CCNA1 R&S - Cap. 11 It's A Network

Chapter 11: Its a
Network
CCNA1 Routing &

Switching
Introduction to Networking
Instructor Oana Ghionoiu
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1
Topologii retele mici
Retelele mici implica, de obicei, un router si unul sau mai
multe switch-uri. Pot avea AP-uri wireless si telefoane IP.
In ceea ce priveste conexiunea la Internet, o retea mica are
o singura conexiune WAN prin DSL (Digital Subscriber Line
accesare Internet prin retea de telefonie), cablu sau
conexiune Ethernet.
Selectare echipamente pentru o retea mica
O retea, oricat de mica ar fi, necesita o planificare. In planificare se iau in
calcul factorii de cost si optiunile de implementare. Un echipament
important este dispozitivul intermediar. Cand se alege se tine cont de:
Cost este determinat de capacitatea si caracteristicile dispozitivului
(capacitati de management, de securitate, numar porturi, viteza/port).
Viteza si tipul interfetelor / porturilor (actualmente exista NIC-uri de 1
Gbps).
Extensibilitate configuratii fixe sau modulare.
Caracteristicile sistemului de operare si servicii, ca: securitate, QoS,
VoIP, comutare layer 3, NAT, DHCP,
Adresarea IP pentru o retea mica
Toate gazdele trebuie sa aiba o adresa IP unica.
Exemple de device-uri ce fac parte din planificarea IP:
End device-uri
Servere si periferice
Gazde accesibile din Internet
Device-uri intermediare
Planificare IP ajuta administratorul pentru:

Urmarirea device-urilor si troubleshooting
Controlul accesului la resurse
Redundanta in retelele mici
Redundanta ajuta la eliminarea punctelor de esec din retea.
Redundanta se poate realiza prin instalarea de echipamente
duplicat in retea sau prin legaturi duble in punctele critice.
Exemple:
Conexiuni redundante switch-switch sau switch-router.
Servere cu mai multe porturi NIC care permit conexiuni
redundante la unul sau mai multe switch-uri.
Aplicatii si protocoale in retelele mici
Aplicatii de retea (Network Applications) programe software
utilizate pentru a comunica in retea. Exemple: clienti e-mail si
browsere web.
Serviciile nivelului Application (Application Layer Services) -
programe interfata cu reteaua si care pregatesc datele pentru
transfer. Diferite tipuri de date (text, grafica, video, etc) necesita
diferite servicii de retea.
Protocoale de retea: DNS , Telnet , SSH, IMAP, SMTP, POP,
DHCP, HTTP, HTTPS, FTP .
Protocoalele de retea definesc:
Procesele de la capetele unei sesiuni de comunicare;
Tipuri de mesaje;
Sintaxa mesajelor;
Sensul campurilor informationale;
Cum sunt trimise mesajele si raspunsul
asteptat;
Interactiunea cu stratul inferior.
Aplicatii real-time pentru retelele mici
Infrastructura trebuie evaluata daca suporta sau nu
aplicatii in timp real. Exemplu: Switch-urile vechi nu suporta
PoE (Power over Ethernet), cablarea invechita nu poate
sustine cerintele de latime de banda.
VoIP cerinte: routere care suporta configuratii de voce.
Telefonie IP - telefonul IP foloseste un server dedicat pentru
controlul apelurilor, realizeaza conversie voce-IP.
Aplicatii in timp real - utilizeaza Real-Time Transport
Protocol (RTP) si Real-Time Transport Control Protocol
(RTCP). Permit mecanisme QoS.
Dezvoltarea unei retele mici
Pentru a dezvolta o retea trebuie sa se tina cont de urmatoarele
considerente:
Documentatie topologie fizica si logica
Inventarul device-urilor
Buget
Analiza traficului
Gestionarea traficului
in retea se realizeaza
cu software de analizare
trafic (Wireshark).
Informatiile colectate pot
fi folosite pentru a lua decizii
cu privire la modul de a
gestiona traficul mai eficient.
Amenintari la securitatea retelei
Categorii de amenintari:
Furt de informatii
Furt de identitate
Pierdere de date / manipulare date
Intrerupere serviciu
Securitate fizica a dispozitivelor

Categorii de amenintari fizice:
Amenintari hardware daune fizice pentru servere, switch-
uri, routere, cabluri;
Amenintari de mediu temperaturi extreme (prea cald / prea
rece), umiditate extrema (prea umed / prea uscat);
Amenintari electrice alimentare insuficienta, tensiunea prea
mare;
Amenintari de intretinere cablare slaba, lipsa de piese de
schimb.
Presentation_ID 9
2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Vulnerabilitati si atacuri de retea
Virus- software rau intentionat, atasat la un alt program pentru a
executa o anumita functie pe o statie de lucru.
Cal troian intreaga aplicatie a fost scrisa pentru a arata ca altceva
dar, de fapt, este un instrument de atac. Exemplu: program atasat la
fisierul command.com (interpret principal pentru sistemele de
operare Windows), sterge anumite fisiere.
Vierme program de sine statator care ataca un sistem si incearca
sa exploateze o vulnerabilitate a sistemului.
Clasificare atacuri de retea:
Reconnaissance Attacks atacuri de recunoastere descoperire
vulnerabilitati, mapare sisteme si servicii (scanare porturi, ping-uri,
interogari Internet);
Access Attacks atacuri de acces manipularea neautorizata a datelor,
acces la sistem sau privilegii de utilizator (redirectionare trafic porturi,
schimbare parole);
Denial of Service Attacks (DoS) - dezactivare retea, sisteme, servicii (ex:
prea multe ping-uri)
Prevenire atacuri de retea
Backup, Upgrade, Update software antivirus.
Autentificare, Autorizare si Contabilizare
Autentificare prin user si parola, raspunsuri la anumite intrebari.
Solutie pentru retele mari autentificare externa, prin server de
retea extern. Cele mai populare optiuni: RADIUS (standard deschis
cu utilizare optima de procesor si memorie; utilizat pentru dispozitive
de retea ca switch-uri, routere si dispozitive wireless) si TACACS+
(mecanism de securitate care permite autentificare, autorizare si
contabilizare servicii; utilizeaza un program TACACS+ daemon
care ruleaza pe un server de securitate).
Autorizare dupa autentificare, serviciile de autorizare determina ce
resurse poate accesa utilizatorul si ce operatiuni i se permit.
Contabilizare se inregistreaza ce face utilizatorul.
Firewall
Un firewall este pozitionat intre doua sau mai multe retele,
controleaza traficul dintre ele si previne accesul neautorizat.
Tehnicile folosite pentru a determina ce este permis sau
interzis sunt:
Filtrarea de pachete pe baza
adresei IP sau adresei MAC;
Filtrarea aplicatiilor previne sau
permite accesul la diferite aplicatii
bazate pe numere de port;
Filtrarea URL previne sau permite
accesul la site-uri web pe baza de
cuvinte cheie;
Inspectie pachete - Stateful Packet
Inspection (SPI) recunoaste si
filtreaza tipuri de atacuri, cum ar fi
DoS.
Securitatea device-urilor
Securizarea end-device-urilor si device-urilor intermediare.
Numele de utilizator si parolele implicite trebuie schimbate imediat.
Accesul la resursele sistemului trebuie sa fie doar pentru
persoanele autorizate.
Aplicatiile si serviciile inutile trebuie dezinstalate si dezactivate.
Update uri programe de securitate.
PAROLELE
Securitate de baza pentru device-uri intermediare
Criptare parole:
Router(config)#service password-encryption
Lungime minima pentru parole
Router(config)#security password min-length 8
Blocare atac:
Router(config)#login block-for 120 attempts 3 within 60
Blocheaza tentativele de conectare 120 de secunde, in cazul in
care exista 3 tentative nereusite in 60 de secunde.
Configurare baner:
Router(config)#banner motd #mesaj#
Setare EXEC timeout deconecteaza automat utilizatorii pe o linie,
daca au fost inactivi pe durata specificata (ex. 10 minute)
Activare SSH
Pas 1 configurare
nume de domeniu IP
Pas 2 creare cheie
de criptare, folosind
algoritmul RSA,
lungime minima de
1024 biti. Lungimea
poate fi intre 360 de
biti si 2048 de biti.
Pas 3 creare nume
utilizator secret
pentru acces la baza
de date
Pas 4 activare
sesiuni SSH pe linia
VTY
Ping - Interpretare mesaje ICMP
! - indica primirea unui mesaj de raspuns la o cerere ICMP.
. - indica timpul expirat in timp ce se asteapta mesajul de
raspuns.
U - ping finalizat cu succes, a fost primit un mesaj ICMP.
Testarea Loopback
C : \ > ping 127.0.0.1
Rspunsul la aceast comand poate fi:
Rspuns de la 127.0.0.1 : bytes = 32 time < 1ms TTL = 128
Statistici ping pentru 127.0.0.1 :
Pachete : Trimis = 4 , primite = 4 , Lost = 0 ( 0 % pierderi ) ,
Aproximativ dus-intors in milisecunde :
= 0 ms minime , maxime = 0ms , Average = 0ms
Modul extins al comenzii Ping
Ping fara adresa IP
R2# ping
Protocol [ip]: (se accepta protocolul implicit IP si se tasteaza Enter)
Target IP address: 192.168.10.1
Repeat count [5]: (sa se repete de 5 ori. Se accepta tastand Enter)
Datagram size [100]: (marimea datagramei. Se accepta tastand Enter)
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 10.1.1.1
Type of service [0]:
Comanda Tracert
Comenzile de verificare SHOW
Comenzi uzuale:
show running-config
show interfaces
show arp
show ip route
show protocols
show version
Comanda show version
Versiunea Cisco IOS

Versiune program bootstrap
Imagine Cisco IOS

CPU si RAM
Numarul si tipul interfetelor
fizice
Cantitatea de NVRAM
Cantitatea de Flash
Comanda ipconfig
ipconfig afiseaza adresa IP, subnet mask, default
gateway.
ipconfig /all afiseaza si adresa MAC.
ipconfig /displaydns afiseaza toate intrarile DNS.
Comanda arp
Permite crearea, editarea si afisarea de mapari
adrese MAC-adrese IPv4, precum si tipul de adresare
(static / dinamic)
Comanda show cdp neighbors
Comanda show ip interface brief
Se utilizeaza pentru a verifica starea interfetelor unui
router sau switch.
Activitate 11.3.4.5
Fisierele de sistem ale router-ului
Comanda show file systems- afiseaza toate fisierele de
sistem valabile. Ex: pentru un router Cisco 1941.
* Asterisk indica faptul ca acesta este fisierul implicit curent.

Backup (copie de rezerva) Tera Term
Copie de rezerva (backup) utilizand TFTP
Fisierele de configurare pot fi salvate intr-un server TFTP.
copy running-config tftp salvare running configuration
intr-un server tftp.
copy startup-config tftp - salvare startup configuration
intr-un server tftp.
Copie de rezerva (backup) prin USB
Dispozitiv multifunctional
Router wireless Linksys
Are rol de switch, router si wireless access point.
Asigura rutare, comutare si conectivitate wireless.
Routerele wireless Linksys utilizate in uz casnic si pentru
retele mici.
Cisco Integrated Services Router (ISR) - familie de produse
concepute pentru birouri, retele mici, retele mari.
Conectivitate wireless
Wireless Mode majoritatea
routerelor integrate wireless
suporta standardele 802.11b,
802.11g si 802.11n
Service Set Identifier (SSID)
numele de utilizator (exemplu:
NichitaE2)
Wireless Channel spectru
RF impartit in canale
Securitate de baza pentru conexiune wireless
Schimbare valori implicite.

Dezactivare SSID broadcasting difuzare SSID.
Utilizare criptare - WEP sau WPA
Wired Equivalency Protocol (WEP) foloseste chei pre-
configurate pentru criptare si decriptare. Fiecare device
wireless trebuie sa aiba aceeasi cheie WEP.
Wi-Fi Protected Access (WPA) foloseste chei de criptare
(intre 64 biti si 256 biti). De fiecare data cand se stabileste o
conexiune cu AP-ul, se genereaza o noua cheie. Din
aceasta cauza WPA este mai sigur ca WEP.
Configurarea unui router integrat
Se asigura accesul la router prin

conectarea unui cablu la unul din
porturile Ethernet LAN ale
routerului.
Device-ul conectat obtine
automat informatii despre
adresarea IP de la routerul
integrat.
Schimbare username-ul implicit,
parola si adresa IP Implicita,
pentru securitate.
Activare Wireless
Configurare mod wireless.
Configurare SSID .
Configurare canal RF.
Configurare criptare.
Configurare client Wireless
Setarile de configurare ale clientului trebuie sa se
potriveasca cu cele ale routerului.
SSID
Setari de securitate
Canal

CCNA1 R&S - Cap. 11 It's A Network

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

CCNA1 R&S - Cap. 11 It's A Network

Încărcat de

Drepturi de autor:

Formate disponibile

Chapter 11: Its a

CCNA1 Routing &

Planificare IP ajuta administratorul pentru:

Securitate fizica a dispozitivelor

Versiunea Cisco IOS

Imagine Cisco IOS

* Asterisk indica faptul ca acesta este fisierul implicit curent.

Schimbare valori implicite.

Se asigura accesul la router prin

S-ar putea să vă placă și