoresc, teleworkerii au nevoie de conexiune la internet si client VPN. - componente corporate: routere capabile VPN, concentratoare VPN, echipamente de securitate multifunctionale, autentificare, device-uri pentru managementul centralizat al conexiunilor de agregare si terminare VPN.

86

Cand ofer suport pentru VoIP si videoconferinte trebuie sa imi upgradez aceste componente (routerele trebuie sa aiba functionalitate de QoS). VPN = retea privata de date care foloseste infrastructura publica de telecomunicatii. Conectarea teleworkerilor la WAN Aplicatiile folosite de teleworkeri de obicei necesita o conexiune high-bandwidth. Principalele metode de conectare pentru SOHO sunt: - dial-up - cea mai slaba, e ieftina, foloseste liniile de telefon si un modem. Ca sa te conectezi la ISP, suni la numarul de acces (de telefon). De regula e folosit cand nu ai optiuni mai bune. - DSL - e mai scump si mai rapid ca dial-up. Foloseste liniile de telefon si un modem special, de viteza mare, care separa semnalul DSL de semnalul de telefon, furnizeaza conexiune Ethernet pt un host / LAN, conexiunea este permanenta (la dial-up nu e). - cable modem - e oferit de CATV. Conexiunea este oferita prin cablul TV, iar un modem special separa cele 2 tipuri de semnale si furnizeaza conexiune Ethernet pt un host / LAN. - satelit - oferit de satellite service providers; computerul se conecteaza prin Ethernet la un modem de satelit care transmite semnale radio la cel mai apropiat POP (point of presence) din reteaua satelit. Componentele unui cable system: - antena site-ului - sistemul de transport - trunk cable - amplificatoare - cablu de distributie (feeder) Cablul: Spectrul electromagnetic acopera / include o arie larga de frecvente. Frecventa este viteza cu care au loc ciclurile curentului (sau voltajului), calclate ca numarul de unde pe secunda. Lungimea de unda este viteza de propagare a semnalului electromagnetic impartita la frecventa in ciclii pe secunda. Undele radio [RF] constituie o parte a spectrului electromagnetic, intre aproximativ 1 kHz si 1 tera herz. Industria televiunii prin cablu foloseste o portiune a spectrului electromagnetic al undelor radio. Prin cablu diferite frecvente transporta canalele TV (semnalele ??) si datele, iar la capatul dinspre abonat sunt echipamente ca TVs, VCRs, etc, setate pe anumite frecvente ca sa permita userilor sa vada anumite canale sau modemuri care permit userilor sa aiba acces la internet de / cu viteza mare. Frecventele: -downstream (de la headend catre abonati) sunt intre 50 - 860 MHz -upstream (invers) sunt intre 5 - 42 MHz DOCSIS este un standard international care certifica echipamentele prin cablu (cable modems si cable modem termination systems).

86

DOCSIS specifica cerintele pentru L1 (bandwidth si tehnica de modulare) si L2 (doar MAC: metoda de acces). *pentru MAC trebuie intelese tehnicile de separare a canalelor: -TDMA le divide prin momentul de timp la care se transmite semnalul -prin frecventa divide canalele - sunt transmise informatii diferite pe frecvente diferite -CDMA (code division multiple access) foloseste tehnologia spread-spectrum impreuna cu o schema de codare ca sa identifice fiecare transmitator.

Cable modem termination system [CMTS] se afla in headend. Cable modem (simplu) se afla la abonat. CMTS este de obicei un router cu o baza de date cu abonati (ca sa ofere servicii de internet numai celor care platesc :D ). Userii de pe un segment share-uiesc bandwidth-ul pentru upstream si downstream. DSL = modalitate de a furniza conexiuni de viteza mare peste cablu de cupru. Bell Labs a identificat ca conversatiile de voce peste local loop folosesc frecventa de la 300 Hz la 3 kHz. Progresul tehnologic a permis DSL-ului sa foloseasca si frecventa de la 3 kHz la 1 MHz pentru serviciile de date peste liniile de cupru. Asymmetric DSL [ADSL] foloseste frecventa de la 20 kHz la 1 MHz pentru a transmite semnal de date abonatilor. Frecventa pana la 3 kHz este rezervata pentru POTS [plain old telephone service]. ADSL ofera viteza mai mare pentru downstream fata de upstream. SDSL [symmetric] ofera viteze identice pentru up- si downstream. Ratele de transfer depend de dimensiunea local loop si de tipul si conditiile de cablare. Pentru servicii satisfacatoare bucla nu trebuie sa depaseasca 5,5 km (3,5 mile). DSL conecteaza abonatii la central office. Bucla locala este intre customer premise equipment si central office, iar in CO se afla DSL access multiplexor [DSLAM]. DSLAM-ul concentreaza conexiunile de la mai multi abonati DSL. Ca sa conectezi prin DSL un SOHO ai nevoie de: un transmitator - de obicei un modem, aflat la abonat. Mai nou modemul poate fi integrat intr-un router care sa aiba mai multe porturi Ethernet. un DSLAM in CO, care concentreaza conexiunile DSL de la abonati pe / intr-un link de viteza mare, al unui ISP, si mai departe la Internet. *Fata de cablu, DSL-ul nu este mediu share-uit! Se simte incarcarea daca sunt multi useri si datele lor incarca prea mult conexiunea de la DSLAM cu ISP-ul. Avantajul ADSL este ca permite transportul simultan al semnalului de telefon cu cel de date, cele 2 fiind separate prin splittere sau filtere (de fapt microfilters).

86

Un microfiltru este un filtru pasiv low-pass cu 2 capete, unul se conecteaza la telefon si celalalt la prize de telefon. => nu mai este nevoie sa vina un tehnician + te poti conecta la orice prize din locatie ca sa folosesti servicii de voce sau ADSL. Splitterele POTS separa traficul DSL de traficul POTS. Sunt tot device-uri passive. Spliterele sunt in CO si la abonat. Network interface device [NID] = punctul de demarcare; pot pune aici un splitter, care sa separe semnalul de telefon de cel de date. Daca vrei sa instalezi un splitter POTS in NID de obicei trebuie sa chemi un technician. Ca sa evite chemarea unui technician, multe SOHO folosesc microfiltrele, care au ca avantaj si o mai mare conectivitate in locatie. (datorita splitterului de obicei ai un singur outlet [mufa?] in locatie). Broadband wireless Pana recent tehnologia wireless era mai greu de folosit pentru ca trebuia sa te afli in raza de acoperire a unui router (maxim 100 picioare ? 50 metri). Odata cu aparitia hot spot-urilor lucrurile s-au imbunatatit. Au mai aparut si: -municipal Wi-Fi -WiMAX -Satellite internet Tipuri de retele wireless: 1. single router este pe principiul hub-and-spoke 2. mesh: un router si mai multe access point-uri; fiecare AP trebuie sa comunice cu alte 2 AP. 3. WiMAX: foloseste microunde; opereaza la viteze mari si peste distante mai mari decat Wi-Fi. Are 2 componente: a. Un turn care acopera o zona pana la 7,5 km2 b. Receptoare WiMAX in PC-uri ca sa poata receptiona semnalul. Cu WiMAX poti sa acoperi zonele in care nu poti trage / folosi cablu. 4. Internet prin satelit: se foloseste acolo unde nu este disponibil internetul terestru sau in situatiile in care este folosit in miscare (pe vase, avioane, etc). Te poti conecta la internet prin satelit in 3 feluri: a. One-way multicast e folosit pentru IP multicast de date, video sau audio; nu este posibila interactivitatea full b. One-way terrestrial return foloseste accesul traditional prin dialup pentru a trimite si primi date printr-un modem c. Two-way satellite: datele sunt trimise unui satelit care la randul lui le trimite unui hub, de unde sunt trimise in internet. (un satelit poate deservi pana la 5.000 de canale de comunicatie simultan).

86

Standarde wireless: -802.11b >>> 11 Mbps >>> 2.4 GHz -802.11g >>> 54 Mbps >>> 2.4 GHz -802.11n >>> peste 54 Mbps, MIMO >>> 2.4 GHz *802.16 (WiMAX) >>> pana la 70 Mbps, la 50 km >>> in frecvente de la 2 la 6 GHz

VPN si beneficiile VPN-urilor Tehnologia VPN permite organizatiilor sa creeze retele private peste infrastructura internetului public si sa isi pastreze confidentialitatea si securitatea. Prin VPN-uri organizatiile isi creaza o infrastructura virtuala de WAN, care conecteaza branchuri, birouri de acasa, locatii ale partenerilor si telecomuterii remote, la toata sau o parte a retelei corporate. Ca sa se pastreze confidentialitatea, traficul este criptat. VPN-urile creeaza tunele prin care traficul este trimis criptat. Beneficii: -reducerea costurilor pentru ca se elimina liniile WAN dedicate si bancurile de modemuri. -securitate, prin folosirea protocoalelor avansate de criptare si autentificare -scalabilitate, organizatiile pot adauga noi utilizatori / folosesc volume mari din capacitate fara sa adauge semnificativ infrastructura. *cu VPN creste productivitatea si eficienta

Tipuri de VPN 6.3.2.1 Site-to-site VPN sunt folosite ca sa conecteze locatii disparate / imprastiate, in acelasi fel ca Frame Relay sau leased line. De asemenea site-to-site VPNs suporta intranetul companiilor si extraneturile partenerilor de afaceri. Site-to-site VPNs sunt extensii ale retelei WAN clasice, conecteaza intregi retele una la alta. In site-to-site VPNs hosturile trimit si primesc trafic TCP/IP printr-un VPN gateway, care poate fi un router, firewall IPX sau ASA (adaptive security appliance). Perechile de VPN gateway in- si decapsuleaza si cripteaza si de- traficul. Remote access VPN este folosit de mobile users si telecommuters + extranet consumer-to business. Intr-un remote access VPN fiecare host are un software de client VPN; cand hosturile trimit trafic, software-ul de client VPN incapsuleaza si cripteaza traficul Componentele VPN Un VPN foloseste protocoale de tunelare criptografice ca sa ofere: protectie impotriva packet sniffing, autentificarea emitatorului / sender si integritatea mesajului. Componente ca sa poti face un VPN: -o retea existenta

86

-o conexiune la internet -gateway VPNs -software pentru crearea si gestionarea VPN-urilor Cheia eficacitatii VPN-urilor este securitatea. VPNs securizeaza datele prin criptare sau incapsulare, iar cele mai multe prin ambele: -incapsularea se mai numeste si tunneling, pentru ca incapsularea transmite datele transparent de la retea la retea printr-o infrastructura de retea share-uita. -criptarea codeaza datele intr-un format diferit, folosind o cheie secreta. Caracteristicile VPNs securizate VPN-urile folosesc tunelarea si tehnici avansate de securizare ca sa permita organizatiilor sa stabileasca conexiuni securizate, end-to-end, (de retele private) peste internet. Fundatia securitatii VPN este data de: confidentialitatea datelor, integritatea datelor si autentificare. Confidentialitatea datelor = protejeaza datele de eavesdropping / trasul cu ochiul. Se face printrun mecanism de criptare si incapsulare. Integritatea datelor = datele nu sunt modificate sau falsificate. VPN-urile folosesc de obicei hash-uri. Autentificare = mesajul provine de la o sursa autorizata. 6.3.5.1 VPN tunneling Incorporarea capabilitatilor de confidentialitate a datelor intr-un VPN asigura ca doar sursa si destinatia intentionate / legitime sunt capabile sa interpreteze corect continutul mesajului original. Protocolul de tunneling (tunelare) este format din: -protocolul de carrier: protocolul peste care informatia este transportata (Frame Relay, ATM, MPLS) -protocolul de incapsulare: protocolul care inveleste / wrap datele originale: GRE, IPSec, L2F, PPTP, L2TP. -protocolul passenger (de transport): IPv4, IPX, AppleTalk, IPv6 GRE = generic route encapsulation; este un protocol de tunelare dezvoltat de Cisco, care poate sa incapsuleze o gama larga de pachete inauntrul unui tunel IP, creand o legatura virtuala P-toP intre 2 echipamente de retea. Integritatea datelor in VPN: Se realizeaza prin criptare si include un algoritm si o cheie. Cu cat cheia este mai lunga, cu atat creste gradul de securitate. Cei mai cunoscuti algoritmi de criptare: -DES (data encryption standard), foloseste o cheie de criptare pe 56 de biti. E sistem de criptare simetric. -3DES, foloseste 3 chei diferite pentru criptare.

86

-AES (advanced encryption standard): e gandit sa inlocuiasca DES, e mai puternic decat DES si mai eficient la calcule ca 3DES. Poate folosi chei de 3 lungimi: 128, 192 si 256 biti. -RSA (rivest, shamir si adleman): e asimetric, foloseste chei de 512 si 1024 biti. Criptarea simetrica: -aceeasi cheie e fol la criptare si decriptare -cheia e secreta -de obicei se cripteaza continutul mesajului Ex: DES, 3DES, AES Criptarea asimetrica: -o cheie publica -se folosesc chei diferite pentru criptare si decriptare -de obicei sunt folosite pentru certificate digitale si managementul cheilor ? Ex: RSA Hash = message digest = un numar generat dintr-un string de text. Formula de generare a hash-ului face extrem de improbabil ca un alt text sa genereze aceeasi valoare pentru hash. Hash-ul este trimis impreuna cu mesajul. La destinatie este recalculat hash-ul si se compara valorile hash-ului primit cu cel calculat. Daca nu sunt indentice => mesajul a fost corupt / alterat. VPN-urile folosesc un cod de autentificare a mesajului pentru a verifica integritatea si autenticitatea mesajului, fara sa foloseasca mecanisme aditionale. Un HMAC (hash message authentication code) este un algoritm de integritate a datelor care garanteaza integritatea mesajelor. HMAC depinde de: puterea de criptare a functiei hash, dimensiunea si calitatea cheii si de dimensiunea in biti a hash-ului rezultat. Sunt 2 algoritmi HMAC cunoscuti: -MD5: foloseste o cheie secreta pe 128 biti, pe care o combina cu continutul mesajului si rezulta un hash de 128 biti, pe care il adauga la sfarsitul mesajului. -Secure Hash Algorithm 1 [SHA-1]: foloseste o cheie secreta pe 160 de biti, pe care o combina cu continutul mesajului si rezulta un hash de 160 biti, pe care il adauga la sfarsitul mesajului. Autentificarea in VPN Sunt 2 metode de autentificare a perechilor (peer): -PSK [pre-shared key] e un algoritm de criptare care foloseste chei simetrice, introduse manual la fiecare capat al tunelului. Cheile sunt combinate cu alte informatii ca sa creeze cheia de autentificare. -semnaturile RSA: folosesc schimbul de semnaturi digitale ca sa autentifice perechile. Device-ul local deriva un hash si il cripteaza cu o cheie privata. Hashul criptat (semnatura digitala) este atasat mesajului si trimis catre celalalt capat, unde hashul este decriptat folosind cheia publica a capatului local. Daca hashul decriptat este identic cu hashul recalculat, semnatura este autentificata. Protocoalele de securitate IPSec

86

IPSec este o suita de protocoale de securizare a comunicatiilor IP care ofera criptare, integritate si incapsulare. IPSec clarifica mesajele necesare sa securizeze comunicatiile VPN, dar se bazeaza pe algoritmii existenti. Sunt 2 protocoale principale in IPSec: -Authentication header [AH]: este folosit cand confidentialitatea nu este ceruta sau permisa. AH furnizeaza autentificarea datelor si integritatea pachetelor trimise intre 2 sisteme, dar nu face si criptare. De unul singur, AH ofera o protectie slaba. Poate spune cine este originatorul mesajului si daca mesajul a fost modificat in timpul transmiterii. *este folosit impreuna cu ESP. -Encapsulating security payload [ESP]: furnizeaza confidentialitate si autenticitate prin criptarea pachetului IP ( a datelor si a sursei si destinatiei pachetului). Criptarea ascunde datele si sursa si destinatia. ESP autentifica pachetul IP din interior si headerul ESP. Autentificarea ofera autentificarea originii datelor si integritatea datelor. Cu toate ca autentificarea si criptarea sunt optionale, cel putin una din ele trebuie sa fie selectata / folosita. IPSec framework Algoritmi folositi: -DES -3DES -MD5 -SHA-1 -DH permite ca 2 parti sa share-uiasca o cheie secreta pe care o folosesc algoritmii de criptare si hash (DES, MD5, ) peste un canal de comunicare nesecurizat. Framework: -IPSec protocol: ESP, AH, ESP + AH -criptare: DES, 3DES, AES -autentificare: MD5, SHA -DH: DH1, DH2, DH5 DH = Diffie-Hellman

************************************ cap 7 servicii de adresare IP -DHCP -NAT -RIPng DHCP aloca adrese (de obicei private), iar NAT permite hosturilor cu adrese private sa poata sa iasa in internet. Prin folosirea NAT si a adreselor private s-a amanat momentul in care vom ramane fara adrese IPv4 disponibile. DHCP

86

Vine de la Dynamic Host Configuration Protocol aloca dinamic adrese IP si alte configuratii de retea importante. Echipamentele care trebuie sa aiba aceeasi adresa sunt configurate manual (routere, servere), workstations sunt configurate dinamic. In general adminii prefera sa aiba un server de DHCP dedicat, dar si routerele Cisco pot sa ofere servicii DHCP prin setul de feature-uri Easy IP. Operarea DHCP-ului DHCP are 3 mecanisme diferite de alocare a adreselor pentru flexibilitate cand aloci adrese IP: -alocare manuala: adminul pre-aloca clientului o adresa IP, iar DHCP-ul doar i-o comunica -alocare automata: DHCP aloca automat o adresa IP statica si permanenta unui device, selectata dintr-un pool de adrese disponibile. Nu se face lease, iar adresa este alocata permanent device-ului. -alocare dinamica: DHCP aloca dinamic (sau inchiriaza) o adresa IP dintr-un pool de adrese disponibile, pentru o perioada limitata de timp, decisa de server sau pana cand clientul ii spune serverului ca nu ii mai trebuie adresa. Va fi tratat modul de alocare dinamica a adresei IP. DHCP-ul functioneaza intr-o relatie client-server. Cand PC-ul se conecteaza la serverul DHCP, acesta ii aloca o adresa IP. PC-ul se conecteaza la retea cu IP-ul inchiriat pana cand timpul de inchiriere expira. Periodic hostul trebuie sa ceara prelungirea perioadei de inchiriere. Mecanismul de inchiriere asigura ca la mutarea hostului sau la pierderi de curent hostul nu pastreaza o adresa de care nu are nevoie. Serverul DHCP ia adresele eliberate si le pune inapoi in pool-ul de adrese disponibile. Mesajele folosite: -discover: este broadcast, DHCPDISCOVER, comunica cu serverul pe adresele de broadcast de L2 si L3. Client ----> server -offer: de obicei este unicast, trimite o adresa IP hostului. Serverul creaza o intrare ARP cu MAC-ul hostului si adresa IP pe care i-o trimite. Server ---->client; uneori poate fi broadcast -request: are 2 scopuri: originatorul lease-ului si innoirea si verificarea lease-ului. Originator = hostul cere confirmarea pentru IP-ul propus de server; mai serveste si ca o notificare a acceptarii IP-ului trimisa serverului care ii propune adresa si o refuzare a celorlalte IP-uri propuse de celelalte servere. E broadcast. Client ----->server -acknowledge: cand primeste mesajul request, serverul verifica informatiile de lease, creaza o intrare in tabela ARP, si raspunde cu un mesaj DHCPACK. Cand primeste mesajul ACK, clientul inregistreaza (log) informatia si face o cerere ARP pe IP-ul respectiv (daca ii raspunde cineva inseamna ca acea adresa nu e valida, se repeta in retea). Daca nu-i raspunde nimeni la cererea ARP va considera adresa ca valida si o va folosi. Timpul pentru care se inchiriaza o adresa este setat de administrator; cei mai multi ISP-isti si marile retele folosesc setarile default de pana la 3 zile. La expirarea lease-ului clientii cer o alta adresa, cu toate ca de cele mai multe ori o primesc pe aceeasi.

86

Daca mai multe servere raspund unui mesaj discover, clientul nu poate alege decat 1 adresa IP. BOOTP vs DHCP BOOTP este predecesorul DHCP-ului, cu care are cateva caracteristici comune. BOOTP este un mod de a downloada adresa si configuratiile de bootare pentru statiile fara disc (hdd si fara sistem de operare). Si DHCP si BOOTP folosesc sistemul client-server si transmisia UDP prin porturile 67 si 68. Diferente intre BOOTP si DHCP: -BOOTP a fost proiectat pentru preconfigurarea manuala a informatiilor pentru hosturi (MACurile hosturilor trebuie sa fie trecute intr-o baza de date si sa le corespunda adrese deci nu sunt dinamice ), in timp ce DHCP aloca dinamic adrese. -DHCP poate recupera o adresa si sa o inchirieze altui host. -BOOTP ofera informatii limitate unui host (4 informatii ip, gw, masca si DNS?), DHCP este mai generos (peste 20 de informatii), ii poate da si alti parametrii de configurare (servere WINS windows name server), etc. Formatul mesajului DHCP Este compatibil cu cel al BOOTP, dar aduce in plus campul options.

Configurarea serverului DHCP Routerele cisco pot functiona si ca servere DHCP . Pasii pentru configurare sunt: 1. definesti range-ul de adrese care nu vor fi alocate (excluse) 2. creezi pool-ul de adrese alocabile 3. configurezi elementele specifice ale pool-ului O buna practica este sa configurezi intai adresele excluse, ca acestea sa nu fie alocate de DHCP inainte sa le poti defini ca excluse. Comanda este: R1(config)#ip dhcp excluded-addresses adresa_minima adresa_maxima R1(config)#ip dhcp excluded-addresses 192.168.1.1 192.168.1.9 Configurarea pool-ului: R1(config)#ip dhcp pool nume R1(dhcp-config)# R1(config)#ip dhcp pool LAN1 DHCP tasks Trebuie definite reteaua si masca + gateway sau default router (maxim 8 adrese). Optional mai poti defini serverul DNS, numele domeniului, perioada de inchiriere / lease, servere WINS

86

R1(config)#ip dhcp excluded-addresses adresa_minima adresa_maxima R1(config)#ip dhcp excluded-addresses 192.168.1.1 192.168.1.9 R1(config)#ip dhcp pool LAN1 R1(dhcp-config)#network 192.168.1.1 255.255.255.0 R1(dhcp-config)#default-router 192.168.1.1 R1(dhcp-config)#domain-name alexandru.com R1(dhcp-config)#end Dezactivarea serverului DHCP se face cu comanda: R1(config)#no service dhcp Serverul DHCP este activat by default, dar daca parametrii nu sunt configurati, nu se produce nici un efect. Verificarea DHCP-ului R1# show ip dhcp binding >>> arata o lista a legaturilor adreselor IP cu MAC care au fost oferite prin DHCP. R1#show ip dhcp server statistics >>> contorizeaza numarul de mesaje de DHCP care au fost trimise si primite. R1#show ip dhcp pool Ca sa configurezi o interfata a unui router ca client DHCP se da comanda: R1(config-if)#ip address dhcp DHCP relay (releu / transmitator) Intr-o companie mare serverele sunt localizate intr-un server farm, nu in aceeasi retea / subretea cu clientii. De aici rezulta o problema: mesajul DHCP discover este broadcast, iar routerele nu il forwardeaza in mod normal, deci host-ul nu poate obtine adresa IP. Ca sa poata obtine adresa IP, routerul trebuie sa fie configurat sa forwardeze mesajul broadcast. R1(config)#int fa0/0 R1(config-if)#ip helper-address 192.168.0.5 >>> 192.168.0.5 este adresa serverului DHCP; routerul poate primi mesaje de la oricare subneturi si le trimite serverului DHCP. Implicit comanda ip helper-address forwardeaza 8 servicii UDP: 1. portul 37 time 2. portul 49 TACACS 3. portul 53 DNS 4. portul 67 DHCP/BOOTP client 5. portul 68 DHCP/BOOTP server 6. portul 69 TFTP 7. portul 137 NetBIOS name service 8. portul 138 NetBIOS datagram service Ca sa specifici servicii aditionale foloseste comanda ip forward-protocol 7.1.7.1

86

Serverele WINS sunt de obicei in retele care suporta versiuni de windows mai vechi de windows 2000. Troubleshooting 1. rezolva conflictele de adrese IP (R1#show ip dhcp conflict) 2. verifica conectivitatea fizica 3. testeaza conectivitatea fizica prin configurarea unei adrese statice pe host 4. verifica switch port configuration (STP portfast si celelalte comenzi) 5. verifica din ce subnet isi obtine clientul adresa IP de la serverul DHCP (vezi daca ii da o adresa corecta) Daca serverul este in alta subretea decat clientul, verifica existenta comenzii ip helper-address pe interfata din LAN-ul clientului si ca refera adresa serverului DHCP. Verifica sa nu fie dezactivat serviciul DHCP (no service dhcp). Verifica daca routerul (configurat ca server dhcp) primeste DHCP requests (debug ip packet detail ) pe o lista de acces pentru output-ul debugului; acest debug nu este intruziv pentru router. Verifica daca routerul primeste si forwardeaza requesturi dhcp (prin comanda debug ip dhcp server packet). R1#debug ip dhcp server events >> arata evenimentele de la server, ca alocarea adreselor sau update-ul bazei de date + decodarea receptiei si transmisiei dhcp.

Network Address Translation [NAT] asigura conversia adreselor private in adrese publice. Adresele private nu au voie sa iasa in internet, iar daca se intampla sa iasa, sunt aruncate de routerele ISP-istului. NAT-ul converteste adresele IP non-rutabile in adrese rutabile! Alt beneficiu este ca ascunde adresele dintr-o retea de cei aflati in retele exterioare / din afara. De obicei NAT-ul este activat pe un device aflat la marginea unei retele stub. Inside local address= de obicei nu e alocata de ISP / RIR, este o adresa privata. Inside global address = adresa publica valida data de NAT unei adrese inside local. Outside global address = adresa IP a unui host din internet. Outside local address = adresa IP locala a unui host dintr-o retea exterioara. Routerul isi pastreaza o tabela NAT cu corespondente. NAT-ul este de 2 tipuri: -dinamic -static Dinamic = foloseste un pool de adrese publice si le aloca pe criteriul primul venit primul servit. Cand se termina adresele publice disponibile surpriza. Static = alocarea se face 1 la 1, hosturile din retea vor avea mereu aceeasi adresa publica. E folosit pentru servere / hosturi care trebuie sa fie accesibile din internet.

86

O forma a NAT-ului dinamic este NAT overloading (se mai numeste si PAT port address translation), care mapeaza mai multe adrese private pe mai putine adrese publice, in acelasi timp. Acest lucru este posibil pentru ca acest tip de NAT inregistreaza si numarul portului. Cand un client deschide o sesiune, NAT-ul inregistreaza si portul aferent adresei sursa. Astfel, daca mai multe hosturi din reteaua interna primesc pachete pe aceeasi adresa publica, NAT-ul le diferentiaza dupa portul catre care sunt trimise pachetele (portul sursa initial devine acum port destinatie, cand sunt trimise inapoi pachete de la destinatie). In plus se valideaza si ca pachetele primite au fost cerute (deci un spor de securitate). Numerele porturilor se scriu pe 16 biti, ceea ce corespunde unui numar teoretic de 65536 de porturi pentru aceeasi adresa IP, dar real sunt doar in jur de 4000 de porturi corespunzatoare unei adrese IP. Comportamentul NAT overload este sa nu schimbe numarul portului daca nu este necesar. Totusi daca 2-n hosturi trimit pachete cu aceleasi porturi, cand se face translatia, NAT modifica numarul portului, dand numarul urmatorului port disponibil, din 3 range-uri: 0-511, 512-1023., 1024-65535. Daca nu mai sunt porturi disponibile, NAT da urmatoarea adresa IP si reia procesul de alocare a porturilor. Diferentele dintre NAT si NAT overload: -NAT e de obicei 1 la 1, overload-ul 1 la n -NAT se refera la adresa sursa cand primeste pachete din exterior, overload-ul se refera la perechea adresa sursa - port sursa (s.n. connection tracking). Avantajele NAT-ului: 1. conserva adresele publice 2. mareste flexibilitatea conexiunilor la retelele publice 3. ofera consistenta pentru schema de adresare interna 4. creste securitatea retelei Dezavantajele NAT-ului: 1. performanta este degradata 2. functionalitatile end-to-end sunt degradate 3. se pierde urmarirea (traceability) IP end-to-end 4. tunelarea devine mai complicata 5. initierea conexiunilor TCP poate fi distrusa 6. arhitectura trebuie sa fie refacuta pentru a trata schimbarile Configurarea NAT-ului static Trebuie definite adresele care vor fi translatate si configurat corespunzatoare. R1(config)#ip nat inside source static local-ip global-ip R1(config)#interface type number >>> int fa0/0 R1(config-if)#ip nat inside R1(config-if)#exit R1(config)#int fa0/1 R1(config-if)#ip nat outside

NAT pe interfetele

86

Exemplu: R1(config)#ip nat inside static 192.168.10.254 209.165.200.254 R1(config)#int s0/0/0 R1(config-if)#ip nat inside R1(config)#int s0/1/0 R1(config-if)#ip nat outside Configurarea NAT-ului dinamic Trebuie identificate interfetele inside si outside + ACL care spune ce adrese au voie sa fie translatate (pool de adrese ). Router(config)#ip nat pool name start-ip end-ip {netmask netmask|prefix-length prefix-length} Router(config)#access-list access-list-number permit source [source-wildcard] Router(config)#ip nat inside source list access-list-number pool name Router(config)#interface type number Router(config-if)#ip nat inside Router(config)#interface type number Router(config-if)#ip nat outside Exemplu: Router(config)#ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask 255.255.255.240 Router(config)#access-list 1 permit 192.168.0.0 0.0.255.255 Router(config)#ip nat inside source list 1 pool NAT-POOL1 Router(config)#int s0/1 Router(config-if)#ip nat inside Router(config)#int s1/1 Router(config-if)#ip nat outside Configurarea NAT overload Este identica cu cea a NAT-ului, dinamic, cu exceptia folosirii cuvantului interface in loc de pool-ul de adrese. Overload ii spune sa foloseasca NAT overload :D .

1. o singura adresa publica


Router(config)#access-list acl-number permit source [source-wildcard] Router(config)#ip nat inside source list acl-number interface interface overload Router(config)#interface type number Router(config-if)#ip nat inside Router(config-if)#interface type number Router(config-if)#ip nat outside Exemplu: access-list 1 permit 192.168.0.0 0.0.255.255 ip nat inside source list 1 interface serial 0/1/0 overload int s0/1 ip nat inside int s1/1

86

ip nat outside

2. mai multe adrese publice


Router(config)#access-list acl-number permit source [source-wildcard] Router(config)#ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} Router {config}#ip nat inside source list acl-number pool name overload. Router(config)#interface type number Router(config-if)#ip nat inside Router(config-if)#interface type number Router(config-if)#ip nat outside Exemplu: access-list 1 permit 192.168.0.0 0.0.255.255 ip nat pool NAT-POOL2 209.165.200.226 209.165.200.240 netmask 255.255.255.240 ip nat inside source list 1 pool NAT-POOL2 overload int s0/1 ip nat inside int s1/1 ip nat outside

Port forwarding = deschiderea porturilor / trimiterea pachetelor care vin pe un anumit port catre o adresa IP. S..n. si tunelare. Peer-to-peer functioneaza numai dinspre interior spre exterior. Ca masura de securitate routerele broadband nu permit requesturile retelelor externe sa fie forwardate unui host intern. Troubleshooting: R1#show ip nat translations {verbose} >>> dar inainte trebuie sa stergi orice intrare de translatie dinamica, pentru ca acestea se elimina (time-out) dupa o perioada de inactivitate; verbose adauga informatii suplimentare. R1#show ip nat translations {statistics} >>> arata informatii despre numarul total de translatii, parametrii de configurare NAT, cate adrese sunt in pool, cate adrese au fost alocate. R1#show run >>> si cauti info despre NAT, acl si pool Intrarile despre translatiile NAT expira default dupa 24 ore in lipsa comenzii ip nat translation timeout nrSecunde. R2#clear ip nat translation * R2#show ip nat translations clear ip nat translation inside global-ip local-ip [outside local-ip global-ip] >>> sterge doar o intrare dinamica de translatie, inside sau inside si outside. clear ip nat translation protocol inside global-ip global-port local-ip local-port [outside local-ip local-port global-ip global-port] >>> sterge o intrare de translatie dinamica extinsa

86

Pasi de urmat pentru troubleshooting: 1. defineste ce trebuie sa obtii prin NAT si reanalizeaza configuratia 2. verifica daca in tabela de translatii sunt translatiile corecte (show ip nat translations) 3. verifica daca NAT-ul opereaza asa cum te astepti, folosind comenzile debug si clear; vezi daca intrarile dinamice sunt recreate dupa ce le stergi cu clear. 4. evalueaza in detaliu ce se intampla cu pachetul si verifica daca routerele au informatia de rutare corecta. debug ip nat {details} ofera informatii despre fiecare pachet translatat de catre router + informatii despre erori / exceptii (ex: nu poate aloca o adresa publica). In debug, urmatoarele semne au semnificatia: * arata ca translatia are loc in fast-switched. Primul pachet este process-switched (mai lent), restul sunt fast-switched, cu conditia sa existe o intrare in cache. s = sursa a.b.c.d-->w.x.y.z arata ca adresa a.b.c.d a fost translatata in w.x.y.z d = destinatia [xxxx] arata numarul de identificare al IP-ului.

IPv6 De ce este necesar IPv6? 1. creste populatia internetului si userii stau mai mult on line 2. mobile users: PDA, tablet PC, notepad, barcode reader, telefoane mobile, etc 3. transportation (mijloace de transport) in care se folosesc conexiuni la internet 4. consumer electronics (DVR digital video recording, etc) IPv6 satisface complexitatea din ce in ce mai mare a adresarii ierarhice pe care IPv4 nu o mai poate acoperi. O adresa IPv6 este un numar pe 128 biti => numarul total de adrese este 2128. (3.4 x 1039) Numele / denumirea IPv5 a fost folosit(a) ca sa defineasca un protocol de streaming real time experimental; ca sa nu se creeze confuzii, s-a decis ca respectivul nume sa nu fie folosit. In esenta IPv6 a aparut ca urmare a epuizarii adreselor IPv4. In plus in IPv6 au fost incluse noi feature-uri si imbunatatiri (lessons learned). IPv6 are un header mai simplificat, functionalitati de securitate built-in, optiune de autoconfigurare. => imbunatatirile aduse de IPv6 sunt: 1. imbunatatirea adresarii IP 2. header simplificat 3. mobilitate si securitate 4. usurarea tranzitiei

86

1. imbunatatirea adresarii IP presupune: - imbunatatirea accesibilitatii si flexibilitatii globale - agregarea mai buna a prefixelor IP din tabela de rutare - multihome (mai multe adrese pe aceeasi interfata fizica a unui host) - autoconfigurarea (care include adresa de layer data link in spatiul de adresa) - mai multe optiuni de plug-and-play pentru mai multe device-uri - end-to-end fara NAT - mecanism simplificat pentru renumerotarea si modificarea adreselor 2. simplificarea headerului: Dispar mai multe campuri pe care IPv4 le avea, 4 campuri sunt redenumite, sunt pastrate doar 3 campuri nemodificate (headerul IPv6 are doar 8 campuri si 40 de octeti). Aceasta simplitate duce la: - eficienta imbunatatita pentru rutare, scalabilitate pentru performanta si rata de forwardare - nu exista broadcast => nu exista broadcast storm - nu exista checksum - extension header - flow labels pt procesarea pre-flow ca sa nu mai fie nevoie ca pachetul de la L4 sa fie identificat cu diferite fluxuri de trafic. 3. Imbunatatirea mobilitatii si securitatii: - conform cu RFC-ul pentru mobile-IP - IPsec este nativ (obligatoriu) in IPv6 4. usurarea tranzitiei cu mecanisme ca: - dual stack (si adrese IPv4 si IPv6) - 6to4 si tunelare manuala - translatii: NAT-PT, ISATAP, tunelare si tunelare Teredo (last resort method). Sfatul pentru tranzitii este dual stack where you can, tunneling where you must! Reprezentarea adreselor IPv6 Adresele IPv6 sunt 8 campuri de 16 biti separate prin : (doua puncte) si scrise in hexazecimal. Reguli pentru scrierea mai scurta a adreselor IPv6: 1. 0-urile de la inceputul campurilor sunt optionale; 0000 se poate scrie ca 0 2. Mai multe campuri de 0000 pot fi prescurtate prin :: 3. :: este o adresa nespecificata (formata numai din 0-uri) Cand calculatorul interpreteaza o adresa IPv6, pune 0-urile lipsa :j Adresele IPv6 global unicast: Sunt de obicei formate dintr-un prefix de 48 biti si din 16 biti de subnet rezulta 65535 de retele. /23 = Registry prefix /32 = ISP prefix /48 = site prefix

86

/64 = subnet prefix restul = interface ID (e pe 64 de biti)! Adresele unicast pe care IANA le aloca in prezent sunt din range-ul care incepe cu valoarea binara 001 (2000::/3), care echivaleaza cu 1/8 din totalul adreselor IPv6. IANA aloca spatiul de adrese 2001::/16 catre cei 5 RIR registries (ARIN, RIPE, APNIC, LACNIC, AfriNIC). Adrese rezervate Reprezinta 1/256 din totalul adreselor IPv6. Nu specifica din ce bloc de adrese Adrese private Similar cu IPv4, doar ca in acest caz incep cu FE{8-F} (valori de la 8 la F). Sunt de 2 feluri: - adrese site-local ar trebui sa acopere adresarea dintr-un site sau organizatie, dar din 2003 au devenit criticate si problematice in RFC 3879. Incep in hexa cu valoarea FEC, FED, FEE, FEF. - adrese link-local se refera doar la o anumita legatura fizica; routerele nu forwardeaza pachete cu adrese link-local, nici macar in cadrul organizatiei. Sunt folosite doar pentru comunicarea locala, cum ar fi configurarea automata a adreselor, descoperirea vecinilor si descoperirea routerului. Multe protocoale IPv6 folosesc adrese link-local. Au valorile FE8, FE9, FEA, FEB. Adresa de loopback 0:0:0:0:0:0:0:1 sau ::1 Unspecified address Este folosita de host cand nu are adresa / nu-si cunoaste adresa, este 0:0:0:0:0:0:0:0 (mai poate fi scrisa si :: ) Managementul adreselor IPv6 ID-ul interfetei este de 64 biti si poate fi derivat dinamic din adresa de L2 (MAC). Adresele IPv6 pot fi alocate static sau dinamic: Static: - manual - prin EUI-64 Dinamic: - stateless autoconfiguration - DHCPv6 (stateful) Configurarea manuala se face prin comanda: R1(config-if) #ipv6 address 2001:DB8:2222:7272::72/64 Configurarea prin EUI-64: R1(config-if)#ipv6 address 2001:DB8:2222:7272::/64 eui-64 Adresa MAC are 48 de biti. La jumatatea adresei MAC se introduc 16 biti sub forma hexa, cu valoarea FFFE.

86

Stateless autoconfiguration: Nu este specificat cum, doar ca configureaza automat device-urile, si non-PC, ca sa fie plugand-play - sa se conecteze la retea. Configurarea DHCPv6 (stateful): Permite serverului DHCP sa trimita configurari IPv6 nodurilor IPv6. Poate fi folosita in paralel cu configurarea stateless autoconfiguration. Strategii de tranzitie la IPv6 Nu se va trece simultan la IPv6, ceea ce inseamna ca sunt necesare mecanisme de tranzitie si mecanisme de comunicare IPv6 cu IPv4. Dual stack = 1 nod are implementat si este conectat simultan in retele IPv4 si IPv6 <=> routerele si switchurile suporta ambele protocoale, dar IPv6 este protocolul preferat. Tunelarea este a 2-a tehnica de tranzitie majora, are mai multe variante: 1. tunelare manuala IPv6-over-IPv4 = un pachet IPv6 este incapsulat intr-un pachet IPv4, dar necesita dual stack 2. tunelarea dinamica 6to4 = conecteaza automat insulele IPv6 prin retele IPv4, de obicei peste internet. Aloca dinamic un prefix IPv6 unic si valid fiecarei insule de IPv6, ceea ce permite un deploy rapid al IPv6 in retelele corporate, fara sa mai fie nevoie de obtinerea adreselor IPv6 de la ISP-isti sau registries. Alte tehnici de tunelare mai putin populare: 3. tunelare Intra-Site Automatic Tunnel Address Protocol [ISATAP] = mecanism care creeaza automat tunele si care foloseste reteaua IPv4 ca link layer pentru IPv6 (se creeaza o retea IPv6 folosind infrastructura IPv4). 4. tunelarea Teredo = tunelare automata host-to-host; este trimis traficul IPv6 unicast cand hosturile dual-stack se afla in spatele unuia sau mai multor NAT-uri IPv4. 5. NAT protocol translation [NAT-PT] = conversie din IPv6 in IPv4. La acest moment este cea mai putin preferata metoda si ar trebui folosita ca ultima solutie (last resort). De la IOS-ul 12.2(2)T este suportat protocolul IPv6. Comanda de activare a IPv6 este R1(config)# ipv6 unicast-routing La tunelarea IPv6, cand pachetul IPv6 este incapsulat intr-un pachet IPv4, campul protocol type va avea valoarea 41, iar pachetul va contine si headerul IPv4 de 20 octeti si fara options => MTU scade cu 20 de octeti + este greu de facut troubleshooting. Necesita dual stack. *reprezinta o solutie intermediara si scopul final este tranzitia la arhitectura nativa IPv6. Configurarea manuala a tunelelor IPv6: este echivalent cu o legatura permanenta intre 2 domenii IPv6 peste o infrastructura IPv4. Este folosita pentru conexiuni stabile care au nevoie de securitate normala, intre 2 edge routere sau intre un edge router si un end system sau pentru conectarea remote a retelelor IPv6. End routerele trebuie sa fie dual stack; configuratia nu se schimba dinamic.

86

Administratorul configureaza static interfetele tunelului cu adrese IPv6 si configureaza manual adrese IPv4 statice pentru sursa si destinatia tunelului. Evident, cele 2 capete ale tunelului trebuie sa fie dual stacked. Configuratii de rutare IPv6 Ca la CIDR-ul [classless interdomain routing] de la IPv4, este preferat longest match / cel mai mare prefix. Pentru ca spatiul de adrese este mai mare, este suficient un singur prefix pentru intreaga retea a unei organizatii. + ISP-istii agrega toate prefixele clientilor lor intr-un singur prefix pe care il anunta in internet. Conceptual un router are 3 zone functionale: 1. control plane care gestioneaza interactiunea routerului cu celelalte elemente ale retelei, care ii da routerului informatiile necesare pentru decizii si controleaza operatiile de rutare. In acest plan sunt rulate procese ca protocoalele de rutare si managementul retelei. 2. data plane gestioneaza forwardarea pachetelor de la o interfata (fizica sau logica) la alta. Implica diferite mecanisme de switch-are ca process switch sau Cisco Express Forwarding [CEF] in cazul routerelor cu IOS cisco. 3. enhanced services includ features avansate ca: ACE (packet filtering), QoS, criptare, translatie, accounting. In cazul IPv6 sunt cateva provocari noi ale acestor zone functionale: Control plane: 1. dimensiunea adresei IPv6, care nu mai poate fi procesata intr-un singur ciclu de procesare ci din 2 cicluri de 64 de biti (adresa IPv6 are 128 de biti). 2. multiple adrese IPv6 ale nodurilor duc la un consum mai mare de memorie cache pentru Neighbor Discovery 3. protocoale de rutare IPv6, care au update-urile de rutare mai mari 4. dimensiunea tabelei de rutare este mai mare si necesita mai multa memorie. Data plane: 1. parsarea extensiilor headerelor IPv6 daca se folosesc ACL-uri pt pachete cu si fara header extins, posibil ca cele cu header extins sa nu poata fi procesat in hardware (sa depaseasca dimensiunea fixa a registrului hardware al routerului) si sa fie aruncate. 2. cautarea adresei IPv6 ca sa determine interfata de iesire. Se folosesc ASIC-uri, dar iar apare problema de procesare si pachetele pot fi aruncate. Protocolul de rutare RIPng - este un protocol de rutare distance vector, cu o acoperire de 15 hopuri, foloseste split horizon si poison reverse - este bazat pe RIPv2 - foloseste adrese IPv6 si prefixe IPv6 - update-urile de rutare sunt trimise pe adresa de multicast FF02::9 - foloseste IPv6 pentru transport - se numeste RIPng - trimite update-urile pe portul UDP 521 - e suportat de la IOS-ul 12.2(2)T

86

Activarea IPv6 RouterX(config)#ipv6 unicast-routing RouterX(config-if)#ipv6 address ipv6prefix/prefix-length eui-64 Rezolutia numelui in IPv6: 1. definesti un nume static pentru o adresa IPv6 prin comanda: RouterX(config)#ipv6 host name [port] ipv6addr [{ipv6addr} ...] >>> pana la 6 adrese RouterX(config)#ipv6 host router1 3ffe:b00:ffff:b::1 2. specifici un server DNS prin comanda: RouterX(config)#ip name-server address RouterX(config)#ip name-server 3ffe:b00:ffff:1::10 Configurarea RIPng 1. activezi IPv6 prin comanda ipv6 unicast-routing 2. RouterX(config)#ipv6 router rip name 3. RouterX(config-if)#ipv6 rip name enable Show-uri: show ipv6 interface {brief} show ipv6 neighbors show ipv6 protocols show ipv6 rip show ipv6 route {summary} show ipv6 routers show ipv6 static show ipv6 static adresaIPv6 show ipv6 static interface s0/0/0 >>> s0/0/0 este interfata de iesire (outgoing) show ipv6 traffic 7.4.1.1 ********************* cap 8 network troubleshooting Documentarea retelei: Ca sa poti pune diagnosticul corect si sa rezolvi problemele unei retele, trebuie sa stii cum a fost proiectata (design) si care este performanta asteptata de la reteaua respectiva. Aceste informatii formeaza network baseline si sunt documentate (in tabele de configuratie si topologii de retea). Informatiile de documentare a retelei trebuie tinute intr-un singur loc, fie pe hartie, fie pe un site securizat, si ar trebui sa contina urmatoarele: 1. tabelul de configurare a retelei 2. tabelul de configurare a end-systems 3. diagrama de topologie a retelei

86

Tabelul de configurare a retelei: contine inregistrari corecte, actualizate, despre hardware-ul si software-ul folosit in retea. De aici ar trebui sa obtin toate informatiile necesare sa identific si sa corectez erorile retelei. Pentru componentele retelei ar trebui sa poti afla: - tipul si modelul device-ului - IOS-ul - hostname - locatia (cladire, etaj, camera, rack, panel) - daca e device modular, ce module si in ce sloturi sunt instalate - adresa de L2 (MAC) - adresa de L3 (IP) - orice alte informatii importante despre starea fizica a device-ului Tabelul de configurare end-system: contine inregistrari despre elementele hardware si software din end-systems. Ar trebui sa contina: - numele sau scopul device-ului - sistemul de operare si versiunea - IP, masca, GW, DNS, WINS - orice aplicatie care necesita high-bandwidth Diagrama de topologie a retelei: este o reprezentare grafica a retelei, care arata cum sunt conectate echipamentele si care este arhitectura logica a retelei. Ar trebui sa contina cel putin: - simboluri pentru toate echipamentele si cum sunt conectate - tipul si numarul interfetelor - IP - masca Documentarea retelei se face prin: - ping - telnet - show ip interface brief - show ip route - show cdp neighbor detail Network baseline: E important ca sa ai la ce sa te raportezi cand verifici o retea / ca sa stii cum este fata de o referinta. Vei putea sa raspunzi la intrebari ca: - care este functionarea normala a retelei - unde sunt zonele sub- si suprautilizate - unde apar cele mai multe erori - ce praguri trebuie setate pentru device-urile care trebuie monitorizate - este reteaua capabila sa furnizeze ce s-a dorit de la ea Planificarea primei baseline: - decizi ce tipuri de date colectezi (mergi de la simplu spre complex)

86

- identifici device-urile si porturile de interes (echipamente de retea, servere, key users, altele) - determini durata pentru analiza (intre 2 si 4 saptamani este recomandarea Cisco) Masurarea performantei refelei: - automatizat, cu softuri dedicate. Ex: Fluke Network SuperAgent - manual, dar nu e recomandat, pentru ca necesita mult timp Abordari pentru troubleshooting: 1. caveman / brute force approach: inlocuieste un card cu altul, firele intre ele, etc, pana cand miraculos va merge reteaua. Nu e viabila metoda, nu stie de ce s-a reparat si cand o sa pice iar reteaua. 2. rocket scientist: face prea multa analiza si identifica metodic toate cauzele posibile. Pierde prea mult timp, nu e viabila metoda. 3. abordarea sistematica: combinarea celorlalte 2 metode, priveste reteaua ca un intreg Depanarea / troubleshooting la nivelul stivei OSI: Layerele 5-7 au de-a face cu aplicatiile si sunt implementate de obicei numai in software. Layerele 1-4 gestioneaza problemele de transport de date; de obicei layerele 3-4 sunt implementate doar in software; layerele 1 si 2 sunt implementate si in software, si in hardware. Nivelele la care functioneaza echipamentele de retea: L1-L4: routere, firewall-uri, multilayer switch L1-L2: switch L1: hub L1-L7: end system Procedura pentru troubleshooting 1. culegi informatii / gather symptoms 2. izolezi problema 3. corectezi problema Metode de troubleshooting: 1. botton up cea mai indicata cand problema e de natura fizica. Dezavantajul este ca trebuie sa verifici fiecare device si interfata de retea pana cand gasesti cauza si ca trebuie sa documentezi fiecare concluzie si posibilitate, deci va trebui sa faci multa hartogaraie. 2. top down de folosit daca problema este simpla sau daca suspectezi ca problema e cauzata de software. Dezavantajul este ca trebuie sa verifici fiecare aplicatie de retea, pana gasesti problema + faci multa hartogaraie 3. divide and conquer alegi un layer si testezi in ambele directii. Culegerea de informatii: 1. analizezi simptoamele existente 2. determini ownership (daca problema este in sistemul tau sau este in afara controlului tau / sistemului autonom) 3. limiteaza aria de cuprindere vezi la ce zona a retelei este problema (distribution, access, core) 4. culege (aduna) simptoame de la device-urile suspecte

86

5. documenteaza simptoamele Comenzi pe care le poti da: ping telnet traceroute show ip interface brief show ip route show running-config interface [no] debug ? show protocols 8.2.6.1 Troubleshooting tools Sunt software si hardware. Software: - network management system tools [NMS] includ tool-uri de monitorizare, configurare si fault management. Exemple: CiscoView, HP Openview, Solar Winds, What's Up Gold. - knowledge base on line, completate cu motoare de cautare (google,) - baseling tools te ajuta sa faci diagrama retelei, sa tii documentatia la zi despre componentele soft si hard ale retelei, sa vezi eficienta folosirii bandwidth-ului. Exemple: SolarWinds LAN surveyor, CyberGauge - protocol analyzer (wireshark); captureaza frame-uri, le decodeaza la nivel de layer si afiseaza informatia intr-un mod usor de urmarit. Hardware: - network analysis module [NAM] e un modul care poate fi atasat switchurilor din seria Catalyst 6500 sau routerelor din seria 7600 si care ofera grafic informatii despre traficul din retea. - digital multimeters [DMM] masoara voltajul, curentul si rezistenta. Sunt folosite sa verifice daca echipamentele primesc (suficient) curent. - testere de cablu testeaza diferite tipuri de cabluri de date, detecteaza cablurile stricate, cross-over wirings, cabluri prost cablate (improperly paired). Cele mai scumpe sunt TDR [timedomain reflectometer]; cele pentru fibra optica sunt optical TDR [oTDR]. - analizoare de cablu: sunt device-uri multifunctionale, folosite pentru testarea si certificarea diferitelor tipuri de cablu, conform cu diferite servicii si standarde. - portable network analyzers: sunt folosite pentru troubleshooting la nivel de switch sau vlan. 8.3.1.1 Tehnologiile de WAN functioneaza la layerele 1, 2 si 3. WAN Design pasi: 1. localizezi LAN-urile pe care vrei sa le conectezi 2. analizezi traficul vezi ce se trimite, de unde se trimite, unde ajunge 3. planifica topologia (full mesh, star, partial mesh, ierarhic)

86

4. estimeaza necesarul de bandwidth 5. alege tehnologia WAN pe care o vei folosi 6. evalueaza costurile Acesti pasi nu sunt liniari, pana cand se ia o decizie pot fi mai multe iteratii. ISDN, DSL, Frame Relay, leased line sunt folosite ca sa conecteze branchuri individuale la o arie. Frame Relay, ATM si leased line sunt folosite sa conecteze ariile externe la backbone. ATM si leased line formeaza backbone-ul WAN. Multe WAN-uri ale companiilor se conecteaza la internet => parti ale traficului pot sa treaca peste internet. Sunt mai multe variante posibile: fiecare retea a companiei se conecteaza la un ISP diferit, fie toate se conecteaza la un ISP, dintr-o conexiune core. Probleme comune ale implementarilor WAN - Infrastructura: privata sau publica? - Latenta - Confidentialitatea (informatii sensibile) - Securitatea (cum protejez datele) - QoS - Reliability Cum faci troubleshooting din perspectiva unui ISP: Pornesti la nivel de PC al userului, apoi succesiv LAN-ul userului, conexiunea de la edge router al clientului la edge router al ISP-ului, backbone-ul ISP-ului, si termini cu accesul la server(?). Interpretarea diagramei retelei pentru identificarea problemelor Ca sa poti sa faci troubleshooting unei retele, trebuie sa ai acces la diagrama acesteia, ceea ce include topologia fizica si topologia logica. Diagrama fizica: arata layoutul fizic, modul in care sunt conectate deviceurile la retea. Contine: - tipul device-ului - modelul si producatorul - versiunea sistemului de operare - tipul si identificatorul cablului - specificatiile cablului - tipul de conector - endpoint-urile de cablare Diagrama logica: arata modul in care sunt transferate datele in retea. Sunt desenate (reprezentate prin simboluri) routere, servere, huburi, hosturi, VPN concentratoare, device-uri de securitate. Contine: - identificatorul device-ului - adresa IP si masca - identificatorul interfetei - tipul conexiunii

86

- DLCI pentru circuitele virtuale - VPN-urile site-to-site - protocoalele de rutare - rutele statice - protocoalele data-link - tehnologiile WAN folosite Simptomele problemelor de la layerul fizic Este singurul layer care are elemente tangibile. Daca reteaua este afectata la nivel fizic, va afecta toate layerele. Simptoame comune la layerul fizic: - performante sub baseline: cele mai comune cauze sunt: servere suprasolicitate sau subalimentate cu curent, configuratii nepotrivite ale switcurilor / routerelor, congestii de trafic pe linkuri de capacitate mica, pierderea cronica a frame-urilor - pierderea conectivitatii: daca e permanent = a picat device-ul sau cablul; daca e intermitent = conexiunea e oxidata. - numar mare de coliziuni: de obicei numarul mare de coliziuni poate fi urmarit si identificata sursa (care e un device); coliziunile pot fi generate de un cablu, de huburi, de linkuri expuse la zgomote / interferente electrice externe. Media coliziunilor trebuie sa fie sub 5%. - botleneck sau congestii in retea: daca pica un router, interfata sau cablu, protocoalele de rutare pot redirectiona traficul catre alte routere care nu au fost gandite sa sustina si incarcarea suplimentara => congestii sau bottleneck-uri - rata mare de utilizare a procesorului: poate duce la shut down sau picarea device-ului - mesaje de eroare de la consola Cauzele problemelor de layer fizic - legate de alimentarea cu curent electric - erori hardware (se strica placa de retea, are drivere proaste, cabluri proaste, impamantare); jabber = placa trimite date random, fara sens - cabluri cu probleme: cabluri deconectate, mufe stricate, cablaje gresite (cross in loc de straight), cablu prea lung (Ethernet). a) Fibra optica poate face probleme daca sunt murdari conectorii, bucle prea stranse, conectorii Rx/Tx inversati. b)Problemele cu cablul coaxial apar la conectori, daca conductorul central al capatului cablului coaxial nu este drept si nu are lungimea corecta. - atenuarea: apare cand amplitudinea bitilor se reduce in timp ce acestia traverseaza un cablu si destinatarul nu mai poate diferentia un stream de celalalt. Apare daca lungimea cablului este prea mare, daca mufele sunt facute prost sau nu sunt bagate complet in NIC-uri sau daca contactele sunt oxidate. - zgomote / interferente: sunt de 4 tipuri: impulse noise (cauzat de fluctuatii de voltaj sau varfuri de curent), random noise (radio FM, statii de politie, etc), alien crosstalk (interferente induse de alte cabluri de pe aceeasi cale), near end crosstalk ([NEXT], zgomot care este generat de crosstalk altor cabluri adiacente sau zgomot de la cablurile electrice apropiate sau orice alt transmitator mai puternic decat un telefon mobil) - erori de configurare a interfetei: seriala definita ca asincrona in loc de sincrona, clock rate gresit, clock source gresit, interfata neactivata - depasirea limitelor de proiectare: device-ul este utilizat constant la o rata mai ridicata decat este gandit sa functioneze.

86

- supraincarcarea procesorului / CPU overload: la routere poate fi cauzat de trafic prea mare. Daca o interfata este suprasolicitata mereu poti redirectiona traficul sau upgrada hardware-ul. Izolarea problemelor la layerul fizic - verifici conectori sau cabluri stricate - verifica daca cablurile sunt corect mufate (cross, straight) - verifica daca device-urile sunt corect conectate (cablurile sa intre in porturile corecte) - verifica daca interfetele sunt corect configurate - verifica statisticile operationale si rata erorilor (cu comanda show) Troubleshooting la layerul Data Link Simptoame: - nu am conectivitate sau functioneaza prost de la layerul 2 in sus - reteaua functioneaza sub nivelul de performanta al baseline-ului. Are 2 variante: a) frame-urile sunt transmise pe o cale ilogica, dar pana la urma ajung la destinatie (cauza posibila: STP prost gandit), b) frame-urile sunt aruncate - broadcast excesiv in general este cauzat de a) aplicatii prost programate sau configurate, b) domenii de broadcast mari, c) probleme de retea ca bucle STP sau rute care flapeaza. - mesaje de la consola (de obicei line protocol down) Cauzele problemelor de la layerul Data Link - erori de incapsulare: device-urile conectate sunt configurate cu (protocoale? de) incapsulare diferite - erori de mapare a adreselor - framing errors: pot fi cauzate de: cablu serial cu multe interferente, cablu prea lung sau incorect shielded, configurare incorecta a ceasului unui CSU. - bucle sau failure ale STP: cauze: a) nu sunt blocate porturile redundante si rezulta bucle, b)flodare excesiva cauzata de schimbari prea dese ale topologiei STP, c) re- sau convergenta STP lenta Troubleshooting layer 2 PPP Este dificil sa faci troubleshooting in PPP sau Frame Relay, pentru ca nu ai tool-uri de layer 3 care sa te ajute. Trebuie sa intelegi si sa cunosti in detaliu modul de functionare al tehnologiei respective ca sa poti sa rezolvi eficient problemele. Cele mai multe probleme ale PPP implica link negociation. Pasii pentru troubleshooting sunt: - verifica incapsularea corecta la ambele capetele ale linkului, cu comanda show interface serial - verifica daca negocierea link control protocol [LCP] s-a incheiat cu succes (vezi mesajul de la LPC sa fie open) - verifica autentificarea la ambele capete ale linkului cu comanda debug ppp authentication Troubleshooting layer 2 Frame Relay 1. Verifica conexiunea fizica dintre CSU/DSU si router. 2. verifica daca routerul si providerul de FR schimba informatii LMI (comanda show framerelay lmi)

86

3. verifica daca statusul PVC este active prin comanda show frame-relay pvc 4. verifica daca ai aceeasi incapsulare Frame Relay pe ambele routere prin comanda show interfaces serial. Troubleshooting layer 2 STP loops STP ar trebui sa ruleze pe toate switch-urile, cu exceptia celor care nu sunt parte din topologia fizica looped (cu bucle). 1. identifica daca se creaza bucle STP: - pierderi de conectivitate de la / catre / in regiunile de retea afectate - incarcare mare a CPU routerelor din segmentele afectate - utilizare mare a linkurilor (100% de regula) - utilizare mare a switch backplane (fata de baseline) - mesaje de syslog care arata ca pachetele au intrat intr-o bucla - mesaje syslog care arata ca sunt constant reinvatate adrese sau mesaje ca adresele MAC flapeaza - cresterea numar de pachete aruncate de mai multe interfete 2. descoperi zona (scope) in care se manifesta bucla: ca sa o opresti te uiti la interfetele cu cea mai mare utilizare a linkului. Inregistreaza aceasta informatie, ca sa poti sa gasesti cauzele buclei. 3. sparge / opreste bucla: pune in shut down sau deconecteaza porturile unul cate unul si verifica utilizarea backplane. Porturile care doar forwardeaza flood-ul nu cauzeaza bucla, trebuie sa le opresti pe cele care au cauzat bucla. Cand opresti un port care doar forwardeaza flood-ul, nu scazi decat putin din utilizarea backplane! 4. gaseste si repara cauza buclei: uita-te la diagrama de topologie ca sa gasesti caile redundante si pentru fiecare switch de pe calea redundanta verifica daca acesta: a)stie STP root corect, b)are portul root definit corect, c)se primesc BPDU pe portul root si pe cel blocat d)sunt trimise regulat BPDU pe porturile non-root, designated ports 5. refa redundanta. Troubleshooting la layerul Network Simptoame: Include problemele protocoalelor de layer 3, care sunt protocoale de rutare si protocoale rutate. Vor fi tratate protocoalele de rutare IP. Problemele = reteaua este (aproape) nefunctionala. Troubleshooting: De obicei retelele contin rute statice si rute dinamice. Daca rutele statice sunt prost configurate pot sa duca la bucle de rutare sau sa faca anumite parti ale retelei sa nu poata fi accesate. Troubleshootingul rutelor dinamice presupune o intelegere in detaliu a protocolului dinamic folosit. Zone de explorat cand faci troubleshooting la layerul Network: 1. general network issues: verifica schimbarile de topologie, pentru ca pot duce la instalarea altor rute (statice sau dinamice) + verifica daca cineva lucreaza la infrastructura retelei in acest moment.

86

2. probleme de conectivitate: verifica probleme de echipament sau de conectare, inclusiv alimentarea cu energie sau supraincalzirea. Mai verifica si probleme de layer 1, cum ar fi cablarea, porturile sau problemele cu ISP-ul. 3. neighbor issues: daca protocolul de rutare stabileste adiacente cu vecinii, vezi daca routerele vecine au probleme 4. topology database: verifica daca sunt informatii lipsa sau daca sunt informatii neasteptate (care nu ar trebui sa fie acolo) 5. tabela de rutare: vezi daca contine lucruri in plus sau in minus. Troubleshooting la layerul transport Probleme comune pot sa fie cauzate de ACL-uri si NAT. ACL: 1. aplicarea ACL unui alt trafic (incorrect): interfata si directia interfetei 2. ordine incorecta a elementelor de control al accesului: trebuie sa fie de la specific la general, altfel un element permis explicit poate sa nu fie niciodata aplicat, pentru ca nu se ajunge niciodata sa fie evaluat. 3. implicit deny all: nu uita ca ce nu este permis explicit, este interzis 4. adrese si wildcard masks: daca NAT si ACL ruleaza simultan, ordinea de aplicare este: - traficul inbound este procesat intai de ACL inbound si apoi ajunge la NAT-ul inside-to-outside - traficul outbound este intai procesat de NAT outside-to-inside si apoi de ACL outbound 5. selectarea protocolului de la layerul transport: e important sa specifici numai protocolul corect. Ex: network engineer-ul configureaza si tcp si udp ca fiind permise, pt ca nu stie pe care sa il aleaga 6. porturile sursa si destinatie trebuie sa fie corect configurate 7. folosirea cuvantului cheie (keyword) establish: pus pe ACL outgoing poate duce la rezultate neasteptate. 8. protocoale mai putin comune: ACL + acestea = rezultate neasteptate. Ex: VPN si protocoalele de criptare. Troubleshootingul ACL-urilor se face cu log: analizezi logurile si identifici problemele si (tentativele de) intruziune. Probleme cauzate de NAT : NAT-ul cauzeaza probleme de interoperabilitate cu tehnologiile care preiau dintr-un pachet adresa de retea a hostului. - BOOTP si DHCP: hostul nou pornit trimite un DHCP request broadcast, cu IP sursa 0.0.0.0 NAT-ul are nevoie de ip sursa si destinatie valid, deci nu va trimite requestul Rezolvarea este cu ip-helper feature - DNS si WINS. Idem rezolvarea cu ip-helper. Problema este ca serverele de DNS sau WINS nu vor avea o reprezentare corecta a retelei din spatele NAT-ului. - SNMP: similar cu pachetele DNS, NAT-ul nu este capabil sa altereze adresa, iar o statie de management SNMP de pe o parte a NAT-ului nu va fi capabila sa acceseze o statie agent SNMP de cealalta parte a NAT-ului. Rezolvarea este tot cu ip-helper - Protocoalele de tunelare si criptare: solicita ca traficul sa fie trimis de pe un anumit port UDP / TCP sau folosesc un protocol de transport pe care NAT-ul nu-l poate procesa. Rezolvarea : NAT static pentru portul solicitat, pentru o singura adresa IP.

86

* nu uita ca NAT-ul afecteaza si traficul inbound, si pe cel outbound; ai grija si la cronometrele NAT-ului (sa nu expire prea repede si sa nu mai ai corespondenta din afara ca arunca pachetele; sa nu dureze prea mult ca nu mai sunt scoase din tabela si ocupa prea multa memorie).

Troubleshooting la nivel Aplicatie Cele mai multe protocoale de la nivelul aplicatie furnizeaza servicii userului. Protocoale cunoscute de layer aplicatie: - telnet: ofera conectare la hosturile remote; tcp port 23 - http: suporta schimbul? de fisiere text, grafice, sunete, video, multimedia, pe web; tcp port 80 - ftp: ofera transfer interactiv de fisiere intre hosturi; tcp port 20, 21 - tftp: ofera transfer interactiv basic de fisiere intre host si device-urile de retea - smtp: ofera servicii basic de livrare de mesaje; tcp port 25 - pop: se conecteaza la serverele de email si downloadeaza emailurile; tcp port 110 - snmp: colecteaza informatii de management de la deviceurile de retea; udp port 161 - dns: mapeaza adrese ip cu numele alocat device-urilor de retea - network file system [NFS]: permite computerelor sa-si mounteze drive-uri de pe hosturi remote si sa opereze pe ele ca si cum ar fi locale. Se combina cu external data representation si remote-procedure call (aplicatii de layer aplicatie) ca sa permita accesul transparent la resursele remote. imap 4 tcp port 143 Simptoame de probleme la layerul aplicatie: Se observa cand nu primesti serviciile pe care ar trebui sa le furnizeze aplicatiile. Ca sa mearga aplicatiile de la layerul aplicatie trebuie ca layerele inferioare sa mearga. Userii se plang ca aplicatia merge greu Aplicatia da mesaje de eroare Consola afiseaza mesaje de eroare Mesaje din logul sistemului Alarme de la sistemul de management al retelei Troubleshooting: 1. Ping in default gateway => arata daca L1 si L2 functioneaza corect 2. verifici conectivitatea end-to-end (extended ping de pe router Cisco) => arata daca L3 functioneaza corect 3. verifici modul de operare al ACL si NAT - show access-list - clear access-list counters -- show ip nat translations -- clear ip nat translations * -- debug ip nat -- in running-config verifici daca ip nat inside si ip nat ouside sunt configurate corect. 4. verifica conectivitatea protocoalelor de layere superioare pot fi restrictionate de filtre sau firewall-uri.

86

Corectare: 1. faci un backup 2. corecteaza (schimba) ceva la hard sau soft 3. evalueaza si documenteaza fiecare schimbare si rezultat 4. determina daca schimbarea rezolva problema 5. opreste-te cand ai rezolvat problema 6. daca este cazul, solicita asistenta din afara 7. documenteaza

86