Luminia SCRIPCARIU Bazele reelelor de calculatoare
ntrzierile determinate de switch n procesul de transmisie a datelor devin importante
n transmisiile de date n timp real (voce, audio, video). Switch-urile definite pe nivelele OSI 3 sunt mai rapide dect routerele ntruct folosesc i metoda comutrii de circuite. De aceea, s-a trecut la includerea unor matrici de comutaie n routerele clasice prin care conexiunile paralele, simultane dintre mai muli utilizatori ai reelei de calculatoare sunt create asemenea circuitelor virtuale telefonice.
III.5.4 PUNTI DE RETEA (BRIDGE)
Creterea volumului de date vehiculate n reelele de arie larg, n particular n Internet i WWW, impune utilizarea unei limi de band tot mai mari i a unor sisteme de operare mai rapide (Windows XP, Fedora Core LINUX etc.), care admit efectuarea simultan a mai multor sarcini (multitasking), deci i a tranzaciilor multiple, simultane cu reeaua. Creterea limii de band disponibile pentru utilizatorii unei reele locale, este posibil prin segmentarea LAN n mai multe domenii de coliziune, folosind echipamente de tip switch, bridge i/sau router, interconectate prin intermediul unei magistrale de date de mare vitez (backbone), la nivelul creia se definete un alt domeniu de coliziune, distinct de cele asociate segmentelor de reea formate. Segmentarea LAN n subreele de dimensiuni mai mici permite simplificarea procesului de administrare i limitarea blocajelor de trafic la un numr mai mic de noduri. BRIDGE-ul sau puntea dintr-o reea de calculatoare este un echipament de reea care lucreaz pe subnivelul MAC al modelului OSI, fiind denumit i releu de nivel 2 (Layer 2 Relay) (fig. III.37).
Fig. III.37 Reprezentri grafice pentru puntea de reea (bridge) (a) panoul frontal; (b) panoul din spate; (c) simbol grafic
161 Luminia SCRIPCARIU Bazele reelelor de calculatoare
Puntea interconecteaz mai multe segmente de LAN pentru a realiza o reea local extins (Extended LAN), cu mai multe noduri dect numrul maxim prevzut de standardele de reea, respectiv la distane mai mari dect cele impuse prin limitrile cauzate de caracteristicile fiecrui mediu fizic de transmisie (lungime maxim a segmentului de cablu; numr maxim de segmente interconectate prin repetoare sau hub-uri conform regulii Ethernet 5-4-3 etc). Bridge-ul lucreaz pe nivelul legturii de date cu cadre de date (data frame), deci n mod transparent fa de protocoalele definite pe nivelele OSI superioare i independent de protocoalele de reea aplicate (TCP/IP, IPX/SPX etc). Accesul la mediul fizic de transmisie se realizeaz n baza standardului de reea utilizat deci este posibil s apar ntrzieri n transferul cadrelor prin punte ntruct este necesar stocarea lor. Puntea citete cmpurile de adres MAC ale sursei i destinaiei i retransmite fiecare cadru ctre reeaua n care se gsete destinaia (store-and-forward). Este posibil filtrarea inteligent a cadrelor pe baza adreselor MAC ceea ce permite reducerea ncrcrii reelelor, creterea limii de band disponibile, controlul accesului i securizarea transmisiei la nivelul punii. O punte poate interconecta segmente de LAN avnd medii fizice de transmisie diferite (UTP, cablu coaxial, fibr optic), dar care lucreaz pe baza aceluiai protocol de nivel 2 (de exemplu, Fast Ethernet: 100 BASE-T; 100 BASE-2; 100 BASE-5 etc). O punte este prevzut cu diferite porturi fizice care pot asigura fiecare accesul multiplu la nivelul lor, dac se configureaz n mod adecvat cu mai multe interfee logice (ppp; fr). Dac puntea dispune de un port pentru legtur n WAN, atunci ea poate fi utilizat pentru realizarea unui LAN extins (Extended LAN) din mai multe reele locale din WAN, separate geografic, i poate fi configurat 'de la distan' (remote bridge). Fiecare punte permite intrarea sau transferul cadrelor din reeaua central n cea local numai dac destinaia aparine acesteia din urm. n caz contrar cadrul nu este transferat prin bridge. De asemenea, un cadru trimis din LAN-ul propriu este transferat de punte n reeaua de legtur, pe magistrala de date de mare vitez (backbone), numai dac destinaia nu se gsete n acelai LAN cu sursa. Dac se face o transmisie ntre dou terminale din interiorul aceluiai LAN, atunci cadrul nu este transferat de puntea proprie n reeaua central. n figura III.38 este reprezentat o reea local extins cu puni. 162 Luminia SCRIPCARIU Bazele reelelor de calculatoare
Fig. III.38 Reea LAN extins cu puni de reea
Un mesaj transmis de staia A1 ctre staia C2 va fi transferat prin puntea B1 n reeaua de legtur, preluat de puntea B2 i retransmis staiei C2. Mesajul nu trece prin puntea B3. Puntea memoreaz adresele nodurilor din reeaua local proprie ntr-un tabel de adrese. Tabelul punii conine numele interfeelor i adresele MAC ale echipamentelor direct conectate la fiecare dintre acestea. Dac adresa destinaiei nu este cunoscut, atunci mesajul respectiv este transmis prin broadcast ctre toate staiile. Tabelul III.3 exemplific intrrile n puntea B1, cu dou interfee Ethernet (eth0 ; eth1), cu 3 staii n reeaua proprie i o conexiune la magistrala principal. Staiile sunt conectate la interfaa eth0. Pe baza tabelului de comutare, puntea ia decizii referitoare la dirijarea cadrelor de date n reea. Cadrele pentru care se specific o anumit cale spre destinaie sunt transferate necondiionat, fr a se mai folosi tabelul punii. 163 Luminia SCRIPCARIU Bazele reelelor de calculatoare
Tabel III.3 Tabelul punii Interfa Adresa MAC a nodului de reea Eth 0 00-23-A1-52-BF-CE Eth 0 00-23-A1-70-59-43 Eth 0 00-23-A1-41-DA-03 Eth 1 51-88-A3-22-4C-F0
n situaia n care adresa destinaiei este inexistent i exist bucle n topologia reelei, mesajul se poate propaga la infinit, producnd aa-numitul fenomen de 'furtun de difuzare' (broadcast storm). Acest fenomen este mai puternic dac un mesaj este destinat unui nod care nu aparine reelei proprii i este trecut prin mai multe puni ctre aa-zisa destinaie. Broadcast-ul se realizeaz atunci la nivelul fiecrei puni i fenomenul ia amploare. Deducem c punile sunt ineficiente i chiar neindicate n reelele cu topologie redundant. n reelele de arie larg cu topologie fizic de tip 'plas' (mesh), unele puni permit utilizarea cilor multiple (redundante) de transmisie i alegerea cii optime dintre surs i destinaie aplicnd algoritmul de deducere a drumului minim dintr-un graf (STA Spanning- Tree Algorithm). De asemenea, pentru WAN, se pot defini la nivelul punii ierarhii de prioriti pentru reducerea ntrzierilor de transmisie a anumitor cadre. Comutarea de pachete prin intermediul punilor de transmisie se realizeaz prin algoritmi software, ceea ce determin apariia unor ntrzieri de transmisie cauzate de procesele logice de decizie. Segmentarea reelelor locale cu puni determin o cretere a timpului de transmisie de pn la 30 %. Avantajoas este posibilitatea definirii filtrelor de trafic la nivelul punii. Spre deosebire de punile de reea, comutarea de pachete prin switch este un proces mai rapid care se realizeaz prin intermediul unei structuri hardware (matricea de comutaie) la care calculatoarele sunt direct conectate. Prin utilizarea switch-urilor se observ formarea mai multor domenii de coliziune, dar meninerea unui singur domeniu de braodcast i imposibilitatea limitrii vitezei de trafic prin switch. Ca avantaje ale switch-urilor trebuie remarcate viteza mare de comutare i posibilitatea definirii reelelor locale virtuale (VLAN - Virtual LAN). Procesul de comunicaie prin punte (bridging process) este complex i se realizeaz n dou etape: 164 Luminia SCRIPCARIU Bazele reelelor de calculatoare
1. procesul de nvare (learning process) se realizeaz n mod adaptiv i const n 'nvarea' adreselor MAC ale tuturor staiilor dintr-un LAN extins. La primirea unui cadru, puntea caut adresa MAC a sursei n harta staiilor (station map) i dac nu o gsete, atunci o include n aceasta. Se iniializeaz contorul pentru msurarea duratei intervalului de timp n care puntea cunoate aceast adres (aging timer). Contorul este reiniializat de fiecare dat cnd se recepioneaz o adres cunoscut. La expirarea acestui timp, adresa staiei respective este tears din harta staiilor. Orice cadru recepionat care are adresa de destinaie cunoscut (inclus n harta staiilor) este transmis pe portul corespunztor staiei respective. 2. procesul de transferare (forwarding process). Orice cadru recepionat este preluat de punte cu condiia ca adresa destinaiei s aparin LAN-ului respectiv i numai dac portul pe care a fost primit este n starea activ (forwarding state). Dac adresa destinaiei apare n harta staiilor atunci cadrul este transferat pe portul respectiv. n cazul n care adresa destinaiei nu este inclus n harta staiilor, cadrul este retransmis pe toate porturile punii (flooding) cu excepia celui de pe care a fost recepionat. Cadrul este transferat de un port numai dac acesta este activ. n caz contrar, cadrul este descrcat din memoria punii i datele se pierd. Procesul de transfer a cadrelor prin punte poate fi controlat prin filtrare. Rata de transfer a cadrelor la nivelul punii poate avea valori cuprinse ntre 700 i 30.000 pachete pe secund. Porturile unei puni, definite ca tip i numr, pot s se gseasc n una din urmtoarele cinci stri: 1. starea inactiv (disabled) - nu se face nici o operaie la nivelul portului; 2. starea de 'ascultare' (listening) - se pot recepiona cadre; 3. starea de 'nvare' (learning) - se recepioneaz cadrele i se realizeaz harta staiilor; 4. starea activ (forwarding) - se recepioneaz i se transfer cadre prin portul respectiv iar algoritmul 'spanning tree' (STA) este activat; 5. starea de blocare (blocking) - transferul de cadre prin port este inactiv dar algoritmul STA este activ pentru operare la nivelul portului. Exist puni care permit realizarea transmisiilor de tip 'broadcast' sau 'multicast' la cerere' (on-demand bridge). Acest fapt poate conduce la ncrcarea excesiv a reelelor ceea 165 Luminia SCRIPCARIU Bazele reelelor de calculatoare
ce impune configurarea adecvat a echipamentelor pentru filtrarea sever a traficului. n acest caz nu se aplic algoritmul 'spanning tree'. Urmrirea funcionrii unei puni se face cu protocoale de management de reea (SNMP) folosind baze de date separate (Bridge MIB). Clasificarea punilor se poate face pe mai multe criterii. n funcie de arhitectura LAN utilizat, punile se mpart n: 1. puni transparente (transparent bridges) care interconecteaz segmente de LAN cu acelai protocol la nivelul legturii de date; 2. puni de translare (translating bridge sau multiprotocol bridge) care realizeaz conversia formatului cadrului de date dintr-un standard n altul (de exemplu, Ethernet i Token-Ring) i sunt prevzute cu mai multe plci de reea. 3. puni de ncapsulare (encapsulating bridge) pentru interconectarea unui LAN Ethernet cu unul FDDI. Punile "transparente" nu cer utilizatorului s specifice calea ctre destinaie i de aceea utilizeaz un tabel de adresare. Celelalte tipuri de puni, denumite i "puni-surs" transfer cadrul pe calea impus de nodul-surs. n funcie de localizarea lor, punile pot fi: 1. puni locale (local bridge) care interconecteaz dou LAN-uri direct printr-un anumit mediu de transmisie. Acestea conin mai multe plci de reea i pot face conversia de la un mediu la altul. 2. puni 'la distan' (remote bridge) conin plci de reea pentru conectarea la diverse LAN-uri precum i porturi de acces 'la distan' n WAN prin modemuri i un port serial (RS-232). Ele realizeaz compresia datelor pentru reducerea limii de band ocupate, sunt monitorizate prin SNMP i suport Telnet pentru configurarea lor 'de la distan'. n reelele WAN 'fr fir' (wireless) se utilizeaz perechi de puni de transmisie 'fr fir' (wireless bridge) pentru legturi la distane mari (de peste 5 km), care suport STA, filtrare bazat pe adrese MAC, SNMP, criptare de date i protecie contra fenomenului 'broadcast storm'. O alt clasificare a punilor de reea se poate face pe criteriul numrului i tipurilor de porturi disponibile la nivelul acestora (Fig. III.39): 1. punte de tip 'backbone' pentru conectarea unui segment de LAN la o magistral de date ; 166 Luminia SCRIPCARIU Bazele reelelor de calculatoare
2. punte 'multiport' care poate interconecta dou sau mai multe segmente de LAN.
(a)
(b) Fig. III.39 Conexiuni prin punte: (a) punte de tip backbone; (b) punte multiport 167 Luminia SCRIPCARIU Bazele reelelor de calculatoare
Performanele unei puni se apreciaz prin urmtorii parametri: 1. rata de transfer fr erori; 2. rata de pierdere a pachetelor; 3. ntrzierea de transmisie (se minimizeaz prin folosirea unui procesor rapid de comunicaie n punte). Configurarea prin soft a unei puni include: 1. definirea porturilor, fizice, respectiv logice (de exemplu: eth0; eth1; ppp0; ppp1; ppp2) ; 2. definirea protocoalelor pentru care se aplic procesul de 'bridging' (ARP; Novell; AppleTalk .a.), eventual activarea algoritmului 'spanning tree'; 3. definirea grupurilor de utilizatori; 4. definirea filtrelor de includere a utilizatorilor autorizai sau de excludere a anumitor cadre (de exemplu, ncapsulate conform anumitor standarde sau de dimensiuni prea mari). Rata de filtrare a unei puni variaz de la 7000 la 60.000 de cadre pe secund. Observaie : O punte de comunicaie ntre dou noduri de tip 'poart de reea' (gateway) se poate configura prin software i la nivelul unui calculator cu minimum dou plci de reea, folosit pentru interconectarea a dou LAN-uri diferite. In ultimii ani, s-au adugat tot mai multe faciliti punilor (tabel de adresare extins, debit ridicat, diversitate mare de interfee etc.), astfel c diferenele dintre puni i routere se reduc. Integrarea unor funcii de rutare este realizat prin ncrcarea software-ului specific platformelor hardware disponibile. Au aprut astfel echipamente care lucreaz pe nivele OSI superioare celui pentru care au fost definite iniial.
III.6 ECHIPAMENTE DE NIVEL RETEA (ROUTER)
Echipamentul de dirijare a pachetelor (router) este un echipament de comunicaie de nivel reea (layer 3 device) care utilizeaz algoritmi specifici de deducere a cii optime de transfer a datelor ntr-o reea de arie larg avnd ci redundante, pe baza informaiilor pe care le deine referitor la topologia i starea reelei. 168 Luminia SCRIPCARIU Bazele reelelor de calculatoare
Rutarea este operaia de dirijare a datelor ntre dou noduri prin stabilirea 'drumului minim' din graful asociat topologiei fizice sau celei logice a unei reele folosind un algoritm STA (Spanning-Tree Algorithm). Orice LAN poate comunica ntr-un WAN dac este conectat la aceasta printr-un router, denumit i poart de reea (gateway). Routerul maximizeaz ratele de transfer i de filtrare a pachetelor. Un router folosit pentru conectarea unui LAN n WAN, la nivelul cruia se aplic o anumit politic de securitate, se numete i echipament de tip 'zid de protecie' (firewall). n figura III.40 sunt prezentate cteva moduri de reprezentare grafic a routerelor n diagramele de reea.
Fig. III.40 Reprezentri grafice ale routerului
Un router poate transfera date ntre LAN-uri diferite ca standard de transmisie (Ethernet, FDDI, ATM) fiind prevzut cu diverse interfee avnd adrese individuale. Routerele pot face conversiile necesare ale formatului pachetelor n cazul interconectrii unor segmente de reea cu standarde i protocoale diferite. Routerele sunt prevzute n general cu mai multe interfee fizice (eth, bri, pri, RS- 232). La nivelul acestora se pot configura diverse interfee logice. De exemplu, pe o interfa Ethernet se pot defini mai multe interfee ppp (PPP - Point-to-Point Protocol) pentru transmisii TDM, avnd alocate adrese de nivel-reea proprii care sunt folosite pentru rutarea pachetelor. PPP, ca protocol de nivel OSI 2, ncapsuleaz n mod transparent datagramele transmise pe legturi seriale lucrnd ca multiplexor/demultiplexor pe aceste linii. PPP (RFC 1717) este responsabil de aplicarea protocoalelor de autentificare PAP (Password Authentication Protocol) i CHAP (Challenge Handshake Authentication Protocol). PPP 169 Luminia SCRIPCARIU Bazele reelelor de calculatoare
negociaz cu utilizatorii numele de utilizator i parolele dar exist riscul interceptrii lor ntruct aceste informaii nu sunt transmise criptat prin reea. De aceea, se recomand schimbarea periodic a parolelor. ntre routerele aflate la 'distan' se pot aplica diverse procedee de criptografiere pentru securizarea comunicaiei. Rutarea pachetelor, mai precis transferul pachetelor n interiorul routerului ctre un anumit port de ieire din router, se face pe baza tabelului de rutare, care asociaz adresele reelelor de destinaie posibile cu interfeele de ieire din router. Routerul realizeaz deci operaia de comutare a pachetelor (switching) pe interfaa corespunztoare. Pentru adrese de destinaie neincluse explicit n tabelul de rutare, se definete o rut implicit (default route). Din cadrul recepionat se extrage pachetul i se citete adresa de nivel OSI 3 a staiei de destinaie. Aplicndu-se acesteia masca de reea se deduce adresa reelei de destinaie, urmnd s se ia decizia de comutare pe o anumit interfa a routerului prin deducerea rutei optime. Se observ c n locul adreselor de destinaie individuale, n tabelele de rutare se folosesc adresele de reea, deduse prin aplicarea mtilor de reea adreselor de destinaie utiliznd operaia I logic. Acest fapt permite reducerea dimensiunilor tabelelor de rutare i implicit a timpului de gsire a rutei optime. Tabelul de rutare poate fi configurat static, de ctre administratorul de reea, sau dinamic, prin intermediul protocoalelor de rutare. Rutarea static nu permite reactualizarea la timp a tabelelor de rutare i este practic ineficient n cazul utilizrii protocoalelor de adresare dinamic. Exemplu: n figura III.41, o staie din LAN A transmite pachete ctre o staie din LAN D, printr-o reea de transport cu patru routere. LAN A este conectat la interfaa Eth 0 a routerului 1. Un pachet trimis din LAN A spre LAN D, poate fi transferat fie prin interfaa Eth 1, fie prin Eth 2. Routerul transmite pachetul pe ruta optim, cea de rezerv urmnd a fi utilizat n cazul ntreruperii traficului pe prima rut. Pentru un pachet avnd LAN D ca destinaie, n tabelul de rutare al routerului 1, se includ dou ci, cu precizarea cii optime (Tabel III.4). Criteriul de optim poate viza numrul de routere intermediare (hops), viteza de transfer, riscul de coliziune etc.
170 Luminia SCRIPCARIU Bazele reelelor de calculatoare
Tabel III.4 Intrri n tabelul de rutare al routerului 1 cu destinaia LAN D LAN destinaie Interfaa de ieire Optim LAN D Eth 1 + LAN D Eth 2 -
Fig. III.41 Interconectarea reelelor locale prin routere
Pentru aplicarea algoritmului drumului minim, n graful reelei de transport (cu routere) nu trebuie s apar bucle. Se folosete o anumit metric pentru stabilirea 'drumului minim' dintre dou noduri din graful reelei (numr de routere sau 'hopuri' prin care se face transferul, ntrziere de transmisie, risc minim de coliziune etc). La nivelul interfeei de ieire din router, pachetul este rencapsulat ntr-un cadru, conform standardului de nivel OSI 2 aplicat pe acea interfa. n reelele WAN mixte (de exemplu, Ethernet i Token-Ring) se poate folosi acelai protocol de nivel-reea (de exemplu, IP) i acelai mod de adresare de nivel OSI 3, dar formate diferite pentru cadrele definite pe nivelul OSI 2. 171 Luminia SCRIPCARIU Bazele reelelor de calculatoare
De fiecare dat cnd topologia reelei se modific (prin dezvoltarea sau reconfigurarea reelei ori din cauza coliziunile sau congestiilor de trafic), este necesar reactualizarea tabelelor de rutare (reconvergence). Timpul de reconversie a tabelelor depinde de protocolul de rutare aplicat. Dac routerele din WAN nu dispun toate de aceleai informaii topologice, atunci este posibil s se ia decizii de rutare incorecte sau inaplicabile. Dac un router nu poate expedia un pachet (destination unreachable), atunci se transmite ctre surs un mesaj de eroare (de exemplu, prin intermediul ICMP). Protocoalele care utilizeaz modul de adresare ierarhizat definit pe nivelul OSI 3 se numesc protocoale rutabile. De exemplu, IP, FTP, IPX, AFP (AppleTalk) sunt protocoale rutabile. Orice protocol care nu utilizeaz adrese definite pe nivelul de reea este considerat protocol nerutabil. De exemplu, protocolul NetBeui utilizat pentru managementul unui LAN este nerutabil i pachetele transmise de acesta vor fi transferate de router prin procedeul de bridging. Dac ntr-o reea un anumit protocol (de exemplu, IP) este definit ca protocol rutabil, atunci cadrele transmise de un router IP definite cu un protocol nerutabil (cadrele non-IP) vor fi retransmise de acesta prin procesul de 'bridging'. Un router definit pe un singur protocol de reea are avantajul c tie exact unde se gsete n pachet adresa destinaiei i proceseaz rapid datele. n plus, prin citirea tipului protocolului de reea n cadrul de date (de exemplu, n cadrul Ethernet), routerul poate transfera datele numai n reeaua care lucreaz cu acel protocol. Astfel se reduce ncrcarea reelei i se pot defini prioriti de transmisie. Routerele multiprotocol lucreaz cu structuri diferite de pachete, cu diverse formate ale adresei de destinaie, ceea ce ngreuiaz procesul de rutare i determin ntrzieri de transmisie mai mari (30 % - 40 %). De aceea, n multe cazuri, se prefer interconectarea LAN-urilor cu switch-uri de nivel 3 sau 4. Un router definit pentru IP este numit router IP sau gateway ('poart de reea'). n prezent, un gateway poate lucra i la nivelele superioare celui de reea din modelul OSI, termenul fiind utilizat ntr-un sens mult mai larg dect cel de router IP. Rutarea IP se poate face n dou moduri: 1. static, caz n care administratorul de reea introduce manual rutele n tabelul de rutare, specificnd pentru fiecare adres a reelei de destinaie: 172 Luminia SCRIPCARIU Bazele reelelor de calculatoare
- adresa interfeei de ieire din router; - adresa urmtorului router (next Hop); - eventual metrica de cale. Rutarea se face simplu, pe baza tabelului de rutare. Din adresa destinaiei, prin aplicarea mtii de reea, se deduce adresa reelei de destinaie i pachetul este transferat pe portul de ieire corespunztor. Metoda nu asigur deducerea cii optime i nu elimin riscul congestiilor de trafic. 2. dinamic, prin reactualizarea tabelelor de rutare atunci cnd apar modificri ale adreselor reelelor sau subreelelor, ale metricii utilizate sau coliziuni n WAN. Acest mod de rutare permite deducerea cii optime dintre reeaua-surs i cea destinaie pentru reducerea timpului, a costurilor de transmisie sau a riscului de coliziune. Rutarea IP dinamic presupune alegerea protocolului de rutare (de exemplu, RIP Routing Information Protocol sau OSPF Open Shortest Path First), stabilirea adreselor i a mtilor de reea pentru toate reelele direct conectate la acel router. ntruct spaiul de adrese IP este limitat, n numeroase reele se aloc utilizatorilor adrese IP private care nu trebuie confundate cu adresele IP reale (public address) alocate de InterNIC. Rutarea pachetelor se face pe baza adreselor IP reale alocate interfeelor routerelor de ieire n WAN, folosind procedeul NAT de translare a adreselor. Routerele IP admit definirea reelelor locale virtuale (VLAN - Virtual LAN), constnd n gruparea logic a nodurilor reelei, fr a ine cont de segmentul fizic de care aparin. n reelele Ethernet i Fast Ethernet bazate pe VLAN-uri, se utilizeaz protocolul STP (Spanning-Tree Protocol), pentru a elimina buclele din graf i a evita apariia fenomenului "broadcast storm", care determin creterea la infinit a numrului pachetelor transmise prin broadcast ntr-o reea redundant. STP configureaz porturile pentru a realiza transferul sau blocarea pachetelor pe anumite ci. Numeroase organizaii care au sedii distribuite n arii geografice extinse utilizeaz reele private virtuale (VPN Virtual Private Network), definite asemenea VLAN dar n care se aplic diferite tehnici de securizare a transferurilor informaiilor.
Observaii: 1. Un router, dei este un echipament de comunicaie de nivel 3, poate fi configurat s lucreze i ca bridge (BR - BRouter). 173 Luminia SCRIPCARIU Bazele reelelor de calculatoare
2. Un router poate lucra ca 'zid de protecie' (firewall) ntre dou LAN-uri interconectate pentru eliminarea transmisiilor broadcast nedorite i a fenomenului de saturare a reelelor (flooding), pentru securizarea traficului de pachete i asigurarea transparenei legturii. 3. Segmentarea reelelor cu routere este mai avantajoas dect cea realizat cu bridge- uri sau switch-uri, deoarece se lucreaz cu adrese de reea, respectiv cu o schem de adresare ierarhizat, pe domenii de coliziune mai mici, aplicnd un algoritm de deducere a rutei optime, ceea ce asigur fluena traficului i minimizeaz riscul de coliziune, dar determin unele ntrzieri de transmisie. 4. Routerele nu retransmit cadre prin broadcast, ceea ce reduce ncrcarea reelelor. Astfel, spre deosebire de switch-uri i bridge-uri, routerele delimiteaz domeniile de broadcast. 5. Routerele pot fi configurate software, prin comenzi specifice, definite de firma productoare. 6. Nu toate routerele recunosc subreelele. Routerele interne (internal router) dintr-un LAN folosite pentru segmentare n subreele trebuie s lucreze cu adrese i mti de subreea. Routerele de grani (boundary router) sau cele externe (external router), incluse n reeaua de transport, vor folosi numai adrese i mti de reea. 7. Routerele pot afla mtile de reea prin cereri adresate unor servere de nume, folosind protocolul ICMP.
III.7 ECHIPAMENTE DE SECURIZARE (FIREWALL)
Internetul este o reea cu foarte muli utilizatori din ntreaga lume i prin care se transfer cantiti uriae de informaii. Pentru aplicarea unei politici de securitate a reelei, se utilizeaz echipamente de securizare de tip "zid de foc" (firewall) care aplic anumite reguli i constrngeri privind accesul pe diferite interfee ale sale. Un router poate fi configurat ca firewall. De asemenea, unele sisteme de operare (de exemplu, Windows XP) au opiunea de activare a unui firewall intern. 174 Luminia SCRIPCARIU Bazele reelelor de calculatoare
Firewall-ul interconecteaz reeaua public i o reea privat, asigurnd securitatea datelor vehiculate intern n reea i protecia reelei private fa de eventualele atacuri externe (Fig.III.42).
Fig. III.42 Conectarea unei reele private la Internet prin intermediul unui firewall
Un firewall are minimum dou interfee: una pentru conexiunea dintre firewall i reeaua public (n particular, Internet-ul); cealalt interconecteaz firewall-ul cu reeaua intern privat (intranet), care necesit securizare. Firewall-ul protejeaz reeaua privat de unele atacuri externe i restricioneaz accesul din afar la resursele acesteia. ntruct firewall-ul reprezint singura conexiune dintre reeaua privat i cea public, la nivelul su se poate monitoriza traficul de pachete i se verific drepturile de acces ale utilizatorilor din afara reelei interne (prin operaia de login). n prezent, se utilizeaz dou tipuri de firewall: 1. Poart de aplicaii (Application Gateway) - varianta tradiional de firewall. Orice conexiune ntre dou reele se face prin intermediul unui program de aplicaii (proxy). O sesiune deschis n reeaua privat este ncheiat de proxy, dup care acesta creeaz o nou sesiune spre nodul de destinaie. Programul proxy se bazeaz pe particularitile suitei TCP/IP i este restrictiv pentru alte suite de protocoale. Execuia acestui program necesit resurse relativ mari din partea CPU. La nivelul firewall-ului sunt admise numai acele protocoale pentru care sunt configurate aplicaii proxy specifice. Cadrele bazate pe alte tipuri de protocoale sunt automat rejectate. 175 Luminia SCRIPCARIU Bazele reelelor de calculatoare
n practic, se configureaz i firewall-uri transparente, care transfer cadrele ntre cele dou sesiuni fr analiza prealabil a datelor. 2. Modul de inspecie dependent de stare (Stateful Inspection) sau de filtrare dinamic a pachetelor, denumit i nod de control al accesului n funcie de context (CBAC - Context-Based Access Control) - concept relativ nou de implementare a firewall-ului. n aceast tehnologie, se preiau pachetele de date i se citesc antetele introduse de protocolul de reea (IP) i de cele corespunztoare nivelelor OSI i TCP/IP superioare, pn la nivelul de aplicaie. Firewall-ul verific fiecare pachet care urmeaz s fie transferat i acord dreptul de acces n funcie de adresele sursei i destinaiei, precum i de serviciul solicitat. Acest tip de firewall realizeaz controlul fluxului cu memorie, astfel nct echipamentul este capabil s recunoasc acele pachete transmise din reeaua public (extranet) ca rspuns la o cerere adresat de un nod din reeaua intern (intranet), prin monitorizarea sesiunilor TCP. n paralel, se rejecteaz toate pachetele transmise din reeaua public n cea intern, dar care nu provin din traficul iniiat intern. Prin acest nou concept, se asigur o procesare rapid i eficient a traficului de informaii dintre Internet i reelele private, perfect adaptat noilor aplicaii Internet i realizat cu resurse hardware relativ reduse. Implementarea firewall-ului cu routere se face prin filtrarea dinamic a pachetelor i controlul traficului pe baza regulii care stabilete c: orice pachet transmis din reeaua intern ctre o destinaie extern este transferat de firewall necondiionat, cu excepia cazurilor n care se impun constrngeri; transferul oricrui pachet din reeaua public spre o destinaie din reeaua privat este blocat de firewall, cu excepia cazurilor n care se admite accesul acestora n mod explicit, prin configurarea adecvat a interfeelor publice referitor la accesul din exterior. Interfeele firewall-ului sunt deschise numai pe durata sesiunii iniiate de un utilizator cu drept de acces. Firewall-ul intercepteaz orice conexiune stabilit prin TCP i o continu numai dup verificarea prealabil a legturii. Acest lucru previne atacurile din exterior asupra reelei private, prin distrugerea cadrelor transmise prin TCP fr drept de acces. 176 Luminia SCRIPCARIU Bazele reelelor de calculatoare
Firewall-ul poate fi configurat n vederea limitrii accesului utilizatorilor din reeaua intern n cea public. Mesajele generate prin ICMP pot fi transferate sau blocate de firewall n funcie de modul de configurare a acestuia. Pentru evenimentele semnificative care apar la nivelul firewall-ului se pot trimite mesaje de ntiinare ctre nodurile de destinaie accesate. Echipamentele de tip firewall admit diverse protocoale de aplicaie: FTP, NETBIOS, GRE, OSPF, RSVP (ReSerVation Protocol), VDOnet's VDOLive, Microsoft's NetShow etc. Firewall-ul protejeaz reeaua privat fa de atacurile externe de tip "inundare" cu pachete (flooding), cu pachete PING ilegale sau ICMP generate n numr excesiv, atacuri Smurf cu pachete avnd adresa IP din spaiul de adrese alocat reelei private, de cele mai multe ori fiind chiar adresa de broadcast a acesteia, scanare a porturilor. Firewall-ul permite controlul i monitorizarea accesului (Logging Facility) n reeaua privat dar numai pentru sesiunile create pe baza protocolului Internet, nu i pentru alte suite de protocoale (Appletalk, DECnet, IPX/SPX). Politica de securitate aplicat de firewall stabilete regulile pe baza crora se admite sau se blocheaz transferul pachetelor ntre reeaua privat i cea public. Un firewall devine activ numai dup ce au fost configurate cel puin o interfa public i una privat i s-au stabilit regulile de acces la nivelul acestora. Traficul ntre dou interfee ale firewall-ului nesupuse politicii de securitate se desfoar normal, fr restricii. Transferul pachetelor de la o interfa nesecurizat ctre una securizat este automat blocat. Firewall-ul controleaz traficul de pachete pe baza adreselor fizice sau IP, a porturilor de aplicaie i chiar a zilei sau orei la care se acceseaz reeaua. Politica de securitate se aplic pe baza listelor de acces stocate n routere sau n servere RADIUS (Remote Authentication Dial In User Service). RADIUS este un protocol de autentificare, configurare i contorizare a transferurilor ntre firewall, ca server de control a accesului (Network Access Server) i un server RADIUS care deine baza de date cu informaii despre utilizatorii reelei (nume de utilizatori i parole), modul de configurare a reelei (adrese IP, mti de reele i de subreele etc), precum i despre sesiunile stabilite anterior, sub forma unui istoric al evenimentelor din reea. 177 Luminia SCRIPCARIU Bazele reelelor de calculatoare
Firewall-ul este clientul RADIUS care adreseaz cererea de autentificare ctre serverele RADIUS, pentru accesarea listelor de acces. Acestea sunt fiiere de tip 'text' (.txt), codate ASCII, care includ liste de adrese IP sau MAC. Listele de acces bazate pe adrese IP includ adrese IP individuale, eventual numele calculatoarelor-gazd, domeniul de adrese IP al unei reele i eventual unele comentarii care faciliteaz administrarea acestor liste. Listele de acces cu adrese fizice includ adrese MAC individuale ale componentelor reelei, eventual numele staiilor i comentarii ajuttoare. Numrul maxim de liste de acces care pot fi stocate pe un router, precum i dimensiunile acestora este n general limitat. Pentru un spaiu de adrese extins se prefer utilizarea unui server RADIUS care s gestioneze eficient aceste liste, pentru a reduce ntrzierile de trafic produse de routere. n acest caz, routerul devine un simplu client RADIUS care adreseaz cererea de autentificare ctre serverul RADIUS i primete un rspuns din partea acestuia.
Observaii: 1. Filtrarea dinamic a pachetelor se realizeaz la nivelul firewall-ului prin politica de securitate dar i prin procedeele de translare a adreselor private n adrese publice (NAT; ENAT - Enhanced NAT). Pentru a evita dubla filtrare a pachetelor n routere, se dezactiveaz serviciul NAT pe durata activrii firewall-ului. 2. Se poate monitoriza activitatea firewall-ului, mai precis evenimentele care se desfoar la nivelul su: accesarea adreselor de e-mail; desfurarea sesiunilor Telnet de acces de la distan n reeaua privat; comunicarea pe porturi asincrone (de exemplu, interfee seriale); accesarea agenilor SNMP.
178 Luminia SCRIPCARIU Bazele reelelor de calculatoare
III.8 Test-gril 3
III.1 Zona decablare orizontal nu include: cabluri conectori hub-uri routere
III.2 La capetele unui cablu de transmisie folosit ca magistral de date conductoarele metalice trebuie: lsate n gol puse n scurt legate la pmnt conectate la o terminaie cu aceeai impedan ca i cablul
III.3 Dimensiunea 24 AWG este echivalent cu: 0,24 mm 2,4 mm 24 mm 2,4 cm
III.4 Torsadarea firelor dintr-un cablu de telecomunicaii este folosit pentru: reducerea efectelor EMI externe reducerea efectelor RFI externe creterea rezistenei mecanice reducerea efectelor EMI din interiorul cablului
III.5 Cablul UTP pentru reelele Ethernet folosete pentru transmisia i recepia datelor perechile de fire: 1-2 i 3-4 1-2 i 4-5 1-2 i 3-6 179 Luminia SCRIPCARIU Bazele reelelor de calculatoare
1-2 i 7-8
III.6 n zone cu fenomene EMI i RFI puternice, nu se utilizeaz cabluri: FTP UTP optice coaxiale
III.7 ntr-o reea 100 Base-5 se poate folosi cablu de tip: RG - 8 RG - 58 RG - 59 RG - 62
III.8 ntr-o reea cu cablu optic, pentru transmisia semnalului luminos la distane mari se folosesc: LED-uri diode LASER fotodiode fototranzistori
III.9 O fibr optic unimod poate avea dimensiunile (n microni): 10/125 50/125 62,5/125 100/140
III.10 O interfa Ultra 3 SCSI care lucreaz pe 64 de bii la 10 MHz are viteza de: 64 Mbps 64 MBps 80 Mbps 80 MBps 180