Rughinis

Înainte de toate ...
Mult succes în anul universitar

2009-2010!
Reţele Locale de Calculatoare

RL - general
• curs introductiv în proiectarea şi administrarea reţelelor de

calculatoare
• materia are un pronunţat caracter practic
• site-ul cursului este http://cs.curs.pub.ro
• suport de curs: Reţele Locale, Printech 2008
• Cartea este publicata pe Google books si poate fi cumpărată de la
EF007 (orarul este pe siteul cursului)
• Secţiunea de administrare a laboratorului se bazează pe soluţii Linux
• Regulile de desfasurare a activitatii la cursul de Retele locale sunt
afisate pe portalul cs.curs.pub.ro:
http://cs09.curs.pub.ro/mod/resource/view.php?id=1069

De ce Linux la laborator?
• stabil, transparent
• multe dintre serviciile de reţea sunt implementate folosind servere Linux
• free/open-source
• comunitate activă şi dinamică de dezvoltare
• număr mare de distribuţii → diversitate
• majoritatea studenţilor sunt familiarizaţi cu Windows ca desktop, dar nu
se simt confortabili în mediul Linux

Plan de curs – 3CB
– 05.10.2009: Introducere. Mediul fizic (3 ore)
– 12.10.2009: Ethernet (3 ore)
– 19.10.2009: Adresare IP
– 26.10.2009: Rutare
– 02.11.2009: Wireless
– 09.11.2009: Transmission Control Protocol
– 16.11.2009: DNS
– 23.11.2009: Test grilă 1
– 07.12.2009: Email, WWW
– 14.12.2009: Atacuri si securizarea reţelei (3 ore)
– 21.12.2009: Alte servicii
– 04.01.2010: Servicii Windows
– 11.01.2010: Prezentări
• aşteptăm feedback şi sugestii pe site

Plan de curs – 3CC
– 07.10.2009: Introducere. Mediul fizic (3 ore)
– 14.10.2009: Ethernet
– 21.10.2009: Switching. Adresare IP (3 ore)
– 28.10.2009: Rutare
– 04.11.2009: Wireless
– 11.11.2009: Transmission Control Protocol
– 18.11.2009: DNS
– 25.11.2009: Test grilă 1
– 09.12.2009: Email, WWW
– 16.12.2009: Atacuri si securizarea reţelei (3 ore)
– 23.12.2009: Alte servicii
– 06.01.2010: Servicii Windows
– 13.01.2010: Prezentări
• aşteptăm feedback şi sugestii pe site

Laborator
• orientat pe sarcini de laborator (task-uri)

• citirea suportului de curs şi laborator este foarte importantă
• laboratorul se face pe semigrupe (14 studenţi)
• laboratorul se face pe Linux
• scopul laboratorului este aprofundarea noţiunilor prezentate
la curs şi dobândirea de deprinderi în configurarea
serviciilor şi aplicaţiilor de reţea

Site
• http://cs.curs.pub.ro
• autentificare
– au fost importate conturile din anul trecut, dar nu a fost făcută înscrierea la curs
pentru toţi studenţii
• Forum de ştiri; aici vor fi puse anunţurile
• Forum de întrebări generale (care nu au o legătură neapărată cu
materia)
• Forum de feedback
• o săptămână cuprinde:
– prezentarea cursului
– capitolul din suportul de curs asociat
– sarcinile de laborator
– forum pentru întrebări şi feedback pentru curs/laborator

RL - Notare
• 4p - examen scris (10 subiecte, 60 de minute, in sesiune)
• 1p - 5 teste grila din materia cursului predat
– CB: 12.10 (Etherenet), 19.10 (IP), 26.10 (Rutare), 14.12 (Atacuri de retea), 11.01
(Prezentari)
– CC: 21.10 (Switching. IP), 28.10 (Rutare), 04.11 (Wireless), 16.12 (Atacuri de
retea), 13.01 (Prezentari)
• 2p - tema
• 2p - grila (+1/-0.5) din materia de laborator (laborator 1-6)
– CB - 23.11, ora 10:00
– CC - 25.11, ora 17:00
• 2p - test practic din toata materia de laborator
• Total = 11p (nota se trunchiază la 10)
• Punctajul minim pentru absolvirea cursului este 5.00

• Bonus de maxim 0.5p în cazul unei prezentări (ultimul curs) despre un
subiect relevant pentru materia cursului de Retele de Calculatoare, ce nu a
fost prezentat in curs.

Examen scris
În reţeaua dată pentru cele două reţele cu switchuri s-au folosit 4. Cum se realizează securitatea memoriei
adrese private, astfel R1 şi R3 vor asigura translatare de la nivelul sistemului de operare?
adresă cu supraîncărcare (PAT). Vom considera că tabelele 5. Descrieţi comparativ stiva de protocoale
ARP din reţea au fost configurate static pentru toate OSI şi stiva de protocoale TCP/IP
destinaţiile. 6. Tipuri de codificare în transmisia digitală
1. Descrieţi antetele pachetelor apărute în reţea în cazul în care 7. Care este rolul câmpului durată din
antetul 802.11?
A trimite un singur pachet către E.
8. Pentru configurarea unei zone de nume
2. Ambele switchuri sunt repornite. Staţia E trimite un pachet pe un server bind este necesară editarea
către Z, iar X un pachet către D. Ce intrări vor exista în tabela a 3 fişiere. Care este rolul fiecăruia dintre
de comutare a switchului sw2 în final? cele 3 fişiere?
3. Câte domenii de difuzare (broadcast) sunt în topologia dată? 9. La ce se referă sintagma „social
engineering”?
10. În urma unui handshake între un client
A X (C) şi un server (S) se stabilesc
numerele de secvenţă 1000, respectiv
2000 în cele două sensuri de
comunicaţie. Clientul interoghează
7 1 serverul folosind 3 pachete succesive de
100 de octeţi (payload TCP), iar serverul
îi răspunde (pentru fiecare pachet)
Sw1 24 0 R1 folosind pachete de 1000 de octeţi. După
transmiterea celor 3 pachete şi a
s0 răspunsurilor la acestea, clientul iniţiază
1
încheierea conexiunii. Descrieţi antetul
s0 TCP (flag-uri şi numerele de secvenţă) al
1
1 2 segmentelor schimbate (inclusiv
R3
încheierea conexiunii).
Sw2 0 0 R2
7 8 7 1
D E Y Z

Reguli
• Folosire persoana a doua singular

• Suportul de curs trebuie parcus ÎNAINTE de laborator
• Se poate veni la alt laborator doar în primele două
săptămâni. Acceptarea la laborator se face doar pe bază
de transfer pe întreg semestrul
• Fără laptop-uri la curs
• Orice formă de copiere → restanţă

Aşteptări
• Este indicata şi benefică participarea activă a studenţilor la curs,

laborator, forumuri
• Interactiunea de la curs nu va fi limitata la aria materiei de curs
• Prezenta la curs nu este obligatorie
• Punctualitate
• Pauza 10 minute. Revenire în sală fără invitaţie
• Nu este recomandat sa scrieti la curs, informatiile se regăsesc în
prezentare

Cursul 1
Introducere în problematica Retelelor Locale
Mediul fizic
07.10.2009
Universitatea POLITEHNICA Bucureşti

Internet
“Getting information off the Internet is like taking a drink from a fire
hydrant.”
Mitchell Kapor
“The Internet is the first thing that humanity has built that humanity doesn't
understand, the largest experiment in anarchy that we have ever had.”
Eric Schmidt

Ce este o reţea de calculatoare?
• Sistem de interconectare a mai multor sisteme de calcul
• Conexiunea între componentele unui calculator se realizează
prin magistrale (circuite electrice pe placa de bază) şi
chipset-uri
• Conexiunea între sisteme de calcul diferite se realizează prin
intermediul unor dispozitive (plăci de reţea, switch-uri, rutere)
şi a unor medii de comunicaţie (cabluri electrice, fibră optică)
dedicate

Dimensiunea fizică a unei reţele
Distanţa între procesoare Localizare procesoare Reţea

1 mm Centimetru pătrat Micro nw (pe siliciu)
1 cm Decimetru pătrat Platformă multiprocesor
1m Metru pătrat Personal Area Network
10 m Cameră
Local Area Network
100 m Clădire
1 km Campus
10 km Oraş Metropolitan Area Net
100 km Ţară
Wide Area Network
1000 km Continent
10 000 km Planetă Internet

LAN, MAN, WAN
• Clasificare în funcţie de distanţa între nodurile reţelei, concretizată
printr-un număr de protocoale specifice fiecărui tip de reţea
• LAN – Local Area Network
– Standardele dominante sunt Ethernet şi WLAN (IEEE 802.11)
– Separaţia (conectarea) între LAN şi MAN/WAN se realizează cu un
ruter (gateway)
• MAN – Metropolitan Area Network
– rar întâlnite în reţelele actuale
• WAN – Wide Area Network
– Numeroase protocoale: MPLS, ATM, Frame Relay, PPP

De ce este nevoie de o reţea de calculatoare?
• Mărirea capacităţii de stocare: file sharing

• Mărirea puterii de calcul: sisteme distribuite
• Partajarea unei resurse (imprimantă) de către toate
sistemele din retea
• Posibilitatea accesării unei resurse şi a lucrului de la distantă
(remote)
• Comunicaţia facilă între persoane aflate la distanţă (chat,
messaging, video conference)
• Gaming

Topologia unei reţele de calculatoare
• Modalitatea de conectare între nodurile unei reţele
• Un nod dat poate avea una sau mai multe legături către alte noduri;
legăturile (conexiunile) pot avea diverse aspecte
• Între două noduri o simplă legătură este suficientă; o a două legatură
poate fi adăugată pentru asigurarea unei comunicaţii în ambele
sensuri
• În ziua de azi, majoritatea cablurilor de reţea includ mai multe
perechi de fire pentru a facilita comunicaţia în ambele sensuri

Topologii de reţele de calculatoare
Inel Stea Interconectare completă

(Ring) (Star) (full mesh)
Arbore
Liniar (Tree)
(Line) Magistrală
(Bus)
Medii de transmisie
• Transmisie ghidată
– Cupru: cablu coaxial, cablu torsadat (twisted pair)
– Fibră optică
• Transmisie neghidată
– Aer – transmisia fără fir (wireless)
• Mediul de transmisie este responsabil cu transformarea
informaţiei binare în semnal (electric, optic, electromagnetic)

Medii de transmisie - imagini
Cablu UTP
Cablu coaxial (Unshielded Twisted Pair)
Fibră optică

Dispozitive de reţea
• Placă de reţea – network card, network adapter, NIC (Network Interface

Controller)
– Permite sistemului să comunice cu un altul aflat în aceeaşi reţea
• Repetor, hub – folosit pentru regenerarea şi amplificarea semnalului
• Switch – folosit pentru interconectarea sistemelor de calcul dintr-o reţea
(topologie stea)
• Ruter – folosit pentru interconectarea mai multor reţele de calculatoare
(LAN); folosit în WAN

Dispozitive de reţea - imagine

Interfaţa de reţea
• Network interface
• Se referă la un punct de comunicaţie cu o reţea de calculatoare (o placă de
reţea, un port al unui dispozitiv avansat de reţea)
• Un calculator cu o placă de reţea are o singură interfaţă de reţea; un
calculator cu două plăci are două interfeţe
• Un switch/ruter are mai multe interfeţe de reţea – mai multe porturi de
comunicaţie
• Denumirea de interfaţă de reţea se referă şi la abstracţia dată de sistemul
de operare
– configurarea unei plăci de reţea sau a unui port al unui ruter se numeşte
“configurarea unei interfeţe”
– pe un sistem Unix/Linux, interfeţele de plăci de reţea Ethernet sunt denumite
eth0, eth1, etc.
– o interfaţă virtuală denumită interfaţă de loopback este folosită pentru a referi
staţia curentă ca şi cum aceasta s-ar afla într-o reţea (deşi aceasta nu exista
fizic)

Protocol
• Comunicaţia între două entităţi necesită existenţa unui protocol

• Ce este un protocol?
– Un set de reguli care guvernează modul în care două dispozitive schimbă
informaţie într-o retea
• Exemple:
– Întâlnirea între un CEO al unei companii americane şi unul al unei companii
japoneze – protocolul impune forma în care se va realiza salutul, limbajul folosit,
etapele întâlnirii
– Transmiterea unui mesaj de poştă electronică (e-mail) între două entităţi: impune
ca acestea să inţeleagă structura informaţiei transmise/recepţionate
• Mesajele transmise în reţea se mai numesc pachete

Stiva de protocoale OSI
Aplicaţie Servicii de reţele, aplicaţii
Prezentare Reprezentarea datelor
Sesiune Controlul sesiunilor
Transport Controlul fluxului de date
Reţea Selectarea căii către

destinaţie
Legătură de Acces la mediu
date
Fizic Transmisie binară

Stiva de protocoale TCP/IP
• Pentru a abstractiza cât mai mult

Utilizator complexitatea lucrului cu reţeaua,
se stabileşte o stivă de protocoale;
protocolul de nivel inferior oferă
servicii celui de de nivel superior
• Stiva de protocoale utilizată în
Aplicaţie Internet este stiva TCP/IP
• IP este protocolul esenţial de la
nivelul Reţea, iar TCP de la nivelul
Transport Transport
Reţea • Nivelul Aplicaţie este cel care

oferă servicii utilizatorului (transfer
de fişiere, control de la distanţă,
Acces la mediu transmitere e-mail, etc.)
• Nivelul Transport este responsabil
cu asigurarea controlului fluxului
(pachetele să ajungă în ordine şi
Mediu fizic
nealterate)

Nivelul fizic
• Servicii oferite
– Transformare bit -> semnal
– Controlulul vitezei biţilor (bit-rate)
– Sincronizare biţi
– Multiplexare
• Pentru transmitere, datele binare se tranformă în
semnale electromagnetice
• Semnalele pot fi analogice sau digitale

Analogic / Digital
…101010001…
…101010001…
Date digitale
codare/ decodare/
modulare demodulare
… …
Mediul fizic
Semnal analogic sau digital
Semnale analogice
• Caracteristici
– Amplitudine – nivelul maxim al semnalului
– perioada/frecvenţa – viteza de schimbare raportată la
timp
– Faza – poziţia formei de undă raportată la momentul
de timp zero

Semnale digitale

Semnale digitale
• Caracteristici:
– Bit interval (echivalent perioadă)
– Bit rate (echivalent frecvenţă)
• Nu există semnal digital pur; un semnal digital se obţine din semnale
analogice cu diferite frecvenţe
• Un semnal digital este un semnal compus cu bandă infinită

Probleme la transmisie
• Atenuare
-> Soluţie : Repetor
• Crosstalk
-> Soluţie: Torsadare
• Zgomot
-> Soluţie: Ecranare

Performanţa unei reţele
• Throughput
– Cantitatea de date transmise în unitatea de timp
– Unităţi de măsură:
• KB = 210 bytes
• Mbps = 106 bits per second
• Latenţa
– Timpul necesar pentru ca un semnal (sau bit) să ajungă din
punctul A în punctul B
– one-way vs round-trip time (RTT)
– Componente:
• Timpul de propagare
• Latenţa introdusă de echipamente

Transmisia analogică
• Modularea datelor digitale – conversia digital-analogic
– ASK – Amplitude Shift Keying
– PSK – Phase Shift Keying
– FSK – Frequency Shift Keying
• Bit rate – numărul de biţi pe secundă

• Baud rate – numărul de semnale pe secundă
• Baud rate <= bit rate

Transmisia analogică - Modulare

Transmisia digitală
• Line coding – este denumită şi digital baseband
modulation
– Unipolară – un singur nivel de tensiune care reprezintă 1;
absenţa înseamnă 0
– Polară – două niveluri de tensiune
– Bipolară – trei niveluri: pozitiv, negativ şi zero

Codificare polară

Codificare – Exemplu
Bits 0 0 1 0 1 1 1 1 0 1 0 0 0 0 1 0
NRZ
Clock
Manchester
NRZI

Multiplexare
• Analogică
– FDM – frequency division multiplexing
– WDM – wave division multiplexing (mediu optic)
• Digitală
– TDM – time division multiplexing

Multiplexare - FDM

Multiplexare - WDM

Multiplexare - TDM

Medii de transmisie
• Cu fir (ghidat)
– Cablu coaxial
– Cablu torsadat (twisted-pair cable)
• UTP
• STP / FTP
• ScTP
– Fibră optică
• Multimode
• Singlemode
• Fara fir (neghidat)
– Unde radio
– Microunde
– Infraroşii

Cablu coaxial
Category Impedance Use
RG-59 75 Ω Cable TV
RG-58 50 Ω Thin Ethernet
RG-11 50 Ω Thick Ethernet

Cablu torsadat (UTP, STP)

Categorii de cablu torsadat
Categorie Frecvenţă Viteză Standard
Cat 1 1Mbps Telefonia clasică
Cat 2 4Mbps Transmisiuni seriale
TokenRing
10 Mbps 10BaseT
Cat 3 16MHz 100 Mbps 100BaseT4
TokenRing
16 Mbps 10BaseT
Cat 4 20MHz 100 Mbps 100BaseT4
ATM,
TokenRing,
10 Mbps 10BaseT
Cat 5 100MHz 100 Mbps 100BaseTX
10 Mbps 10BaseT,
100 Mbps 100BaseTX,
Cat 5e 155MHz 1 Gbps 1000BaseT
100Mbps 100BaseTX
Cat 6 250MHz 1 Gbps 1000BaseT
Cat 6a 500MHz 10 Gbps 10GBaseT
Cat 7 625MHz 10 Gbps 10GbaseT
Cat 8 1200Mhz 10 Gbps 10GbaseT
Tipuri de cablu UTP

Fibra optică

Fibra optică (2)
Type Core Cladding Mode

Multimode, graded-
50/125 50 125
index
Multimode, graded-
62.5/125 62.5 125
index
Multimode, graded-
100/125 100 125
index
7/125 7 125 Single-mode

Fibra optică (3)

Atenuarea pe fibră optică
Tip fibră Multimode Single mode

Lungime de undă 850nm sau 1300nm 1310nm sau 1550nm

Splicers
Tip splice Loss

Mecanic 0,2 dB
Sudură 0,05 dB

Wireless

Wireless
• Unde radio – comunicatii multicast: radio si televiziune
• Microunde – comunicatii unicast: telefoane mobile, retele
de sateliti, Wireless LAN
• Infrarosii – transmisii pe distanta scurta

Spectrul electomagnetic
0 2 4 6 8 10 12 14 16 18 20 22 24
f(Hz) 10 10 10 10 10 10 10 10 10 10 10 10 10
Radio Microwave Infrared UV X ray Gamma ray
4 5 6 7 8 9 10 11 12 13 14 15 16
10 10 10 10 10 10 10 10 10 10 10 10 10
Satellite Fiber optics

Coax
AM FM Terrestrial microwave
TV

Media converter
• electric – electric
• Electric – optic
• Electric – wireless (Access Point)

Repetorul
• Repetor electric
• Repetor optic
• Repetor wireless

Linii telefonice

Modem
• MOdulator/DEModulator

High Speed Digital Access: DSL
• Digital Subsriber Line
• ADSL – Asymmetric DSL: destinata utilizatorilor;
nepotrivită pentru mediu business
• Lăţimea de bandă poate ajunge la 1.1 MHz

DSL (2)

Principiile reţelelor Ethernet
– curs 2 –
12.10.2009
14.10.2009

Un pic de istorie
• 1970: apare in Hawaii reteaua ALOHANET. Ea unea
insulele arhipelagului folosind ca mediu de transmisie
undele radio. Mediul de transmisie era partajat intre
utilizatori
• 1976: in Xerox PARC (Palo Alto Research Center) Bob
Metcalfe (care studiase ALOHANET) si David Bogs
proiecteaza si implementeaza primul LAN, denumit
Ethernet (numele vine de la eter, substanta prin care, in
secolul 19, se credea ca se propaga undele
electromgnetice )
– Functiona pe cablu coaxial gros partajat intre utilizatori
– Distanta maxima 2,5 km (5 segmente de 500m unite prin 4
repetoare)
– Suporta maxim 256 calculatoare
– Latime de banda: 2,94Mbps
Reţele Locale de Calculatoare 2

Un pic de istorie (cont.)
• DEC, Intel si Xerox colaboreaza pentru a crea
un standard de 10Mbps, denumit standardul
DIX
• 1983: IEEE transforma standardul DIX in
standardul 802.3
• Xerox nu dezvolta Ethernet-ul, si Bob Metcalfe
pleaca de la Xerox formand 3COM. Pana in
1999 a vandut mai mult de 100 milioane de placi
de retea Ethernet

Technologii de LAN
Ethernet Concurenţa
1984 802.3 – 1 Mbps
802.5 – 4 Mbps
802.3 – 10 Mbps
802.5 – 16 Mbps
1995 ATM – 155 Mbps
1996 802.3u – 100 Mbps
ATM – 622 Mbps
1998 802.3z – 1000 Mbps
2003 802.3ae – 10 Gbps
In curs de standardizare 40G Ethernet (OC-768)

IEEE si 802
802.1 Arhitectura şi principiile generale ale switchurilor

802.2 Controlul legăturii logice (Sunivelul LLC)
802.3 Ethernet
802.4 Token Bus
• IEEE are un grup de 802.5 Token Ring
standardizare în
domenniul ingineriei 802.6 DQDB – Standardul de MAN
electrice 802.7 Tehnologii brodband
• Grupul pentru 802.8 Tehnologii de comunicaţie peste fibra optică
reţelele locale de 802.9 Isocronus LAN
calculatoare este
802 802.10 Reţele locale virtuale (VLAN)
802.11 Reţele fără fir (WLAN)
802.12 Mecanisme de priorităţi pentru reţele locale
802.13 Neasignat
802.14 Modemuri de cablu
802.15 Bluetooth
802.16 Reţele metropolitane fără fir (Brodband WMANs)

Cablarea Ethernet
• Ethernetul foloseste patru
tipuri de cabluri
– Coaxial gros
– Coaxial subtire
– De tip Tisted Pair
– Fibra optica

Limitările nivelului fizic
• Nivelul 1 poate comunica doar cu subnivelul MAC

• Nivelul 2 foloseşte subnivelul LLC pentru a comunica cu
nivelul 3
• Nivelul 1 nu poate identifica staţiile

• Nivelul 2 oferă suport pentru o schemă de adrese
• Nivelul 1 gestionează fluxuri de biţi

• Nivelul 2 foloseşte cadre pentru organizarea octeţilor

IEEE si OSI
• Standardele concepute de IEEE se refera la
operarea retelelor la nivelele 1 si 2
Stiva OSI Specificaţii de LAN

subnivel IEEE 802.2
Nivelul LLC
legătură de
subnivel
Ethernet
IEEE 802.3
IEEE 802.5
date
10 Base T
MAC
FDDI
Nivelul fizic

Subnivelul LLC
• Compus din partea independenta de tehnologia de
transmisie din nivelul legătură de date
• Asigura interfata intre diferite protocoale de nivel 3 cu
diferite tehnologii de LAN
• A fost definit in IEEE 802.2
IPX IPv4 IPv6 AppleTalk
LLC
802.5 802.3 802.11 FDDI

Subnivelul MAC
• Media Access Control se ocupa de protocoalele
pe care le foloseste un host pentru a accesa
mediul de transmisie
• Construieste cadrul (unitatea de date pentru
nivelul 2)
– Contruieste sirul de 1 si 0 pentru nivelul fizic
• Este dependent de mediul de transmisie si de
tehnologia folosita

Adresarea in Ethernet
• Ethernet foloseste un sistem de adresare pentru
a identifica in mod unic fiecare computer sau
interfata. Acest sistem de adresare este unul
local (valabil doar in interiorul LAN-ului)
• Adresele utilizate se numesc adrese MAC. O
adresa MAC indentifica in mod unic o interfata
de retea ce foloseste Ethernet
• Adresa MAC este scrisa intr-o memorie ROM si
incarcata in RAM la initializare interfetei de
retea. Ea nu poate fi schimbata. In schimb,
sistemul de operare poate fi configurat sa
foloseasca alta adresa MAC

Formatul adresei MAC
• Adresa MAC are 48 de biti
si este scrisa sub forma a
12 cifre hexazecimale.
– Primele 6 cifre (24 de biti)
sunt administrate de IEEE si
identifica producatorul. OUI ID interfaţă
Aceasta parte se mai
24 biţi 24 biţi
numeste OUI
6 cifre hexa 6 cifre hexa
(Organizational Unique
Identifier) 00 11 43 3E 34 99
– Ultimele 6 cifre sunt
administrate de catre
producator si pot reprezenta
de ex. un numar serial
asociat interfetei de retea

Tipuri de adrese MAC
• Exista trei tipuri de adrese MAC:
– Adresa unicast (adresa cea mai uzual intalnita). Ea
identifica un singur destinatar
ex: 00.10.A7.22.FE.63
– Adresa broadcast. Este folosita pentru a identifica
toate calculatoarele din retea
FF.FF.FF.FF.FF.FF
– Adresa multicast (rar folosita). Este folosita pentru a
identifica un grup de calculatoare. Este identificata
prin faptul ca primul octet este impar.
ex: 01.00.5E.00.A1.11

Adresa MAC
• Adresa MAC are o structura liniara (plată).
• Singurul mod de căutare într-o bază de date după
adresa MAC este căutarea secvenţială. Prin urmare cu
cat numarul de adrese MAC devine mai mare, cu atat
gestionarea lor devine mai dificila
• Adresa MAC poate fi folosita pentru adresare doar in

interiorul retelelor locale
• Pentru comunicarea in exteriorul retelei locale este
nevoie de un alt sistem de adresare, la nivelul 3 (de ex.
IP, IPX)

Determinism vs. cost
• Protocoalele pot fi deterministe sau non-deterministe
– Protocoalele deterministe
• Sunt protocoale ce se comporta in mod predictibil
• Exemplu: Token Ring, FDDI
– Protocoalele non-deterministe
• Folosesc in general o abordare de tipul primul venit, primul sosit.
• Exemplu: CSMA/CA, CSMA/CD (Carrier Sense Multiple Access
with Collision Detection) - pentru a transmite, o placa de retea
asculta mediul de transmisie si, daca nu transmite altcineva in
acelasi timp, atunci poate incepe transmisia. Daca doua statii
transmit simultan, se produce o coliziune
• Tehnologii de nivel 2 des intalnite sunt Ethernet şi
Wireless LAN

Incapsularea datelor
Flux Date Aplicaţie
Flux Date Prezentare
Flux Date Sesiune
Antet 4 Date Date Date Date Transport
Antet 3 Antet 4 Date Reţea
Antet 2 Antet 3 Antet 4 Date CRC Legătură date
1110110101000100100011…. Fizic
• Inainte de a fi transmise pe cablu datele sunt

incapsulate intr-un cadru

Incapsularea datelor la nivelul 2
• Nivelul 1 asigura transmiterea de biti encodati. Pentru ca datele sa

ajunga la destinatar este nevoie de mai multa informatie. Aceasta
informatie este daugata de nivelul 2 si organizata in cadre (frames)
• Un tip general de cadru contine urmatoarele campuri:
– Start Cadru secventa de biti ce anunta inceputul unui cadru
– Adresă contine adresele MAC ale sursei si destinatiei
– Tip/Lungime specifica protocolul de nivel 3 utilizat sau lungimea
cadrului in octeti
– Date contine mesajul trimis
– CRC contine un numar calculat de sursa bazandu-se pe datele trimise.
Destinatia calculeaza si ea numarul folosind acelasi algoritm, si, daca
numarul nu este egal cu cel al sursei, nu ia cadrul in considerare
Start Tip /
Adresă Date CRC
cadru Lungime

Cadrul Ethernet
• Structura cadrului este aproape identica pentru toate
implementarile Ethernet (de la 10Mbps la 10Gbps)
• Cadrul pentru versiunea Ethernet IEEE 802.3 are
urmatoarele campuri:
7 1 6 6 2 46 - 1500 4
Start Adresă Adresă Tip /
Preambul Date CRC
cadru destinţie sursă Lungime
64 - 1518
• Primi 8 octeţi sunt folosiţi pentru sincronizare şi nu vor fi socotiţi în
calculul dimensiuni cadrului
• Campul preambul este format din 7 octeţi 0xAA, iar octetul de start
cadru are valoarea 0xAB
• Campul tip / lungime are următoarea semnificaţie:
– sub 0x0600 – câmpul este interpretat ca lungime
– peste 0x0800 – câmpul este interpretat ca tipul protocolului de nivel 3

CSMA/CD – Trimiterea unui cadru
Este mediul B
liber?
A C
7 1 6 6 2 46 - 1500 4
0xAA … 0xAB MAC B MAC A 0x0800 Date CRC

CSMA/CD – Recepţionarea unui cadru
Sunt eu
MAC B?
Este CRC
corect?
Sunt eu
B MAC B?
A C
7 1 6 6 2 46 - 1500 4
0xAA … 0xAB MAC B MAC A 0x0800 Date CRC

CSMA/CD – Apariţia unei coliziuni
Este mediul
B liber?
A C
• Semnalul de bruiaj (“jam signal”) este biţi de 0 şi 1 alternativ:

01010101….
• Funcţionarea CSMA/CD este definită de 2 parametrii:
– n – numărul maxim de încercări de retransmisie
• valoare sa implicită este 16
– q – controlează timpul de aşteptare înainte de retransmisie
• 2q reprezintă timpul maxim ce îl va aştepta o staţie
• valoare sa implicită este 10
Tratarea coliziunilor
Se primesc date
pentru transmisie
Nu
Mediu
liber?
Da
Asamblează cadrul
Începe transmisia
Da
A apărut o Transmite semnal
coliziune? de bruiaj
Nu
încercări= Aşteaptă x microsecunde
Transmite cadrul încercări+1 (x random din {0, 21, …, 2q})
următor
Da Iniţiază algoritmul
Da
încercări < de backoff
Mai sunt max_încercări
cadre? ?
Nu
Nu
Transmisie Abandonează
încheiată transmisia

Mediu partajat
• Ethernet a fost proiectat ca un protocol shared media (mediu

multiacces – mai multe staţii conectate la acelaşi mediu fizic)
• Coliziunile şi broadcasturile sunt prevăzute în funcţionarea Ethernet
• Domeniu de coliziune – grup de segmente de reţea conectate fizic
prin dispozitive de nivel 1 (repetor, hub, tranceiver) în care se pot
produce coliziuni
• Domeniu de broadcast – toate host-urile care aud un broadcast
trimis de unul dintre ele
• În reţelele Ethernet full-duplex

– fiecare port al switchului împreună cu nodul de reţea conectat reprezintă un
domeniu de coliziune
– infrastructura de reţea devine o infrastructură dedicată (faţă de una partajată în
cazul folosirii de repetoare, sau de Ethernet peste mediu coaxial)

Caracteristici ale reţelelor Ethernet
• Bit Time este timpul necesar transmiterii unui singur bit.
– Intr-o retea Ethernet de 10Mbps, pentru trimiterea unui bit sunt
necesare 100ns.
– Pentru 100Mbps, bit time-ul este de 10ns
– La 1000 Mbps bit time-ul ajunge sa fie 1ns
• SlotTime este timpul necesar semnalului pentru a parcurge cel mai
lung segment de reţea
– pentru 10Mbps si 100Mbps el este de 512*Bit Time (=64 de octeti),
– pentru 1000MBps este de 4096*Bit Time (=512 octeti)
– Pentru toate versiunile de Ethernet cu viteze de transmisie mai mici sau
egale cu 1000Mbps, o transmisie nu trebuie sa dureze mai putin decat
slot time-ul
• Interframe spacing reprezintă timpul minim între două cadre
succesive
– Valoarea sa este de 96 * Bit Time
– Rolul sau este sa permita statiilor lente sa proceseze cadrul curent si sa
se pregateasca pentru urmatorul cadru

Tipuri de coliziuni
• Coliziunile locale (local collisions)
– Se produc in reteaua locala
– Pe cablu coaxial sunt detectate prin cresterea tensiunii electrice peste
limita maxima admisa
– Pe un cablu twisted sunt marcate de detectarea unui semnal pe perechea
de fire RX simultan cu transmiterea unui semnal pe perechea de fire TX
• Coliziunile la distanta (remote collisions)
– Nu se produc in reteaua locala
– Sunt marcate de existenta unor frame-uri cu o lungime mai mica decat
lungimea minima acceptata si care prezinta un FCS invalid
– In plus nu indeplilesc conditiile de coliziune locala
• Coliziunile târzii (late collisions)
– Se produc dupa ce au fost trimisi primii 64 de octeti
– Cea mai importanta diferenta intre ele si coliziunile la distanţă este ca un
NIC retransmite automat cadrele care au produs coliziuni inainte de primii
64 de octeti, dar nu le retransmite pe cele produse dupa
– Retransmisia cade in sarcina nivelurilor superioare (care detecteaza
absenta frame-ului prin time-out)
Erori in Ethernet
• Principalele surse de erori in Ethernet sunt:
– Collision sau runt. Transmisie simultana produsa inainte de
expirarea slot-time-ului
– Late collision. Transmirie simultana produsa dupa expirarea
slot-time-ului
– Jabber, long frame sau range errors. Transmisie excesiv de
lunga
– Short frame, collision fragment sau runt. Transmisie ilegal de
scurta
– FCS error. Transmisie corupta
– Alignment error. Numar insuficient sau prea mare de biti
transmisi
– Range error. Numarul de octeti din frame nu corespunde cu cel
declarat (in campul Type/Length)
– Ghost sau jabber. Preambul prea lung sau semnal de jam

Auto-negocierea in Ethernet
• Auto-negocierea permite comunicarea intre
doua noduri de retea cu viteze de transfer
diferite (de ex. 10Mbps si 100Mbps)
• Acest mecanism permite realizarea
compatibilitatii “inapoi” intre noile versiuni de
Ethernet ce apar si vechile versiuni
• Prezinta avantajul de a implica doar nivelul fizic
• La fiecare 16ms se trimit doua tipuri de semnale:
– NLP (Normal Link Pulse): semnale transmise pentru
a indica prezenta nodului de retea (indica o viteza de
10Mbps)
– FLP (Fast Link Pulse): un grup de NLP-uri trimise
pentru auto-negiciere
Auto-negocierea in Ethernet (cont.)
• In cadrul auto-negocierii fiecare statie transmite
un FLP in care isi comunica capabilitatile. Dupa
ce fiecare statie receptioneaza semnalele
celeilalte, de comun acord aleg viteza de
transmisie cea mai mare.
• O varianta de stabilire a vitezei de operare este
de a forta interfata sa functioneze sa functioneze
la o anumita viteaza

Negocierea unei conexiuni Full-Duplex
• Pentru stabilirea unei conexiuni Full-Duplex
exista doua variante:
– un proces complet de auto-negiciere
– fortarea ambelor interfete pe Full-Duplex
• Daca o interfata este fortata pe Full-Duplex si
cealalta incearca un proces de auto-negociere,
vor aparea coliziuni si stabilirea legaturii va esua
• Standardul de 10Gbps permite doar conexiuni
Full-Duplex

Gigabit Ethernet
• Există implementări atât pe cupru (802.3ab) cât
şi pe fibră optică (802.3z).
• Diferenţele între standardele Ethernet de viteze
diferite (10 Mb,100 Mb,1 Gb, 10 Gb) apar la
nivelul fizic.
• Formatul cadrului este acelaşi ca la Ethernet sau
la FastEthernet
• Gigabit Ethernet pune foarte repede un bit pe
mediu, având un bit time de 1 ns.

802.3ab
• Pentru transmiterea Gigabit Ethernet pe cupru
există 2 implementări:
-> se foloseşte cablu UTP CAT5e sau

mai bun (CAT 6,7)
250 Mb -> se transmite pe fiecare fir 125 Mbps
,deci pe fiecare pereche 250 Mb
-> pentru a ajunge la 1 Gb se folosesc
toate perechile în transmisie
-> se transmit date doar pe 2 perechi

-> se transmit 500 Mb pe fiecare
500 Mb pereche
-> această implementare este mult
mai des înâlnită

1000 Base SX si 1000 Base LX
• Soluţie pentru MAN
• 1000 Base – SX foloseşte LED-uri care transmit
cu o lungime de undă de 850 nm
• Echipamentele sunt mai ieftine, însă distanţa
maximă pe care se poate transmite este destul
de mică
• 1000 Base – LX transmite la 1310nm folosind
laser
• Distanţa maximă ajunge pana la 5000 m,
echipamentele fiind sensibil mai scumpe

Comutarea în reţelele Ethernet

Latenta retelei
 Latenţa reprezintă timpul necesar unui cadru pentru a
ajunge de la sursă la destinaţie.
Surse ale latenţei:
• Latenţa transmisiei la nivelul interfeţei de reţea
~1 microsecunda pentru 10 BASE-T
• Latenţa de propagare
~0,556 microsecunde pentru 100 m cablu CAT 5 UTP
• Latenţa cauzată de echipamentele de interconectare
aceasta este cea mai importantă sursă de latenţă
variază în funcţie de tipul dispozitivului de interconectare (de nivel 1, 2 sau 3)
La ce nivel apare cea mai mare latenţă?

Dispozitive de interconectare
Reţea
ruter
Legătură date switch, bridge
switch Ethernet
Fizic repetor, hub, MC (media convertor)
hub Ethernet

Modul de operare al switchului
MAC A – e7 MAC A – e24

MAC B – e9 MAC B – e24
MAC C – e1 1 24 MAC C – e2
sw 1 sw 2
7 9 2
A B C
Un switch
• Operează la nivelul 2 al modelului OSI
• Se bazează pe menţinerea unei tabele cu asocieri între adrese MAC şi porturi
• In cazul în care nu cunoaşte portul destinaţie trimite pachetul pe toate porturile
exceptând portul sursă

Comutarea cadrelor
• Pentru a comuta cadre, se citeşte adresa MAC destinaţie, iar apoi
aceasta este căutată secvenţial în tabela de comutare:
– Daca adresa nu este găsita în CAM switchul trimite cadrul pe toate
porturile mai puţin portul sursă → flooding
– Dacă adresa se gaseşte în CAM dar este asociată cu portul sursă a
cadrului, cadrul este ignorat
– Dacă adresa se afla în CAM şi portul asociat nu coincide cu portul
sursă cadrul este trimis pe portul precizat

Invatarea adreselor
• Switch-urile si bridge-urile învaţă dinamic adresele MAC ale staţiilor din
reţeaua locală:
− Este citită adresa de MAC sursă pentru fiecare cadru, şi este creată o asociere
între portul pe care a fost primit cadrul şi adresa MAC sursă
− Dacă în tabela de comutare nu există asocierea, aceasta este adăugată
− Dacă în tabela de comutare există o asociere între adresa MAC şi un alt port,
vechea asociere este ştearsă, iar noua asociere este adăugată
− Dacă în tabela de comutare există deja aceaşi asociere este resetat contorul
de vârstă
• Adresele învăţate împreuna cu portul asociat sunt memorate într-o tabelă
de adresare, numita tabelă de comutare sau tabelă MAC.
− Tabela este stocată în Content Addressable Memory (CAM)

Procesul de învăţare pentru un switch
A1 → A3
MAC A1 – e2
MAC A1 – e0
e0
sw 2
A1 → C1 e1
B1 C1 D1
MAC A1 – e2
MAC A1 – e0 B2 D2
D1 → A1 A3 A1 A2
e0 sw 1 e1
MAC A1 – e2 e2
MAC D1 – e1
MAC A1 – e0

Memoria de buffer
Buffer per port:

• Pachetele sunt tinute in cozi asociate anumitor porturi sursa
• Este posibil ca un singur pachet sa blocheze coada in situatia in
care destinatia sa este ocupata (chiar daca celelalte pachete ar
putea sa fie trimise)
Buffer partajat:
• Toate pachetele folosesc la comun un buffer
• Pachetele sunt mapate dinamic la porturile destinatie
• Astfel este posibil ca un pachet care vine pe un port sa poata fi
transmis pe alt port fara a trebui sa schimbe coada
• Numarul de pachete din coada este restrictionat de dimensiunea
toatal a memorie si nu de cea alocata cozii fiecarui port
• Aces tip de buffer este util la switchingul asimetric unde cadrele
sunt transmise intre segmente cu lungime de banda diferit.

Metode de comutare
Cut-through: Cadrul incepe sa fie transmis inainte de a fi primit in totalitate
Fast-forward: Incepe transmiterea cadrului imediat dupa ce citeste
adresa MAC destinatie
• cel mai scăzut nivel de latenta
• metoda implicita de comutare pentru majoritate switchurilor
Fragment-free: Astepta primirea a 64 de octeti.
• va elimina erorile datorate coliziunilor
Store-and-forward: Cadrul este primit in totalitate inainte de a fi transmis

• va elimina şi erorile de CRC
64
6 6 2 46 - 1500 4
Adresă Adresă Tip /
Date CRC
destinţie sursă Lungime
fast-forward
store-and-
fragment free forward

VLAN-uri
• O reţea locală virtuală sau un VLAN segmentează o reţea
comutată ţinâd seama de organizarea în echipe de lucru
sau de aplicaţii şi nu de criterii geografice
– poate fi privit ca un domeniu logic de broadcast limitat
atât de rutere cât şi de de switchuri
– conceptual de VLAN a apărut din dorinţa de a oferi
segmentarea reţelelor la viteza de comutare şi preţul
switchurilor
– oferă scalarea spaţiului de adrese, securitate precum şi o
mai uşoară gestionare a reţelei
• Prin implementarea de VLAN-uri un switch de nivel 2 va
separa complet porturile din VLAN-uri diferite
– pentru a asigura conectivitate inter-VLAN este necesar un
echipament de nivel 3

De ce am crea VLAN-uri?
• Oferă un control mult mai bun al broadcasturilor

• Uşurează gestionarea migraţiilor şi a schimbărilor
din reţea
• Reduce costurile de administrare
• Imbunătăţeşte securitatea reţelelor
–“Muta” serverele în locaţi sigure
• Oferă o mai mare scalabilitate

VLAN-uri statice
• VLAN-urile statice sunt porturi pe un switch asociate static
unui VLAN
– porturile îşi menţin configuraţiile VLAN atribuite până când sunt
schimbate manual
• VLAN-urile statice sunt:
– sigure
– uşor de configurat
– simplu de monitorizat
– funcţionează bine în reţele în care acţiunile sunt controlate şi
administrate
• Alternativa o reprezintă VLAN-urile dinamice
– mult mai puţin răspândite
– mai flexibile, dar mai costisitor de implementat
– portul unui astfel de VLAN îşi poate schimba apartenţa în funcţie
de adresa MAC sursă, adresa IP, sau chiar tipul de protocol

Modul de operare al switchului
10 MAC A – e7
10 MAC D – e1
20 MAC B – e9
20 MAC C – e2 1 24 vlan 10
sw 1 sw 2 vlan 20
2 23
7 9 1 2
A B C D
• Dacă switchul oferă suport pentru VLAN tabela de

comutare va fi organizată pe secţiuni separate pentru
fiecare VLAN
– fiecare asociere din tabela de comutare va avea specificat şi
VLAN-ul căruia îi aparţine

Legături de trunchi
X
sw 1 sw 2
Z vlan 10
sw 3 sw 4 vlan 20
vlan 92
trunchi
A B C D
• un port ce aparţine unui VLAN este numit port acces

• pentru a reduce numărul de legături între switchuri au fost definite
porturi de trunchi, porturi ce pot transporta mai multe VLAN-uri
• un port de trunchi nu aparţine unui VLAN, din acest motiv a trebuit
găsit un mecanism pentru transportarea informaţiilor referitoare la
VLAN-ul de origine peste o legătură de trunchi
• IEEE 802.1q reprezintă o metodă de identificare a VLAN-uilor prin
introducerea unui identificator de VLAN în antetul cadrului

Cadrul 802.1q
• O etichetă dot1q va conţine:
– 16b – tipul pachetului (0x8100). Dacă un switch nu este capabil să
interpreteze cadre etichetate dot1q la citirea acestui cod va decide
să ignore cei 4 octeţi ce reprezintă etichetă
– 3b – prioritate (utilă în reţelele Token Ring)
– 1b – bit de encapsulare Token Ring
– 12b – identificatorul de VLAN
6 6 2 46 - 1500 4
MAC MAC
0x0800 Date CRC
destinţie sursă
6 6 2 2 2 46 - 1500 4
MAC MAC etichetă
0x8100 0x0800 Date CRC
destinţie sursă VLAN

Bucle
A
MAC A – e2
MAC A – e9
MAC A – e7
7
2
sw 1 3 sw 2
9
• avalanşe de difuzare (broadcast storms)

• coruperea tabelelor de comutare

Soluţia: STP
• STP este un protocol pentru prevenirea apariţiei

buclelor
• STP permite bridge-urilor sa comunice intre ele
in scopul descoperirii buclelor, şi specifica un
algoritm pe care acestea îl pot utiliza pentru a
crea o topologie fără bucle
• STP este descris de standardul 802.1D
• Radia Perlman

BID
• Fiecare switch are un identificator pe 8 octeţi numit BID
(Bridge ID)
• BID este compus din 2 câmpuri:
– prioritate
• Valoare pe 16 biti
• 216 valori posibile, de la 0 la 65535; valoare implicita este 32768
• Este exprimata ca valoare zecimala
– Adresa MAC de bază a switchului
2 6
Prioritate MAC
BID – 8 octeţi

Generalităţi STP
• Bridge-urile folosesc conceptul de cost pentru a

calcula distanţa pana la celelalte bridge-uri
• Iniţial, costul se calcula dupa formula:
Cost=108/bandwidth
• Apariţia unor tehnologii cu lărgimi de bandă
pentru care costul calculat astfel nu mai era
întreg a dus la o schimbare

Costul STP
Bandwidth Cost
4 Mbps 250
10 Mbps 100
16 Mbps 62
45 Mbps 39
100 Mbps 19
155 Mbps 14
622 Mbps 6
1 Gbps 4
10 Gbps 2

Costul STP (pt legaturi de peste 10 Gbps)
Bandwidth Cost
100 Kbps 200,000,000
1 Mbps 20,000,000
10 Mbps 2,000,000
100 Mbps 200,000
1 Gbps 20,000
10 Gbps 2,000
100 Gbps 200
1 tbps 20
100 Tbps 2

STP – Comunicaţia între bridge-uri
• Funcţionarea STP se bazează pe comunicaţia dintre

bridge-uri
• Bridge-urile schimbă informaţii necesare STP sub forma
unor cadre speciale numite BPDU-uri (Bridge Protocol
Data Units)
• Pe baza unui proces de decizie, fiecare bridge alege
cele mai “bune” BPDU-uri “văzute” pe fiecare port
• Cu setarile implicite, BPDU-urile se transmit la fiecare 2
secunde

Structura BPDU
2 2 1 8 4 8 2 2 2 2 2
ID Tip ID cost spre ID ID vârstă maxim hello forward
Versiune
protocol mesaj rădăcină rădăcină bridge port mesaj vârstă time delay
Cele mai importante câmpuri sunt:

1. ID rădăcină = bridge-ul cu cel mai mic Bridge ID
• dacă mai multe bridge-uri au aceeaşi prioritate,
alegerea se face in funcţie de MAC
2. Costul către rădăcină
3. BID-ul sursei
4. ID port

Funcţionarea STP
3 paşi:
1. Alegerea rădăcinii
2. Alegerea porturilor rădăcină
3. Alegerea porturilor desemnate

Secvenţa de decizie
• Cel mai mic Bridge ID
• Calea către rădăcină care are cel mai mic cost

• Sursa cu cel mai mic Bridge ID
• Cel mai mic Port ID

1. Alegerea rădăcinii
32,768.AAAA:AAAA:AAA
B C
32,768.BBBB:BBBB:BBBB 32,768.CCCC:CCCC:CCCC
• Initial, fiecare bridge se anunta pe sine ca Root

Bridge in BPDU-rile trimise
• Pe masura ce primeşte alte BPDU-uri cu BID mai
mic, ţine cont de acestea

2. Alegerea porturilor rădăcină
rădăcină
A
1/1 1/2
cost=0 19 cost=0 19
1/1 cost=19 1/1
1/2 1/2
B C
cost=19
cost=19 38 cost=19 38
• port rădăcină = port pentru care costul până la

rădăcină este minim
• Fiecare non-root bridge alege un port rădăcină

3. Alegerea porturilor desemnate
rădăcină
32,768.AAAA:AAAA:AAA
A
1/1 1/2
cost=19 cost=19
1/1 1/1
1/2 1/2
B C
32,768.BBBB:BBBB:BBBB 32,768.CCCC:CCCC:CCCC
cost=38 cost=38
• Secvenţa de decizie:
1. Calea către Root Bridge care are cel mai mic cost
2. Sursa cu cel mai mic Bridge ID
3. Cel mai mic Port ID
• Pentru orice legătură va exista un port desemnat.
• Toate porturile de pe rădăcină devin porturi desemnate.
Rezultatul: topologia fără bucle
• Dupa ce porturile bridge-urilor au fost clasificate

ca fiind root, designated sau non-designated,
topologia fără bucle se realizează uşor: porturile
root şi designated forardează traficul, pe când
cele non-designated, nu.
• Deşi, în cele din urmă un port forwardează sau
blochează traficul (într-o reţea stabilă), există
mai multe stări asociate cu STP.

Topologia finală
port desemnat rădăcină

port desemnat
forwarding forwarding
A
1/1 1/2
port rădăcină port rădăcină

forwarding forwarding
1/1 1/1
1/2 1/2
B C
port desemnat port nedesemnat

forwarding blocking

Stări STP
Stare Descriere
Forwarding Se primesc si se comuta date
Learning Se construieste tabela de comutare
Se primesc, dar nu se forwardeaza cadre
Listening Se construieste topologia
Se primesc si se trimit cadre BPDU
Blocking Se primesc doar cadre BPDU, nu se trimit
Disabled Dezactivat

Stări STP
1. Port activat sau iniţializat.

2. Port dezactivat.
3. Port selectat ca Root sau
Designated
4. Portul încetează să mai fie
Root/Designated
5. Timerul pt. Forwarding expiră
6. PortFast *
7. UplinkFast *
* Specifice Cisco

Timpi pentru STP
• Hello Time – 2 secunde
• Forward Delay – 15 secunde
– Folosit pentru trimiterea BPDU-urilor
– Stabileste timpul petrecut in starile Listening si Learning
• Max Age – 20 secunde
– Stabileste dupa cat timp expira un BPDU (este utilizat pentru a
detecta “indirect failures”, in cazul in care problema este pe
switch-ul local, nu se mai asteapta MaxAge pentru a se invalida
un BPDU)
• De obicei nu este necesara schimbarea valorilor implicite
• Se recomandă ca schimbarea acestor valori să se facă pe Root
Bridge, deoarece acesta poate propaga aceste schimbari celorlalte
bridge-uri utilizând câmpuri din BPDU

Exemplu:
32768.00F0:1123:A012
A
49152.00F0:1121:2121
32768.00F0:1123:B012
D
49152.00F0:1122:2222
E
49152.00F0:1123:2323
10 Mbps
100 Mbps
1 Gbps

Exemplu
• Alegerea Root Bridge
– Este evident faptul că A
are cel mai mic Bridge ID, 32768.00F0:1123:A012
deci A va fi Root Bridge
A
49152.00F0:1121:2121
C
19
Costuri către Root Bridge:
B-Root: 19 4 23
B
B-C-D-Root: 42 32768.00F0:1123:B012
B-C-D-E-B-Root: 176 D
C-B-Root: 38 23
C-D-Root: 23 49152.00F0:1122:2222
E
C-D-E-B-Root: 157
D-Root: 4 49152.00F0:1123:2323
D-C-B-Root: 57
D-E-B-Root: 138 10 Mbps
E-B-Root: 119 100 Mbps
E-D-Root: 23 1 Gbps
E-D-C-B-Root: 76

Solutia finala
32768.00F0:1123:A012
A
DP 49152.00F0:1121:2121
DP
C
RP 19 DP RP
32768.00F0:1123:B012 4 23
B
RP DP
DP
D
23 DP
RP 49152.00F0:1122:2222
E
49152.00F0:1123:2323
10 Mbps
100 Mbps
1 Gbps

Exerciţiu
32768.00F0:1123:A012
A
2
49152.00F0:1121:2121
1
60000.00F0:1123:B012 C
55000.00F0:1123:B012
4
20 3 8
fa712 18
fa7
10 fa1 B
15 fa1 16
G
9
fa5 13 5
F 19 fa5
11 fa2 D
7
fa2 17
33000.00F0:1123:B012 6
14 49152.00F0:1122:2222
E
9152.00F0:1123:2323
10 Mbps
100 Mbps
1 Gbps

Internet Protocol
– curs 3 –
19.10.2009
21.10.2009

Orientat si neorientat pe conexiune
• Exista doua moduri de transmitere a datelor:
1. Orientat pe conexiune
2. Neorientat pe conexiune
• Majoritatea serviciilor de retea folosesc sistemul neorientat pe
conexiune pentru transmiterea datelor.
– Destinatia nu este contactata inainte de trimiterea unui pachet.
– Pachetele pot urma cai diferite pentru a ajunge la destinatie, si pot
ajunge intr-o ordine diferita fata de cea in care au fost trimise.
– Aceste procese mai sunt denumite packet-switched.
– Asemanatoare sistemului postal.
• In cazul sistemelor orientate pe conexiune:
– Este stabilita o conexiune intre sursa si destinatie inainte de
transmiterea oricaror date.
– Overhead mai important fata de protocoalele neorientate pe
conexiune
– Toate pachetele circula pe acelasi traseu fizic sau virtual, in ordinea
in care sunt trimise.
– Aceste procese sunt denumite circuit-switched.
– Asemanatoare sistemului telefonic
• Internetul este o retea neorientata pe conexiune in care toate
pachetele sunt manipulate de catre IP. Protocolul de nivel 4 TCP
aduce serviciile de orientare pe conexiune si fiabilitate.

IP
Protocoalele de rutare determina traseele pe care protocoalele rutate
le urmeaza pentru a ajunge la destinatie.
• IP este implementarea cel mai larg folosita pentru un plan de
adresare ierarhizata a nivelului 3.
• Caracteristici:
– Neorientat pe conexiune
– Fara siguranta
– Transmiterea pachetelor se face dupa sistemul best-effort
• Ar parea ca acest sistem nu functioneaza bine. Insa, acesta
functioneaza deoarece IP lasa aceasta sarcina in seama
protocoalelor de nivel superior.
• Protocoalele de rutare folosesc IP pentru a gasi calea cea mai
eficienta pentru pachetele de date.
• IP determina continutul header-ului pachetului IP, care include
informatii legate de adrese si alte informatii de control.

Antetul IPv4
0 4 8 16 19
31
vers hlen TOS Lungime totală
identificare flags offset fragment
TTL Protocol suma de control a antetului
Adresa IP sursă
Adresa IP destinaţie
Opţiuni (dacă e cazul)
Date
...
• versiune – precizeaza versiunea protocolului

• lungime antet – precizeaza lungimea antetului
– poate avea între 20 şi 60 de octeţi (multipli de 4 octeţi)
– în vasta majoritate a cazurilor antul IP va fi doar de 20 B
• TOS (Type of Service) – folosit pentru implementarea QoS
• TTL (Time To Live) – folosit pentru diminuarea efectului buclelor
– fiecare ruter va decrementa valoarea acestui câmp
– un pachet cu TTL 1 nu va părăsi reţeua locală
– este singurul câmp din antetul de nivel 3 ce este modificat la trecerea printr-un ruter
• CRC – suma de control a antetului
– va fi recalculată de fiecare ruter, doar datorită operaţiei de decrementare a TTL

Protocol
• Valorile acestui câmp sunt comune în IPv4 şi IPv6
• Indică tipul următorului antet
1 – ICMP pentru IPv4

2 – IGMP pentru IPv4
4 – IP in IP
6 – TCP
17 – UDP
41 – IPv6
58 – ICMP pentru IPv6
59 – nu mai exista alt antet

Controlul fragmentării
• lungime pachet [16]
– defineşte lungimea pachetului
– limitează la maxim 64KB dimensiunea unei datagrame
• identificator secvenţă [16]
– identifică datagrama
• flags [3]
– bitul 49 – rezervat (are valoare 0)
– bitul 50 – DF (“do not fragment”)
– bitul 51 – MF (“more fragments”)
• offset [13]
– defineşte poziţia fragmentului în cadrul datagramei IP
– RFC 3514

MTU vs. MSS
• MTU (Maximum Transfer Unit) reprezinta dimensiunea
maximă a datelor înainte de encapsularea de nivel 2
• MSS (Maximum Segment Size) reprezinta dimensiunea
maximă a datelor înainte de encapsularea de nivel 4
• Tehnologia dominantă de transfer este TCP/IP/Ethernet
– TCP nu limitează dimensiunea datelor dintr-un segment
– IP defineşte dimensiunea maximă a datelor după encapsulare
64 KB
– Ethernet defineşte dimensiunea maximă a datelor înainte de
encapsulare 1500 B
• Fragmentarea este o operaţiune costisitoare
• În implementările actuale se încearcă evitarea dublei
fragmentării prin stabilirea dimensiunii maxime a datelor
de la nivelul 3
• MTU = MSS + 40

Adresare plată vs. ierarhică
• Adresare plată
– Se iau la rând numerele, seriile pentru un dispozitiv, cupon, etc.
– Ex: seriile de bancnote, de bilete de autobuz, adresele MAC
• Adresare ierarhică
– Există o ierarhizare care permite localizarea unui dispozitiv/cupon într-o
regiune
– Ex: numerele de telefon, codurile poştale, adresele IP
• Avantaj adresare ierarhică?

– găsirea mult mai uşoară a dispozitivului/cuponului
• Dezavantaj adresare ierarhică?
– Se pierd numere, serii

Adresa IP
• Tipul de adresare folosit de protocolul IP (Internet

Protocol) – protocolul fundamental de nivel Reţea
• O adresă IP este un şir de 32 de biţi (4 octeţi)
• Se preferă scrierea ei în formatul cu puncte (dotted
decimal format)
11000000 10101000 00000000 00000001
192 . 168 . 0 . 1

Subreţele în adresarea IP
• Adresarea IP este un tip de adresare ierarhică; se poate

identifica usor reţeaua ce conţine o adresă IP dată
• Se împarte o adresă IP într-o parte ce identifică
(sub)reţeaua şi altă parte ce identifică staţia din
(sub)reţea
• Pentru a şti care parte este reprezentată de subreţea se
foloseşte masca de subreţea (subnet mask)
• Exemplu de mască de subreţea:
11111111 11111111 00000000 00000000
255 . 255 . 0 . 0

Clase de adrese
Clasa A 0xxxxxxx staţie staţie staţie
Clasa B 10xxxxxx xxxxxxxx staţie staţie
Clasa C 110xxxxx xxxxxxxx xxxxxxxx staţie
• Valoarea primului octet:

– Clasă A – valoarea primului octet este între 0 şi 127
– Clasă B – valoarea primului octet este între 128 şi 191
– Clasă C – valoarea primului octet este între 192 şi 223
• Clasele de adrese sunt caracterizate de o mască de reţea:
– Clasă A – 255.0.0.0
– Clasă B – 255.255.0.0
– Clasă C – 255.255.255.0
Reţea vs. subreţea
• Diferenţa ţine de raţiuni istorice

• Din punct de vedere practic nu există diferenţe între o
reţea şi o subreţea (atâta vreme cât este precizată
masca de reţea)
• O adresă de reţea este o adresă ce are toţi biţii din

câmpul de staţie 0
• O astfel de adresă nu poate fi asociată unei staţii sau
unei interfeţe de ruter

Masca de subreţea
• Masca de reţea trebuie să respecte condiţia de continuitate

• Două formate de reprezentare:
– Zecimal: 255.255.0.0
– Prefixat: /16
• Adresa de subreţea identifică reţeaua în care se află o staţie
• Fie staţia cu adresa IP 172.168.0.1 şi masca de subreţea
255.255.0.0 (/16)
– Adresa de subreţea se obţine prin folosirea operaţiei de ŞI logic (ŞI pe
biţi între adresa IP şi masca de subreţea)
10101100 10101000 00000000 00000001 – 172.168.0.1
11111111 11111111 00000000 00000000 – 255.255.0.0
------------------------------------------------------
10101100 10101000 00000000 00000000 – 172.168.0.0
– Adresa de subreţea este 172.168.0.0/16
– Se spune că staţia are adresa 172.168.0.1/16 sau că are adresa
172.168.0.1 cu masca de subreţea 255.255.0.0

Adresa de difuzare a unei reţele
• Denumită adresa de broadcast

• Orice (sub)reţea are o adresă de broadcast folosită pentru a
transmite un pachet către toate staţiile din reţea
• Adresa de broadcast este adresa din reţea pentru care toţi biţii de
staţie sunt 1
• Exemplu:
– Adresa de staţie: 172.168.0.1
– Masca de subreţea: 255.255.0.0
– Primii 16 biţi sunt biţii de subreţea, ultimii 16 biţi sunt biţii de staţie
– Adresa de broadcast va fi, aşadar:
172.168.11111111.11111111
adică 172.168.255.255
• Un pachet trimis către adresa de broadcast a unei reţele se numeşte

broadcast direcţionat
• Un pachet trimis către adresa 255.255.255.255 se numeşte
broadcast global

Adresă IP; mască de reţea – vizualizare
C:\Documents and Settings\Administrator>ipconfig
Ethernet adapter Local Area Connection 2:
Connection-specific DNS Suffix . : cs.pub.ro

IP Address. . . . . . . . . . . . : 141.85.37.26
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 141.85.37.1
razvan@anaconda:~$ /sbin/ifconfig eth0

eth0 Link encap:Ethernet HWaddr 00:07:E9:92:BC:D9
inet addr:141.85.37.25 Bcast:141.85.37.255 Mask:255.255.255.0
inet6 addr: fe80::207:e9ff:fe92:bcd9/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:11587781 errors:0 dropped:0 overruns:0 frame:0
TX packets:14491124 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:4656058 (4.4 MiB) TX bytes:2630550975 (2.4 GiB)

ARP
• Adress Resolution Protocol
• Parte integrată a arhitecturii TCP/IP, specifică reţelelor de tip
multiacces (Ethernet, Frame Relay)
• Oferă posibilitatea determinării adresei destinaţie de nivel 2,
cunoscându-se adresa destinaţie de nivel 3
• Se bazează pe construirea unei tabele de asocieri între adrese de
nivel 2 şi adrese de nivel 3, numită tabelă ARP
• Intr-o tabelă ARP:
– putem avea mai multe adrese IP asociate cu un singură adresă MAC
– nu putem avea mai multe adrese MAC asociate cu un singură adresă IP
• Două metode de abordare:
– Default Gateway – reprezintă metoda dominantă
– Proxy ARP – folosit uneori în cazul ruterelor sau în cazul
implementărilor stivei TCP/IP pe platfome embeded

Default gateway
• Trebuie definiţi la nivelul staţiei 3 parametri:
– adresă IP
– mască de reţea
– adresă gateway
• Staţia sursă testează dacă destinaţia se află în aceaşi reţea
• Dacă (IP dest & mască src == IP src & mască src) va căuta în tabela ARP adresa IP
destinaţie, altfel va căuta asocierea pentru adresa IP a DG (a ruterului implicit)
• Dacă adresa căutată se află în tabela ARP se construieşte antetul de nivel 2 şi datele
sunt trimise pe mediul fizic
• Dacă adresa căutată nu se află în tabela ARP, staţia va trimite o cerere ARP ce va
conţine în câmpul de date adresa IP căutată
– Cererea ARP fiind un cadru de difuzare va ajunge la toate nodurile din reţea
• Pentru comunicaţia în aceaşi reţea cererea ARP va conţine adresa IP destinaţie
– staţia destinaţie va trimite un cadru de răspuns ARP şi îşi va actualiza propria tabelă ARP cu
asocierea creată pe baza cadrului de cerere: <MAC src, IP src>
• Pentru comunicaţia în afara reţelei, cererea ARP va conţine adresa IP DG
– ruterul de ieşire va primi cererea pe interfaţa conectată la reţeua locală
– va trimite un cadru de răspuns ARP
– va actualiza tabela ARP corespunzătoare interfeţei din reţeau locală cu asocierea creată pe
baza cadrului de cerere: <MAC src, IP src>
• Pe baza răspunsului ARP, sursa îşi va actualiza propria tabelă ARP şi va construi
antetul de nivel 2
Proxy ARP
• Trebuie definit la nivelul staţiei un singur parametru:
– adresă IP
• Staţia sursă va căuta în tabela ARP adresa IP destinaţie
• Dacă adresa căutată se află în tabela ARP se construieşte antetul de nivel 2 şi datele
sunt trimise pe mediul fizic
• Dacă adresa căutată nu se află în tabela ARP, staţia va trimite o cerere ARP ce va
conţine în câmpul de date adresa IP căutată
– Cererea ARP fiind un cadru de difuzare va ajunge la toate nodurile din reţea
• Ruterul de ieşire din reţea va primi şi el cererea ARP, dar nefiind adresa sa IP
precizată în cerere, o va pasa serviciului de Proxy ARP
• Proxy ARP testează dacă destinaţia se află în aceaşi reţea
• Dacă (IP dest & mască interfaţă == IP src & mască interfaţă), destinaţia se află în
aceaşi reţea, a. i. cererea va fi ignorată
• Dacă diferă va trimite un cadru de răspuns ARP semnat cu adresa MAC a interfeţei
din reţea, şi adresa IP destinaţie
• Ruterul îşi va actualiza apoi tabela ARP corespunzătoare interfeţei din reţeau locală cu
asocierea creată pe baza cadrului de cerere: <MAC src, IP src>
• Pe baza răspunsului ARP, sursa îşi va actualiza propria tabelă ARP şi va construi
antetul de nivel 2
• Faţa de cazul DG intrarea din tabela ARP va face asocierea între adresa IP destinaţie
şi adresa MAC a interfeţei din LAN a ruterului
• Cadrul final trimis nu va fi diferit faţă de DG

Pachetul ARP
Antet Ethernet Date Trailer

Adresa Adresa Tip
destinatie sursa cadru
informatii ARP FCS
0x0806 = ARP Message

FF-FF-FF-FF-FF-FF = Broadcast
op field – ARP request = 1
ARP reply = 2
RARP request = 3
RARP reply = 4

ARP Default Gateway
0C.18.7A.92.71.11 0C.18.7A.92.71.1B
193.23.1.4 193.23.1.7 24.8.17.2 24.8.17.3
A1 A3 A2 B1 B2
e0 e1
193.23.1.1 24.8.17.1
00.48.0C.18.7A.A2 00.48.0C.18.7A.A3
← Antet → ← Date →
MAC dest. MAC sursă Tip cadru cod operaţie MAC sursă IP sursă MAC dest. IP dest
FFFF: 0C18: 0C18: 0000:
193.23. 193.23.
FFFF: 7A11: 0x0806 1 7A11: 0000:
1.4 1.7
FFFF 7111 7111 0000
← Antet → ← Date →
MAC dest. MAC sursă Tip cadru cod operaţie MAC sursă IP sursă MAC dest. IP dest
0C18: 0C18: 0C18: 0C18:
193.23. 193.23.
7A11: 7A92: 0x0806 2 7A92: 7A11:
1.7 1.4
7111 711B 711B 7111
← Antet 2 → ← Antet 3 → ← Date →

MAC dest. MAC sursă Tip cadru IP dest IP sursă
0C18: 0C18:
193.23. 193.23.
7A92: 7A11: 0x0800
1.7 1.4
711B 7111

ARP - Exemplu
A2 A1 B1
e0 e1
A1 → A2
FF… MAC A1 IP A2 IP A1 ARP rq
MAC A1 MAC A2 IP A1 IP A2 ARP rs
MAC A2 MAC A1 IP A2 IP A1 Date
A1 → B1 (default gateway) A1 → B1 (proxy ARP)

FF… MAC A1 IP e0 IP A1 ARP rq FF… MAC A1 IP B1 IP A1 ARP rq
MAC A1 MAC e0 IP A1 IP e0 ARP rs MAC A1 MAC e0 IP A1 IP B1 ARP rs
MAC e0 MAC A1 IP B1 IP A1 Date MAC e0 MAC A1 IP B1 IP A1 Date

VLSM

Adresarea IP
• O adresă IP este un şir de 32 de biţi
• Principalul mecanism de scalare a schemei de adresare
IP este separarea adresei în două câmpuri: partea de
reţea şi partea de staţie
• Pentru a permite alocarea cu pierderi minime, spaţiul de
adrese a fost împarţit în 5 clase de adrese: A, B, C, D, E
• Modul in care a evoluat Internet-ul a scos la iveala
limitările acestei împărţiri rigide.

Solutii
• Pentru a preveni epuizarea spaţiului de adrese
IP au fost dezvoltate mai multe soluţii:
– CIDR – reducerea dimensiunii tabelei de rutare
– VLSM – flexibilizarea alocării adreselor IP
– NAT – posibilitatea folosiri de adrese private
– IPv6 – extinderea spaţiului de adrese (adrese pe 128
de biţi)

VLSM
Derivata din subnetul

172.16.32.0/26
Derivata din subnetul

172.16.33.0/26
Masca pe 30 de biti Masca pe 26 de biti (2 hosturi)
(2 hosturi)

Cand folosim VLSM
Un caz tipic de folosire a VLSM este pentru legaturile point-to-point

pentru a utiliza numai 2 adrese de host valide, in loc de a irosi 30

CIDR si VLSM
Adresa subnetata : 172.16.32.0/20

In binar : 101011100.00010000.00100000.00000000
Adresa VLSM : 172.16.32.0/26

In binar : 101011100.00010000.00100000.00000000
Subnet-ul nr 1 172 . 16 .0010 0000.00 000000 = 172.16.32.0/26

Subnet-ul nr 2 172 . 16 .0010 0000.01 000000 = 172.16.32.64/26
Subnet-ul nr 3 172 . 16 .0010 0000.10 000000 = 172.16.32.128/26
Subnet-ul nr 4 172 . 16 .0010 0000.11 000000 = 172.16.32.192/26
Subnet-ul nr 5 172 . 16 .0010 0001.00 000000 = 172.16.33.0/26
Retea Subnet Subnet VLSM Host

Exemplu de VLSM
statii
statii statii statii

Exerciţiu
• Fie spaţiul de adrese 18.78.32.0/22. Care este
adresa celei de a 29-a staţii din cea de a 29-a
subreţea
• 29 de staţii → 5 biţi de staţie

• 29 de subreţele → 5 biţi de subreţea
• masca rezultată va fi 22 + 5 = 27
18.78.001000 00.000 00000/22

18.78.001000 11.100 11101/27 → 18.78.35.157

Distribuiti adrese din spatiul 141.85.157.0/26
LAN 1
R2
LAN 2
141.85.37.13
ISP R1 R3

Solutia
LAN1 LAN2 S1 S2
0 32 48 56 60
LAN1 141.85.157.0/27 32-2-1=29 adrese de staţie

LAN2 141.85.157.32/28 16-2-1=13 adrese de staţie
liber 141.85.157.48/29
S1 141.85.157.56/30
S2 141.85.157.60/30

Distribuiti adrese din spatiul 141.85.157.0/26
141.85.157.0/27
141.85.157.0/27
LAN 1
R2
141.85.157.32/28
141.85.157.58 LAN 2
141.85.37.56/30
141.85.157.57
141.85.37.13 141.85.157.61 141.85.157.62
ISP R1 141.85.157.60/30 R3

Rutarea
– curs 4 –
26.10.2009
28.10.2009

Protocoale rutate si protocoale de rutare
• La nivelul retea avem doua clase de protocoale:
– protocoale rutate (routed protocols)
– protocoale de rutare (routing protocols)
• Protocoalele de rutare determina regulile prin care
ruterele schimba informatii despre accesibilitatea
retelelor. In functie de informatiile furnizate de aceste
protocoale se construieste tabela de rutare, iar pe baza
tabelei de rutare este determinat traseul pe care trebuie
trimis fiecare pachet.
–Exemplu: RIP, OSPF, IGRP, EIGRP, IS-IS, BGP
• Protocoalele rutate asigura adresarea (identificarea
nodurilor)
–Exemplu: IP, IPX, Appletalk, DECnet
• Exista protocoale de nivel retea, ce nu ofera suport
pentru o schema de adresare ierarhica, din acest motiv
fiind nerutabile
–Exemplu: NETBEUI
Ruter
• Pot fi folosite in LAN-uri sau WAN-uri
– Interconecteaza retelele diferite
– Ofera interfete pentru WAN
• Opereaza la nivelul 3
• 2 functii principale
– Determinarea caii
– Comutarea pachetelor
• Mentin tabelele de rutare
– Static (administratorul de retea)
– Dinamic (protocoale de rutare)
• Realizeaza conexiunea dintre diferite standarde de nivel
fizic, legatura de date sau retea

Router vs. switch
Ruter Switch
OSI nivel retea nivel legatura de date
Latenta mare mica
Adresa IP MAC
domenii de coliziune limiteaza limiteaza
domenii de broadcast limiteaza extinde
securitate ridicata scazuta
 Rutarea si comutarea pachetelor folosesc diferite informatii in

procesul transmiterii datelor de la sursa la destinatie.
 Fiecare calculator si interfata multiacces a unui routerului mentine o
tabela ARP pentru comunicatia de nivel 2. Tabela ARP este
folositoare doar pentru domeniul de broadcast la care este conectata
interfata.
 Routerul mai mentine si o tabela de rutare care ii permite sa trimita
date in afara domeniului de broadcast.

Tabelele unui ruter
WAN
A1 A2 A3 B1 B2
s0
e0 e1
IP A1 - MAC A1 IP B1 - MAC B1
IP A2 - MAC A2 IP B2 - MAC B2
IP A3 - MAC A3 LAN A – E0
LAN B – E1
0.0.0.0/0 – S0
In implementările practice toate intrările ARP sunt păstrate într-o singură tabelă,
sub forma de asocieri <interfaţă-IP-MAC>
Rute
• O rută este o regulă ce cuprinde o parte de identificare şi
una de acţiune. Partea de identificare este compusă din
două elemente: adresa reţelei destinaţie şi masca
acesteia, în vreme ce partea de acţiune poate fi
exprimată prin ambele sau doar unul dintre următoarele
elemente: adresa următorului ruter (numită next hop
address) şi interfaţa de ieşire din ruter.
• O tabelă de rutare este o listă de rute cu acces
secvenţial.
C 172.16.20.0/24 is directly connected, Ethernet0
R 172.16.10.0/24 [120/1] via 172.16.20.22, Ethernet0

Tabela de rutare
• Pentru ca ruterele sa poata comuta pachete, ele trebuie
invete unde se afla celelalte retele, aceasta informatie
fiind organizata sub forma tabelei de rutare
• Prima sursa pentru tabela de rutare o reprezinta
configuratiile de pe propriile interfete, acestea generand
rutele direct conectate
• Construirea tabelei de rutare se poate face in doua
moduri:
– Static: rutarea se face manual, de catre administratorul retelei;
se foloseste pentru securitate si overhead redus;
– Dinamic: rutarea se face cu ajutorul protocoalelor de rutare
(informatii de la alte rutere)
• Intr-o tabela de rutare putem avea simultan:
– rute direct conectate
– rute dinamice
– rute statice

Procesul de rutare
• Acest proces este alcatuit din doua mecanisme:
– Determinarea caii optime: este folosita tabela de
rutare;
– Comutarea pachetelor (forwarding): primirea unui
pachet pe o interfata si trimitere lui pe alta.
• Ruterele creeaza tabele de rutare
destinatie interfata
192.1.1.0 s0
192.1.2.0 s0
192.1.3.0 e0
192.1.1.0/24 192.1.2.0/24 192.1.3.0/24
A B

Tabela de rutare
192.168.2.0/24 172.16.0.0/16 192.168.1.0/24 10.0.0.0/8
e0 s0 s0 s1 s1 e0
A B C
.1 .1 .2 .1 .2 .1
RTA#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default
U - per-user static route, o - ODR
Gateway of last resort is not set
Exista doua modalitati de evaluare a unei rute

o Metrica
o Distanta administrativa

Retele direct conectate
192.168.2.0/24 172.16.0.0/16 192.168.1.0/24 10.0.0.0/8
e0 s0 s0 s1 s1 e0
A B C
.1 .1 .2 .1 .2 .1
RTA# show ip route

Codes: C - connected,.. <Other codes and gateway information omitted>
C 172.16.0.0/16 is directly connected, Serial0
RTB# show ip route

RTC# show ip route

Ruterele cunosc doar retelele lor direct conectate: nu au nici un protocol de

rutare configurat.
Rute statice
• Nu este necesara configurarea de rute statice pentru

retele direct conectate
• In cazul rutelor statice via legaturi punct la punct se

indica specificarea numai a interfetei de iesire, deoarece
adresa urmatorului hop nu este folosita in acest caz
• In cazul rutelor statice via retele multiacces (Ethernet)

este important sa se precizeze adresa urmatorului hop,
doar interfata de iesire nefiind suficient
– acest inconvenient poate fi compensant prin rularea Proxy ARP,
la nivelul urmatorului hop

Rute implicite
• Toate pachetele care nu au destinatia in tabela de

rutare vor fi trimise pe aceasta ruta
• O ruta implicita este caracterizata de prefixul /0

• Mai poarta denumirea de “quad zero route”
• O astfel de ruta poate fi definita ca si o ruta statica, sau
poate fi generata de un protocol de rutare

Distanta administrativa
Tipul de ruta Distanta administrativa
Direct conectata 0
Ruta statica 1
Sumarizare EIGRP 5
BGP extern 20
EIGRP 90
OSPF 110
IS-IS 115
RIP 120
ODR (On Demand Routing) 160
EIGRP extern 170
BGP intern 200
necunoscuta 255
• Distanta administrativa spune cat de “valoroasa” este informatia de

rutare (cu cat mai mica cu atat mai bine)
• Daca ruterul afla doua rute catre aceeasi destinatie, va pune in tabela
de rutare pe cea cu DA mai buna.

Funcţionarea unui ruter
Fie C este interfaţa pe care Trimite pachet
a fost primit pachetul către nivelul Ignoră
Primeşte pachet
Fie D este adresa destinaţie superior pachetul
conţinută în pachet
Da
Este D una
dintre adresele
ruterului
Nu
Trimite pachet mască(C)&C = Da

pe interfaţa(R) mască(C)&D
Nu
Rescrie adresă de Extrage R prima

nivel legătură de date ruta din tabela
Actualizează tabela
ARP
mască(R)&D Nu=
destinaţie(R)
Da
Da
Nu Nu
Mai există rute
în tabelă
Constuirea tabelei de rutare
• Parcurgerea tabelei de rutare se va face secvential, dar

construirea sa nu
• Rutele sunt ordonate in tabela in functie de lungimea
masti
• Pentru masti de lungime egala rutele sunt puse in tabela
in ordinea cunoasterii lor

Construirea tabelei de rutare
• Un ruter proaspat rebootat are informatii despre urmatoarele rute:
a. [110/1111] 11.1.7.0/24 S0
b. [100/1166] 11.1.0.0/16 S0
c. [110/1111] 11.1.7.4/32 E0
d. [120/3] 11.1.8.0/24 S2
e. [90/12129] 11.1.7.0/24 S1
f. [110/1111] 11.1.7.0/24 S0
Tabela de ruatare va contine doar rutele:
• a, b, c, d, e, f
• a, c, d, f
• b, c, d, e
• a, b, c, d, e
Ordinea rutelor in tabela de rutare va fi:

• c, d, e, b

Interfaţa logică de null
• procesul de rutare poate să fie folosit şi în scopul filtrării
pachetelor în funcţie de adresa destinaţie
• o rută ce are precizată drept interfaţă de ieşire intefaţa
logică de null
• în Unix aceasta este interfaţă /dev/null
• pe ruterele Cisco se numeşte Null0
• ex: 176.15.44.96/26 /dev/null

va opri toate pachetele destinate spaţiului de adrese
176.15.44.96/26

Rutare dinamica
• Rutarea dinamica se bazeaza pe folosirea unui

protocol de rutare
• Exista doua clase de protocoale:
– Distance Vector
– Link State

Protocoale distance-vector
• Pe ruterul A protocolul de rutare transmite tuturor ruterelor vecine o copie a
tabelei de rutare
• Pe ruterul B pachetele de actualizare vor fi comparate cu rutele deja
existente in tabela de rutare, iar informatiile noi, sau informatiile cu o
distanta administrativa/metrica mai buna vor fi inserate in tabela de rutare
• Ruterul B va astepta apoi expirarea intervalului de actualizare si apoi va
extrage din tabela de rutare toate rutele specifice protocoluli DV (nu rutele
statice sau din alte protocoale de rutare), va construi pachetul de actualizare
si apoi il va trimite la randul sau tuturor vecinilor sai.
LAN 1 - 0 LAN 1 - 1 LAN 1 - 2
A B C D
[1] LAN1 – NEXTHOP A [2] LAN1 – NEXTHOP B

…… ……
• Datorita convengentei foarte slabe, precum si a modului indirect de

propagare a actualizarilor, protocoalele DV sunt sensibile la aparitia buclelor
(“Routing by rumour”)

Protocoale Link-State
• Un protocol LS va mentine trei tabele:
– tabela de vecini (de adiacenta) – va tine evidenta adiacentelor de
nivel retea
– tabela de topologie – va contine toate rutele primite
– tabela de rutare – va contine cele mai bune cai
• Un protocol LS va folosi:
– actualizari incrementale
– actualizari determinate de schimbari in topologie
– algoritimi de parcurgere a grafului topologiei
• Aceste protocoale au cerinte mai mari de resurse hardware

(procesor, memorie), dar si cunostinte de administrare

Comparatie DV-LS
• DV
– Transmit intreaga tabela de rutare
– Actualizari periodice
– Convergenta greoaie
– Putin scalabile
+ Folosesc mai putine resurse
+ Transmit informatii la vecini
+ Sunt mai usor de configurat
• LS
– Cerinte mai mari de hardware
– Transmit informatii in intreaga retea (portiuni din tabela de rutare)
+ Imagine de ansamblu a retelei
+ Actualizari determinate de schimbari in topologie
+ Mai putin predispuse la bucle
+ Convergenta rapida
~ In privinta consumului de banda, protocoalele LS vor trimite o copie a intregi tabele in

toata reteaua in etapa de stabilire a adiacentei
~ LS va folosi mai multa banda decat DV in etapa initiala dar pentru un interval de timp
semnificativ de functionare DV va consuma mai multa banda
~ pentru o retea foarte instablila performantele unui protocol DV pot fi superioare unui
protocol LS

Bucle de rutare
C:\Documents and Settings\X> tracert timp.mcti.ro
Tracing route to timp.mcti.ro [80.96.196.58] over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms 80.86.105.129

2 <1 ms <1 ms <1 ms VLAN-850.B-Core.iNES.RO [80.86.
3 2 ms 1 ms 1 ms SNR.RoNIX.Ro [217.156.113.3]
4 1 ms 1 ms 1 ms iNES.RoNIX.Ro [217.156.113.12]
[...]

Agregarea rutelor
• De ce avem nevoie de agregarea rutelor:
• A pastra retelele “unite” inseamna a economisi spatiu in tabela de rutare
• Fiecare retea are nevoie de o intrare separata in tabela de rutare
• Fiecare subnet are nevoie de o intrare separata in tabela de rutare
• Daca “spargem” o retea in 8 subneturi, vom avea nevoie de 8 intrari
separate
• Daca le-am “uni” inapoi intr-o singura retea, vom avea nevoie doar de o
intrare
• Agregarea poate reduce dimensiunea tabelei de rutare !

Exemplu: Agregarea rutelor
ISP
• Sumarizarea rutelor reduce dimensiunea tabelei de rutare prin

agregarea mai multor subnet-uri intr-un singur “supernet”
• Sumarizarea rutelor izoleaza problemele genereate de rutele
oscilante (flapping routes).

Adrese IP private
Clasa Intervalul de adrese Prefix CIDR
A 10.0.0.0 - 10.255.255.255 10.0.0.0/8
B 172.16.0.0 - 172.31.255.255 172.16.0.0/12
C 192.168.0.0 - 192.168.255.255 192.168.0.0/16
• Pot fi folosite de oricine, fara restrictii

• Un astfel de spaţiu de adrese nu trebuie rutat

NAT vs PAT
• NAT (Network Address Translation)

– mapează o adresa privata pe o adresa publică
• PAT (Port Address Translation)

– translatare de adrese cu supraîncărcare
– denumit şi overloading, NAPT, masquerading
– mapează mai multe adrese private pe aceeaşi adresă publică,
folosind numerele de porturi pentru a diferenţia între surse (staţiile
din reţeua locală)

PAT
IP dst. IP src port dst port src IP dst. IP src port dst port src
200.1.1.121 192.168.1.2 80 8917 .... 200.1.1.121 140.2.2.1 80 17111 ....
LAN cu adresare privata Retea publica
192.168.1.1 200.2.2.1
192.168.1.2
IP dst. IP src port dst port src IP dst. IP src port dst port src
192.168.1.2 200.1.1.121 8917 9595 ... 140.2.2.1 200.1.1.121 17111 9595 ...

Tunelarea IP
• reprezintă operaţia prin care pachetele IP sunt
encapsulate încă o dată
• pricipalul scop al tunelării este transportarea informaţiilor
din antetul IP original sub forma de date
• antetul iniţial al pachetului este păstrat nealterat,
ataşându-se un nou antet ce va avea ca adresă sursă
adresa capătului local al tunelului, iar ca adresă
destinaţie adresa celuilalt capăt al tunelului.

Tunelare
199.1.12.3 132.67.1.9 199.1.1.7 Date
201.6.1.1
194.7.1.2 201.6.1.1 132.67.1.9 199.1.1.7 Date
201.6.1.3
194.7.1.1
194.7.1.2 201.6.1.1 132.67.1.9 199.1.1.7 Date
194.7.1.2
132.67.1.1 132.67.1.9 199.1.1.7 Date

Exerciţiu
X Z
10.1.1.121 114.5.1.7
10.1.1.1 e1 e0/6 114.5.1.1

e0 201.9.4.2 194.2.4.7 e7
A B C D
201.9.4.1 194.2.4.6 194.2.1.2 194.2.1.1
e1 e0 s3 s0
Ruterul A va asigura translatarea de adresa pentru întreaga reţea 10.1.1.0/24, iar ruterul
B va tunela tot traficul din reţeaua 201.9.4.0/24 şi îl va trimite prin interfaţa sa virtuală
tunnel0. Tunelul este stabilit între 194.2.4.61 şi 194.2.1.1. În plus, rutarea este
asigurată folosind rute statice atfel: pe ruterele A şi D rutele sunt precizate prin adresa
următorului hop, iar pe B şi C rutele sunt precizare doar prin interfaţa de ieşire.
Considerăm că în urma unei pene de curent toate echipamentele sunt proaspat
reiniţializate. Staţia X va accesa un server de web aflat pe staţia Z. Care vor fi
antetele tuturor cadrelor ce vor fi trimise în reţea pentru a livra cererea emisă de staţia
X la staţia Z.

Rezolvare
FFFF:FFFF:FFFF MAC[X] 10.1.1.1 10.1.1.121 Date
MAC[X] MAC[A(e0)] 10.1.1.121 10.1.1.1 Date
MAC[A(e0)] MAC[X] 114.5.1.7 10.1.1.12 80 55555 Date
FFFF:FFFF:FFFF MAC[A(e1)] 201.9.4.2 201.9.4.1 Date
MAC[A(e1)] MAC[B(e1)] 201.9.4.1 201.9.4.2 Date
MAC[B(e1)] MAC[A(e1)] 114.5.1.7 201.9.4.1 80 51311 Date
FFFF:FFFF:FFFF MAC[B(e0)] 194.2.1.1 194.2.4.6 Date
MAC[B(e0)] MAC[C(e0/6)] 194.2.4.6 194.2.1.1 Date
MAC[C(e0/6)] MAC[B(e0)] 194.2.1.1 194.2.4.6 114.5.1.7 201.9.4.1 Date
FF 194.2.1.1 194.2.4.6 114.5.1.7 201.9.4.1 Date
FFFF:FFFF:FFFF MAC[D(e7)] 114.5.1.7 114.5.1.1 Date
MAC[D(e7)] MAC[Z] 114.5.1.1 114.5.1.7 Date
MAC[Z] MAC[D(e7)] 114.5.1.7 201.9.4.1 Date

Reţele Wireless
– curs 5 –
02.11.2009
04.11.2009

Cuprins
1. Rolul reţelelor wireless
2. Undele electromagnetice
3. Transmisia în spectru împrăştiat
4. Echipamente specifice
5. Topologii specifice
6. Standarde pentru reţele locale
7. Accesul la mediu
8. Formatul cadrului 802.11
9. Canalele de comunicaţie
10. Mecanisme de securitate

Cuprins
7. Accesul la mediu

Reţelele de calculatoare pot fi:
1. LAN
2. MAN
3. WAN Reţele wireless

LAN – Alternativă la cupru

LAN – Alternativă la cupru
Avantaje: Dezavantaje:
– Bandă redusă
– Mobilitate • Half-duplex
– Investiţii reduse • Mediu de transmisie partajat
– Reconfigurare uşoară – Stabilitate a conexiunii
– Nu modificăm spaţiul scăzută

MAN - Conexiuni punct-la-punct

Alternativă la fibra optică

MAN - Conexiuni punct-la-punct

Alternativă la fibra optică
Avantaje: Dezavantaje:
– Mobilitate – Bandă redusă

– Costuri reduse – Stabilitate a conexiunii
– Nu e nevoie de aprobare scăzută

O nouă perspectivă
MAN - Conexiuni punct-la-multipunct

MAN - Conexiuni punct-la-multipunct

O nouă perspectivă

În concluzie, reţelele fără fir:
 Deschid noi perspective în comunicaţia de date
 Nu vin să înlocuiască reţelele cu fir
 Tendinţe: wired pe backbone/wireless la nivel distribuţie

Cuprins
7. Accesul la mediu

Suportul comunicaţiei wireless

• Undele electromagnetice
Mediul comunicaţiei wireless

• Atmosfera terestră (adesea, dar poate să lipsească  )

Spectrul electromagnetic:

• Absorbţia în atmosferă creşte cu creşterea frecvenţei
• Capacitatea de penetrare scade cu creşterea frecvenţei
• Undele înalte sunt mai costisitoare
• Undele înalte sunt mai nocive

Frecvenţa Frecvenţe mici Frecvenţe mari
Distanţa de propagare Mare Mică
Interferenţe Mari Mici
Costuri echipamente Mici Mari
Influenţa asupra Mici Mari

organismelor
.... Undele joase sunt deci “mai bune”

Mediu Unde electromagnetice Semnal electric

Proprietate
Delimitarea zonei In general NU există Izolator

de propagare (semnalul se degradează
odată cu distanţa)
Protejarea Nu există Izolatori speciali

semnalului (unde emise pe aceeaşi folosiţi pentru ecranare
frecventa = interfera) (STP, FTP)
Atenuarea Prezentă Prezentă

semnalului
Licenţă pentru Uneori Da Nu

transmisie

Unde în spectru avem loc?
• Frecvenţele joase sunt deja ocupate:

– televiziune
– radio
– comunicaţii militare
– aviaţie
– telefonie mobilă
• Frecvenţele înalte sunt singurele libere

Benzile ISM şi UNII

(Industrial Scientific&Medical)
(Unlicensed National Information Infrastructure)
• Nu necesită licenţierea emisiei

• Reţele wireless, telefoane cordless, telecomenzi, mouse-uri şi tastaturi wireless
• Frecvenţe....înalte
• Banda 902-928 MHz a fost retrasă în 2006
5.725-5.850
GHz
3 KHz 3 GHz 3 THz

unde radio microunde
902-928 2.401-2.483 5.470-5.725

MHz GHz GHz

Reţelele wireless folosesc microunde...

Reţelele wireless folosesc microunde...
• Se absorb foarte uşor în atmosferă

• Se reflectă uşor
• Sunt destul de costisitor de utilizat
• Sunt dăunătoare !?
Nu, căci se utilizează puteri foarte mici

Cuprins
7. Accesul la mediu

Benzile ISM sunt foarte aglomerate:

Benzile ISM sunt foarte aglomerate:

Benzile ISM sunt foarte aglomerate...
Zgomotul este, în general, de bandă îngustă..
..Se foloseşte transmisia în spectru împrăştiat

Putere
Putere
Frecvenţă Frecvenţă

• FHSS = Frequency Hopping Spread Spectrum

– schimbarea periodică a frecvenţei de lucru
• DSSS = Direct Sequence Spread Spectrum

– înlocuirea fiecărui bit cu o secvenţă de mai mulţi biţi (chipping)
• OFDM = Orthogonal Frequency Division Multiplexing

– transmisie în paralel pe mai multe purtătoare ortogonale între ele

Cuprins
7. Accesul la mediu

4. Echipamente
• Standard:
– Adaptoare wireless
– Access Point (AP)
– Bridge
– Range expander
– Antene
• Combo:
– AP/Bridge
– Router wireless
– Bridge/Switch

4. Echipamente
Adaptoare
wireless:
• PCI
• Mini-PCI
• PCMCIA
• USB

4. Echipamente
Access Point-uri

4. Echipamente
Funcţiile unui access point
• Asociere/Dezasociere/Reasociere
• Autentificare
• Criptare

4. Echipamente
Bridge-uri

4. Echipamente
Range Expander - în realitate acesta este un repetor

4. Echipamente
Antene
Antena
omnidirecţională
12 dBi
Antena
sectorială 14
dBi
Antena Antena
unidirecţională 28 unidirecţională 14
dBi dBi

Cuprins
7. Accesul la mediu

Topologie IBSS Reţea ad-hoc

Topologie BSS Reţea infrastructură

Interconectarea wireless a reţelelor
1. Distanţe mici
A B
Switch Switch
Access Point Bridge
Ca funcţionare ambele sunt bridge-uri,

ca hardware avem un AP şi un bridge, sau 2 AP-uri

2. Distanţe mari

2. Distanţe mari
Switch Switch
Bridge Bridge

Wireless Distribution System - WDS

Access Point
01010
IP
phone
UPS
• Power over Ethernet

• 48 V – suficient pentru dispozitive de tip AP
• Avantajul topologiei fizice
(plasarea AP-ului independent de reţeaua electrică)

Cuprins
7. Accesul la mediu

Standardul 802.11a 802.11b 802.11g 802.11n

Frecvenţă 5 GHz 2.4 GHz 2.4 GHz 2.4 || 5 GHz
Bandă 54 Mbps 11Mbps 54Mbps 600 Mbps (MIMO)
Spread OFDM DSSS OFDM OFDM
spectrum
Avantaje Interferenţă scăzută Distanţă mare Bandă mare Bandă mare

Bandă mare Preţ scăzut Distanţă mare Distanţă mare (4x)
Multe staţii Preţ scăzut Preţ scăzut
Compatibil b
Dezavantaje Distanţă mică Bandă mică Interferenţe Draftul 4.0
Preţ ridicat mai mari
Incompatibilitate ca la a
Popularitate    

Cuprins
7. Accesul la mediu

7. Accesul la mediu
Mediul de transmisie este partajat...

...dacă două staţii transmit simultan rezultă o coliziune
Este nevoie de o tehnică de acces la mediu...

...care să trateze problema coliziunilor

7. Accesul la mediu
De ce nu CSMA/CD ?
Problema statiei ascunse

7. Accesul la mediu
Două soluţii:
• Coordonare centralizată: Access Point-ul face jocul
• Coordonare distribuită: CSMA-CA (cel mai adesea)

– CSMA/CA se poate poate implementa:
• ACK : dacă nu s-a primit ACK pentru un pachet se consideră

pierdut -> se retransmite după un timp random
• RTS/CTS : rezervarea canalului în avans

7. Accesul la mediu
CSMA/CA
Carrier-Sense Multiple Access
with Collision Avoidance
SIFS – Short Interframe Space

DIFS – Distributed Interframe Space

7. Accesul la mediu
CSMA/CA
Carrier-Sense Multiple Access
with Collision Avoidance
SIFS – Short Interframe Space

DIFS – Distributed Interframe Space

Cuprins
7. Accesul la mediu

2 2 6 6 6 2 6 0-2312 4
control adresă adresă adresă secvenţă adresă
cadru
durată date CRC
1 2 3 control 4
2 2 4 1 1 1 1 1 1 1 1
către de la power
Versiune tip subtip frag. retry date WEP Rsvd
AP AP mgt
• Protocol Version – deocamdată 00

• Type – Management / Control / Data
• Subtype – Association Request, ACK, Data, etc.
• către AP/de la AP – 1 dacă destinaţia/sursa este reţeaua cu fir
• frag. – Mai sunt fragmente de transmis
• Retry – retransmisie a unui fragment transmis anterior
• Power mgt – statia va intra in mod consum redus, imediat dupa transmisie
• More Data – mai sunt frame-uri în bufferul de transmisie
• WEP – cadrul este criptat

2 2 6 6 6 2 6 0-2312 4
control adresă adresă adresă control adresă
durată date CRC
cadru 1 2 3 secvenţă 4
2 2 4 1 1 1 1 1 1 1 1
către de la power
Versiune tip subtip frag. retry date WEP Rsvd
DS DS mgt
către AP de la AP adresa 1 adresa 2 adresa 3 adresa 4

0 0 destinaţie sursă BSSID -
0 1 destinaţie BSSID sursă -
1 0 BSSID sursă destinaţie -
1 1 Adresă receptor Adresă transmiţător destinaţie sursă
• către AP sau DS (Distribution System) = către reţeaua cu fir

• Durată – timpul de transmisie fragment + 1 CTS + 1 ACK + 3 x SIFS
• control secvenţă – numărul de secvenţă al fragmentului
• CRC – suma ciclică de control pe 32 de biţi

Cuprins
7. Accesul la mediu

9. Canale multiple
• Mediul este partajat
• Staţiile dintr-o reţea se coordonează pentru

accesul la mediu
Pot mai exista mai multe reţele în acelaşi spaţiu?
DA, dar în condiţii speciale!

9. Canale multiple
Wireless,
dragă!
- Ce bandă utilizează o reţea wireless?

- Paaai...., în funcţie de banda digitală, de metoda de transmisie în
spectru împrăştiat şi bine-nţeles, de modulare.
- Bine, atunci cât utilizează o reţea standard, să spunem 802.11g?
- Cam 22 MHz.
- Şi 802.11g utilizează banda ISM de 2.4 GHz, nu?
- Da...

9. Canale multiple
Îmi iau şi
eu!
- Păi lăţimea benzii este de 2.473 – 2.401 = 72 MHz !

- Văd unde baţi, păi înseamnă că ar fi loc de 72/22 = 3 reţele.
- Exact.
- Nu am putea pune atunci 3 reţele în acelaşi spaţiu, fără să ne mai
punem problema coliziunilor ?
- Ba cred că da, pentru că avem practic o multiplexare în frecvenţă!
- Aşa e .

9. Canale multiple

9. Canale multiple
Aplicaţii ale canalelor multiple:
• Colocalizarea mai multor reţele

• Extinderea benzii şi a razei de acoperire
• Roaming
Amendamente recente:
802.11h - încorporat în 802.11 în 2007 specifică 23/19

(SUA/Europa) canale pentru 802.11a, obţinute prin folosirea
benzilor UNII

9. Canale multiple
Topologie ESS – Cele două BSS-uri utilizează canale disjuncte

9. Canale multiple
Canalul Canalul Canalul

6 1 11
Canalul
6
Canalul
Canalul Canalul
11
6 1
Canalul Canalul Canalul

1 11 6
Acoperirea unei suprafeţe mari folosind doar 3 canale

9. Canale multiple
Interesant mai ales pentru reţele publice

Cuprins
7. Accesul la mediu

• Manipularea semnalului
– Diminuarea puterii de emisie
– Folosirea de antene direcţionale
• Eliminare SSID broadcast
• MAC Filtering
• WEP (Wired Equivalent Privacy)

– Autentificare şi Criptare RC4
– Cheia de criptare statică (spart !!)
• WPA (Wi-Fi Protected Access)

– TKIP (Temporary Key Integrity Protocol)
– WPA personal şi WPA enterprise (server RADIUS)
• Din 06.2004 s-a standardizat WPA2 – 802.11i

– bazat AES

10. VLAN-uri în Wireless
• Maparea a mai multe SSID-uri pe mai multe VLAN-uri
• Separarea reţelei după diferite privilegii de securitate.
• Trebuie folosit acelaşi canal

TCP – Transmission Control

Protocol
– curs 6 –
09.11.2009
11.11.2009

Nivelul Transport
• Oferă servicii nivelului Sesiune

• Primește servicii de la nivelul Rețea
• Roluri
– împărțirea datelor în segmente
– crearea de conexiuni
– un nou mecanism de adresare (porturi)
– controlul fluxului (controlul congestiei)
– siguranța transmisiei (reliability)

Nivelul Transport (cont.)
• Comunicație între procese
– process-to-process delivery
– nivelul Rețea - host-to-host delivery (comunicație între
stații)
• Modelul client-server
– server
• proces “pasiv”
• “ascultă” cereri de la clienți
– client
• procesul activ
• inițiază o conexiune către server
• solicită un anumit serviciu
– adresare prin porturi
• un proces server (un serviciu) = un port “listening”

Modelul client-server
SSH client SSH server
50000 22
request Data 22 50000
22 50000 Data response

Porturi
• Sistemul de adresare folosit de nivelul Transport
• Asociat protocolului de nivel Transport
– Port 100 UDP != Port 100 TCP
• Existența mai multor procese pe aceeași stație

– mai multe servicii pe aceleși sistem
– multiplexare prin porturi
• 16 biti → valori de la 0 la 65535

• Intervale de porturi (IANA)
– Porturi rezervate (well-known): între 0 și 1023
• SSH – 22, FTP – 21, Telnet – 23, SMTP – 25, HTTP – 80
– Porturi înregistrate: între 1024 și 49151
• Kazaa, RMI Registry, MySQL, etc.
– Porturi dinamice (efemere): de la 49152 la 65535
• testare locală
Porturi (cont.)
Procese Procese
Multiplexare Demultiplexare
IP IP
• O pereche formată dintr-o adresa IP si un port – socket

– (211.42.121.13, 50000)

Sockeți de rețea (Internet sockets)
• "The combination of an IP address and a port
number is referred to as a socket." (Cisco)
• Datagram sockets: UDP

sockfd = socket(PF_INET, SOCK_DGRAM, IPPROTO_UDP);
• Stream socket: TCP

sockfd = socket(PF_INET, SOCK_STREAM, IPPROTO_TCP);
• Asocierea socketului la o adresă şi un port (bind)

addr.sin_family = AF_INET;
addr.sin_port = htons(50000);
addr.sin_addr.s_addr = INADDR_ANY;
bind(sockfd, (struct sockaddr *) &addr, sizeof (addr));

UDP
• User Datagram Protocol
• Neorientat conexiune
• Nesigur (unreliable) (segmente pierdute)
• Fara controlul fluxului (segmente fără ordine)
• Când se folosește UDP?

– overhead mare indus de TCP
• DNS, managementul rețelei (SNMP)
– comunicații multimedia
• controlul fluxului nu este foarte important
– aplicația asigură controlul fluxului
– rețele locale
• “Brood pe UDP” :-)

Antetul UDP
0 16 31
Port sursa Port destinatie
Lungime Suma de control

Sockeți UDP
• nu are sens folosirea connect (dar se poate)

– nu se creează un canal virtual de comunicație”
• recvfrom și sendto
sendto(sockfd, buffer, BUF_SIZE, 0, (struct

sockaddr*)&target_host_address, sizeof(struct sockaddr));
recvfrom(s, buffer, BUF_SIZE, 0, (struct sockaddr*)&host_address,

&hst_addr_size);

TCP
• Transmission Control Protocol
• Orientat conexiune
– circuit virtual în care are loc comunicația
• Protocol sigur (reliable)
– datele ajung garantat la destinatie
– datele ajung în ordine la destinație
• numere de secventa si numere de confirmare
• Controlul fluxului
– corelare sender și receiver
• fereastră glisantă
• Controlul congestiei
• Controlul erorii
– sumă de control

TCP (cont.)
– Transmisie de tip flux de octeti (byte stream)
– Folosire de timere
• RTT – Round Trip Time
• keep-alive timer
– TCP este folosit in 95% din comunicatiile din

Internet
• HTTP, FTP, SMTP, POP3, IMAP, SSH etc.

Antetul TCP - imagine
0 31
Port sursă Port destinație
Număr de secvență
Număr de confirmare
U A P R S F
HLEN Rezervat R C S S Y I Dimensiune fereastră
G K H T N N
Sumă de control Pointer la date urgente
Opțiuni Padding
Date

Antetul TCP – porturi
• Multiplexare prin porturi
– process-to-process delivery
– pot exista mai multe circuite virtuale între
două stații
• Flux de comunicație (o conexiune) TCP

– <adresă IP sursă, port sursă, adresa IP
destinație, port destinație>
• Substituție port sursă – port destinație în

pachetele de răspuns
Antetul TCP – numere de secvență
• Reprezentare pe 32 de biti
• Număr de secvență
– indexul primului octet din segmentul TCP
– în cadrul fiecărui segment
– situație:
• primul octet are numarul de secvență 1000
• cel de-al 100-lea octet are numărul de secvență 1099
• Număr de confirmare
– indexul urmatorului octet pe care receptorul se
așteaptă să-l primească de la transmițător
– confirmarea primirii datelor de pana la acest numar
– nu este prezent în toate segmentele
• activat de prezența câmpului (flag-ului) ACK

Antet TCP - Campuri de control
• Grup de 8 biți din antetul TCP
• Identifică diverse stări ale protocolului
• Mai mulți biți pot fi activi simultan
• URG
– activare câmp “Pointer la date urgente”
• offset până la ultimul octet de “date urgente”
• PSH
– push function
– pentru eficiență TCP folosește buffere de intrare și ieșire
– golirea bufferelor – livrare imediată
• transmiterea secvenței “login:” în rețea

Antet TCP – Campuri de control
– RST
• resetarea conexiunii
• invalidarea numerelor de secvență
– ACK
• activare câmp “Număr de confirmare”
– SYN
• protocolul de inițiere a conexiunii (handshake)
• stabilirea/sincronizarea numerelor de secvență
– FIN
• protocolul de încheiere a conexiunii
• încheierea transmisiei de la FIN-sender

Antet TCP – Campuri de control (cont.)
– RFC 3168
• introducerea câmpurilor CWR și ECE
– ECE
• ECN Echo
– CWR
• Congestion Window Reduced
• s-a primit un segment cu ECE activat

Antet TCP – alte campuri
• HLEN (Header Length)
– lungimea antetului TCP în cuvinte de 32 de octeți
– maxim 15 (60 de octeti) –> 40 de octeți pentru opțiuni
• Dimensiune fereastră
– spațiul pentru stocare date neconfirmate (receiver)
– maxim 65535
– opțiune de scalare a ferestrei
• Sumă de control (antet + date)

• Opțiuni
– diverse opțiuni/extensii definite în RFC
• specificarea MSS (Maximum Segment Size)
• window scale
Inițierea conexiunii
Timp Statia A Statia B
Transmite SYN seq=x
Primește SYN
Transmite SYN seq=y,

ACK x+1
Primește SYN + ACK
Transmite ACK y+1
Primește ACK

Inițierea conexiunii (cont.)
• Clientul este entitatea activă – inițiază conexiunea
• Câmpul SYN activat

• ISN – Initial Sequence Number
– numărul de secvență dintr-un segment cu SYN activat
• Protocolul de inițiere de conexiune - 3-way handshake

• Primul pachet (SYN)
– stabilirea ISN pentru comunicația de la client la server
• Al doilea pachet (SYN+ACK)
– confirmarea primului pachet
– stabilirea ISN pentru comunicația de la server la client
• Al treilea pachet (ACK)
– confirmarea celui de-al doilea pachet
• Cele două ISN sunt generate aleator

Inițierea conexiunii - sockeți
• Serverul este în starea listening (serv_sockfd)
listen(serv_sockfd, 5);
conn_sockfd = accept(serv_sockfd, (struct sockaddr *)
&cli_addr, &cli_len);
• Un nou socket pentru intermedierea comunicației

cu un clientul (conn_sockfd)
– aceleași caracteristici cu socketul listener (IP, port)
– demultiplexat pe baza peer-ului
• Clientul iniţiază conexiunea

connect (cli_sockfd, (struct sockaddr *) &serv_addr, sizeof (serv_addr));

Full duplex
• De ce sunt necesare două numere de secvență?
– comunicația este full duplex
• O conexiune TCP - două canale virtuale de
comunicatie
– client → server
– server → client
• Un socket - două buffere
– buffer de citire/recepție
– buffer de scriere/transmitere
– SO_RCVBUF, SO_SNDBUF
• Este posibilă comunicație half-duplex prin
închiderea unui capăt al conexiunii
– Care capăt se închide? De scriere sau de citire?
Incheierea conexiunii
Timp Statia A Statia B
Transmite FIN seq=x
Primește FIN
Transmite ACK x+1
Primește ACK
Transmite FIN seq=y,
ACK x+1
Primește FIN + ACK
Transmite ACK y+1
Primește ACK

Incheierea conexiunii (cont.)
• Inițiat de oricare capăt al transmisiei
• Câmpul FIN activat
• Protocol de tipul 4-way handshake

– primul segment
• câmpul FIN activ
– al doilea segment este o confirmare a primului
– conexiunea este pe jumătate închisă (HALF CLOSED)
• comunicatia este intr-un singur sens
– urmatoarele doua segmente închid conexiunea în celălalt sens
• Este posibil protocol de tipul 3-way handshake

– cele doua entități închid conexiunea în același timp
– al doilea și al treilea segment sunt “unite”

Încheierea conexiunii - sockeți
• Un capăt închide conexiunea (fie acesta clientul)

close (cli_sockfd);
• Celălalt capăt așteaptă sosirea de cereri

– Poate solicita, de asemenea, închiderea conexiunii
n = read (conn_sockfd, buffer, BUF_LEN);
if (n == 0) { /* se inchide conexiunea */
printf (“clientul %s a incheiat conexiunea\n”,
inet_ntoa (cli_addr.sin_addr));
close (conn_sockfd);
}
...

Diagrama de stări
segment primit (acțiune)/segment de transmis

Transmiterea de date
• După ințierea conexiunii

• Receptorul controlează transmisia (controlul fluxului)
• Transmitere date
– exista date de transmis
– nu se va depăși dimensiunea ferestrei anunțată de receiver
• Segment de confirmare pentru fiecare pachet de date
– câmpul ACK activat
– dimensiunea ferestrei receptorul (câți octeți poate primi)
• Receptorul confirma cel mai curent spatiu contiguu de
date primit
– unele date se pot pierde
– pot sosi duplicate
• Timere pentru evitarea deadlock-urilor și a conexiunilor
care nu mai răspund

Fereastră glisantă
ISN
numarul initial
de secventa
Numarul de secventa
(2^32)
Fereastra receptorului
(maxim 2^16)

Fereastră glisantă (cont.)
• Roluri
– eficiența comunicației
– controlul fluxului – receptorul să nu fie încărcat
• Dimensiunea ferestrei transmițătorului este
controlată de cea a receptorului
– dimensiune mai mică în cazul unei congestii
• Exemplu de funcționare
– transmițătorul primește un segment de confirmare cu
ACK=1000 și WIN=1200
• receptorul îi confirmă octetul cu numărul 1000
• receptorul îi precizează dimensiunea fereastrei de 1200
– transmițătorul poate transmite segmente cu numere
de secvență până la ACK+WIN = 1000+1200 = 2200

Controlul congestiei
• Congestie - “aglomerarea” datelor (receptor sau ruter din circuitul virtual)
• Număr mare de algoritmi de control al traficului
• Slow start
– transmițătorul controlează viteza de transmisie
– viteza cu care receptorul transmite segmente de confirmare determină viteza de
transmisie
• Evitarea congestiei (congestion avoidance)
– folosit în paralel cu Slow start
– segmente de confirmare piedute → reducerea dimensiunea ferestrei la jumătate
– date retransmise → dimensiunea ferestrei crește
• Fast retransmit
– prea multe segmente de confirmare la un singur pachet → segmentul sigur a
ajuns
– nu se așteaptă expirarea timerului de retransmisie
• Fast recovery
– mai multe segmente de confirmare → segmentul a ajuns
– nu se mai pune problema pune problema congestiei
– se rulează algoritmul Congestion avoidance → retransmitere cu o fereastră mai
mare

Slow Start
• Funcţionarea sa este dictată fereastra
ISN= 1000
receptorului (rwnd), precum şi de două
cwnd = 1480
variabile locale:
seq=1001, 1480 • fereastra de congestie – congestion
ack=2481 window (cwnd)
cwnd = 2 seg. • pragul de creştere – slow start threshold
seq=2481, 1480
(ssthresh)
seq=3961, 1480 • Funcţionare:
ack=5441 • este iniţializat la MSS sau fereastra
cwnd = 3 seg. receptorului
seq=5441, 1480 • în general receptorul va trimite
seq=6921, 1480 confirmare la fiecare două pachete
ack=8401 • după fiecare rundă de transmisie
seq=8401, 1480 fereastra de congestie se incrementează
ack=9881 cu numărul de confirmări primite, până
cwnd = 5 seg. atinge valoarea ferestrei receptorului
sau a pragului de creştere
MSS = 1.480
rwnd= 100.000 • la atingerea ssthresh conexiunea iese
cwnd = 1.480 din slow start pentru respectivul sens
Fast Retransmit şi Fast Recovery
• Pentru fiecare segment trimis TCP
cwnd = 11840
aşteaptă un interval de timp fix
seq=50000, 1480 (dependent de RTT). La expirarea
seq=51480, 1480 X acestui timp va iniţia retransmiterea
seq=52960, 1480
segmentului
ack=51480
• Pentru Fast Retransmit la primirea a 3
pachete de confirmare duplicate (4
confirmări identice) va considera
seq=54440, 1480
ack=51480 segmentul pierdut

seq=55920, 1480
• În cazul unui segment pierdut pragul de
ack=51480 congestie de la transmiţător se
seq=57400, 1480 înjumătăţeşte:
ack=51480 • ssthresh=cwnd/2=11840/2=5920
cwnd = 5920 • Pentru Fast Recovery se consideră cele
3 pachete de confirmare duplicate,
seq=51480, 1480
ack=58880
adăugând 3 segmente la cwnd:
• cwnd=sshthresh+3 seg.

Timere TCP
• MSL (Maximum Segment Life)
– timp de așteptare a unui segment
– la inchiderea conexiunii, socketul este eliberat după timp 2*MSL
•transmiterea ultimului pachet ACK
•măsură de siguranta in cazul in care ultimul ACK se pierde
•bind: Address already in use
• RTT (Round Trip Time)
– o medie a timpului între transmiterea unui segment și
confirmarea acestuia
• RTO (Retransmission Timeout)
– timer de primire a confirmării
• Keepalive Timer
– o conexiune nu schimbă date (idle connection) → la un interval
de timp dat se transmit segmente de testare a conexiunii (probe
segments)
– de obicei stabilit la 2 ore
– în absența confirmării pentru un număr de segmente (de obicei
10) → intervale de 75 de secunde

Opţiuni TCP
• configurarea dimensiunii buffer-ului de transmisie/recepţie
int window_size = 128 * 1024;/* 128 kilobytes */

setsockopt(sockfd, SOL_SOCKET, SO_SNDBUF, (char *)
&window_size, sizeof(window_size));
• activarea/dezactivarea timer-ului de keepalive
int ka_value = 0; /* deactivate keepalive */

setsockopt(sockfd, SOL_SOCKET, SO_KEEPALIVE, (char *)
&ka_value, sizeof(int)));

TCP advances
• TCP over wireless

– TCP optimizat, în general, pentru transmisii de tip
wired
– pierderea unui pachet -> congestie
• micșorarea dimensiunii ferestrei
• TCP offload engines
– dispozitive hardware care implementează TCP
– evitarea complexității TCP în software
– creșterea vitezei de transmisie
– probleme
• integrarea în sistemele de calcul actuale
• necesitatea alterării structurii sistemelor de operare

Cuvinte cheie
• nivelul transport • full-duplex
• process-to-process • încheiere conexiune
• modelul client-server • 4-way handshake
• porturi • controlul congestiei
• socketi • fereastră glisantă
• TCP • controlul fluxului
• flux de octeți • controlul congestiei
• conexiune • slow start
• URG, PSH, RST, ACK, • congestion avoindance
SYN, FIN, ECE, CWR • fast retransmit/recovery
• inițiere conexiune • TCP over wireless
• 3-way handshake • TCP offload engine
• ISN
DNS
– curs 7 –
16.11.2009
18.11.2009

... dns
You know it’s love when you memorize her IP address to skip
DNS overhead.

Domain Name System
• Serviciul
S i i ldde nume (DNS) permite i id
identificarea
ifi tuturor
nodurilor din Internet printr-o adresa de nume
• De ce folosim rezolvarea de nume?
1. mult mai intuitiva
2. este independenta de alocarea adreselor IP
• Exista doua tipuri de rezolvari de nume:
– rezolvarea directa (forward lookup) - determina adresa IP
asociata unui nume
– rezolvarea inversa (reverse lookup) - determina adresa de
nume asociata unei adrese IP
• DNS este folosit si in rutarea serviciului de email:

– acesta functie este realizata prin precizarea intrarilor MX (mail
exchanger)
– pentru un domeniu se pot preciza mai multe intrari MX

Istoric
• IIncă
ă din
di aniiii ’70 a apărut
ă ideea
id d
de a ffolosi
l i o adresa
d d
de
nume în loc de adresa de reţea
• Prima soluţie presupune definirea statică a asocierilor
asocierilor. In
sistemele Unix aceasta se face în fişierul: /etc/hosts
• Odată cu dezvoltarea reţelelor
ţ a început
p să se folosească
un server central, iar toate staţiile din reţea trebuiau să
descarce fişierul de asocieri de pe acest server
– Soluţia ss-a
a dovedit mult prea puţin scalabila
scalabila, slab convergentă
• In anii ’80, IETF a standardizat DNS, o soluţie de bază de
date distribuită,, care răspundea
p p
problemelor de
scalabilitate, dar nu şi celor de convergenţă
• Standarde ulterioare au adresat probleme de securitate şi
d convergenţă
de ţă
• Cu toate acestea, convergenţa DNS este unul dintre cele
mai lente procese din Internet

Adresa de nume
• Numele de domenii sunt separate prin puncte
– Fiecare element poate avea maxim 63 de caractere, iar
lungimea totala a adresei este de maxim 255 de caractre
– numele sunt limitate la caractere alfanumerice (a-z, A-Z, 0-9) şi
caracterul '-'
• Adresa de nume are o structrură ierarhica
– Spre deosebire de adresa IP cel mai semnificativ element al unei
adrese
d d
de nume se afla
fl lla d
dreapta
t acesteia
t i
– primul element dintr-o adresa de nume (cel mai din dreapta) se
numeste TLD ((Topp Level Domain))
• Specificarea unei adrese de nume poate fi:
– relativa. O statie din domeniul cs.pub.ro, daca face o cerere
DNS pentru curs, va obtine adresa serverului curs.cs.pub.ro
– absoluta. O astfel de adresa este denumita si FQSN (fully-
qualified domain name) si este de forma: mail.yahoo.com.

Domenii
TLD ro … net com
pub ro
pub.ro …
roedu.net
d t acad.net
d t
cs.pub.ro co.pub.ro
• Un domeniu este un sub-arbore al spatiului ierarhic de nume

• O zona este o parte a unui domeniu gestionat de un server
• Unele subdomenii pot fi delegate in zone separate
• O zona poate include toate subdomeniile unui domeniu datdat, sau
poate delega autoritatea pentru o parte dintre acestea altor zone

Functionarea DNS
• R
Rezolvarea
l d
de nume se b bazează ă pe implementarea
i l t uneii aplicaţii
li ţii
client-server
• Componenta client rulează integrat la nivelul sistemului de operare
• Serverul de DNS va avea drept responsabilitate să raspundă la
cererile despre staţiile aflate în autoritatea sa (zona sa).
• Aceasta implentare are 2 mari neajunsuri:
– latenţa mare a procesului iterativ de rezolvare a unei cereri DNS de
către serverul autoritar
– complexitatea comunicaţiei dintre client si serverul autoritar
O cerere de rezolvare de nume va fi tratata astfel:
• Clientul va trimite cererea unui server DNS
• Cererea este rezolvată local dacă adresa se află sau nu în domeniul
sau de autoritate
• Altfel,, se va încerca rezolvarea cererii p
pe baza informaţiilor
ţ din
memoria cache
• Daca nu exista intrare în memoria cache, se iniţiază procesul de
interogare iterativa. Odată primit răspunsul este actualizată şi
memoria cache

Tipuri de servere DNS
• Master/slave
– Existența unui backup în caz că masterul nu poate fi contactat
• Caching-only
– servere ce sunt autoritare doar pe domeniul 0.0.0.127-in.addr.arpa
– De ce ar fi nevoie de un server caching-only?
• reduce traficul de DNS, dar creşte timpul de convergenţă
• Servere rădăcină
– Servere ce administrează TLD-uri
– Câte TLD-uri există în prezent?
p
• Servere forwader
– Răspund la cereri recursive sau nerecursive?
– Sunt caching-only sau pot fi si servere DNS autoritare pe un
domeniu?

Rezolvarea cererilor de DNS
• Se
S pott formula
f l doua
d tipuri
ti i d de cereri:
i
– recursive: trebuie neaparat rezolvata
• aplicatiile client vor genera cereri recursive
– nerecursiva: va întoarce un răspuns pozitiv doar dacă serverul interogat
are intrarea în cache sau este autoritar pentru cerere. Altfel, serverul de
nume interogat va răspunde cu un mesaj specificând faptul că răspunsul
nu este cunoscut şi indicând un alt server de nume
nume.
• Cautarea in cache se va face pornind de la cel mai specific domeniu al
cererii
– ex: pentru
t cererea A.B.C,
A B C va fi cautata
t t in
i memorie i asocierea
i pentru
t
A.B.C, daca nu este gasita va fi cautata B.C si in final cea pentru C.
• In cazul esecului cautari in memorie:
– pentru
t o cerere va fi indicat
i di t unull di
dintre
t serverele
l radacina
d i
– pentru o cerere recursiva va fi generata o cerere nerecursiva catre
serverul de forwarding. Daca acesta nu exista catre un server radacina.
• U
Un server de di se foloseşte
d fforwarding f l pentru înregistrările
î i ă il pentru care
serverul DNS nu este autoritar, şi doar dacă răspunsul nu se găseşte
în cache.

Exemplu
1 Staţia lemon.cs.pub.ro
1. lemon cs p b ro trimite o cerere rec
recursivă
rsi ă ser
serverului
er l i cs
cs.pub.ro
p b ro în care se
doreşte aflarea adresei asociate numelui www.linux.org;
2. Serverul va începe prin a analiza dacă adresa face parte din domeniul pe care îl
gestionează; în acest caz nu face parte, aşa că va trece la următorul pas;
3. Serverul verifică dacă nu cumva numele este prezent în cache; presupunem că
numele nu este prezent în cache; în acest caz se trece la pasul următor;
4. Dacă serverul are configurat un server de forwarding, atunci el va trimite o cerere
nerecursivă serverului de forwarding; în caz contrar va trimite o cerere nerecursivă
unuia din serverele rădăcină; în cazul de faţă considerăm că avem configurat ca
server de forwarding serverul ns.pub.ro;
5. Cererea ajunge la serverul ns.pub.ro care va căuta în cache numele; presupunem
că serverul nu va găsi în cache numele: atunci el va întoarce un răspuns negativ
negativ,
specificând ca hint root serverul B.root-servers.net;
6. Serverul cs.pub.ro va trimite cererea la serverul rădăcină; acesta va caută intrarea
în cache dar nu o va găsi, astfel că va trimite un răspuns negativ iar ca hint serverul
de nume asociat domeniului org org, să spunem ns1
ns1.org;
org;
7. Serverul cs.pub.ro trimite atunci cererea serverului ns1.org; acesta va căuta
intrarea în cache şi presupunem că nu o va găsi; va trimite deci un răspuns negativ,
iar ca hint serverul asociat domeniului linux.org, să spunem ns.linux.org;
8 Serverul
8. S l cs.pub.ro
b ttrimite
i it atunci
t i cererea serverului
l i ns.linux.org;
li acesta,
t fii
fiind
d
serverul autoritar pentru zona linux.org va căuta adresa www.linux.org în baza de
date, şi va întoarce un răspuns pozitiv şi autoritar cu adresa asociată;
9. Serverul cs.pub.ro întoarce răspunsul staţiei lemon.cs.pub.ro şi îl introduce în
cache.
h

Master / slave
• fiecare domeniu trebuie sa aiba o zona de master pentru
a putea genera raspunsuri autoritare pe domeniul
gestionat
• cand un server de nume slave porneste va incerca sa

contacteze serverul master pentru a obtine o copie a
bazei de date de nume
• o zona de tip slave va trebui sa aiba precizat explicit
zona master

Tipuri de inregistrari
• Cele mai frecvente inregistrari sunt:
– A – identifică înregistrări de tip adresă, fiind folosite pentru rezolvarea
directă a numelui.
– PTR – identifică înregistrări de tip pointer şi sunt folosite pentru
rezolvarea inversa.
– NS – înregistrările de tip server de nume (name server)
server). Sunt folosite
pentru a identifica serverul de nume asociat cu un domeniu
– MX – înregistrările de tip server de mail (mail exchager). Sunt folosite
pentru a identifica serverul sau serverele de mail asociate cu un
domeniu
– SOA (start of authority) – specifică diverşi parametri pentru domeniul
indicat în cheie (seria bazei de date
date, intervalul de timp la care serverul
slave verifică seria, etc.).
– CNAME – identifică o înregistrare de tip alias,
– TXT – identifică o înregistrare de tip descriere

Bind
• Berkley Internet Name Domain
• este distributia cea mai folosita de DNS
• din 1995 pana in 2000 s-a folosit BIND v8
• din 2000 se foloseste BIND v9
– imbunatatiri in domeniul securitatii
– suport pentru IPv6
• www.isc.org/products/BIND

Sumar bind
• Tip de configurare: System V
• Pachete: bind, bind-utils, bind-chroot
• Daemons: named, rndc
• Script: named
• Porturi: 53 (domain), 953 (rndc)
• Fisiere de configurare:
– /etc/named.conf
– /var/etc/*
– /etc/rndc
• Alte pachete: caching-nameserver, openssl

Structura bind
bind
rezolvare rezolvare
directă inversă
Fișiere de zonă – Fișiere de zonă –

traducere directă named.conf traducere inversă
named.conf.local named.conf.options

named.conf
include “/etc/bind/named.conf.options”;
zone “.”{ options{

type hint; directory “/var/named/db”;
file “root.hints”; forwarders { 192.129.4.1; };
allow-query
allow query { 141.85.37.0/24;
141 85 37 0/24; };
}; };
zone “localhost”{
type master;
file “/etc/bind/db.local”;
};
include “/etc/bind/named.conf.local”;
zone “cs.pub.ro”{
type master;
file “cs.pub.ro.db”;
};
zone “37.85.141.in-addr.arpa”{
type master;
file “141.85.37.db”;
};

Fișierul de zonă
;cs.pub.ro.db
b db
$ORIGIN pub.ro.
cs IN SOA ns.cs.pub.ro. nsmaster.cs.pub.ro. (
2004101001 ; Serial
8H ; Refresh
2H ; Retry
1W ; Expire
1D ; TTL
)
TXT “Computer Science Departament”

NS ns.cs
NS ns
$ORIGIN cs.pub.ro.
MX 5 mail
MX 10 mail.pub.ro.
ns CNAME csrouter
csrouter A 141.85.37.1 ; ruter
mail A 141.85.37.3 ; serv mail

Fişierul de zonă reverse
;141.85.37.db
141 85 37 db
$ORIGIN 85.141.in-addr.arpa.
37 IN SOA ns.cs.pub.ro. nsmaster.cs.pub.ro. (
2004101001 ; Serial
8H ; Refresh
2H ; Retry
1W ; Expire
1D ; TTL
)
TXT “Computer Science Departament”
NS ns.cs.pub.ro.
NS ns
ns.pub.ro.
pub ro
$ORIGIN 37.85.141.in-addr.arpa.
1 PTR csrouter.cs.pub.ro.
2 PTR catc
catc.cs.pub.ro.
cs pub ro

Nu uitaţi:
• O greşeală frecventă atunci când se editează fişierele de

configuraţie pentru zone este scrierea incorectă a numelor
complete, prin uitarea aplicării punctului la sfârşitul numelui.
• Sintaxa fişierelor de configuraţie trebuie respectată cu exactitate.
Una dintre cele mai frec
frecvente
ente greşeli de sinta
sintaxăă este omiterea
separatorului “;”.
• Seria bazei de date trebuie incrementată la fiecare modificare făcută
în domeniu, altfel modificările nu se vor propaga.
• Chiar dacă timpul de viaţă se defineşte la serverele autoritare, el se
foloseşte doar în serverele neautoritare
neautoritare, când acestea introduc
răspunsul în cache.

Verificarea configuratiilor
• named-checkconf
la:/etc/bind# named-checkconf
/etc/bind/named.conf:20: missing ';' before 'zone'
la:/etc/bind# named-checkconf
la:/etc/bind# named-checkconf named.conf
• named-checkzone
named checkzone
la:/etc/bind# named-checkzone la.cs.pub.ro db.la.cs.pub.ro
dns_rdata_fromtext: db.la.cs.pub.ro:14: near 'la.cs.pub.ro.': not a valid number
zone la
la.cs.pub.ro/IN:
cs pub ro/IN: loading master file db.la.cs.pub.ro:
db la cs pub ro: not a valid number
la:/etc/bind# named-checkzone la.cs.pub.ro db.la.cs.pub.ro
zone la.cs.pub.ro/IN: loaded serial 2006091901
OK

host – DNS lookup utility
• L k
Lookup
$ host cs.pub.ro
cs.pub.ro has address 141.85.37.5
• Reverse lookup
$ host 141.85.37.5
5.37.85.141.in-addr.arpa domain name pointer
cursuri.cs.pub.ro.
• I t
Interogare specifica
ifi a unuii server
$ host cs.pub.ro 141.85.37.11
Using domain server:
Name: 141.85.37.11
Address: 141.85.37.11#53
Aliases:
cs.pub.ro
b h
has address
dd 141
141.85.37.5
85 37 5
• Interogare a unor campuri specifice
$ host -t NS cs.pub.ro
cs pub ro
cs.pub.ro name server ns.cs.pub.ro.
ns cs pub ro
cs.pub.ro name server pub.pub.ro.
$ host -t MX cs.pub.ro
cs.pub.ro mail is handled by 5 mail.cs.pub.ro.

zona
@ IN SOA ns1
ns1.testgroup.ro.
testgro p ro hostmaster
hostmaster.testgroup.ro.
testgro p ro (
2006113002 ;serial
28800 ;refresh
5000 ;retry
1309500 ;expire
e pire
6000 ;negative ttl
)
IN NS ns1.testgroup.ro.
IN NS ns2 testgroup ro
ns2.testgroup.ro.
IN MX 10 mail1.testgroup.ro.
IN MX 20 mail.testgroup.ro.
IN A 87.123.1.137
@ORIGIN testgroup.ro.
ns1 A 87.123.1.137
ns2 A 86.80.111.98
www A 194 105 1 138
194.105.1.138
mail1 A 86.80.111.98
mail A 194.105.1.139
; Aliases
mx IN CNAME @
testgroup.ro. IN TXT "v=spf1 a mx ptr mx:mail.testgroup.ro ~all" ;inregistrare spf

reverse
@ORIGIN 123
123.87.in-addr.arpa.
87 i dd
1 IN SOA ns1.testgroup.ro. hostmaster.testgroup.ro. (
2006113002 ;serial
28800 ;refresh
5000 ;retry
1309500 ;expire
6000 ;ttl
)
TXT "Zona de test reverse dns"
NS ns1
@ORIGIN 1.123.87.in-addr.arpa.
137 PTR ns1.testgroup.ro.

138 PTR www.testgroup.ro.
139 PTR mail.testgroup.ro.

Configurarea listelor de access
acl inside_network {
192.168.2.0/24;
192.168.1.0/24;
};
acl slaves {
192.168.2.1;
192.168.1.1;
};
options {
allow-query { inside_network; }; // permit pentru cereri recursive
allow-transfer { slaves; }; // permit pentru transfer la serverele
slave
};

Master (optiuni)
# /etc/namedb/named.conf - for base system's BIND 8 or 9
# /usr/local/etc/named.conf - for default install of BIND 8 or 9
options {
directory "/etc/namedb"; //locatia unde se afla fisierele pentru zone
dacă acestea nu sunt specificate prin cale absolută
listen-on {87.123.1.137; }; //adresa ip pe care asculta serverul
recursion yes; // pentru cereri recursive
allow-transfer { 192.168.1.1; }; // permite transferul de fisiere de zona
doar catre serverul cu adresa 192.168.1.1
};
logging{ //pentru a specifica modul de logare a erorilor

channel example_log{
file "/var/log/named/example.log" versions 3 size 2m;
severity
y info;
print-severity yes;
print-time yes;
print-category yes;
}
};
category default{ example_log; };
};

Master (definirea de zone)
zone
one "
"."
" { ;zona necesara pentru
t queri-uri
i i recursive
i
type hint;
file "named.root";
};
zone "0.0.127.IN-ADDR.ARPA" {
type master;
file "localhost.rev";
};
zone "1.123.87.in-addr.arpa" { //definirea zonei pentru reverse

type master;
also notify {86
also-notify {86.80.111.98;};
80 111 98;};
file "1.123.87.in-addr.arpa.map";
allow-transfer {86.80.111.98;);
};
zone "testgroup.ro" { //definirea zonei pentru care raspunde

serverul
type master;
also-notify
also notify {86.80.111.98;}; // sa notifice si dns-ul
dns ul slave de
// modificarile facute - pentru propagare rapida
file "test.map";
allow-transfer {86.80.111.98;); // se permite transferul doar la
// serverele slave
};

Slave (optiuni)
# /
/etc/namedb/named.conf
t / db/ d f - for
f b
base system's
t ' BIND 8 or 9
# /usr/local/etc/named.conf - for default install of BIND 8 or 9
options {
directory "/etc/namedb"; //locatia unde
nde se afla fisierele pentr
pentru zone
one
listen-on {86.80.111.98; }; //adresa ip pe care asculta serverul
version "not currently available"; //in caz ca incearca cineva sa scaneze
serverul
recursion yes; // permite cereri recursive
allow-query {86.80.111.0/24;}; //nu permite cereri decat din clasa
86.80.111.0/24
};
logging{ //pentru a specifica modul de logare a erorilor

channel example_log{
file "/var/log/named/example.log" versions 3 size 2m;
severity
y info;
print-severity yes;
print-time yes;
print-category yes;
}
};
category default{ example_log; };
};

Slave (definirea de zone)
zone
one "
"."
" { ;zona necesara pentru
t queri-uri
i i recursive
i
type hint;
file "named.root";
};
zone "0.0.127.IN-ADDR.ARPA" {
type master;
file "localhost
"localhost.rev";
rev";
};
zone "1.123.87.in-addr.arpa" { //definirea zonei pentru reverse

type slave;
file "1.123.87.in-addr.arpa.map";
masters {87.123.1.137;};
};
zone "testgroup.ro" { //definirea zonei pentru care

raspunde serverul
type slave;
file "test.map";
test.map ;
masters {87.123.1.137;}; // se specifica server-ul master
};

DHCP
– curs 7 –
16.11.2009
18.11.2009

DHCP
DHCP Server
UDP | port sursă 68 | port destinație 67
3
IP address ?
Here you go! (STATIC)
Client
OR
1 Look for it
2 yyourself (DHCP)
( ) • Adresa IP
• Subnet mask
• Router (gateway)
• Domain name
• Domain name server(s)
• WINS servers

Istoric
BootP DHCP
Mapare statica
Mapare dinamica
(dupa MAC)
Lease
Asignare permanenta
(“inchiriere” a adresei)
4 parametri de configurare Peste 30 de parametri

Funcționare
b d
broadcast unicast
DHCP Discover
DHCP Offer
DHCP Request
DHCP Request DHCP Server
Client
DHCP ACK/NACK
Give me an IP !! Here you go: 192.168.1.108

68 | 67 67 | 68
0 0 0 0 | 255.255.255.255
0.0.0.0 255 255 255 255 IP server | 255
255.255.255.255
255 255 255
Client_MAC | ff:ff:ff:ff:ff:ff Server_MAC | Client_MAC
I have chosen: 192

192.168.1.108
168 1 108
from server 192.168.1.1 Great :-D
68 | 67 67 | 68
0 0 0 0 | 255.255.255.255
0.0.0.0 255 255 255 255 IP server | 255
255.255.255.255
255 255 255
Server_MAC | ff:ff:ff:ff:ff:ff Server_MAC | Client_MAC

Funcționare client-side
• În mod real fiecare sistem de operare va păstra un cache pe partea
de client
• SO-ul
SO ul va trimite direct DHCP Request pentru a obține aceeași
adresă IP ca în trecut
1) Cerere DHCP Linux VM imediat după bootare
2) Cerere DHCP Linux VM la 1 minut după cerea de mai sus

DHCP client/server
Clientul DHCP
• Linux
– dhclient eth0
• Windows
– iipconfig
fi //release
l
– ip config /renew
Serverul DHCP
• Linux
– dhcp3-server
dhcp3 server
• Windows
– Windows ☺ -> în Windows Server 2008, DHCP-Server
DHCP Server este un
“Rol” ce se poate instala

DHCP MAC address bind
Pasiv
• Serverul reține binding-urile făcute în ultimele x ore
• Încearcă să ofere aceeași adresă IP pentru același MAC
dacă îl are în cache
Activ
• Serverul este configurat explicit să ofere mereu aceeași
adresă IP pentru același MAC
– fișiere de configurare presistente (Linux: /etc/dhcp3/dhcpd.conf)

DHCP Relay
• DHCP Relay
Client
• Problemă: DHCP folosește broadcast-uri L2

• Ruterul poate fi configurat să transforme broadcast-ul L2
(Discovery, Request) în unicast către server
• Dar…
… ruterul decapsulează nivelul 2 deci …
… cum maii ffuncționeaza
ți MAC address
dd bi
binding
di explicit
li it ?
• MAC-ul sursă e salvat în antetul DHCP

Configurare - Linux
# apt-get install dhcp3-server
# cat /etc/dhcp3/dhcpd.conf
# Range of IP addresses to be issued to DHCP clients

subnet 192.168.1.0 netmask 255.255.255.0 {range 192.168.1.128
192.168.1.254;
# Default subnet mask to be used by DHCP clients
option subnet-mask 255.255.255.0;
# Default broadcastaddress to be used by DHCP clients
option broadcast-address 192.168.1.255;
option routers 192.168.1.1; # Default gateway to be used by DHCP clients
option domain-name "your-domain.org";
# Default DNS to be used by DHCP clients
option
i d
domain-name-servers
i 40 175 42 254 40
40.175.42.254, 40.175.42.253;
175 42 253
# Laser printer obtains IP address via DHCP. This assures that the
# printer with this MAC address will get this IP address every time.
host laser-printer-lex1
laser printer lex1 {
hardware ethernet 08:00:2b:4c:a3:82;
fixed-address 192.168.1.120;
}
}

Rețele Locale de Calculatoare
S
Securitatea
it t Reţelei
R ţ l i
– curs 11 –
14.12.2009
16 12 2009
16.12.2009
Universitatea POLITEHNICA București

… despre securitate
"More people are killed every year by pigs than by sharks, which shows you
how ggood we are at evaluatingg risk."
k
Bruce Schneier
Sociall engineering bypasses

b allll technologies,
h l including
l d firewalls.
f ll
Kevin Mitnick

… despre securitate
• Primul mit al securităţii este că există ☺
• COMPUTER SECURITY: A computer is secure if you

can depend on it and its software to behave as you
expect.
• Scenariu:
– angajator intervievează potenţial angajat
– Î: cât de sigură poţi să-mi faci reţeaua/sistemul/infrastructura?
• R: perfect sigur (impenetrabilă) – he/she
he/she's
s out
• R: cât de sigură se poate – he/she's out
• R: cât de sigură doriţi? - răspuns corect

Consecinte..
• Atunci cand un sistem este “spart”:

– acces/furt/distrugere
/f t/di t informatie
i f ti confidentiala
fid ti l
–p
pierdere p
productivitate
– intreruperea functionalitatii retelei
– distrugerea increderii clientilor firmei
– stabilirea unui punct de start pentru alte atacuri
– utilizare resurse

Niveluri de securitate
• Criterii de bază
• Securitate fizică
• Securitatea sistemului
• Securitatea reţelei
• Securitatea personalului
• Acţiuni în cazul unui atac reuşit

Niveluri de securitate - criterii de bază
• Feature != security friend

• Securitatea unui sistem este dată de securitatea celei mai
slabe verigi
• Nu există sistem perfect sigur
• Least privilege
• Paranoia
P i iis a virtue
it

Niveluri de securitate - fizică
• Controlul accesului
• Alimentare cu tensiune
• Asigurarea temperaturii optime
• Protecţie împotriva incendiilor
• Protecţia împotriva cutremurelor
• Gl b l lload
Global dbbalancing
l i
– cold site
– warm site
– hot site

Niveluri de securitate – sistem/reţea
• Utilizarea de parole
• Firewall-uri
• Criptarea traficului
• Actualizarea pachetelor
• Menţinerea de jurnale (loguri)..
– ..inspecţia
inspecţia lor periodică
– salvarea logurilor peste rețea (remote-logging)

Niveluri de securitate - personalul
• Stabilirea de politici de securitate clare

– Parole
– acces
– NDA
• Verificare background angajat
• Training, stabilire drepturi
• Persoanele străine nu au nici un drept
p
• Avut grijă la persoanele care pleacă din organizaţie

Atacuri - hackers
• Ce?
– white hat hacker – real hacker
– black hat hacker – cracker
• De ce?
– for fun
– for moneyy
• Cum?
– exploatarea vulnerabilităţilor sistemului/reţelei
– exploatarea “slăbiciunilor” umane
– script kiddies (cei care au putine cunostinte insa poseda foarte
multe programele foarte puternice) reprezinta partea majoritara a
atacatorilor. Programele ce ajuta la “spart” sunt scrise de cei cu
cunostinte
ti t tehnice
t h i foarte
f t bune.
b

Atacuri de nivel 1
• Reprezinta un numar foarte mic din totalul atacurilor realizate
• Sunt folosite pentru a “vedea” ce date circula pe mediu
• N
Necesita
it acces fifizic
i lla mediu
di
• Cablurile UTP
– atacul se rezuma la a indeparta camasa si prin intermediul unor clesti
se obtine acces la cupru
• Wireless
– mediul este partajat si foarte accesibil
– interceptarea datelor prevenita prin criptarea datelor
• Fibra optica
– este mai greu de atacat
– este foarte usor distrusa
• Putine atacuri sunt facute publice
– in 2000, 3 linii apartinand companiei Deutsche Telekom au fost
compromise in aeroportul din Frankfurt
– in 2003 un aparat ilegal de interceptat a fost descoperit in reteaua de
fibra a companiei Verizon

Atacuri de nivel 1 - interceptarea fibrei optice
• Un astfel de aparat poate fi cumparat pe eBay la pretul

p
aproximativ de 500$
$
• Pentru a preveni detecţia interceptării pierderea de
p ş
intensitate luminoasă nu trebuie să depăşească 2%

Atacuri de nivel 2
• Securitatea unei retele este data de cea mai slaba veriga
• Daca un nivel este compromis, tot ce este deasupra este
compromis (efect domino)
• Nivelul 2 este foarte putin protejat de atacuri
• Reprezinta o mare parte a atacuri din reteua locala
• Tipuri
Ti i d de atacuri:
t i
– atac CAM table flooding
– schimbarea
hi b VLAN
VLAN-ului
l i (VLAN H
Hopping)
i )
– ARP poisoning
– atac STP
– alte atacuri

Atacuri de nivel 2 - atac CAM
• CAM table overflow
– mai 1999 apare macof, un utilitar destinat acestui atac
– exploateaza dimensiunea limitata a tabelei CAM si comportamentul
switchului in urma umplerii tabelei
– macof genereaza 155000 de intrari/minut in tabela CAM
– dupa 70 de secunde,
secunde si cel mai performant switch de pe piata va avea
tabela CAM plina.
– efect domino: switchurile adiacente vor fi atacate in momentul coruperii
unui switch. Totul se propaga
p p g
• Metoda de protectie: Port Security

– specificarea adreselor MAC
MAC, precum si numarul maxim de adrese MAC
ce pot fi invatate pe o interfata
– la detectarea unei adrese MAC ce nu se afla in adresele MAC valide
pentru o interfata se poate alege inchiderea portului sau doar blocarea
respectivului MAC

Atacuri de nivel 2 - VLAN hopping
• Legaturile de tip trunk au acces in toate VLAN-urile
• DTP(Dynamic Trunking Protocol) reprezinta un risc
• VLAN hopping prin exploatarea DTP
• O statie poate sa trimita un cadru care anunta switchul ca are nevoie
d o conexiune
de i ttrunk
k
• Statia devine atunci membra in toate VLAN-urile
vlan 10
sw 1 sw 2 vlan 20
trunk
A B C D
• Metode de protectie:
– Dezactivarea DTP

Atacuri de nivel 2 - VLAN hopping prin dubla encapsulare
• Trimiterea a cadre cu dubla encapsulare .1Q

• Trafic unidirectional
• At
Atacull reuseste
t chiar
hi ddaca portul
t l atacatorului
t t l i nu suporta
t ttrunkk
• NOTA: functioneaza doar daca conexiunea trunk are acelasi VLAN
nativ cu atacatorul
vlan 20 date
vlan 10
sw 1 sw 2 vlan 20
trunk
B C D
A
• Metode de protectie:
– Precizarea explicita a VLAN-ului nativ (trebuie evitata folosirea VLAN 1 ca
VLAN nativ)
– Porturile care nu sunt folosite este bine sa fie plasate intr-un VLAN
nefolosit

Exemplu de VLAN hopping

Atacuri de nivel 2 - ARP Poisoning
• Man-in-the-Middle
• DoS ARP attack
• Atacurile sunt realizate pe trimiterea de pachete ARP
(atat request cat si reply) cu informatii alterate
• Programe utile: dsniff, Cain/Abel, IPSorcery, hping2,
orice packet-crafter
packet crafter
• Poate fi făcut cu:
– ARP RRequestt (b(broadcast)–
d t) atac
t MITM către
ăt toate
t t stațiile
t țiil di
din
rețea cu un singur pachet
– ARP Reply (unicast)- permite selectarea stațiilor ce se doresc
atacate într-o rețea

MiTM ARP Request
Bob Alice
Unknown
Trudy
• Cerere ARP validă
MAC dest MAC sursă Type Cod operație MAC sursă IP sursă MAC dest IP dest
FFFF:FFFF: 0000:0000:
MAC Bob 0x0806 1 MAC Bob IP Bob IP Alice
FFFF 0000
Cerere ARP făcută de Trudy

FFFF:FFFF: 0000:0000:
MAC Trudy 0x0806 1 MAC Trudy IP Gateway IP inexistent
FFFF 0000

MiTM ARP Reply
Bob Alice
• Răspuns ARP valid Unknown

Trudy
MAC Alice MAC Bob 0x0806 2 MAC Bob IP Bob MAC Alice IP Alice
Răspuns ARP făcut de Trudy

MAC
MAC Alice 0x0806 2 MAC Trudy IP Gateway MAC Alice IP Alice
inexistent

Detectare si protectie MiTM
• Detectare
D t t
– ARPWatch
• In cazul MiTM cu ARP Request
Request, poate fi instalat pe o stație de
monitorizare. Aceasta va primi pachetele de atac, ele fiind
broadcasturi.
• In cazul MiTM cu ARP Reply, trebuie instalat pe toate stațiile din
rețea
• Protectie
P t ti
– Criptarea traficului in reteaua locala
• nimeni nu cripteaza trafic in LAN …
– ARP Guard + DHCP Snooping
Creează asocieri MAC
Creează asocieri MAC‐IP IP folosind tabela CAM
folosind tabela CAM
DHCP și sniffing‐ul DHCP
lease
MiTM ARP Request
Asocierea MAC sursă – IP sursă NU ESTE VALIDĂ
Atacuri de nivel 2 - O alternativa...MITE
Congratulations to the guy who invented a new type of attack:

“th M
“the Man iin the
th End
E d attack”
tt k”
aka
“I stay at the Sheraton and ARP spoof 10.0.0.{1,2}’s MAC address,

announce 00-20-E0-67-93-DA instead of 00-50-E8-00-11-89
and have no clue how to route or bridge traffic!”
Iff you manage to redirect

d and
d sniff
ff the
h traffic,
ff
please bridge it or route it
so that
th t people
l can still
till use the
th network
t k ;-))

Atacuri de nivel 2 - Atac STP
• Se bazeaza pe trimiterea de cadre BPDU cu informatie alterata
• Se poate forta o realegere a unui RootBridge
• Se poate opri alegerea unei radacini
• In urma unor BPDU-uri create in mod inteligent, atacatorul poate
deveni RootBridge
• T t pachetele
Toate h t l ajung
j la
l atacator;
t t continuari
ti i posibile:
ibil
– Man-in-the-Middle
– DoS
sw 1 sw 2
X A Z
• Metode
M t d d de protectie:
t ti
– Definirea explicita a porturilor radacina la nivelul fiecarui switch din
retea

Alte atacuri in reteua locala
• CDP pentru aflarea topologiei
• DHCP starvation:
– Obtinerea de adrese IP pe baza unor adrese MAC fictive
– Se poate creea un server DHCP care sa redistribuie adresele ip
acaparate,
t astfel
tf l toate
t t mesajele
j l trec
t pe la
l atacator
t t
• DNS spoofing: in urma unui MiM, raspunsurile DNS pot fi
alterate

Atacuri de nivel 3
• Atacuri care se pot efectua atat in reteaua locala cat si in retele
departate
• De obicei Denial
Denial-of-Service(DoS)
of Service(DoS) Distributed
Distributed-Denial-of-Service
Denial of Service (DDoS)
• Greu de gasit atacatorul cat timp adresa IP-sursa este alterata
• In cazul DDoS greu de oprit
• Programe des folosite: Stacheldracht, Tribe Flood Network, Trinoo
• Tipuri de atacuri DoS/DDoS:
– SYN flood
– LAND attack
– ICMP flood
– UDP flood (Fraggle Attack)
– Teardrop attack
– Distributed attack
– Reflected attack
– Slashdot effect
• Prevenire: SYN cookies, Firewalls, ACLs, IPS (Intrusion-prevention
systems)

Atacuri de nivel 3 - Atacuri SYN
• SYN flood:
– Atacatorul trimite catre server foarte multe cereri de deschidere a conexiunii
(pachete cu flagul
(p g SYN setat)) si cu adrese sursa spoofed
p ((aleatoare))
– Cat timp atacul se desfasoara, serverul nu poate raspunde la cereri reale
– Unele sisteme pot functiona in mod eronat, or chiar sa “crape” in momentul
in care sunt folosite foarte multe resurse
– Protejare: SYN cookies (in urma primirii unui pachet marcat SYN, el va
scoate aceasta cerere din coada SYN, astfel coada va fi tot timpul suficient
de libera pentru a raspunde cererilor; mecanismul este mai complex pentru
alegerea numarului de secventa. Aspect negativ: se pierd optiunile TCP. Un
compromis minor pentru a mentine un server disponibil)
• LAND attack:
tt k
– Foloseste trimiterea unui pachet ce are SYN setat. In plus adresa sursa si
adresa destinatie este adresa IP a hostului care urmeaza a fi atacat. Atacul
functioneaza deoarece masina isi va trimite pachete cu SYN in mod recursiv.
– A fost descoperit in 1997 de catre o persoana cu pseudonimul “m3lt”
– Sisteme vulnerabile: WindowsXP (SP2)
(SP2), WindowsServer2003
WindowsServer2003, AIX3 AIX3.0,
0 BeOS
preview release 2, FreeBSD 2.2.5 si 3.0, Irix 5.2 si 5.3, NetBSD 1.1 pana la
1.3, MacOS 7.6.1 pana la 8.0, Novell 4.11, SCO Unixware 2.1.1 si 2.1.2
– Metoda de protejare: majoritatea firewallurilor ar trebuie sa faca drop la un
astfel de pachet
Atacuri de nivel 3 - Atacuri flood
• ICMP flood:
– Se bazeaza pe trimitera in cantitati enorme de pachete ICMP, pana la
consumarea intregii
i t ii b beznii di
disponibile
ibil
– Versiuni:
• SMURF attack. Adresa destinatie este adresa de broadcast. Adresa sursa
va fi adresa hostului victima. Rezultat: toate echipamentele din acel segment
de retea vor trimite raspuns la hostul atacat.
p p g p
http://www.phreak.org/archives/exploits/denial/smurf.c
• PoD(Ping-of-Death). Dimensiunea maxima a unui pachet IP este de 65535
bytes. PoD trimite un pachet de 65536 sau mai mare (desi ilegal, el poate fi
ttransmis
a s s daca pacpachetul
etu este fragmentat).
ag e tat) La a reconstructia
eco st uct a pac
pachetului
etu u poate
sa apara un buffer overflow, astfel sistemul sufera un “crash”.
• UDP flood
– Se comporta ca si ICMP flood. Versiunea Fraggle attack este doar o
adaptare a atacului de tip SMURF. De fapt TFreak a scris atat fraggle.c
cat si smurf.c, doua pprograme
g ce realizeaza aceste atacuri.
– Atacatorul face un trafic foarte mare de pachete UDP echo catre
destinatii IP de broadcast, toate avand adresa sursa falsa. Traficul este
destinat pe porturile 7 (echo) si 19 (chargen – definit in RFC864)

Atacuri de nivel 3 - Atacuri DoS
• Teardrop attack
• Transmiterea unui pachet de pe un mediu cu MTU mare pe un
mediu cu MTU mai mic
– Wireless
– MPLS
• Teardrop = se folosesc pointeri greșiți în câmpul Fragment Offset
din antetul IP -> Kernel Panic
• Devenit
D it d
deprecated
t d odată
d tă cu:
– Windows 95
– Linux Kernel > 2.0.32
• Timp de 11 ani a fost considerat depășit. Până la apariția ....
• SMB 2.0
2 0 – teardrop works again!
“SRV2.SYS fails to handle malformed SMB headers for the NEGOTIATE

PROTOCOL REQUEST functionality.
f ti lit No
N user action
ti iis required”
i d”
• Protectie ? -> Windows Teardrop Attack Detection Software via MS

Atacuri de nivel 3 - Atacuri DoS
• Distributed attack
– Se bazeaza pe infectarea de hosturi. Un exemplu bun este MyDoom, un
worm ce lansa un atac la o anumita zi si ora
ora. Toate calculatoarele care
au fost infectate pana in acel moment, au efectuat atacul.
– IRCBots: programe ce odata ce au infectat sistemul, se conecteaza la
un server de IRC
IRC, pe un canal privat
privat. Toate hosturile infectate cu acelasi
tip de worm, se vor conecta la acelasi canal, atacatorul de acolo putand
sa le controleze. In momentul instalarii, echipamentul inefectat va avea
portul 6667 (port default pentru server IRC)
IRC).
• Slashdot effect
– Este un DDoS neintentionat. Numele vine de la vestitul site Slashdot,
care a postat un link catre un site cu capabilitati mai mici. Cand foarte
multi useri au incercat sa acceseze linkul, efectul a fost de SYN flood.
p recent: www.wow-europe.com
– exemplu p la schimbarea de hardware p pe
unele servere

Atacuri de nivel 7
• SQL Insertion
– Executarea de cod sql pe server
– Atacul depinde numai de modul in care a fost programat situl
– Exemplu:
• SELECT X from TABLE where
user = $user_input AND
pass = $pass
$pass_input
input
• Daca $user_input este “x’ OR --” rezultatul va fi:
• SELECT X from TABLE where
user = $x OR -- AND
pass = ‘nu_conteaza’
Deci loginul va fi acceptat

Fazele unui atac
• Footprinting
• Scanare şşi identificare
• Enumerare
• Obţinerea accesului
• Privilege escalation
• A
Ascunderea
d
• Backdoors
Fazele sunt p
prezentate din p
punct de vedere tehnic
– nu includ factorul uman
– usingg encryption
yp on the Internet is the equivalent
q of arranging
g g an
armored car to deliver credit-card information from someone living
in a cardboard box to someone living on a park bench. (Gene
Spafford)

Fazele unui atac - Footprinting
• Informaţie preliminară despre ţinte
• Search engines
g
• whois
• host
• traceroute

Fazele unui atac - Scanare şi identificare
• ping
• p
ping
g sweep
p ((nmap
p -sP))
– filtrare ICMP
• tcp ping scans (nmap -PT)
PT)
– filtrare ACK pentru conexiuni non-established
• port scanning (nmap -sS)
sS)
• OS fingerprinting (nmap -O)
• Nessus
N – scanare de
d vulnerabilitati
l bilit ti

Fazele unui atac - Enumerare
• Ce
C enumerăm?
?
– nume de utilizator
– sistem de operare
– aplicaţii şi versiuni utilizate
• banner
b grabbing
bbi
– fişiere partajate
nmap -sS
sS -sV
sV
razvan@asgard:~$ telnet anaconda.cs.pub.ro 21
Trying 141.85.37.25...
Connected to anaconda.cs.pub.ro.
Escape character is '^]'.
220 (vsFTPd 2.0.5)
• Configurare servicii să nu afişeze versiunea
– bind9: options { version “Not available”; }

Fazele unui atac - Obţinerea accesului
• Brute forcing
– hydra
• Sniffing
– dsniff
– ettercap
• Remote exploit
p
– http:/www.milw0rm.com
– Metasploit
p

dsniff
asgard:/home/razvan# dsniff
dsniff: listening on eth0
-----------------
01/08/08 12:43:39 tcp dhcp-139.cs.pub.ro.2923 ->
anaconda.cs.pub.ro.21 (ftp)
USER rctest
t t
PASS rctest
razvan@asgard:~$ ftp anaconda.cs.pub.ro

Connected to anaconda.cs.pub.ro.
220 (vsFTPd 2.0.5)
2 0 5)
Name (anaconda.cs.pub.ro:razvan): rctest
331 Please specify the password.
Password:
230 Login successful.
y
Remote system type
yp is UNIX.
Using binary mode to transfer files.
ftp> quit
221 Goodbye.
G db

Fazele unui atac - Contul privilegiat
• Vulnerabilităţi la nivelul sistemului de fişiere
– fişiere world-readable
– fişiere
fi i cu drepturi
d t i de d suid
id
• find /bin /usr/bin -type f -perm 4000
• Exploit local trust
– “.” în PATH
• Buffer overflows
Vârful stivei
Cod malitios
Stiva
crește în
jos Memoria
Adresă de întoarcere alocată
alocată
Variabile locale variabilelor
crește în sus
crește în sus
buffer
Fazele unui atac - Ascunderea atacului
• Curăţarea fişierelor de log

– cat /dev/null > /var/log/...
• Curăţarea command history-ului
– historyy -c
– cat /dev/null > ~/.bash_history
• Utilizator local cu uid 0
– contul are drept de root
• Rootkits
– ready made trojans
– LRK (Linux Rootkit) – binare “troianizate”
troianizate pentru diverse comenzi
importante
• Cel mai faimos rootkit: SONY!!!
– http://en.wikipedia.org/wiki/Sony_BMG_CD_copy_protection_sca
ndal

Fazele unui atac - Backdoors
• Remote shell execution
– pe sistemul compromis:
• nc -l -p 6666 -e /bin/bash
– pe sistemul cracker-ului:
• nc IP_sistem_compromis 6666
• De obicei se modifică binarele netstat, ps
• Un backdoor celebru este cel al lui Ken Thompson
– fiecare versiune Unix (programul login) permitea accesul
utilizatorului ken în sistem fără solicitarea parolei

Brute force
• orice parolă poate fi spartă de cineva suficient de insistent
• john the ripper
asgard:/home/razvan# john -single
single /etc/shadow
Loaded 11 passwords with 11 different salts (FreeBSD MD5 [32/32])
student (student)
florin (florin)
acinom (monica)
bog (bogdan)
gu3st
3 t (
(guest)
t)
c0rina (corina)
guesses: 6 time: 0:00:00:03 100% c/s: 4870 trying: 999991969
• hydra
asgard:/home/razvan# hydra -l rctest -p rctest anaconda.cs.pub.ro ftp
Hydra v5.3 (c) 2006 by van Hauser / THC - use allowed only for legal purposes.
Hydra (http://www.thc.org) starting at 2008-01-08 12:13:19
[DATA] 1 tasks, 1 servers, 1 login tries (l:1/p:1), ~1 tries per task
[DATA] attacking
i service
i ftp on port 2
21
[STATUS] attack finished for anaconda.cs.pub.ro (waiting for childs to finish)
[21][ftp] host: 141.85.37.25 login: rctest password: rctest
Hydra (http://www
(http://www.thc.org)
thc org) finished at 2008-01-08 12:13:20

DoS impotriva sistemului local
• La nivelul sistemului DoS se reflectă în consumul de
resurse
– procesor
– memorie
– spaţiu pe disc
• SYN attack
• fork bomb
– :(){ :|:& };:

Spam
• Pe masura evolutiei Internet-ului, e-mail-ul a inceput sa fie folosit ca
masura publicitara rezultand in ceea ce se numeste spam
(unsolicited mail)
• Open mail relay se refera la un server de e-mail ce permite
retransmiterea (relaying) mesajelor de posta de electronica sosite
di IInternet
din t t
• Pentru ca server-ele care transmiteau spam au inceput sa fie filtrate,
s-a
s a gasit solutia redirectionarii mesajelor prin intermediul altor
server-e (care functionau ca open mail relays)
• In momentul de fata, majoritatea ISP-urilor folosesc DNSBL (DNS
b
based d Bl
Blocking
ki Li
Lists)
t ) pentru
t a nu permiteit mesaje j d
de lla server-e
open relay
http //www.cnn.com/
http://www.cnn.com/2006/WORLD/europe/11/27/uk.spam.reut/index.html
6/WO LD/ urop / / 7/u .spam.r ut/ n .htm
→ 9 din 10 mesaje sunt spam

Spam - metode anti-spam
• Se verifica daca
– serverul care a trimis mailul, chiar exista (DNS search) si e autorizat (SPF
– Sender Policy y Framework).)
– acel server este autentic (Domain Keys) si nu este un open-relay sau un
server cunoscut ca fiind folosit de spammer-i (RBL – Real time spam
Black Lists)
– persoana care a trimis acel mesaj apare in Black, White sau Gray Listing
– mesajul nu contine elemente de spam (MimeDefang, SpamAssasin)
– mesajul
j nu este cumva un spam p binecunoscut ((baze de date comune:
Vipul Razor Hash checking)
– mai multi utilizatori au marcat mesajul ca spam (Dcop, Filtre Baynes,
invatare automata)
• Cum se detecteaza un mesaj spam?

1 In general,
1. general serverul de la care a plecat mailul nu exista; este vorba de un
open relay, trimite de obicei spam (server)
2. Persoana care trimite acel mesaj nu e autorizata si cel mai probabil nu
exista (persoana)
3. Mesajul e generat automat, a fost marcat ca spam de foarta multa lume.
Mesajul contine cuvinte cheie specifice spam-ului. (mesaj)
4. Invatare automata

Spoofing
• Masquerading – falsificarea informaţiilor dintr-un pachet
de reţea
ţ
• Man in the middle attack
– în criptografie, în comunicaţia dintre A şi B, C poate pretinde că
este A sau B
• E-mail address spoofing
p g
• Source address spoofing
– nc -s
s
– nmap -S
• Phishing

Phishing
• este o forma cunoscuta de social engineering
• este folosita pentru a obtine parole, detalii ale cartii de credit
• atacatorul invoca a fi o persoana de incredere in comunicatia
electronica
• de obicei se realizeaza prin e-mail, messaging sau telefonie
• un mesajj venit it di
din partea
t uneii surse aparentt autorizate
t i t solicita
li it
utilizatorului reintroducerea unor date personale pe un site pirat
• se ppoate ppierde accesul la casuta de e-mail sau la p pierdere
financiare substantiale
• in SUA, in 2004-2005 s-au inregistrat pierderi de 929 milioane $ din
cauza phishing
p g
• anti-phishing
– user training
– browser-ele
browser ele actuale pot fi capabile de a identifica forme de phishing de
pe diverse site-uri
– spam-filters reduc mesajele spam care pot fi folosite pentru phishing

Mecanisme de protecţie/prevenire
• Politici de securitate
– parole, drepturi, limitări
• Monitorizare & jurnalizare
– securitatea nu este o finalitate
finalitate, este un proces
• Filtrare trafic
– firewall
• Securizarea informaţiei
– criptarea
i t se foloseste
f l t pentru
t protejarea
t j continutului
ti t l i ddatelor
t l
– folosire rezumate de de mesaje (MD5, SHA-1), pentru asigurarea
integritatii datelor

Mecanisme protecţie - politici
• Definirea politicilor de autentificare
– constrângeri
g de p parole
– folosire de alte forme de autentificare: certificate
• Definirea clară a drepturilor
p ficărui utilizator - limitare
– ulimit
– chroot
– drepturi de acces, ACL
– quota
– sudo
– Linux capabilities
• Definirea serviciilor ce trebuie oferite de fiecare
componentă a reţelei
– separarea
p ariilor cu nivel de securitate diferit
• Definirea traficului ce trebuie criptat
• Definirea politicilor de filtrare

Mecanisme protecţie - monitorizare/jurnalizare
• Network sniffing
– wireshark
– tcpdump
– kismet
• Menţinerea de jurnale
• Utilitare de monitorizare a sistemului
– netstat
– ps
– lsof

Mecanisme protecţie - filtrare trafic
• Firewall
– hardware (dedicat)
– software
• cu suport în kernel: iptables, OpenBSD ip filter
• personal: ZoneAlarm
• iptables
– tabela filter
– lanţuri de filtrare: INPUT, OUTPUT, FORWARD

Mecanisme protecţie - securizarea comunicaţiei
• Criptarea traficului important
– servicii care rulează peste SSL/TLS (openssl)
– HTTPS, POP3S, IMAPS, FTPS
• Secure SHell
– acces securizat la distanţă
– copiere de fişiere securizată
• Tunel SSH
– comunicaţia HTTP, POP3, FTP, etc. este tunelată prin SSH
• PGP, GnuPG

Bibliografie
• Nitesh Dhanjani – Linux and Unix Security – Portable
Reference
• Mike Horton, Clinton Mugge – Network Security –
Portable Reference
• Andrew Lockhart – Network Security Hacks
• Simson Garfinkel
Garfinkel, Alan Schwartz
Schwartz, Gene Spafford –
Practical Unix & Internet Security, 3rd Edition

Link-uri
• http://www.milw0rm.com
• http://insecure.og
p g
• http://www.openwall.com
• http://www thc org
http://www.thc.org
• http://www.sans.org
• htt //
http://www.blackhat.com
bl kh t

Servicii Windows
– curs 12–
04.01.2010
06.01.2010

No Comment

De ce (şi) Windows?
• Alternativă completă pentru toate serviciile unei reţele

• Implementări atât open source cât şi closed source ale
protocoalelor și tehnologiilor
• Număr mare de utilizatori de staţii Windows
• O viziune
i i dif ită – o altă
diferită ltă paradigmă
di ă
• Mai intuitiv (pentru unii…)

“Cel mai bun”
• Nu există un “cel mai bun” sistem de operare

… ci doar cel mai potrivit unor:
– Cerințe
– Servicii / aplicații
– Reţele
– Infrastructuri
I f t t i hardware
h d
– Utilizatori
– Buget
B t
O comparație interesantă între Windows Server 2008 şi Linux Red Hat:

http://www.microsoft.com/windowsserver/compare/windows-server-vs-red-hat-linux.mspx

Windows Server 2008
• Ultima g
generaţie
ţ de Windows p pentru servere
• Conceput special pentru a furniza eficient servicii de reţea
• O parte dintre funcţionalităţi pot fi obţinute prin:
– software Microsoft instalat pe XP sau Vista, Windows7
– software third-party, inclusiv open-source
Network services track:

Wi d
Windows: WfW NT 2000 2003 2008
Desktop
p track:
Windows: 3.x 95/98 Me XP Vista Win7

Windows Server 2008
• Iniţial a fost dezvoltat “Codename

Longhorn”
• “Longhorn”
Longhorn a reprezentat platforma de
dezvoltare atât pentru Vista cât şi pentru
Server 2008.
• Ambele sisteme de operare folosesc
acum același kernel (hibrid):
Mai multe detalii la:

http://en.wikipedia.org/wiki/Windows_Server_2008

Licențe
• Codul Windows Server 2008 funcţionează sub licenţe closed source şi
shared source.
• Prin shared source, Microsoft oferă segmente de cod pentru referinţă,
eventual împreună cu dreptul de modificare, de regulă companiilor ce
dezvoltă software complementar pentru Microsoft
• Se asigură şi compatibilitatea hardware
• Un sistem de operare server este din start conceput să funcţioneze

împreună cu o multitudine de aplicaţii client ale diferiţilor producători.
• Mai multe detalii despre:

– Shared source:
http://www.microsoft.com/resources/sharedsource
– Iniţiative open source:

http://www.microsoft.com/opensource
p p
http://www.codeplex.com/

Cerințele unui sistem server
• Configurație hardware corespunzătoare:
– Estimarea încărcării şi instalarea unui hardware capabil
– BIOS fine-tuning
– Posibilitatea administrării (securizate) de la distanţă
– Se pot folosi utilitare de configurare hardware de la producători
• Configuraţie
g ţ de reţea
ţ
– Un server neconectat la o reţea nu are cui să “servească”…
– Adrese IP statice, eventual publice
– De regulă, mai mult de o interfaţă de reţea
– Posibilitatea de NIC teaming
• Agregarea link
link-urilor
urilor pe partea de server
– TCP/IP Offloading
• Procesarea stivei TCP/IP complet în hardware
• Procesarea
P software
ft a uneii comunicații
i ții full-duplex
f ll d l d de 1 Gbps
Gb ocupă
ă 80% di
din resursele
l
unui procesor de 2.4GHz

Cerințele unui sistem server (cont)
• Configurarea corespunzătoare a spaţiului de stocare:
– Hard-disk-uri multiple, partiţii multiple, RAID
– Partiţii de reconfigurare
– Managementul unui SAN
• Managementul resurselor hardware

– Configurarea
g precisă ș
p și eficientă a serviciilor p
pentru un overhead minim
– Monitorizarea și auditarea funcționării
– Eliminarea serviciilor și facilităților redundante (totodată și a găurilor de
securitate)
it t )
• Migrare facilă
– Backup, instalare la distanță, migrarea configurației pe alte servere
• Securitate
– Element de importanță crucială într-un sistem server
– Utilizatori,
Utili t i autentificări,
t tifi ă i drepturi
d t i şii politici
liti i de
d securitate
it t

Noutăți în Windows Server 2008
• Disponibil in diferite versiuni (Standard, Enterprise, Data Center, etc) în
funcție de resursele hardware și serviciile oferite
• Oferă suport pentru varianta de instalare Server Core
Core, în linie de comandă
fără interfață grafică și un consum mult redus de resurse
• Bazat ppe pplatforma .NET 3.0
• Funcționalitățile serverului sunt complet modularizate, opționale și inactive

i li it
implicit
• Funcționalitatea WS 2008 este modularizață și împărțită între “roles” și
“features”
• Instalarea se poate realiza în mod “unattended”, nemaifiind necesară

i t
interacțiunea
ți utilizatorului
tili t l i
• Interfața “Initial configuration tasks” servește la configurarea opțiunilor
ț
inițiale făcute p
pe p parcursul instalării
• Interfata “Server Manager”, bazată pe MMC (Microsoft Management
Console) reprezintă acum o interfață unică de configurare și monitorizare

Initial Configuration Tasks

Initial Configuration Tasks
• Initial Configuration Tasks mută elementele interactive din faza

configurării în faza ulterioară instalării,
instalării eliminând interacțiunea
administratorului la instalarea sistemului de operare
• Permite:
– Configurarea datei, orei, numelui serverului, domeniul în care acesta este
membru
– Configurarea interfețelor de rețea
– Instalarea ultimelor update-uri
– Configurarea administrării de la distanță
– Configurarea regulilor firewall
firewall-ului
ului
– Adăugarea de noi funcții serverului

Server Manager

Roluri
• Un rol (role) reprezintă un serviciu ce permite unui server să efectueze o

anumită funcție pentru utilizatorii din rețea.
rețea
• Principalele caracteristici ale unui rol:

– Descriu funcția și scopul principal al utilizării unui server; un server poate să
ruleze
l un singur
i roll ce oferă
f ă un serviciu
i i cu un grad d mare dde utilizare
tili î rețea
în ț sau
mai multe roluri/servicii utilizate sporadic.
– Oferă utilizatorilor acces la resursele de orice tip ale unui server: spațiu de
stocare,
t ti
timp d procesare, informații
de i f ții de
d configurare,
fi autentificare,
t tifi etc.
t
– Funcționează în propriul lor proces, folosind baze de date proprii pentru a stoca
date necesare pentru funcționare; implementează mecanisme proprii pentru cozi
de mesaje/cereri.
– Se consideră că, după o configurare corectă, trebuie să funcționeze independent
și cu efort minim din partea administratorului.

Server Manager
• Server Manager reprezintă o consolă extinsă pentru MMC (Microsoft
Management Console) și oferă o interfață unică pentru configurarea,
monitorizarea serverului și identificarea problemelor,
problemelor cu wizard-uri pentru
optimizarea sarcinilor uzuale de administrare a serverului.
• Funcţii principale:
– Adăugarea de roluri (Roles) si facilități (Features);
– Modificarea configurației tuturor rolurilor serverului prin acces la MMC-uri
specifice fiecărui tip de serviciu;
– Operațiuni de mentenanță: rularea de audit-uri, vizualizarea log-urilor și a
rapoartelor managementul conturilor de utilizator și supravegherea consumului
rapoartelor,
de resurse;
– Identificarea problemelor critice, izolarea acestora și extragerea de informații
despre evenimentele ce au condus la aceste erori;
– Oferă și o interfață în mod text, ServerManagerCmd.exe pentru administrarea
funcțiilor din modul text, cu posibilități de scripting.

Role services, features
• Role services
– Un “role service” reprezintă un software ce oferă
funcţionalităţi
ţ ţ unui anumit rol. La instalarea unui rol,, se oferă
posibilitatea selectării de role services în funcţie de
comportamentul dorit al acelui rol.
– Roluri precum DNS, ce realizează o singura funcţie, nu permit
selectarea
l d role
de l services,
i d IIS7,
dar IIS spre exemplu l conținei
facilități suplimentare.
– De obicei, instalarea unui rol presupune instalarea unuia sau a
mai multor role services.
services
• Facilitățile (“features”) sunt programe ce nu fac parte efectiv din cadrul niciunui
rol, dar care, prin instalarea lor, pot oferi noi capabilități unor roluri sau chiar
serverului, în general.

Windows Server 2008 Roles
• Printre cele mai importante roluri pe care Windows le pune la

dispoziție,
p ț , se numără:
– Servicii de management al unui domeniu Active Directory
– Servicii de generare şi validare de certificate digitale
– Ser er DHCP
Server
– Server DNS
– Server web şi de aplicații web (IIS)
– Servicii de fişiere (partajare, securizare, sincronizare, replicare)
– Servicii pentru politici de securitate
– Server de printing
– Servicii de deployment
– … și numeroase altele

Active Directory Roles
• Active Directory reprezintă o tehnologie ce înglobează o multitudine de
facilități, servicii și protocoale ce servesc monitorizării, securizării și
managementului unui domeniu.
• A fost inclus p
pentru p
prima oară într-o distribuție
ț Windows odată cu Windows
2000.
• Windows Server 2008 implementează

Active Directory prin 5 module distincte:
– AD Domain Services ((AD DS))
– AD Lightweight Directory Services (AD LDS)
– AD Rights Management Services (AD RMS)
– AD Federation Services (AD FS)
– AD Certificate Services (AD CS)
• Mai multe detalii la:

http://www.microsoft.com/windowsserver2008/en/us/active-directory.aspx

Active Directory
• AD oferă:
– Funcționare bazată pe DNS
– Suport complet TCP/IP
– Compatibilitate cu LDAP
– Securitate:
• IPSec
• SSL
• Kerberos
• CA
• AD construieste o structură ierarhică bazată pe obiecte: resurse (stații, servere,

imprimante), servicii (e-mail, DNS, autentificare) şi utilizatori.
• Fiecare obiect poate fi adresat individual şi reprezintă o singură entitate, împreună

cu atributele șși capabilităţile
p ţ sale.

Active Directory
• Structura
St t i
ierarhică
hi ă a AD este
t stratificată
t tifi tă pe maii multelt niveluri.
i l i
• La nivelul superior se află un “forest”, o colecţie a tuturor obiectelor AD şi a
proprietăților
p p ț lor.
• Un “forest” unifică mai mulți “trees” ce în final vor conține domeniile.
• Obiectele conţinute de către domenii pot fi grupate în OU (Organizational
U it ) folosite
Units), f l it pentru t a permite
it administratorilor
d i i t t il să ă le
l aplice
li diferite
dif it politici
liti i ce
includ drepturi de acces, de utilizare a resurselor, etc.

Distribuția Active Directory

Alte servicii
• Server DHCP
– Funcționează atât cu IPv4 cât și cu IPv6 (stateful sau stateless)
– Poate fi autorizat pentru a fi integrat în AD
• File and Print Services

– Suportt pentru
S t sisteme
i t d fi
de fișiere
i di t ib it
distribuite
– Namespace-uri
– Replication
– S
Suport pentru EFS (Encrypted
(E d Fil System))
File S
– Suport pentru administrarea SAN-urilor
– Backup facil
– Volume Shadow Copy
– Administrarea centralizată a imprimantelor din rețea

Alte servicii
• Network Policy and Access Services

– Poate defini șși aplica
p politici atât p
p pentru utilizatorii locali cât ș
și p
pentru
cei de la distanță
– Oferă servicii de VPN, permite configurarea unui server de dial-up
șși implementează
p funcții
ț de rutare,, pprotocoale de rutare,, p precum ș și
acces securizat pentru 802.11
• Terminal Services

Alte servicii
• Windows Deployment Services
– Lucrează cu “imagini”, copii ale hard-disk-urilor stocate pe un Windows
Deployment
p y Server.
– Imaginile pot fi create din DVD-urile de instalare sau din instalări deja
funcționale.
– Pot fi folosite pentru backup sau pentru instalarea de sisteme de operare prin
rețea pe mai multe stații,
rețea, stații folosind multicast.
multicast
– Stațiile ce suporta PXE (Pre-Boot Execution Environment) își pot alege la pornire
sistemul de operare pe care să îl ruleze sau să îl instaleze de pe Deployment
Server.

Microsoft Exchange
• Un sistem complex de mesagerie și unelte de colaborare.
• Realizează managementul centralizat și distribuit al e-mail-urilor, calendarelor, datelor
de contact și task-urilor.
• Componentă a seriei de produse Microsoft pentru servere.

• NU este disponibil implicit într-o instalare Windows Server 2008.
• Compatibil cu Outlook si Entourage de la Microsoft (clienți).

• Mai recent, orientat și spre dispozitive mobile.

IIS7 (Internet Information Services)
• Server de pagini și aplicații web, rescris complet de la versiunea 6, din Windows Server
2003.
• Folosit de peste 30% dintre site-urile web din prezent,
• Complet modularizat: fiecare componentă se instalează separat și oferă un anumit
serviciu.
• Simplificarea fișierelor de configurație: un singur fișier XML replicabil
• Oferă posibilitatea administrării de la distanță.
• Permite delegarea de drepturi administrative: fiecare webmaster își poate configura
propriul site fără să apeleze la administratorul serverului web.
• Integrare cu .NET și aplicații web ASP.NET.
• Pe lângă HTTP/HTTPS,
HTTP/HTTPS oferă și servicii de FTP (securizat
(securizat, printr-un pachet instalat
separat), SMTP și NNTP.

Terminologie IIS7
• Un “site” reprezintă un container de reguli care specifică modul în care sunt

tratate și procesate cererile HTTP; definește o serie de asocieri (“binding”-
uri)
i) ce determină
d t i ă modul
d l în
î care site-ul
it l ascultă
ltă cererile.
il
• O “asociere” (“binding”) creează o legătură între un protocol și câmpurile

ce definesc
d fi cererile
il venite
it prin
i acell protocol.
t l Pentru
P t HTTP,
HTTP o astfeltf l de
d
asociere se face între o anumită interfață, un numar de port și un anumit
antet HTTP. Prin “binding”-uri multiple se pot defini site-uri multiple,
diferențiate prin câmpurile de mai sus.
sus
• O “aplicație” reprezintă un container pentru funcționalitatea site-ului web,

ce specifică modul în care rulează diferite secțiuni ale site-ului
site-ului. Se pot defini
“application pools” pentru a izola între ele spațiile în care procesele site-
urilor rulează.
• Un “director virtual” este o mapare între o informație din URL-ul sosit

împreună cu cererea HTTP și o zonă fizică de date, de pe disc (local sau
nu).
)

Windows Server 2008 Features
• .NET Framework 3.0
• BitLocker Drive Encryption
• Internet Printing Client
• Remote Assistance
• Network File System Services
• Telnet Client/Server
• TFTP Server
• Clustering
• N t
Networkk Load
L dB Balancing
l i
• Windows Server Backup
• Wi l
Wireless LAN S Service
i
• Windows PowerShell
• Desktop Experience
– Windows Media Player, Themes, Photo Management
• …și
și multe altele
altele.

Windows PowerShell
• Un nou shell pentru Windows și un nou limbaj de scripting.

• Menit să înlocuiască cmd.exe și să faciliteze automatizarea task
task-urilor
urilor de
administrare prin scripturi.
• Limbajul său lucrează exclusiv cu obiecte .NET, sintaxa fiind asemănătoare

cu cea din C#.
• Pastrează în totalitate, în paralel, funcționalitatea cmd.exe.
• Funcțional pe XP, Vista și Server 2003.

• Conține peste 130 de comenzi încorporate și posibilitatea de a defini noi
comenzi.

PowerShell: exemple
• Exemplu cerere HTTP:
$request = [System.Net.WebRequest]::Create(“http://google.com")
$
$response = $request.GetResponse()
p $ q p ()
$requestStream = $response.GetResponseStream()
$readStream = new‐object System.IO.StreamReader $requestStream
new‐variable db
$db = $readStream.ReadToEnd()
$db $readStream.ReadToEnd()
$readStream.Close()
$response.Close()
• Conversia unui fişier text în Unicode:

param( [string] $infile = $(throw "Please specify a filename.") )
$outfile = "$infile.unicode"
get‐content ‐Path $infile | out‐file $outfile ‐encoding unicode
• Gradul de încarcare a memoriei sistemului:

param( [string]$computer = $env:ComputerName )
$free = ( Get‐WMIObject Win32_OperatingSystem ‐ComputerName $computer ).FreePhysicalMemory
$phys = ( Get‐WMIObject Win32_OperatingSystem ‐ComputerName $computer).TotalVisibleMemorySize

Securitate in Windows Server 2008
Network Access Protection
Politici de securitate:
• Validarea calculatoarelor și a utilizatorilor
pentru a corespunde cerințelor de
securitate.
• Politici diferite de securitate ppentru
fiecare categorie și chiar fiecare utilizator. Intranet
• Peste 700 de drepturi configurabile în
cadrul politicilor de securitate.
• Limitarea accesului pentru utilizatorii
neprivilegiați sau calculatoarele ce
prezintă riscuri.
riscuri
• Corectarea automată a cererilor
nevalidate.
M it i
• Monitorizarea ti ă a celor
continuă l cu acces
valid în rețea.

Windows Firewall With Advanced Security
• Activ în mod implicit și extrem de restrictiv.
• p automatizat în integrarea
Complet g cu serviciile şşi rolurile Windows Server
2008; nu e necesară configurarea manuală a firewall-ului când se
efectuează schimbări în serviciile cu acces în rețea.
• Poate crea seturi de reguli extrem de detaliate pentru fiecare conexiune, în

funcție de starea ei (securizată sau nu), până la nivel de aplicație.
• Suportă filtrarea conexiunilor outbound şi inbound, dar şi configurarea de

reguli de securitate pentru fiecare conexiune.

Server sau dekstop?
• Windows Server 2008 este convertibil la o platformă desktop ce
beneficiază de kernelul Vista, dar:
– Este mult mai stabilă
– Utilizează mult mai eficient resursele hardware
– Se pot activa doar serviciile necesare
– Oferă compatibilitate cu cele mai multe programe scrise pentru XP sau Vista
– P
Permite
it instalarea
i t l d h
de hardware
d hi
high-end,
h d inclusiv
i l i pentru
t High
Hi h P
Performance
f
Computing
• Kernelul comun cu Vista permite folosirea acelorași drivere, suportul pentru

.NET 3.0, DirectX 10 și overhead-ul minimal din partea serviciilor de sistem
îl fac o platformă
p ideală pentru
p desktop
p și
ș chiar gaming!
g g ☺

Cum puteți testa Windows Server 2008
• Disponibil in variantele Standard, Enterprise și Datacenter prin MSDN AA
(variante pe 32 și 64 de biţi)
• Puteți descărca o versiune de evaluare direct de pe site-ul
site ul Microsoft
• Puteți accesa:
– demonstraţii online pe site-ul Microsoft.
– Laboratoare virtuale prin intermediul site-ului
site ului Microsoft şi Microsoft TechNet
TechNet.
– Detalii ale evenimentelor, prezentări, demo-uri, webcast-uri puse la dispozitie de
Microsoft TechNet.
• Pentru instalare aveți nevoie de:

– Minim 15 GB spațiu în timpul instalării
– Minim 512 MB RAM (Recomandabil 1 GB, dar, spre deosebire de Vista, chiar
funcționează pe 512)

C rs l 13
Cursul 13
Retele VoIP
Retele VoIP
11 ianuarie 2010
Canișag Alina
Ce inseamna VoIP?
• Voce peste Protocolul de Internet (în engleza Voice over Internet
P t l V IP)
Protocol, VoIP), numită și Telefonie IP sau Telefonie Internet este
ită i T l f i IP T l f i I t t t
procesul de transmitere a conversațiilor vocale umane prin legături
de date de tip IP sau prin rețele în care este folosit acest protocol
de date de tip IP sau prin rețele în care este folosit acest protocol;
• VoIP reprezintă abilitatea de a face convorbiri telefonice și de a
p ș
transmite faxuri peste o rețea bazată pe protocolul IP ce reușește
să asigure o anumită calitate a serviciului (QoS) și cu un raport
cost/beneficii superior
2
Cum funcționeaza rețelele VoIP?
• Telefonia IP se caracterizează prin conversia vocii în pachete de
date ce se transmit prin rețelel IP de la sursă la destinație, unde
sunt puse din nou în ordinea inițială, și convertite înapoi în
semnale acustice
• Principalul avantaj al rețelelor VoIP față de telefonia clasică este
prețul redus datorită faptului că se utilizează rețeaua IP care poate
prețul redus, datorită faptului că se utilizează rețeaua IP care poate
fi folosită în același timp și pentru alte servicii precum navigare
Web, e‐mail,
Web, e mail, ee‐banking
banking și multe altele
și multe altele
• Alte avantaje: simplificarea, aplicații avansate, mobilitate
3
O soluție comună VoIP
O soluție comună VoIP
Un adaptor tipic pentru o linie telefonică
U d i i li i l f i ă
analogică la o rețea VoIP
4
Elementele unei rețele VoIP
• H.323 : set de standarde pentru rețelele multimedia
bazate pe comutare de pachete
• Elementele de bază ale un rețele VoIP sunt:
Elementele de bază ale un rețele VoIP sunt
– Terminalele H.323 : terminale de tip LAN pentru transmisia vocii;
– Gateway‐uri: servesc ca o interfață între rețelele H.323 si rețele non‐H.323
Gateway uri: servesc ca o interfață între rețelele H 323 si rețele non H 323
– Ex: IP/PSTN Gateway conecteaza un terminal H.323 la o rețea SCN
– Gatekeeper: execută funcții inteligente de control a rețelei
p ț g ț
– Ex: translația între sistemul de numerotație din exterior si cel din interior
– Multipoint Controll Unit (MCU) : permite funcții de conferință între trei sau mai
multe terminale
5
Stiva de protcoale H.323
Audio Codecs Video Codecs RAS H.245 Q.931

((H.225.0)) ((H.225.0))
RTP/RTCP
UDP TCP
IP
6
Exemplu de rețea VoIP: Skype
• Skype este o aplicație software ce permite
utilizatorilor să realizeze apeluri telefonice prin
intermediul internet
intermediul internet
• Skype permite de asemenea comunicarea prin
mesaje instant, transfer de date si conferință video
7
Care sunt riscurile în rețelele VoIP?
• Sniffing: folosirea unor programe care monitorizează traficul
efectuat pe o rețea în scopul sustragerii de informații
• Folosirea
Folosirea neauorizată a serviciului: efectuarea de apeluri
neauorizată a serviciului: efectuarea de apeluri
gratuite sau taxate altui utilizator
• Spam prin telefonie Internet (SPIT)
• Remote
Remote acces trojan: ofera atacatorului acess în sistemul
acces trojan: ofera atacatorului acess în sistemul
afectat
• Broadcast Storm
8
Bibliografie
• http://ro.wikipedia.org/wiki/Voce_peste_IP
• http://en.wikipedia.org/wiki/Voice_over_Internet_Protocol
• http://moicane.referate.bubble.ro
• http://www.9am.ro/stiri‐revista‐presei/IT&C/48012/Totul‐despre‐retelele‐
p // / p / / / p
VoIP.html
• http://en wikipedia org/wiki/Skype

http://en.wikipedia.org/wiki/Skype
9
C rs 13
Curs 13
TWITTER
11 ianuarie 2010
Tanase Ramona Gentiana
Tanase Ramona Gentiana
11.01.2010
11
Idei principale (sumar)
• Experiment (teoretic)
• Introducere in Twitter
Introducere in Twitter
• Cum functioneaza acest serviciu?
• Internet Relay Chat
• Twitter ‐> Retea web „sociala” <‐> Web 2.0
• WWW initial (Web 1.0) vs Web 2.0
– Prezentare sustinuta de filmulet (1min)
• TwitPic ‐ Descriere concept
• Mecanismul de trimitere in timp real a unei imagini
eca s u de t te e t p ea a u e ag
• Experiment
– Prezentare sustinuta de o imagine –
Prezentare sustinuta de o imagine – explicare mecanism de
explicare mecanism de
trimitere a unui e‐mail
• Switter ‐
Switter > serviciul romanesc pentru twitter
> serviciul romanesc pentru twitter
12
Experiment (teoretic)
Descrierea unui experiment in

care se arata functionalitatea
serviciului. Se leaga un
dispozitiv mobil de un balon
mare umplut cu heliu si i se da
drumul sa faca poze prin sala
si sa le trimita in timp real pe
contul propriu de twitter. Se
pot vizualiza ulterior pozele
g
trimise pe pagina personala.
13
Introducere in TWITTER
• TTwitter este o retea sociala gratuita si de microblogging
i i l i id i bl i (mesaje
( j
scurte, sub 140 de caractere) care permite trimiterea de update‐uri
d
despre activitatea ta catre reteaua de prieteni.
ti it t t t t d i t i
• Aceste update‐uri
p sunt postate pe pagina proprie si ajung la cei
p p p g p p j g
care te “urmaresc”.
• D
De lla infiintarea
i fii sa în
î 2006 d de catre
t Jack
J kD Dorsey, T
Twitter
itt a
castigat popularitate in intreaga lume, se estimeaza in 2009 un
numar de circa 20‐25 de milioane de utilizatori.
d i 20 25 d ili d tili t i
• Este foarte practic sa ai o legatura cu cineva fara sa ai nevoie de o
p g
interactiune.
• U
Uneorii este
t d descris
i ca “SMS-ul
“SMS l IInternet-ului",
t t l i" ddeoarece
utilizarea interfetei de programare a aplicaţiilor pentru
t i it
trimiterea şii primirea
i i d
de mesaje
j ttextt scurte
t dde multe
lt orii
eclipseaza utilizarea directa a Twitter-ului. 14
Functionare
• Pasi pentru crearea unui cont Twitter:
1. Intri pe pagina www.twitter.com
2. Apesi GET STARTED
3 Iti alegi un username, o parola, si mail
3. Iti alegi un username o parola si mail‐ulul tau si completezi
tau si completezi
datele
4 Apesi pe butonul
4. Apesi pe butonul “II accept, create my account
accept create my account”
5. Dupa acest pas poti verifica daca ai prieteni in lista de YM (sau
altele) care folosesc Twitter sau poti da “skip”
altele) care folosesc Twitter sau poti da skip
Acum ai cont pe Twitter!
• Twitter are la baza principiul adeptilor.
• In cazul in care se doreste urmarirea activitatii unui utilizator, se
merge pe profilul sau si se da “follow”. Astfel poti vedea mesajele
sale in lista profilului tau, ele aparand in ordine invers cronologica.
l i li fil l i l di di i l i
15
Internet Relay Chat
• Twitter este un site web care permite utilizatorilor scrierea şi
transmiterea de mesaje.
i d j
• A fost descris ca fiind asemanator cu un web
web-based
based Internet Relay
Chat (IRC) client. Interfaţa sa web utilizează framework-ul Ruby on
Rails.
• IRC este un protocol ce utilizeaza TCP.

• Un server IRC se poate conecta la alte servere IRC pentru a extinde
reteaua IRC. Utilizatorii acceseaza aceste retele conectand un client
la un server.
• TToate protocoalele client‐server
t t l l li t f l it
folosite actualmente au la baza
t l t l b
protocolul implementat in versiunea 2.4.0 a server‐ului IRC2, a
carui documentatie se gaseste in RFC 1459
carui documentatie se gaseste in RFC 1459.
16
Web 2.0
• Twitter = retea web “sociala” ce are la baza caracteristici web 2.0
• Web 2.0 este un termen care desemneaza:
– o multime intreaga de aspecte in special ale World Wide Web
g p p
(de natura foarte recenta - aparute prin anii 2004-2005)
– noi cai de a considera si exploata posibilitatile organizatorice ale
p p g
web‐ului
• Twitter are un sistem de gestiune automata a informatiilor,
i i d i i f iil numit i
Content Management System. Acesta poate construi pe loc – in
mod dinamic, la cerere
d di i l - versiunea
i cea maii noua posibil
ibil a paginii
i ii
web prin consultarea unei banci de date (şi aceasta trebuia
actualizata permanent).
permanent)
• Internetul ofera o noua calitate prin folosirea noilor termeni specifici

pentru Web 2.0.
17
WWW initial (Web 1.0) vs Web 2.0
• Initial WWW-ul a constat in p

pagini
g statice,, care erau actualizate
doar ocazional in timp ce web 2.0 este reprezentat de pagini
dinamice care pot fi actualizate fie de administrator fie de catre
p
utilizator in functie de situatie: bloguri, forumuri etc
• Stocarea datelor utilizatorilor,
utilizatorilor care avea loc in primul rand pe
calculatorul local (urmand sa fie publicate în web abia ulterior), se
face acum in primul rand direct in web
face acum in primul rand direct in web (de exemplu pentru
(de exemplu pentru
fotografiile private s.a)
• Programele locale acceseaza din ce în ce mai des aplicatiile web,
deoarece se pleaca de la ipoteza unei legaturi permanente cu web‐ul
• Unele motoare de cautare web sunt capabile sa acceseze datele

locale ale utilizatorului
18
Web 1.0 vs Web 2.0 (2)
• Multe programe se actualizeaza singure,

singure luand legatura cu situl
autorului lor în mod automat.
• Rolul browser‐ului devine din ce în ce mai important, deoarece cu

ajutorul lui pot fi implementate azi aplicatii web extrem de
complexe.
l
• Rolurile de "creator" ş
şi "consumator" de ppagini
g web încep p sa se
încalece, deoarece utilizatorii încep sa contribuie activ la crearea
de noi continuturi. In cazul lui web 2.0 cel mai adesea utilizatorii
produc continutul.
19
WWW initial vs Web 2.0
20
TwitPic
• Poti posta tweet-uri atunci cand te afli în miscare, inclusiv imagini.
Viaţa ta este transmisă întregii lumi întrun timp la fel de scurt ca
“Viaţa”
acela necesar surprinderii unei imagini si încarcarii acesteia pe
Twitter.
• TwitPic este un site web (infiintat in 2008) care permite utilizatorilor

sa posteze cu usurinta fotografii pe pagina persoanala
persoanala. Logarea se
face tot cu user-ul si parola de pe twitter. Un dezavantaj este ca poti
posta orice.
p
• In cazul in care se doreste folosirea unui telefon mobil, fara sa se

intre pe site
site, TwitPic pune la dispozitia utilizatorilor o adresa de e
e-mail
mail
pe care o poate folosi pentru a trimite direct imaginile si clipurile
facute in timpul calatoriilor etc., in conturile acestora.
• Adresa de e-mail la care se pot trimite fotografiile poate fi gasita in

pagina
i Settings
S tti . Este
E t compusa dindi numele l contului
t l id
de T itt urmatt
Twitter,
de caracterul . si un pin ce poate fi schimbat. 21
EXPERIMENT
• Experimentul
Experimentul arata mecanismul de transmitere a unor imagini in
arata mecanismul de transmitere a unor imagini in
timp real. Se foloseste TwitPic pentru postarea imaginilor pe site,
este necesara conectarea la internet pentru acces Web de pe
este necesara conectarea la internet pentru acces Web de pe
calculatoare mobile si acces Web de pe dispozitive mobile (iPhone).
• Descriere:
– un calculator conectat la net
– o persoana ce se plimba prin curtea facultatii/prin sala/orice alta
locatie face poze aleator
– le trimite pe adresa de twitter e‐mail.
– accesez pagina personala de pe twitpic.com si vizualizez (atat eu cat si
cei care ma “urmaresc”) imaginile in timp real deoarece acestea au
fost uploadate si redirectate catre pagina mea de pe twitter).
22
EXPERIMENT
23
Ascensiune twitter
Switter - > serviciul romanesc pentru twitter

24
Bibliografie
http://en.wikipedia.org/wiki/Twitter#Similar_services
http://ro.wikipedia.org/wiki/Web_2.0
p p g _
http://everzor.com/2009/10/switter-serviciu-romanesc-pentru-
twitter/
http://stackoverflow.com/questions/891643/twitter-image-
p q g
encoding-challenge
htt //
http://www.whiteimage.net/blog/?p=175
hit i t/bl /? 175
http://www.nokia.ro/servicii/impartasirea-
fotografiilor/impartasirea-fotografiilor
htt //
http://www.twitter.com
t itt
25
C rs l 13
Cursul 13
Inside iptables
Inside iptables
11 ianuarie 2010
Ana Oprea
Ana Oprea
Iptables – istoric și descriere
• Creatorii
Creatorii iptables
iptables sunt developerii de la Netfilter, care au început în
sunt developerii de la Netfilter, care au început în
1999 dezvoltarea modulelor iptable_{filter,nat,mangle}, urmașii
ipchains
p șși ipfwadm
pf – “Rusty Rawles originally wrote iptables
y g y p ”
(conform man).
• D
După cum îl descriu însuși autorii, iptables
ă îl d i î i ii i bl reprezintă un set de
i ă d
“cârlige” în interiorul sistemului de operare care permite modulelor
di k
din kernel să înregistreze apelurile funcțiilor pe stiva de rețea.
l ăî it l il f țiil ti d ț
Astfel, când un pachet traversează rețeaua, el se va “agăța” de câte
un cârlig care va apela o funcție specifică
un cârlig care va apela o funcție specifică.
• iptables
p este constituit din tabele generice pentru definirea unor
g p
reguli. Fiecare regulă este alcătuită dintr‐un număr de clasificatori
(iptables matches) și o acțiune conectată (iptables target).
27
Organizarea iptables
09.01.2010 28
Iptables în crearea unui firewall
• Un firewall poate bloca
aplicațiile malware care ar
putea scana rețeaua pentru a‐i
descoperi vulnerabilitățile,
împiedicând
exploatarea acestora.
• Singurul moment în care un
echipament este 100% sigur
echipament este 100% sigur
față de atacurile din Internet
este atunci când cablul de
este atunci când cablul de
rețea este deconectat :)
09.01.2010 29
Utilizarea iptables
2062 linii pagini de manual and counting :)
30
Definiții globale
• ÎÎnainte de toate, în momentul creării unui firewall, este indicată
i t d t t î t l ă ii i fi ll t i di tă
realizarea unor definiții globale:
– Pentru comenzile ce vor fi utilizate:
l f l
IPT="/sbin/iptables"
IPTS "/ bi /i t bl
IPTS="/sbin/iptables-save“
“
– Pentru parametrii de rutare:
# I
Internet
t t I
Interface
t f
INET_IFACE="eth1"
INET ADDRESS="168.27.40.121"
INET_ADDRESS 168.27.40.121
# Local Interface Information
LOCAL_IFACE="eth0"
LOCAL_ADDRESS="192.168.0.1"
LOCAL_NET="192.168.0.0/16"
09.01.2010 31
Puțină curățenie
• Pentru a evita interacțiunea cu regulile adăugate anterior, este necesară
ștergerea acestora și a lanțurilor create de utilizatori:
$IPT -F
$IPT -t
t nat -F
F
$IPT -t mangle –F
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X
• Următorul pas este reprezentat de setarea politicilor:
$IPT -P INPUT DROP
$IPT -P OUTPUT
$ OU U DROPO
$IPT -P FORWARD DROP
• În
În plus, tot traficul care trece prin firewall trebuie să fie logat:
plus tot traficul care trece prin firewall trebuie să fie logat: fiecare
fiecare
regulă adaugată trebuie precedată de o regulă cu aceiași parametri, dar
targetul LOG.
g
09.01.2010 32
Lanțuri specifice
• Utilitarul
Utilitarul iptables permite crearea unor lanțuri specifice. Un avantaj
iptables permite crearea unor lanțuri specifice Un avantaj
al acestora îl reprezintă filtrarea mai bună a unor pachete și
ușurința urmăririi regulilor respective
ușurința urmăririi regulilor respective.
• Exemplul prezentat creează lanțul icmp_packets, care respinge și
loghează pachetele de tip icmp mari. Acesta este adăugat tabelei
filter, pe lanțul de INPUT, pe interfața conectată la internet.
$IPT -N icmp_packets
$IPT -A
A icmp
icmp_packets
packets --fragment
fragment -p
p ICMP -j
j LOG \
--log-prefix "fp=icmp_packets:1 a=DROP "
$IPT -A icmp_packets --fragment -p ICMP -j DROP
$IPT -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
09.01.2010 33
Tabela filter
• După cum îi spune și numele, tabela filtrează pachete. Folosește 3
p p ș , p ș
lanțuri:
– INPUT: pachetele destinate firewall
INPUT: pachetele destinate firewall
$IPT -A INPUT -p ALL -i $LO_IFACE -j ACCEPT
$IPT -A INPUT -p ALL -i $INET_IFACE -m state –state \
ESTABLISHED RELATED -j
ESTABLISHED,RELATED j ACCEPT
$IPT -A INPUT -p TCP -i $INET_IFACE --destination-port 1194
-j ACCEPT
– FORWARD: pachete către servere din interiorul rețelei
$IPT -A FORWARD -p TCP --source $INET_COMP_HOME -m state \
--state
t t NEW --dport
d t 80 -i
i $INET
$INET_IFACE
IFACE --destination
d ti ti \
$LOCAL_HTTP_SERVER -j ACCEPT
– OUTPUT: pachetele create din spatele firewall
OUTPUT: pachetele create din spatele firewall
$IPT -A OUTPUT -p ALL -o $INET_IFACE -j ACCEPT
09.01.2010 34
Tabela nat
• Aceasta este utilizată pentru translatarea de adrese (Network/Port
Adress Translation). Folosește 2 lanțuri:
– PREROUTING: se transformă adresa IP destinație a pachetului
pentru a fi compatibilă cu tabela de rutare a firewall
$IPT -A PREROUTING -t nat -i $INET_IFACE -p TCP –s \
$INET_COMP_HOME --dport 80 -j DNAT --to \
$LOCAL HTTP SERVER 10000
$LOCAL_HTTP_SERVER:10000
– POSTROUTING: permite rutarea pachetelor emise de hosturile
din rețeaua locală către internet
din rețeaua locală către internet
$IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT \
--to-source $INET
$INET_ADDRESS
ADDRESS
$IPT -t nat -A POSTROUTING -o $INET_IFACE –j MASQUERADE
09.01.2010 35
Tabela mangle
• Deși
Deși rareori folosită, este utilă pentru modificarea câmpurilor din
rareori folosită este utilă pentru modificarea câmpurilor din
antetul pachetelor destinate firewall (Time To Live , Type Of
Service):
# Incrementarea TTL
$IPT -t mangle -A PREROUTING -i $INET_IFACE -j TTL \
--ttl-inc 5
# Marcarea pachetelor de la un anumit utilizator
$IPT -t mangle
g -A POSTROUTING -o $INET_IFACE -d $ANA_COMP \
-j MARK --set-mark 0x10502
# Modificarea dimensiunii maxime a pachetelor TCP SYN
$IPT -t mangle -A FORWARD -p TCP --tcp-flags SYN,RST SYN \
-j TCPMSS --clamp-mss-to-pmtu
# Creșterea TOS la “Maximum
Maximum reliability”
reliability (0x04) pentru SMTP
$IPT -t mangle -A PREROUTING -p TCP --dport 25 -j TOS \
--set-tos 0x04
09.01.2010 36
Salvarea configurațiilor
• O dată verificată funcționalitatea corectă a regulilor din firewall, se
ț g ,
recomandă apelarea scriptului cu un parametru ce presupune
salvarea sa într‐un fișier ce va fi încărcat direct de către kernel la
bootare:
if [ "$1" = "save" ]
then
echo -n "Saving firewall to /etc/sysconfig/iptables"
$IPTS > /etc/sysconfig/iptables
echo "done"
exit 0
fi
• Verificarea inițializării:
# ls -l /etc/rc.d/ | grep table
S08ip6table S08iptables
# chkconfig --list | grep iptables
iptables
p 0:off 1:off 2:on 3:on 4:on 5:on 6:off
09.01.2010 37
Linkuri utile
• Pentru a testa funcționalitatea
firewall:
– http://www.auditmypc.com/fi
rewall test.asp
rewall‐test.asp
– https://www.grc.com/x/ne.dll
?bh0bkyd2
• Tutoriale:
– htt
http://www.linuxhomenetwo
// li h t
rking.com/wiki/index.php/Qui
ck HOWTO : Ch14 : Linux
ck_HOWTO_:_Ch14_:_Linux_
Firewalls_Using_iptables
– http://en.wikipedia.org/wiki/I
p // p g/ /
ptables
– http://wiki.centos.org/How
Tos/Network/IPTables
09.01.2010 38
The End
39
C rs 13
Curs 13
Modalitati practice de securizare
a nei retele
a unei retele
11 ianuarie 2010
Fiscu Flavia
Fiscu Flavia
Masuri de securitate
• Procedurale: selectarea personalului, schimbarea periodică a
parolelor, traininguri)
• Logice: controlul accesului, criptografia, autentificarea,
confidentialitatea, integritatea datelor
• Fizice: camere speciale, usi blocate, camere video, incaperi
securizate
41
Exemple masuri de securitate
• autentificarea entităţilor
ţ
• autentificarea mesajelor
• controlul accesului
• confidenţialitatea mesajelor
• Cisco SDM ‐ exemplu practic
42
autentificarea entităţilor
• Ar trebui folosite criterii din cel putin 2 din 3 clase diferite
A t b i f l it it ii di l ti 2 di 3 l dif it
1. Ceva ce esti : amprementa, iris, recunoasterea vocii
2. Ceva ce stii : o parola, un numar PIN
3. Ceva ce ai: un computer trustworthy cu niste secret keys
• Un host trustworthy
43
autentificarea mesajelor (1)
• Cea mai folosita metoda este semnatura digitala
• Procedura de obtinere a unui certificat este urmatoarea:

Procedura de obtinere a unui certificat este urmatoarea:
1. Generarea cheilor. Utilizatorul genereaza o pereche: cheie publica – cheie privata.
2. Potrivirea informatiilor. Utilizatorul genereaza informatii suplimentare necesare Autoritatii
de Certificare pentru emiterea certificatului.
3. Trimiterea cheilor publice si a informatiilor. Utilizatorul trimite cheia sa publica si
informatiile personale AC‐ului, protejandu‐le prin criptare cu cheia publica a CA.
4. Verificarea informatiilor. CA aplica politicile de care dispune pentru a se asigura ca
certificatul va fi obtinut de catre cel caruia ii apartin respectivele dovezi de identitate.
5. Crearea certificatului. CA genereaza un document electronic cu informatiile
corespunzatoare si il semneaza cu cheia sa privata.
6. Trimiterea sau publicarea certificatului. In functie de situatie, CA poate trimite certificatul
utilizatorului sau il va publica.
44
autentificarea mesajelor (2)
45
controlul accesului (cand exista acces fizic)
“The real guru knows that the
The real guru knows that the
q
quickest way to erase a disc
y
is with a hammer !”
• Securizarea locului in care se afla end/intermediary device‐ul
• Controlul accesului intern se realizeaza
l l l l prin intermediul politicii de securitate.
d l l d
• Pentru fiecare utilizator se defineste o lista cu resursele la care respectivul are

acces, precum si operatiile pe care are voie sa le execute (citire, printare etc.).
• Mare avantaj exact datorita persoanei care are acces fizic: se poate folosi
Mare avantaj exact datorita persoanei care are acces fizic: se poate folosi
butonul off sau on, bootare de pe CD‐rom , apasare tasta ESCAPE in timp ce
sistemul reboot‐eaza, Stop‐A, Ctrl‐Alt‐Del ; cineva din exterior nu va putea face
niciodata aceste lucruri
d l
46
controlul accesului (cand nu exista acces fizic)
• Accesul extern poate fi controlat prin intermediul unui firewall
• Foarte utila este si folosirea unui antivirus bun
• Folosire de parole “strong” si schimbarea deasa a acestora
• Pentru
Pentru wireless
wireless – WPA/WPA2 ; schimbarea numelui default al SSID;
WPA/WPA2 ; schimbarea numelui default al SSID;
dezactivare SSID braodcast
• Activarea filtrarii adreselor MAC pentru a vedea toate adresele
MAC conectate la routerul/ele nostru
• Asignare de adrese IP statice pentru device‐urile din retea
• Dezactivare ICMP ping pe routere
47
confidenţialitatea mesajelor
• Autentificarea si controlul accesului ofera un anumit nivel de
confidentialitate a informatiei
• Cea
Cea mai sigura metoda pentru asigurarea confidentialitatii ramane
mai sigura metoda pentru asigurarea confidentialitatii ramane
criptarea
• Un canal de transmisie nesigur dintr‐o retea publica este
transformat în ceea ce în literatura de specialitate se numeste
Retea Privata Virtuala (VPN )
• Criptare folosind algoritmi simetrici
Criptare folosind algoritmi simetrici
• Criptarea software ofera un plus de securitate fata de criptarea
hardware
48
CISCO SDM
• Aplicatie web‐based de management pentru routerele CISCO
• Rol de imbunatatire a producativitatii managerilor de retea,
s p ca e a ac
simplificare a activitatii routerului, troubleshoot, probleme de
a ou e u u , oub es oo , p ob e e de
conectivitate a VPN
• Poate fi folosit pentru imbunatatire: routare dinamica, acces
fi f l i i b i di i
WAN, WLAN, firewall, VPN, IPS si QoS
• Exemplu practic
49
Bibliografie
• http://www.pjb.com.au/comp/security.html
• http://www.enterprisenetworkingplanet.com/netsecur/article.php/38467
81/15‐Quick‐Security‐Wins‐for‐Your‐Network.htm
• http://en.wikipedia.org/wiki/Network_security
• htt //d
http://docs.ccna.ro
• http://www.securingmynetwork.com/network‐security‐articles/network‐
security.php
50
C rs l 13
Cursul 13
PIM
11 ianuarie 2010
Ionescu Diana Cristina
Ionescu Diana‐Cristina
PIM‐Protocol Independent Multicast
• Protocol de rutare multicast(ruter‐la‐ruter)
Protocol de rutare multicast(ruter la ruter)
• Stabileste arbori de distributie peste LAN, WAN.
Stab este a bo de d st but e peste , .
• Ofera distributie de date one‐to many si many‐to‐many
• Protocol independent: Pim nu are propriul sau mecanism
d d
de descoperire a topologiei, foloseste insa informatii
i l i i f l i i f ii
oferite de alte protocoale de rutare, de exemplu BGP
52
TIPURI
• PIM Sparse Mode (PIM‐SM) ‐ cel mai folosit
• PIM Sparse Mode(PIM‐DM)
• Bidirectional PIM
• PIM source‐specific multicast (PIM‐SSM)
53
PIM‐Sparse Mode(1)
Construieste tabela de rutare multicast prin schimb de informatie
TIPURI DE MESAJE:
TIPURI DE MESAJE:
• PIM HELLO message:
g
– Stabileste relatii cu ruterele PIM vecine
• PIM JOIN message:
PIM JOIN message
– Informeaza ca vor sa primeasca pachete trimise grupurilor multicast
• PIM PRUNE message:
– Opreste receptia traficului multicast
p p
54
PIM‐Sparse Mode(2)
Cateva elemente importante:
• Designated Router(DR):
– Are rol de interfata intre o retea PIM si o retea non‐PIM.
• Rendezvous Point(RP):
– Loc de intalnire intre surse si receptori de date multicast PIM
• Bootstrap Router(BSR):
Bootstrap Router(BSR):
– Are rolul de a alege dintr‐un domeniu, drept RP, un ruter PIM.
55
Pasul 1: Rendezvous Point(RP) tree
56
Pasul 2:Register‐Stop
57
Pasul 3:Shortest‐Path tree
58
Bibliografie
• http://www.metaswitch.com/multicast/what-is-pim.aspx
• http://en.wikipedia.org/wiki/Protocol
p p g _Independent
p _Multicast
• http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_1-
2/ li bl
2/reliable_multicast.html
lti t ht l
59
C rs 13
Curs 13
P h WSGI
Python WSGI
13 ianuaire 2010
Mihai Maruseac
Mihai Maruseac
2
Common Gateway Interface
• CGI: delegare creare pagini web către alte aplicații
• CGI script
• 1993, RFC 3875
1993 RFC 3875
• Ex: un wiki
• Probleme:
erori de coding → code injec on
proces nou
• Alternative:
FastCGI
Module Apache, IIS ISAPI plugins
WSGI
3
Python Web Server Gateway Interface
• Low‐level față de CGI
• Scalează și lucrează în medii multiproces sau multithread
S l ă il ăî dii lti ltith d
• strat între aplicație și web server
strat între aplicație și web server
• Nu server web
mod_wsgi, Paste, CherryPy, wisgiref.simpleserver
• Nu web framework
Django, Pylons, etc
4
WSGI – Introducere
• 2003, PEP 333 (Python Enhancement Proposal)
• Interfața standard între aplicații web în Python și servere
web (Java servlets)
b (J l t)
• 2 componente obligatorii:
2 componente obligatorii:
server/gateway
/g y
framework/ aplicație
• opțional componente middleware
• tip nou de dezvoltare aplicații web: componente
middleware cuplate între ele
middleware cuplate între ele
5
WSGI – PEP 333 (1)
• Application side: doar un obiect callable
• 2 argumente; apeluri multiple
• Exemplu1: Hello World
E l 1 H ll W ld
• environ:
environ: toată informația despre request, informații de la
toată informația despre request informații de la
alte layere
• start_response: antete de răspuns
• return: neapărat un iterator (răspuns în bucăți)
6
WSGI – PEP 333 (2)
• Server side: apelează un callable object oferit de aplicație
( bi t
(obiect ce are o metodă __call__)
t dă ll )
• Nu se specifică cum va fi oferit acest obiect
Nu se specifică cum va fi oferit acest obiect
• Exemple de obiecte callable: funcții, metode sau instanțe
p ț , ț
ale unor clase ce conțin metoda __call__
• Se invocă obiectul pentru fiecare cerere HTTP
• Exemplu2: server fișiere
E l 2 fi i
7
WSGI – PEP 333 (3)
• Middleware: componente ce joacă ambele
roluri
• rutare, load‐balancing, autentificare, error
handling etc
handling, etc
• Prezență transparentă celorlalte
componente
• Pot fi înlănțuite
ț
• Exemplu 3: jurnalizare evenimente
8
WSGI – PEP 333 (4)
• Pentru eficiență s‐ar folosi buffering
• Se întoarce un singur element, iterabil
• Transmisie în blocuri
• Fara intarzieri
• Unicode: HTTP nu‐l suportă → nici WSGI
U i d HTTP l ă → i i WSGI
• Python are Unicode
Python are Unicode
9
Integrare cu un server web
• Wrappers
• IIS: isapi‐wsgi
p g
• Apache: mod_wsgi, mod_python
• mod_python: din ce în ce mai puțin dezvoltat,
nerecomandat
• wsgiref: zeroconf server (simple_server)
wsgiref: zeroconf server (simple server)
10
Demo Bonus
• Avem o aplicație sub forma unui applet java
Avem o aplicație sub forma unui applet java
• Vrem să ascundem sursele
• Blocăm listarea conținutului directorului
• Sursele pot fi descărcate
• Nu
Nu le putem face unreadable şi nici nu putem face director
le putem face unreadable şi nici nu putem face director
ne‐executabil (nu ne va mai rula aplicația)
• Solutia: nu dăm link‐ul direct către applet, mini dispatcher
WSGI
11
Bibliografie
• http://en.wikipedia.org/wiki/Common_Gateway_Interface
• http://en.wikipedia.org/wiki/Web_Server_Gateway_Interface
• http://pythonpaste org/do‐it‐yourself‐framework
http://pythonpaste.org/do it yourself framework.html
html
• http://groovie.org/2005/10/06/wsgi‐and‐wsgi‐middleware‐is‐easy
• http://www.python.org/dev/peps/pep‐0333/
• http://lucumr pocoo org/2007/5/21/getting‐started‐with‐wsgi

http://lucumr.pocoo.org/2007/5/21/getting started with wsgi
• http://www.xml.com/pub/a/2006/09/27/introducing‐wsgi‐pythons‐secret‐web‐
weapon html
weapon.html
• http://webpython.codepoint.net/web_python_tutorial
• http://grep.ro/quickpub/rtt‐wsgi
12
C rs 13
Curs 13
SVG
Scalable Vector Graphics
„copilul vitreg al Graficii Web”
13 ianuaire 2010
Pandia Gheorghe
Pandia Gheorghe
Detalii tehnice
• SVG a fost creat ca un protocol standard pentru a descrie

modele grafice 2‐dimensionale, combinând varietatea
funcționalităților limbajului flash cu facilitățile oferite de HTML.
let $new-circle :=
<svg:circle cx="6.5cm" cy="2cm" r="100" style="fill:orange;
stroke:black; stroke-width:0.1cm"
transform "translate(140 50)"/>
transform="translate(140,50)"/>
for $g in doc("/circles1.svg")//svg:g
return
insert node $new-circle as last into $g
Tool‐uri
• Pentru crearea imaginilor în format SVG există diferite tool‐uri

p , cel mai p
specializate, popular
p ((recomandat șși ppe site‐ul oficial
w3c) fiind Amaya – care editează și site‐uri nu numai imagini.
Alt tool recomandat:
- Adobe Illustrator.
Tool-uri
T l i ffree:
- Linkscape
- Nodebox
- Karbon14
- Scribus
y g
- Synfig
- SK1
- ZCubes
2D vs 3D
• Deși original SVG a fost scris pentru imagini 2D, posibilitatea de a adăuga
animații și folosirea de scripting pentru interpretarea de evenimente a dat
naștere unui nou curent de folosire a SVG‐ului în imagini (aplicații) 3D.
• Versiunea următoare ((SVG2.0)) se p presupune

p că va conține
ț syntaxă
y
specifică pentru crearea imaginilor 3D la nivel de OpenGL.
De ce SVG ?
• În comparație cu aplicațiile Java (Applet‐uri) care durează mult să se

încarce, SVG + scripting oferă o soluție foarte light, downloadându‐se
treptat doar scriptul și codul SVG de generare al imaginii, care e substațial
mai mic decât imaginea.
Sun Labs Lively Kernel

Proiecte
SVG este într-o continuă dezvoltare și există proiecte în desfășurare

care crează ă noii posiblități
iblități de
d a folosi
f l i protocolul
t l l șii contribuie
t ib i la
l
îmbunătățirea și apariția noilor aplicații bazate pe SVG.
• Batik (The Apache XML Graphics project)
project).
• Qt Framework PaintSystem (bineînțeles cu trecerea în java Qt
Jambi)) în cadrul căreia au fost dezvolate 2 extensii.
Extensii
• SVG există ca extensie pentru mai multe limbaje de programare.
• java și C++: QPaintDevice, QSvgWidget și QSvgRenderer.
• Java: http://doc.trolltech.com/qtjambi‐4.4/html/com/trolltech/qt/qtjambi‐paintsystem.html
• C++: http://www.ldc.usb.ve/docs/qt/paintsystem.html
11.01.2010 18
SVG & Ruby
• Ce este Ruby ?
Ce este Ruby ?
• Ruby a fost creat ca un limbaj „prieten” al programatorilor, având o sintaxă elegantă
și foarte
ș oa te ușo
ușor de reținut.
eț ut
puts “Hello World!”

5 Ti
5.Times t “Hello
puts “H ll WWorld!”
ld!”
• Pentru folosirea lui SVG în limbajul ruby se include
bibli t
biblioteca XRVG ((eXtended
Xt d d R Ruby
b VVector
t G Graphics).
hi )
Bibliografie
• http://www.sitepoint.com/blogs/2008/12/22/svg-is-the-future-of-application-development/#
• http://www.w3.org/Graphics/SVG/About.html
• https://community.emc.com/people/irsan/blog
• http://www.w3.org/Graphics/SVG/
• http://www.justskins.com/design/free-vector-garphics-editor/1369
• http://www ldc usb ve/docs/qt/paintsystem html

http://www.ldc.usb.ve/docs/qt/paintsystem.html
• http://doc.trolltech.com/qtjambi-4.4/html/com/trolltech/qt/qtjambi-paintsystem.html
• http://texblog.net/latex-archive/maths/pgf-tikz-3d/
• http://texblog.net/latex-archive/2008/08/
• http://research.sun.com/projects/lively/
• http://xmlgraphics.apache.org/batik/
p g p p g
• http://www.ldc.usb.ve/docs/qt/aboutqt.html
• htt //
http://www.ruby-lang.org/en/about/
b l / / b t/
20
Vă mulțumesc!
C rs 13
Curs 13
Securitatea în reţelele
wireless
i l
13 ianuarie 2010
Andrada Georgescu
Andrada Georgescu
Ce este diferit în reţelele wireless?
• D
Datele
t l suntt ttrimise
i i prin
i iintermediul
t di l aerului,
l i oricine
i i lle
poate intercepta
• Multe breșe de securitate în cadrul protocoalelor
wireless
i l șii a metodelor
t d l d de criptare
i t ad
datelor
t l
• Tehnologia wireless încalcă
încalcă, prin natura ei,
ei principii
fundamentale ale securității: autentificarea şi
nerepudierea
di
• Dispozitive cu capacităţi de procesare
procesare, lăţime de
bandă mai reduse
23
... La care se adaugă
• Ignoranţa utilizatorilor
• Popularitatea reţelelor wireless
• M
Metodele
t d l ded spargere a rețelelor
ț l l wireless
i l au d
devenit
it
din ce în ce mai sofisticate și inventive.
• Spargerea rețelelor wireless a devenit mult mai
ușoară
ă șii accesibilă
ibilă datorită
d t ită programelor
l ce se
găsesc gratis pe net (atât pentru Windows, cât și
pentru Linux).
24
Tipuri de atacuri (1)
• Asocierea accidentală
• Asocierea maliţioasă
– un dispozitiv poate fi păcălit să se conecteze la o rețea printr-un laptop
controlat de atacator (soft AP - rulează un soft ce îl face să pare un
access point legitim)
• Reţelele
R ţ l l ad-hoc
dh
– reprezintă o problemă prin bridgeul pe care îl poate oferi către alte
rețele
• Reţelele
ţ netradiţionale
ţ (Bluetooth,
( cititoare de coduri, PDA-
uri)
– prezintă o breșă de securitate deoarece se poate neglija securizarea
lor, accentul fiind pus pe laptopuri și AP-uri
• MAC spoofing
25
Tipuri de atacuri (2)
• Man-in-the-middle
– atacatorul se va loga într
într-un
un calculator ce funcționează ca un soft AP,
AP
iar apoi la AP-ul real, intermediind tot traficul
• Denial of Service
– de obicei, scopul unui astfel de atac este observarea modului în care
rețeaua
ț îîșii revine
i d după
ă un astfel
tf l de
d atac
t : aflarea
fl breșelor
b l d de
securitate și exploatarea lor
• Network injection
– atacatorul poate folosi AP-urile ce sunt expuse la trafic nefiltrat, în
special la trafic de broadcast (STP, OSPF, RIP, HSRP) pentru a
introduce în reţea trafic de reconfigurare fals
• Caffe latte atack

– prin flooding cu mesaje ARP, atacatorul se va folosi de modificările din
mesaje pentru a afla cheia WEP în mai puțin de 6 minute
26
Best practices
• Diminuarea puterii de transmisie

• Eliminare SSID broadcast.
• MAC filtering
• VLAN-uri
– separarea reţelei după diferite privilegii de securitate
• Asigurarea securităţii fizice

• Parole puternice
• AP oprite când nu sunt utilizate
27
Criptarea traficului (1)
• WEP - Wired Equivalent Privacy

– oferă autentificare şi criptare pe baza RC4
– nu oferă keyy management
g
– există dispozitive care nu suportă metode mai avansate
de criptare
– cheie statică, a fost spart
• WPA - Wi-Fi Protected Access

– TKIP (Temporal Key Integrity Protocol) pentru criptare
– Creat ca urmare a breşelor de securitate din WEP
– WPA Personal (PSK – pre-shared
pre shared key) şi WPA Enterprise
(server RADIUS)
– parolele
l l prea simple
i l pott fi sparte
t totuşi
t t i îîn câteva
ât minute
i t
28
Criptarea traficului (2)
• Extensii
E t ii la
l WPA
WPA: EAP
– un framework pentru autentificare
– Extensible Authetication Protocol – aduce îmbunătăţiri
peste 802.1X,, folosit deja
p j ppentru autentificare
– foloseşte un server central
– a fost modificat după descoperirea unor probleme în 2002
– WPA suportă peste 5 tipuri de EAP pentru autentificare
• WPA2
– foloseşte AES pentru criptare
– EAP este suportat în continuare (Radius şi PSK)
29
802.11i
• Este un amendament la standardul 802.11, specificând

mecanismele
i l d
de securitate
it t pentru
t rețelele
ț l l wireless.
i l
• WEP
WEP-ul
ul este declarat depăşit, după ce spusese spart.
• Implementarea interoperabilă a lui 802.11i a Wi-Fi Alliance
este cunoscută ca WPA2.
• A fost introdus un nou mod de distribuţie a cheii
cheii.
• Oferă:
– autentificare (802.1X – implicând folosirea EAP ca server)
– RSN (Robust Security Network) pentru a ține evidența asocierilor
– criptare pe baza AES pentru confidențialitate, integritate și
autentificarea originii
– four-way
f h d h k pentru
handshake t procesull dde autentificare
t tifi
30
WIPS
• Wireless Intrusion Prevention System - este modul cel mai robust pentru
a preveni riscurile de securitate wireless.
• WIPS este un dispozitiv de rețea ce monitorizează spectrul radio pentru

determinarea prezenței unor AP-uri neautorizate sau a folosirii unor tooluri
pentru atac (intrusion detection) și pot lua măsuri de împotriva
atacatorului (intrusion prevention).
• Este de obicei implementat peste o intrastructură Wireless LAN

existentă.
• În iulie 2009 a fost recomandat pentru automatizarea scanării wireless și

a protecției pentru organizațiile mari de către PCI Security Standards
Council.
• Configurarea WIPS constă din 3 componente: senzorii, serverul, consola.
• Atacuri ce pot fi prevenite de un WIPS bun: AP-uri rogue, AP-uri

configurate greșit
greșit, asocierea accidentală
accidentală, asocierea neautorizată
neautorizată, MiM,
MiM
rețele ad-hoc, MAC spoofing, Evil Twin Atack, DoS.
31
Greşeli frecvente (1)
• Folosirea parolelor implicite sau prea simple

• Diminuarea puterii de transmisie
– Atacatorul poate avea o antenă cu o arie de acoperire mai
mare așa că diminuarea puterii de transmisie nu este
mare,
neapărat un impediment.
• Eliminare SSID broadcast

– Este un mit: se pot ascunde doar beaconurile de la AP
AP.
– Există alte 4 mecanisme care folosesc SSID broadcast.
– S pott crea probleme
Se bl pentru
t WiWi-Fi
Fi roaming.
i
– Rețele wireless devin mai puțin user friendly
32
Greşeli frecvente (2)
• MAC filtering
– Prin interceptarea traficului se poate afla ușor o adresă
MAC validă.
– Este cel mai ușor de spart.
– Foarte mult efort de administrare, aproape zero avantaje.
• WEP
– Bazat pe RC4, poate fi spart în mai puțin de 10 minute
dacă poate fi interceptat destul trafic.
• Orice metodă de securitate este mai bună decât

niciun fel de securitate.
33
Bibliografie
• http://compnetworking.about.com/od/wirelesssecurity/tp/wifisecurity.htm
• http://www.practicallynetworked.com/support/wireless_secure.htm
htt // ti ll t k d / t/ i l ht
• http://wirelessdefence.org/Contents/Home%20Wireless%20Security%2
0Tips.htm
• http://blogs.zdnet.com/Ou/index.php?p=43
• http://blogs.zdnet.com/Ou/?p=454&page=2&tag=col1;post-454
• http://www.makeuseof.com/tag/wifi-for-dummies-9-common-mistakes-
htt // k f /t / ifi f d i 9 i t k
setting-up-a-wireless-network/
• http://en.wikipedia.org/wiki/Wireless_security
http://en.wikipedia.org/wiki/Wireless security
• http://en.wikipedia.org/wiki/IEEE_802.11i
• http://blogs.iium.edu.my/jaiz/2009/04/17/securing-wireless-network/
• http://www.wi-fiplanet.com/tutorials/article.php/10724_3716241_1
htt // i fi l t /t t i l / ti l h /10724 3716241 1
• http://www.wireless-
nets.com/resources/tutorials/define wireless security policies.html
nets.com/resources/tutorials/define_wireless_security_policies.html
34
C rs 13
Curs 13
Dynamic DNS
Dynamic DNS
13 ianuarie 2010
Preda Alexandru Eduard
36
Ce reprezintă Dynamic DNS
• Este o metodă,un protocol sau serviciu de rețea ce
notifică în timp real un server DNS, că a avut loc o
ifi ă î i l DNS ă l
modificare a informațiilor detinute de server.
• Cel mai adesea, acest sitem este folosit pentru a
permite asignarea unui nume de domeniu (host) unui
it i i d d i (h t) i
IP alocat dinamic (eg. prin DHCP).
• RFC 2136
• RFC 2845
37
Cum funcționează(1)
• În primul rând setarea timpului maxim de caching la
câteva minute
• Utilizarea conform RFC 2136 si folosirea NSUPDATE ca
utilitar ridică unele probleme de implementare si
tilit idi ă l bl d i l t i
securitate.
• In general, se foloseste un client DDNS instalat pe
masina locală si date de autentificare (user/parola) In
masina locală si date de autentificare (user/parola). In
acest caz update‐ul se face mai intai in baza de date a
furnizorului de servicii autentificarea se face prin http si
furnizorului de servicii, autentificarea se face prin http si
ulterior se va updata si inregistrarea DNS in serverul de
nume.
nume
• Multe routere au implementează in firmware serviciul
p
DDNS
38
Cum funcționează(2)
Clientul DDNS verifica daca s‐a modificat adresa IP. In caz afirmativ
inștiintează serverul DNS
39
Lista cu provideri D‐DNS
•SolidDNS - Provides Dynamic DNS services and domain registration.
•ChangeIP.com - Allowing free third-level domains under a provided array of second level names,
as wellll as user-provided
id d second-level
dl lddomains.
i
•DynDNS.com - Provides DNS hosting services, free dynamic DNS, domain registration, mail
services, network monitoring, and web redirection.
•DynIP
DynIP - Provides DDNS, allowing you to put the server for your domain name on a dial-up
dial up
connection.
• DyNS - Dynamic and static DNS service, domain registrations. Free and premium services.
•Dynup.net - Dynamic DNS service, provides privacy policy, statistics, and servers listing.
•Eastwind
East ind - Web and email redirection services
ser ices
•SolidDNS - Provides Dynamic DNS services and domain registration.
•StaticCling - Static hostnames for your dynamic IP. Native clients are available for almost any
operating
p g system.
y
•ThatIP.com - Dynamic DNS service allowing yourname.com or yourname.thatip.com.
•Tzolkin Corporation - Features include offline webpage, signon and signoff IP address control,
and new change domain and change email functions.
•Virtual DNS - The Virtual DNS service provides an alias for dynamic IP addresses to a static
hostname.
•yi.org - Gives free domain names for dynamic IP's, for dialup connections on all major operating
systems.
•ZA NiC - Free domains. Service policy, mailing list, and FAQ. ZoneEdit - Simple and free web-
based domain manager which allows you to safely administrate DNS, mail and web forwarding.
11.01.2010 40
Pentru serverul nostru...BIND
Serviciul DDNS poate de asemenea fi implementat si pe
serverul BIND9.
1. Se creează o zona in fisierul named.conf.local:
zone "my
zone my.domain
domain" {{
type master;
allow‐transfer {
10.0.0.0; // aici se pot pune servere slave
};
allow update {
allow‐update { // directiva cheie ce permite updatarea inregistrărilor DDNS
// directiva cheie ce permite updatarea inregistrărilor DDNS.
key mykey; // cheie pentru securitata updatarii informatiei
};
file "my.home.domain.zone";
};
41
Pentru serverul nostru...BIND(2)
2. Tot in fisierul Named.conf se adaugă:
key mykey {
algorithm HMAC‐MD5.SIG‐ALG.REG.INT;
secret hrCDCUNBtlY3sgF8NPnJrg==; // cheia secretă, generată pe clientul ce rulează DDNS
};
42
Pe partea de client se creează o cheie de autentificare (TSIG
p (
Key (Transaction SIGnature) ):
dnskeygen ‐H 128 ‐h ‐n mykey
Rezultă2 fișiere:
Rezultă2 fișiere: Kmykey.+157+00000.key
Kmykey.+157+00000.key
Kmykey.+157+00000.private
Conținutul fisierelor: Kmykey.+157+00000.key :
mykey. IN KEY 513 3 157 hrCDCUNBtlY3sgF8NPnJrg==
Kmykey.+157+00000.private :
Private‐key‐format: v1.2
Algorithm: 157 (HMAC)
Key: hrCDCUNBtlY3sgF8NPnJrg==
Key: hrCDCUNBtlY3sgF8NPnJrg==
43
Pentru a face update pe server există 2 posibilitați.
• Automat folosind scripturi shell, perl sau C
A t t f l i d i t i h ll l C
• Interactiv folosind utilitarul nslookup:
Interactiv folosind utilitarul nslookup:
nsupdate ‐k /etc/namedb/tsig:mykey
p / / / g y y
>update add mail.my.domain. 600 IN A 127.0.0.1
Nu uitați să setați TTL la maxim câteva minute pentru a fi
Nu uitați să setați TTL la maxim câteva minute pentru a fi
corespunde tot timpul inregistrarile DNS.
44
Worst Enemy
• IPv6
• F l i
Folosirea pe scara largă a IPv6 duce la inutilitatea serviciului.
l ă IP 6 d l i tilit t i i l i
45
Great friends
• Practic ceea ce ingerunează răspândirea IPv6:
‐ Birocrația
‐ Lipsa fondurilor pentru inlocuirea vechilor tehnologii si routere
Lipsa fondurilor pentru inlocuirea vechilor tehnologii si routere
• ISP‐urile care nu au suficiente adrese IP publice și le
asignează dinamic
asignează dinamic
46
Bibliografie
• http://en.wikipedia.org/wiki/Dynamic_DNS
• http://www.tipit.info/romanian‐archive/2007/02/dynamic‐dns‐si‐
htt // ti it i f / i hi /2007/02/d i d i
utilitatea‐acestuia/
• http://www.oceanwave.com/technical‐resources/unix‐
admin/nsupdate.html#create‐key
• http://en.wikipedia.org/wiki/TSIG
• http://www.dmoz.org/Computers/Internet/Protocols/DNS/DNS_Providers
http://www dmoz org/Computers/Internet/Protocols/DNS/DNS Providers
/Dynamic_DNS/
47
C rs 13
Curs 13
BGP
13 ianuarie 2009
Carabas Mihai
Carabas Mihai
BGP (Border Gateway Protocol)
• Protocol de routare folosit in nucleul Internetului
49
BGP (caracteristici)
• Menţine o tabelă cu reţele IP (sau "prefixe") care arată
calea folosită pentru a ajunge la reţeaua respectivă prin
calea folosită pentru a ajunge la reţeaua respectivă prin
diferitele sisteme autonome (AS).
• AS = colectie de routere sub o administrare comuna
• Protocol de rutare vector‐cale
• St
Stabileşte şi menţine conexiuni între ruterele
bil t i ţi i iî t t l
p (p )
vecine folosind protocolul TCP (portul 179)
• Metrica BGP
– Foarte complexa
Foarte complexa
– Alcatuita din atribute
• Au rolul de a marca routele BGP
50
eBGP si iBGP
• Câ
Când BGP este rulat în interioriul unui sistem autonom,
d BGP l î i i i l i i
este folosit termenul iBGP (Internal Border Gateway
Protocol)
• Câ
Când este rulat între ASuri, este numit eBGP (External
d t l t î t AS i t it BGP (E t l
Border Gateway Protocol). Conexiunea BGP poate fi
stabilită doar dacă ruterele sunt direct conectate.
51
Tipuri de mesaje BGP
• Open
– Mesaje initiale, folosite pentru stabilirea conexiunii intre routere
Mesaje initiale, folosite pentru stabilirea conexiunii intre routere
• Keepalive
K li
– Mesaje de 19 octeti trimise periodic pentru mentinerea conexiunii deschise
• Update
p
– Contin cai catre diverse retele, impreuna cu atributele corespunzatoare
– Initial, routerele BGP isi trimit reciproc intreaga tabela de routare
– Dupa actualizarea initiala, se transmit actualizari incrementale, pe masura de
topologia retelei se schimba
• Notification
– Raporteaza eventualele erori aparute in comunicatie
52
Masina de stare a BGP
• Pentru a decide felul in care colaboreaza cu alte routere,
BGP foloseste o masina de stare simpla, cu 6 stari:
53
Starea ESTABLISHED
• Procesul BGP poate primi şi trimite mesaje de tip
KEEPALIVE, UPDATE şi
, ş NOTIFICATION.
• Mesajele
Mesajele de tip UPDATE sunt trimise pentru a schimba
de tip UPDATE sunt trimise pentru a schimba
informaţia trimisă vecinului despre o anumită rută
• Dacă apare o eroare într‐un mesaj UPDATE primit, ruterul
trimite înapoi un mesaj NOTIFICATION, închide
ş
conexiunea şi trece în starea Inactiv.
• NLRI (Network Layer Reachability Information)
– Descrierea unei rute
– include mai multe atribute: prefixul destinaţie, lungimea prefixului, calea de sisteme
autonome către destinaţie şi următorul hop pecum şi multe alte informaţii care
autonome către destinaţie şi următorul hop, pecum şi multe alte informaţii care
afectează felul cum tratează destinatarul reţeaua respectivă
54
Conectivitate si invatarea rutelor
• În
În tabela de rutare a ruterului sunt ţinute doar rutele
tabela de rutare a ruterului sunt ţinute doar rutele
optime către o destinaţie. În schimb, tabela BGP va
conţine toate rutele primite prin BGP Trecerea unei rute
conţine toate rutele primite prin BGP. Trecerea unei rute
din tabela BGP în tabela de rutare se face astfel:
– pentru eBGP, rutele sunt puse automat în tabela de rutare (dacă nu este
(
direct conectată)
– pentru iBGP, ruta este pusă în tabela de rutare dacă sunt îndeplinite anumite
pentru iBGP ruta este pusă în tabela de rutare dacă sunt îndeplinite anumite
condiţii ( ex: sa exista nexthop‐ul in tabela de rutare)
• Selectia rutelor pentru adaugare in tabela de rutare este
realizata in functie de diferiti factori ( o parte sunt
exemplificati in slide‐urile ce urmeaza)
55
Exemplu (route statice)
• Fie urmatoarea topologie:
– Ce trebuie configurat pe fiecare din routere pentru a exista
conectivitate intre oricare dintre statiile din spatele routerelor?
56
Exemplu2 (BGP)
• Asociem cate un AS number fiecarui router:
57
Exemplu3 (BGP)
• Verificarea starii conexiunii cu un neighbor:
• Formatul tabelei BGP:
58
Metrica BGP
• Se pacurge urmatoarea lista de atribute pana se gaseste
o diferenta intre 2 route din tabela BGP:
o diferenta intre 2 route din tabela BGP:
– Ignora routele inaccesibile
– Prefera routele cu weight mai mare
– Prefera routele cu Local Preference mai mare
– Prefera routele ce au orginine locala ( i )
Prefera routele ce au orginine locala ( i )
– Prefera routele cu cel mai mic drum AS (AS_Path)
( _ )
– Prefera routele cu AS‐ul de origine cel mai mic
– Prefera routele cu cel mai mic MED (multi‐exit discriminator)
– Routele eBGP fata de cele iBGP
59
Conditii minime deschidere sesiune BGP
• Detinerea propriului AS Number
• Detinerea unui bloc /24 (256 IP‐uri) agregat pe AS‐ul
respectiv
• In general fiecare ISP are propria politica BGP
– Abonament minim sau banda minima garantata pentru
deschiderea sesiunii (Ex: >200E|>4mbps)
deschiderea sesiunii (Ex: >200E|>4mbps)
60
Aspecte comerciale
• Care este costul unui AS Number?
C l i AS N b ?
– Alocare: 100E
Alocare: 100E
– Taxa anuala: 75E
– Este necesara detinerea a minim 2 conexiuni pentru alocare
• Care este costul unei clase de IP‐uri?
C t t l i l d IP i?
– Alocare 256 IP‐uri : 75E
• De unde se poate obtine?
– De la un LIR: cf. RIPE cele mai mari in Romania sunt: ROMTelecom SA,
Jump Network Services SRL, RCS & RDS SA
– RIPE = organizatie regionala ce se ocupa de alocari de resurse( AS‐uri,
IP‐uri)
IP uri) in Europa ,Orientul Mijlociu si Asia centrala (www.ripe.net)
in Europa ,Orientul Mijlociu si Asia centrala (www.ripe.net)
– LIR = Local Internet Registry 61
RIPE.NET/whois (1)
• Cum putem verifica detinatorul unei clase de IP‐uri si
p
pe ce AS este agregata?
g g
– www.ripe.net/whois
62
RIPE.NET/whois (2)
63
Va multumesc!
• Bibliografie
– http://ro.wikipedia.org/wiki/Border_Gateway_Protocol
http://ro wikipedia org/wiki/Border Gateway Protocol
• Implementări cu sursă deschisă ale BGP
– Quagga,
Quagga, o suită de protocoale de rutare care include BGP4 pentru
o suită de protocoale de rutare care include BGP4 pentru
sisteme Unix.
– OpenBGPD, o implementare BGP realizată de echipa
p , p p OpenBSD.
p
• Simulatoare BGP
Si l t BGP
– BGPlay, un applet Java care prezintă o vizualizare a rutelor BGP şi a
actualizărilor pentru orice AS de pe Internet
l ă l d
– C‐BGP, un simulator BGP capabil de a realiza o simulare a celor mai
mari ASuri de pe internet (ISPuri Tier‐1).
i AS i d i (ISP i Ti 1)
64
C rs 13
Curs 13
RSTP
RSTP
Rapid Spanning Tree Protocol
13 ianuarie 2009
Dragoș Dioșteanu
Dragoș Dioșteanu
Ce este redundanța și de ce avem nevoie de ea?
• Într‐un mediu în care conexiunea la rețea este crucială apare
nevoia asigurarii accesului 24/24.
g /
• Solutia: Redundanța (asigurarea unor căi alternative la nivelul de
di t ib ți i d
distribuție și de nucleu)
l )
• Probleme care apar: Bucle de nivel 2, Broadcast Storms, Cadre de
p , ,
unicast duplicate.
66
Exemplu de Broadcast Storms
67
Ce putem face?
• Soluția la problemele prezentate anterior este implementarea unui

protocol
t l de d tipul
ti l STP (Spanning
(S i Tree
T Protocol
P t l – 802.1D
802 1D IEEE)
• Se ba
bazează
ea ă pe co
construirea
st u ea uunui
u aarbore
bo e folosind
o os d Bridge
dge ID șși viteza
te a
de operare a porturilor.
• Etapele
l algoritmului:
l i l i
‐ Selectarea unui root bridge
‐ Determinarea căiilor cu costuri minime
‐ Selecție în caz de egalitate
‐ Dezactivarea celorlalte porturi
68
Bridge Protocol Data Unit (BPDU)
69
RSTP
• Standardul STP a fost conceput într‐o perioadă în care timpi de
ordinul unui minut erau considerați timpi buni de recuperare după
o cădere a unei legături.
• RSTP (IEEE 802.1w) este o evoluție a standardului 802.1D
• Păstrează facilitățile oferite de STP (“RSTP este o evoluție nu o
revoluție”)
ț )
70
STP vs RSTP
RSTP STP
OSI Layer 2 2
An apariție 1998 1985
Timp de reconvergență 3*HelloTime = 6 s 30‐50s
UplinkFast, BackboneFast Nu Nu
Compatibil 802.1D Da Da
Format BPDU IEEE 802.1D BPDU IEEE 802.1D BPDU
802.1D Timers Nu sunt necesare Da
Edge Ports Da Nu
Tranzit rapid către forwarding Da Nu
BPDU Proposals & Da Nu
A
Agreements către vecini
t ăt i i
Grad de folosire Mare Mic
71
RSTP (1)
• Edge Port – tip de port nou introdus care nu poate fi legat la un alt
dispozitiv de comutare a pachetelor. Trece imediat în stare de
p p
forwarding atunci când este activat. (Se salvează timp nefiind
necesare etapele de ascultare şi învăţare)
p ş ţ )
• Tipuri de legături : point‐to‐point şi partajată
• RSTP Proposal & Agreement: În cazul standardului IEEE 802.1D STP
când un port este selectat ca find designated trebuie să aştepte de
p g ş p
2 ori timpul de forwarding până a trece în această stare. RSTP
micşoreaza acest timp prin trecerea directă (doar pentru edge
ş pp ( p g
ports şi legături point‐to‐point)
72
RSTP (2)
STP Stare Port RSTP Stare Port Activ in topologie Invata adrese MAC

Disabled Discarding Nu Nu
Blocking Discarding Nu Nu
Listening Discarding Da Nu
Learning Learning Da Da
Forwarding Forwarding Da Da
73
De ce este mai rapid?
• Faster Aging: Atunci când nu se primesc BPDU de tip Hello de 3 ori
consecutiv flagul de max age din cadru este considerat expirat
consecutiv flagul de max_age din cadru este considerat expirat.
RSTP foloseşte trimiterea de BPDU şi ca un mecanism de tipul
keep‐alive
keep alive. Consecinţă: Dacă o legătură fizică cedează este
Consecinţă: Dacă o legătură fizică cedează este
detectată mai repede.
• Tranziţia rapidă către starea de forwarding
• Edge Ports
Edge Ports
• Mecanisme noi de detecţie a schimbarilor în topologie: Primul
care află este root bridge‐ul care trimite BPDU cu flagul TC setat
• UplinkFast:
UplinkFast: RSTP include şi o variantă a acestui protocol ce constă
RSTP include şi o variantă a acestui protocol ce constă
în înlocuirea rapidă a root bridge‐ului atunci când conexiunea
către acesta nu mai este funcţională
către acesta nu mai este funcţională
74
Alte variante
• PVST PVST+ (Per‐VLAN Spanning Tree) – protocoale folosite în
reţele în care există multiple VLAN‐uri. Algoritmul este aplicat
fiecărui VLAN în parte. Dezavantaje: Protocol dezvoltat intern
de către CISCO.
• MSTP
MSTP (Multiple Spanning Tree Protocol) –
(Multiple Spanning Tree Protocol) – definit original în
definit original în
standardul 802.1s, este o extensie a protocolului RSTP pentru
a beneficia de utilitatea folosirii de VLAN‐uri
a beneficia de utilitatea folosirii de VLAN uri. Foloseşte un
Foloseşte un
singur format pentru BPDU ceea ce îi oferă compatibilitate cu
RSTP şi implicit cu STP. Permite formarea de regiuni MST ce
RSTP şi implicit cu STP. Permite formarea de regiuni MST ce
pot rula mai multe instanţe (MSTI). Mai multe regiuni sunt
interconectate de un arbore comun.
• R‐PVST (Rapid Per‐VLAN Spanning Tree) protocol proprietate
CISCO
CISCO ce combină funcţionalităţile RSTP şi PVST
bi ă f i li ă il RSTP i PVST
75
Bibliografie
• http://en wikipedia org/wiki/Spanning tree protocol

http://en.wikipedia.org/wiki/Spanning_tree_protocol
• http://www.cisco.com/en/US/tech/tk389/tk621/technologies_white_pap
er09186a0080094cfa shtml#topic2
er09186a0080094cfa.shtml#topic2
• Reţele Locale Răzvan Rughiniş, Răzvan Deaconescu, Andrei Ciorbă, Bogdan
Doinea Editura PRINTECH 2008
• http://www.daxnetworks.com/Technology/TechDost/TD‐051805.pdf
p gy p
76

Rughinis

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Rughinis

Încărcat de

Drepturi de autor:

Formate disponibile

Înainte de toate ...

Mult succes în anul universitar

Reţele Locale de Calculatoare

• curs introductiv în proiectarea şi administrarea reţelelor de

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare

• aşteptăm feedback şi sugestii pe site

Reţele Locale de Calculatoare

• aşteptăm feedback şi sugestii pe site

Reţele Locale de Calculatoare

• orientat pe sarcini de laborator (task-uri)

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare

• Punctajul minim pentru absolvirea cursului este 5.00

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare

• Folosire persoana a doua singular

Reţele Locale de Calculatoare

• Este indicata şi benefică participarea activă a studenţilor la curs,

Reţele Locale de Calculatoare

Universitatea POLITEHNICA Bucureşti

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare

Distanţa între procesoare Localizare procesoare Reţea

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare

• Mărirea capacităţii de stocare: file sharing

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare

Inel Stea Interconectare completă

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare

• Placă de reţea – network card, network adapter, NIC (Network Interface

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare

• Comunicaţia între două entităţi necesită existenţa unui protocol

Reţele Locale de Calculatoare

Aplicaţie Servicii de reţele, aplicaţii

Prezentare Reprezentarea datelor

Sesiune Controlul sesiunilor

Transport Controlul fluxului de date

Reţea Selectarea căii către

Reţele Locale de Calculatoare

• Pentru a abstractiza cât mai mult

Reţea • Nivelul Aplicaţie este cel care

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare

• Bit rate – numărul de biţi pe secundă

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare

Reţele Locale de Calculatoare