Documente Academic
Documente Profesional
Documente Cultură
WAN = o retea de date care opereaza dincolo de aria de acoperire geografica a unui LAN.
Ca sa poata folosi un WAN, o companie trebuie sa se aboneze la un service provider de WAN
(in general WAN-ul nu este detinut de companie, fata de LAN, care este detinut de companie).
In general pe WAN sunt transportate diferite tipuri de trafic: date, voce, video.
Device-uri WAN:
Modem - moduleaza un semnal analog de carrier pentru a coda informatia si demoduleaza
semnalul carrier pentru a decoda informatia transmisa.
CSU/DSU - liniile digitale, ca liniile de carrier T1 si T3, necesita un channel service unit [CSU] si
un data service unit [DSU]. Cele 2 sunt deseori combinate intr-un singur echipament, numit
CSU/DSU. CSU furnizeaza terminatia pentru semnale digitale si asigura integritatea conexiei
prin corectarea erorilor si monitorizarea liniei. DSU converteste frame-urile liniei T-carrier in
frame-uri care pot fi interpretate de LAN si invers.
Access server - concentreaza comunicarea in si out a userilor. Un access server poate avea o
mixtura de interfete analogice si digitale si poate suporta sute de useri simultan.
WAN switch - un device multiport interretele folosit in retelele carrier. De obicei acest device
comuta (switch) traficul Frame Relay, ATM sau X.25 si opereaza la layerul Data Link al stivei
OSI. Switchurile Public Switched Telephone Network [PSTN] pot fi folosite si in cloud pentru
conexiuni cu comutare de circuite ca Integrated Service Digital Networks [ISDN] sau dialup
analog.
Router - furnizeaza porturi pe interfetele de acces pentru conectivitatea interretele si WAN,
folosite pentru conectarea cu service providerul. Aceste interfete pot folosi interfete seriale sau
alt tip de interfete WAN. Pentru unele tipuri de interfete WAN este necesar un device extern
(DSU/CSU sau modem analog, cable sau DSL) ca sa conecteze routerul cu punctul de
prezenta locala [POP] al providerului.
Core router - se afla in mijlocul sau in backbone-ul WAN. Trebuie sa fie capabil sa suporte
multiple interfete de telecomunicatii la cea mai mare viteza din core-ul WAN si trebuie sa poata
86
forwarda pachete IP la full speed pe celelalte interfete. In plus trebuie sa suporte si protocolul
de rutare folosit in core.
ISDN si X.25 sunt protocoale mai vechi, care acum sunt mai putin folosite. Cu toate astea,
protocolul ISDN este inca tratat in acest curs, pentru ca este folosit pentru retelele VoIP prin
linkuri PRI. Si X.25 este in uz in tarile in dezvoltare, pentru trimiterea datelor tranzactiilor cu card
de la retaileri prin packet data network [PDN]
Nota: mai exista si protocolul Multiprotocol Label Switching [MPLS], care este o solutie
economica pentru transportul traficului de retea cu comutare de circuite si cu comutare de
pachete. Poate opera peste orice tip de infrastructura existenta, cum ar fi: IP, Frame Relay,
ATM sau Ethernet. Pentru ca sta intre Layerul 2 si Layerul 3, este considerat protocol de
Layerul 2.5. MPLS nu este tratat in acest curs, ci in CCNP.
Incapsularea WAN
86
Fiecare tip de conexiune WAN foloseste un protocol de layer 2 ca sa incapsuleze pachetul care
traverseaza linkul WAN. Multe protocoale sunt dezvoltate pe HDLC, pentru ca acesta este
aparut de mult timp (din 1979).
Campul de adresa nu este necesar, pentru ca linkurile WAN sunt in general point-to-point.
Totusi el exista si are 1-2 byti.
Campul de control are 1 byte si arata tipul continutului: informatie de control sau date de la
layerul network.
Pentru circuitele care transporta date (de computer, nu de telefon), utilizarea unei capacitati fixe
nu este eficienta. De exemplu, daca cineva acceseaza o pagina de internet, va genera un trafic
momentan mare, cat se incarca pagina, apoi nu va mai genera trafic pana cand nu va cere
pagina urmatoare. Traficul normal pentru retelele de calculatoare este o variatie intre nimic si
maxim :D . Pentru ca abonatul este unicul care foloseste alocarea fixa, switched circuits sunt in
general un mod scump de a transfera date.
PSTN si ISDN sunt 2 tipuri de tehnologii de circuit-switching care pot fi folosite pentru WAN-ul
unei companii (enterprise).
Conectarea la o retea packet-switched se face prin bucla locala pana la cea mai apropiata
locatie unde providerul furnizeaza acest serviciu. Locatia se numeste point of presence [POP].
Exemple de conexiuni packet/cell -switched: X.25, ATM, Frame Relay.
WAN:
- privat:
dedicat: leased-line
switched:
circuit-switched: ISDN, PSTN
packet-switched: Frame Relay, X.25, ATM, Metro Ethernet
- public - Internet - Broadband VPN: DSL, Cable, Broadband Wireless
I. Leased-line: costa mai mult, dar au delay si jitter mic. Este nevoie de cate un port serial de
router pentru fiecare linie inchiriata + un CSU/DSU si un circuit de la service provider.
Dezavantaje: cost mare, capacitate fixa - care nu este utilizata eficient, si pentru ca fiecare
endpoint are nevoie de o interfata fizica de router separata pot rezulta costuri mari ale
echipamentelor. Orice schimbare a liniei inchiriate in general necesita ca site-ului sa fie vizitat
de catre carrier.
II. Circuit-switched:
a) Dialup analog:
Cand ai nevoie sa transmiti volume mici de date, intermitent, modemurile si liniile de telefonie
dialed analog furnizeaza o capacitate redusa si conexiuni switch-uite dedicate.
Avantaje: disponibilitate, simplitate si costuri mici de implementare.
Dezavantaje: rata de transfer mica (56 kbps) si timp de conectare relativ mare.
Desi are jitter si delay mic, traficul de voce si video nu opereaza adecvat datorita vitezei de
transfer mica.
86
b) ISDN e o tehnologie circuit-switching care permite ca bucla locala a unei PSTN sa transporte
semnale digitale, ceea ce duce la capacitati mai mari ale conexiunii. ISDN schimba conexiunea
interna a unei PSTN de la semnale analog(ice) la semnale digitale TDM [Time Division
Multiplexed]. TDM permite ca 2 sau mai multe semnale / streamuri de biti sa fie transferate ca
subcanale intr-un canal de comunicare.
ISDN transforma bucla locala intr-o conexiune digitala TDM, care transporta 64 kbps per bearer
channel (B channel) si un canal de semnalizare delta [D].
Sunt 2 tipuri de interfete ISDN:
- Basic Rate Interface [BRI] care are 2 B-channel x 64 kbps si 1 D-channel de 16 kbps, pentru
control
- Primary Rate Interface [PRI] care are 23 B-channels x 64 kbps si 1 D-channel de 64 kbps,
pentru America de Nord => 1.544 Mbps. In Europa, Australia si in alte parti ale lumii, ISDN PRI
ofera 30 B-channels si 1 D-channel, rezultand 2.048 Mbps. PRI in America de Nord corespunde
unei conexiuni T1; PRI pentru celelalte parti ale lumii corespunde unei conexiuni E1 sau J1.
III. Packet-switched
a) X.25
Este un protocol de layer Network mostenit, care ofera abonatilor adresa de retea. Circuite
virtuale pot fi setate de-a lungul retelei prin pachete de call requests catre adresa tinta. SVC-ul
rezultat este identificat printr-un numar de canal. Pachetele de date etichetate (labeled) cu
numarul de canal sunt livrate la adresa corespunzatoare. Mai multe canale pot fi active pe o
conexiune.
Folositea obisnuita a X.25 este pentru cititoarele de carduri de la punctele de vanzare. Viteza
lui X.25 variaza intre 2400 bps si 2 Mbps. Retelele publice au in general viteza mica, ce rareori
depaseste 64 kbps.
Retelele X.25 sunt acum intr-un declin dramatic, fiind inlocuite de noile tehnologii de layer 2, ca
Frame Relay, ATM si ADSL.
b) Frame Relay
Chiar daca layerul network pare similar cu cel al X.25, Frame Relay difera de X.25 in mai multe
moduri. Cel mai important, este un protocol mult mai simplu, care lucreaza la layerul data link in
loc de layerul network. Frame Relay nu implementeaza controlul erorilor si al fluxului.
Gestionarea simplificata a frame-urilor duce la o latenta redusa si masurile luate pentru evitarea
construirii frame-urilor la switch-urile intermediare reduc jitter-ul. Frame Relay ofera rate de
transfer pana la 4 Mbps (unii provideri oferind rate mai bune).
Circuitele virtuale Frame Relay sunt identificate in mod unic printr-un DLCI, care asigura
comunicarea bidirectionala intre device-urile DTE. Cele mai multe conexiuni Frame Relay sunt
PVC (fata de SVC).
Frame Relay furnizeaza conectivitate permanenta, bandwidth mediu, shared, care transporta
trafic de voce si de date. Frame Relay este ideal pentru conectarea LAN-urilor enterprise.
Routerele din LAN au nevoie de o singura interfata, chiar daca sunt folosite mai multe circuite
virtuale. Linia inchiriata scurta pana la reteaua Frame Relay permite conexiuni eficiente dpv cost
intre LAN-uri foarte raspandite / imprastite.
c) ATM
ATM = asynchronous transfer mode
Este o tehnologie capabila sa transfere date, voce si video prin retele publice si private. Este
construita pe o arhitectura bazata pe celule, fata de cea bazata pe frame-uri. Intotdeauna o
86
celula ATM are o dimensiune fixa, de 53 bytes, din care 5 bytes sunt pentru header, restul sunt
pentru date.
Celulele ATM sunt mai putin eficiente ca frame-urile mai mari ale Frame Relay si X.25. La
fiecare 48 bytes de date, ele au un overhead de 5 bytes, ceea ce duce la un overhead mare
pentru cantitati mari de date. La acelasi volum de date, ATM are nevoie de un bandwidrh cu
20% mai mare ca Frame Relay sau X.25.
ATM a fost proiectat sa fie foarte scalabil, si supporta viteze ale linkului de la T1 (1.544 Mbps),
pana la OC-12 (622 Mbps) sau chiar mai mult.
ATM ofera PVC si SVC, cu toate ca PVC este mai intalnit in WAN. La fel ca alte tehnologii
shared, si ATM ofera mai multe circuite virtuale pe o singura linie inchiriata pana la network
edge.
a) Tehnologia DSL este o tehnologie de conectare always-on care foloseste liniile de telefonie
twisted pair ca sa transporte date la bandwidth ridicat si sa furnizeze servicii IP abonatilor. Un
modem DSL converteste semnalul Ethernet al device-ului userului in semnal DSL, pe care il
transmite la central office [CO].
La locatia providerului mai multe linii ale abonatilor DSL sunt multiplexate intr-un singur link de
capacitate mare prin folosirea unui DSL access multiplexer [DSLAM]. DSLAM-urile
incorporeaza tehnologia TDM pentru a agrega mai multe linii ale abonatilor intr-o singur mediu,
de obicei o conexiune T3 / DS3. Tehnologiile curente de DSL folosesc tehnici sofisticate de
codare si modulare si ajung la rate de transfer de pana la 8.129 Mbps.
b) Cable modem
Cablul coaxial este foarte folosit in zonele urbane pentru a distribui semnal TV. Accesul la retea
este posibil prin unele retele de televiziune prin cablu. Aceasta permite un bandwidth mai mare
decat cel prin bucla locala a telefoniei conventionale.
Cable modem ofera o conexiune always-on si un mod simplu de instalare. Abonatul
conecteaza un computer sau un LAN router la modem, care traduce semnalele digitale in
frecventa de broadband folosita pentru transmisia pe reteau de televiziune prin cablu. Biroul
local al televiziunii prin cablu - care se mai numeste si cable headend - contine sistemul de
computere si baze de date care furnizeaza accesul la internet. Cea mai importanta componenta
din headend este cable modem termination system [CMTS], care trimite si primeste semnale
digitale prin cable modem pe retea si este necesara ca sa furnizeze servicii internet abonatilor.
Abonatii trebuie sa foloseasca ISP-ul asociat service providerului si in plus, pe masura ce sunt
mai multi abonati, bandwidth-ul se imparte la toti, ceea ce poate avea ca rezultat un bandwidth
sub asteptari.
c) Wireless broadband
Tehnologia wireless foloseste spectrul de frecvente radio nelicentiate pentru a trimite si primi
date. Acest spectru nelicentiat este accesibil oricui are echipamentul necesar.
Pana de curand o limitare a accesului la wireless era ca trebuia sa te afli in aria de acoperire a
transmisiei locale. Acest lucru este schimbat de dezvoltarea tehnologiei de broadband wireless:
86
- municipal WiFi: acoperire wireless la nivelul orasului si acces la retea gratuit sau la tarife
modice. Alte retele wireless sunt disponibile doar politiei, pompierilor, sau altor angajati ai
orasului.
- WiMAX - worldwide interoperability for microwave access este definit in standardul IEEE
802.16. Furnizeaza servicii broadband la viteze mari cu acces wireless si furnizeaza acoperire
mare, similar cu retelele de telefonie. WiMAX functioneaza similar cu WiFi, dar la viteze mai
mari, peste distante mai mari si pentru un numar mai mare de utilizatori. Foloseste o retea de
turnuri WiMAX, similar cu turnurile de telefonie. Ca sa acceseze WiMAX abonatii trebuie sa aiba
turnul unui ISP la mai putin de 10 mile, au nevoie de un computer capabil sa acceseze WiMAX
si au nevoie de un cod special de criptare.
- Satellite Internet
Este folosit in general in zonele rurale, unde cablul si DSL-ul nu sunt disponibile. Antena satelit
ofera viteze de 10 ori mai mari ca modemul analog, cu o viteza de upload cam de 1/10 din 500
kbps (50 kbps).
2. Tehnologia VPN
Riscuri de securitate apar cand un teleworker sau un remote office foloseste servicii broadband
ca sa acceseze WAN-ul corporate peste Internet. Ca sa adreseze problemele de securitate,
serviciile de broadband ofera capabilitati pentru utilizarea conexiunilor Virtual Private Network
[VPN] la un server VPN, aflat de regula in site-ul corporatiei.
Un VPN este o conexiune criptata intre 2 retele private peste o conexiune publica cum este
Internetul. In loc sa foloseasca o conexiune dedicata de layer 2, cum sunt liniile dedicate, un
VPN foloseste conexiuni virtuale numite tunele VPN, care sunt rutate prin internet, de la reteaua
privata a companiei la site-ul remote sau hostul angajatului.
Beneficii:
- reducerea costurilor (nu mai folosesti linkuri de WAN dedicate si grupuri de modemuri)
- securitate (prin protocoale de criptare si autentificare)
- scalabilitate
- compatibilitate cu tehnologia broadband
3. Metro Ethernet
Este o tehnologie de retea cu o maturizare rapida, care largeste Ethernetul catre retelele
publice, controlate de telco (telecommunication companies).
Beneficii:
- reducerea cheltuielilor si administrarii - tehnologia permite conectarea site-urilor din aceeasi
arie metropolitana
- integrare usoara cu retelele existente
- imbunatatirea productivitatii
86
***********************************************************
Cap 2 - PPP
Conexiunea Point-to-Point este una din cele mai cunoscute conexiuni WAN. Este folosita sa
conecteze LAN-urile la WAN-urile service providerilor si sa conecteze segmente de LAN din
retelele enterprise. O conexiune LAN-to-WAN point-to-point se mai numeste conexiune seriala
sau leased-line pentru ca liniile sunt inchiriate de la un carrier (in general o companie de
telefonie) si sunt dedicate companiei care le-a inchiriat.
Datorita clock skew si crosstalk interferences [* skew = asimetric, inclinat] linkurile seriale pot
atinge rate de transfer mai mari.
Clock skew = in conexiunile paralele bitii nu pot fi trimisi chiar simultan, nici nu ajung la
destinatie simultan. Din aceasta cauza emitatorul trebuie sa citeasca, sa astepte, sa faca latch
(zavorasca?), sa astepte semnalul de clock si sa transmita cei 8 biti. In felul acesta se adauga
timpi pentru realizarea transmisiei. Un latch este un sistem de pastrare a datelor (data storage)
folosit pentru a pastra informatiile intr-un sistem de secventa logica. Cu cat linkul este mai lung
si cu cat sunt mai multi pini, creste delay-ul.
Aceasta problema nu este intalnita in cazul linkurilor seriale, pentru ca cele mai multe dintre ele
nu au nevoie de ceas / clock. Conexiunile seriale necesita mai putine fire si cabluri. Ocupa un
spatiu mai mic si pot fi mai bine izolate de interferente.
Crosstalk = influenta semnalelor unul asupra celuilalt (interferenta). Cu cat creste frecventa, cu
atat trebuie mai multa procesare pentru crosstalk. Pentru ca linkurile seriale au mai putine fire,
este mai putin crosstalk, si device-urile de retea transmit comunicarea seriala la frecvente mai
mari.
86
In cele mai multe cazuri implementarea comunicarii seriale este mai ieftina (foloseste mai putine
fire, cabluri mai ieftine si mai putini pini).
Aceste standarde nu numai ca folosesc diferite metode de semnalizare, dar folosesc si diferite
tipuri de cabluri si conectori. Fiecare standard joaca un rol diferit in topologia LAN-WAN.
Pinii DCD si RI sunt disponibili doar la conectarea cu un modem. Aceste 2 linii sunt rar folosite
pentru ca cele mai multe modemuri trimit informatii despre status unui PC cand este detectat un
86
semnal de carrier (cand se face o conexiune cu un alt modem) sau cand modemul primeste un
semnal de sunat de la o liniie de telefoni.
TDM-ul are o ineficienta: rezerva time slots si daca nu sunt date de trimis. Pentru a compensa
aceasta ineficienta a fost dezvoltat Statistical time-division multiplexing [STDM]. STDM
foloseste o lungime variabila a time slot-ului, permitand canalelor sa concureze pentru orice slot
liber. Foloseste un buffer de memorie care pastreaza temporar datele in timpul perioadelor de
varf ale traficului. In acest mod STDM nu iroseste timp al liniilor de viteza mare, pentru canalele
inactive. STDM necesita ca fiecare transmisie sa transporte informatii de indentificare (un
identificator de canal).
La o scala mai mare, industria de telecomunicatii foloseste SONET sau standardul SDH pentru
a transporta prin fibra optica date TDM. SONET-ul e folosit in America de Nord, SDH-ul e folosit
in celelalte zone. Cele 2 standarde sunt strans relationate / legate. Ex: 4 streamuri de 2.5 G
sunt multiplexate intr-un stream de 10 G, prin fibra optica.
DS0 = digital signal zero = unitatea originala folosita la multiplexarea liniilor de telefon, are 64
kbps.
86
Signal bit Rate Voice slot
T-carriers:
1 T4 = 6 T3 = 274 Mbps
1 T3 = 7 T2 = 45 Mbps
1 T2 = 2 T1C = 6.312 Mbps
1 T1C = 24 T1 = 1.544 Mbps
Demarcation point:
In America de Nord, este inainte de CSU/DSU (pe bucla locala - e mai departe de client).
In restul lumii este intre DTE si DCE (e mai aproape de client).
DTE-DCE
DTE este la client, este de obicei un router, dar poate fi si un terminal, PC, printer, fax, daca se
conecteaza direct la service provider.
DCE este la service provider, de obicei este un modem sau un CSU/DSU.
Standarde de cabluri
La origine, conceptul de DTE si DCE s-a bazat pe 2 tipuri de echipamente:
- echipamente terminale, care primesc si trimit date
- echipamente de comunicatie, care doar retransmit datele.
De aceea sunt 2 tipuri de cabluri: 1 care conecteaza un DCE la un DTE si 1 care conecteaza
direct 2 DTE-uri.
2 DTE-uri pot comunica direct cu ajutorul unui cablu special, numit null modem. Cu null modem,
la unul din capetele cablului se face cross intre Tx si Rx. >>> trebuie sa setezi clock rate.
86
2. PPP: face legatura intre routere si intre host si retea, peste circuite sincrone si asincrone.
Este folosit cu IP, IPX. Are mecanisme de securitate built-in PAP si CHAP.
3. Serial Line Internet Protocol [SLIP]: un protocol standard pentru protocolul TCP/IP peste
linii asincrone, este inlocuit masiv de PPP.
4. X.25 / Link Access Procedure, Balanced [LAPB]: este standard ITU-T, defineste cum este
mentinuta legatura intre DTE-DCE pentru accesarea remote a unui terminal si pentru
comunicarea computerelor in retelele publice de date. X.25 specifica protocolul LAPB (este de
layer-ul data link). X.25 este precursorul lui Fram Relay.
5. Frame Relay: standard la nivel de industrie, switched, e protocol de data link care
gestioneaza multiple circuite virtuale. Nu face corectarea erorilor si flow control.
6. ATM: standard international pentru cell relay, trimite voce, video, date, in celule de 53 de
bytes. Procesarea se face in hardware.
HDLC
- este un protocol de layer data link, sincron, bit-oriented, dezvoltat de ISO. S-a dezvoltat din
SDLC.
- este connected-oriented si connectionless
- foloseste transmisia seriala sincrona
- foloseste acknowledgement pentru flow control si error control
Configurarea HDLC:
Este default pe echipamentele Cisco pe liniile sincrone seriale. Daca nu ai ambele echipamente
Cisco, foloseste PPP sincron.
Stari posibile:
- serial x is down, line protocol is down
- serial x is up, line protocol is down
- serial x is up, line protocol is up (looped)
- serial x is up, line protocol is down (disabled)
- serial x is admin down, line protocol is down
PPP
Incapsularea PPP a fost gandita sa fie compatibila cu cele mai utilizate tipuri de hardware. Este
incapsulare de layer 2.
Poate fi folosit peste: cabluri seriale, linii de telefon, linii trunk, retea de telefonie mobila (cellular
phone), “linii” radio specializate, fibra optica.
Avantaje:
- PPP nu este proprietar.
fata de HDLC are in plus:
- monitorizeaza calitatea linkului. Daca detecteaza prea multe erori, pune linkul in down
- suporta autentificarea PAP si CHAP.
PPP opereaza peste orice interfata DTE/DCE, singura conditie care trebuie indeplinita este sa
existe un circuit duplex, switched sau dedicat, sincron sau asincron, care sa fie transparent
frame-urilor PPP la layerul link.
PPP face cea mai multa munca la layerele data link si network.
LCP la data link layer seteaza conexiunea PPP si parametrii acesteia.
NPC la network layer gestioneaza configuratiile protocoalelor de nivele superioare. --> dupa
care conexiunea este terminata de LPC.
PPP permite multiple protocoale de layer network sa opereze pe acelasi link de comunicare.
Pentru fiecare protocol de layer network folosit, PPP foloseste un NCP distinct / separat. Ex: IP
foloseste IPCP, IPX foloseste IPXCP, etc.
NCP include campuri functionale ce contin coduri standardizate pentru a indica protocolul de
layer network incapsulat de PPP. Fiecare NCP gestioneaza nevoile specifice ale unui protocol
de layer network. Diferite componente ale NCP incapsuleaza si negociaza optiuni pentru
multiple protocoale de layer network.
Linkul ramane configurat pentru comunicare pana cand LCP sau NCP trimit frame-uri explicite
de inchidere sau pana cand are loc un eveniment extern. LCP poate inchide linkul oricand (prin
request termination sau motiv / eveniment fizic).
a) Stabilirea linkului incepe prin trimiterea unui Configure-Request (cu wish list pt configuratie).
Raspunsuri posibile:
- Configure Ack (si daca si autentificarea este ok se stabileste linkul)
- Configure-Nak (optiunile sunt recunoscute, dar nu sunt acceptate)
- Configure-Reject (nu sunt recunoscute optiunile)
Pentru Configure-Nak si -Reject procesul de negociere se reia.
c) daca NCP trimite solicitare de terminare a linkului, primeste Ack, linkul trebuie inchis /
terminat si de LCP. Daca LCP termina linkul, sesiunea NCP este automat terminata.
86
Terminarea linkului poate fi cauzata de: loss of the carrier / de carrier, eroare de autentificare,
calitatea linkului pica, expira un cronometru de idle / inactivitate, inchidere administrativa a
linkului.
Pachetele LCP:
Fiecare pachet LCP este un mesaj LCP, care contine un camp cod (specifica tipul de pachet) si
un camp identificator (pentru match-ul request-reply), camp length si camp data.
Cand se initiaza stabilirea linkului se negociaza optiunile. Daca o optiune nu este inclusa in
frame-ul de Config-Request, i se atribuie valoarea default. Faza de initiere se termina cu
primirea frame-ului Configure-Ack.
Procesul NCP:
Dupa ce linkul a fost initializat, LCP ii cedeaza controlul lui NCP <=> LCP face autentificarea si
configurarea de baza, dupa care invoca NCP, ca sa faca configurarea specifica protocolului de
layer retea. Cand NCP a configurat cu succes protocolul de layer network, protocolul de retea
este in starea open.
Dupa terminarea procesului NCP linkul intra in starea open si LCP preia controlul din nou.
Traficul pe link poate fi orice combinatie de LCP, NCP si pachete de L3.
2.3.1.1
1. Dupa ce s-a incheiat faza de stabilire a linkului, clinetul trimite repetat informatiile de
autentificare, pana cand primeste accept sau este terminata (inchisa) conexiunea.
2. Serverul verifica daca informatiile de autentificare sunt corecte si trimite raspunsul accept /
reject.
86
PAP nu este un protocol de autentificare puternic, pentru ca trimite informatiile in text clar, fara
sa le cripteze. In plus, clientul este cel care decide cand si cu ce frecventa incearca sa se
autentifice.
CHAP ofera protectie impotriva playback attack prin limitarea expunerii. Hash-ul comparat este
variabil; routerul local sau un server controleaza autentificarea, nu clientul.
Comenzi de autentificare:
Rconfig-if)#ppp authentication {chap | chap pap | pap chap | pap [if-needed] [list-name |
default] [callin]}
chap | chap pap | pap chap | pap >>> arata tipul si ordinea autentificarii
if-needed] >>> doar pe interfetele asincrone, se foloseste cu TACACS sau XTACACS. Nu se
foloseste in combinatie cu pap / chap, pt ca deja userul s-a autentificat.
list name >>> se fol cu AAA sau TACACS+, defineste numele listei care va fi folosit ca default.
Lista este o metoda de autentificare TACACS+. Listele sunt create cu comanda aaa
authentication ppp.
default>>> la fel ca list name
callin >>> specifica autentificarea doar pe callin care vin (sunt pe sensul in)
pap si chap verifica username si parola intr-o baza de date locala sau intr-o baza de date
remote TACACS/TACACS+
AAA/TACACS sunt servere dedicate pentru autentificarea userilor.
86
2.4.5.2
PAP:
R1(config)#username R3 password parola
#int s0/0/0
-if)#ip address 128.0.1.1 255.255.255.0
-if)#encapsulation ppp
-if)#ppp authentication pap
-if)#ppp pap sent-username R1 password parola
************************************
cap 3 Frame Relay
Frame Relay este un protocol WAN foarte performant, ce opereaza la layerele 1 si 2 din stiva
OSI.
Eric Scace de la Sprint International a dezvoltat Frame Relay ca o versiune mai simpla a X.25,
ca sa il foloseasca peste interfetele ISDN (Integrated Services Digital Network). Astazi este
folosit peste o varietate de alte interfete de retea.
Frame Relay-ul a devenit un protocol WAN foarte folosit pentru ca este mult mai ieftin decat
liniile dedicate. In plus configurarea echipamentelor userilor este foarte simpla. Conexiunile
86
Frame Relay sunt create prin configurarea routerelor (sau a altor device-uri cu rol de) CPE sa
comunice cu un switch Frame Relay al service providerului.
Frame Relay este un protocol WAN foarte performant, ce opereaza la layerele 1 si 2 din stiva
OSI.
Eric Scace de la Sprint International a dezvoltat Frame Relay ca o versiune mai simpla a X.25,
ca sa il foloseasca peste interfetele ISDN (Integrated Services Digital Network). Astazi este
folosit peste o varietate de alte interfete de retea.
Frame Relay-ul a devenit un protocol WAN foarte folosit pentru ca este mult mai ieftin decat
liniile dedicate. In plus configurarea echipamentelor userilor este foarte simpla. Conexiunile
Frame Relay sunt create prin configurarea routerelor (sau a altor device-uri cu rol de) CPE sa
comunice cu un switch Frame Relay al service providerului.
Tehnologia Frame Relay a devenit cea mai raspandita tehnologie WAN din lume datorita
pretului si flexibilitatii sale.
Frame Relay reduce costul retelei pentru ca foloseste mai putin echipament (leased-lines
necesitau cate 1 linie pentru fiecare end-point), complexitatea este mai redusa si este mai usor
de implementat; ofera mai mult bandwidth, reliability si resiliency fata de leased-lines; are o
arhitectura mai simpla a retelei si un cost of ownership mai mic.
O retea Frame Relay foloseste circuite virtuale [VC] permanente sau switched.
In cazul liniilor dedicate clientul plateste toata linia: local loop si link-ul din reteaua providerului.
Daca providerul ii da doar canale din linie, incrementarea se face din 64 in 64 kbps. Doar traficul
clientului este pe link.
In cazul Frame Relay clientul plateste doar pentru local loop si bandwidth-ul folosit, indiferent la
ce distanta se afla celalalt capat (end-point). Incrementarea poate fi si din 4 in 4 kbps. Linkul
este share-uit cu alti clienti.
Costul de implementare al Frame Relay este mai mare ca al liniilor dedicate, dar costul de
operare este mai mic.
Frame Relay este urmasul lui X.25. Fata de acesta are mai putine capabilitati; de ex. nu ofera
error correction.
Frame Relay gestioneaza eficient volumul si viteza prin combinarea functionalitatilor necesare
de la layerele data link si network intr-un singur protocol mai simplu.
86
Ca protocol de layer data link, FR furnizeaza acces la retea, delimiteaza si livreaza frame-urile
in ordinea corecta, recunoaste erorile printr-un CRC standard.
Ca protocol de layer network, FR ofera multiple conexiuni logice peste un singur circuit fizic si
permite retelei sa ruteze date peste aceste conexiuni catre destinatiile dorite.
FR opereaza intre device-ul end-user (router / bridge) si retea. Reteaua poate folosi orice
metoda de transmisie care este compatibila cu viteza si eficienta ceruta de aplicatiile FR. Unele
retele folosesc FR, altele digital circuit switching sau ATM.
Conexiunea dintre un device DTE si un device DCE consta din componente de layer fizic si
data link:
Layerul fizic: defineste specificatiile mecanice, electrice, functionale si procedurale, pentru
conexiunea dintre device-uri. (Ex: RS-232)
Layerul data link: defineste protocolul care stabileste conexiunea dintre DTE (router) si DCE
(switch).
Cand carrierii folosesc FR ca sa interconecteze LAN-uri, routerele de LAN sunt DTE. O
conexiune seriala, de obicei un T1/E1leased line, conecteaza routerul la switchul Frame Relay
din cel mai apropiat POP (point of presence) al providerului.
*echipamente de calcul care nu sunt intr-un LAN pot trimite date intr-o retea Frame Relay,
printr-un Frame Relay Access Device [FRAD], care are rol de DTE, si care este un dedicated
appliance sau un router configurat sa suporte Frame Relay. Se afla in grija clientului (customer
premise) si se conecteaza intr-un port de switch al retelei providerului.
Conectarea a 2 DTE prin intermediul unei retele Frame Relay se numeste circuit virtual. Se
numeste circuit virtual pentru ca nu este o conexiune electrica directa intre cele 2 capete. Cu
VC mai multi useri share-uiesc bandwidth-ul si oricare 2 noduri pot sa comunice intre ele, fara
sa foloseasca mai multe linii fizice dedicate.
SVC se creaza dinamic prin trimiterea de mesaje de semnalizare in retea (call setup, data
transfer, idle, call termination).
PVC sunt preconfigurate de provider, iar dupa ce sunt create opereaza doar in modurile idle si
data transfer. *unele publicatii se refera la PVC ca la private VC (in loc de permanent VC).
VC-urile sunt identificate prin DLCI-uri; valorile pentru DLCI sunt de obicei alocate de service
provider, dar au valoare locala, ceea ce inseamna ca aceste valori nu sunt unice in WAN-ul
Frame Relay. DLCI-ul nu are nicio semnificatie de la un link la altul (adica poate fi transformata
valoarea... dlci = 10 pt segmentul AB, si sa devina 20 pentru segmentul BC). DLCI-urile sunt de
obicei cuprinse in intervalul 16-1007 (0-15 si 1008-1023 sunt rezervate). DLCI este inclus in
campul de adresa al fiecarui frame transmis.
Multiple VCs
Frame Relay este statistic multiplexat, adica transmite doar cate un frame o data, dar mai multe
conexiuni logice pot coexista pe acelasi link fizic. Frame Relay Access Device [FRAD] sau
routerul pot avea mai multe VC care se conecteaza la diferite end point-uri. VC-urile pot fi
distinse, chiar daca sunt pe acelasi link, prin faptul ca au DLCI-uri diferite.
86
Aceasta caracteristica reduce costul cu echipamentele si cu complexitatea retelei ==> un
inlocuitor pentru mesh, convenabil din perspectiva costului.
Daca frame-ul este cu erori frame relay il arunca (discard) dar nu notifica sursa ca a aruncat
frame-ul, lasa asta in grija layerelor superioare.
Inverse ARP e folosit cu precadere in retelele Frame Relay si ATM si face corespondenta intre
adresele de layer 2 (cunoscute) in adrese de layer 3 (necunoscute).
Maparea dinamica
Se bazeaza pe inverse ARP. Routerul construieste si mentine o tabela de mapare
(corespondente), care contine toate cererile rezolvate de Inverse ARP. Pe routerele cisco
protocolul Inverse ARP este activat by default.
Maparea statica
Poti alege sa faci mapare statica si dai de mana corespondentele dlci - adresa de layer 3. Are
ca efect dezactivarea inverse ARP. Faci asta cand routerul de la celalalt capat nu suporta
Inverse ARP. Alta varianta este cand ai o topologie hub end spoke si vrei ca spoke-urile sa
comunice direct intre ele. Maparea dinamica ar face ca spoke-urile sa comunice cu hub-ul, nu
direct intre ele.
86
Comenzi pentru configurarea maparii statice:
R1(config)#interface s0/0/0
R1(config-if)#ip address 10.1.1.1 255.255.255.0
R1(config-if)#encapsulation frame-relay
R1(config-if)#no frame-relay inverse-arp
R1(config-if)#frame-relay map ip 10.1.1.2 102 broadcast cisco varianta generica este mai
jos
R1(config-if)#frame-relay map protocol protocol-address dlci [broadcast] [cisco / ietf]
R1(config-if)#no shut
Extensiile LMI
Sunt folositoare in mediul dintre retele (internetwork environment).
- VC status messages: furnizeaza informatii despre integritatea PVC prin comunicarea si
sincronizarea dintre device-uri, raportand periodic existenta noilor PVC si stergandu-le pe cele
care deja exista (adica suprascrie PVC existente cu PVC care ar trebui sa fie pe acel link ???).
Aceste mesaje previn ca datele sa fie trimise in black holes (PVC care nu mai exista).
-Multicast: permite unui emitator sa trimita un frame catre mai multi receptori. Multicastul
suporta protocoalele de rutare si procedurilor de address resolution.
- Global addressing / adresare globala: ofera identificatorilor de conexiune o semnificatie
globala in loc de una locala. a.i orice interfata din reteaua frame relay va putea fi identificata.
=>> reteaua Frame Relay se va comporta ca un LAN, iar ARP se va comporta si el ca in LAN.
- Un control simplu al fluxului (flow): furnizeaza un mecanism XON/XOFF pentru controlul
fluxului, care se aplica intregii interfete Frame Relay. Se adreseaza acelor device-uri ale caror
layere superioare nu pot gestiona bitii de notificare a congestiei, dar au nevoie de un nivel de
control al fluxului.
Identificatorii LMI
Sunt mai multe tipuri de LMI, incompatibile unul cu celalalt. Ca sa poata comunica, LMI
routerului trebuie sa fie de acelasi tip cu cel folosit de echipamentul providerului. Routerele
Cisco suporta 3 tipuri de LMI:
- Cisco, extensia LMI originala.
- Ansi, corespunzator standardului Ansi T1.617 Anexa D
86
- q933a, corespunzator standardului ITU Q933 Anexa A.
Incepand cu IOS-ul 11.2 a aparut feature-ul de LMI autosense care detecteaza tipul de LMI
folosit de switchul frame relay direct conectat. Pe baza mesajului de status LMI primit de la
switch, routerul isi configureaza automat interfata ca sa foloseasca acelasi tip de LMI cu cel
suportat de switch-ul Frame Relay. Comanda manuala este frame-relay lmi-type [ansi | cisco
| q933a], dar atentie ca va dezactiva autosense. Cand configurezi manual LMI-ul, trebuie sa
specifici si intervalul de keepalive.
Mesajele de status ale LMI cu mesajele Inverse ARP permit unui router sa asocieze adresele
de layer 3 cu cele de layer 2.
Cand un router se conecteaza la o retea frame relay, interaba care este statusul LMI al retelei.
Reteaua raspunde cu un mesaj de status LMI care contine detaliile pentru fiecare VC asociat
linkului.
Periodic, routerul repeta mesajul despre statusul LMI, iar reteaua ii raspunde doar cu
actualizari. O data la un numar de mesaje, reteaua trimite un mesaj full status.
Daca routerul are nevoie sa mapeze VC-urile la adresele de Layer 3, va trimite un mesaj
Inverse ARP catre fiecare VC. Mesajul inverse arp include adresa de layer 3 a routerului, in asa
fel incat routerul DTE destinatie sa poata face si el maparea. Se trimit mesaje inverse arp
pentru fiecare protocol de layer 3 suportat pe link.
Incapsularea frame-relay cisco are un header de 4 bytes, din care 2 bytes sunt pentru
identificarea DLCI si 2 bytes pentru a identifica tipul de pachet.
86
Configurarea unei mapari statice frame relay
Maparea dinamica se face prin inverse ARP, care este activat by default, deci nu trebuie sa faci
nimic.
Pentru maparea statica trebuie sa configurezi manual un router.
Parametrii:
1. [broadcast]
Frame Relay, ATM si X.25 sunt retele non-broadcast multiple access [NBMA]. Acest tip de
retele nu suporta multicast sau broadcast, ci doar unicast. Daca vrei sa comunici broadcast,
trebuie sa trimiti manual frame-ul catre fiecare destinatie.
Unele protocoale de rutare (RIP, EIGRP, OSPF) necesita configurari aditionale ca sa fie
suportate de retelele NBMA.
Prin parametrul broadcast se vor forwarda update-urile de rutare, pentru ca acesta va permite
comunicarea broadcast / multicast peste PVC.
2. [protocol]
Defineste protocolul suportat, bridging sau logical link control: appletalk, decnet, dlsw, ip, ipx,
llc2, rsrb, vines si xns.
3. [protocol-address]
defineste adresa de layer 3 a interfetei routerului destinatie
4. [DLCI]
defineste DLCI-ul local folosit pentru conectarea la adresa protocolului remote
Split horizon:
Din perspectiva protocoalelor de rutare apare o problema, daca sunt mai multe VC pe aceeasi
interfata: nu se trimit update-uri de rutare pe aceeasi interfata de pe care au fost primite /
invatate. Ca sa se rezolve aceasta problema este indicata folosirea subinterfetelor (echivaleaza
cu o topologie full mesh), varianta in care se dezactiveaza split horizon putand genera bucle de
rutare.
Concepte:
- Access rate sau port speed: viteza liniei / capacitatea local loop.
- Committed information rate [CIR] = capacitatea garantata de service provider prin bucla locala.
Un avantaj al Frame Relay este ca daca exista capacitate nefolosita, aceasta se imparte la toti
clientii, de obicei fara niciun cost =>> burst-ul poate fi preluat (si transmis).
86
Burst = device-urile care au temporar nevoie de mai mult bandwidth o imprumuta de la alte
device-uri care nu folosesc atunci bandwidth, fara sa implice un cost suplimentar.
Committed Burst Information Rate [CBIR] = rata negociata peste CIR pe care clientul o poate
folosi pentru a transmite burst-ul. Nu poate depasi viteza portului de pe acel link (banuiesc ca e
vorba de viteza maxima reala a linkului). Durata de transmisie a burst-ului trebiue sa fie scurta,
mai putin de 3-4 secunde.
Frame-urile trimise la viteza mai mare ca CIR sunt marcate ca discard eligible [DE] <=> pot fi
aruncate daca reteaua este congestionata sau daca nu este suficient bw (capacitate) in retea.
BE este termenul care descrie bandwidth-ul disponibil intre CBIR si bw real al linkului. NU este
negociabil si, cu toate ca frame-urile pot fi transmise la acest nivel, este foarte posibil sa fie
aruncate (dropped).
In perioade de congestie switch-ul frame relay al providerului aplica urmatoarele reguli logice:
1. daca frame-urile care vin nu depasesc CBIR, vor trece mai departe
2. daca frame-urile care vin depasesc CBIR, vor fi marcate ca DE
3. daca frame-urile care vin depasesc CBIR + BE, vor fi aruncate.
Cand apare o incarcare / congestie, switch-ul trimite FECN echipamentelor din downstream si
BECN echipamentelor din upstream <=> pune F frame-urilor pe care le primeste pe linkul cu
congestie si B frame-urilor pe care le trimite pe linkul cu congestie.
DTE-urile care primes frame-uri cu bitii ECN setati, ar trebui sa isi reduca fluxul de trafic pana
cand se descongestioneaza linkul.
*Daca congestia apare pe un link intern, DTE-urile pot sa primeasca notificari chiar daca nu
sunt ele cauza congestiei.
3.4.1.1
Troubleshooting:
debug frame-relay lmi si urmaresti mesajele afisate.
- out este un LMI status message trimis de router
- in este un mesaj primit de la switchul Frame Relay
- type 0 = LMI full status message
- type 1= LMI exchange
- “dlci 100, status 0x2” = dlci 100 este active
Statusurile:
- active = indica un circuit end-to-end (DTE-DTE) successful
- inactive = arata ca doar legatura router - switch este ok, nu detecteaza DTE-ul de la capatul
celalalt. Poate fi cauzata de configurari incorecte sau reziduale de pe switch.
- Deleted = DTE este configurat pentru un DLCI pe care switch-ul nu il recunoaste ca valid
pentru acea interfata.
86
Valori pentru statusuri:
- 0x0 = switch-ul are acest DLCI programat, dar dintr-un motiv (sau altul) nu poate fi folosit.
(inactive cred). Posibil celalalt capat al PVC este down.
- 0x2 = switchul Frame Relay are acest DLCI programat si totul este operational
- 0x4 = switchul nu are acest DLCI programat pentru acest router, dar a fost programat candva
in trecut. Ar putea fi cauzat de inversarea DLCI pe router sau PVC a fost sters in norul Frame
Relay de catre service provider.
**************************
cap 4 - network security
Terminologie:
- White hat - persoana care cauta vulnerabilitati in sistem / retea si le raporteaza detinatorului
retelei / sistemului, pt ca respectivul sa le poata trata. White hat securizeaza vs black hat care
sparge securitatea
- Hacker - initial desemna un expert in programare. Acum identifica o persoana care incearca sa
obtina acces neautorizat la resursele retelei; are intentii ostile.
- Black hat - tot o persoana care incearca sa isi foloseasca cunostintele in scop ostil, in general
pentru un castig personal sau financiar.
- Cracker - un termen mai exact care defineste o persoana care incearca sa obtina acces
neautoriza la resursele retelei si care are intentii ostile.
- Phreaker - o persoana care manipuleaza reteaua de telefoane ca sa faca o functie nepermisa.
O tinta obisnuita a acestuia este sa sparga reteaua de telefonie ca sa faca convorbiri la distante
mari, gratuit.
- Spammer - trimite mesaje nesolicitate si atasamente cu virusi ca sa preia controlul
computerului infectat si sa trimita mai departe spam.
- Phiser - foloseste email / altceva ca sa pacaleasca utilizatorii sa isi dea date sensibile /
confidentiale, ca datele cardului, parole, etc.
Din perspectiva securitatii o retea poate fi: echilibrata, deschisa, restrictiva, inchisa. *Reteaua
inchisa este ferita de riscurile externe, dar tot este expusa riscurilor interne.
86
Politica de securitate: este un set de principii care ajuta procesul de decizie si le permite liderilor
organizatiei sa distribuie autoritatea cu incredere.
ISO si IEC au publicat un document standard pentru crearea politicii de securitate, numit
ISO/IEC 27002.
Are 12 sectiuni:
- Risk assessment
- Security policy
- Organization of information security
- Asset management
- Human resources security
- Physical and environmental security
- Communications and operations management
- Access control
- Information systems acquisition, development, and maintenance
- Information security incident management
- Business continuity management
- Compliance
86
- amenintari de mediu (environment): temperatura prea rece / calda, umiditate prea multa /
putina)
- amenintari electrice: fluctuatii de electricitate, subalimentare, zgomot pe canalele de
comunicatie, pierderea completa a curentului.
- amenintari de intretinere (maintenance): descarcari electrostatice cauzate de proasta
gestionare a echipamentelor (cheie), lipsa pieselor de schimb, cablare proasta, etichetare
proasta.
3. Social engineering
86
= orice metoda (nu hacking) de a-l convinge pe user sa-si dea datele singur. Ex: phishing.
1. Recunoasterea:
poate consta din urmatoarele:
- internet information querry
- ping sweep
- scanarea porturilor
- packet sniffers
Cu utilitarele nslookup sau whois, un atacator poate identifica spatiul de adrese alocat unei
corporatii / entitati.
Pasul urmator este sa trimita ping-uri la toate adresele publice din spatiul de adrese respectiv,
ca sa le identifice pe cele active. Tool-uri automate de ping sweep, ca fping sau gping, ii vor
face munca si mai usoara.
Adresele IP active sunt identificate, iar atacatorul trece la scanarea porturilor, pentru a
determina ce servicii de retea sau porturi sunt active pe respectivele adrese. Un port scaner
este un soft, ca nmap sau superscan, care este destinat sa caute hostul unei retele pentru a
gasi porturile care sunt deschise. Port scaner-ul intreaba portul ca sa determine tipul si
versiunea aplicatiei, precum si tipul si versiunea OS-ului. Pe baza acestor informatii intrusul
poate incerca sa exploateze posibilele vulnerabilitati existente.
Atacatorii interni pot incerca si “eavesdrop” (a auzi fara sa vrea, desi pare cam voita actiunea :D
) asupra traficului retelei.
4.1.3.2
Network snooping si packet sniffing sunt exemple comune de eavesdrop.
O metoda comuna de eavesdropping asupra comunicarii este sa captureze pachete TCP/IP sau
de alt protocol si sa le decodezi continutul cu un protocol analyzer. Un protocol analyzer este
Wireshark; dupa ce ai capturat pachetele, le poti examina ca sa gasesti informatii valoroase.
O metoda de criptare utila poate fi criptarea payload-only. Aceasta cripteaza doar continutul
pachetului, lasa necriptate headerele, in asa fel incat pachetul trece prin switch-uri / routere fara
sa fie nevoie sa fie decriptat.
2. Acces:
Atacul acces exploateaza vulnerabilitati cunoscute in serviciile de autentificare, FTP, web,
pentru a intra in conturi de web, baze de date sau in alte informatii sensibile.
Password attacks:
- packet sniffer: obtinerea parolei din pachetele capturate
- brute force: dictionare de cuvinte
- trojan horses
*tools: L0pthCrack, Cain
Trust exploitation:
Reteaua este protejata printr-un firewall, dar un host din retea are incredere intr-un host exterior
retelei =>> poti ataca reteaua prin intermediul hostului extern in care aceasta are incredere.
Port redirecting
Este un tip de trust exploitation, care foloseste un host compromis pentru a tece traficul de
firewall. Ex: ai un firewall cu 3 interfete, cate un host pe fiecare interfata. Hostul din exterior
poate ajunge la hostul din segmentul de servicii publice, dar nu si la hostul din interior.
Segmentul de acces public se numeste DMZ [demilitarized zone] . Hostul din DMZ poate ajunge
la ambele hosturi, din interior si din exterior. Atacul vizeaza compromiterea hostului din DMZ si
prin intermediul acestuia atacarea hostului din interior. Dupa ce hostul din DMZ este
compromis, sunt instalate software-uri care sa redirectioneze traficul de la hostul din exterior la
hostul din interior.
*tools: netcat
Man-in-the-middle [MITM]
Presupune ca un atacator sa se pozitioneze intre 2 hosturi legitime.
86
- transparent proxy e un exemplu. Atacatorul pacaleste victima printr-un phishing email
sau web defacing, dupa care isi insereaza url-ul lui in fata url-ului legitim. Ex:
http:www.legitimate.com devine http:www.attacker.com/http://www.legitimate.com
Tot traficul victimei poate fi interceptat de atacator, care poate sa corupa informatia care se
intoarce la victima.
Prin alte tipuri de atacuri MITM se pot face si: furt de informatii, obtinerea (highjack / rapirea)
unei sesiuni la resurse la care atacatorul nu ar avea acces in mod normal, DoS, coruperea
datelor transmise, introducerea de date intr-o sesiune deschisa.
Reducerea atacurilor MITM WAN se face prin folosirea tunelurilor VPN - atacatorul vede doar
informatii criptate. Pentru LAN se foloseste port security pe switchuri.
*Tool-uri pentru MITM in LAN: ettercap, ARP poisoning.
Exemple:
Ping of Death: un ping are in mod normal 64 - 84 bytes. Ping of Death modifica headerul
pachetului ping si ii spune ca pachetul are 65535 de bytes, ceea ce face ca vechile sisteme sa
crashuiasca. A fost popular la sfarsitul anilor ‘90. Acum cele mai multe retele nu mai sunt
susceptibile la acest tip de atac.
SYN flood: exploateaza 3 way handshake. Trimite multiple syn requests (peste 1000) unui
server, care raspunde cu syn-ack, dar softul ostil nu mai raspunde cu ack final, ca sa incheie 3-
way handshake-ul. Acest lucru leaga serverul care va ramane fara resurse si nu va mai putea
raspunde cererii unui host legitim.
E-mail bombs: sunt trimise e-mailuri bulk persoanelor, listelor sau domeniilor, monopolizand
serviciul de email.
Applet-uri ostile: folosesc Java, JavaScript, ActiveX, care cauzeaza distrugeri sau blocheaza
computerul.
DDoS Attacks
Distributed DoS sunt menite sa satureze linkurile retelei cu date nelegitime. Astfel se poate
incarca linkul, cauzand ca traficul legitim sa fie dropped. DDoS foloseste metode de atac
similare cu DoS, dar la o scala mult mai mare. In general sute sau mii de puncte de atac
incearca sa copleseasca o tinta.
Atacul smurf foloseste mesaje ping pe adrese de broadcast capturate (spoofed) pentru a floda
un sistem tinta. In pasul 1 atacatorul trimite ICMP echo request catre o adresa de broadcast de
retea (direct broadcast) cu o adresa valida, luata dintr-un pachet spoofed. Routerul face
broadcast de la L3 la L2, cele mai multe hosturi raspund cu ICMP echo reply, multiplicand
traficul cu nr de hosturi care raspund. Intr-o retea multiple access broadcast network pot fi sute
de hosturi care raspund unui astfel de mesaj.
Preventia la acest tip de atac se face prin oprire (turn off) a broadcastului direct; de la IOS 12.0
acesta este oprit.
Atacurile DoS si DDoS pot fi reduse prin implementarea listelor de acces anti spoof si anti DoS.
ISP-isti pot sa implementeze si controlul traficului (prin rate), limitand volumul de trafic
neesential din segmentele de retea. Un exemplu comun este limitarea traficului ICMP, pentru ca
este trafic doar de diagnosticare.
Malicious code attacks (atacuri prin cod ostil): viermi, virusi, troieni
Un vierme executa cod si instaleaza copii ale lui in memoria computerului infectat, care la
randul lui poate sa infecteze alte computere.
Un virus este un software ostil care este atasat altui program cu scopul de a executa functii
nedorite pe o statie.
Un troian este o intreaga aplicatie care a fost scrisa ca sa arate ca altceva, ca sa mascheze ca
este un instrument de atac (attacking tool).
Viermii sunt programe de sine statatoare care infecteaza sisteme si incearca sa se propage si la
alte sisteme conectate? cu acestea.
Diminuarea / eliminarea acestor atacuri implica multa rigurozitate din partea adminilor de retea
si de sistem (ai a echipelor acestora). Pasii recomandati sunt:
- containment (izolare) a raspandirii viermior in retea (izolarea segmentelor de retea? )
- inoculation (vaccinare): aplicarea patch-urilor tuturor sistemelor
- carantina: blocarea masinilor infectate, izolarea acestora
- tratare: curatarea si patch-uirea fiecarui sistem infectat
Virusi si troieni
86
Elementul care diferentiaza un vierme de un virus este ca virusul are nevoie de interactiunea
umana pentru a se raspandi (printr-un atasament la un mail, etc).
De virusi si troieni te protejezi cu antivirusi pentru useri si pentru retea.
Network security wheel este un proces continuu, care presupune retestarea si reaplicarea
masurilor de securitate updatate, in mod continuu.
1. Securizeaza:
- aparare la amenintari
- inspectie stateful si filtrarea pachetelor
* stateful inspection = un firewall care pastreaza informatii despre starea unei conexii in tabela
de stare ca sa poata recunoaste schimbarile din conexiune care ar putea insemna ca un
atacator incearca sa deturneze o sesiune sau sa manipuleze o conexiune.
- sistem de prevenirea intruziunilor (IPS), pus la nivelul host si retea pentru a opri in mod
activ traficul ostil
- patch-uirea vulnerabilitatilor - se repara sau se iau alte masuri pentru a opri
exploatarea vulnerabilitatilor cunoscute
- dezactivarea serviciilor care nu sunt necesare - cu cat sunt mai putine servicii, cu atat
este mai greu pentru un atacator sa obtina acces
Conexiuni securizate:
- VPN-urile - cripteaza traficul de retea pentru preveni dezvaluirea informatiilor catre indivizi
neautorizati / ostili
- trust and identify - implementezi constrangeri stranse pe nivele de incredere (in cadrul retelei).
- autentificare - dai acces doar userilor autorizati
- intarirea politicii - te asiguri ca userii si end device-urile resprecta politica corporate
2. Monitorizare:
Monitorizarea securitatii implica metode pasive si active de a detecta incalcari ale securitatii.
Metoda cea mai comun folosita este sa auditezi fisierul de log la nivel de host. Sys adminii
trebuie sa activeze sistemul de auditare pentru fiecare host din retea si sa verifice si sa
interpreteze intrarile din aceste fisiere.
Metodele pasive includ dispozitive IDS (intrusion detecting systems) pentru a detecta automat
intruziunile. Aceasta metoda necesita din partea adminului de securitate a retelei mai putina
atentie decat metodele active. Metodele active pot detecta in timp real violarile de securitate si
pot fi configurate sa raspunda imediat, inainte ca intrusul sa poata strica ceva.
3. Testarea:
86
In aceasta etapa masurile de securitate sunt testate proactiv. Mai precis sunt verificate masurile
din pasii 1 si 2. Unelte de verificarea vulnerabilitatilor de securitate ca nessus sau nmap sunt
folosite pentru testarea periodica a masurilor de securitate de la nivelul retelei si al hostului.
4. Imbunatateste:
Implica analiza datelor colectate in timpul fazelor de monitorizare si testare. Are ca rezultat
amplificarea politicii de securitate prin imbunatatirea mecanismului implementat <=> se adauga
itemi la pasul 1.
Securizarea routerelor la perimetrul retelei este un important prim pas in securizarea retelei.
Securizarea routerelor inseamna:
- securizare fizica
- actualizarea IOS routerelor ori de cate ori este indicat
- backupul configuratiei si IOS-ului routerelor
- intarirea routerul prin eliminarea abuzului potential referitor la porturile si serviciile nefolosite.
Securitatea fizica = amplaseaza routerul intr-o zona cu acces controlat, incuiata, fara
interferente magnetice, electrosatatice, controleaza temperatura si umiditatea, trece alimentarea
curentului printr-un UPS, cumpara / stocheaza piese de schimb.
86
Echipamentele care se conecteaza la router trebuie sa fie si ele securizate sau aflate sub
jurisdictia cuiva de incredere. Daca sunt expuse ar putea sa fie infectate cu troieni sau alte
executabile.
Da-i routerului maximul de memorie posibila :D ca sa fie mai ferit de DoS. Nu-i pune ultimul
IOS, ci pe cel mai stabil. Pastreaza o copie de siguranta a IOS-ului si a fisierului de configurare,
ca in caz de nevoie sa ai optiune de backup.
R1(config)# username Student secret cisco >>> cripteaza cu md5 parola userului Student.
Cel mai securizat mod de a te conecta la un router este prin consola. Daca totusi nu ai cum sa
te conectezi prin consola, te vei conecta remote. Conectarea remote trebuie facuta cu alicarea
unor precautii suplimentare de securitate.
86
Pentru a securiza accesul la administrarea remote a switchurilor si routerelor intai trebuie sa
securizezi liniile administrative (VTY si AUX), apoi configurezi reteaua sa cripteze traficul prin
tunele SSH.
Accesul remote inseamna Telnet, SSH, HTTP, HTTPS, SNMP.
Securizarea remote access se refera la VTY si la TTY (text telephone). TTY = acces asincron la
router folosind un modem. Daca vrei sa blochezi o linie (VTY sau TTY), folosesti comenzile no
password si login, adica ii ceri explicit o parola, dar aceasta nu exista => nu te poti loga pe
acea linie.
Un device Cisco are de obicei 5 linii virtuale => daca sunt toate deschise (inclusiv in idle) nu mai
poti deschide o alta linie =>> trebuie ca ultima linie virtuala sa nu accepte conexiuni decat de la
o masina de administrare aflata strict sub controlul tau (faci reguli prin ACL cu comanda ip
access-class); alta optiune este comanda exec-timeout <minute> (din config-line) combinata
cu comanda service tcp-keepalive-in (din config)
Nu toate IOS-urile Cisco suporta SSH; de obicei doar cele cu k8 sau k9 in nume suporta SSH.
Router(config)#hostname R1
R1(config)#ip domain-name alexandru.com
R1(config)#crypto key generate rsa >>> de preferat dimensiunea 1024
R1(config)#username Student password cisco123
R1(config)#line vty 0 4
R1(config-line)#transport input ssh
R1(config-line)#login local
R1(config-line)#end
R1(config)#ip ssh time-out 15
R1(config)#ip ssh authentication-retries 2
Logurile iti permit sa identifici daca un router functioneaza corect sau daca a fost compromis.
Uneori din loguri poti sa vezi ce tipuri de probe sau atacuri sunt incercate asupra routerului sau
retelei.
Configurarea logarilor (syslog) pe router trebuie facuta cu grija. Trimite logurile catre un log
host, iar log host-ul trebuie sa fie conectat la o retea de incredere sau protejata sau la o
interfata de router izolata si dedicata. Intareste log host-ul prin eliminarea serviciilor si conturilor
care nu sunt necesare.
Routerele suporta 8 nivele de logare, 0 este cel mai important (arata ca sistemul e instabil), 7
este pentru informatii din mesajele de debug.
Logurile pot fi forwardate catre diferite locatii: memoria routerelor (volatila), sau catre un server
dedicat pentru loguri. Un server de syslog este o solutie mai buna, pentru ca mai multe masini
pot trimite logurile catre acesta, iar adminul le poate urmari (eventual centralizat?). Exemplu de
aplicatie de server syslog este kiwi syslog daemon.
De asemenea ia in calcul trimiterea logurilor si catre o a 2-a locatie, ca sa tratezi si worst case
scenario.
*Logurile trebuie citite cu regularitate. In acest fel te vei obisnui cu modul normal de functionare
a retelei si vei repera mai usor atacurile / functionarea anormala.
E necesar ca timpul sa fie inregistrat corect. Desi routerele au un ceas intern, este mai indicat
sa folosesti servere de timp (minim 2, pentru redundanta). Aceste servere se numesc servere
NTP (network time protocol).
86
Routerele cisco suporta multe servicii de retea de layer 2, 3, 4, 7. Daca nu le folosesti,
dezactiveaza-le. Unele dintre ele sunt dedicate fie configurarilor specializate sau mostenite
(legacy), fie sunt servicii de layer aplicatie (L7).
Este recomandat sa opresti: CDP, TCP si UDP small servers, finger, http server, BOOTP
server, configuration autoloading, IP source routing, proxy ARP, IP direct broadcast, clasless
routing behavior ???, IP unreachable notifications, IP mask reply, IP redirects, NTP services,
SNMP, DNS.
La unele din serviciile de mai sus, daca nu le dezactivezi, ar trebui sa restrictionezi accesul /
securizare.
Subminarea perechilor nu este critica, pentru ca protocoalele de rutare se vindeca intre ele.
Un atac mai subtil este cand se falsifica informatiile de rutare si sistemele se vor minti intre ele,
cauzand un DoS sau traficul va fi rutat pe o cale pe care nu ar parcurge-o in mod normal.
Autentificarea in RIPv2:
r(c)#router rip
r(c-router)#passive-interface default
r(c-router)# no passive-interface s0/0/0
r(c)#key chain rip_key
r(c-keychain)#key 1
r(c-keychain-key)#key-string cisco
r(c)#int s0/0/0
r(c-if)#ip rip authentication mode md5
r(c-if)#ip rip authentication key-chain rip_key
Autentificarea in EIGRP
r(c)#kay chain eigrp_key
r(c-keychain)#key 1
r(c-keychain-key)#key-string cisco
r(c-keychain-key)#exit
86
r(c-keychain)#exit
r(c)#int s0/0/0
r(c-if)#ip authentication mode eigrp 1 md5
r(c-if)#ip authentication key-chain eigrp 1 eigrp_key
Autentificare in OSPF
r(c)#int s0/0/0
r(c-if)#ip ospf message-digest-key 1 md5 cisco
r(c-if)#ip ospf authentication message-digest
r(c-if)#exit
r(c)#router ospf 10
r(c-router)#area 0 authentication message-digest
Auto Secure
Este o singura comanda, dar care dezactiveaza procesele si serviciile neesentiale.
are 2 moduri de functionare:
- interactiv: te intreaba promptul
- non interactiv: nu te intreaba
Comanda este auto secure
Cisco router and security device manager (SDM) furnizeaza un feature similar cu auto secure.
SDM este un tool web-based prin care se poate face configurarea LAN, WAN si a functiilor de
securitate pe routerele cu IOS cisco + configurare VPN si firewall.
Cisco recomanda instalarea SDM pe toate routerele moderne. Ca sa instalezi SDM-ul, trebuie
mai intai sa:
- te conectezi la router
- activezi HTTP si HTTPS pe router
- creezi un cont cu parola si privilegii de exec (level 15)
- configurezi ssh sau telnet pentru login local si privilegii level 15
SDM este stocat in memoria flash (dar poate fi stocat si pe un PC). Ca sa lansezi SDM-ul, scrii
adresa routerului intr-un browser, cu HTTPS pentru ssh, sau http pentru telnet.
Update = inlocuieste un release cu altul, fara sa modifice setul de feature-uri. Noul release
fixeaza bugurile sau inloieste vechiul release, care nu mai este suportat. Sunt gratis
Upgrade = inlocuieste... si modifica setul de feature-uri. Nu sunt gratis.
4.5.2.1
Sistemul de fisiere (integrated file system)
Daca un atacator iti sterge fisierul de configurare sau IOS-ul trebuie sa fii capabil sa il pui la loc.
Evident, trebuie sa ai backup la ele.
Network file system include folosirea ftp, tftp, rcp (remote copy protocol).=> cursul acesta se
concentreaza pe tftp.
La show file system, * = sistemul default, iar # = discul este bootabil (discul este memoria
flash, care nu prea e disc :D )
caracterul # se citeste pound
86
Copierea dintr-o sursa remote in startup-config:
R2# copy tftp: startup-config
R2# copy tftp: nvram:startup-config
*cand copiezi IOS pe un router ai grija sa fie IOS pentru acel router, altfel se poate intampla ca
routerul sa nu mai poata boota si sa fii obligat sa folosesti ROMmon!
R1(config)#boot system flash numeIOS >>> ii spune explicit routerului cu ce IOS din flash sa
booteze. trebuie salvat run in start
Daca routerul nu mai are IOS si a fost restartat, va intra in ROMmon. Acesta dispune de putine
comenzi, dar iti da posibilitatea sa incarci un IOS corespunzator pentru router. Trebuie sa ii
configurezi o interfata si sa ii spui de unde isi ia IOS-ul (TFTP), dupa care dai comanda tftpdnld
(tftp download).
86
Poti restaura IOS-ul si folosind Xmodem, dar pentru ca merge prin cablul de consola, este
foarte lent comparat cu tftp. Viteza default este de 9600 b/s, dar poate fi setata si pe router si pe
HyperTerminal la 115000 b/s (creste foarte mult).
Comanda este data din ROMmon: xmodem cyr; semnificatia c, y, r difera in functie de
configuratie. c = CRC 16, y = Ymodem protocol ??, r = copiaza IOS in RAM.
Troubleshooting
Show vs debug:
show afiseaza parametrii configurati si valorile lor; incarcarea procesorului este mica
debug iti permite sa urmaresti executia unui proces; incarcarea procesorului este mare
Pentru a folosi cat mai eficient uneltele de debug, trebuie sa iei in considerare:
- impactul asupra performantelor routerului
- care este modul cel mai selectiv de a folosi debugul (debugul cel mai specific)
- cum fac sa minimizez impactul asupra celorlalte procese
- cum opresc debugul dupa ce am aflat ce ma interesa
Recuperarea parolei
Ca sa recuperezi o parola trebuie sa ai acces fizic la router; singura parola care poate fi
recuperata este enable password; enable secret este criptata, deci trebuie inlocuita.
Configuration register al routerului este similar cu setarile BIOS ale unui PC. Configuration
register este cel mai des folosit pentru recuperarea parolei (mai are si alte functii).
1. te conectezi la consola
2. daca ai acces la R> dai show version si verifici valoarea de la configuration register. Ar trebui
sa fie 0x2102 (asta e de cele mai multe ori).
3. Inchizi si deschizi routerul din butonul de power
4. apesi / dai break din tastatura terminalului in primele 60 de sec ca sa intri in ROMmon.
5. in rommon1>confreg 0x2142 face ca routerul sa nu incarce startup-config.
86
6. rommon2>reset routerul se restarteaza, dar nu incarca startup-config. Te intreaba daca vrei
sa configurezi cu wizard-ul.
7. dai nu ca sa nu rescrie startup-ul existent in nvram.
8. copiezi start in run. Nu copiezi invers pentru ca pierzi setarile vechi ale routerului!
9. show run iti afiseaza parolele salvate in text clar
10. rescri parolele criptate
11. default interfetele au intrat in shut, trebuie sa le reactivezi
12. R1(config)#config-register 0x2102 >> ca sa tina cont de noul startup-config
13. copiezi run in start ca sa salvezi modificarile
R1(config)#login block-for 300 attempt 2 within 120 >> blocheaza loginul 300 sec daca a gresit
de 2 ori parola de autentificare
R1(config)#security authentication failure rate 5 log >> inregistreaza autentificarile esuate?
pentru SDM ar trebui sa ai SDM instalat pe router si sa ai user + parola si sa fi dat comanda
R2(config)#ip http secure-server
************************************************
cap 5 - Access Control List (ACL)
ACL-urile iti permit sa controlezi traficul in / din retea. Pot fi simple (interzici sau permiti retele
sau hosturi) sau mai complexe (interzici porturi).
Porturi TCP:
- well-known [0-1023]: 21 - FTP, 23 - telnet, 25 - SMTP, 80 - HTTP, 110 - POP3, 194 - internet
relay chat (IRC), 443 - HTTPS
- registered ports [1024 - 49151]: 1863 - MSN Messenger, 8008 - Alternate HTTP, 8080 -
Alternate HTTP (da, e corect).
Porturi UDP:
- well-known: 69 - TFTP, 520 - RIP.
- registered ports: 1812 - RADIUS authentication protocol, 2000 - cisco SCCP (VoIP), 5004 -
RTP (voice and video transport protocol), 5060 - SIP (VoIP).
Filtrarea pachetelor
Filtrarea pachetelor (numita uneori si filtrare statica a pachetelor) controleaza accesul la retea
prin analizarea pachetelor care intra / ies si permiterea / interzicerea lor pe baza unui set de
criterii.
Routerul face filtrare la L3 (mai face si la L1,2,4,7 - dar nu zice materialul, in aceasta pagina).
Regulile dupa care routerul face filtrare sunt definite in ACL-uri.
ACL-ul = script de configurare care permite sau interzice pachete, pe baza unei liste de intrari
permit si deny care se aplica adreselor IP sau protocoalelor superioare.
86
ACL-urile isi extrag din headerul pachetului: IP sursa, IP destinatie, tipul mesajului ICMP.
ACL-urile isi pot extrage informatii despre layerele superioare din: portul sursa TCP/UDP sau
portul destinatie TCP/UDP.
ACL-urile mai sunt folosite si pentru selectarea tipului de trafic care va fi analizat, forwardat sau
procesat in alt fel. Cand un pachet este primit pe o interfata care are asociat un ACL pe in, ACL-
ul va fi analizat de sus in jos, cautandu-se o linie care sa se potriveasca. ACL-ul intareste 1-n
politici de securitate corporate prin decizii deny / permit; ACL-urile pot fi configurate sa
controleze accesul la o retea / subretea.
Poti configura:
- 1 ACL per protocol
- 1 ACL per interfata
- 1 ACL per directie
==>> cei 3 P, per proto, per interfata, per directie.
==>>> ex: pentru 3 protocoale pe un router cu 2 interfete pot avea 3x2x2 ACL <=> 12 ACL
Protocoalele din exemplu: IP, IPX, AppleTalk
Modul de functionare
ACL-urile actioneaza pe pachetele care intra sau ies din router (care tranziteaza routerul), nu si
pe pachetele generate de router.
Inbound ACL: pachetele sunt analizate inainte sa fie trimise la interfata de iesire. Daca pachetul
este aruncat, se economiseste timpul in care ar fi fost cautata ruta.
Outbound ACL: pachetul este trimis interfetei de iesire, unde este analizat.
86
ACL-ul este parcurs de sus in jos. Cand se face match pe o conditie se opreste verificarea.
*Ultima conditie din ACL este implicita si este deny all. Cisco recomanda sa o treci de mana,
pentru ca asa poti sa vezi cate pachete au facut match pe ea.
Un ACl poate fi aplicat mai multor interfete. Cu toate astea, trebuie sa fie doar 1 ACL per
protocol, directie si interfata.
*Ai grija la deny any care este implicit la sfarsitul ACL-urilor. In cazul protocoalelor de rutare,
daca nu esti atent cand configurezi ACL-ul, poti sa nu permiti update-urile si sa pierzi
comunicarea intre routere!
Numarul ACL-ului:
- ACL standard: 1-99 reunit cu 1300-1999
-ACL extins: 100-199 reunit cu 2000-2699
Pozitionarea ACL-urilor
Plasarea optima a ACL-urilor face ca reteaua sa opereze mai eficient. Regula de baza este sa
plasezi ACL-urile:
- standarde cat mai aproape de destinatie (ca sa nu interzici traficul legitim de la o sursa, pentru
ca filtrezi numai dupa IP sursa)
- cat mai aproape de sursa, ca sa nu incarci reteaua cu pachete pe care oricum le-ar arunca
routerul cu ACL.
86
3. foloseste un editor de text ca sa creezi, editezi si salvezi ACL-urile >>> vei putea refolosi
ACL-urile ;)
4. testeaza ACL-urile pe o retea de dezvoltare inainte de a le implementa pe o retea din
productie >>> te ajuta sa eviti erori costisitoare.
ACL-urile trebuie sa aiba cel putin o inregistrare permit, pentru ca ele interzic implicit tot traficul.
Exemplu:
R1(config)# access-list 10 permit 192.168.10.0
Remove ACL
R1# show access-list
R1(config)#no access-list 10
Remark
Permite comentarii de maxim 100 de caractere.
si
86
R1(config)#acces-list 1 permit 0.0.0.0 255.255.255.255
ca
R1(config)#access-list 1 permit any
5.2.4.1
Atentie:
- doar listele de acces numerice se pot aplica liniilor VTY
- restrictii identice trebuie setate pe toate liniile VTY, pentru ca un user se poate conecta pe
oricare dintre acestea.
Editarea ACL-urilor numerice: nu se poate, trebuie sters si refacut. De aceea este indicat sa
folosesti un editor de text si sa apoi sa faci copy-paste in router.
Pentru un ACL existent, il afisezi cu show running-config | include ACL list si il copiezi in
editorul de texte, dupa care il copiezi modificat in router.
Comentarea cu remark poate fi facuta inainte sau dupa intrarea la care face referire, trebuie sa
fii consistent, ca sa stii cum interpretezi lista de acces.
Editarea ACL-urilor named: de la IOS 12.3 ACE-urile din ACL-urile named pot fi sterse
individual + poti folosi numarul de secventa pentru a insera ACE-uri unde ai nevoie :D .
Numarul de secventa este din 10 in 10, cand inserezi un ACE dai un numar de secventa cu
valoarea care te intereseaza.
10 permit ceva
20 permit altceva
R1(config)#ip acces-list standard NUME
R!(config-std-nacl)#15 permit host 192.168.1.3 >> insereaza acest ACE intre cele 2 ACE-uri
care au fost configurate initial.
5.3.1.1
ACL-urile extinse
Pot fi numerice sau named; cele extinse numerice au valori intre 100-199 si 2000-2699. Sunt
mai des folosite decat cele standard, pentru ca filtreaza dupa IP sursa, dar in plus filtreaza si
dupa: IP destinatie, protocol, port (mai sunt criterii, dar in CCNP?). Exemplu: poti permite trafic
de email catre o sursa, dar nu si trafic web sau file transfer.
R1(config)#access-list 101 permit tcp any eq telnet (sau 23) >>> poti spune pe ce porturi
(aici destinatie) filtrezi traficul.
*poti folosi numele protocolului (aici telnet) sau numarul portului (aici 23)!
Configurare
-numerice
R1(config)#access-list <nr> {permit/deny/remark} protocol source [WM] [operator] [port sau
nume] destinatie [WM] [operator] [port sau nume] [established]
Established se refera numai la TCP, indica o conexiune stabilita. ( 3 way handshake)
-named
R1(config)#access-list extended NUME
R1(config-ext-nacl)#permit tcp 192.168.10.0 0.0.0.255 any eq 80
R1(config-ext-nacl)#permit tcp 192.168.10.0 0.0.0.255 any eq 443
5.3.4.2
Tipuri de ACL-uri
1. standard
2. extended
3. dinamice (lock-and-key): userii care vor sa treaca prin router sunt blocati pana cand se
conecteaza la router si se autentifica prin telnet
86
4. reflexive: permit traficul catre exterior, dar limiteaza traficul catre interior (doar sesiunile
deschise dinspre router)
5. time-based: ACL-uri care se activeaza in functie de ora sau zi a saptamanii
3. Lock-and-key este o functie de securitate care filtreaza traficul si care foloseste ACL-uri
dinamice (uneori referite ca lock-and-key ACL). Lock-and-key este valabil numai pentru IP.
ACL-urile dinamice sunt dependente de conectivitatea Telnet, autentificare (locala sau remote)
si ACL-uri extinse.
Beneficii:
- foloseste un mecanism challenge ca sa autentifice userii
- simplifica managementul in interretelele mari
- in multe cazuri reduce procesarea pe router (care este necesara pentru ACL-uri)
- reduce oportunitatile de a patrunde hackerii in reteaua ta
- crearea unui acces dinamic (liste de?) al userilor printr-un firewall, fara sa compromita alte
restrictii de securitate.
4. ACL-uri reflexive
Forteaza ca traficul reply de la o destinatie a unui pachet outbound recent sa ajunga numai la
sursa pachetului <=> din exterior pachetele ajung numai daca au fost cerute si numai la cine le-
a cerut.
Routerul examineaza pachetele si, cand este initiata o noua sesiune, adauga o intrare
temporara intr-o ACL reflexiva. Intrarea este stearsa cand se termina sesiunea.
ACL reflexive sunt o forma mai puternica de filtrare fata de ACL extinse cu established, pentru
ca se aplica si traficului UDP si ICMP, si pentru ca functioneaza si pentru aplicatiile care isi
modifica dinamic portul sursa pentru traficul unei sesiuni.
86
ACL-urile reflexive sunt nested intr-o IP ACL named extinsa; nu pot fi definite in ACL-urile
standard named sau numbered sau cu alt protocol ACL; ACL-urile reflexive pot fi folosite
impreuna cu alte ACL-uri extinse statice si ACL-uri standard.
Beneficii:
- ajuta la securizarea retelei impotriva hackerilor si pot fi incluse intr-un firewall
- furnizeaza oarecare securitate impotriva spoofing si DoS. E mult mai greu sa incerci sa tragi
cu ochiul in ele pentru ca mai multe criterii trebuie sa se potriveasca inainte ca un pachet sa
aiba voie sa treaca.
- sunt usor de folosit si, comparat cu ACL-urile de baza, ofera un control mai mare / bun asupra
caror pachete au voie sa intre in retea.
5. time-based ACL
Sunt similare cu ACL-urile extinse. Permit accesul in anumite intervale de timp sau in anumite
zile ale saptamanii. Ca sa implementezi ACL-uri time-based trebuie sa definesti un interval de
timp, pe care il identifici cu un nume si te referi la el printr-o functie. Restrictiile de timp sunt
impuse functiei insasi.
Beneficii:
- ofera adminilor de retea mai mult control asupra permit / deny acces la resurse
- permite adminilor de retea sa controleze mesajele de log.
R1(config)#time-range EVERYOTHERDAY
R1(config-time-range)#periodic Monaday Wednesday Friday 8:00 to 17:00
R1(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq telnet time-range
EVERYOTHERDAY
R1(config-if)#ip access-group 101 out
Troubleshooting
- Comanda show access-list iti poate arata cele mai multe erori ale ACL-urilor.
- cand evaluezi un ACL, verifica regulile dupa care trebuie creat (ordinea in caare trebuie
introduse ACE-urile, etc)
tipuri de erori:
- ordinea ACE este gresita
- protocolul este gresit (tcp / udp)
86
- portul este gresit (e pusa restrictia pe portul sursa, nu pe cel destinatie)
- uiti sa treci o ACE de deny / permit
- pui ACL-ul pe alta directie (out in loc de in)
*************************
cap 6 - servicii pentru teleworkeri
Solutia teleworkerilor:
Companiile au nevoie de retele sigure, reliable si eficiente dpv cost pentru a se conecta la
HQuri, branch-uri si furnizori. Cand incep sa foloseasca teleworkeri le cresc nevoile de
securitate, reliability si de eficienta a costurilor.
86
Cand ofer suport pentru VoIP si videoconferinte trebuie sa imi upgradez aceste componente
(routerele trebuie sa aiba functionalitate de QoS).
VPN = retea privata de date care foloseste infrastructura publica de telecomunicatii.
Cablul:
Spectrul electromagnetic acopera / include o arie larga de frecvente.
Frecventa este viteza cu care au loc ciclurile curentului (sau voltajului), calclate ca numarul de
unde pe secunda. Lungimea de unda este viteza de propagare a semnalului electromagnetic
impartita la frecventa in ciclii pe secunda.
Undele radio [RF] constituie o parte a spectrului electromagnetic, intre aproximativ 1 kHz si 1
tera herz.
Industria televiunii prin cablu foloseste o portiune a spectrului electromagnetic al undelor radio.
Prin cablu diferite frecvente transporta canalele TV (semnalele ??) si datele, iar la capatul
dinspre abonat sunt echipamente ca TVs, VCRs, etc, setate pe anumite frecvente ca sa permita
userilor sa vada anumite canale sau modemuri care permit userilor sa aiba acces la internet
de / cu viteza mare.
Frecventele:
-downstream (de la headend catre abonati) sunt intre 50 - 860 MHz
-upstream (invers) sunt intre 5 - 42 MHz
DOCSIS este un standard international care certifica echipamentele prin cablu (cable modems
si cable modem termination systems).
86
DOCSIS specifica cerintele pentru L1 (bandwidth si tehnica de modulare) si L2 (doar MAC:
metoda de acces).
*pentru MAC trebuie intelese tehnicile de separare a canalelor:
-TDMA le divide prin momentul de timp la care se transmite semnalul
-prin frecventa divide canalele - sunt transmise informatii diferite pe frecvente diferite
-CDMA (code division multiple access) foloseste tehnologia spread-spectrum impreuna cu o
schema de codare ca sa identifice fiecare transmitator.
CMTS este de obicei un router cu o baza de date cu abonati (ca sa ofere servicii de internet
numai celor care platesc :D ).
Userii de pe un segment share-uiesc bandwidth-ul pentru upstream si downstream.
Asymmetric DSL [ADSL] foloseste frecventa de la 20 kHz la 1 MHz pentru a transmite semnal
de date abonatilor. Frecventa pana la 3 kHz este rezervata pentru POTS [plain old telephone
service].
Ratele de transfer depend de dimensiunea local loop si de tipul si conditiile de cablare. Pentru
servicii satisfacatoare bucla nu trebuie sa depaseasca 5,5 km (3,5 mile).
Bucla locala este intre customer premise equipment si central office, iar in CO se afla DSL
access multiplexor [DSLAM]. DSLAM-ul concentreaza conexiunile de la mai multi abonati DSL.
*Fata de cablu, DSL-ul nu este mediu share-uit! Se simte incarcarea daca sunt multi useri si
datele lor incarca prea mult conexiunea de la DSLAM cu ISP-ul.
Avantajul ADSL este ca permite transportul simultan al semnalului de telefon cu cel de date,
cele 2 fiind separate prin splittere sau filtere (de fapt microfilters).
86
Un microfiltru este un filtru pasiv low-pass cu 2 capete, unul se conecteaza la telefon si celalalt
la prize de telefon. => nu mai este nevoie sa vina un tehnician + te poti conecta la orice prize
din locatie ca sa folosesti servicii de voce sau ADSL.
Splitterele POTS separa traficul DSL de traficul POTS. Sunt tot device-uri passive. Spliterele
sunt in CO si la abonat.
Network interface device [NID] = punctul de demarcare; pot pune aici un splitter, care sa separe
semnalul de telefon de cel de date. Daca vrei sa instalezi un splitter POTS in NID de obicei
trebuie sa chemi un technician.
Ca sa evite chemarea unui technician, multe SOHO folosesc microfiltrele, care au ca avantaj si
o mai mare conectivitate in locatie. (datorita splitterului de obicei ai un singur outlet [mufa?] in
locatie…).
Broadband wireless
Pana recent tehnologia wireless era mai greu de folosit pentru ca trebuia sa te afli in raza de
acoperire a unui router (maxim 100 picioare ? 50 metri). Odata cu aparitia hot spot-urilor
lucrurile s-au imbunatatit.
86
Standarde wireless:
-802.11b >>> 11 Mbps >>> 2.4 GHz
-802.11g >>> 54 Mbps >>> 2.4 GHz
-802.11n >>> peste 54 Mbps, MIMO >>> 2.4 GHz
*802.16 (WiMAX) >>> pana la 70 Mbps, la 50 km >>> in frecvente de la 2 la 6 GHz
Tehnologia VPN permite organizatiilor sa creeze retele private peste infrastructura internetului
public si sa isi pastreze confidentialitatea si securitatea.
Prin VPN-uri organizatiile isi creaza o infrastructura virtuala de WAN, care conecteaza branch-
uri, birouri de acasa, locatii ale partenerilor si telecomuterii remote, la toata sau o parte a retelei
corporate. Ca sa se pastreze confidentialitatea, traficul este criptat. VPN-urile creeaza tunele
prin care traficul este trimis criptat.
Beneficii:
-reducerea costurilor pentru ca se elimina liniile WAN dedicate si bancurile de modemuri.
-securitate, prin folosirea protocoalelor avansate de criptare si autentificare
-scalabilitate, organizatiile pot adauga noi utilizatori / folosesc volume mari din capacitate fara
sa adauge semnificativ infrastructura.
*cu VPN creste productivitatea si eficienta
Tipuri de VPN
6.3.2.1
Site-to-site VPN sunt folosite ca sa conecteze locatii disparate / imprastiate, in acelasi fel ca
Frame Relay sau leased line. De asemenea site-to-site VPNs suporta intranetul companiilor si
extraneturile partenerilor de afaceri.
Site-to-site VPNs sunt extensii ale retelei WAN clasice, conecteaza intregi retele una la alta.
In site-to-site VPNs hosturile trimit si primesc trafic TCP/IP printr-un VPN gateway, care poate fi
un router, firewall IPX sau ASA (adaptive security appliance). Perechile de VPN gateway in- si
decapsuleaza si cripteaza si de- traficul.
Remote access VPN este folosit de mobile users si telecommuters + extranet consumer-to
business. Intr-un remote access VPN fiecare host are un software de client VPN; cand hosturile
trimit trafic, software-ul de client VPN incapsuleaza si cripteaza traficul
Componentele VPN
Cheia eficacitatii VPN-urilor este securitatea. VPNs securizeaza datele prin criptare sau
incapsulare, iar cele mai multe prin ambele:
-incapsularea se mai numeste si tunneling, pentru ca incapsularea transmite datele transparent
de la retea la retea printr-o infrastructura de retea share-uita.
-criptarea codeaza datele intr-un format diferit, folosind o cheie secreta.
VPN tunneling
Incorporarea capabilitatilor de confidentialitate a datelor intr-un VPN asigura ca doar sursa si
destinatia intentionate / legitime sunt capabile sa interpreteze corect continutul mesajului
original.
GRE = generic route encapsulation; este un protocol de tunelare dezvoltat de Cisco, care poate
sa incapsuleze o gama larga de pachete inauntrul unui tunel IP, creand o legatura virtuala P-to-
P intre 2 echipamente de retea.
86
-AES (advanced encryption standard): e gandit sa inlocuiasca DES, e mai puternic decat DES
si mai eficient la calcule ca 3DES. Poate folosi chei de 3 lungimi: 128, 192 si 256 biti.
-RSA (rivest, shamir si adleman): e asimetric, foloseste chei de 512 si 1024 biti.
Criptarea simetrica:
-aceeasi cheie e fol la criptare si decriptare
-cheia e secreta
-de obicei se cripteaza continutul mesajului
Ex: DES, 3DES, AES
Criptarea asimetrica:
-o cheie publica
-se folosesc chei diferite pentru criptare si decriptare
-de obicei sunt folosite pentru certificate digitale si managementul cheilor ?
Ex: RSA
Hash = message digest = un numar generat dintr-un string de text. Formula de generare a
hash-ului face extrem de improbabil ca un alt text sa genereze aceeasi valoare pentru hash.
Hash-ul este trimis impreuna cu mesajul. La destinatie este recalculat hash-ul si se compara
valorile hash-ului primit cu cel calculat. Daca nu sunt indentice => mesajul a fost corupt / alterat.
Autentificarea in VPN
Sunt 2 metode de autentificare a perechilor (peer):
-PSK [pre-shared key] e un algoritm de criptare care foloseste chei simetrice, introduse manual
la fiecare capat al tunelului. Cheile sunt combinate cu alte informatii ca sa creeze cheia de
autentificare.
-semnaturile RSA: folosesc schimbul de semnaturi digitale ca sa autentifice perechile. Device-ul
local deriva un hash si il cripteaza cu o cheie privata. Hashul criptat (semnatura digitala) este
atasat mesajului si trimis catre celalalt capat, unde hashul este decriptat folosind cheia publica a
capatului local. Daca hashul decriptat este identic cu hashul recalculat, semnatura este
autentificata.
86
IPSec este o suita de protocoale de securizare a comunicatiilor IP care ofera criptare, integritate
si incapsulare. IPSec clarifica mesajele necesare sa securizeze comunicatiile VPN, dar se
bazeaza pe algoritmii existenti.
IPSec framework
Algoritmi folositi:
-DES
-3DES
-MD5
-SHA-1
-DH permite ca 2 parti sa share-uiasca o cheie secreta pe care o folosesc algoritmii de criptare
si hash (DES, MD5, …) peste un canal de comunicare nesecurizat.
Framework:
-IPSec protocol: ESP, AH, ESP + AH
-criptare: DES, 3DES, AES
-autentificare: MD5, SHA
-DH: DH1, DH2, DH5
DH = Diffie-Hellman
************************************
cap 7 – servicii de adresare IP
-DHCP
-NAT
-RIPng
DHCP aloca adrese (de obicei private), iar NAT permite hosturilor cu adrese private sa poata sa
iasa in internet.
Prin folosirea NAT si a adreselor private s-a amanat momentul in care vom ramane fara adrese
IPv4 disponibile.
DHCP
86
Vine de la Dynamic Host Configuration Protocol aloca dinamic adrese IP si alte configuratii de
retea importante.
Echipamentele care trebuie sa aiba aceeasi adresa sunt configurate manual (routere,
servere…), workstations sunt configurate dinamic.
In general adminii prefera sa aiba un server de DHCP dedicat, dar si routerele Cisco pot sa
ofere servicii DHCP prin setul de feature-uri Easy IP.
Operarea DHCP-ului
DHCP are 3 mecanisme diferite de alocare a adreselor pentru flexibilitate cand aloci adrese IP:
-alocare manuala: adminul pre-aloca clientului o adresa IP, iar DHCP-ul doar i-o comunica
-alocare automata: DHCP aloca automat o adresa IP statica si permanenta unui device,
selectata dintr-un pool de adrese disponibile. Nu se face lease, iar adresa este alocata
permanent device-ului.
-alocare dinamica: DHCP aloca dinamic (sau inchiriaza) o adresa IP dintr-un pool de adrese
disponibile, pentru o perioada limitata de timp, decisa de server sau pana cand clientul ii spune
serverului ca nu ii mai trebuie adresa.
DHCP-ul functioneaza intr-o relatie client-server. Cand PC-ul se conecteaza la serverul DHCP,
acesta ii aloca o adresa IP. PC-ul se conecteaza la retea cu IP-ul inchiriat pana cand timpul de
inchiriere expira. Periodic hostul trebuie sa ceara prelungirea perioadei de inchiriere.
Mecanismul de inchiriere asigura ca la mutarea hostului sau la pierderi de curent hostul nu
pastreaza o adresa de care nu are nevoie. Serverul DHCP ia adresele eliberate si le pune
inapoi in pool-ul de adrese disponibile.
Mesajele folosite:
-discover: este broadcast, DHCPDISCOVER, comunica cu serverul pe adresele de broadcast
de L2 si L3. Client ----> server
-offer: de obicei este unicast, trimite o adresa IP hostului. Serverul creaza o intrare ARP cu
MAC-ul hostului si adresa IP pe care i-o trimite. Server ---->client; uneori poate fi broadcast
-request: are 2 scopuri: originatorul lease-ului si innoirea si verificarea lease-ului. Originator =
hostul cere confirmarea pentru IP-ul propus de server; mai serveste si ca o notificare a
acceptarii IP-ului trimisa serverului care ii propune adresa si o refuzare a celorlalte IP-uri
propuse de celelalte servere. E broadcast. Client ----->server
-acknowledge: cand primeste mesajul request, serverul verifica informatiile de lease, creaza o
intrare in tabela ARP, si raspunde cu un mesaj DHCPACK. Cand primeste mesajul ACK,
clientul inregistreaza (log) informatia si face o cerere ARP pe IP-ul respectiv (daca ii raspunde
cineva inseamna ca acea adresa nu e valida, se repeta in retea…). Daca nu-i raspunde nimeni
la cererea ARP va considera adresa ca valida si o va folosi.
Timpul pentru care se inchiriaza o adresa este setat de administrator; cei mai multi ISP-isti si
marile retele folosesc setarile default de pana la 3 zile. La expirarea lease-ului clientii cer o alta
adresa, cu toate ca de cele mai multe ori o primesc pe aceeasi.
Daca mai multe servere raspund unui mesaj discover, clientul nu poate alege decat 1 adresa IP.
86
BOOTP vs DHCP
BOOTP este predecesorul DHCP-ului, cu care are cateva caracteristici comune. BOOTP este
un mod de a downloada adresa si configuratiile de bootare pentru statiile fara disc (hdd si fara
sistem de operare). Si DHCP si BOOTP folosesc sistemul client-server si transmisia UDP prin
porturile 67 si 68.
O buna practica este sa configurezi intai adresele excluse, ca acestea sa nu fie alocate de
DHCP inainte sa le poti defini ca excluse.
Comanda este:
R1(config)#ip dhcp excluded-addresses adresa_minima adresa_maxima
R1(config)#ip dhcp excluded-addresses 192.168.1.1 192.168.1.9
Configurarea pool-ului:
R1(config)#ip dhcp pool nume
R1(dhcp-config)#
DHCP tasks
Trebuie definite reteaua si masca + gateway sau default router (maxim 8 adrese).
Optional mai poti defini serverul DNS, numele domeniului, perioada de inchiriere / lease,
servere WINS
R1(config)#ip dhcp excluded-addresses adresa_minima adresa_maxima
R1(config)#ip dhcp excluded-addresses 192.168.1.1 192.168.1.9
86
R1(config)#ip dhcp pool LAN1
R1(dhcp-config)#network 192.168.1.1 255.255.255.0
R1(dhcp-config)#default-router 192.168.1.1
R1(dhcp-config)#domain-name alexandru.com
R1(dhcp-config)#end
Serverul DHCP este activat by default, dar daca parametrii nu sunt configurati, nu se produce
nici un efect.
Verificarea DHCP-ului
R1# show ip dhcp binding >>> arata o lista a legaturilor adreselor IP cu MAC care au fost
oferite prin DHCP.
R1#show ip dhcp server statistics >>> contorizeaza numarul de mesaje de DHCP care au
fost trimise si primite.
R1#show ip dhcp pool
Serverele WINS sunt de obicei in retele care suporta versiuni de windows mai vechi de windows
2000.
86
Troubleshooting
1. rezolva conflictele de adrese IP (R1#show ip dhcp conflict)
2. verifica conectivitatea fizica
3. testeaza conectivitatea fizica prin configurarea unei adrese statice pe host
4. verifica switch port configuration (STP portfast si celelalte comenzi)
5. verifica din ce subnet isi obtine clientul adresa IP de la serverul DHCP (vezi daca ii da o
adresa corecta)
Daca serverul este in alta subretea decat clientul, verifica existenta comenzii ip helper-address
pe interfata din LAN-ul clientului si ca refera adresa serverului DHCP.
Verifica sa nu fie dezactivat serviciul DHCP (no service dhcp).
Verifica daca routerul (configurat ca server dhcp) primeste DHCP requests (debug ip packet
detail ) pe o lista de acces pentru output-ul debugului; acest debug nu este intruziv pentru
router.
Verifica daca routerul primeste si forwardeaza requesturi dhcp (prin comanda debug ip dhcp
server packet).
R1#debug ip dhcp server events >> arata evenimentele de la server, ca alocarea adreselor
sau update-ul bazei de date + decodarea receptiei si transmisiei dhcp.
Network Address Translation [NAT] asigura conversia adreselor private in adrese publice.
Adresele private nu au voie sa iasa in internet, iar daca se intampla sa iasa, sunt aruncate de
routerele ISP-istului.
NAT-ul converteste adresele IP non-rutabile in adrese rutabile!
Alt beneficiu este ca ascunde adresele dintr-o retea de cei aflati in retele exterioare / din afara.
De obicei NAT-ul este activat pe un device aflat la marginea unei retele stub.
Inside local address= de obicei nu e alocata de ISP / RIR, este o adresa privata.
Inside global address = adresa publica valida data de NAT unei adrese inside local.
Outside global address = adresa IP a unui host din internet.
Outside local address = adresa IP locala a unui host dintr-o retea exterioara.
Dinamic = foloseste un pool de adrese publice si le aloca pe criteriul primul venit – primul servit.
Cand se termina adresele publice disponibile… surpriza.
Static = alocarea se face 1 la 1, hosturile din retea vor avea mereu aceeasi adresa publica. E
folosit pentru servere / hosturi care trebuie sa fie accesibile din internet.
O forma a NAT-ului dinamic este NAT overloading (se mai numeste si PAT – port address
translation), care mapeaza mai multe adrese private pe mai putine adrese publice, in acelasi
timp. Acest lucru este posibil pentru ca acest tip de NAT inregistreaza si numarul portului. Cand
86
un client deschide o sesiune, NAT-ul inregistreaza si portul aferent adresei sursa. Astfel, daca
mai multe hosturi din reteaua interna primesc pachete pe aceeasi adresa publica, NAT-ul le
diferentiaza dupa portul catre care sunt trimise pachetele (portul sursa initial devine acum port
destinatie, cand sunt trimise inapoi pachete de la destinatie). In plus se valideaza si ca
pachetele primite au fost cerute (deci un spor de securitate).
Numerele porturilor se scriu pe 16 biti, ceea ce corespunde unui numar teoretic de 65536 de
porturi pentru aceeasi adresa IP, dar real sunt doar in jur de 4000 de porturi corespunzatoare
unei adrese IP.
Comportamentul NAT overload este sa nu schimbe numarul portului daca nu este necesar.
Totusi daca 2-n hosturi trimit pachete cu aceleasi porturi, cand se face translatia, NAT modifica
numarul portului, dand numarul urmatorului port disponibil, din 3 range-uri: 0-511, 512-1023.,
1024-65535. Daca nu mai sunt porturi disponibile, NAT da urmatoarea adresa IP si reia
procesul de alocare a porturilor.
Avantajele NAT-ului:
1. conserva adresele publice
2. mareste flexibilitatea conexiunilor la retelele publice
3. ofera consistenta pentru schema de adresare interna
4. creste securitatea retelei
Dezavantajele NAT-ului:
1. performanta este degradata
2. functionalitatile end-to-end sunt degradate
3. se pierde urmarirea (traceability) IP end-to-end
4. tunelarea devine mai complicata
5. initierea conexiunilor TCP poate fi distrusa
6. arhitectura trebuie sa fie refacuta pentru a trata schimbarile
Exemplu:
R1(config)#ip nat inside static 192.168.10.254 209.165.200.254
R1(config)#int s0/0/0
86
R1(config-if)#ip nat inside
R1(config)#int s0/1/0
R1(config-if)#ip nat outside
Exemplu:
Router(config)#ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask
255.255.255.240
Router(config)#access-list 1 permit 192.168.0.0 0.0.255.255
Router(config)#ip nat inside source list 1 pool NAT-POOL1
Router(config)#int s0/1
Router(config-if)#ip nat inside
Router(config)#int s1/1
Router(config-if)#ip nat outside
Exemplu:
access-list 1 permit 192.168.0.0 0.0.255.255
ip nat inside source list 1 interface serial 0/1/0 overload
int s0/1
ip nat inside
int s1/1
ip nat outside
Exemplu:
access-list 1 permit 192.168.0.0 0.0.255.255
ip nat pool NAT-POOL2 209.165.200.226 209.165.200.240 netmask 255.255.255.240
ip nat inside source list 1 pool NAT-POOL2 overload
int s0/1
ip nat inside
int s1/1
ip nat outside
Port forwarding
= deschiderea porturilor / trimiterea pachetelor care vin pe un anumit port catre o adresa IP.
S..n. si tunelare. Peer-to-peer functioneaza numai dinspre interior spre exterior. Ca masura de
securitate routerele broadband nu permit requesturile retelelor externe sa fie forwardate unui
host intern.
Troubleshooting:
R1#show ip nat translations {verbose} >>> dar inainte trebuie sa stergi orice intrare de
translatie dinamica, pentru ca acestea se elimina (time-out) dupa o perioada de inactivitate;
verbose adauga informatii suplimentare.
R1#show ip nat translations {statistics} >>> arata informatii despre numarul total de
translatii, parametrii de configurare NAT, cate adrese sunt in pool, cate adrese au fost alocate.
R1#show run >>> si cauti info despre NAT, acl si pool
Intrarile despre translatiile NAT expira default dupa 24 ore in lipsa comenzii ip nat translation
timeout nrSecunde.
clear ip nat translation inside global-ip local-ip [outside local-ip global-ip] >>> sterge doar
o intrare dinamica de translatie, inside sau inside si outside.
clear ip nat translation protocol inside global-ip global-port local-ip local-port [outside
local-ip local-port global-ip global-port] >>> sterge o intrare de translatie dinamica extinsa
debug ip nat {details} ofera informatii despre fiecare pachet translatat de catre router +
informatii despre erori / exceptii (ex: nu poate aloca o adresa publica).
IPv6
IPv6 satisface complexitatea din ce in ce mai mare a adresarii ierarhice pe care IPv4 nu o mai
poate acoperi.
O adresa IPv6 este un numar pe 128 biti => numarul total de adrese este 2 128. (3.4 x 1039)
Numele / denumirea IPv5 a fost folosit(a) ca sa defineasca un protocol de streaming real time
experimental; ca sa nu se creeze confuzii, s-a decis ca respectivul nume sa nu fie folosit.
In esenta IPv6 a aparut ca urmare a epuizarii adreselor IPv4. In plus in IPv6 au fost incluse noi
feature-uri si imbunatatiri (lessons learned).
2. simplificarea headerului:
Dispar mai multe campuri pe care IPv4 le avea, 4 campuri sunt redenumite, sunt pastrate doar
3 campuri nemodificate (headerul IPv6 are doar 8 campuri si 40 de octeti). Aceasta simplitate
duce la:
- eficienta imbunatatita pentru rutare, scalabilitate pentru performanta si rata de forwardare
- nu exista broadcast => nu exista broadcast storm
- nu exista checksum
- extension header
- flow labels pt procesarea pre-flow ca sa nu mai fie nevoie ca pachetul de la L4 sa fie identificat
cu diferite fluxuri de trafic.
Sfatul pentru tranzitii este „dual stack where you can, tunneling where you must!”
86
Adresele unicast pe care IANA le aloca in prezent sunt din range-ul care incepe cu valoarea
binara 001 (2000::/3), care echivaleaza cu 1/8 din totalul adreselor IPv6. IANA aloca spatiul de
adrese 2001::/16 catre cei 5 RIR registries (ARIN, RIPE, APNIC, LACNIC, AfriNIC).
Adrese rezervate
Reprezinta 1/256 din totalul adreselor IPv6. Nu specifica din ce bloc de adrese…
Adrese private
Similar cu IPv4, doar ca in acest caz incep cu FE{8-F} (valori de la 8 la F). Sunt de 2 feluri:
- adrese site-local – ar trebui sa acopere adresarea dintr-un site sau organizatie, dar din 2003
au devenit criticate si problematice in RFC 3879. Incep in hexa cu valoarea FEC, FED, FEE,
FEF.
- adrese link-local – se refera doar la o anumita legatura fizica; routerele nu forwardeaza
pachete cu adrese link-local, nici macar in cadrul organizatiei. Sunt folosite doar pentru
comunicarea locala, cum ar fi configurarea automata a adreselor, descoperirea vecinilor si
descoperirea routerului. Multe protocoale IPv6 folosesc adrese link-local. Au valorile FE8, FE9,
FEA, FEB.
Adresa de loopback
0:0:0:0:0:0:0:1 sau ::1
Unspecified address
Este folosita de host cand nu are adresa / nu-si cunoaste adresa, este 0:0:0:0:0:0:0:0 (mai
poate fi scrisa si :: )
Stateless autoconfiguration:
Nu este specificat cum, doar ca configureaza automat device-urile, si non-PC, ca sa fie plug-
and-play - sa se conecteze la retea.
86
Configurarea DHCPv6 (stateful):
Permite serverului DHCP sa trimita configurari IPv6 nodurilor IPv6. Poate fi folosita in paralel cu
configurarea stateless autoconfiguration.
Dual stack = 1 nod are implementat si este conectat simultan in retele IPv4 si IPv6 <=>
routerele si switchurile suporta ambele protocoale, dar IPv6 este protocolul preferat.
Tunelarea este a 2-a tehnica de tranzitie majora, are mai multe variante:
1. tunelare manuala IPv6-over-IPv4 = un pachet IPv6 este incapsulat intr-un pachet IPv4, dar
necesita dual stack
2. tunelarea dinamica 6to4 = conecteaza automat insulele IPv6 prin retele IPv4, de obicei peste
internet. Aloca dinamic un prefix IPv6 unic si valid fiecarei insule de IPv6, ceea ce permite un
deploy rapid al IPv6 in retelele corporate, fara sa mai fie nevoie de obtinerea adreselor IPv6 de
la ISP-isti sau registries.
Alte tehnici de tunelare mai putin populare:
3. tunelare Intra-Site Automatic Tunnel Address Protocol [ISATAP] = mecanism care creeaza
automat tunele si care foloseste reteaua IPv4 ca link layer pentru IPv6 (se creeaza o retea IPv6
folosind infrastructura IPv4).
4. tunelarea Teredo = tunelare automata host-to-host; este trimis traficul IPv6 unicast cand
hosturile dual-stack se afla in spatele unuia sau mai multor NAT-uri IPv4.
5. NAT protocol translation [NAT-PT] = conversie din IPv6 in IPv4. La acest moment este cea
mai putin preferata metoda si ar trebui folosita ca ultima solutie (last resort).
La tunelarea IPv6, cand pachetul IPv6 este incapsulat intr-un pachet IPv4, campul protocol type
va avea valoarea 41, iar pachetul va contine si headerul IPv4 de 20 octeti si fara options =>
MTU scade cu 20 de octeti + este greu de facut troubleshooting. Necesita dual stack.
*reprezinta o solutie intermediara si scopul final este tranzitia la arhitectura nativa IPv6.
In cazul IPv6 sunt cateva provocari noi ale acestor zone functionale:
Control plane:
1. dimensiunea adresei IPv6, care nu mai poate fi procesata intr-un singur ciclu de procesare ci
din 2 cicluri de 64 de biti (adresa IPv6 are 128 de biti).
2. multiple adrese IPv6 ale nodurilor duc la un consum mai mare de memorie cache pentru
Neighbor Discovery
3. protocoale de rutare IPv6, care au update-urile de rutare mai mari
4. dimensiunea tabelei de rutare – este mai mare si necesita mai multa memorie.
Data plane:
1. parsarea extensiilor headerelor IPv6 – daca se folosesc ACL-uri pt pachete cu si fara header
extins, posibil ca cele cu header extins sa nu poata fi procesat in hardware (sa depaseasca
dimensiunea fixa a registrului hardware al routerului) si sa fie aruncate.
2. cautarea adresei IPv6 ca sa determine interfata de iesire. Se folosesc ASIC-uri, dar iar apare
problema de procesare si pachetele pot fi aruncate.
Activarea IPv6
RouterX(config)#ipv6 unicast-routing
RouterX(config-if)#ipv6 address ipv6prefix/prefix-length eui-64
Configurarea RIPng
1. activezi IPv6 prin comanda ipv6 unicast-routing
2. RouterX(config)#ipv6 router rip name
3. RouterX(config-if)#ipv6 rip name enable
Show-uri:
show ipv6 interface {brief}
show ipv6 neighbors
show ipv6 protocols
show ipv6 rip
show ipv6 route {summary}
show ipv6 routers
show ipv6 static
show ipv6 static adresaIPv6
show ipv6 static interface s0/0/0 >>> s0/0/0 este interfata de iesire (outgoing)
show ipv6 traffic
7.4.1.1
*********************
cap 8 – network troubleshooting
Documentarea retelei:
Ca sa poti pune diagnosticul corect si sa rezolvi problemele unei retele, trebuie sa stii cum a
fost proiectata (design) si care este performanta asteptata de la reteaua respectiva. Aceste
informatii formeaza network baseline si sunt documentate (in tabele de configuratie si topologii
de retea).
Informatiile de documentare a retelei trebuie tinute intr-un singur loc, fie pe hartie, fie pe un site
securizat, si ar trebui sa contina urmatoarele:
1. tabelul de configurare a retelei
2. tabelul de configurare a end-systems
3. diagrama de topologie a retelei
Diagrama de topologie a retelei: este o reprezentare grafica a retelei, care arata cum sunt
conectate echipamentele si care este arhitectura logica a retelei.
Ar trebui sa contina cel putin:
- simboluri pentru toate echipamentele si cum sunt conectate
- tipul si numarul interfetelor
- IP
- masca
Network baseline:
E important ca sa ai la ce sa te raportezi cand verifici o retea / ca sa stii cum este fata de o
referinta. Vei putea sa raspunzi la intrebari ca:
- care este functionarea normala a retelei
- unde sunt zonele sub- si suprautilizate
- unde apar cele mai multe erori
- ce praguri trebuie setate pentru device-urile care trebuie monitorizate
- este reteaua capabila sa furnizeze ce s-a dorit de la ea
Metode de troubleshooting:
1. botton up – cea mai indicata cand problema e de natura fizica. Dezavantajul este ca trebuie
sa verifici fiecare device si interfata de retea pana cand gasesti cauza si ca trebuie sa
documentezi fiecare concluzie si posibilitate, deci va trebui sa faci multa hartogaraie.
2. top down – de folosit daca problema este simpla sau daca suspectezi ca problema e
cauzata de software. Dezavantajul este ca trebuie sa verifici fiecare aplicatie de retea, pana
gasesti problema + faci multa hartogaraie
3. divide and conquer – alegi un layer si testezi in ambele directii.
Culegerea de informatii:
1. analizezi simptoamele existente
2. determini ownership (daca problema este in sistemul tau sau este in afara controlului tau /
sistemului autonom)
3. limiteaza aria de cuprindere – vezi la ce zona a retelei este problema (distribution, access,
core)
4. culege (aduna) simptoame de la device-urile suspecte
5. documenteaza simptoamele
8.2.6.1
Troubleshooting tools
Sunt software si hardware.
Software:
- network management system tools [NMS] – includ tool-uri de monitorizare, configurare si fault
management. Exemple: CiscoView, HP Openview, Solar Winds, What's Up Gold.
- knowledge base – on line, completate cu motoare de cautare (google,…)
- baseling tools – te ajuta sa faci diagrama retelei, sa tii documentatia la zi despre
componentele soft si hard ale retelei, sa vezi eficienta folosirii bandwidth-ului. Exemple:
SolarWinds LAN surveyor, CyberGauge
- protocol analyzer – (wireshark); captureaza frame-uri, le decodeaza la nivel de layer si
afiseaza informatia intr-un mod usor de urmarit.
Hardware:
- network analysis module [NAM] e un modul care poate fi atasat switchurilor din seria Catalyst
6500 sau routerelor din seria 7600 si care ofera grafic informatii despre traficul din retea.
- digital multimeters [DMM] masoara voltajul, curentul si rezistenta. Sunt folosite sa verifice daca
echipamentele primesc (suficient) curent.
- testere de cablu – testeaza diferite tipuri de cabluri de date, detecteaza cablurile stricate,
cross-over wirings, cabluri prost cablate (improperly paired). Cele mai scumpe sunt TDR [time-
domain reflectometer]; cele pentru fibra optica sunt optical TDR [oTDR].
- analizoare de cablu: sunt device-uri multifunctionale, folosite pentru testarea si certificarea
diferitelor tipuri de cablu, conform cu diferite servicii si standarde.
- portable network analyzers: sunt folosite pentru troubleshooting la nivel de switch sau vlan.
8.3.1.1
Acesti pasi nu sunt liniari, pana cand se ia o decizie pot fi mai multe iteratii.
86
ISDN, DSL, Frame Relay, leased line sunt folosite ca sa conecteze branchuri individuale la o
arie. Frame Relay, ATM si leased line sunt folosite sa conecteze ariile externe la backbone.
ATM si leased line formeaza backbone-ul WAN.
Multe WAN-uri ale companiilor se conecteaza la internet => parti ale traficului pot sa treaca
peste internet. Sunt mai multe variante posibile: fiecare retea a companiei se conecteaza la un
ISP diferit, fie toate se conecteaza la un ISP, dintr-o conexiune core.
Diagrama fizica: arata layoutul fizic, modul in care sunt conectate deviceurile la retea. Contine:
- tipul device-ului
- modelul si producatorul
- versiunea sistemului de operare
- tipul si identificatorul cablului
- specificatiile cablului
- tipul de conector
- endpoint-urile de cablare
Diagrama logica: arata modul in care sunt transferate datele in retea. Sunt desenate
(reprezentate prin simboluri) routere, servere, huburi, hosturi, VPN concentratoare, device-uri
de securitate. Contine:
- identificatorul device-ului
- adresa IP si masca
- identificatorul interfetei
- tipul conexiunii
- DLCI pentru circuitele virtuale
- VPN-urile site-to-site
- protocoalele de rutare
- rutele statice
- protocoalele data-link
- tehnologiile WAN folosite
86
Simptomele problemelor de la layerul fizic
Este singurul layer care are elemente tangibile. Daca reteaua este afectata la nivel fizic, va
afecta toate layerele.
Simptoame comune la layerul fizic:
- performante sub baseline: cele mai comune cauze sunt: servere suprasolicitate sau
subalimentate cu curent, configuratii nepotrivite ale switcurilor / routerelor, congestii de trafic pe
linkuri de capacitate mica, pierderea cronica a frame-urilor
- pierderea conectivitatii: daca e permanent = a picat device-ul sau cablul; daca e intermitent =
conexiunea e oxidata.
- numar mare de coliziuni: de obicei numarul mare de coliziuni poate fi urmarit si identificata
sursa (care e un device); coliziunile pot fi generate de un cablu, de huburi, de linkuri expuse la
zgomote / interferente electrice externe. Media coliziunilor trebuie sa fie sub 5%.
- botleneck sau congestii in retea: daca pica un router, interfata sau cablu, protocoalele de
rutare pot redirectiona traficul catre alte routere care nu au fost gandite sa sustina si incarcarea
suplimentara => congestii sau bottleneck-uri
- rata mare de utilizare a procesorului: poate duce la shut down sau picarea device-ului
- mesaje de eroare de la consola
Simptoame:
- nu am conectivitate sau functioneaza prost de la layerul 2 in sus
- reteaua functioneaza sub nivelul de performanta al baseline-ului. Are 2 variante: a) frame-urile
sunt transmise pe o cale ilogica, dar pana la urma ajung la destinatie (cauza posibila: STP prost
gandit), b) frame-urile sunt aruncate
- broadcast excesiv – in general este cauzat de a) aplicatii prost programate sau configurate, b)
domenii de broadcast mari, c) probleme de retea ca bucle STP sau rute care flapeaza.
- mesaje de la consola (de obicei line protocol down)
Cele mai multe probleme ale PPP implica link negociation. Pasii pentru troubleshooting sunt:
- verifica incapsularea corecta la ambele capetele ale linkului, cu comanda show interface
serial
- verifica daca negocierea link control protocol [LCP] s-a incheiat cu succes (vezi mesajul de la
LPC sa fie open)
- verifica autentificarea la ambele capete ale linkului cu comanda debug ppp authentication
86
STP ar trebui sa ruleze pe toate switch-urile, cu exceptia celor care nu sunt parte din topologia
fizica looped (cu bucle).
1. identifica daca se creaza bucle STP:
- pierderi de conectivitate de la / catre / in regiunile de retea afectate
- incarcare mare a CPU routerelor din segmentele afectate
- utilizare mare a linkurilor (100% de regula)
- utilizare mare a switch backplane (fata de baseline)
- mesaje de syslog care arata ca pachetele au intrat intr-o bucla
- mesaje syslog care arata ca sunt constant reinvatate adrese sau mesaje ca adresele MAC
flapeaza
- cresterea numar de pachete aruncate de mai multe interfete
2. descoperi zona (scope) in care se manifesta bucla: ca sa o opresti – te uiti la interfetele cu
cea mai mare utilizare a linkului. Inregistreaza aceasta informatie, ca sa poti sa gasesti cauzele
buclei.
3. sparge / opreste bucla: pune in shut down sau deconecteaza porturile unul cate unul si
verifica utilizarea backplane. Porturile care doar forwardeaza flood-ul nu cauzeaza bucla,
trebuie sa le opresti pe cele care au cauzat bucla. Cand opresti un port care doar forwardeaza
flood-ul, nu scazi decat putin din utilizarea backplane!
4. gaseste si repara cauza buclei: uita-te la diagrama de topologie ca sa gasesti caile
redundante si pentru fiecare switch de pe calea redundanta verifica daca acesta: a)stie STP
root corect, b)are portul root definit corect, c)se primesc BPDU pe portul root si pe cel blocat
d)sunt trimise regulat BPDU pe porturile non-root, designated ports
5. refa redundanta.
Troubleshooting:
De obicei retelele contin rute statice si rute dinamice. Daca rutele statice sunt prost configurate
pot sa duca la bucle de rutare sau sa faca anumite parti ale retelei sa nu poata fi accesate.
Troubleshootingul rutelor dinamice presupune o intelegere in detaliu a protocolului dinamic
folosit.
Troubleshooting:
1. Ping in default gateway => arata daca L1 si L2 functioneaza corect
2. verifici conectivitatea end-to-end (extended ping de pe router Cisco) => arata daca L3
functioneaza corect
3. verifici modul de operare al ACL si NAT
- show access-list
- clear access-list counters
-- show ip nat translations
-- clear ip nat translations *
-- debug ip nat
-- in running-config verifici daca ip nat inside si ip nat ouside sunt configurate corect.
4. verifica conectivitatea protocoalelor de layere superioare – pot fi restrictionate de filtre sau
firewall-uri.
Corectare:
1. faci un backup
2. corecteaza (schimba) ceva la hard sau soft
3. evalueaza si documenteaza fiecare schimbare si rezultat
4. determina daca schimbarea rezolva problema
5. opreste-te cand ai rezolvat problema
6. daca este cazul, solicita asistenta din afara
7. documenteaza
86