Sunteți pe pagina 1din 85

Cap 1 - Introducere

WAN = o retea de date care opereaza dincolo de aria de acoperire geografica a unui LAN.
Ca sa poata folosi un WAN, o companie trebuie sa se aboneze la un service provider de WAN
(in general WAN-ul nu este detinut de companie, fata de LAN, care este detinut de companie).
In general pe WAN sunt transportate diferite tipuri de trafic: date, voce, video.

3 caracteristici majore ale WAN-ului:


- de regula conecteaza device-uri separate de o arie geografica mai mare decat poate acoperi
un LAN
- WAN-urile folosesc serviciile unui carrier (care poate fi o companie de telefonie, tv prin cablu,
sistem satelit sau provider de retea)
- WAN-urile folosesc conectori seriali de diferite tipuri

WAN-urile sunt folosite pentru comunicarea pe distante mari.

Modelul de design ierarhic


- access layer - daca in LAN permitea accesul la retea al statiilor de lucru si al serverelor, in
WAN permite accesul teleworkerilor sau al site-urilor remote la reteaua corporatiei
- distribution layer - agrega wiring closets folosind switchuri, pentru a segmenta grupurile (de
lucru) si a izola problemele retelei intr-un campus. In WAN este similar, layerul distribution
agrega conexiunile WAN la edge (marginea) campusului si furnizeaza conectivitate pe baza
politicii (policy-based connectivity).
- core layer / backbone - un backbone (coloana vertebrala) de viteza mare, care este gandit sa
switch-uiasca pachetele cat mai repede posibil. Pentru ca core-ul este critic pentru conectivitate,
trebuie sa ofere un nivel mare de disponibilitate (availability) si sa se adapteze la schimbari
foarte rapid. De asemenea ofera scalabilitate si convergenta rapida.

Diferite afaceri au nevoie de tipuri de retele diferite, in functie de organizare si obiective. Ca


reteaua pe care o administrezi sa nu devina prea dezorganizata, Cisco recomanda Cisco
Enterprise Architecture. Aceasta ofera repere pentru dezvoltarea retelei in fazele evolutive ale
unei companii.
Exemple de module ale arhitecturii:
- Enterprise Campus Architecture
- Enterprise Branch Architecture
- Enterprise Data Center Architecture
- Enterprise Teleworker Architecture

WAN-urile si modelul OSI


WAN-urile opereaza la layerele 1 si 2.

La layerul 1 protocoalele descriu cum sa furnizeze conexiuni? electrice, mecanice, operationale


si functionale serviciilor unui service provider de comunicatii. >>> cam ciudata forma de
exprimare...

La layerul 2 protocoalele definesc modul de incapsulare a datelor pentru a fi transmise locatiilor


remote si mecanismul de transferare a frame-urilor rezultate. Sunt folosite tehnologii diferite, ca
86
Frame Relay sau ATM. Unele dintre aceste protocoale folosesc acelasi mecanism de frame-uire
de baza, High-Level Data Link Control [HDLC], care este standard ISO, sau una dintre
derivatiile / variantele acestuia.

Terminologia WAN pentru layerul fizic


De obicei infrastructura pentru WAN nu apartine companiei, ci unui service provider de WAN, la
care compania trebuie sa se abonez, ca sa poata folosi WAN-ul.

Customer Premises Equipment [CPE] = echipamentele si cablurile abonatului (fie proprietare,


fie inchiriate) (prin) care se conecteaza la carrier.
Data Communications Equipment [DCE] = [data circuit terminating equipment] e alcatuit din
device-urile care pun date pe local loop. Furnizeaza o interfata care conecteaza abonatii la un
link de comunicatie din cloud-ul WAN.
Data Terminating Equipment [DTE] = device-ul clientului care trimite datele catre WAN. Se
conecteaza prin DCE la local loop.
Demarcation Point [DP] = punctul de la care se separa echipamentele clientului de cele ale
providerului. Fizic, punctul de demarcare este cutia cu cabluri de jonctiune care se afla la client,
care conecteaza cablurile CPE la local loop. Este pusa in asa fel incat un tehnician sa aiba
acces usor la ea. Punctul de demarcare separa responsabilitatile pentru conexiune.
Local Loop = cablul de telefon? din cupru sau fibra care conecteaza CPE al clientului la Central
Office [CO] al providerului. Local loop se mai numeste si last-mile.
Central Office = un edificiu (facility) sau o cladire a providerului unde cablurile de telefonie
locala se leaga de liniile de comunicatie de mare distanta, digitale, prin fibra optica, printr-un
sistem de switch-uri si alte echipamente.

Device-uri WAN:
Modem - moduleaza un semnal analog de carrier pentru a coda informatia si demoduleaza
semnalul carrier pentru a decoda informatia transmisa.
CSU/DSU - liniile digitale, ca liniile de carrier T1 si T3, necesita un channel service unit [CSU] si
un data service unit [DSU]. Cele 2 sunt deseori combinate intr-un singur echipament, numit
CSU/DSU. CSU furnizeaza terminatia pentru semnale digitale si asigura integritatea conexiei
prin corectarea erorilor si monitorizarea liniei. DSU converteste frame-urile liniei T-carrier in
frame-uri care pot fi interpretate de LAN si invers.
Access server - concentreaza comunicarea in si out a userilor. Un access server poate avea o
mixtura de interfete analogice si digitale si poate suporta sute de useri simultan.
WAN switch - un device multiport interretele folosit in retelele carrier. De obicei acest device
comuta (switch) traficul Frame Relay, ATM sau X.25 si opereaza la layerul Data Link al stivei
OSI. Switchurile Public Switched Telephone Network [PSTN] pot fi folosite si in cloud pentru
conexiuni cu comutare de circuite ca Integrated Service Digital Networks [ISDN] sau dialup
analog.
Router - furnizeaza porturi pe interfetele de acces pentru conectivitatea interretele si WAN,
folosite pentru conectarea cu service providerul. Aceste interfete pot folosi interfete seriale sau
alt tip de interfete WAN. Pentru unele tipuri de interfete WAN este necesar un device extern
(DSU/CSU sau modem analog, cable sau DSL) ca sa conecteze routerul cu punctul de
prezenta locala [POP] al providerului.
Core router - se afla in mijlocul sau in backbone-ul WAN. Trebuie sa fie capabil sa suporte
multiple interfete de telecomunicatii la cea mai mare viteza din core-ul WAN si trebuie sa poata
86
forwarda pachete IP la full speed pe celelalte interfete. In plus trebuie sa suporte si protocolul
de rutare folosit in core.

Standarde WAN la layerul fizic:


- EIA/TIA-232: signal speed de 64 bps si D-connector cu 25 de pini. A fost numit RS-232.
Specificatia ITU-T V.24 este efectiv acelasi lucru.
- EIA/TIA-449/530 - este varianta mai rapida a lui EIA/TIA-232, transmite cu 2 Mbps, foloseste
D-connector cu 36 pini, cablul poate fi mai lung, standardul mai este cunoscut ca RS422 si
RS423.
- EIA/TIA-612/613 - descrie protocolul High-speed serial interface [HSSI]. Are viteza de transfer
pana la 52 Mbps si foloseste D-connector cu 60 pini.
- V.35 este standardul ITU-T pentru comunicarea sincrona dintre un device de network access
si o retea cu pachete. Viteza originala/initiala a fost de 48 kbps, acum este de 2.048 Mbps;
foloseste un conector dreptunghiular cu 34 pini.
- X.21 - este standard ITU-T, e folosit pentru comunicarea digitala sincrona; foloseste un D-
conector cu 15 pini.

Alegerea protocolului este determinata in mare masura de metoda de facilitare a service


providerului.

Terminologia WAN pentru layerul Data Link


Protocoalele data link: in afara de device-urile WAN de layer fizic, sunt necesare si protocoale
data link, care stabilesc legatura emitator-receptor de-a lungul canalelor de comunicatie.
Protocoalele data link definesc modul in care sunt incapsulate datele pentru transmisie si
mecanismul de transferare a frame-urilor rezultate. Sunt folosite o varietate de tehnologii, ca:
Frame Relay, ISDN sau ATM. Multe dintre aceste protocoale folosesc acelasi mecanism de
framing (sau variatii) - HDLC-ul, care este un standard ISO. ATM-ul este diferit de celelalte
protocoale, el foloseste celule de dimensiune fixa, de 53 bytes (48 bytes de date), fata de
celelalte tehnologii packet-switched, care folosesc pachete cu dimensiune variabila.
Cele mai intalnite protocoale data link de WAN sunt:
- HDLC
- PPP
- Frame Relay
- ATM

ISDN si X.25 sunt protocoale mai vechi, care acum sunt mai putin folosite. Cu toate astea,
protocolul ISDN este inca tratat in acest curs, pentru ca este folosit pentru retelele VoIP prin
linkuri PRI. Si X.25 este in uz in tarile in dezvoltare, pentru trimiterea datelor tranzactiilor cu card
de la retaileri prin packet data network [PDN]

Nota: mai exista si protocolul Multiprotocol Label Switching [MPLS], care este o solutie
economica pentru transportul traficului de retea cu comutare de circuite si cu comutare de
pachete. Poate opera peste orice tip de infrastructura existenta, cum ar fi: IP, Frame Relay,
ATM sau Ethernet. Pentru ca sta intre Layerul 2 si Layerul 3, este considerat protocol de
Layerul 2.5. MPLS nu este tratat in acest curs, ci in CCNP.

Incapsularea WAN
86
Fiecare tip de conexiune WAN foloseste un protocol de layer 2 ca sa incapsuleze pachetul care
traverseaza linkul WAN. Multe protocoale sunt dezvoltate pe HDLC, pentru ca acesta este
aparut de mult timp (din 1979).

Formatul de incapsulare al frame-urilor WAN:


Frame-urile incep si se termina cu un flag field pe 8 biti, cu patern-ul 01111110.
Frame-ul are urmatoarele campuri:
Flag | Header | Data | FCS | Flag

Header-ul are urmatoarele campuri:


Address | Control | Protocol

Campul de adresa nu este necesar, pentru ca linkurile WAN sunt in general point-to-point.
Totusi el exista si are 1-2 byti.

Campul de control are 1 byte si arata tipul continutului: informatie de control sau date de la
layerul network.

Campul Protocol indica protocolul de layer 3 catre care este directionat.

Circuit switching / comutarea circuitelor


O retea cu comutare de circuite stabileste un circuit (canal) dedicat intre noduri inainte ca
terminalele sa fie capabile sa comunice. Pentru ca acest canal este partajat de mai multe
conversatii, se foloseste Time Division Multiplexing [TDM] ca sa le asigure fiecareia o parte a
conexiunii, pe rand. TDM asigura ca o capacitate fixa a conexiunii este alocata fiecarui abonat.

Pentru circuitele care transporta date (de computer, nu de telefon), utilizarea unei capacitati fixe
nu este eficienta. De exemplu, daca cineva acceseaza o pagina de internet, va genera un trafic
momentan mare, cat se incarca pagina, apoi nu va mai genera trafic pana cand nu va cere
pagina urmatoare. Traficul normal pentru retelele de calculatoare este o variatie intre nimic si
maxim :D . Pentru ca abonatul este unicul care foloseste alocarea fixa, switched circuits sunt in
general un mod scump de a transfera date.
PSTN si ISDN sunt 2 tipuri de tehnologii de circuit-switching care pot fi folosite pentru WAN-ul
unei companii (enterprise).

Packet switching / comutarea pachetelor


Pachetele sunt rutate peste o retea share-uita. Nu mai este necesar sa se creeze un circuit.
Pe baza adresei din fiecare pachet, switchurile determina care este urmatorul link pe care trimit
pachetele.
Sunt 2 abordari in determinarea linkului:
- connectionless
- connection-oriented
In cazul sistemelor connectionless fiecare pachet contine intreaga adresa. Fiecare switch
evalueaza adresa pentru a determina unde sa trimita pachetul.
In cazul sistemelor connection-oriented intai se determina (se predetermina) ruta pentru
pachete, iar pachetele care vor fi trimise trebuie sa contina doar un identificator. In cazul Frame
Relay acestia se numesc Data Link Control Identifiers [DLCIs].
86
Pentru ca linkurile sunt share-uite, costurile sunt mai mici, iar delay-ul este mai mare (latenta si
jitter-ul) fata de circuit-switched networks.

Circuite virtuale [VC]


Retelele packet-switched pot stabili rute prin switchuri pentru anumite conexiuni end-to-end.
Aceste rute se numesc circuite virtuale. Un circuit virtual este un circuit logic creat in cadrul unei
retele share-uite, intre 2 device-uri de retea.
Exista 2 tipuri de circuite virtuale:
- permanent virtual circuit [PVC]
- switched virtual circuit [SVC]
PVC sunt folosite cand transferul de date dintre device-uri este constant. PVC-ul scade
utilizarea bandwidth pentru stabilirea si terminarea VC, dar creste costul datorita disponibilitatii
acestui circuit. In general PVC sunt configurate de service provider, la cererea clientului.
SVC este stabilit dinamic, la cerere, si se termina cand s-a finalizat transmisia. Comunicarea
peste un SVC are 3 faze: stabilirea / realizarea circuitului, transferul de date, terminarea /
eliminarea circuitului. SVC-urile sunt folosite cand transmisia de date dintre device-uri este
intermitenta, cel mai des ca sa reduca din costuri.

Conectarea la o retea packet-switched se face prin bucla locala pana la cea mai apropiata
locatie unde providerul furnizeaza acest serviciu. Locatia se numeste point of presence [POP].
Exemple de conexiuni packet/cell -switched: X.25, ATM, Frame Relay.

Optiuni de conectare WAN:

WAN:
- privat:
dedicat: leased-line
switched:
circuit-switched: ISDN, PSTN
packet-switched: Frame Relay, X.25, ATM, Metro Ethernet
- public - Internet - Broadband VPN: DSL, Cable, Broadband Wireless

I. Leased-line: costa mai mult, dar au delay si jitter mic. Este nevoie de cate un port serial de
router pentru fiecare linie inchiriata + un CSU/DSU si un circuit de la service provider.
Dezavantaje: cost mare, capacitate fixa - care nu este utilizata eficient, si pentru ca fiecare
endpoint are nevoie de o interfata fizica de router separata pot rezulta costuri mari ale
echipamentelor. Orice schimbare a liniei inchiriate in general necesita ca site-ului sa fie vizitat
de catre carrier.

II. Circuit-switched:
a) Dialup analog:
Cand ai nevoie sa transmiti volume mici de date, intermitent, modemurile si liniile de telefonie
dialed analog furnizeaza o capacitate redusa si conexiuni switch-uite dedicate.
Avantaje: disponibilitate, simplitate si costuri mici de implementare.
Dezavantaje: rata de transfer mica (56 kbps) si timp de conectare relativ mare.
Desi are jitter si delay mic, traficul de voce si video nu opereaza adecvat datorita vitezei de
transfer mica.
86
b) ISDN e o tehnologie circuit-switching care permite ca bucla locala a unei PSTN sa transporte
semnale digitale, ceea ce duce la capacitati mai mari ale conexiunii. ISDN schimba conexiunea
interna a unei PSTN de la semnale analog(ice) la semnale digitale TDM [Time Division
Multiplexed]. TDM permite ca 2 sau mai multe semnale / streamuri de biti sa fie transferate ca
subcanale intr-un canal de comunicare.
ISDN transforma bucla locala intr-o conexiune digitala TDM, care transporta 64 kbps per bearer
channel (B channel) si un canal de semnalizare delta [D].
Sunt 2 tipuri de interfete ISDN:
- Basic Rate Interface [BRI] care are 2 B-channel x 64 kbps si 1 D-channel de 16 kbps, pentru
control
- Primary Rate Interface [PRI] care are 23 B-channels x 64 kbps si 1 D-channel de 64 kbps,
pentru America de Nord => 1.544 Mbps. In Europa, Australia si in alte parti ale lumii, ISDN PRI
ofera 30 B-channels si 1 D-channel, rezultand 2.048 Mbps. PRI in America de Nord corespunde
unei conexiuni T1; PRI pentru celelalte parti ale lumii corespunde unei conexiuni E1 sau J1.

III. Packet-switched
a) X.25
Este un protocol de layer Network mostenit, care ofera abonatilor adresa de retea. Circuite
virtuale pot fi setate de-a lungul retelei prin pachete de call requests catre adresa tinta. SVC-ul
rezultat este identificat printr-un numar de canal. Pachetele de date etichetate (labeled) cu
numarul de canal sunt livrate la adresa corespunzatoare. Mai multe canale pot fi active pe o
conexiune.
Folositea obisnuita a X.25 este pentru cititoarele de carduri de la punctele de vanzare. Viteza
lui X.25 variaza intre 2400 bps si 2 Mbps. Retelele publice au in general viteza mica, ce rareori
depaseste 64 kbps.
Retelele X.25 sunt acum intr-un declin dramatic, fiind inlocuite de noile tehnologii de layer 2, ca
Frame Relay, ATM si ADSL.
b) Frame Relay
Chiar daca layerul network pare similar cu cel al X.25, Frame Relay difera de X.25 in mai multe
moduri. Cel mai important, este un protocol mult mai simplu, care lucreaza la layerul data link in
loc de layerul network. Frame Relay nu implementeaza controlul erorilor si al fluxului.
Gestionarea simplificata a frame-urilor duce la o latenta redusa si masurile luate pentru evitarea
construirii frame-urilor la switch-urile intermediare reduc jitter-ul. Frame Relay ofera rate de
transfer pana la 4 Mbps (unii provideri oferind rate mai bune).
Circuitele virtuale Frame Relay sunt identificate in mod unic printr-un DLCI, care asigura
comunicarea bidirectionala intre device-urile DTE. Cele mai multe conexiuni Frame Relay sunt
PVC (fata de SVC).
Frame Relay furnizeaza conectivitate permanenta, bandwidth mediu, shared, care transporta
trafic de voce si de date. Frame Relay este ideal pentru conectarea LAN-urilor enterprise.
Routerele din LAN au nevoie de o singura interfata, chiar daca sunt folosite mai multe circuite
virtuale. Linia inchiriata scurta pana la reteaua Frame Relay permite conexiuni eficiente dpv cost
intre LAN-uri foarte raspandite / imprastite.
c) ATM
ATM = asynchronous transfer mode
Este o tehnologie capabila sa transfere date, voce si video prin retele publice si private. Este
construita pe o arhitectura bazata pe celule, fata de cea bazata pe frame-uri. Intotdeauna o

86
celula ATM are o dimensiune fixa, de 53 bytes, din care 5 bytes sunt pentru header, restul sunt
pentru date.
Celulele ATM sunt mai putin eficiente ca frame-urile mai mari ale Frame Relay si X.25. La
fiecare 48 bytes de date, ele au un overhead de 5 bytes, ceea ce duce la un overhead mare
pentru cantitati mari de date. La acelasi volum de date, ATM are nevoie de un bandwidrh cu
20% mai mare ca Frame Relay sau X.25.
ATM a fost proiectat sa fie foarte scalabil, si supporta viteze ale linkului de la T1 (1.544 Mbps),
pana la OC-12 (622 Mbps) sau chiar mai mult.
ATM ofera PVC si SVC, cu toate ca PVC este mai intalnit in WAN. La fel ca alte tehnologii
shared, si ATM ofera mai multe circuite virtuale pe o singura linie inchiriata pana la network
edge.

IV. WAN - public - Internet


1. Servicii broadband:
Optiunile de conectare broadband sunt in general folosite pentru a conecta angajatii
telecommuting la un site corporate peste internet. Aceste optiuni includ DSL, cablu, wireless.

a) Tehnologia DSL este o tehnologie de conectare always-on care foloseste liniile de telefonie
twisted pair ca sa transporte date la bandwidth ridicat si sa furnizeze servicii IP abonatilor. Un
modem DSL converteste semnalul Ethernet al device-ului userului in semnal DSL, pe care il
transmite la central office [CO].
La locatia providerului mai multe linii ale abonatilor DSL sunt multiplexate intr-un singur link de
capacitate mare prin folosirea unui DSL access multiplexer [DSLAM]. DSLAM-urile
incorporeaza tehnologia TDM pentru a agrega mai multe linii ale abonatilor intr-o singur mediu,
de obicei o conexiune T3 / DS3. Tehnologiile curente de DSL folosesc tehnici sofisticate de
codare si modulare si ajung la rate de transfer de pana la 8.129 Mbps.

b) Cable modem
Cablul coaxial este foarte folosit in zonele urbane pentru a distribui semnal TV. Accesul la retea
este posibil prin unele retele de televiziune prin cablu. Aceasta permite un bandwidth mai mare
decat cel prin bucla locala a telefoniei conventionale.
Cable modem ofera o conexiune always-on si un mod simplu de instalare. Abonatul
conecteaza un computer sau un LAN router la modem, care traduce semnalele digitale in
frecventa de broadband folosita pentru transmisia pe reteau de televiziune prin cablu. Biroul
local al televiziunii prin cablu - care se mai numeste si cable headend - contine sistemul de
computere si baze de date care furnizeaza accesul la internet. Cea mai importanta componenta
din headend este cable modem termination system [CMTS], care trimite si primeste semnale
digitale prin cable modem pe retea si este necesara ca sa furnizeze servicii internet abonatilor.
Abonatii trebuie sa foloseasca ISP-ul asociat service providerului si in plus, pe masura ce sunt
mai multi abonati, bandwidth-ul se imparte la toti, ceea ce poate avea ca rezultat un bandwidth
sub asteptari.

c) Wireless broadband
Tehnologia wireless foloseste spectrul de frecvente radio nelicentiate pentru a trimite si primi
date. Acest spectru nelicentiat este accesibil oricui are echipamentul necesar.
Pana de curand o limitare a accesului la wireless era ca trebuia sa te afli in aria de acoperire a
transmisiei locale. Acest lucru este schimbat de dezvoltarea tehnologiei de broadband wireless:
86
- municipal WiFi: acoperire wireless la nivelul orasului si acces la retea gratuit sau la tarife
modice. Alte retele wireless sunt disponibile doar politiei, pompierilor, sau altor angajati ai
orasului.
- WiMAX - worldwide interoperability for microwave access este definit in standardul IEEE
802.16. Furnizeaza servicii broadband la viteze mari cu acces wireless si furnizeaza acoperire
mare, similar cu retelele de telefonie. WiMAX functioneaza similar cu WiFi, dar la viteze mai
mari, peste distante mai mari si pentru un numar mai mare de utilizatori. Foloseste o retea de
turnuri WiMAX, similar cu turnurile de telefonie. Ca sa acceseze WiMAX abonatii trebuie sa aiba
turnul unui ISP la mai putin de 10 mile, au nevoie de un computer capabil sa acceseze WiMAX
si au nevoie de un cod special de criptare.
- Satellite Internet
Este folosit in general in zonele rurale, unde cablul si DSL-ul nu sunt disponibile. Antena satelit
ofera viteze de 10 ori mai mari ca modemul analog, cu o viteza de upload cam de 1/10 din 500
kbps (50 kbps).

2. Tehnologia VPN
Riscuri de securitate apar cand un teleworker sau un remote office foloseste servicii broadband
ca sa acceseze WAN-ul corporate peste Internet. Ca sa adreseze problemele de securitate,
serviciile de broadband ofera capabilitati pentru utilizarea conexiunilor Virtual Private Network
[VPN] la un server VPN, aflat de regula in site-ul corporatiei.
Un VPN este o conexiune criptata intre 2 retele private peste o conexiune publica cum este
Internetul. In loc sa foloseasca o conexiune dedicata de layer 2, cum sunt liniile dedicate, un
VPN foloseste conexiuni virtuale numite tunele VPN, care sunt rutate prin internet, de la reteaua
privata a companiei la site-ul remote sau hostul angajatului.

Beneficii:
- reducerea costurilor (nu mai folosesti linkuri de WAN dedicate si grupuri de modemuri)
- securitate (prin protocoale de criptare si autentificare)
- scalabilitate
- compatibilitate cu tehnologia broadband

Tipuri de acces VPN:


- site-to-site VPN conecteaza retele intregi, una la alta; fiecare locatie are un VPN gateway
(router, firewall, VPN concentrator, security appliance)
- remote-access VPN permite hosturilor individuali (telecommuteri, mobile users, extranet
consumers) sa acceseze securizat, peste Internet, reteaua companiei. Fiecare host ruleaza (de
regula) un software de client VPN sau foloseste un clent web-based.

3. Metro Ethernet
Este o tehnologie de retea cu o maturizare rapida, care largeste Ethernetul catre retelele
publice, controlate de telco (telecommunication companies).
Beneficii:
- reducerea cheltuielilor si administrarii - tehnologia permite conectarea site-urilor din aceeasi
arie metropolitana
- integrare usoara cu retelele existente
- imbunatatirea productivitatii

86
***********************************************************

Cap 2 - PPP

Conexiunea Point-to-Point este una din cele mai cunoscute conexiuni WAN. Este folosita sa
conecteze LAN-urile la WAN-urile service providerilor si sa conecteze segmente de LAN din
retelele enterprise. O conexiune LAN-to-WAN point-to-point se mai numeste conexiune seriala
sau leased-line pentru ca liniile sunt inchiriate de la un carrier (in general o companie de
telefonie) si sunt dedicate companiei care le-a inchiriat.

Protocolul Point-to Point [PPP] furnizeaza un mod de gestionare simultana a conexiunilor


multiprotocol LAN-to-WAN: TCP/IP, IPX si AppleTalk. Poate fi folosit peste twisted pair, fibra
optica sau comunicare prin satelit. PPP furnizeaza transport peste ATM, Frame Relay, ISDN si
linkuri optice. Securitatea se realizeaza prin Password Authentication Protocol [PAP] si prin
Challenge Handshake Authentication Protocol [CHAP].

Introducere in comunicarea seriala


Ca sa trimiti bitii mai rapid prin fir poti fie sa compresezi datele si sa ai de trimis mai putini biti,
fie sa ii trimiti simultan.
Comunicarea paralela vs comunicarea seriala:
- pe o conexiune seriala datele sunt trimise pe 1 fir, cate 1 bit o data. Conectorii seriali cu 9 pini
folositi de majoritatea computerelor folosesc 2 bucle pe fir, cate 1 pentru fiecare directie, plus
fire aditionale ca sa controleze fluxul de informatii. In oricare directie datele curg tot pe un singur
fir.
- o conexiune paralela trimite bitii simultan pe mai multe fire. In cazul unui port paralel cu 25
pini, sunt 8 fire care transporta 8 biti simultan. Teoretic, o conexiune paralela trimite 8 biti (1
byte) in timpul in care o conexiune seriala trimite doar 1 bit.

Datorita clock skew si crosstalk interferences [* skew = asimetric, inclinat] linkurile seriale pot
atinge rate de transfer mai mari.

Clock skew = in conexiunile paralele bitii nu pot fi trimisi chiar simultan, nici nu ajung la
destinatie simultan. Din aceasta cauza emitatorul trebuie sa citeasca, sa astepte, sa faca latch
(zavorasca?), sa astepte semnalul de clock si sa transmita cei 8 biti. In felul acesta se adauga
timpi pentru realizarea transmisiei. Un latch este un sistem de pastrare a datelor (data storage)
folosit pentru a pastra informatiile intr-un sistem de secventa logica. Cu cat linkul este mai lung
si cu cat sunt mai multi pini, creste delay-ul.
Aceasta problema nu este intalnita in cazul linkurilor seriale, pentru ca cele mai multe dintre ele
nu au nevoie de ceas / clock. Conexiunile seriale necesita mai putine fire si cabluri. Ocupa un
spatiu mai mic si pot fi mai bine izolate de interferente.
Crosstalk = influenta semnalelor unul asupra celuilalt (interferenta). Cu cat creste frecventa, cu
atat trebuie mai multa procesare pentru crosstalk. Pentru ca linkurile seriale au mai putine fire,
este mai putin crosstalk, si device-urile de retea transmit comunicarea seriala la frecvente mai
mari.

86
In cele mai multe cazuri implementarea comunicarii seriale este mai ieftina (foloseste mai putine
fire, cabluri mai ieftine si mai putini pini).

Standarde de comunicare seriala:


Toate comunicarile la distanta mare si cele mai multe retele de calclatoare folosesc conexiuni
seriale, pentru ca costul cablurilor si dificultatile de sincronizare fac sa fie nepractica conexiunea
paralela.
Cel mai semnificativ avantaj este cablarea simpla. De asemenea cablurile seriale pot fi mai
lungi ca cele paralele, pentru ca sunt mult mai putine interferente intre conductorii din cablu.
In comunicarea prin WAN, acelasi protocol de comunicare trebuie folosit la trimiterea si la
receptionarea frame-urilor.

Standarde cheie de comunicare seriala LAN-WAN:


a) RS-232: cele mai multe porturi seriale ale PC-urilor sunt conforme cu acesta sau cu
variantele mai noi (RS-232C, RS-422. RS-423). Sunt folositi conectori cu 9 si cu 25 de pini. Un
port serial este o interfata care poate fi folosita pentru aproape orice device, inclusiv modemuri,
mousi, imprimante. Multe device-uri de retea folosesc RJ-45, care de asemenea este conform
cu RS-232 (ei na!? cum asa?)
b) V.35: este in general folosit pentru comunicarile dintre modem-multiplexor, este standard de
viteza mare al ITU, transporta date sincronizat si combina bandwidth-ul mai multor circuite de
telefonie. In USA este interfata standard folosita de cele mai multe routere si DSU pentru
conectarea la carrierii T1. Cablurile V.35 sunt linii seriale proiectate sa suporte ratele de transfer
mari si comunicatiile intre DTE si DCE peste liniile digitale.
c) HSSI: high-speed serial interface, suporta rate de transfer de pana la 52 Mbps. Sunt folosite
pentru a conecta routerele din LAN la WAN peste linii high-speed gen T3. De asemenea este
folosit pentru a furniza conectivitate de viteza mare intre LAN-uri, folosind Token Ring sau
Ethernet. HSSI este o interfata DTE/DCE dezvoltata de Cisco Systems si T3plus Networking
pentru a adresa nevoia de comunicatii de viteza mare peste WAN.

Aceste standarde nu numai ca folosesc diferite metode de semnalizare, dar folosesc si diferite
tipuri de cabluri si conectori. Fiecare standard joaca un rol diferit in topologia LAN-WAN.

Functiile celor 9 pini ai conectorul RS-232:


pinul 1: data carrier detect [DCD] arata ca carrierul pentru transmisia de date este on
pinul 2: pinul receptor [RXD] transporta datele de la device-ul serial la computer
pinul 3: pinul transmitator [TxD] transporta datele de la computer la device-ul serial
pinul 4: data terminal ready [DTR] ii indica modemului ca computerul este pregatit sa transmita.
pinul 5: ground (impamantare)
pinul 6: data set ready [DSR] este similar cu DTR. Arata ca dataset este on.
pinul 7: pinul RTS solicita autorizarea sa trimita date modemului
pinul 8: device-ul serial foloseste pinul clear to send [CTS] ca sa confirme semnalul RTS de la
computer. In multe situatii RTS si CTS sunt constant on in timpul sesiunii de comunicare.
pinul 9: un modem cu auto raspuns foloseste Ring Indicator [RI] sa semnalizeze receptia unui
semnal de sunat al telefonului (ring signal).

Pinii DCD si RI sunt disponibili doar la conectarea cu un modem. Aceste 2 linii sunt rar folosite
pentru ca cele mai multe modemuri trimit informatii despre status unui PC cand este detectat un
86
semnal de carrier (cand se face o conexiune cu un alt modem) sau cand modemul primeste un
semnal de sunat de la o liniie de telefoni.

Time Division Multiplexing [TDM]

A fost inventata de Bell Laboratories ca sa maximizeze volumul de trafic de voce peste un


mediu. Pana la multiplexare, fiecare apel telefonic avea nevoie de propriul lui link fizic. Solutia
respectiva nu era scalabila si era si scumpa. TDM imparte bandwidth-ul unei singure legaturi
(link) in mai multe canale separate sau segmente de timp (time slots). TDM transmite 2-n
canale pe un singur link, prin alocarea unui interval de timp diferit pentru fiecare canal. Canalele
folosesc linkul pe rand.
TDM este un concept de layer fizic, nu il intereseaza natura informatiei pe care o multiplexeaza
pe canalul de iesire. TDM este independent de protocoalele de layer 2 folosite de canalele de
intrare. TDM creste capacitatea de transmisiea linkului prin impartirea timpului in intervale mai
mici in asa fel incat linkul sa transporte biti de la surse multiple, crescand efectiv numarul de biti
transportati intr-o secunda. In cazul TDM emitatorul si receptorul stiu exact ce semnal este
trimis.
Multiplexorul [MUX] imparte semnalele in segmente si le plaseaza intr-un singur canal prin
inserarea fiecarui segment intr-un time slot.
La receptor un alt multiplexor face reconstructia, prin recrearea semnalelor in streamuri
separate, pe baza timpului de venire a fiecarui bit. Tehnica numita bit interleaving tine evidenta
numarului si secventei bitilor din fiecare transmisie specifica, ca la receptie sa poata fi
reasamblati rapid si eficient in forma originala. *Byte interleaving face acelasi lucru, dar cu cate
8 biti (procesul are nevoie de un time slot mai mare/lung).

Exemple comune de TDM sincron sunt liniile de telefonie T1/E1 si ISDN.

TDM-ul are o ineficienta: rezerva time slots si daca nu sunt date de trimis. Pentru a compensa
aceasta ineficienta a fost dezvoltat Statistical time-division multiplexing [STDM]. STDM
foloseste o lungime variabila a time slot-ului, permitand canalelor sa concureze pentru orice slot
liber. Foloseste un buffer de memorie care pastreaza temporar datele in timpul perioadelor de
varf ale traficului. In acest mod STDM nu iroseste timp al liniilor de viteza mare, pentru canalele
inactive. STDM necesita ca fiecare transmisie sa transporte informatii de indentificare (un
identificator de canal).

Exemple de TDM: ISDN si SONET


BRI ISDN are 2 B-channel de 64 kbps si 1 D-channel de 16 kbps. Are 9 time slots, repetate
dupa paternul <br1-br2-br1-br2-br1-br2-br1-br2-br1-br2-d>.

La o scala mai mare, industria de telecomunicatii foloseste SONET sau standardul SDH pentru
a transporta prin fibra optica date TDM. SONET-ul e folosit in America de Nord, SDH-ul e folosit
in celelalte zone. Cele 2 standarde sunt strans relationate / legate. Ex: 4 streamuri de 2.5 G
sunt multiplexate intr-un stream de 10 G, prin fibra optica.

DS0 = digital signal zero = unitatea originala folosita la multiplexarea liniilor de telefon, are 64
kbps.

86
Signal bit Rate Voice slot

DS0 64 kbps 1 DS0

DS1 1.544 Mbps 24 DS0

DS2 6.312 Mbps 96 DS0

DS3 44.736 Mbps 672 DS0 sau 28 DS1


* se refera la T1, care are 24 B-channels. E1/J1 au 32 B-channels

T-carriers:
1 T4 = 6 T3 = 274 Mbps
1 T3 = 7 T2 = 45 Mbps
1 T2 = 2 T1C = 6.312 Mbps
1 T1C = 24 T1 = 1.544 Mbps

Demarcation point:
In America de Nord, este inainte de CSU/DSU (pe bucla locala - e mai departe de client).
In restul lumii este intre DTE si DCE (e mai aproape de client).

DTE-DCE
DTE este la client, este de obicei un router, dar poate fi si un terminal, PC, printer, fax, daca se
conecteaza direct la service provider.
DCE este la service provider, de obicei este un modem sau un CSU/DSU.

Standarde de cabluri
La origine, conceptul de DTE si DCE s-a bazat pe 2 tipuri de echipamente:
- echipamente terminale, care primesc si trimit date
- echipamente de comunicatie, care doar retransmit datele.
De aceea sunt 2 tipuri de cabluri: 1 care conecteaza un DCE la un DTE si 1 care conecteaza
direct 2 DTE-uri.

Interfata DTE/DCE pentru un anumit standard defineste specificatiile:


- mecanice / fizice - numar de pini si tip de conectori
- electrice - voltajele de 0 si 1
- functionale - specifica functiile care sunt realizate prin alocarea unui inteles fiecarei linii de
semnal a interfetei
- procedurale - specifica secventa de evenimente pentru transmiterea de date.

2 DTE-uri pot comunica direct cu ajutorul unui cablu special, numit null modem. Cu null modem,
la unul din capetele cablului se face cross intre Tx si Rx. >>> trebuie sa setezi clock rate.

Tipuri de incapsulari WAN


1. HDLC: incapsulare defaul pe linkurile point-to-point, linkuri dedicate si conexiuni circuit
switched sincrone, cand link-ul foloseste 2 device-uri Cisco. Este baza pentru PPP sincron.

86
2. PPP: face legatura intre routere si intre host si retea, peste circuite sincrone si asincrone.
Este folosit cu IP, IPX. Are mecanisme de securitate built-in PAP si CHAP.
3. Serial Line Internet Protocol [SLIP]: un protocol standard pentru protocolul TCP/IP peste
linii asincrone, este inlocuit masiv de PPP.
4. X.25 / Link Access Procedure, Balanced [LAPB]: este standard ITU-T, defineste cum este
mentinuta legatura intre DTE-DCE pentru accesarea remote a unui terminal si pentru
comunicarea computerelor in retelele publice de date. X.25 specifica protocolul LAPB (este de
layer-ul data link). X.25 este precursorul lui Fram Relay.
5. Frame Relay: standard la nivel de industrie, switched, e protocol de data link care
gestioneaza multiple circuite virtuale. Nu face corectarea erorilor si flow control.
6. ATM: standard international pentru cell relay, trimite voce, video, date, in celule de 53 de
bytes. Procesarea se face in hardware.

Leased line: HDLC, PPP, SLIP


Circuit-switched: HDLC, PPP, SLIP
Packet-switched: X.25, Frame Relay, ATM

HDLC
- este un protocol de layer data link, sincron, bit-oriented, dezvoltat de ISO. S-a dezvoltat din
SDLC.
- este connected-oriented si connectionless
- foloseste transmisia seriala sincrona
- foloseste acknowledgement pentru flow control si error control

A derivat in Cisco HDLC [cHDLC] si are in plus multiprotocol support.

Formatul frame-ului HDLC:


HDLC defineste 3 tipuri de frame-uri, fiecare cu un camp de control diferit.

Campurile frame-ului HDLC:


- flag: 01111110, frame-ul incepe si se termina cu acest flag. Ca intre datele normale sa nu
apara un patern ca cel al flag-ului, dupa 5 de 1 consecutivi este inserat un 0. Cand mai multe
frame-uri sunt trimise consecutiv, flag-ul care termina un frame este considerat frame de inceput
pentru urmatorul frame.
- address: contine adresa statiei secondary. Poate fi o adresa specifica, o adresa de grup sau o
adresa broadcast. O adresa primary este fie sursa, fie destinatia comunicarii, ceea ce elimina
nevoia de a include adresa primary. ???
- control: are 3 formate diferite, in functie de tipul frame-ului
- information frame (i-frame) - transporta informatii pentru layerele superioare si ceva
informatii de control. Trimite si primeste sequence number si bitul final poll [p/f] face controlul
flow-ului si al erorilor. Are campurile receive sequence number >>> poll final >>> send sequece
number. Receive sec number = numarul urmatorului frame care va fi primit. Send seq number =
nr frame-ului care va fi trimis. Statia primary foloseste bitul p/f ca sa anunte statia secondary
daca solicita un raspuns imediat. Statia secondary foloseste bitul p/f ca sa anunte daca frame-ul
trimis este ultimul frame al raspunsului curent.
- supervisory frame - furnizeaza informatie de control. Poate sa solicite si sa suspende
transmisia, raportul statusului si confirma primirea I-frame-urilor. Nu are camp de informatie.
86
Unnumbered frame - U frames sunt tot in scop de control si nu sunt secventiate. Un u-
frame poate fi folosit pentru a initializa secondaries.
- protocol - folosit doar in cHDLC, specifica tipul protocolul incapsulat in frame (ex: 0x0800
pentru IP).
- data - contine sau path information unit sau exchange identification information.
- Frame check sequence [FCS] - precede campul de flag. Foloseste un CRC, calculat de
receptor, identifica daca sunt erori.

Configurarea HDLC:
Este default pe echipamentele Cisco pe liniile sincrone seriale. Daca nu ai ambele echipamente
Cisco, foloseste PPP sincron.

R1(config-if)#encapslation hdlc >>> activeaza incapsularea hdlc

Troubleshooting pe interfetele seriale


R#show interfaces serial >>> arata tipul de incapsulare, starile linkului, etc.

Stari posibile:
- serial x is down, line protocol is down
- serial x is up, line protocol is down
- serial x is up, line protocol is up (looped)
- serial x is up, line protocol is down (disabled)
- serial x is admin down, line protocol is down

R#show controllers >>> arata DTE/DCE si tipul de conector (ex: V.35)

PPP
Incapsularea PPP a fost gandita sa fie compatibila cu cele mai utilizate tipuri de hardware. Este
incapsulare de layer 2.
Poate fi folosit peste: cabluri seriale, linii de telefon, linii trunk, retea de telefonie mobila (cellular
phone), “linii” radio specializate, fibra optica.

Avantaje:
- PPP nu este proprietar.
fata de HDLC are in plus:
- monitorizeaza calitatea linkului. Daca detecteaza prea multe erori, pune linkul in down
- suporta autentificarea PAP si CHAP.

PPP contine 3 componente majore:


- protocolul HDLC pentru incapsularea datagramelor peste linkurile point-to-point
- Extensible Link Control Protocol [LCP] pentru a stabili, configura si testa conexiunea data link.
- familia de Network Control Protocols pentru stabilirea si configurarea diferitelor protocoale de
layer Network. PPP permite simultan folosirea mai multor protocoale de layer 3 (multiple layer
network protocols). Exemple: IPCP, AppleTalkCP, IPXCP, Cisco System CP, SNACP,
Compression CP. CP = control protocol
86
Arhitectura PPP
Fata de modelul OSI, PPP are doar layerul fizic la fel. Layerele data link (s.n. link control
protocol) si network (s.n. network control protocol) difera.
La layerul fizic poti configura PPP pe interfete:
- seriale sincrone
- seriale asincrone
- ISDN
- HSSI

PPP opereaza peste orice interfata DTE/DCE, singura conditie care trebuie indeplinita este sa
existe un circuit duplex, switched sau dedicat, sincron sau asincron, care sa fie transparent
frame-urilor PPP la layerul link.
PPP face cea mai multa munca la layerele data link si network.
LCP la data link layer seteaza conexiunea PPP si parametrii acesteia.
NPC la network layer gestioneaza configuratiile protocoalelor de nivele superioare. --> dupa
care conexiunea este terminata de LPC.

Layerul link control protocol:


LCP este partea care munceste cu adevarat in PPP. LCP sta deasupra layerului fizic si are rol
in stabilirea, configurarea si testarea conexiunii data-link. LCP stabileste linkul point-to-point. De
asemenea negociaza si seteaza optiunile de control pe data link-ul WAN, care sunt gestionate
de NCP.

LCP-ul furnizeaza configurarea automata a interfetelor la ambele capete, incluzand:


- gestionarea limitelor variabile ale dimensiunii pachetelor
- detectarea erorilor comune de configurare
- inchiderea (terminating) linkului
- determinarea cand un link functioneaza corect si cand este cazut

De asemenea PPP foloseste LCP pentru a agrea automat formatul de incapsulare


(autentificare, compresie, detectarea erorilor) imediat ce linkul este stabilit.

Layerul network control protocol:


Problemele multor familii de protocoale de retea se inrautatesc la folosirea linkurilor
point-to-point. Ca sa rezolve aceste probleme PPP foloseste NCP.

PPP permite multiple protocoale de layer network sa opereze pe acelasi link de comunicare.
Pentru fiecare protocol de layer network folosit, PPP foloseste un NCP distinct / separat. Ex: IP
foloseste IPCP, IPX foloseste IPXCP, etc.

NCP include campuri functionale ce contin coduri standardizate pentru a indica protocolul de
layer network incapsulat de PPP. Fiecare NCP gestioneaza nevoile specifice ale unui protocol
de layer network. Diferite componente ale NCP incapsuleaza si negociaza optiuni pentru
multiple protocoale de layer network.

Structura frame-ului PPP:


86
Flag >>> Address >>> Control >>> Protocol >>> Data >>> FCS
Adresa este de broadcast.
Campul Control are 1 byte, are valoarea 3 (in binar 00000011) - cere datele generate de user in
frame-uri nesecventiate.
Campul Protocol identifica protocolul incapsulat in frame-ul data link.
Campul Data poate avea intre 0 si 1500 bytes.
FCS face verificarea erorilor.

Modul de stabilire a unei sesiuni PPP:


Se face in 3 pasi:
1. Stabilirea linkului si negocierea configuratiei: Inainte ca PPP sa poata schimba orice tip
de datagrame, LPC trebuie intai sa deschida o conexiune si sa negocieze optiunile de
configurare. Aceasta faza este finalizata cand routerul receptor trimite un frame de
configuration-acknowledgement catre routerul care a initiat conexiunea.
2. Determinarea calitatii linkului (oprional): LPC testeaza linkul pentru a determina nivelul de
calitate a acestuia. Daca nu este un nivel suficient, nu ridica protocolul de layer network.
3. Negocierea configuratiei protocolului de layer network: NCP configureaza individual
protocoalele layerului network; le poate trece oricand in up sau down. Daca LCP inchide linkul,
informeaza si NCP ca si acesta sa poata lua masurile potrivite.

Linkul ramane configurat pentru comunicare pana cand LCP sau NCP trimit frame-uri explicite
de inchidere sau pana cand are loc un eveniment extern. LCP poate inchide linkul oricand (prin
request termination sau motiv / eveniment fizic).

Modul de operare al LCP:


Operarea LCP implica stabilirea, mentinerea si terminarea linkului. Pentru a realiza acestea
LCP foloseste 3 clase de frame-uri LCP:
a) pentru stabilirea si configurarea linkului se folosesc frame-uri: Configure-Request, Configure-
Ack, Configure-Nak, Configure-Reject.
b) pentru mentinere (gestionare si debug) se folosesc frame-uri: Code-Reject, Protocol-Reject,
Echo-Request, Echo-Reply, Discard-Request)
c) terminare: Terminate-Request, Terminate-Ack

a) Stabilirea linkului incepe prin trimiterea unui Configure-Request (cu wish list pt configuratie).
Raspunsuri posibile:
- Configure Ack (si daca si autentificarea este ok se stabileste linkul)
- Configure-Nak (optiunile sunt recunoscute, dar nu sunt acceptate)
- Configure-Reject (nu sunt recunoscute optiunile)
Pentru Configure-Nak si -Reject procesul de negociere se reia.

b) In faza de mentinere a linkului:


- Code-Reject si Protocol- sunt cauzate de primirea unui frame invalid (cod invalid sau bad
protocol identifier)
- Echo-Request, -Reply, Discard- , dunt folosite pentru testarea linkului.

c) daca NCP trimite solicitare de terminare a linkului, primeste Ack, linkul trebuie inchis /
terminat si de LCP. Daca LCP termina linkul, sesiunea NCP este automat terminata.
86
Terminarea linkului poate fi cauzata de: loss of the carrier / de carrier, eroare de autentificare,
calitatea linkului pica, expira un cronometru de idle / inactivitate, inchidere administrativa a
linkului.

Pachetele LCP:
Fiecare pachet LCP este un mesaj LCP, care contine un camp cod (specifica tipul de pachet) si
un camp identificator (pentru match-ul request-reply), camp length si camp data.

Optiuni de configurare PPP:


- autentificare PAP sau CHAP
- compresie prin Stackr sau Predictor
- multilink (combina mai multe canale ca sa creasca bandwidth-ul WAN)

Cand se initiaza stabilirea linkului se negociaza optiunile. Daca o optiune nu este inclusa in
frame-ul de Config-Request, i se atribuie valoarea default. Faza de initiere se termina cu
primirea frame-ului Configure-Ack.

Procesul NCP:
Dupa ce linkul a fost initializat, LCP ii cedeaza controlul lui NCP <=> LCP face autentificarea si
configurarea de baza, dupa care invoca NCP, ca sa faca configurarea specifica protocolului de
layer retea. Cand NCP a configurat cu succes protocolul de layer network, protocolul de retea
este in starea open.

Exemplu pentru IPCP:


Dupa ce LCP a stabilit linkul, routerele schimba mesaje IPCP ca sa negocieze optiunile
specifice protocolului.
IPCP negociaza 2 optiuni:
- compression: negociaza algoritmul de compresie a headerelor TCP si IP, ca sa
economiseasca bandwidth. Compresia Van Jacobsen reduce headerele TCP/IP la 3 bytes.
- IP-Address: device-ul initiator specifica o adresa IP ce va fi folosita peste linkul PPP, sau
solicita o adresa IP de la respondent.

Dupa terminarea procesului NCP linkul intra in starea open si LCP preia controlul din nou.
Traficul pe link poate fi orice combinatie de LCP, NCP si pachete de L3.

2.3.1.1

Optiuni de configurare LCP:


- autentificare: Password Authentication Protocol si Challenge Handshake Authentication
Protocol.
- compresie: creste throughput-ul efectiv al conexiunilor PPP prin reducerea volumului de date
care trebuie sa traverseze linkul. 2 protocoale disponibile pe routerele Cisco sunt Stacker si
Predictor.
- error detection: identifica conditiile de eroare. Este folosit magic number
- multilink: e disponibil de la IOS-ul 11.1, permite load balancing daca am mai multe linkuri
seriale. Are ca acronime: MP, MPPP, MLP sau multilink.
86
- PPP callback: ca sa intareasca securitatea. Routerul actioneaza ca un client / server de
callback. Clientul initiaza telefonul, serverul il identifica si termina telefonul, dupa care serverul
suna inapoi. Comanda este ppp callback [accept | request]

Comenzi pentru PPP:


R2(config-if)#encapsulation ppp > activeaza incapsularea PPP
Inainte de activarea PPP ar trebui sa configurezi un protocol de rutare. De ce? Vezi ca
protocolul default pe echipamentele Cisco este HDLC.
R2(config-if)#compression [ predictor | stacker] >>> va compresa traficul. Va afecta
performanta sistemului. Daca traficul consista din fisiere compresate, nu folosi aceasta optiune -
compresia la compresie de obicei nu are sens pt ca rezulta un volum mai mare de date.
R2(config-if)#ppp quality procent > asigura calitatea linkului (in ambele sensuri). Daca
aceasta scade sub procentul precizat, linkul este pus in down. Exista un lag ca linkul sa nu
flapeze.
R2(config-if)#ppp multilink>>> face load balancing pe linkuri seriale catre aceeasi destinatie.
Atentie: poate masura traficul de in sau out, dar nu in ambele directii simultan.

Verificarea setarilor de incapsulare PPP serial:


R2#show interfaces serial x >>> arata tipul de incapsulare. Pt PPP mai arata si starea LCP si
NCP.

R2#debug ppp {packet | negotiation | error | authentication | compression | cbcp }


packet: arata pachetele ppp (low level) trimise si primite
negotiation: arata pachetele de negociere
error: arata o statistica a erorilor
authentication: arata mesajele protocoalelor de autentificare
compresie: arata informatii specifice
cbcp: arata statistici si erori ale protocolului asociate cu negocierea conexiunii PPP care
foloseste MSCB.

lcp_rlqr >> LCP request link quality report


lcp_slqr >> LCP send link quality report

Protocoale de autentificare PPP

PAP [Password authentication protocol]:


e un proces 2 way, in care clientul trimite in text clar user name si parola, iar serverul o accepta
sau refuza, dupa caz. Are loc dupa ce LCP a stabilit linkul si inainte sa inceapa configurarea
protocoalelor de layer network.
R(config-if)#ppp authentication pap

1. Dupa ce s-a incheiat faza de stabilire a linkului, clinetul trimite repetat informatiile de
autentificare, pana cand primeste accept sau este terminata (inchisa) conexiunea.
2. Serverul verifica daca informatiile de autentificare sunt corecte si trimite raspunsul accept /
reject.

86
PAP nu este un protocol de autentificare puternic, pentru ca trimite informatiile in text clar, fara
sa le cripteze. In plus, clientul este cel care decide cand si cu ce frecventa incearca sa se
autentifice.

Cu toate astea, sunt situatii in care autentificarea PAP este justificata:


- cand sunt instalate aplicatii client care nu suporta CHAP
- incompatibilitati intre implementari de CHAP ale diferitilor vendori
- situatii in care trebuie furnizata parola in text clar, pentru a simula un login pe un host remote.

CHAP [challenge handshake authentication protocol]:


In cazul lui PAP, dupa ce s-a realizat autentificarea, nu se mai face nicio verificare => reteaua
este vulnerabila la atacuri. Fata de PPP, care se autentifica o singura data, CHAP face
cutentificari (challenge-uri) periodice, ca sa verifice ca clientul are o parola valida.

CHAP este 3 way proces. Dupa ce s-a stabilit linkul:


1. routerul server solicita autentificarea clientului. Ii trimite un mesaj cu id-ul solicitarii, un numar
random si user name-ul sau (server id).
2. clientul calculeaza un hash pe baza user name-ului serverului, numarului din mesaj, id-ului
mesajului si parolei pe care o are el clientul. Trimite hash-ul serverului.
3. serverul calculeaza si el hash-ul si il compara cu cel primit de la client. Daca valorile coincid,
accepta autentificarea. Daca nu, o refuza.

Daca autentificarea esueaza, se genereaza un mesaj care contine:


-04: codul pentru fail
- id = cel al mesajului
- un text human readable de genul “Authentication failure”

CHAP ofera protectie impotriva playback attack prin limitarea expunerii. Hash-ul comparat este
variabil; routerul local sau un server controleaza autentificarea, nu clientul.

Comenzi de autentificare:

Rconfig-if)#ppp authentication {chap | chap pap | pap chap | pap [if-needed] [list-name |
default] [callin]}
chap | chap pap | pap chap | pap >>> arata tipul si ordinea autentificarii
if-needed] >>> doar pe interfetele asincrone, se foloseste cu TACACS sau XTACACS. Nu se
foloseste in combinatie cu pap / chap, pt ca deja userul s-a autentificat.
list name >>> se fol cu AAA sau TACACS+, defineste numele listei care va fi folosit ca default.
Lista este o metoda de autentificare TACACS+. Listele sunt create cu comanda aaa
authentication ppp.
default>>> la fel ca list name
callin >>> specifica autentificarea doar pe callin care vin (sunt pe sensul in)

pap si chap verifica username si parola intr-o baza de date locala sau intr-o baza de date
remote TACACS/TACACS+
AAA/TACACS sunt servere dedicate pentru autentificarea userilor.

86
2.4.5.2
PAP:
R1(config)#username R3 password parola
#int s0/0/0
-if)#ip address 128.0.1.1 255.255.255.0
-if)#encapsulation ppp
-if)#ppp authentication pap
-if)#ppp pap sent-username R1 password parola

R3(config)#username R1 password parola


#int s0/0/0
-if)#ip address 128.0.1.2 255.255.255.0
-if)#encapsulation ppp
-if)#ppp authentication pap
-if)#ppp pap sent-username R1 password parola ??? nu R3 ???

CHAP e similar, doar ca se modifica autentificarea: ppp authentication chap

Troubleshooting pe configurarile PPP cu autentificare:


Dupa ce ai facut setarile de autentifcare, verifica-le, nu presupune ca merg. Ca sa le verifici
foloseste show interfaces serial si debug ppp authentication .

codurile generate de debug:


- 1 = challenge
- 2 = response
- 3 = succes
- 4 = fail

de facut laboratoarele, inclusiv 2.6.1.3

************************************
cap 3 Frame Relay

Frame Relay este un protocol WAN foarte performant, ce opereaza la layerele 1 si 2 din stiva
OSI.
Eric Scace de la Sprint International a dezvoltat Frame Relay ca o versiune mai simpla a X.25,
ca sa il foloseasca peste interfetele ISDN (Integrated Services Digital Network). Astazi este
folosit peste o varietate de alte interfete de retea.

Network providerii implementeaza Frame Relay ca tehnica de incapsulare de date si voce


pentru LAN peste WAN. Fiecare end-user obtine o linie privata / leased line la un nod Frame
Relay. Reteaua Frame Relay gestioneaza transmisia peste o cale care se schimba frecvent si
este transparenta tuturor end-userilor.

Frame Relay-ul a devenit un protocol WAN foarte folosit pentru ca este mult mai ieftin decat
liniile dedicate. In plus configurarea echipamentelor userilor este foarte simpla. Conexiunile

86
Frame Relay sunt create prin configurarea routerelor (sau a altor device-uri cu rol de) CPE sa
comunice cu un switch Frame Relay al service providerului.

Frame Relay este un protocol WAN foarte performant, ce opereaza la layerele 1 si 2 din stiva
OSI.
Eric Scace de la Sprint International a dezvoltat Frame Relay ca o versiune mai simpla a X.25,
ca sa il foloseasca peste interfetele ISDN (Integrated Services Digital Network). Astazi este
folosit peste o varietate de alte interfete de retea.

Network providerii implementeaza Frame Relay ca tehnica de incapsulare de date si voce


pentru LAN peste WAN. Fiecare end-user obtine o linie privata / leased line la un nod Frame
Relay. Reteaua Frame Relay gestioneaza transmisia peste o cale care se schimba frecvent si
este transparenta tuturor end-userilor.

Frame Relay-ul a devenit un protocol WAN foarte folosit pentru ca este mult mai ieftin decat
liniile dedicate. In plus configurarea echipamentelor userilor este foarte simpla. Conexiunile
Frame Relay sunt create prin configurarea routerelor (sau a altor device-uri cu rol de) CPE sa
comunice cu un switch Frame Relay al service providerului.

Tehnologia Frame Relay a devenit cea mai raspandita tehnologie WAN din lume datorita
pretului si flexibilitatii sale.
Frame Relay reduce costul retelei pentru ca foloseste mai putin echipament (leased-lines
necesitau cate 1 linie pentru fiecare end-point), complexitatea este mai redusa si este mai usor
de implementat; ofera mai mult bandwidth, reliability si resiliency fata de leased-lines; are o
arhitectura mai simpla a retelei si un cost of ownership mai mic.

O retea Frame Relay foloseste circuite virtuale [VC] permanente sau switched.

In cazul liniilor dedicate clientul plateste toata linia: local loop si link-ul din reteaua providerului.
Daca providerul ii da doar canale din linie, incrementarea se face din 64 in 64 kbps. Doar traficul
clientului este pe link.
In cazul Frame Relay clientul plateste doar pentru local loop si bandwidth-ul folosit, indiferent la
ce distanta se afla celalalt capat (end-point). Incrementarea poate fi si din 4 in 4 kbps. Linkul
este share-uit cu alti clienti.
Costul de implementare al Frame Relay este mai mare ca al liniilor dedicate, dar costul de
operare este mai mic.

Cand construiesti un WAN ai nevoie de 3 elemente:


1. DTE ca sa accesezi CO al providerului, pentru fiecare site / end-point
2. DCE e al providerului
3. tot ce este intre DCE al providerului (ex: frame relay cloud)

Frame Relay este urmasul lui X.25. Fata de acesta are mai putine capabilitati; de ex. nu ofera
error correction.

Frame Relay gestioneaza eficient volumul si viteza prin combinarea functionalitatilor necesare
de la layerele data link si network intr-un singur protocol mai simplu.
86
Ca protocol de layer data link, FR furnizeaza acces la retea, delimiteaza si livreaza frame-urile
in ordinea corecta, recunoaste erorile printr-un CRC standard.
Ca protocol de layer network, FR ofera multiple conexiuni logice peste un singur circuit fizic si
permite retelei sa ruteze date peste aceste conexiuni catre destinatiile dorite.

FR opereaza intre device-ul end-user (router / bridge) si retea. Reteaua poate folosi orice
metoda de transmisie care este compatibila cu viteza si eficienta ceruta de aplicatiile FR. Unele
retele folosesc FR, altele digital circuit switching sau ATM.

Conexiunea dintre un device DTE si un device DCE consta din componente de layer fizic si
data link:
Layerul fizic: defineste specificatiile mecanice, electrice, functionale si procedurale, pentru
conexiunea dintre device-uri. (Ex: RS-232)
Layerul data link: defineste protocolul care stabileste conexiunea dintre DTE (router) si DCE
(switch).
Cand carrierii folosesc FR ca sa interconecteze LAN-uri, routerele de LAN sunt DTE. O
conexiune seriala, de obicei un T1/E1leased line, conecteaza routerul la switchul Frame Relay
din cel mai apropiat POP (point of presence) al providerului.
*echipamente de calcul care nu sunt intr-un LAN pot trimite date intr-o retea Frame Relay,
printr-un Frame Relay Access Device [FRAD], care are rol de DTE, si care este un dedicated
appliance sau un router configurat sa suporte Frame Relay. Se afla in grija clientului (customer
premise) si se conecteaza intr-un port de switch al retelei providerului.

Circuitele virtuale [VC]

Conectarea a 2 DTE prin intermediul unei retele Frame Relay se numeste circuit virtual. Se
numeste circuit virtual pentru ca nu este o conexiune electrica directa intre cele 2 capete. Cu
VC mai multi useri share-uiesc bandwidth-ul si oricare 2 noduri pot sa comunice intre ele, fara
sa foloseasca mai multe linii fizice dedicate.

SVC se creaza dinamic prin trimiterea de mesaje de semnalizare in retea (call setup, data
transfer, idle, call termination).
PVC sunt preconfigurate de provider, iar dupa ce sunt create opereaza doar in modurile idle si
data transfer. *unele publicatii se refera la PVC ca la private VC (in loc de permanent VC).

VC-urile sunt identificate prin DLCI-uri; valorile pentru DLCI sunt de obicei alocate de service
provider, dar au valoare locala, ceea ce inseamna ca aceste valori nu sunt unice in WAN-ul
Frame Relay. DLCI-ul nu are nicio semnificatie de la un link la altul (adica poate fi transformata
valoarea... dlci = 10 pt segmentul AB, si sa devina 20 pentru segmentul BC). DLCI-urile sunt de
obicei cuprinse in intervalul 16-1007 (0-15 si 1008-1023 sunt rezervate). DLCI este inclus in
campul de adresa al fiecarui frame transmis.

Multiple VCs
Frame Relay este statistic multiplexat, adica transmite doar cate un frame o data, dar mai multe
conexiuni logice pot coexista pe acelasi link fizic. Frame Relay Access Device [FRAD] sau
routerul pot avea mai multe VC care se conecteaza la diferite end point-uri. VC-urile pot fi
distinse, chiar daca sunt pe acelasi link, prin faptul ca au DLCI-uri diferite.
86
Aceasta caracteristica reduce costul cu echipamentele si cu complexitatea retelei ==> un
inlocuitor pentru mesh, convenabil din perspectiva costului.

Incapsularea Frame Relay


FraMe Relay ia pachetele de date de la protocolul de layer network si le incapsuleaza ca
portiunea de date din frame-ul frame relay. II adauga un camp de adresa (care contine DLCI-ul)
si un check sum, apoi pune flag-urile de inceput si sfarsit de frame.
Mai detaliat, headerul si trailerul frame relay sunt definite in specificatiile LAPF (link access
procedure for frame relay) Bearer Services:
campul de adresa contine:
DLCI = numar pe 10 biti (maxim 1024 in zecimal)
EA (extended address) = daca e setat pe 1, DLCI foloseste doar 1 byte, altfel va folosi 2 bytes
=>> numar DLCI mai mare. Al 8-lea bit al fiecarui byte din campul de adresa este EA.
C/R = in prezent nu este definit.
Controlul congestiei = contine 3 biti care controleaza mecanismul de notificare a congestiei in
Frame Relay.

Daca frame-ul este cu erori frame relay il arunca (discard) dar nu notifica sursa ca a aruncat
frame-ul, lasa asta in grija layerelor superioare.

Topologiile Frame Relay


pot fi star, full mesh si partial mesh.
star: hub and spoke: costul frame relay nu este legat de distanta =>> hub-ul nu trebuie sa fie
localizat geografic in centrul retelei.
full mesh: realizat prin crearea VC pentru a conecta toate end pointurile intre ele.
partial mesh: limita teoretica este de 1000 VC pe un link, real este mai mica.

Maparea adreselor Frame Relay


Ca sa poata trimite adrese peste Frame Relay, un router trebuie sa asocieze DLCI-ul (pe care il
cunoaste) cu IP-ul / adresa de layer 3 (pe care nu o cunoaste). Ca sa afle adresa de layer 3,
routerul foloseste Inverse Address Resolution Protocol [Inverse ARP].

Inverse ARP e folosit cu precadere in retelele Frame Relay si ATM si face corespondenta intre
adresele de layer 2 (cunoscute) in adrese de layer 3 (necunoscute).

Maparea dinamica
Se bazeaza pe inverse ARP. Routerul construieste si mentine o tabela de mapare
(corespondente), care contine toate cererile rezolvate de Inverse ARP. Pe routerele cisco
protocolul Inverse ARP este activat by default.

Maparea statica
Poti alege sa faci mapare statica si dai de mana corespondentele dlci - adresa de layer 3. Are
ca efect dezactivarea inverse ARP. Faci asta cand routerul de la celalalt capat nu suporta
Inverse ARP. Alta varianta este cand ai o topologie hub end spoke si vrei ca spoke-urile sa
comunice direct intre ele. Maparea dinamica ar face ca spoke-urile sa comunice cu hub-ul, nu
direct intre ele.
86
Comenzi pentru configurarea maparii statice:

R1(config)#interface s0/0/0
R1(config-if)#ip address 10.1.1.1 255.255.255.0
R1(config-if)#encapsulation frame-relay
R1(config-if)#no frame-relay inverse-arp
R1(config-if)#frame-relay map ip 10.1.1.2 102 broadcast cisco varianta generica este mai
jos
R1(config-if)#frame-relay map protocol protocol-address dlci [broadcast] [cisco / ietf]
R1(config-if)#no shut

LMI = Local Management Interface


In esenta, LMI este un mecanism de keepalive care ofera informatii despre conexiunea dintre
routerul DTE si switchul frame relay DCE. O data la 10 secunde (default) routerul solicita un
raspuns la un mesaj care contine un numar de secventa sau solicita informatii despre starea
canalului. Daca nu primeste raspuns, considera ca linkul este cazut. La 60 sec primeste ca
raspuns un FULL STATUS, care include informatii despre toate DLCI-urile alocate acelui link.

Nu trebuie confundat LMI cu incapsularea.


Diferente:
- LMI = mesaj intre router si switch; switch-ul si routerul trebuie sa foloseasca acelasi tip de LMI
- Incapsularea = headerele folosite ca 2 DTE sa comunice intre ele; switchul nu este interesat
de tipul de incapsulare. DTE-urile sunt interesate / afectate de tipul de incapsulare.

Extensiile LMI
Sunt folositoare in mediul dintre retele (internetwork environment).
- VC status messages: furnizeaza informatii despre integritatea PVC prin comunicarea si
sincronizarea dintre device-uri, raportand periodic existenta noilor PVC si stergandu-le pe cele
care deja exista (adica suprascrie PVC existente cu PVC care ar trebui sa fie pe acel link ???).
Aceste mesaje previn ca datele sa fie trimise in black holes (PVC care nu mai exista).
-Multicast: permite unui emitator sa trimita un frame catre mai multi receptori. Multicastul
suporta protocoalele de rutare si procedurilor de address resolution.
- Global addressing / adresare globala: ofera identificatorilor de conexiune o semnificatie
globala in loc de una locala. a.i orice interfata din reteaua frame relay va putea fi identificata.
=>> reteaua Frame Relay se va comporta ca un LAN, iar ARP se va comporta si el ca in LAN.
- Un control simplu al fluxului (flow): furnizeaza un mecanism XON/XOFF pentru controlul
fluxului, care se aplica intregii interfete Frame Relay. Se adreseaza acelor device-uri ale caror
layere superioare nu pot gestiona bitii de notificare a congestiei, dar au nevoie de un nivel de
control al fluxului.

Identificatorii LMI
Sunt mai multe tipuri de LMI, incompatibile unul cu celalalt. Ca sa poata comunica, LMI
routerului trebuie sa fie de acelasi tip cu cel folosit de echipamentul providerului. Routerele
Cisco suporta 3 tipuri de LMI:
- Cisco, extensia LMI originala.
- Ansi, corespunzator standardului Ansi T1.617 Anexa D
86
- q933a, corespunzator standardului ITU Q933 Anexa A.

Incepand cu IOS-ul 11.2 a aparut feature-ul de LMI autosense care detecteaza tipul de LMI
folosit de switchul frame relay direct conectat. Pe baza mesajului de status LMI primit de la
switch, routerul isi configureaza automat interfata ca sa foloseasca acelasi tip de LMI cu cel
suportat de switch-ul Frame Relay. Comanda manuala este frame-relay lmi-type [ansi | cisco
| q933a], dar atentie ca va dezactiva autosense. Cand configurezi manual LMI-ul, trebuie sa
specifici si intervalul de keepalive.

VC identifiers >>>> VC types


0 >>> LMI (Ansi, ITU)
1-15 >>> rezervati pentru o utilizare viitoare
992-1007 >>> CLLM
1008-1022 >>> rezervati pentru o utilizare viitoare (Ansi, ITU)
1019-1020 >>> multicasting (cisco)
1023 >>> LMI (Cisco)

Identificatorii VC nu sunt DLCI-urile???

Mesajele de status ale LMI cu mesajele Inverse ARP permit unui router sa asocieze adresele
de layer 3 cu cele de layer 2.
Cand un router se conecteaza la o retea frame relay, interaba care este statusul LMI al retelei.
Reteaua raspunde cu un mesaj de status LMI care contine detaliile pentru fiecare VC asociat
linkului.
Periodic, routerul repeta mesajul despre statusul LMI, iar reteaua ii raspunde doar cu
actualizari. O data la un numar de mesaje, reteaua trimite un mesaj full status.

Daca routerul are nevoie sa mapeze VC-urile la adresele de Layer 3, va trimite un mesaj
Inverse ARP catre fiecare VC. Mesajul inverse arp include adresa de layer 3 a routerului, in asa
fel incat routerul DTE destinatie sa poata face si el maparea. Se trimit mesaje inverse arp
pentru fiecare protocol de layer 3 suportat pe link.

Configurarea de baza a Frame Relay:


pasi obligatorii:
1. activezi incapsularea frame relay pe interfata
2. configurezi modul de mapare al adreselor - static sau dinamic.
Pasi optionali:
3. configurezi LMI
4. configurezi SCV-urile frame relay
5. configurezi forma traficului frame relay
6. customizezi frame relay pentru reteaua ta
7. monitorizezi si intretii conexiunile frame relay
In plus setezi si bandwidth-ul, care este folosit de EIGRP si OSPF in calcularea metricii.

Incapsularea frame-relay cisco are un header de 4 bytes, din care 2 bytes sunt pentru
identificarea DLCI si 2 bytes pentru a identifica tipul de pachet.

86
Configurarea unei mapari statice frame relay
Maparea dinamica se face prin inverse ARP, care este activat by default, deci nu trebuie sa faci
nimic.
Pentru maparea statica trebuie sa configurezi manual un router.

Comanda care trebuie data este:


R1(config-if)#frame-relay map ip 10.1.1.2 102 broadcast cisco varianta generica este mai
jos
R1(config-if)#frame-relay map protocol protocol-address dlci [broadcast] [cisco / ietf]

Parametrii:
1. [broadcast]
Frame Relay, ATM si X.25 sunt retele non-broadcast multiple access [NBMA]. Acest tip de
retele nu suporta multicast sau broadcast, ci doar unicast. Daca vrei sa comunici broadcast,
trebuie sa trimiti manual frame-ul catre fiecare destinatie.
Unele protocoale de rutare (RIP, EIGRP, OSPF) necesita configurari aditionale ca sa fie
suportate de retelele NBMA.
Prin parametrul broadcast se vor forwarda update-urile de rutare, pentru ca acesta va permite
comunicarea broadcast / multicast peste PVC.
2. [protocol]
Defineste protocolul suportat, bridging sau logical link control: appletalk, decnet, dlsw, ip, ipx,
llc2, rsrb, vines si xns.
3. [protocol-address]
defineste adresa de layer 3 a interfetei routerului destinatie
4. [DLCI]
defineste DLCI-ul local folosit pentru conectarea la adresa protocolului remote

Split horizon:
Din perspectiva protocoalelor de rutare apare o problema, daca sunt mai multe VC pe aceeasi
interfata: nu se trimit update-uri de rutare pe aceeasi interfata de pe care au fost primite /
invatate. Ca sa se rezolve aceasta problema este indicata folosirea subinterfetelor (echivaleaza
cu o topologie full mesh), varianta in care se dezactiveaza split horizon putand genera bucle de
rutare.

Plata pentru Frame Relay


Cand isi creaza reteaua Frame Relay, service providerul foloseste switchuri (echipamente)
rapide si mari (si scumpe), dar clientul (respectiv echipamentele acestuia) nu vad decat interfata
switchului service providerului, nu si ce este in spatele acesteia.

Concepte:
- Access rate sau port speed: viteza liniei / capacitatea local loop.
- Committed information rate [CIR] = capacitatea garantata de service provider prin bucla locala.

Un avantaj al Frame Relay este ca daca exista capacitate nefolosita, aceasta se imparte la toti
clientii, de obicei fara niciun cost =>> burst-ul poate fi preluat (si transmis).

86
Burst = device-urile care au temporar nevoie de mai mult bandwidth o imprumuta de la alte
device-uri care nu folosesc atunci bandwidth, fara sa implice un cost suplimentar.

Committed Burst Information Rate [CBIR] = rata negociata peste CIR pe care clientul o poate
folosi pentru a transmite burst-ul. Nu poate depasi viteza portului de pe acel link (banuiesc ca e
vorba de viteza maxima reala a linkului). Durata de transmisie a burst-ului trebiue sa fie scurta,
mai putin de 3-4 secunde.
Frame-urile trimise la viteza mai mare ca CIR sunt marcate ca discard eligible [DE] <=> pot fi
aruncate daca reteaua este congestionata sau daca nu este suficient bw (capacitate) in retea.

BE este termenul care descrie bandwidth-ul disponibil intre CBIR si bw real al linkului. NU este
negociabil si, cu toate ca frame-urile pot fi transmise la acest nivel, este foarte posibil sa fie
aruncate (dropped).

Flow control in Frame Relay


Frame Relay reduce overhead-ul prin implementarea unor mecanisme simple de notificare a
congestiei, per VC. Aceste mecanisme sunt: Forward Explicit Congestion Notification [FECN] si
Backward Explicit Congestion Notification [BECN].

BECN este o notificare directa.


FECN este o notificare indirecta.

In perioade de congestie switch-ul frame relay al providerului aplica urmatoarele reguli logice:
1. daca frame-urile care vin nu depasesc CBIR, vor trece mai departe
2. daca frame-urile care vin depasesc CBIR, vor fi marcate ca DE
3. daca frame-urile care vin depasesc CBIR + BE, vor fi aruncate.

Cand apare o incarcare / congestie, switch-ul trimite FECN echipamentelor din downstream si
BECN echipamentelor din upstream <=> pune F frame-urilor pe care le primeste pe linkul cu
congestie si B frame-urilor pe care le trimite pe linkul cu congestie.
DTE-urile care primes frame-uri cu bitii ECN setati, ar trebui sa isi reduca fluxul de trafic pana
cand se descongestioneaza linkul.
*Daca congestia apare pe un link intern, DTE-urile pot sa primeasca notificari chiar daca nu
sunt ele cauza congestiei.

3.4.1.1

Configurarea subinterfetelor Frame Relay


Subinterfetele adreseaza limitarea retelelor Frame Relay prin oferirea unui mod de a subdiviza
retele partially meshed intr-un numar de subretele mai mici, full mesh sau point-to-point. Fiecare
subretea are propriul network number si din perspectiva protocolului apare ca s-ar fi ajuns la
aceasta printr-o interfata diferita. Subinterfetele point-to-oint pot fi nenumerotate (unnumbered)
cand sunt folosite cu IP, reducand efortul de adresare care ar fi rezultat.

R1(config-if)#interface serial 0/0/0.103 point-to-point >>> creaza o subinterfata.


conventional i se da numarul dlci-ului, ca sa se poata face troubleshooting mai usor. Obligatoriu
trebuie folosit multipoint sau point-to-point, pentru ca nu este o valoare default a optiunii.
86
Daca subinterfata este configurata ca point-to-point, DLCI-ul local pentru subinterfata trebuie de
asemenea configurat, ca sa se poata distinge de cel al interfetei fizice. DLCI-ul este de
asemenea necesar pentru subinterfetele multipoint in cazul in care inverse ARP-ul este activat.
DLCI-ul nu este necesar in cazul subinterfetelor multipoint configurate cu mapare statica.
*Nota: din nefericire modificarea configuratiei unei subinterfete Frame Relay existente poate sa
nu genereze rezultatele asteptate (si tu sa fi dat comenzile necesare). In aceste cazuri este
posibil sa trebuiasca sa salvezi configurarea si sa reincarci routerul.
** Singurul mod de a lega un LMI de DLCI-ul unei subinterfete este prin comanda frame-relay
interface-dlci, pentru ca LMI nu stie despre subinterfete. Aceasta comanda se foloseste numai
pe subinterfete.

Pasi pentru configurarea unei subinterfete:


1. stergi configurarea anterioara a interfetei fizice
2. encapsulation frame-relay >>> activeaza incapsularea frame-relay
3. creezi subinterfete pentru fiecare PVC, pt un troubleshooting mai usor, dai numarul PVC
subinterfetei. interface serial 0/0/0.103 point-to-point
4. configurezi o adresa ip si setezi bandwidth-ul
5. configurezi DLCI-ul pe subinterfata (DLCI-ul e dat de service provider)
frame-relay interface-dlci

Verificarea configurarii Frame Relay


1. Comanda show interfaces
2. show frame-relay lmi >>> daca afiseaza orice valoare diferita de 0 la elementele cu
“invalid”. In felul acesta incepi sa izolezi problemele.
3. verifici statusul PVC-urilor:
show frame-relay pvc [interface interfata] [dlci] Statusul poate fi active, inactive sau deleted.
clear counters >>> va reseta statisticile, astepti cateva minute si verifici daca au aparut noi
erori. Te ajuta sa ii spui providerului de unde apar erorile.
4. verifici functionarea inverse ARP
show frame-relay map
ca sa stergi maparea inverse ARP dai comanda:
clear frame-relay inarp

Troubleshooting:
debug frame-relay lmi si urmaresti mesajele afisate.
- out este un LMI status message trimis de router
- in este un mesaj primit de la switchul Frame Relay
- type 0 = LMI full status message
- type 1= LMI exchange
- “dlci 100, status 0x2” = dlci 100 este active

Statusurile:
- active = indica un circuit end-to-end (DTE-DTE) successful
- inactive = arata ca doar legatura router - switch este ok, nu detecteaza DTE-ul de la capatul
celalalt. Poate fi cauzata de configurari incorecte sau reziduale de pe switch.
- Deleted = DTE este configurat pentru un DLCI pe care switch-ul nu il recunoaste ca valid
pentru acea interfata.
86
Valori pentru statusuri:
- 0x0 = switch-ul are acest DLCI programat, dar dintr-un motiv (sau altul) nu poate fi folosit.
(inactive cred). Posibil celalalt capat al PVC este down.
- 0x2 = switchul Frame Relay are acest DLCI programat si totul este operational
- 0x4 = switchul nu are acest DLCI programat pentru acest router, dar a fost programat candva
in trecut. Ar putea fi cauzat de inversarea DLCI pe router sau PVC a fost sters in norul Frame
Relay de catre service provider.

**************************
cap 4 - network security

Raportul de cunostinte de retea, de programare si detinerea echipamentelor sofisticate pentru a


ataca o retea s-a inversat odata cu trecerea timpului. La inceput trebuia sa ai cunostinte bune
ca sa poti folosi cele cateva unelte si atacuri rudimentare; ulterior raportul cunostinte - unelte
(tools) s-a inversat, oferind si celor cu cunostinte entry level posibilitatea de a ataca o retea.

Terminologie:
- White hat - persoana care cauta vulnerabilitati in sistem / retea si le raporteaza detinatorului
retelei / sistemului, pt ca respectivul sa le poata trata. White hat securizeaza vs black hat care
sparge securitatea
- Hacker - initial desemna un expert in programare. Acum identifica o persoana care incearca sa
obtina acces neautorizat la resursele retelei; are intentii ostile.
- Black hat - tot o persoana care incearca sa isi foloseasca cunostintele in scop ostil, in general
pentru un castig personal sau financiar.
- Cracker - un termen mai exact care defineste o persoana care incearca sa obtina acces
neautoriza la resursele retelei si care are intentii ostile.
- Phreaker - o persoana care manipuleaza reteaua de telefoane ca sa faca o functie nepermisa.
O tinta obisnuita a acestuia este sa sparga reteaua de telefonie ca sa faca convorbiri la distante
mari, gratuit.
- Spammer - trimite mesaje nesolicitate si atasamente cu virusi ca sa preia controlul
computerului infectat si sa trimita mai departe spam.
- Phiser - foloseste email / altceva ca sa pacaleasca utilizatorii sa isi dea date sensibile /
confidentiale, ca datele cardului, parole, etc.

Etapele / pasii unui atac:


1. footprint analysis (recunoastere)
2. enumerate information - vezi ce stii
3. manipulezi userii ca sa obtii acces
4. escalezi privilegiile - iti dai privilegii mai mari
5. strangi si alte parole si secrete
6. instalezi backdoors - ca sa nu mai fi detectat cand intri in sistem
7. te folosesti de sistemul infectat ca sa ataci si alte hosturi din sistem

Din perspectiva securitatii o retea poate fi: echilibrata, deschisa, restrictiva, inchisa. *Reteaua
inchisa este ferita de riscurile externe, dar tot este expusa riscurilor interne.

86
Politica de securitate: este un set de principii care ajuta procesul de decizie si le permite liderilor
organizatiei sa distribuie autoritatea cu incredere.

O politica de securitate are urmatoarele obiective:


- sa informeze utilizatorii, angajatii si managerii de cerintele obligatorii pentru a proteja bunurile
tehnologice si informationale.
- specifica mecanismele prin care pot fi indeplinite aceste cerinte
- furnizeaza o structura de pornire de la care se poate obtine, configura si audita sistemul de
computere si retele ca sa fie in conformitate cu politica.

ISO si IEC au publicat un document standard pentru crearea politicii de securitate, numit
ISO/IEC 27002.
Are 12 sectiuni:
- Risk assessment
- Security policy
- Organization of information security
- Asset management
- Human resources security
- Physical and environmental security
- Communications and operations management
- Access control
- Information systems acquisition, development, and maintenance
- Information security incident management
- Business continuity management
- Compliance

Amenintari comune / Common sec urity threats

Cand vorbesti de securitate vei intalni des 3 elemente:


-vulnerabilitati
-amenintari
-atacuri

Vulnerabilitate = slabiciunea inerenta a unui device / retea.


Amenintari = oameni interesati si pregatiti sa obtina avantaje din slabiciunile de securitate.
Atacurile sunt desfasurate de amenintari prin scripturi, programe, tool-uri la adresa retelelor si a
echipamentelor de retea.

Sunt 3 tipuri de vulnerabilitati / slabiciuni:


- de tehnologie
- de configurare
- de politica de securitate

1. Amenintari la adresa infrastructurii fizice:


- amenintari hardware: distrugerea fizica a serverelor, routerelor, switchurilor, cablurilor,
workstations

86
- amenintari de mediu (environment): temperatura prea rece / calda, umiditate prea multa /
putina)
- amenintari electrice: fluctuatii de electricitate, subalimentare, zgomot pe canalele de
comunicatie, pierderea completa a curentului.
- amenintari de intretinere (maintenance): descarcari electrostatice cauzate de proasta
gestionare a echipamentelor (cheie), lipsa pieselor de schimb, cablare proasta, etichetare
proasta.

Eliminarea / micsorarea riscurilor hardware:


- incuierea echipamentelor si limitarea accesului la acestea
- monitorizarea si controlul celor care intra / au acces la echipamente
- folosirea camerelor de supraveghere

Eliminarea / micsorarea riscurilor de mediu:


- controlul temperaturii
- controlul umiditatii
- asigurarea unui flux constant de aer
- monitorizarea si inregistrarea alarmelor de mediu

Eliminarea / micsorarea riscurilor de alimentare cu energie electrica:


- instaleaza sisteme UPS
- instaleaza generatoare
- respecta un plan de prevenire
- instaleaza alimentari de energie redundante
- realizeaza alarme remote si monitorizare

Eliminarea / micsorarea riscurilor de intretinere:


- foloseste o cablare ingrijita
- eticheteaza cablurile si componentele critice
- foloseste proceduri de descarcare electrostatice
- stocheaza componente de rezerva critice
- controleaza accesul la porturile de consola

2. Amenintari la adresa retelei:


- amenintari nestructurate
- amenintari structurate
- amenintari externe
- amenintari interne

Amenintarile nestructurate sunt realizate de indivizi neexperimentati, care folosesc tool-uri de


hack usor accesibile.
Amenintarile structurate sunt realizate de indivizi / grupuri care sunt bine motivati si competenti
dpv tehnic.
Amenintari externe = indivizi din afara companiei sau care nu au acces la reteaua acesteia
Amenintari interne = indivizi care au acces autorizat la reteaua companiei

3. Social engineering
86
= orice metoda (nu hacking) de a-l convinge pe user sa-si dea datele singur. Ex: phishing.

Tipuri de atacuri ale retelei:


Sunt 4 tipuri:
- recunoastere
- acces
- denial of service
- worns, viruses, trojan horses

Recunoasterea = descoperirea neautorizata si maparea sistemelor, serviciilor sau


vulnerabilitatilor. S.n. si strangere de informatii si de obicei precede un alt atac.
Acces = abilitatea unui intrus de a obtine acces la un device pentru care acesta nu are user sau
parola. De obicei exploateaza vulnerabilitatile cunoscute ale sistemului / aplicatiei atacate.
Denial of service [DoS] = un atacator dezactiveaza sau corupe un sistem, retea sau servciu cu
intentia sa interzica servicii anumitor useri. De obicei DoS inseamna crashuirea unui sistem sau
incetinirea acestuia pana la punctul in care nu mai este utilizabil. De cele mai multe ori implica
rularea unui hack sau script.
Viermi, virusi, troieni = sunt introdusi intr-o gazda cu scopul sa o distruga sau corupa, sa se
multiplice, sa interzica accesul la retea, la sistem sau la servicii.

1. Recunoasterea:
poate consta din urmatoarele:
- internet information querry
- ping sweep
- scanarea porturilor
- packet sniffers

Cu utilitarele nslookup sau whois, un atacator poate identifica spatiul de adrese alocat unei
corporatii / entitati.
Pasul urmator este sa trimita ping-uri la toate adresele publice din spatiul de adrese respectiv,
ca sa le identifice pe cele active. Tool-uri automate de ping sweep, ca fping sau gping, ii vor
face munca si mai usoara.
Adresele IP active sunt identificate, iar atacatorul trece la scanarea porturilor, pentru a
determina ce servicii de retea sau porturi sunt active pe respectivele adrese. Un port scaner
este un soft, ca nmap sau superscan, care este destinat sa caute hostul unei retele pentru a
gasi porturile care sunt deschise. Port scaner-ul intreaba portul ca sa determine tipul si
versiunea aplicatiei, precum si tipul si versiunea OS-ului. Pe baza acestor informatii intrusul
poate incerca sa exploateze posibilele vulnerabilitati existente.

Atacatorii interni pot incerca si “eavesdrop” (a auzi fara sa vrea, desi pare cam voita actiunea :D
) asupra traficului retelei.
4.1.3.2
Network snooping si packet sniffing sunt exemple comune de eavesdrop.

Eavesdrop este folosit des pentru:


- strangerea de informatii
- furtul de informatii
86
Exemple de date susceptibile la eavesdropping sunt: versiunea 1 de SMNP community string,
capturarea perechii user - parola cand acestea sunt trimise (trec prin retea), etc.

O metoda comuna de eavesdropping asupra comunicarii este sa captureze pachete TCP/IP sau
de alt protocol si sa le decodezi continutul cu un protocol analyzer. Un protocol analyzer este
Wireshark; dupa ce ai capturat pachetele, le poti examina ca sa gasesti informatii valoroase.

Metode de contracarare a eavesdropping:


- folosesti switch-uri in loc de hub-uri (si vei avea comunicare full-duplex, traficul nu va mai
ajunge la toate hosturile din retea)
- folosesti comunicarea criptata
- implementezi si intaresti directive ale politicii (de securitate) ca sa interzici utilizarea
protocoalelor susceptibile la eavesdropping (folosesti SNMP 3 - care poate cripta community
strings, in loc de SNMP 1)

O metoda de criptare utila poate fi criptarea payload-only. Aceasta cripteaza doar continutul
pachetului, lasa necriptate headerele, in asa fel incat pachetul trece prin switch-uri / routere fara
sa fie nevoie sa fie decriptat.

2. Acces:
Atacul acces exploateaza vulnerabilitati cunoscute in serviciile de autentificare, FTP, web,
pentru a intra in conturi de web, baze de date sau in alte informatii sensibile.

Password attacks:
- packet sniffer: obtinerea parolei din pachetele capturate
- brute force: dictionare de cuvinte
- trojan horses
*tools: L0pthCrack, Cain

Trust exploitation:
Reteaua este protejata printr-un firewall, dar un host din retea are incredere intr-un host exterior
retelei =>> poti ataca reteaua prin intermediul hostului extern in care aceasta are incredere.

Port redirecting
Este un tip de trust exploitation, care foloseste un host compromis pentru a tece traficul de
firewall. Ex: ai un firewall cu 3 interfete, cate un host pe fiecare interfata. Hostul din exterior
poate ajunge la hostul din segmentul de servicii publice, dar nu si la hostul din interior.
Segmentul de acces public se numeste DMZ [demilitarized zone] . Hostul din DMZ poate ajunge
la ambele hosturi, din interior si din exterior. Atacul vizeaza compromiterea hostului din DMZ si
prin intermediul acestuia atacarea hostului din interior. Dupa ce hostul din DMZ este
compromis, sunt instalate software-uri care sa redirectioneze traficul de la hostul din exterior la
hostul din interior.
*tools: netcat

Man-in-the-middle [MITM]
Presupune ca un atacator sa se pozitioneze intre 2 hosturi legitime.
86
- transparent proxy e un exemplu. Atacatorul pacaleste victima printr-un phishing email
sau web defacing, dupa care isi insereaza url-ul lui in fata url-ului legitim. Ex:
http:www.legitimate.com devine http:www.attacker.com/http://www.legitimate.com
Tot traficul victimei poate fi interceptat de atacator, care poate sa corupa informatia care se
intoarce la victima.
Prin alte tipuri de atacuri MITM se pot face si: furt de informatii, obtinerea (highjack / rapirea)
unei sesiuni la resurse la care atacatorul nu ar avea acces in mod normal, DoS, coruperea
datelor transmise, introducerea de date intr-o sesiune deschisa.

Reducerea atacurilor MITM WAN se face prin folosirea tunelurilor VPN - atacatorul vede doar
informatii criptate. Pentru LAN se foloseste port security pe switchuri.
*Tool-uri pentru MITM in LAN: ettercap, ARP poisoning.

3. Denial of Service [DoS]


Impiedica persoanele autorizate sa ruleze un serviciu prin consumarea resurselor sistemului.
Este considerata o forma triviala de atac, pentru ca este usor de implementat.

Exemple:
Ping of Death: un ping are in mod normal 64 - 84 bytes. Ping of Death modifica headerul
pachetului ping si ii spune ca pachetul are 65535 de bytes, ceea ce face ca vechile sisteme sa
crashuiasca. A fost popular la sfarsitul anilor ‘90. Acum cele mai multe retele nu mai sunt
susceptibile la acest tip de atac.

SYN flood: exploateaza 3 way handshake. Trimite multiple syn requests (peste 1000) unui
server, care raspunde cu syn-ack, dar softul ostil nu mai raspunde cu ack final, ca sa incheie 3-
way handshake-ul. Acest lucru leaga serverul care va ramane fara resurse si nu va mai putea
raspunde cererii unui host legitim.

E-mail bombs: sunt trimise e-mailuri bulk persoanelor, listelor sau domeniilor, monopolizand
serviciul de email.
Applet-uri ostile: folosesc Java, JavaScript, ActiveX, care cauzeaza distrugeri sau blocheaza
computerul.

DDoS Attacks
Distributed DoS sunt menite sa satureze linkurile retelei cu date nelegitime. Astfel se poate
incarca linkul, cauzand ca traficul legitim sa fie dropped. DDoS foloseste metode de atac
similare cu DoS, dar la o scala mult mai mare. In general sute sau mii de puncte de atac
incearca sa copleseasca o tinta.

De obicei un DDoS are 3 componente:


- 1 client / atacator
- 1 handler care este un host compromis si care este capabil sa gestioneze mai multi agenti
- 1 agent care este un host compromis pe care ruleaza programul de atac si care este
responsabil de generarea fluxului de pachete catre tinta.

Exemple de atacuri DDoS:


- smurf
86
- tribe flood network
- stacheldraht
- MyDoom

Atacul smurf foloseste mesaje ping pe adrese de broadcast capturate (spoofed) pentru a floda
un sistem tinta. In pasul 1 atacatorul trimite ICMP echo request catre o adresa de broadcast de
retea (direct broadcast) cu o adresa valida, luata dintr-un pachet spoofed. Routerul face
broadcast de la L3 la L2, cele mai multe hosturi raspund cu ICMP echo reply, multiplicand
traficul cu nr de hosturi care raspund. Intr-o retea multiple access broadcast network pot fi sute
de hosturi care raspund unui astfel de mesaj.
Preventia la acest tip de atac se face prin oprire (turn off) a broadcastului direct; de la IOS 12.0
acesta este oprit.

Atacurile DoS si DDoS pot fi reduse prin implementarea listelor de acces anti spoof si anti DoS.
ISP-isti pot sa implementeze si controlul traficului (prin rate), limitand volumul de trafic
neesential din segmentele de retea. Un exemplu comun este limitarea traficului ICMP, pentru ca
este trafic doar de diagnosticare.

Malicious code attacks (atacuri prin cod ostil): viermi, virusi, troieni

Un vierme executa cod si instaleaza copii ale lui in memoria computerului infectat, care la
randul lui poate sa infecteze alte computere.

Un virus este un software ostil care este atasat altui program cu scopul de a executa functii
nedorite pe o statie.

Un troian este o intreaga aplicatie care a fost scrisa ca sa arate ca altceva, ca sa mascheze ca
este un instrument de atac (attacking tool).

Cum arata atacul unui vierme:


- vulnerabilitate activata: viermele se instaleaza
- mecanism de propagare: dupa ce s-a instalat, viermele se copiaza si isi selecteaza noile tinte
- payload: dupa ce hostul este infectat, de obicei atacatorul are acces la host cu privilegii de
user. Atacatorul poate folosi exploit-urile locale ca sa isi dea privilegii de administrator.

Viermii sunt programe de sine statatoare care infecteaza sisteme si incearca sa se propage si la
alte sisteme conectate? cu acestea.

Diminuarea / eliminarea acestor atacuri implica multa rigurozitate din partea adminilor de retea
si de sistem (ai a echipelor acestora). Pasii recomandati sunt:
- containment (izolare) a raspandirii viermior in retea (izolarea segmentelor de retea? )
- inoculation (vaccinare): aplicarea patch-urilor tuturor sistemelor
- carantina: blocarea masinilor infectate, izolarea acestora
- tratare: curatarea si patch-uirea fiecarui sistem infectat

Virusi si troieni

86
Elementul care diferentiaza un vierme de un virus este ca virusul are nevoie de interactiunea
umana pentru a se raspandi (printr-un atasament la un mail, etc).
De virusi si troieni te protejezi cu antivirusi pentru useri si pentru retea.

Tehnici de reducere / eliminare a amenintarilor


- device hardening (protejarea device-urilor) prin schimbarea user + pass default, accesul la
resursele sistemului permis doar celor in drept, oprirea / dezinstalarea aplicatiilor sau serviciilor
care nu sunt necesare.
- instalarea softurilor antivirus
- folosirea firewall-urilor
- aplicarea patch-urilor sistemelor de operare

Dispozitive si aplicatii de securitate


In trecut un firewall era suficient pentru securizarea retelei, dar acum a devenit necesara
folosirea unei abordari integrate / unei solutii mai complexe: firewall + intrusion prevention +
VPN.

Abordarea integrata presupune:


- controlul amenintarilor: reguleaza accesul la retea, izoleaza sistemele infectate, previne
intruziunile, protejeaza bunurile (assets) prin contracararea traficului ostil (viermi si virusi).
Echipamente care ofera aceasta functie sunt: seria Cisco ASA 5500 (ASA = Adaptive Security
Appliance), Integrated Services Routers (ISR), Network Admission Control (NAC), Cisco
Security Agent for Desktop, Cisco Intrusion Prevention Systems (IPS).
- securizarea comunicatiilor: securizezi cu VPN-uri. Echipamente care ofera VPN: routerele ISR
cisco cu Cisco IOS VPN solution, Cisco 5500 ASA, switch-urile Catalyst 6500.
- Network Admission Control: previn accesul neautorizat la retea
- IOS-ul Cisco de pe ISR-uri: multe dintre masurile de securitate cerute de clienti se afla incluse
in IOS-ul cisco (trebuie sa mai stii cum sa le configurezi ;) )
- Cisco ASA 5500: firewall-ul PIX a evoluat si acum include: firewall, voice security, SSL si
IPsec VPN, IPS si servicii de securitate a continutului, toate intr-un singur device.
- senzori din seria IPS 4200: acesti senzori identifica, clasifica si opresc traficul ostil
- Cisco NAC appliance: foloseste infrastructura de retea pentru a intari conformitatea cu politica
de securitate pentru toate echipamentele ce vor sa acceseze resursele retelei.
- Cisco security agent (CSA): este un software care ofera capabilitati de protectie pentru
servere, desktopuri si sistemele de computere point-of-service (POS). Le protejeaza impotriva
atacurilor tintite / directionate, spyware, rootkits, day-zero.

The network security wheel


Cele mai multe incidente de securitate au loc pentru ca sys adminii nu implementeaza masurile
de securitate disponibile si atacatorii / angajatii nemultumiti exploateaza aceste scapari =>> nu
trebuie doar sa gasesti vulnerabilitatea si contramasura, ci sa te si asiguri ca solutia este
folosita si ca functioneaza corect.

Network security wheel este un proces continuu, care presupune retestarea si reaplicarea
masurilor de securitate updatate, in mod continuu.

Politica de securitate include urmatoarele:


86
- identifica obiectivelor de securitate ale organizatiei
- documenteaza resursele care trebuie protejate
- fa o inventariere si o harta a infrastructurii de retea
- identifica resursele critice pe care trebuie sa le protejezi

Pasii de la security wheel sunt:


- securizeaza
- monitorizeaza
- testeaza
- imbunatateste

1. Securizeaza:
- aparare la amenintari
- inspectie stateful si filtrarea pachetelor
* stateful inspection = un firewall care pastreaza informatii despre starea unei conexii in tabela
de stare ca sa poata recunoaste schimbarile din conexiune care ar putea insemna ca un
atacator incearca sa deturneze o sesiune sau sa manipuleze o conexiune.
- sistem de prevenirea intruziunilor (IPS), pus la nivelul host si retea pentru a opri in mod
activ traficul ostil
- patch-uirea vulnerabilitatilor - se repara sau se iau alte masuri pentru a opri
exploatarea vulnerabilitatilor cunoscute
- dezactivarea serviciilor care nu sunt necesare - cu cat sunt mai putine servicii, cu atat
este mai greu pentru un atacator sa obtina acces

Conexiuni securizate:
- VPN-urile - cripteaza traficul de retea pentru preveni dezvaluirea informatiilor catre indivizi
neautorizati / ostili
- trust and identify - implementezi constrangeri stranse pe nivele de incredere (in cadrul retelei).
- autentificare - dai acces doar userilor autorizati
- intarirea politicii - te asiguri ca userii si end device-urile resprecta politica corporate

2. Monitorizare:
Monitorizarea securitatii implica metode pasive si active de a detecta incalcari ale securitatii.
Metoda cea mai comun folosita este sa auditezi fisierul de log la nivel de host. Sys adminii
trebuie sa activeze sistemul de auditare pentru fiecare host din retea si sa verifice si sa
interpreteze intrarile din aceste fisiere.

Metodele pasive includ dispozitive IDS (intrusion detecting systems) pentru a detecta automat
intruziunile. Aceasta metoda necesita din partea adminului de securitate a retelei mai putina
atentie decat metodele active. Metodele active pot detecta in timp real violarile de securitate si
pot fi configurate sa raspunda imediat, inainte ca intrusul sa poata strica ceva.

Un beneficiu in plus al monitorizarii retelei este verificarea daca masurile de securitate


implementate la pasul 1 sunt configurate si functioneaza corect.

3. Testarea:

86
In aceasta etapa masurile de securitate sunt testate proactiv. Mai precis sunt verificate masurile
din pasii 1 si 2. Unelte de verificarea vulnerabilitatilor de securitate ca nessus sau nmap sunt
folosite pentru testarea periodica a masurilor de securitate de la nivelul retelei si al hostului.

4. Imbunatateste:
Implica analiza datelor colectate in timpul fazelor de monitorizare si testare. Are ca rezultat
amplificarea politicii de securitate prin imbunatatirea mecanismului implementat <=> se adauga
itemi la pasul 1.

*Securizarea este un proces continuu.

Politica de securitate a unei companii


Politica de securitate este un set de indrumari menite sa fereasca reteaua de atacuri, din interior
si exterior.

Politica de secutitate aduce urmatoarele beneficii organizatiei:


- furnizeaza o modalitate de auditare a securitatii existente si compara cerintele cu ce este gasit
in acel moment
- planifica imbunatatirile de securitate, inclusiv echipamente, software si proceduri.
- defineste rolurile si responsabilitatile executivilor, userilor, administratorilor
- defineste ce comportamente sunt permise si ce nu
- defineste procedura de gestionare a incidentelor de securitate
- activeaza o implementare globala a securitatii si o intareste prin actionarea ca si cum ar fi un
standard intre locatii
- creaza o baza pentru actiuni legale, daca este cazul

Politica de securitate este un document viu, in continua actualizare.

Functiile unei politici de securitate


- protejeaza oamenii si informatiile
- stabileste regulile de comportament asteptat din partea userilor, executivilor, adminilor
- autorizeaza personalul de securitate sa monitorizeze, probeze, investigheze
- defineste si autorizeaza consecintele violarilor de securitate
*nu intotdeauna este necesar sa explici de ce este ceva facut intr-un anumit fel

Componentele politicii de securitate


*nu sunt toate obligatorii
- declaratia de autoritate si aria de cuprindere: defineste cine din organizatie sponsorizeaza
politica de securitate, cine este responsabil pentru implementarea ei, ce arii sunt acoperite de
politica de securitate.
- politica de utilizare acceptata: defineste modul de utilizare acceptat al echipamentelor si
serviciilor, masurile de securitate potrivite pentru angajati pentru a proteja resursele companiei
si informatiile proprietare
- politica de identificare si autorizare: defineste ce tehnologii foloseste compania pentru a se
asigura ca doar personalul autorizat are acces la date.
- politica de acces la internet
- politica de acces la campus
86
- politica de acces remote
- procedurile de gestionare a incidentelor
in plus mai poti sa folosesti:
- politica de solicitare a accesului la cont
- politica de achizitii de valori
- politica de audit
- politica pentru informatii sensibile
- politica pentru parole
- politica de analiza a riscului
- politica globala pentru web server
altele
- politica de forwardare automata a emailurilor
- politica de trimitere de emailuri
- politica pentru spam
remote access:
- politica de acces dial-in
- politica de remote acces
- politica de securitate VPN

Cine incalca politica de securitate poate fi concediat.

Probleme de securitate ale routerelor


Securitatea routerelor este un element critic cand vorbim despre securitate (a retelei), pentru ca
routerele indeplinesc rolul de:
- anuntarea retelelor si filtreaza cine le poate folosi
- ofera acces la segmentele de retea si subretea

Motivele pentru care routerele sunt atacate:


- daca compromiti controlul accesului, poti sa dezvalui detaliile de configurare a retelei,
facilitand atacul asupra componentelor retelei
- daca compromiti tabela de rutare poti sa reduci performanta, sa interzici servicii de
comunicare in retea, sa dezvalui date sensibile
- configurand gresit un filtru de trafic poti sa expui componentele retelei la atacuri / scanari,
usurand evitarea detectiei pentru atacatori.

Securizarea routerelor la perimetrul retelei este un important prim pas in securizarea retelei.
Securizarea routerelor inseamna:
- securizare fizica
- actualizarea IOS routerelor ori de cate ori este indicat
- backupul configuratiei si IOS-ului routerelor
- intarirea routerul prin eliminarea abuzului potential referitor la porturile si serviciile nefolosite.

Securitatea fizica = amplaseaza routerul intr-o zona cu acces controlat, incuiata, fara
interferente magnetice, electrosatatice, controleaza temperatura si umiditatea, trece alimentarea
curentului printr-un UPS, cumpara / stocheaza piese de schimb.

86
Echipamentele care se conecteaza la router trebuie sa fie si ele securizate sau aflate sub
jurisdictia cuiva de incredere. Daca sunt expuse ar putea sa fie infectate cu troieni sau alte
executabile.

Da-i routerului maximul de memorie posibila :D ca sa fie mai ferit de DoS. Nu-i pune ultimul
IOS, ci pe cel mai stabil. Pastreaza o copie de siguranta a IOS-ului si a fisierului de configurare,
ca in caz de nevoie sa ai optiune de backup.

Elimina serviciile care pornesc default si de care nu te folosesti.

Pasi pentru a securiza un router:


1. gestionezi securitatea routerului
2. securizeaza accesul la administrarea remote
3. foloseste un log pentru activitatea routerului
4. securizeaza serviciile si interfetele vulnerabile ale routerului
5. securizeaza protocoalele de rutare
6. controleaza si filtreaza traficul de retea

1. gestionezi securitatea routerului


Configureaza o parola puternica:
- nu o scrie pe ceva pe care apoi sa il lasi la vedere
- nu folosi cuvinte din dictionar
- combina litere, cifre, simboluri.
- scrie gresit cuvintele (intentionat)
- foloseste cel putin 8 caractere
- schimba des parolele
-! parafrazeaza

Cripteaza parolele - IOS-ul cisco le lasa default in plain text.


R(config)#service password-encryption
In show run, 0 la parola = nu e criptata, 7 = e criptata cu algoritm cisco, 5 e criptata cu un hash
MD5. Criptarea cu MD5 se face cu comanda enable secret text

R1(config)# username Student secret cisco >>> cripteaza cu md5 parola userului Student.

PAP si CHAP nu pot folosi criptarea md5.

R2(config)#security password min-length >>> defineste lungimea minima a parolei (de la


IOS-ul 12.3(1) ).

2. securizeaza accesul la administrarea remote

Cel mai securizat mod de a te conecta la un router este prin consola. Daca totusi nu ai cum sa
te conectezi prin consola, te vei conecta remote. Conectarea remote trebuie facuta cu alicarea
unor precautii suplimentare de securitate.

86
Pentru a securiza accesul la administrarea remote a switchurilor si routerelor intai trebuie sa
securizezi liniile administrative (VTY si AUX), apoi configurezi reteaua sa cripteze traficul prin
tunele SSH.
Accesul remote inseamna Telnet, SSH, HTTP, HTTPS, SNMP.

Pentru acces remote:


- instaleaza o retea dedicata pentru management care sa includa doar hosturile de administrare
si conexiunile la device-urile de infrastructura.
- cripteaza tot traficul dintre router si computerul de administrare.

Securizarea remote access se refera la VTY si la TTY (text telephone). TTY = acces asincron la
router folosind un modem. Daca vrei sa blochezi o linie (VTY sau TTY), folosesti comenzile no
password si login, adica ii ceri explicit o parola, dar aceasta nu exista => nu te poti loga pe
acea linie.

Pentru VTY, folosirea Telnet sau SSH se face cu comenzile:


R(config-line)#no transport input >>> anulez protocolul anterior
R(config-line)#transport input telnet ssh >>> pot sa le dau pe amandoua sau doar unul dintre
ele.

Un device Cisco are de obicei 5 linii virtuale => daca sunt toate deschise (inclusiv in idle) nu mai
poti deschide o alta linie =>> trebuie ca ultima linie virtuala sa nu accepte conexiuni decat de la
o masina de administrare aflata strict sub controlul tau (faci reguli prin ACL cu comanda ip
access-class); alta optiune este comanda exec-timeout <minute> (din config-line) combinata
cu comanda service tcp-keepalive-in (din config)

telnet este pe portul TCP 23


ssh este pe portul TCP 22

Nu toate IOS-urile Cisco suporta SSH; de obicei doar cele cu k8 sau k9 in nume suporta SSH.

Accesul din terminal prin ssh permite adminilor sa faca urmatoarele:


- sa se conecteze (securizat) la un router care are linii multiple de terminal cu porturile de
consola sau seriale ale altor routere, switchuri sau device-uri
- sa simplifice conectarea la routere de oriunde, conectandu-se securizat de oriunde la un
terminal-server pe o linie specifica
- sa permita modemurilor atasate routerelor sa fie folosite pentru dial-out securizat
- sa solicite autentificarea pe fiecare linie, folosind fie user + parola locale, fie un server
TACACS+ sau RADIUS

Routerele cisco functioneaza ca server si client de SSH. Ca client se conecteaza la un server


de ssh, ca server permit clientilor sa se conecteze la ele prin ssh.

Cand activezi SSH, trebuie sa configurezi::


- hostname
- numele domeniului
- chei asimetrice
86
- autentificare locala
optional mai configurezi si:
- numarul de reincercari de conectare
- timeouts

Router(config)#hostname R1
R1(config)#ip domain-name alexandru.com
R1(config)#crypto key generate rsa >>> de preferat dimensiunea 1024
R1(config)#username Student password cisco123
R1(config)#line vty 0 4
R1(config-line)#transport input ssh
R1(config-line)#login local
R1(config-line)#end
R1(config)#ip ssh time-out 15
R1(config)#ip ssh authentication-retries 2

La conectarea remote trebuie sa dai user si parola ca sa te poti conecta (logic :D ).

3. foloseste un log pentru pastrarea activitatilor routerului

Logurile iti permit sa identifici daca un router functioneaza corect sau daca a fost compromis.
Uneori din loguri poti sa vezi ce tipuri de probe sau atacuri sunt incercate asupra routerului sau
retelei.

Configurarea logarilor (syslog) pe router trebuie facuta cu grija. Trimite logurile catre un log
host, iar log host-ul trebuie sa fie conectat la o retea de incredere sau protejata sau la o
interfata de router izolata si dedicata. Intareste log host-ul prin eliminarea serviciilor si conturilor
care nu sunt necesare.
Routerele suporta 8 nivele de logare, 0 este cel mai important (arata ca sistemul e instabil), 7
este pentru informatii din mesajele de debug.

Logurile pot fi forwardate catre diferite locatii: memoria routerelor (volatila), sau catre un server
dedicat pentru loguri. Un server de syslog este o solutie mai buna, pentru ca mai multe masini
pot trimite logurile catre acesta, iar adminul le poate urmari (eventual centralizat?). Exemplu de
aplicatie de server syslog este kiwi syslog daemon.
De asemenea ia in calcul trimiterea logurilor si catre o a 2-a locatie, ca sa tratezi si worst case
scenario.
*Logurile trebuie citite cu regularitate. In acest fel te vei obisnui cu modul normal de functionare
a retelei si vei repera mai usor atacurile / functionarea anormala.

E necesar ca timpul sa fie inregistrat corect. Desi routerele au un ceas intern, este mai indicat
sa folosesti servere de timp (minim 2, pentru redundanta). Aceste servere se numesc servere
NTP (network time protocol).

4. serviciile si interfetele vulnerabile ale routerului

86
Routerele cisco suporta multe servicii de retea de layer 2, 3, 4, 7. Daca nu le folosesti,
dezactiveaza-le. Unele dintre ele sunt dedicate fie configurarilor specializate sau mostenite
(legacy), fie sunt servicii de layer aplicatie (L7).
Este recomandat sa opresti: CDP, TCP si UDP small servers, finger, http server, BOOTP
server, configuration autoloading, IP source routing, proxy ARP, IP direct broadcast, clasless
routing behavior ???, IP unreachable notifications, IP mask reply, IP redirects, NTP services,
SNMP, DNS.

La unele din serviciile de mai sus, daca nu le dezactivezi, ar trebui sa restrictionezi accesul /
securizare.

5. securizeaza protocoalele de rutare

Sistemele de pe routere pot fi atacate in 2 feluri:


- subminarea perechilor
- falsificarea informatiilor de rutare

Subminarea perechilor nu este critica, pentru ca protocoalele de rutare se vindeca intre ele.
Un atac mai subtil este cand se falsifica informatiile de rutare si sistemele se vor minti intre ele,
cauzand un DoS sau traficul va fi rutat pe o cale pe care nu ar parcurge-o in mod normal.

Falsificarea informatiilor de rutare poate cauza:


- redirectarea traficului ca sa rezulte bucle de rutare
- redirectarea traficului ca sa poata fi monitorizat
- redirectarea traficului ca sa fie aruncat

Pentru a preveni aceste neplaceri se poate folosi autentificarea protocoalelor de rutare si


criptarea informatiilor de rutare.

Autentificarea in RIPv2:
r(c)#router rip
r(c-router)#passive-interface default
r(c-router)# no passive-interface s0/0/0
r(c)#key chain rip_key
r(c-keychain)#key 1
r(c-keychain-key)#key-string cisco
r(c)#int s0/0/0
r(c-if)#ip rip authentication mode md5
r(c-if)#ip rip authentication key-chain rip_key

Aceste comenzi trebuie date pe toate routerele pe care ruleaza rip.

Autentificarea in EIGRP
r(c)#kay chain eigrp_key
r(c-keychain)#key 1
r(c-keychain-key)#key-string cisco
r(c-keychain-key)#exit
86
r(c-keychain)#exit
r(c)#int s0/0/0
r(c-if)#ip authentication mode eigrp 1 md5
r(c-if)#ip authentication key-chain eigrp 1 eigrp_key

Autentificare in OSPF
r(c)#int s0/0/0
r(c-if)#ip ospf message-digest-key 1 md5 cisco
r(c-if)#ip ospf authentication message-digest
r(c-if)#exit
r(c)#router ospf 10
r(c-router)#area 0 authentication message-digest

Auto Secure
Este o singura comanda, dar care dezactiveaza procesele si serviciile neesentiale.
are 2 moduri de functionare:
- interactiv: te intreaba promptul
- non interactiv: nu te intreaba
Comanda este auto secure

Cisco router and security device manager (SDM) furnizeaza un feature similar cu auto secure.

SDM este un tool web-based prin care se poate face configurarea LAN, WAN si a functiilor de
securitate pe routerele cu IOS cisco + configurare VPN si firewall.
Cisco recomanda instalarea SDM pe toate routerele moderne. Ca sa instalezi SDM-ul, trebuie
mai intai sa:
- te conectezi la router
- activezi HTTP si HTTPS pe router
- creezi un cont cu parola si privilegii de exec (level 15)
- configurezi ssh sau telnet pentru login local si privilegii level 15

SDM este stocat in memoria flash (dar poate fi stocat si pe un PC). Ca sa lansezi SDM-ul, scrii
adresa routerului intr-un browser, cu HTTPS pentru ssh, sau http pentru telnet.

Intretinerea IOS-ului routerului


Periodic la un router se updateaza fie IOS-ul, fie fisierul de configurare.
*nu e mereu indicat sa faci update la cel mai nou sistem de operare, pt ca e posibil sa nu fie
stabil.

Update = inlocuieste un release cu altul, fara sa modifice setul de feature-uri. Noul release
fixeaza bugurile sau inloieste vechiul release, care nu mai este suportat. Sunt gratis
Upgrade = inlocuieste... si modifica setul de feature-uri. Nu sunt gratis.

Cisco recomanda un proces de migrare in 4 pasi:


- planifici: setezi obiectivele, identifici resursele, faci profilul retelei, creezi un orar preliminar
pentru migrarea la noul release.
- design: alegi noile release-uri de IOS-uri cisco si creezi o strategie de migrare la acestea
86
- implementezi: schedule si executi migrarea
- operezi: monitorizezi procesul de migrare si faci copii de siguranta ale imaginilor (IOS-urilor?)
care ruleaza in reteaua ta.

Tools care te ajuta la migrare:


- fara login pe site-ul cisco: Cisco IOS reference guide, cisco IOS software technical document,
software center.
- cu login...: bug toolkit, cisco feature navigator, software advisor, cisco IOS upgrade planner.

4.5.2.1
Sistemul de fisiere (integrated file system)
Daca un atacator iti sterge fisierul de configurare sau IOS-ul trebuie sa fii capabil sa il pui la loc.
Evident, trebuie sa ai backup la ele.

Network file system include folosirea ftp, tftp, rcp (remote copy protocol).=> cursul acesta se
concentreaza pe tftp.

La show file system, * = sistemul default, iar # = discul este bootabil (discul este memoria
flash, care nu prea e disc :D )
caracterul # se citeste pound

dir afiseaza un sistem de fisiere din directorul curent.


cd nvram:
pwd >>> ca il linux, iti arata calea catre directorul curent
dir >>> afiseaza directorul curent.

Prefixe URL pentru device-urile cisco

Pentru examplul tftp://192.168.20.254/configs/backup-configs:


"tftp:" = prefix
tot ce e dupa // = locatia
1. 192.168.20.254 este locatia serverului TFTP
2. "configs" este master directory
3. "backup-configs" este fisierul

Copierea din RAM in NVRAM:


R2# copy running-config startup-config
copy system:running-config nvram:startup-config

Copierea din RAM intr-o locatie remote:


R2# copy running-config tftp:
R2# copy system:running-config tftp:

Copierea dintr-o sursa remote in running-config


R2# copy tftp: running-config
R2# copy tftp: system:running-config

86
Copierea dintr-o sursa remote in startup-config:
R2# copy tftp: startup-config
R2# copy tftp: nvram:startup-config

Numele IOS este ca in linux. Exemplu:


c1841-ipbase-mz-123-14.t7.bin se traduce in:
c1841 = platforma pe care ruleaza (careia ii este destinat)
ipbase = feature-ul, ip
mz = formatul fisierului: m = ruleaza in RAM, z = comprimat
123-14.t7 = version number 12.3(14)T7
bin = binary executable
Alte optiuni:
i = destinat pentru setul de features IP
i = destinat pentru setul de protocoale enterprise. Definesc un set de features in plus (extra
queueing, manipulare, translatie)
56i = arata encryption DES IPsec pe 56 biti (criptare pe 56 biti)
3 = destinat pentru firewall / DS
k2 = criptare DES pe 168 biti IPsec

Cand faci update pentru IOS:


Prima data confirmi dimensiunea update-ului (si instalezi mai multa memorie daca este cazul),
testezi terminalul pentru conexiunea la router, planifici update-ul pentru perioade mai linistite (in
afara orelor de munca), dupa care, la pasul 2: dai shut down pe interfetele nefolosite, faci
backup la running config si IOS (pe un server tftp), faci transferul de fisiere, testezi functiile
updatate (daca e ok mergi mai departe, daca nu e ok faci back out si reiei tot procesul) si scoti
interfetele din shut.

Backup pe server tftp:


1. ping in serverul de tftp
2. show flash: arata:
- cata memorie flash are routerul
- cata memorie flash e disponibila
- numele fisierelor din memoria flash
3. copiezi IOS-ul de pe router pe serverul de tftp

*cand copiezi IOS pe un router ai grija sa fie IOS pentru acel router, altfel se poate intampla ca
routerul sa nu mai poata boota si sa fii obligat sa folosesti ROMmon!

R1(config)#boot system flash numeIOS >>> ii spune explicit routerului cu ce IOS din flash sa
booteze. trebuie salvat run in start

Daca routerul nu mai are IOS si a fost restartat, va intra in ROMmon. Acesta dispune de putine
comenzi, dar iti da posibilitatea sa incarci un IOS corespunzator pentru router. Trebuie sa ii
configurezi o interfata si sa ii spui de unde isi ia IOS-ul (TFTP), dupa care dai comanda tftpdnld
(tftp download).

86
Poti restaura IOS-ul si folosind Xmodem, dar pentru ca merge prin cablul de consola, este
foarte lent comparat cu tftp. Viteza default este de 9600 b/s, dar poate fi setata si pe router si pe
HyperTerminal la 115000 b/s (creste foarte mult).

Comanda este data din ROMmon: xmodem cyr; semnificatia c, y, r difera in functie de
configuratie. c = CRC 16, y = Ymodem protocol ??, r = copiaza IOS in RAM.

Troubleshooting

Show vs debug:
show afiseaza parametrii configurati si valorile lor; incarcarea procesorului este mica
debug iti permite sa urmaresti executia unui proces; incarcarea procesorului este mare

Debug in mediul de productie, ai grija ca:


- debug primeste timp de CPU (are prioritate mare).
- debug te ajuta sa identifici si sa rezolvi probleme persistente ale retelei
- debug poate genera volume mari de date. Ar fi bine sa stii dupa ce te uiti inainte de a da
debug.
- formatul informatiilor difera pentru debug-uri diferite
- planifica folosirea debug (in afara orelor de munca - poate sa iti blocheze routerul)

Comenzi folosite cu debug:


R1(config)#service timestamps debug datetime msec >>> adauga timpul la mesajele sau
logurile debug-ului.
R1(config)#show proceses >> afiseaza cat procesor folosesc procesele
R1(config)#no debug all >> opreste toate debugurile
R1(config)#terminal monitor >> afiseaza outputul debugului pe sesiunea mea vty curenta

Pentru a folosi cat mai eficient uneltele de debug, trebuie sa iei in considerare:
- impactul asupra performantelor routerului
- care este modul cel mai selectiv de a folosi debugul (debugul cel mai specific)
- cum fac sa minimizez impactul asupra celorlalte procese
- cum opresc debugul dupa ce am aflat ce ma interesa

Recuperarea parolei

Ca sa recuperezi o parola trebuie sa ai acces fizic la router; singura parola care poate fi
recuperata este enable password; enable secret este criptata, deci trebuie inlocuita.
Configuration register al routerului este similar cu setarile BIOS ale unui PC. Configuration
register este cel mai des folosit pentru recuperarea parolei (mai are si alte functii).

1. te conectezi la consola
2. daca ai acces la R> dai show version si verifici valoarea de la configuration register. Ar trebui
sa fie 0x2102 (asta e de cele mai multe ori).
3. Inchizi si deschizi routerul din butonul de power
4. apesi / dai break din tastatura terminalului in primele 60 de sec ca sa intri in ROMmon.
5. in rommon1>confreg 0x2142 face ca routerul sa nu incarce startup-config.
86
6. rommon2>reset routerul se restarteaza, dar nu incarca startup-config. Te intreaba daca vrei
sa configurezi cu wizard-ul.
7. dai nu ca sa nu rescrie startup-ul existent in nvram.
8. copiezi start in run. Nu copiezi invers pentru ca pierzi setarile vechi ale routerului!
9. show run iti afiseaza parolele salvate in text clar
10. rescri parolele criptate
11. default interfetele au intrat in shut, trebuie sa le reactivezi
12. R1(config)#config-register 0x2102 >> ca sa tina cont de noul startup-config
13. copiezi run in start ca sa salvezi modificarile

R1(config)#login block-for 300 attempt 2 within 120 >> blocheaza loginul 300 sec daca a gresit
de 2 ori parola de autentificare
R1(config)#security authentication failure rate 5 log >> inregistreaza autentificarile esuate?

R1(config)#aaa new-model >> ? ce face ?


R1(config)#aaa authentication login LOCAL_AUTH local >>creaza o lista de autentificare
definita local.

pentru SDM ar trebui sa ai SDM instalat pe router si sa ai user + parola si sa fi dat comanda
R2(config)#ip http secure-server

************************************************
cap 5 - Access Control List (ACL)

ACL-urile iti permit sa controlezi traficul in / din retea. Pot fi simple (interzici sau permiti retele
sau hosturi) sau mai complexe (interzici porturi).

Porturi TCP:
- well-known [0-1023]: 21 - FTP, 23 - telnet, 25 - SMTP, 80 - HTTP, 110 - POP3, 194 - internet
relay chat (IRC), 443 - HTTPS
- registered ports [1024 - 49151]: 1863 - MSN Messenger, 8008 - Alternate HTTP, 8080 -
Alternate HTTP (da, e corect).

Porturi UDP:
- well-known: 69 - TFTP, 520 - RIP.
- registered ports: 1812 - RADIUS authentication protocol, 2000 - cisco SCCP (VoIP), 5004 -
RTP (voice and video transport protocol), 5060 - SIP (VoIP).

Filtrarea pachetelor
Filtrarea pachetelor (numita uneori si filtrare statica a pachetelor) controleaza accesul la retea
prin analizarea pachetelor care intra / ies si permiterea / interzicerea lor pe baza unui set de
criterii.

Routerul face filtrare la L3 (mai face si la L1,2,4,7 - dar nu zice materialul, in aceasta pagina).
Regulile dupa care routerul face filtrare sunt definite in ACL-uri.
ACL-ul = script de configurare care permite sau interzice pachete, pe baza unei liste de intrari
permit si deny care se aplica adreselor IP sau protocoalelor superioare.
86
ACL-urile isi extrag din headerul pachetului: IP sursa, IP destinatie, tipul mesajului ICMP.
ACL-urile isi pot extrage informatii despre layerele superioare din: portul sursa TCP/UDP sau
portul destinatie TCP/UDP.

ACL-urile mai sunt folosite si pentru selectarea tipului de trafic care va fi analizat, forwardat sau
procesat in alt fel. Cand un pachet este primit pe o interfata care are asociat un ACL pe in, ACL-
ul va fi analizat de sus in jos, cautandu-se o linie care sa se potriveasca. ACL-ul intareste 1-n
politici de securitate corporate prin decizii deny / permit; ACL-urile pot fi configurate sa
controleze accesul la o retea / subretea.

By default routerele nu au ACL-uri configurate => by default nu filtreaza traficul.

Guidelines pentru folosirea ACL-urilor:


- foloseste ACL-uri in routerele cu rol de firewall aflate intre reteaua ta si o retea externa
(internet)
- foloseste ACL-uri pe routerul care separa 2 parti ale retelei tale interne, pentru a controla
traficul care intra sau iese dintr-o zona specifica
- foloseste ACL-uri pe routerele de granita (border routers)
- configureaza ACl-uri pentru fiecare protocol de retea de pe interfetele routerelor de granita.

Poti configura:
- 1 ACL per protocol
- 1 ACL per interfata
- 1 ACL per directie
==>> cei 3 P, per proto, per interfata, per directie.
==>>> ex: pentru 3 protocoale pe un router cu 2 interfete pot avea 3x2x2 ACL <=> 12 ACL
Protocoalele din exemplu: IP, IPX, AppleTalk

ACL-urile fac urmatoarele taskuri:


- limiteaza traficul din retea pentru a creste performanta retelei (fara trafic video)
- ofera controlul fluxului de trafic (update-uri de rutare doar la nevoie)
- ofera un nivel de securitate de baza pentru accesul retelei. (cine ce are voie sa acceseze)
- decid ce tip de trafic este blocat / forwardat la interfetele routerului (email da, telnet nu)
- ecraneaza hosturile ca sa le permita / refuze accesul la serviciile retelei (acces la HTTP, FTP,
etc).
ACL-urile mai fac, pe langa permit / deny trafic, si clasificarea traficului ca sa activeze procesele
de prioritate.

Modul de functionare
ACL-urile actioneaza pe pachetele care intra sau ies din router (care tranziteaza routerul), nu si
pe pachetele generate de router.

Inbound ACL: pachetele sunt analizate inainte sa fie trimise la interfata de iesire. Daca pachetul
este aruncat, se economiseste timpul in care ar fi fost cautata ruta.
Outbound ACL: pachetul este trimis interfetei de iesire, unde este analizat.

86
ACL-ul este parcurs de sus in jos. Cand se face match pe o conditie se opreste verificarea.
*Ultima conditie din ACL este implicita si este deny all. Cisco recomanda sa o treci de mana,
pentru ca asa poti sa vezi cate pachete au facut match pe ea.

Un ACl poate fi aplicat mai multor interfete. Cu toate astea, trebuie sa fie doar 1 ACL per
protocol, directie si interfata.

Pentru Outbound ACL


Cand routerul primeste un pachet, verifica daca are cum sa il trimita mai departe. Daca nu are
cum, il arunca. Daca are ruta, il trimite pe interfata de iesire, unde este verificat conform ACL-
ului. Conform conditiilor din ACL pachetul este forwardat mai departe sau aruncat.

*Ai grija la deny any care este implicit la sfarsitul ACL-urilor. In cazul protocoalelor de rutare,
daca nu esti atent cand configurezi ACL-ul, poti sa nu permiti update-urile si sa pierzi
comunicarea intre routere!

Tipuri de ACL-uri Cisco


ACL-urile Cisco sunt standard si extinse.

- ACL-urile standard: filtreaza traficul numai in functie de IP sursa.


- ACL-urile extinse: filtreaza traficul dupa mai multe criterii: ip sursa/destinatie, port
sursa/destinatie, tipul protocolului.

Numarul ACL-ului:
- ACL standard: 1-99 reunit cu 1300-1999
-ACL extins: 100-199 reunit cu 2000-2699

ACL-urile pot avea nume. Este indicat ca:


- numele sa contina caractere alpha-numerice
- numele sa fie scris cu majuscule
- numele nu pot contine spatii sau semne de punctuatie si trebuie sa inceapa cu o litera
- in cazul ACL denominate (= cele cu nume) poti adauga sau sterge intrari.

Pozitionarea ACL-urilor
Plasarea optima a ACL-urilor face ca reteaua sa opereze mai eficient. Regula de baza este sa
plasezi ACL-urile:
- standarde cat mai aproape de destinatie (ca sa nu interzici traficul legitim de la o sursa, pentru
ca filtrezi numai dupa IP sursa)
- cat mai aproape de sursa, ca sa nu incarci reteaua cu pachete pe care oricum le-ar arunca
routerul cu ACL.

ACL Best Practices:


1. Bazeaza-ti ACL-ul pe politica de securitate a companiei >>> asa te asiguri ca implementezi
guideline-urile de securitatea ale companiei
2. Pregateste o descriere a ce vrei sa faca ACL-ul >> o sa eviti inadvertentele si nu vei crea
probleme de acces

86
3. foloseste un editor de text ca sa creezi, editezi si salvezi ACL-urile >>> vei putea refolosi
ACL-urile ;)
4. testeaza ACL-urile pe o retea de dezvoltare inainte de a le implementa pe o retea din
productie >>> te ajuta sa eviti erori costisitoare.

ACL-urile trebuie sa aiba cel putin o inregistrare permit, pentru ca ele interzic implicit tot traficul.

Configurarea ACL-urilor standard


Router(config)#access-list access-list-number deny / permit / remark source [source-
wildcard] [log]
access-list-number = numar intre 1 - 99 sau 1300 - 1999
deny / permit
remark = comentariu
source = adresa de retea / host in zecimal sau any pentru orice sursa
source-wildcard = numar pe 32 biti, in dotted decimal sau any
log = optional, are ca efect trimiterea unui mesaj catre consola. Mesajul include numarul ACL,
daca pachetul a fost permis sau interzis, adresa sursa, numarul de pachete. Mesajul este
generat pentru primul pachet care se potriveste, apoi la intervale de 5 minute, cu numarul de
pachete permise / interzise in intervalul de 5 minute.

Exemplu:
R1(config)# access-list 10 permit 192.168.10.0

Remove ACL
R1# show access-list
R1(config)#no access-list 10

Remark
Permite comentarii de maxim 100 de caractere.

Wildcard mask [WM]


WM difera de subnet mask, dar ofera o functionalitate similara. Ea determina cat de mult din
adresa IP trebuie sa se potriveasca cu intrarea din ACL ca sa se considere match.
Bitii din WM:
- 0 do care = bitul din adresa trebuie sa se potriveasca
- 1 don’t care = nu conteaza

WM se calculeaza ca 255.255.255.255 - (minus) subnet mask.


any = substituie masca 255.255.255.255
host = substituie masca 0.0.0.0

=> poti scrie


R1(config)#access-list 1 permit 192.168.1.2 0.0.0.0
ca
R1(config)#access-list 1 permit host 192.168.1.2

si
86
R1(config)#acces-list 1 permit 0.0.0.0 255.255.255.255
ca
R1(config)#access-list 1 permit any

5.2.4.1

ACL-ul se ataseaza unei interfete prin comanda:


Router(config-if)#ip access-group {access-list-number | access-list-name} {in | out}
se dezaloca cu:
Router(config-if)#no ip acces-group
Se sterge cu:
Router(config)#no access-list >>> fara numar / nume ???

*Daca nu atasezi ACL-ul pe interfata, nu va face nimic.

Folosirea ACL ca sa controlezi accesul la VTY (liniile virtuale)


E bine sa securizezi accesul la router prin folosirea protocolului SSH. Daca nu ai cum, macar
creaza o lista de acces, ca sa specifici ce IP-uri au voie sa se conecteze la router.
Comanda este
R1(config)#access-list 21 permit host 10.0.0.2
R1(config)#line vty 0 4
R1(config-line)#access-class 21 in >>> acelasi numar cu al ACL-ului

Poti folosi tehnica asta si cu SSH.


Comanda access-class din line config restrictioneaza conexiunile in si out dintre VTY-urile
device-ului cisco si o adresa din lista de acces.

R1(config-line)#access-class access-list-number {in [vrf-also] | out}

Atentie:
- doar listele de acces numerice se pot aplica liniilor VTY
- restrictii identice trebuie setate pe toate liniile VTY, pentru ca un user se poate conecta pe
oricare dintre acestea.

Editarea ACL-urilor numerice: nu se poate, trebuie sters si refacut. De aceea este indicat sa
folosesti un editor de text si sa apoi sa faci copy-paste in router.
Pentru un ACL existent, il afisezi cu show running-config | include ACL list si il copiezi in
editorul de texte, dupa care il copiezi modificat in router.

Comentarea cu remark poate fi facuta inainte sau dupa intrarea la care face referire, trebuie sa
fii consistent, ca sa stii cum interpretezi lista de acces.

ACL standard named [cu nume]


E mai usor sa identifici un ACL dupa nume, in loc de numar. Numele unui ACL trebuie sa nu
inceapa cu o litera.

R1(config)#ip access-list [standard | extended] name


86
R1(config-std-nacl)#[permit/deny/remark] {source / source WM] } [log]
R1(config-if)#ip access-group name [in | out]

Dupa ce termini de configurat un ACL da comanda show access-list [acl-number | name]. In


felul acesta verifici daca ACL-ul este configurat cum ai intentionat. Pasul urmator este sa testezi
daca ACL-ul face ce a fost planificat sa faca.

Editarea ACL-urilor named: de la IOS 12.3 ACE-urile din ACL-urile named pot fi sterse
individual + poti folosi numarul de secventa pentru a insera ACE-uri unde ai nevoie :D .
Numarul de secventa este din 10 in 10, cand inserezi un ACE dai un numar de secventa cu
valoarea care te intereseaza.

10 permit ceva
20 permit altceva
R1(config)#ip acces-list standard NUME
R!(config-std-nacl)#15 permit host 192.168.1.3 >> insereaza acest ACE intre cele 2 ACE-uri
care au fost configurate initial.

5.3.1.1
ACL-urile extinse
Pot fi numerice sau named; cele extinse numerice au valori intre 100-199 si 2000-2699. Sunt
mai des folosite decat cele standard, pentru ca filtreaza dupa IP sursa, dar in plus filtreaza si
dupa: IP destinatie, protocol, port (mai sunt criterii, dar in CCNP?). Exemplu: poti permite trafic
de email catre o sursa, dar nu si trafic web sau file transfer.

R1(config)#access-list 101 permit tcp any eq telnet (sau 23) >>> poti spune pe ce porturi
(aici destinatie) filtrezi traficul.
*poti folosi numele protocolului (aici telnet) sau numarul portului (aici 23)!

Configurare
-numerice
R1(config)#access-list <nr> {permit/deny/remark} protocol source [WM] [operator] [port sau
nume] destinatie [WM] [operator] [port sau nume] [established]
Established se refera numai la TCP, indica o conexiune stabilita. ( 3 way handshake)
-named
R1(config)#access-list extended NUME
R1(config-ext-nacl)#permit tcp 192.168.10.0 0.0.0.255 any eq 80
R1(config-ext-nacl)#permit tcp 192.168.10.0 0.0.0.255 any eq 443

5.3.4.2

Tipuri de ACL-uri
1. standard
2. extended
3. dinamice (lock-and-key): userii care vor sa treaca prin router sunt blocati pana cand se
conecteaza la router si se autentifica prin telnet

86
4. reflexive: permit traficul catre exterior, dar limiteaza traficul catre interior (doar sesiunile
deschise dinspre router)
5. time-based: ACL-uri care se activeaza in functie de ora sau zi a saptamanii

3. Lock-and-key este o functie de securitate care filtreaza traficul si care foloseste ACL-uri
dinamice (uneori referite ca lock-and-key ACL). Lock-and-key este valabil numai pentru IP.
ACL-urile dinamice sunt dependente de conectivitatea Telnet, autentificare (locala sau remote)
si ACL-uri extinse.

Configurarea ACL-urilor dinamice incepe cu configurarea ACL-urilor extinse care sa blocheze


traficul prin router. Userii care vor sa treaca prin router trebuie sa se autentifice folosind Telnet.
Dupa autentificare conexiunea Telnet este dropped si o singura linie este adaugata ACL-ului
extins.

ACL-uri dinamice se folosesc daca:


- vrei ca un anumit user / grup de useri sa acceseze un host din reteaua ta, prin conectare
remote via internet. Lock-and-key autentifica userii si le permite accesul pentru un timp limitat
prin firewall-ul tau.
- vrei ca mai multe host-uri din reteaua locala sa acceseze un host remote, protejat prin firewall

Beneficii:
- foloseste un mecanism challenge ca sa autentifice userii
- simplifica managementul in interretelele mari
- in multe cazuri reduce procesarea pe router (care este necesara pentru ACL-uri)
- reduce oportunitatile de a patrunde hackerii in reteaua ta
- crearea unui acces dinamic (liste de?) al userilor printr-un firewall, fara sa compromita alte
restrictii de securitate.

R1(config)#username student password 0 cisco


R1(config)#access-list 101 permit any host 10.2.2.2 eq telnet
R1(config)#access-list 101 dynamic testlist timeout 15 permit ip 192.168.10.0 0.0.0.255
192.168.30.0 0.0.0.255
R1(config)#interface s0/0/0
R1(config-if)#ip access-group 101 in
R1(config)#line vty 0 4
R1(config-line)#login local
R1(config-line)#autocommand access-enable host timeout 15

4. ACL-uri reflexive
Forteaza ca traficul reply de la o destinatie a unui pachet outbound recent sa ajunga numai la
sursa pachetului <=> din exterior pachetele ajung numai daca au fost cerute si numai la cine le-
a cerut.
Routerul examineaza pachetele si, cand este initiata o noua sesiune, adauga o intrare
temporara intr-o ACL reflexiva. Intrarea este stearsa cand se termina sesiunea.
ACL reflexive sunt o forma mai puternica de filtrare fata de ACL extinse cu established, pentru
ca se aplica si traficului UDP si ICMP, si pentru ca functioneaza si pentru aplicatiile care isi
modifica dinamic portul sursa pentru traficul unei sesiuni.
86
ACL-urile reflexive sunt nested intr-o IP ACL named extinsa; nu pot fi definite in ACL-urile
standard named sau numbered sau cu alt protocol ACL; ACL-urile reflexive pot fi folosite
impreuna cu alte ACL-uri extinse statice si ACL-uri standard.

Beneficii:
- ajuta la securizarea retelei impotriva hackerilor si pot fi incluse intr-un firewall
- furnizeaza oarecare securitate impotriva spoofing si DoS. E mult mai greu sa incerci sa tragi
cu ochiul in ele pentru ca mai multe criterii trebuie sa se potriveasca inainte ca un pachet sa
aiba voie sa treaca.
- sunt usor de folosit si, comparat cu ACL-urile de baza, ofera un control mai mare / bun asupra
caror pachete au voie sa intre in retea.

R1(config)# ip access-list extended OUTBOUND


R1(config-ext-nacl)#permit tcp 192.168.0.0 0.0.255.255 any reflect TCPTRAFFIC
R1(config-ext-nacl)#permit icmp 192.168.0.0 0.0.255.255 any reflect ICMPTRAFFIC
R1(config)#ip access-list extended INBOUD
R1(config-ext-nacl)#evaluate TCPTRAFFIC
R1(config-ext-nacl)#evaluate ICMPTRAFFIC
R1(config)#interface s0/1/0
R1(config-if)#ip access-group INBOUND in
R1(config-if)#ip access-group OUTBOUND out

5. time-based ACL
Sunt similare cu ACL-urile extinse. Permit accesul in anumite intervale de timp sau in anumite
zile ale saptamanii. Ca sa implementezi ACL-uri time-based trebuie sa definesti un interval de
timp, pe care il identifici cu un nume si te referi la el printr-o functie. Restrictiile de timp sunt
impuse functiei insasi.

Beneficii:
- ofera adminilor de retea mai mult control asupra permit / deny acces la resurse
- permite adminilor de retea sa controleze mesajele de log.

R1(config)#time-range EVERYOTHERDAY
R1(config-time-range)#periodic Monaday Wednesday Friday 8:00 to 17:00
R1(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq telnet time-range
EVERYOTHERDAY
R1(config-if)#ip access-group 101 out

Troubleshooting
- Comanda show access-list iti poate arata cele mai multe erori ale ACL-urilor.
- cand evaluezi un ACL, verifica regulile dupa care trebuie creat (ordinea in caare trebuie
introduse ACE-urile, etc)

tipuri de erori:
- ordinea ACE este gresita
- protocolul este gresit (tcp / udp)
86
- portul este gresit (e pusa restrictia pe portul sursa, nu pe cel destinatie)
- uiti sa treci o ACE de deny / permit
- pui ACL-ul pe alta directie (out in loc de in)

*************************
cap 6 - servicii pentru teleworkeri

Beneficiile muncii la distanta:


1. pentru companie:
- continuitate in operatii
- responsabilizare mai mare
- accesul la informatie securizat, reliable si gestionabil
- eficientizarea costului pentru integrarea de date, voce, video si aplicatii
- cresterea productivitatii, satisfactiei si retentiei angajatilor
2. sociale
- cresterea oportunitatilor de angajare pentru grupurile marginalizate
- mai putin stres cauzat de deplasare
3. de mediu:
- reducerea emisiilor de carbon, atat ale indivizilor, cat si ale organizatiilor

Solutia teleworkerilor:
Companiile au nevoie de retele sigure, reliable si eficiente dpv cost pentru a se conecta la
HQuri, branch-uri si furnizori. Cand incep sa foloseasca teleworkeri le cresc nevoile de
securitate, reliability si de eficienta a costurilor.

Sunt 3 tehnologii de acces remote care suporta teleworkerii:


- tehnologiile traditionale de WAN, de layer 2: Frame Relay, ATM, leased lines - securitatea
depinde de service provider
- IPsec VPN - ofera o modalitate de conexiune scalabila si flexibila
- conexiunile site-to-site ofera teleworkerilor o conexiune sigura, rapida si reliable. E cea mai
intalnita optiune pentru teleworkeri, impreuna cu accesul remote peste broadband pentru a
stabili o conexiune VPN sigura peste internetul public.

Termenul broadband defineste un sistem de comunicare avansat, capabil sa furnizeze servicii


de transmisie de viteza mare. Tehnologiile folosite sunt DSL, fibra optica, cablu coaxial, wireless
si satelit. Viteza de transmitere a datelor este de peste 200 kbps, cel putin intr-o directie
(downstream sau upstream).

Ca sa se conecteze la reteaua unei organizatii teleworkerii au nevoie de 2 seturi de


componente cheie:
- componente home office: laptop / PC, acces broadband (cablu sau DSL), router VPN sau
client VPN instalat pe PC. Aditional pot avea wireless Access Point, iar cand calatoresc,
teleworkerii au nevoie de conexiune la internet si client VPN.
- componente corporate: routere capabile VPN, concentratoare VPN, echipamente de securitate
multifunctionale, autentificare, device-uri pentru managementul centralizat al conexiunilor de
agregare si terminare VPN.

86
Cand ofer suport pentru VoIP si videoconferinte trebuie sa imi upgradez aceste componente
(routerele trebuie sa aiba functionalitate de QoS).
VPN = retea privata de date care foloseste infrastructura publica de telecomunicatii.

Conectarea teleworkerilor la WAN


Aplicatiile folosite de teleworkeri de obicei necesita o conexiune high-bandwidth.
Principalele metode de conectare pentru SOHO sunt:
- dial-up - cea mai slaba, e ieftina, foloseste liniile de telefon si un modem. Ca sa te conectezi la
ISP, suni la numarul de acces (de telefon). De regula e folosit cand nu ai optiuni mai bune.
- DSL - e mai scump si mai rapid ca dial-up. Foloseste liniile de telefon si un modem special, de
viteza mare, care separa semnalul DSL de semnalul de telefon, furnizeaza conexiune Ethernet
pt un host / LAN, conexiunea este permanenta (la dial-up nu e).
- cable modem - e oferit de CATV. Conexiunea este oferita prin cablul TV, iar un modem special
separa cele 2 tipuri de semnale si furnizeaza conexiune Ethernet pt un host / LAN.
- satelit - oferit de satellite service providers; computerul se conecteaza prin Ethernet la un
modem de satelit care transmite semnale radio la cel mai apropiat POP (point of presence) din
reteaua satelit.

Componentele unui cable system:


- antena site-ului
- sistemul de transport
- trunk cable
- amplificatoare
- cablu de distributie (feeder)

Cablul:
Spectrul electromagnetic acopera / include o arie larga de frecvente.
Frecventa este viteza cu care au loc ciclurile curentului (sau voltajului), calclate ca numarul de
unde pe secunda. Lungimea de unda este viteza de propagare a semnalului electromagnetic
impartita la frecventa in ciclii pe secunda.

Undele radio [RF] constituie o parte a spectrului electromagnetic, intre aproximativ 1 kHz si 1
tera herz.
Industria televiunii prin cablu foloseste o portiune a spectrului electromagnetic al undelor radio.
Prin cablu diferite frecvente transporta canalele TV (semnalele ??) si datele, iar la capatul
dinspre abonat sunt echipamente ca TVs, VCRs, etc, setate pe anumite frecvente ca sa permita
userilor sa vada anumite canale sau modemuri care permit userilor sa aiba acces la internet
de / cu viteza mare.

Frecventele:
-downstream (de la headend catre abonati) sunt intre 50 - 860 MHz
-upstream (invers) sunt intre 5 - 42 MHz

DOCSIS este un standard international care certifica echipamentele prin cablu (cable modems
si cable modem termination systems).

86
DOCSIS specifica cerintele pentru L1 (bandwidth si tehnica de modulare) si L2 (doar MAC:
metoda de acces).
*pentru MAC trebuie intelese tehnicile de separare a canalelor:
-TDMA le divide prin momentul de timp la care se transmite semnalul
-prin frecventa divide canalele - sunt transmise informatii diferite pe frecvente diferite
-CDMA (code division multiple access) foloseste tehnologia spread-spectrum impreuna cu o
schema de codare ca sa identifice fiecare transmitator.

Cable modem termination system [CMTS] se afla in headend.


Cable modem (simplu) se afla la abonat.

CMTS este de obicei un router cu o baza de date cu abonati (ca sa ofere servicii de internet
numai celor care platesc :D ).
Userii de pe un segment share-uiesc bandwidth-ul pentru upstream si downstream.

DSL = modalitate de a furniza conexiuni de viteza mare peste cablu de cupru.


Bell Labs a identificat ca conversatiile de voce peste local loop folosesc frecventa de la 300 Hz
la 3 kHz. Progresul tehnologic a permis DSL-ului sa foloseasca si frecventa de la 3 kHz la 1
MHz pentru serviciile de date peste liniile de cupru.

Asymmetric DSL [ADSL] foloseste frecventa de la 20 kHz la 1 MHz pentru a transmite semnal
de date abonatilor. Frecventa pana la 3 kHz este rezervata pentru POTS [plain old telephone
service].

ADSL ofera viteza mai mare pentru downstream fata de upstream.


SDSL [symmetric…] ofera viteze identice pentru up- si downstream.

Ratele de transfer depend de dimensiunea local loop si de tipul si conditiile de cablare. Pentru
servicii satisfacatoare bucla nu trebuie sa depaseasca 5,5 km (3,5 mile).

DSL conecteaza abonatii la central office.

Bucla locala este intre customer premise equipment si central office, iar in CO se afla DSL
access multiplexor [DSLAM]. DSLAM-ul concentreaza conexiunile de la mai multi abonati DSL.

Ca sa conectezi prin DSL un SOHO ai nevoie de:


- un transmitator - de obicei un modem, aflat la abonat. Mai nou modemul poate fi
integrat intr-un router care sa aiba mai multe porturi Ethernet.
- un DSLAM in CO, care concentreaza conexiunile DSL de la abonati pe / intr-un link de
viteza mare, al unui ISP, si mai departe la Internet.

*Fata de cablu, DSL-ul nu este mediu share-uit! Se simte incarcarea daca sunt multi useri si
datele lor incarca prea mult conexiunea de la DSLAM cu ISP-ul.

Avantajul ADSL este ca permite transportul simultan al semnalului de telefon cu cel de date,
cele 2 fiind separate prin splittere sau filtere (de fapt microfilters).
86
Un microfiltru este un filtru pasiv low-pass cu 2 capete, unul se conecteaza la telefon si celalalt
la prize de telefon. => nu mai este nevoie sa vina un tehnician + te poti conecta la orice prize
din locatie ca sa folosesti servicii de voce sau ADSL.

Splitterele POTS separa traficul DSL de traficul POTS. Sunt tot device-uri passive. Spliterele
sunt in CO si la abonat.

Network interface device [NID] = punctul de demarcare; pot pune aici un splitter, care sa separe
semnalul de telefon de cel de date. Daca vrei sa instalezi un splitter POTS in NID de obicei
trebuie sa chemi un technician.

Ca sa evite chemarea unui technician, multe SOHO folosesc microfiltrele, care au ca avantaj si
o mai mare conectivitate in locatie. (datorita splitterului de obicei ai un singur outlet [mufa?] in
locatie…).

Broadband wireless

Pana recent tehnologia wireless era mai greu de folosit pentru ca trebuia sa te afli in raza de
acoperire a unui router (maxim 100 picioare ? 50 metri). Odata cu aparitia hot spot-urilor
lucrurile s-au imbunatatit.

Au mai aparut si:


-municipal Wi-Fi
-WiMAX
-Satellite internet

Tipuri de retele wireless:


1. single router este pe principiul hub-and-spoke
2. mesh: un router si mai multe access point-uri; fiecare AP trebuie sa comunice cu alte 2
AP.
3. WiMAX: foloseste microunde; opereaza la viteze mari si peste distante mai mari decat
Wi-Fi. Are 2 componente:
a. Un turn care acopera o zona pana la 7,5 km2
b. Receptoare WiMAX in PC-uri ca sa poata receptiona semnalul.
Cu WiMAX poti sa acoperi zonele in care nu poti trage / folosi cablu.
4. Internet prin satelit: se foloseste acolo unde nu este disponibil internetul terestru sau in
situatiile in care este folosit in miscare (pe vase, avioane, etc). Te poti conecta la internet
prin satelit in 3 feluri:
a. One-way multicast e folosit pentru IP multicast de date, video sau audio; nu este
posibila interactivitatea full
b. One-way terrestrial return foloseste accesul traditional prin dialup pentru a
trimite si primi date printr-un modem
c. Two-way satellite: datele sunt trimise unui satelit care la randul lui le trimite unui
hub, de unde sunt trimise in internet. (un satelit poate deservi pana la 5.000 de
canale de comunicatie simultan).

86
Standarde wireless:
-802.11b >>> 11 Mbps >>> 2.4 GHz
-802.11g >>> 54 Mbps >>> 2.4 GHz
-802.11n >>> peste 54 Mbps, MIMO >>> 2.4 GHz
*802.16 (WiMAX) >>> pana la 70 Mbps, la 50 km >>> in frecvente de la 2 la 6 GHz

VPN si beneficiile VPN-urilor

Tehnologia VPN permite organizatiilor sa creeze retele private peste infrastructura internetului
public si sa isi pastreze confidentialitatea si securitatea.

Prin VPN-uri organizatiile isi creaza o infrastructura virtuala de WAN, care conecteaza branch-
uri, birouri de acasa, locatii ale partenerilor si telecomuterii remote, la toata sau o parte a retelei
corporate. Ca sa se pastreze confidentialitatea, traficul este criptat. VPN-urile creeaza tunele
prin care traficul este trimis criptat.

Beneficii:
-reducerea costurilor pentru ca se elimina liniile WAN dedicate si bancurile de modemuri.
-securitate, prin folosirea protocoalelor avansate de criptare si autentificare
-scalabilitate, organizatiile pot adauga noi utilizatori / folosesc volume mari din capacitate fara
sa adauge semnificativ infrastructura.
*cu VPN creste productivitatea si eficienta

Tipuri de VPN
6.3.2.1

Site-to-site VPN sunt folosite ca sa conecteze locatii disparate / imprastiate, in acelasi fel ca
Frame Relay sau leased line. De asemenea site-to-site VPNs suporta intranetul companiilor si
extraneturile partenerilor de afaceri.
Site-to-site VPNs sunt extensii ale retelei WAN clasice, conecteaza intregi retele una la alta.
In site-to-site VPNs hosturile trimit si primesc trafic TCP/IP printr-un VPN gateway, care poate fi
un router, firewall IPX sau ASA (adaptive security appliance). Perechile de VPN gateway in- si
decapsuleaza si cripteaza si de- traficul.

Remote access VPN este folosit de mobile users si telecommuters + extranet consumer-to
business. Intr-un remote access VPN fiecare host are un software de client VPN; cand hosturile
trimit trafic, software-ul de client VPN incapsuleaza si cripteaza traficul

Componentele VPN

Un VPN foloseste protocoale de tunelare criptografice ca sa ofere: protectie impotriva packet


sniffing, autentificarea emitatorului / sender si integritatea mesajului.

Componente ca sa poti face un VPN:


-o retea existenta
86
-o conexiune la internet
-gateway VPNs
-software pentru crearea si gestionarea VPN-urilor

Cheia eficacitatii VPN-urilor este securitatea. VPNs securizeaza datele prin criptare sau
incapsulare, iar cele mai multe prin ambele:
-incapsularea se mai numeste si tunneling, pentru ca incapsularea transmite datele transparent
de la retea la retea printr-o infrastructura de retea share-uita.
-criptarea codeaza datele intr-un format diferit, folosind o cheie secreta.

Caracteristicile VPNs securizate


VPN-urile folosesc tunelarea si tehnici avansate de securizare ca sa permita organizatiilor sa
stabileasca conexiuni securizate, end-to-end, (de retele private) peste internet.
Fundatia securitatii VPN este data de: confidentialitatea datelor, integritatea datelor si
autentificare.

Confidentialitatea datelor = protejeaza datele de eavesdropping / trasul cu ochiul. Se face printr-


un mecanism de criptare si incapsulare.
Integritatea datelor = datele nu sunt modificate sau falsificate. VPN-urile folosesc de obicei
hash-uri.
Autentificare = mesajul provine de la o sursa autorizata.
6.3.5.1

VPN tunneling
Incorporarea capabilitatilor de confidentialitate a datelor intr-un VPN asigura ca doar sursa si
destinatia intentionate / legitime sunt capabile sa interpreteze corect continutul mesajului
original.

Protocolul de tunneling (tunelare) este format din:


-protocolul de carrier: protocolul peste care informatia este transportata (Frame Relay, ATM,
MPLS)
-protocolul de incapsulare: protocolul care inveleste / wrap datele originale: GRE, IPSec, L2F,
PPTP, L2TP.
-protocolul passenger (de transport): IPv4, IPX, AppleTalk, IPv6

GRE = generic route encapsulation; este un protocol de tunelare dezvoltat de Cisco, care poate
sa incapsuleze o gama larga de pachete inauntrul unui tunel IP, creand o legatura virtuala P-to-
P intre 2 echipamente de retea.

Integritatea datelor in VPN:


Se realizeaza prin criptare si include un algoritm si o cheie. Cu cat cheia este mai lunga, cu atat
creste gradul de securitate.
Cei mai cunoscuti algoritmi de criptare:
-DES (data encryption standard), foloseste o cheie de criptare pe 56 de biti. E sistem de criptare
simetric.
-3DES, foloseste 3 chei diferite pentru criptare.

86
-AES (advanced encryption standard): e gandit sa inlocuiasca DES, e mai puternic decat DES
si mai eficient la calcule ca 3DES. Poate folosi chei de 3 lungimi: 128, 192 si 256 biti.
-RSA (rivest, shamir si adleman): e asimetric, foloseste chei de 512 si 1024 biti.

Criptarea simetrica:
-aceeasi cheie e fol la criptare si decriptare
-cheia e secreta
-de obicei se cripteaza continutul mesajului
Ex: DES, 3DES, AES

Criptarea asimetrica:
-o cheie publica
-se folosesc chei diferite pentru criptare si decriptare
-de obicei sunt folosite pentru certificate digitale si managementul cheilor ?
Ex: RSA
Hash = message digest = un numar generat dintr-un string de text. Formula de generare a
hash-ului face extrem de improbabil ca un alt text sa genereze aceeasi valoare pentru hash.

Hash-ul este trimis impreuna cu mesajul. La destinatie este recalculat hash-ul si se compara
valorile hash-ului primit cu cel calculat. Daca nu sunt indentice => mesajul a fost corupt / alterat.

VPN-urile folosesc un cod de autentificare a mesajului pentru a verifica integritatea si


autenticitatea mesajului, fara sa foloseasca mecanisme aditionale. Un HMAC (hash message
authentication code) este un algoritm de integritate a datelor care garanteaza integritatea
mesajelor. HMAC depinde de: puterea de criptare a functiei hash, dimensiunea si calitatea cheii
si de dimensiunea in biti a hash-ului rezultat.

Sunt 2 algoritmi HMAC cunoscuti:


-MD5: foloseste o cheie secreta pe 128 biti, pe care o combina cu continutul mesajului si rezulta
un hash de 128 biti, pe care il adauga la sfarsitul mesajului.
-Secure Hash Algorithm 1 [SHA-1]: foloseste o cheie secreta pe 160 de biti, pe care o combina
cu continutul mesajului si rezulta un hash de 160 biti, pe care il adauga la sfarsitul mesajului.

Autentificarea in VPN
Sunt 2 metode de autentificare a perechilor (peer):
-PSK [pre-shared key] e un algoritm de criptare care foloseste chei simetrice, introduse manual
la fiecare capat al tunelului. Cheile sunt combinate cu alte informatii ca sa creeze cheia de
autentificare.
-semnaturile RSA: folosesc schimbul de semnaturi digitale ca sa autentifice perechile. Device-ul
local deriva un hash si il cripteaza cu o cheie privata. Hashul criptat (semnatura digitala) este
atasat mesajului si trimis catre celalalt capat, unde hashul este decriptat folosind cheia publica a
capatului local. Daca hashul decriptat este identic cu hashul recalculat, semnatura este
autentificata.

Protocoalele de securitate IPSec

86
IPSec este o suita de protocoale de securizare a comunicatiilor IP care ofera criptare, integritate
si incapsulare. IPSec clarifica mesajele necesare sa securizeze comunicatiile VPN, dar se
bazeaza pe algoritmii existenti.

Sunt 2 protocoale principale in IPSec:


-Authentication header [AH]: este folosit cand confidentialitatea nu este ceruta sau permisa. AH
furnizeaza autentificarea datelor si integritatea pachetelor trimise intre 2 sisteme, dar nu face si
criptare. De unul singur, AH ofera o protectie slaba. Poate spune cine este originatorul
mesajului si daca mesajul a fost modificat in timpul transmiterii. *este folosit impreuna cu ESP.
-Encapsulating security payload [ESP]: furnizeaza confidentialitate si autenticitate prin criptarea
pachetului IP ( a datelor si a sursei si destinatiei pachetului). Criptarea ascunde datele si sursa
si destinatia. ESP autentifica pachetul IP din interior si headerul ESP. Autentificarea ofera
autentificarea originii datelor si integritatea datelor. Cu toate ca autentificarea si criptarea sunt
optionale, cel putin una din ele trebuie sa fie selectata / folosita.

IPSec framework
Algoritmi folositi:
-DES
-3DES
-MD5
-SHA-1
-DH permite ca 2 parti sa share-uiasca o cheie secreta pe care o folosesc algoritmii de criptare
si hash (DES, MD5, …) peste un canal de comunicare nesecurizat.

Framework:
-IPSec protocol: ESP, AH, ESP + AH
-criptare: DES, 3DES, AES
-autentificare: MD5, SHA
-DH: DH1, DH2, DH5

DH = Diffie-Hellman

************************************
cap 7 – servicii de adresare IP

-DHCP
-NAT
-RIPng

DHCP aloca adrese (de obicei private), iar NAT permite hosturilor cu adrese private sa poata sa
iasa in internet.

Prin folosirea NAT si a adreselor private s-a amanat momentul in care vom ramane fara adrese
IPv4 disponibile.

DHCP
86
Vine de la Dynamic Host Configuration Protocol aloca dinamic adrese IP si alte configuratii de
retea importante.

Echipamentele care trebuie sa aiba aceeasi adresa sunt configurate manual (routere,
servere…), workstations sunt configurate dinamic.
In general adminii prefera sa aiba un server de DHCP dedicat, dar si routerele Cisco pot sa
ofere servicii DHCP prin setul de feature-uri Easy IP.

Operarea DHCP-ului
DHCP are 3 mecanisme diferite de alocare a adreselor pentru flexibilitate cand aloci adrese IP:
-alocare manuala: adminul pre-aloca clientului o adresa IP, iar DHCP-ul doar i-o comunica
-alocare automata: DHCP aloca automat o adresa IP statica si permanenta unui device,
selectata dintr-un pool de adrese disponibile. Nu se face lease, iar adresa este alocata
permanent device-ului.
-alocare dinamica: DHCP aloca dinamic (sau inchiriaza) o adresa IP dintr-un pool de adrese
disponibile, pentru o perioada limitata de timp, decisa de server sau pana cand clientul ii spune
serverului ca nu ii mai trebuie adresa.

Va fi tratat modul de alocare dinamica a adresei IP.

DHCP-ul functioneaza intr-o relatie client-server. Cand PC-ul se conecteaza la serverul DHCP,
acesta ii aloca o adresa IP. PC-ul se conecteaza la retea cu IP-ul inchiriat pana cand timpul de
inchiriere expira. Periodic hostul trebuie sa ceara prelungirea perioadei de inchiriere.
Mecanismul de inchiriere asigura ca la mutarea hostului sau la pierderi de curent hostul nu
pastreaza o adresa de care nu are nevoie. Serverul DHCP ia adresele eliberate si le pune
inapoi in pool-ul de adrese disponibile.

Mesajele folosite:
-discover: este broadcast, DHCPDISCOVER, comunica cu serverul pe adresele de broadcast
de L2 si L3. Client ----> server
-offer: de obicei este unicast, trimite o adresa IP hostului. Serverul creaza o intrare ARP cu
MAC-ul hostului si adresa IP pe care i-o trimite. Server ---->client; uneori poate fi broadcast
-request: are 2 scopuri: originatorul lease-ului si innoirea si verificarea lease-ului. Originator =
hostul cere confirmarea pentru IP-ul propus de server; mai serveste si ca o notificare a
acceptarii IP-ului trimisa serverului care ii propune adresa si o refuzare a celorlalte IP-uri
propuse de celelalte servere. E broadcast. Client ----->server
-acknowledge: cand primeste mesajul request, serverul verifica informatiile de lease, creaza o
intrare in tabela ARP, si raspunde cu un mesaj DHCPACK. Cand primeste mesajul ACK,
clientul inregistreaza (log) informatia si face o cerere ARP pe IP-ul respectiv (daca ii raspunde
cineva inseamna ca acea adresa nu e valida, se repeta in retea…). Daca nu-i raspunde nimeni
la cererea ARP va considera adresa ca valida si o va folosi.

Timpul pentru care se inchiriaza o adresa este setat de administrator; cei mai multi ISP-isti si
marile retele folosesc setarile default de pana la 3 zile. La expirarea lease-ului clientii cer o alta
adresa, cu toate ca de cele mai multe ori o primesc pe aceeasi.

Daca mai multe servere raspund unui mesaj discover, clientul nu poate alege decat 1 adresa IP.
86
BOOTP vs DHCP

BOOTP este predecesorul DHCP-ului, cu care are cateva caracteristici comune. BOOTP este
un mod de a downloada adresa si configuratiile de bootare pentru statiile fara disc (hdd si fara
sistem de operare). Si DHCP si BOOTP folosesc sistemul client-server si transmisia UDP prin
porturile 67 si 68.

Diferente intre BOOTP si DHCP:


-BOOTP a fost proiectat pentru preconfigurarea manuala a informatiilor pentru hosturi (MAC-
urile hosturilor trebuie sa fie trecute intr-o baza de date si sa le corespunda adrese – deci nu
sunt dinamice  ), in timp ce DHCP aloca dinamic adrese.
-DHCP poate recupera o adresa si sa o inchirieze altui host.
-BOOTP ofera informatii limitate unui host (4 informatii – ip, gw, masca si DNS?), DHCP este
mai generos (peste 20 de informatii), ii poate da si alti parametrii de configurare (servere WINS
– windows name server), etc.

Formatul mesajului DHCP


Este compatibil cu cel al BOOTP, dar aduce in plus campul options.

Configurarea serverului DHCP


Routerele cisco pot functiona si ca servere DHCP .

Pasii pentru configurare sunt:


1. definesti range-ul de adrese care nu vor fi alocate (excluse)
2. creezi pool-ul de adrese alocabile
3. configurezi elementele specifice ale pool-ului

O buna practica este sa configurezi intai adresele excluse, ca acestea sa nu fie alocate de
DHCP inainte sa le poti defini ca excluse.
Comanda este:
R1(config)#ip dhcp excluded-addresses adresa_minima adresa_maxima
R1(config)#ip dhcp excluded-addresses 192.168.1.1 192.168.1.9

Configurarea pool-ului:
R1(config)#ip dhcp pool nume
R1(dhcp-config)#

R1(config)#ip dhcp pool LAN1

DHCP tasks
Trebuie definite reteaua si masca + gateway sau default router (maxim 8 adrese).
Optional mai poti defini serverul DNS, numele domeniului, perioada de inchiriere / lease,
servere WINS
R1(config)#ip dhcp excluded-addresses adresa_minima adresa_maxima
R1(config)#ip dhcp excluded-addresses 192.168.1.1 192.168.1.9
86
R1(config)#ip dhcp pool LAN1
R1(dhcp-config)#network 192.168.1.1 255.255.255.0
R1(dhcp-config)#default-router 192.168.1.1
R1(dhcp-config)#domain-name alexandru.com
R1(dhcp-config)#end

Dezactivarea serverului DHCP se face cu comanda:


R1(config)#no service dhcp

Serverul DHCP este activat by default, dar daca parametrii nu sunt configurati, nu se produce
nici un efect.

Verificarea DHCP-ului
R1# show ip dhcp binding >>> arata o lista a legaturilor adreselor IP cu MAC care au fost
oferite prin DHCP.
R1#show ip dhcp server statistics >>> contorizeaza numarul de mesaje de DHCP care au
fost trimise si primite.
R1#show ip dhcp pool

Ca sa configurezi o interfata a unui router ca client DHCP se da comanda:


R1(config-if)#ip address dhcp

DHCP relay (releu / transmitator)


Intr-o companie mare serverele sunt localizate intr-un server farm, nu in aceeasi retea /
subretea cu clientii. De aici rezulta o problema: mesajul DHCP discover este broadcast, iar
routerele nu il forwardeaza in mod normal, deci host-ul nu poate obtine adresa IP. Ca sa poata
obtine adresa IP, routerul trebuie sa fie configurat sa forwardeze mesajul broadcast.
R1(config)#int fa0/0
R1(config-if)#ip helper-address 192.168.0.5 >>> 192.168.0.5 este adresa serverului DHCP;
routerul poate primi mesaje de la oricare subneturi si le trimite serverului DHCP.

Implicit comanda ip helper-address forwardeaza 8 servicii UDP:


1. portul 37 – time
2. portul 49 – TACACS
3. portul 53 – DNS
4. portul 67 – DHCP/BOOTP client
5. portul 68 – DHCP/BOOTP server
6. portul 69 – TFTP
7. portul 137 – NetBIOS name service
8. portul 138 – NetBIOS datagram service

Ca sa specifici servicii aditionale foloseste comanda ip forward-protocol


7.1.7.1

Serverele WINS sunt de obicei in retele care suporta versiuni de windows mai vechi de windows
2000.

86
Troubleshooting
1. rezolva conflictele de adrese IP (R1#show ip dhcp conflict)
2. verifica conectivitatea fizica
3. testeaza conectivitatea fizica prin configurarea unei adrese statice pe host
4. verifica switch port configuration (STP portfast si celelalte comenzi)
5. verifica din ce subnet isi obtine clientul adresa IP de la serverul DHCP (vezi daca ii da o
adresa corecta)

Daca serverul este in alta subretea decat clientul, verifica existenta comenzii ip helper-address
pe interfata din LAN-ul clientului si ca refera adresa serverului DHCP.
Verifica sa nu fie dezactivat serviciul DHCP (no service dhcp).
Verifica daca routerul (configurat ca server dhcp) primeste DHCP requests (debug ip packet
detail ) pe o lista de acces pentru output-ul debugului; acest debug nu este intruziv pentru
router.
Verifica daca routerul primeste si forwardeaza requesturi dhcp (prin comanda debug ip dhcp
server packet).
R1#debug ip dhcp server events >> arata evenimentele de la server, ca alocarea adreselor
sau update-ul bazei de date + decodarea receptiei si transmisiei dhcp.

Network Address Translation [NAT] asigura conversia adreselor private in adrese publice.
Adresele private nu au voie sa iasa in internet, iar daca se intampla sa iasa, sunt aruncate de
routerele ISP-istului.
NAT-ul converteste adresele IP non-rutabile in adrese rutabile!
Alt beneficiu este ca ascunde adresele dintr-o retea de cei aflati in retele exterioare / din afara.

De obicei NAT-ul este activat pe un device aflat la marginea unei retele stub.

Inside local address= de obicei nu e alocata de ISP / RIR, este o adresa privata.
Inside global address = adresa publica valida data de NAT unei adrese inside local.
Outside global address = adresa IP a unui host din internet.
Outside local address = adresa IP locala a unui host dintr-o retea exterioara.

Routerul isi pastreaza o tabela NAT cu corespondente.

NAT-ul este de 2 tipuri:


-dinamic
-static

Dinamic = foloseste un pool de adrese publice si le aloca pe criteriul primul venit – primul servit.
Cand se termina adresele publice disponibile… surpriza.
Static = alocarea se face 1 la 1, hosturile din retea vor avea mereu aceeasi adresa publica. E
folosit pentru servere / hosturi care trebuie sa fie accesibile din internet.

O forma a NAT-ului dinamic este NAT overloading (se mai numeste si PAT – port address
translation), care mapeaza mai multe adrese private pe mai putine adrese publice, in acelasi
timp. Acest lucru este posibil pentru ca acest tip de NAT inregistreaza si numarul portului. Cand
86
un client deschide o sesiune, NAT-ul inregistreaza si portul aferent adresei sursa. Astfel, daca
mai multe hosturi din reteaua interna primesc pachete pe aceeasi adresa publica, NAT-ul le
diferentiaza dupa portul catre care sunt trimise pachetele (portul sursa initial devine acum port
destinatie, cand sunt trimise inapoi pachete de la destinatie). In plus se valideaza si ca
pachetele primite au fost cerute (deci un spor de securitate).

Numerele porturilor se scriu pe 16 biti, ceea ce corespunde unui numar teoretic de 65536 de
porturi pentru aceeasi adresa IP, dar real sunt doar in jur de 4000 de porturi corespunzatoare
unei adrese IP.
Comportamentul NAT overload este sa nu schimbe numarul portului daca nu este necesar.
Totusi daca 2-n hosturi trimit pachete cu aceleasi porturi, cand se face translatia, NAT modifica
numarul portului, dand numarul urmatorului port disponibil, din 3 range-uri: 0-511, 512-1023.,
1024-65535. Daca nu mai sunt porturi disponibile, NAT da urmatoarea adresa IP si reia
procesul de alocare a porturilor.

Diferentele dintre NAT si NAT overload:


-NAT e de obicei 1 la 1, overload-ul 1 la n
-NAT se refera la adresa sursa cand primeste pachete din exterior, overload-ul se refera la
perechea adresa sursa - port sursa (s.n. connection tracking).

Avantajele NAT-ului:
1. conserva adresele publice
2. mareste flexibilitatea conexiunilor la retelele publice
3. ofera consistenta pentru schema de adresare interna
4. creste securitatea retelei

Dezavantajele NAT-ului:
1. performanta este degradata
2. functionalitatile end-to-end sunt degradate
3. se pierde urmarirea (traceability) IP end-to-end
4. tunelarea devine mai complicata
5. initierea conexiunilor TCP poate fi distrusa
6. arhitectura trebuie sa fie refacuta pentru a trata schimbarile

Configurarea NAT-ului static


Trebuie definite adresele care vor fi translatate si configurat NAT pe interfetele
corespunzatoare.
R1(config)#ip nat inside source static local-ip global-ip
R1(config)#interface type number >>> int fa0/0
R1(config-if)#ip nat inside
R1(config-if)#exit
R1(config)#int fa0/1
R1(config-if)#ip nat outside

Exemplu:
R1(config)#ip nat inside static 192.168.10.254 209.165.200.254
R1(config)#int s0/0/0
86
R1(config-if)#ip nat inside
R1(config)#int s0/1/0
R1(config-if)#ip nat outside

Configurarea NAT-ului dinamic


Trebuie identificate interfetele inside si outside + ACL care spune ce adrese au voie sa fie
translatate (pool de adrese ).
Router(config)#ip nat pool name start-ip end-ip {netmask netmask|prefix-length prefix-length}
Router(config)#access-list access-list-number permit source [source-wildcard]
Router(config)#ip nat inside source list access-list-number pool name
Router(config)#interface type number
Router(config-if)#ip nat inside
Router(config)#interface type number
Router(config-if)#ip nat outside

Exemplu:
Router(config)#ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask
255.255.255.240
Router(config)#access-list 1 permit 192.168.0.0 0.0.255.255
Router(config)#ip nat inside source list 1 pool NAT-POOL1
Router(config)#int s0/1
Router(config-if)#ip nat inside
Router(config)#int s1/1
Router(config-if)#ip nat outside

Configurarea NAT overload


Este identica cu cea a NAT-ului, dinamic, cu exceptia folosirii cuvantului interface in loc de
pool-ul de adrese. Overload ii spune sa foloseasca NAT overload :D .

1. o singura adresa publica


Router(config)#access-list acl-number permit source [source-wildcard]
Router(config)#ip nat inside source list acl-number interface interface overload
Router(config)#interface type number
Router(config-if)#ip nat inside
Router(config-if)#interface type number
Router(config-if)#ip nat outside

Exemplu:
access-list 1 permit 192.168.0.0 0.0.255.255
ip nat inside source list 1 interface serial 0/1/0 overload
int s0/1
ip nat inside
int s1/1
ip nat outside

2. mai multe adrese publice


86
Router(config)#access-list acl-number permit source [source-wildcard]
Router(config)#ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length}
Router {config}#ip nat inside source list acl-number pool name overload.
Router(config)#interface type number
Router(config-if)#ip nat inside
Router(config-if)#interface type number
Router(config-if)#ip nat outside

Exemplu:
access-list 1 permit 192.168.0.0 0.0.255.255
ip nat pool NAT-POOL2 209.165.200.226 209.165.200.240 netmask 255.255.255.240
ip nat inside source list 1 pool NAT-POOL2 overload
int s0/1
ip nat inside
int s1/1
ip nat outside

Port forwarding
= deschiderea porturilor / trimiterea pachetelor care vin pe un anumit port catre o adresa IP.
S..n. si tunelare. Peer-to-peer functioneaza numai dinspre interior spre exterior. Ca masura de
securitate routerele broadband nu permit requesturile retelelor externe sa fie forwardate unui
host intern.

Troubleshooting:
R1#show ip nat translations {verbose} >>> dar inainte trebuie sa stergi orice intrare de
translatie dinamica, pentru ca acestea se elimina (time-out) dupa o perioada de inactivitate;
verbose adauga informatii suplimentare.
R1#show ip nat translations {statistics} >>> arata informatii despre numarul total de
translatii, parametrii de configurare NAT, cate adrese sunt in pool, cate adrese au fost alocate.
R1#show run >>> si cauti info despre NAT, acl si pool

Intrarile despre translatiile NAT expira default dupa 24 ore in lipsa comenzii ip nat translation
timeout nrSecunde.

R2#clear ip nat translation *


R2#show ip nat translations

clear ip nat translation inside global-ip local-ip [outside local-ip global-ip] >>> sterge doar
o intrare dinamica de translatie, inside sau inside si outside.

clear ip nat translation protocol inside global-ip global-port local-ip local-port [outside
local-ip local-port global-ip global-port] >>> sterge o intrare de translatie dinamica extinsa

Pasi de urmat pentru troubleshooting:


1. defineste ce trebuie sa obtii prin NAT si reanalizeaza configuratia
2. verifica daca in tabela de translatii sunt translatiile corecte (show ip nat translations)
86
3. verifica daca NAT-ul opereaza asa cum te astepti, folosind comenzile debug si clear; vezi
daca intrarile dinamice sunt recreate dupa ce le stergi cu clear.
4. evalueaza in detaliu ce se intampla cu pachetul si verifica daca routerele au informatia de
rutare corecta.

debug ip nat {details} ofera informatii despre fiecare pachet translatat de catre router +
informatii despre erori / exceptii (ex: nu poate aloca o adresa publica).

In debug, urmatoarele semne au semnificatia:


* arata ca translatia are loc in fast-switched. Primul pachet este process-switched (mai lent),
restul sunt fast-switched, cu conditia sa existe o intrare in cache.
s = sursa
a.b.c.d-->w.x.y.z arata ca adresa a.b.c.d a fost translatata in w.x.y.z
d = destinatia
[xxxx] arata numarul de identificare al IP-ului.

IPv6

De ce este necesar IPv6?


1. creste populatia internetului si userii stau mai mult on line
2. mobile users: PDA, tablet PC, notepad, barcode reader, telefoane mobile, etc
3. transportation (mijloace de transport) in care se folosesc conexiuni la internet
4. consumer electronics (DVR – digital video recording, etc)

IPv6 satisface complexitatea din ce in ce mai mare a adresarii ierarhice pe care IPv4 nu o mai
poate acoperi.

O adresa IPv6 este un numar pe 128 biti => numarul total de adrese este 2 128. (3.4 x 1039)
Numele / denumirea IPv5 a fost folosit(a) ca sa defineasca un protocol de streaming real time
experimental; ca sa nu se creeze confuzii, s-a decis ca respectivul nume sa nu fie folosit.

In esenta IPv6 a aparut ca urmare a epuizarii adreselor IPv4. In plus in IPv6 au fost incluse noi
feature-uri si imbunatatiri (lessons learned).

IPv6 are un header mai simplificat, functionalitati de securitate built-in, optiune de


autoconfigurare.

=> imbunatatirile aduse de IPv6 sunt:


1. imbunatatirea adresarii IP
2. header simplificat
3. mobilitate si securitate
4. usurarea tranzitiei

1. imbunatatirea adresarii IP presupune:


- imbunatatirea accesibilitatii si flexibilitatii globale
- agregarea mai buna a prefixelor IP din tabela de rutare
86
- multihome (mai multe adrese pe aceeasi interfata fizica a unui host)
- autoconfigurarea (care include adresa de layer data link in spatiul de adresa)
- mai multe optiuni de plug-and-play pentru mai multe device-uri
- end-to-end fara NAT
- mecanism simplificat pentru renumerotarea si modificarea adreselor

2. simplificarea headerului:
Dispar mai multe campuri pe care IPv4 le avea, 4 campuri sunt redenumite, sunt pastrate doar
3 campuri nemodificate (headerul IPv6 are doar 8 campuri si 40 de octeti). Aceasta simplitate
duce la:
- eficienta imbunatatita pentru rutare, scalabilitate pentru performanta si rata de forwardare
- nu exista broadcast => nu exista broadcast storm
- nu exista checksum
- extension header
- flow labels pt procesarea pre-flow ca sa nu mai fie nevoie ca pachetul de la L4 sa fie identificat
cu diferite fluxuri de trafic.

3. Imbunatatirea mobilitatii si securitatii:


- conform cu RFC-ul pentru mobile-IP
- IPsec este nativ (obligatoriu) in IPv6

4. usurarea tranzitiei cu mecanisme ca:


- dual stack (si adrese IPv4 si IPv6)
- 6to4 si tunelare manuala
- translatii: NAT-PT, ISATAP, tunelare si tunelare Teredo (last resort method).

Sfatul pentru tranzitii este „dual stack where you can, tunneling where you must!”

Reprezentarea adreselor IPv6


Adresele IPv6 sunt 8 campuri de 16 biti separate prin : (doua puncte) si scrise in hexazecimal.
Reguli pentru scrierea mai scurta a adreselor IPv6:
1. 0-urile de la inceputul campurilor sunt optionale; 0000 se poate scrie ca 0
2. Mai multe campuri de 0000 pot fi prescurtate prin ::
3. :: este o adresa nespecificata (formata numai din 0-uri)

Cand calculatorul interpreteaza o adresa IPv6, pune 0-urile lipsa :j

Adresele IPv6 global unicast:


Sunt de obicei formate dintr-un prefix de 48 biti si din 16 biti de subnet – rezulta 65535 de
retele.
/23 = Registry prefix
/32 = ISP prefix
/48 = site prefix
/64 = subnet prefix
restul = interface ID (e pe 64 de biti)!

86
Adresele unicast pe care IANA le aloca in prezent sunt din range-ul care incepe cu valoarea
binara 001 (2000::/3), care echivaleaza cu 1/8 din totalul adreselor IPv6. IANA aloca spatiul de
adrese 2001::/16 catre cei 5 RIR registries (ARIN, RIPE, APNIC, LACNIC, AfriNIC).

Adrese rezervate
Reprezinta 1/256 din totalul adreselor IPv6. Nu specifica din ce bloc de adrese…

Adrese private
Similar cu IPv4, doar ca in acest caz incep cu FE{8-F} (valori de la 8 la F). Sunt de 2 feluri:
- adrese site-local – ar trebui sa acopere adresarea dintr-un site sau organizatie, dar din 2003
au devenit criticate si problematice in RFC 3879. Incep in hexa cu valoarea FEC, FED, FEE,
FEF.
- adrese link-local – se refera doar la o anumita legatura fizica; routerele nu forwardeaza
pachete cu adrese link-local, nici macar in cadrul organizatiei. Sunt folosite doar pentru
comunicarea locala, cum ar fi configurarea automata a adreselor, descoperirea vecinilor si
descoperirea routerului. Multe protocoale IPv6 folosesc adrese link-local. Au valorile FE8, FE9,
FEA, FEB.

Adresa de loopback
0:0:0:0:0:0:0:1 sau ::1

Unspecified address
Este folosita de host cand nu are adresa / nu-si cunoaste adresa, este 0:0:0:0:0:0:0:0 (mai
poate fi scrisa si :: )

Managementul adreselor IPv6


ID-ul interfetei este de 64 biti si poate fi derivat dinamic din adresa de L2 (MAC).

Adresele IPv6 pot fi alocate static sau dinamic:


Static:
- manual
- prin EUI-64
Dinamic:
- stateless autoconfiguration
- DHCPv6 (stateful)

Configurarea manuala se face prin comanda:


R1(config-if) #ipv6 address 2001:DB8:2222:7272::72/64

Configurarea prin EUI-64:


R1(config-if)#ipv6 address 2001:DB8:2222:7272::/64 eui-64
Adresa MAC are 48 de biti. La jumatatea adresei MAC se introduc 16 biti sub forma hexa, cu
valoarea FFFE.

Stateless autoconfiguration:
Nu este specificat cum, doar ca configureaza automat device-urile, si non-PC, ca sa fie plug-
and-play - sa se conecteze la retea.
86
Configurarea DHCPv6 (stateful):
Permite serverului DHCP sa trimita configurari IPv6 nodurilor IPv6. Poate fi folosita in paralel cu
configurarea stateless autoconfiguration.

Strategii de tranzitie la IPv6


Nu se va trece simultan la IPv6, ceea ce inseamna ca sunt necesare mecanisme de tranzitie si
mecanisme de comunicare IPv6 cu IPv4.

Dual stack = 1 nod are implementat si este conectat simultan in retele IPv4 si IPv6 <=>
routerele si switchurile suporta ambele protocoale, dar IPv6 este protocolul preferat.

Tunelarea este a 2-a tehnica de tranzitie majora, are mai multe variante:
1. tunelare manuala IPv6-over-IPv4 = un pachet IPv6 este incapsulat intr-un pachet IPv4, dar
necesita dual stack
2. tunelarea dinamica 6to4 = conecteaza automat insulele IPv6 prin retele IPv4, de obicei peste
internet. Aloca dinamic un prefix IPv6 unic si valid fiecarei insule de IPv6, ceea ce permite un
deploy rapid al IPv6 in retelele corporate, fara sa mai fie nevoie de obtinerea adreselor IPv6 de
la ISP-isti sau registries.
Alte tehnici de tunelare mai putin populare:
3. tunelare Intra-Site Automatic Tunnel Address Protocol [ISATAP] = mecanism care creeaza
automat tunele si care foloseste reteaua IPv4 ca link layer pentru IPv6 (se creeaza o retea IPv6
folosind infrastructura IPv4).
4. tunelarea Teredo = tunelare automata host-to-host; este trimis traficul IPv6 unicast cand
hosturile dual-stack se afla in spatele unuia sau mai multor NAT-uri IPv4.
5. NAT protocol translation [NAT-PT] = conversie din IPv6 in IPv4. La acest moment este cea
mai putin preferata metoda si ar trebui folosita ca ultima solutie (last resort).

De la IOS-ul 12.2(2)T este suportat protocolul IPv6.


Comanda de activare a IPv6 este
R1(config)# ipv6 unicast-routing

La tunelarea IPv6, cand pachetul IPv6 este incapsulat intr-un pachet IPv4, campul protocol type
va avea valoarea 41, iar pachetul va contine si headerul IPv4 de 20 octeti si fara options =>
MTU scade cu 20 de octeti + este greu de facut troubleshooting. Necesita dual stack.
*reprezinta o solutie intermediara si scopul final este tranzitia la arhitectura nativa IPv6.

Configurarea manuala a tunelelor IPv6: este echivalent cu o legatura permanenta intre 2


domenii IPv6 peste o infrastructura IPv4. Este folosita pentru conexiuni stabile care au nevoie
de securitate normala, intre 2 edge routere sau intre un edge router si un end system sau
pentru conectarea remote a retelelor IPv6. End routerele trebuie sa fie dual stack; configuratia
nu se schimba dinamic.
Administratorul configureaza static interfetele tunelului cu adrese IPv6 si configureaza manual
adrese IPv4 statice pentru sursa si destinatia tunelului. Evident, cele 2 capete ale tunelului
trebuie sa fie dual stacked.

Configuratii de rutare IPv6


86
Ca la CIDR-ul [classless interdomain routing] de la IPv4, este preferat longest match / cel mai
mare prefix. Pentru ca spatiul de adrese este mai mare, este suficient un singur prefix pentru
intreaga retea a unei organizatii.
+ ISP-istii agrega toate prefixele clientilor lor intr-un singur prefix pe care il anunta in internet.

Conceptual un router are 3 zone functionale:


1. control plane – care gestioneaza interactiunea routerului cu celelalte elemente ale retelei,
care ii da routerului informatiile necesare pentru decizii si controleaza operatiile de rutare. In
acest plan sunt rulate procese ca protocoalele de rutare si managementul retelei.
2. data plane – gestioneaza forwardarea pachetelor de la o interfata (fizica sau logica) la alta.
Implica diferite mecanisme de switch-are ca process switch sau Cisco Express Forwarding
[CEF] in cazul routerelor cu IOS cisco.
3. enhanced services – includ features avansate ca: ACE (packet filtering), QoS, criptare,
translatie, accounting.

In cazul IPv6 sunt cateva provocari noi ale acestor zone functionale:
Control plane:
1. dimensiunea adresei IPv6, care nu mai poate fi procesata intr-un singur ciclu de procesare ci
din 2 cicluri de 64 de biti (adresa IPv6 are 128 de biti).
2. multiple adrese IPv6 ale nodurilor duc la un consum mai mare de memorie cache pentru
Neighbor Discovery
3. protocoale de rutare IPv6, care au update-urile de rutare mai mari
4. dimensiunea tabelei de rutare – este mai mare si necesita mai multa memorie.

Data plane:
1. parsarea extensiilor headerelor IPv6 – daca se folosesc ACL-uri pt pachete cu si fara header
extins, posibil ca cele cu header extins sa nu poata fi procesat in hardware (sa depaseasca
dimensiunea fixa a registrului hardware al routerului) si sa fie aruncate.
2. cautarea adresei IPv6 ca sa determine interfata de iesire. Se folosesc ASIC-uri, dar iar apare
problema de procesare si pachetele pot fi aruncate.

Protocolul de rutare RIPng


- este un protocol de rutare distance vector, cu o acoperire de 15 hopuri, foloseste split horizon
si poison reverse
- este bazat pe RIPv2
- foloseste adrese IPv6 si prefixe IPv6
- update-urile de rutare sunt trimise pe adresa de multicast FF02::9
- foloseste IPv6 pentru transport
- se numeste RIPng
- trimite update-urile pe portul UDP 521
- e suportat de la IOS-ul 12.2(2)T

Activarea IPv6
RouterX(config)#ipv6 unicast-routing
RouterX(config-if)#ipv6 address ipv6prefix/prefix-length eui-64

Rezolutia numelui in IPv6:


86
1. definesti un nume static pentru o adresa IPv6 prin comanda:
RouterX(config)#ipv6 host name [port] ipv6addr [{ipv6addr} ...] >>> pana la 6 adrese
RouterX(config)#ipv6 host router1 3ffe:b00:ffff:b::1
2. specifici un server DNS prin comanda:
RouterX(config)#ip name-server address
RouterX(config)#ip name-server 3ffe:b00:ffff:1::10

Configurarea RIPng
1. activezi IPv6 prin comanda ipv6 unicast-routing
2. RouterX(config)#ipv6 router rip name
3. RouterX(config-if)#ipv6 rip name enable

Show-uri:
show ipv6 interface {brief}
show ipv6 neighbors
show ipv6 protocols
show ipv6 rip
show ipv6 route {summary}
show ipv6 routers
show ipv6 static
show ipv6 static adresaIPv6
show ipv6 static interface s0/0/0 >>> s0/0/0 este interfata de iesire (outgoing)
show ipv6 traffic

7.4.1.1

*********************
cap 8 – network troubleshooting

Documentarea retelei:
Ca sa poti pune diagnosticul corect si sa rezolvi problemele unei retele, trebuie sa stii cum a
fost proiectata (design) si care este performanta asteptata de la reteaua respectiva. Aceste
informatii formeaza network baseline si sunt documentate (in tabele de configuratie si topologii
de retea).

Informatiile de documentare a retelei trebuie tinute intr-un singur loc, fie pe hartie, fie pe un site
securizat, si ar trebui sa contina urmatoarele:
1. tabelul de configurare a retelei
2. tabelul de configurare a end-systems
3. diagrama de topologie a retelei

Tabelul de configurare a retelei: contine inregistrari corecte, actualizate, despre hardware-ul si


software-ul folosit in retea. De aici ar trebui sa obtin toate informatiile necesare sa identific si sa
corectez erorile retelei.
Pentru componentele retelei ar trebui sa poti afla:
- tipul si modelul device-ului
- IOS-ul
86
- hostname
- locatia (cladire, etaj, camera, rack, panel)
- daca e device modular, ce module si in ce sloturi sunt instalate
- adresa de L2 (MAC…)
- adresa de L3 (IP)
- orice alte informatii importante despre starea fizica a device-ului

Tabelul de configurare end-system: contine inregistrari despre elementele hardware si software


din end-systems.
Ar trebui sa contina:
- numele sau scopul device-ului
- sistemul de operare si versiunea
- IP, masca, GW, DNS, WINS
- orice aplicatie care necesita high-bandwidth

Diagrama de topologie a retelei: este o reprezentare grafica a retelei, care arata cum sunt
conectate echipamentele si care este arhitectura logica a retelei.
Ar trebui sa contina cel putin:
- simboluri pentru toate echipamentele si cum sunt conectate
- tipul si numarul interfetelor
- IP
- masca

Documentarea retelei se face prin:


- ping
- telnet
- show ip interface brief
- show ip route
- show cdp neighbor detail

Network baseline:
E important ca sa ai la ce sa te raportezi cand verifici o retea / ca sa stii cum este fata de o
referinta. Vei putea sa raspunzi la intrebari ca:
- care este functionarea normala a retelei
- unde sunt zonele sub- si suprautilizate
- unde apar cele mai multe erori
- ce praguri trebuie setate pentru device-urile care trebuie monitorizate
- este reteaua capabila sa furnizeze ce s-a dorit de la ea

Planificarea primei baseline:


- decizi ce tipuri de date colectezi (mergi de la simplu spre complex)
- identifici device-urile si porturile de interes (echipamente de retea, servere, key users, altele)
- determini durata pentru analiza (intre 2 si 4 saptamani este recomandarea Cisco)

Masurarea performantei refelei:


- automatizat, cu softuri dedicate. Ex: Fluke Network SuperAgent
- manual, dar nu e recomandat, pentru ca necesita mult timp
86
Abordari pentru troubleshooting:
1. caveman / brute force approach: inlocuieste un card cu altul, firele intre ele, etc, pana cand
miraculos va merge reteaua. Nu e viabila metoda, nu stie de ce s-a reparat si cand o sa pice iar
reteaua.
2. rocket scientist: face prea multa analiza si identifica metodic toate cauzele posibile. Pierde
prea mult timp, nu e viabila metoda.
3. abordarea sistematica: combinarea celorlalte 2 metode, priveste reteaua ca un intreg

Depanarea / troubleshooting la nivelul stivei OSI:


Layerele 5-7 au de-a face cu aplicatiile si sunt implementate de obicei numai in software.
Layerele 1-4 gestioneaza problemele de transport de date; de obicei layerele 3-4 sunt
implementate doar in software; layerele 1 si 2 sunt implementate si in software, si in hardware.

Nivelele la care functioneaza echipamentele de retea:


L1-L4: routere, firewall-uri, multilayer switch
L1-L2: switch
L1: hub
L1-L7: end system

Procedura pentru troubleshooting


1. culegi informatii / gather symptoms
2. izolezi problema
3. corectezi problema

Metode de troubleshooting:
1. botton up – cea mai indicata cand problema e de natura fizica. Dezavantajul este ca trebuie
sa verifici fiecare device si interfata de retea pana cand gasesti cauza si ca trebuie sa
documentezi fiecare concluzie si posibilitate, deci va trebui sa faci multa hartogaraie.
2. top down – de folosit daca problema este simpla sau daca suspectezi ca problema e
cauzata de software. Dezavantajul este ca trebuie sa verifici fiecare aplicatie de retea, pana
gasesti problema + faci multa hartogaraie
3. divide and conquer – alegi un layer si testezi in ambele directii.

Culegerea de informatii:
1. analizezi simptoamele existente
2. determini ownership (daca problema este in sistemul tau sau este in afara controlului tau /
sistemului autonom)
3. limiteaza aria de cuprindere – vezi la ce zona a retelei este problema (distribution, access,
core)
4. culege (aduna) simptoame de la device-urile suspecte
5. documenteaza simptoamele

Comenzi pe care le poti da:


ping
telnet
traceroute
86
show ip interface brief
show ip route
show running-config interface
[no] debug ?
show protocols

8.2.6.1

Troubleshooting tools
Sunt software si hardware.
Software:
- network management system tools [NMS] – includ tool-uri de monitorizare, configurare si fault
management. Exemple: CiscoView, HP Openview, Solar Winds, What's Up Gold.
- knowledge base – on line, completate cu motoare de cautare (google,…)
- baseling tools – te ajuta sa faci diagrama retelei, sa tii documentatia la zi despre
componentele soft si hard ale retelei, sa vezi eficienta folosirii bandwidth-ului. Exemple:
SolarWinds LAN surveyor, CyberGauge
- protocol analyzer – (wireshark); captureaza frame-uri, le decodeaza la nivel de layer si
afiseaza informatia intr-un mod usor de urmarit.

Hardware:
- network analysis module [NAM] e un modul care poate fi atasat switchurilor din seria Catalyst
6500 sau routerelor din seria 7600 si care ofera grafic informatii despre traficul din retea.
- digital multimeters [DMM] masoara voltajul, curentul si rezistenta. Sunt folosite sa verifice daca
echipamentele primesc (suficient) curent.
- testere de cablu – testeaza diferite tipuri de cabluri de date, detecteaza cablurile stricate,
cross-over wirings, cabluri prost cablate (improperly paired). Cele mai scumpe sunt TDR [time-
domain reflectometer]; cele pentru fibra optica sunt optical TDR [oTDR].
- analizoare de cablu: sunt device-uri multifunctionale, folosite pentru testarea si certificarea
diferitelor tipuri de cablu, conform cu diferite servicii si standarde.
- portable network analyzers: sunt folosite pentru troubleshooting la nivel de switch sau vlan.

8.3.1.1

Tehnologiile de WAN functioneaza la layerele 1, 2 si 3.

WAN Design – pasi:

1. localizezi LAN-urile pe care vrei sa le conectezi


2. analizezi traficul – vezi ce se trimite, de unde se trimite, unde ajunge
3. planifica topologia (full mesh, star, partial mesh, ierarhic)
4. estimeaza necesarul de bandwidth
5. alege tehnologia WAN pe care o vei folosi
6. evalueaza costurile

Acesti pasi nu sunt liniari, pana cand se ia o decizie pot fi mai multe iteratii.

86
ISDN, DSL, Frame Relay, leased line sunt folosite ca sa conecteze branchuri individuale la o
arie. Frame Relay, ATM si leased line sunt folosite sa conecteze ariile externe la backbone.
ATM si leased line formeaza backbone-ul WAN.

Multe WAN-uri ale companiilor se conecteaza la internet => parti ale traficului pot sa treaca
peste internet. Sunt mai multe variante posibile: fiecare retea a companiei se conecteaza la un
ISP diferit, fie toate se conecteaza la un ISP, dintr-o conexiune core.

Probleme comune ale implementarilor WAN

- Infrastructura: privata sau publica?


- Latenta
- Confidentialitatea (informatii sensibile)
- Securitatea (cum protejez datele)
- QoS
- Reliability

Cum faci troubleshooting din perspectiva unui ISP:


Pornesti la nivel de PC al userului, apoi succesiv LAN-ul userului, conexiunea de la edge router
al clientului la edge router al ISP-ului, backbone-ul ISP-ului, si termini cu accesul la server(?).

Interpretarea diagramei retelei pentru identificarea problemelor


Ca sa poti sa faci troubleshooting unei retele, trebuie sa ai acces la diagrama acesteia, ceea ce
include topologia fizica si topologia logica.

Diagrama fizica: arata layoutul fizic, modul in care sunt conectate deviceurile la retea. Contine:
- tipul device-ului
- modelul si producatorul
- versiunea sistemului de operare
- tipul si identificatorul cablului
- specificatiile cablului
- tipul de conector
- endpoint-urile de cablare

Diagrama logica: arata modul in care sunt transferate datele in retea. Sunt desenate
(reprezentate prin simboluri) routere, servere, huburi, hosturi, VPN concentratoare, device-uri
de securitate. Contine:
- identificatorul device-ului
- adresa IP si masca
- identificatorul interfetei
- tipul conexiunii
- DLCI pentru circuitele virtuale
- VPN-urile site-to-site
- protocoalele de rutare
- rutele statice
- protocoalele data-link
- tehnologiile WAN folosite
86
Simptomele problemelor de la layerul fizic
Este singurul layer care are elemente tangibile. Daca reteaua este afectata la nivel fizic, va
afecta toate layerele.
Simptoame comune la layerul fizic:
- performante sub baseline: cele mai comune cauze sunt: servere suprasolicitate sau
subalimentate cu curent, configuratii nepotrivite ale switcurilor / routerelor, congestii de trafic pe
linkuri de capacitate mica, pierderea cronica a frame-urilor
- pierderea conectivitatii: daca e permanent = a picat device-ul sau cablul; daca e intermitent =
conexiunea e oxidata.
- numar mare de coliziuni: de obicei numarul mare de coliziuni poate fi urmarit si identificata
sursa (care e un device); coliziunile pot fi generate de un cablu, de huburi, de linkuri expuse la
zgomote / interferente electrice externe. Media coliziunilor trebuie sa fie sub 5%.
- botleneck sau congestii in retea: daca pica un router, interfata sau cablu, protocoalele de
rutare pot redirectiona traficul catre alte routere care nu au fost gandite sa sustina si incarcarea
suplimentara => congestii sau bottleneck-uri
- rata mare de utilizare a procesorului: poate duce la shut down sau picarea device-ului
- mesaje de eroare de la consola

Cauzele problemelor de layer fizic


- legate de alimentarea cu curent electric
- erori hardware (se strica placa de retea, are drivere proaste, cabluri proaste, impamantare);
jabber = placa trimite date random, fara sens
- cabluri cu probleme: cabluri deconectate, mufe stricate, cablaje gresite (cross in loc de
straight), cablu prea lung (Ethernet). a) Fibra optica poate face probleme daca sunt murdari
conectorii, bucle prea stranse, conectorii Rx/Tx inversati. b)Problemele cu cablul coaxial apar la
conectori, daca conductorul central al capatului cablului coaxial nu este drept si nu are lungimea
corecta.
- atenuarea: apare cand amplitudinea bitilor se reduce in timp ce acestia traverseaza un cablu si
destinatarul nu mai poate diferentia un stream de celalalt. Apare daca lungimea cablului este
prea mare, daca mufele sunt facute prost sau nu sunt bagate complet in NIC-uri sau daca
contactele sunt oxidate.
- zgomote / interferente: sunt de 4 tipuri: impulse noise (cauzat de fluctuatii de voltaj sau varfuri
de curent), random noise (radio FM, statii de politie, etc…), alien crosstalk (interferente induse
de alte cabluri de pe aceeasi cale), near end crosstalk ([NEXT], zgomot care este generat de
crosstalk altor cabluri adiacente sau zgomot de la cablurile electrice apropiate sau orice alt
transmitator mai puternic decat un telefon mobil)
- erori de configurare a interfetei: seriala definita ca asincrona in loc de sincrona, clock rate
gresit, clock source gresit, interfata neactivata
- depasirea limitelor de proiectare: device-ul este utilizat constant la o rata mai ridicata decat
este gandit sa functioneze.
- supraincarcarea procesorului / CPU overload: la routere poate fi cauzat de trafic prea mare.
Daca o interfata este suprasolicitata mereu poti redirectiona traficul sau upgrada hardware-ul.

Izolarea problemelor la layerul fizic


- verifici conectori sau cabluri stricate
- verifica daca cablurile sunt corect mufate (cross, straight)
86
- verifica daca device-urile sunt corect conectate (cablurile sa intre in porturile corecte)
- verifica daca interfetele sunt corect configurate
- verifica statisticile operationale si rata erorilor (cu comanda show)

Troubleshooting la layerul Data Link

Simptoame:
- nu am conectivitate sau functioneaza prost de la layerul 2 in sus
- reteaua functioneaza sub nivelul de performanta al baseline-ului. Are 2 variante: a) frame-urile
sunt transmise pe o cale ilogica, dar pana la urma ajung la destinatie (cauza posibila: STP prost
gandit), b) frame-urile sunt aruncate
- broadcast excesiv – in general este cauzat de a) aplicatii prost programate sau configurate, b)
domenii de broadcast mari, c) probleme de retea ca bucle STP sau rute care flapeaza.
- mesaje de la consola (de obicei line protocol down)

Cauzele problemelor de la layerul Data Link


- erori de incapsulare: device-urile conectate sunt configurate cu (protocoale? de) incapsulare
diferite
- erori de mapare a adreselor
- framing errors: pot fi cauzate de: cablu serial cu multe interferente, cablu prea lung sau
incorect shielded, configurare incorecta a ceasului unui CSU.
- bucle sau failure ale STP: cauze: a) nu sunt blocate porturile redundante si rezulta bucle,
b)flodare excesiva cauzata de schimbari prea dese ale topologiei STP, c) re- sau convergenta
STP lenta

Troubleshooting layer 2 – PPP


Este dificil sa faci troubleshooting in PPP sau Frame Relay, pentru ca nu ai tool-uri de layer 3
care sa te ajute. Trebuie sa intelegi si sa cunosti in detaliu modul de functionare al tehnologiei
respective ca sa poti sa rezolvi eficient problemele.

Cele mai multe probleme ale PPP implica link negociation. Pasii pentru troubleshooting sunt:
- verifica incapsularea corecta la ambele capetele ale linkului, cu comanda show interface
serial
- verifica daca negocierea link control protocol [LCP] s-a incheiat cu succes (vezi mesajul de la
LPC sa fie open)
- verifica autentificarea la ambele capete ale linkului cu comanda debug ppp authentication

Troubleshooting layer 2 – Frame Relay


1. Verifica conexiunea fizica dintre CSU/DSU si router.
2. verifica daca routerul si providerul de FR schimba informatii LMI (comanda show frame-
relay lmi)
3. verifica daca statusul PVC este active prin comanda show frame-relay pvc
4. verifica daca ai aceeasi incapsulare Frame Relay pe ambele routere prin comanda show
interfaces serial.

Troubleshooting layer 2 – STP loops

86
STP ar trebui sa ruleze pe toate switch-urile, cu exceptia celor care nu sunt parte din topologia
fizica looped (cu bucle).
1. identifica daca se creaza bucle STP:
- pierderi de conectivitate de la / catre / in regiunile de retea afectate
- incarcare mare a CPU routerelor din segmentele afectate
- utilizare mare a linkurilor (100% de regula)
- utilizare mare a switch backplane (fata de baseline)
- mesaje de syslog care arata ca pachetele au intrat intr-o bucla
- mesaje syslog care arata ca sunt constant reinvatate adrese sau mesaje ca adresele MAC
flapeaza
- cresterea numar de pachete aruncate de mai multe interfete
2. descoperi zona (scope) in care se manifesta bucla: ca sa o opresti – te uiti la interfetele cu
cea mai mare utilizare a linkului. Inregistreaza aceasta informatie, ca sa poti sa gasesti cauzele
buclei.
3. sparge / opreste bucla: pune in shut down sau deconecteaza porturile unul cate unul si
verifica utilizarea backplane. Porturile care doar forwardeaza flood-ul nu cauzeaza bucla,
trebuie sa le opresti pe cele care au cauzat bucla. Cand opresti un port care doar forwardeaza
flood-ul, nu scazi decat putin din utilizarea backplane!
4. gaseste si repara cauza buclei: uita-te la diagrama de topologie ca sa gasesti caile
redundante si pentru fiecare switch de pe calea redundanta verifica daca acesta: a)stie STP
root corect, b)are portul root definit corect, c)se primesc BPDU pe portul root si pe cel blocat
d)sunt trimise regulat BPDU pe porturile non-root, designated ports
5. refa redundanta.

Troubleshooting la layerul Network


Simptoame:
Include problemele protocoalelor de layer 3, care sunt protocoale de rutare si protocoale rutate.
Vor fi tratate protocoalele de rutare IP.
Problemele = reteaua este (aproape) nefunctionala.

Troubleshooting:
De obicei retelele contin rute statice si rute dinamice. Daca rutele statice sunt prost configurate
pot sa duca la bucle de rutare sau sa faca anumite parti ale retelei sa nu poata fi accesate.
Troubleshootingul rutelor dinamice presupune o intelegere in detaliu a protocolului dinamic
folosit.

Zone de explorat cand faci troubleshooting la layerul Network:


1. general network issues: verifica schimbarile de topologie, pentru ca pot duce la instalarea
altor rute (statice sau dinamice) + verifica daca cineva lucreaza la infrastructura retelei in acest
moment.
2. probleme de conectivitate: verifica probleme de echipament sau de conectare, inclusiv
alimentarea cu energie sau supraincalzirea. Mai verifica si probleme de layer 1, cum ar fi
cablarea, porturile sau problemele cu ISP-ul.
3. neighbor issues: daca protocolul de rutare stabileste adiacente cu vecinii, vezi daca routerele
vecine au probleme
4. topology database: verifica daca sunt informatii lipsa sau daca sunt informatii neasteptate
(care nu ar trebui sa fie acolo)
86
5. tabela de rutare: vezi daca contine lucruri in plus sau in minus.

Troubleshooting la layerul transport


Probleme comune pot sa fie cauzate de ACL-uri si NAT.
ACL:
1. aplicarea ACL unui alt trafic (incorrect): interfata si directia interfetei
2. ordine incorecta a elementelor de control al accesului: trebuie sa fie de la specific la general,
altfel un element permis explicit poate sa nu fie niciodata aplicat, pentru ca nu se ajunge
niciodata sa fie evaluat.
3. implicit deny all: nu uita ca ce nu este permis explicit, este interzis
4. adrese si wildcard masks: daca NAT si ACL ruleaza simultan, ordinea de aplicare este:
- traficul inbound este procesat intai de ACL inbound si apoi ajunge la NAT-ul inside-to-outside
- traficul outbound este intai procesat de NAT outside-to-inside si apoi de ACL outbound
5. selectarea protocolului de la layerul transport: e important sa specifici numai protocolul
corect. Ex: network engineer-ul configureaza si tcp si udp ca fiind permise, pt ca nu stie pe care
sa il aleaga…
6. porturile sursa si destinatie trebuie sa fie corect configurate
7. folosirea cuvantului cheie (keyword) establish: pus pe ACL outgoing poate duce la rezultate
neasteptate.
8. protocoale mai putin comune: ACL + acestea = rezultate neasteptate. Ex: VPN si
protocoalele de criptare.

Troubleshootingul ACL-urilor se face cu log: analizezi logurile si identifici problemele si


(tentativele de) intruziune.

Probleme cauzate de NAT :


NAT-ul cauzeaza probleme de interoperabilitate cu tehnologiile care preiau dintr-un pachet
adresa de retea a hostului.
- BOOTP si DHCP: hostul nou pornit trimite un DHCP request broadcast, cu IP sursa 0.0.0.0
NAT-ul are nevoie de ip sursa si destinatie valid, deci nu va trimite requestul… Rezolvarea este
cu ip-helper feature
- DNS si WINS. Idem rezolvarea cu ip-helper. Problema este ca serverele de DNS sau WINS nu
vor avea o reprezentare corecta a retelei din spatele NAT-ului.
- SNMP: similar cu pachetele DNS, NAT-ul nu este capabil sa altereze adresa, iar o statie de
management SNMP de pe o parte a NAT-ului nu va fi capabila sa acceseze o statie agent
SNMP de cealalta parte a NAT-ului. Rezolvarea este tot cu ip-helper
- Protocoalele de tunelare si criptare: solicita ca traficul sa fie trimis de pe un anumit port UDP /
TCP sau folosesc un protocol de transport pe care NAT-ul nu-l poate procesa. Rezolvarea :
NAT static pentru portul solicitat, pentru o singura adresa IP.
* nu uita ca NAT-ul afecteaza si traficul inbound, si pe cel outbound; ai grija si la cronometrele
NAT-ului (sa nu expire prea repede si sa nu mai ai corespondenta din afara ca arunca
pachetele; sa nu dureze prea mult ca nu mai sunt scoase din tabela si ocupa prea multa
memorie).

Troubleshooting la nivel Aplicatie


Cele mai multe protocoale de la nivelul aplicatie furnizeaza servicii userului.
86
Protocoale cunoscute de layer aplicatie:
- telnet: ofera conectare la hosturile remote; tcp port 23
- http: suporta schimbul? de fisiere text, grafice, sunete, video, multimedia, pe web; tcp port 80
- ftp: ofera transfer interactiv de fisiere intre hosturi; tcp port 20, 21
- tftp: ofera transfer interactiv basic de fisiere intre host si device-urile de retea
- smtp: ofera servicii basic de livrare de mesaje; tcp port 25
- pop: se conecteaza la serverele de email si downloadeaza emailurile; tcp port 110
- snmp: colecteaza informatii de management de la deviceurile de retea; udp port 161
- dns: mapeaza adrese ip cu numele alocat device-urilor de retea
- network file system [NFS]: permite computerelor sa-si mounteze drive-uri de pe hosturi remote
si sa opereze pe ele ca si cum ar fi locale. Se combina cu external data representation si
remote-procedure call (aplicatii de layer aplicatie) ca sa permita accesul transparent la resursele
remote.

imap 4 – tcp port 143

Simptoame de probleme la layerul aplicatie:


Se observa cand nu primesti serviciile pe care ar trebui sa le furnizeze aplicatiile.
Ca sa mearga aplicatiile de la layerul aplicatie trebuie ca layerele inferioare sa mearga.
Userii se plang ca aplicatia merge greu
Aplicatia da mesaje de eroare
Consola afiseaza mesaje de eroare
Mesaje din logul sistemului
Alarme de la sistemul de management al retelei

Troubleshooting:
1. Ping in default gateway => arata daca L1 si L2 functioneaza corect
2. verifici conectivitatea end-to-end (extended ping de pe router Cisco) => arata daca L3
functioneaza corect
3. verifici modul de operare al ACL si NAT
- show access-list
- clear access-list counters
-- show ip nat translations
-- clear ip nat translations *
-- debug ip nat
-- in running-config verifici daca ip nat inside si ip nat ouside sunt configurate corect.
4. verifica conectivitatea protocoalelor de layere superioare – pot fi restrictionate de filtre sau
firewall-uri.

Corectare:
1. faci un backup
2. corecteaza (schimba) ceva la hard sau soft
3. evalueaza si documenteaza fiecare schimbare si rezultat
4. determina daca schimbarea rezolva problema
5. opreste-te cand ai rezolvat problema
6. daca este cazul, solicita asistenta din afara
7. documenteaza
86