Proiectarea unei retele virtual private (LAN

& WAN design)

Proiect la Retele de Calculatoare

Proiectarea unei retele virtual private

(LAN & WAN design)

1
2
 Lucrarea de fata are ca scop declarat descrierea modului in care trebuie
realizata implementarea unei retele de calculatoare intr-o societate comerciala care
are mai multe sedii raspandite geografic la distanta mare.

Am ales ca fiind necesar un numar de trei locatii initiale si gandirea proiectului in

asa fel incat sa poata fi scalabil pana la un numar oricat de mare in functie de
viitoarea extindere economica.

In cursul realizarii planului de design trebuie tinut cont in mod obligatoriu de

cateva cerinte principiale. In general aceste cerinte sunt valabile pentru toate
tipurile de retele.

functionalitatea

scalabilitatea

adaptabilitatea

posibilitatile de management

Functionalitatea : in contextul networkingului inseamna ca reteaua trebuie sa

mearga, mai exact utilizatorii sa-si poata indeplini cerintele muncii lor
.Reteaua trebuie sa furnizeze atat conectivitatea utilizator-la-utilizator cat si
utilizator-la-aplicatie (in cazul aplicatiilor care opereaza pe un server ) la o
viteza si siguranta rezonabila.

Scalabilitatea : Reteaua trebuie sa fie pregatita pentru orice viitoare extindere.

Iar acesta crestere in dimensiuni nu trebuie sa afecteze in mare masura
designul initial.

Adaptabilitatea : inseamna ca reteaua trebuie implementata cu un ochi atintit

spre viitoarele tehnologii .Aceasta inseamna ca nu trebuie sa includa elemente
care ar putea sa impiedice implementarea noilor tehnologii odata ce acestea
devin disponibile.In acest sens trebuie respectate cat mai in detaliu
standardele existente.

In ceea ce priveste crearea posibilitatilor de management exista doua lucruri de

mentionat : posibilitatile de monitorizare si posibilitatea de control a traficului
, accesului etc.

3
In procesul de design in cazul retelei pe care am ales-o se impune de mentionat ca
sunt doua aspecte ale proiectarii si anume LAN-disign-ul si WAN-designul. Cele
doua aspecte sunt diferite si la fiecare trebuie tinut cont de parametri diferiti.

Pe de o parte cand vorbim despre LAN-uri ( Local Area Network - retea

locala) ne referim la acele comunitati de calculatoare care se afla intr-o locatie bine
precizata , dimensiunea dintre cele mai departate masini fiind de maxim cateva
sute de metri .Uzual aceste retele acopera suprafata unei cladiri sau cel mult un
campus .Elementele acestor retele sunt alcatuite din simple calculatoare (PC-uri cel
mai adesea ) , servere , imprimante etc.Viteza la care se face conexiunea este mare
iar timpul in care este disponibila conexiunea este virtual nelimitata.

In cazul LAN-urilor exista cateva cerinte critice care trebuie urmarite in cazul
implementarii:

* Plasarea serverelor si definirea functiei lor.

* Detectia coleziunilor.

* Segmentarea retelei.

* Definirea domeniilor de broadcast si a celor de bandwidth.

Un al doilea aspect al implementarii este cel legat de realizarea retelei WAN (Wide
Area Network-retea de mare intindere).Exista deosebiri mare intre cele doua tipuri
de retele .

Retelele de mare intindere leaga intre ele masini aflate la mare distanta geografica ,
punctul maxim constituindu-l Internetul .In general conexiunile de acest gen sunt
realizate pentru a permite comunicarea intre retele locale .In general in retelele de
mare intindere rareori se intalnesc simple PC-uri , cel mai adesea la “capetele
cablurilor “ se afla modemuri,routere sau switchiuri WAN.Transferul datelor se
face la viteze mici , existand posibilitatea cresterii de banda dar acesta necesitand
cheltuieli mari .Din acest motiv trebuie foarte judicios calculat si ales cel mai bun
raport calitate/pret.In genere serviciile WAN sunt cumparate sau inchiriate de la un
furnizor sau provider generic numit ISP.

Pentru designul WAN trebuie tinut cont de urmatorii factori :

* Conexiunea trebuie sa faca fata la cerintele de trafic.

4
* Asigurarea securitatii specifice .

* Costul detinerii conexiunii.

Proiectul pe care trebuie sa-l implementez atinge toate aspectele enuntate mai sus
cu un deosebit accent pe cerintele de securitate deoarece este prevazut ca intre cele
trei sedii vor circula informatii critice pentru activitatea financiara.

Imaginea de mai jos reprezinta o schematizare a proiectului:

Cele trei locatii ale firmei proceseaza date vitale pentru activitatea
economica a societatii si din aceasta cauza este deosebit de importanta mentinerea
comunicarii pe de o parte la un nivel securizat cat si pe parcursul desfasurarii
activitatilor specifice.Sediul principal este la Cluj iar filialele sunt in Bucuresti si
Timisoara.

5
 Partea 1.Consideratii teoretice relativ la netorking si internetworking.

Despre LAN ( Token Ring , FDDI , Ethernet )

LAN – local area network sau retea locala .Un LAN este o colectie alcatuita
dintr-unl sau mai multe computere localizate la o distanta limitata unul de celalalt
si care comunica reciproc (direct sau indirect).LAN-urile difera in modul in care
computerele sunt conectate intre ele, in modul in care informatia circula intre ele si
in modul in care se repartizeaza functiile fiecarui calculator
component.Computerele dintr-un LAN pot fi PC-uri, Macintosh, minicomputere,
mainframe-uri etc.

In general computerele care se afla intr-un LAN sunt denumite noduri care
la randul lor pot sa fie statii sau servere. De asemenea mai pot fi intalnite si alte
tipuri de componente: imprimante de retea, scanere, switchiuri etc. Calculatoarele
dintr-un LAN sunt legate prin intremediul placii de retea (Network Interface Card
– NIC) care se insera in sloturi ca PCI .Serverele pot sa aiba mai multe NIC-uri.

In general putem diferentia LAN-urile in doua moduri:

- in ceea ce priveste relatia administrativa intre noduri: avem retele

clientserver (server based) si retele pear-to-pear.
- in ceea ce priveste modul in care se stabileste relatia fizica si logica, adica
modul in care circula informatia intre componente avem mai multe arhitecturi :
Ehternet , Token Ring FDDI si avem mai multe topologii : bus, stea, inel,retea
extinsa, dispozitie ierarhica , mesh .

6
 In continuare sunt prezentate cateva cuvinte despre fiecare, dar punand un
deosebit accent Ethernet (sau IEEE 80.3) deorece este cea mai raspandita
tehnolgie. In imagine este o harta a tehnologiilor cele mai raspandite la realizarea
unui LAN. Se poate vedea ca aceste tehnologii sunt in principal implementate la
primele doua straturi ale modelului OSI .Ar mai fi de remarcat si fatptul ca stratul
2 (data link) este subimpartit in doua substraturi : LLC independent de tehnologii si
MAC care este total dependent de tehnologia implementata.

Token Ring (transfer la 4-16 Mbps) a fost dezvoltat de IBM iar mai apoi
standardizat sub denumirea de IEEE 802.5.Denumirea sa vine de la token , in
engleza jeton .Din punct de vedere al topologiei logocice avem un inel. Intre
statiile dispuse in acest inel circula un jeton – acesta este un frame de mici

7
dimensiuni. Acest jeton ramane la fiecare statie un anumit interval de timp dupa
cere este transmis mai departe statiei din vecinatate. Fiecare statie are voie sa
transmita numai atunci cand se afla in posesia acestui jeton. Odata transmisa
informatia in retea nu se mai afla nici un jeton. Informatia circula de la o statie la
alta pana cand atinge destinatia unde este copiata si se modifica un bit din header
iar mai apoi trimisa mai departe. Ciclul se
termina atunci cand informatia reajunge la statia de pornire care poate sa afle daca
ea si-a atins destinatia si apoi o scoate din circuit eliberand dupa aceea un nou jeton
in circulatie. Avantajele acestui tip sunt determinismul ei si lipsa de coleziuni. Prin
determinism putem sa intelegem ca se poate calcula precis timpul in care o
cantitate de informatie ajunge la destinatie. Lipsa de coleziuni: nu pot sa emita
doua statii in acelasi timp (cum este cazul in Ethernet guvernat de SMA/CD).
Dezavantajul principal ar fi ca in cazul in care apare o lezare a cablului sau la o
statie intreaga retea este compromisa. Imaginea de mai jos schematizeaza circulatia
informatiei intr-o retea Token Ring .

FDDI (rata de 100 Mbps) este o topologie mai scumpa dar se impune ca si
backbone sau in locuri unde este necesara o conexiune foarte sigura intre
computere de mare putere. Foloseste aceeasi tehnologie a jetonului ca si Token
Ringul deci este lipsita de problema coliziunilor. In plus FFDI foloseste transmisia
prin fibra optica deci avntaj la viteza si posibilitate de trafic teoretic nelimitat. Este
alcatuita din doua inele din care al doilea este in cele mai multe cazuri utilizat ca si

8
rezerva pentru cazuri in care primul cedeaza.

Ethernet este in mod sigur cea mai raspandita arhitectura in lume la ora
actuala aceasta datorandu-se probabil raportului calitate/pret pe care il are. In
general este cunoscuta si ca tehnologia IEEE 802.3. Noile implementari aduc o
crestere enorma in capacitatea de trafic a Ethernetuli: Fast Ethernet (100 Mbps) si
Gibabit Ethernet (1000 Mbps).

Imaginea de mai jos prezinta standardele Ethernet:

9
 Ethernetul foloseste o topologie logica de tip bus si cel mai adesea una fizica
de tip stea sau stea extinsa (datorata hub-urilor si switchurilor). Mediul de transfer
este cel mai adesea cablul UTP Cat 5 (acestea sunt ultimle cerinte in materie de
standarde, cablul coaxial nemaifiind recomandat). Exista cateva lucruri
standardizate in legatura cu modul in care se face cablarea in Ethernet si pe care
trebuie sa le prezentam pentru ca sunt foarte utile in realizarea proiectului pe care l-
am propus. Modul in care este construita o retea ethernet este cel mai adesea de tip
stea sau stea extinsa, standardele care se aplica pentru acest caz sunt EIA/TIA
568A, acesta definind distantele maxime ale fiecarui segment al cablarii. In cazul
folosirii acestor standarde se presupune ca in centrul arhitecturii se afla un hub (sau
switch) din care pornesc cablurile ce merg pana la statii. Acest hub se afla intr-o
camera speciala denumita camera echipamentelor, tot aici aflandu-se cam toate
echipamentele care deservesc facilitatile de comunicare ale retelei, pot fi si servere
de retea, routere etc.

Avem urmatoarea schema:

10
Aceeasi reprezentare dintr-ul alt punct de vedere:

Probabil cel mai caracteristic termen relativ la Ethernet este tehnologia

CSMA/CD (elaborata undeva in Hawai).Aceasta consta in mare in urmatoarea
secventa de pasi:

•O statie vrea sa transmita

•Asambleaza informatia
• Asculta pe cablu daca cineva transmite
• Daca da atunci asteapta si apoi reancearca
• Daca linia este libera transmite

11
• Se poate intampla ca doua statii sa emita in acelasi timp si sa apara o
coliziune moment in care informatia este distrusa « bit by bit ». Prima statie
care a decelat fenomenul trimite un semnal prin care avertizeaza ca s-a
produs o coliziune, in felul acesta avand certitudinea ca toate statiile au
auzit ca s-a petrecut o coliziune. Din acest moment fiecare statie intra
intr-o perioda de asteptare precis calculata pentru fiecare, timp in care nu
mai pot sa transmita nici un mesaj.

Atat Ethernet cat si IEEE 802.3 sunt retele de tip broadcast adica fiecare
statie poate sa vada frameurile trimise in retea. Fiecare statie incarca o copie a
frameului care circula prin mediu si examineaza adresa MAC de destinatie a
framelui. Daca acesta corespunde cu adresa respectivei statii atunci este trimis
stratului 3 pentru a se examina si IP-ul acelui frame. In cazul in care adresa MAC
nu corespunde acel frame este descarcat. Asadar in ceea ce priveste Ethernetul
una dintre problemele de care trebuie tinut seama cu prioritate este
chestiunea coliziunilor si mai exact a evitarii acestora. Una dintre modalitati ar
fi folosirea cailor full-duplex . Mai exact, in cazul huburilor clasice transmisia are
loc pe un singur canal atat la trimitere cat si la receptia semnalului, in cazul
transmiterii full-duplex exista canale separate dedicate fiecarei actiuni in felul
acesta evitandu-se coliziunile si practic dubland rata de transfer deorece un
computer poate sa trimita si sa primeasca in acelasi timp nformatie.Crearea acestor
circuite se poate realiza pe vechile infrastructuri de cabluri dar in general necesita
prezenta unui switch.

Echipamente si functii

Un subiect extrem de important atunci cand tratam problema designului in retelele

ethernet este aceea a segmentarii acestora. Pentru a o putea descrie in ansamblu
este nevoie de o scurta prezentare a echipamentelor care pot fi folosite in
implementarea unui LAN.

Cablurile in general vom folosi UTP categoria 5 acesta fiind momentan

recomandat de standarde fiind tehnologia cea mai scalabila. Este un cablu alcatuit
din patru perechi torsadate pentru eliminarea efectului de cross-talk. Din pacate
este susceptibil de a fi sesnsibil la radiatia electromagnetica si chiar lumina de
neon. Este recomandata de asemenea folosirea sa cu
deosebita grija in ceea ce priveste respectarea dimensiunilor recomandate.

12
Hubul

Este un echipament de strat 1. Functiile sale sunt relativ simple:

regenerarea semnalului primit pritr-un port si retransmiterea lui pe toate
celelalte porturi. Nu face nici un fel de decizie in ceea ce priveste traficul. Poate
avea mai multe porturi 4, 8,32 etc. Este un echipament ieftin. Se mai numeste si
multiport repeater. este important de mentionat ca se inlocuieste prin folosirea sa
vechea tehnologie de tip bus in care se utiliza cablul coaxial (acum nemaifiind
recomandat de standarde).

13
Switchul este denumit si multiport bridge. In general combina caracteristicile
unui hub (are o multitudine de porturi) cu cele ale uni bridge – opereaza la stratul 2
al modelului OSI

Pentru a intelege cum opereaza un switch este foarte important de inteles structura
unui frame aceasta fiind elementul cu care lucreaza acest echipament.

Functiile sale sunt cam urmatoarele :

• inspecteaza frame-urile pe care le primeste pe un port , citeste adresa MAC

sursa.

• daca adresa este gasita (daca nu o gaseste si-o noteaza in tabela de switching
asociind-o cu portul pe care aceasata a sosit) apoi citeste adresa MAC
destinatie.

• daca aceasta este gasita se trimite frameul pe acel port

• daca nu este gasita frameul este trimis pe toate porturile in afara de cel pe
care a sosit

Functiile unui switch sunt deosebit de importante in contextul in care se

face trecerea la LAN-uri de capaciatate tot mai mare. In prezent se recomanda
inlocuirea hub-urilor cu switch-uri. Un alt factor care trebuie mentionat este
existenta mai unor switchuri carora li se poate face un management strict si adaptat
la cerintele unei anumite retele

14
 Un subiect deosebit de actual in ceea ce priveste switchurile este utilizarea
de VLAN-uri (Virtual LAN). Termenul trebuie descris pentru ca este folosit in
acest proiect deorece aduce imbunatatiri categorice in securitatea si eficienta
retelelor ethernet.

VLAN este o grupare logica de utilizatori si echipamente conectati

administrativ la porturile unui switch. Mai exact VLANul permite realizarea intr-
un switch a mai multor domenii de broadcast (si coiliziune). Cel mai simplu este sa
descriem pe o imagine in care avem trei VLANe pe o arhitectura de trei switchuri
si un router

Dupa cum se vede in imaginea de mai sus cele trei VLANe impart cele trei
switchuri. Spre exemplu se poate ca VLAN 1 sa fie al departamentului de
marketing, 2 al celui de vanzari iar ultimul aprtinand celui de salarii. Cu totate ca
statiile sunt introduse in porturile aceluiasi switch ele nu vor putea comunica intre
ele decat daca sunt in acelasi VLAN sau daca exista un router care sa routeze intre
VLANe. Cele trei switchuri pot sa fie la etaje diferite, conditia este ca ele sa fie
conectate intre ele. Comunicarea intre aceste switchuri se va face prin intermediul
unui backbone (in genere de minim 100 Mbps) pe care se foloseste un protocol de
trunking. Folosirea acestui mecanism in retele are avantajul deosebit ca degreveaza
foarte mult reteaua de calculatoare de traficul generat de broadcast exagerat. Spre
exemplu statiile Windows 98 isi pierd tabela ARP la o perioda de 2 minute dupa
aceasta reinnoind-o prin generarea unor noi broadcasturi (se obtin adresele MAC
cunoscandu-se cele de IP). Un alt avantaj este cel legat de securitate – cu toate ca
sunt introduse in porturile aceluiasi switch statiile nu pot sa comunice fara acordul
administratorului. Folosirea unui router este extrem de avntajoasa deorece aduce

15
avantajele sale de securitate ca de exemplu folosirea ACL-urilor.1 In logoul de mai
jos se poate observa modul cum au fost repartizate porturile unui switch in doua
VLANe

Catalyst 1900 - VLAN Membership Configuration

Port VLAN Membership Type
-----------------------------
1 1 Static
2 1 Static
3 1 Static
4 1 Static
5 1 Static
6 1 Static
7 1 Static
8 1 Static
9 2 Static
10 2 Static
11 2 Static
12 2 Static
AUI 1 Static
A 1 Static
B 1 Static
[M] Membership type [V] VLAN assignment
[R] Reconfirm dynamic membership [X] Exit to previous menu
Enter Selection: X

Routerul

Este un echipament esential astazi atat in LANuri cat si in WANuri. Exitsta mai
multe posibilitati de realiza un router, una dintre ele fiind folosirea unui PC simplu
cu OS Linux si cu mai multe placi de retea. In continuare noi vom vorbi despre
16
routerele dedicate realizate de Cisco si mai exact vom trata cu cele din seria 2500
(tipurile 2501 si 2514).
Routerul este un echipament de strat 3 lucrand cu pachete si cu adrese IP (in cazul
folosirii TCP/IP-ului).Un router are doua functii principale :

1 . Gaseste cea mai buna cale catre o anumita destinatie. Acest fenomen se
produce utilizand route statice sau rounting protocoale (RIP , IGRP,
EIGRP,IS-IS,BGP,etc).
2 . Face switching de pachete intre diferiltele sale interfete spre exemplu daca
a primit un pachet la nivelul interfetei ethernet e0 poate sa-l trimita mai
departe catre destinatie prin intermediul interfetei seriale s0

Routerul desfasoaara intreaga activitate de routing si switching folosind tabela de

routing unde mapeaza retelele in care poate sa trimita pachete cu interfetele pe care
trebuie sa faca switchingul pentru a ajunge in acele retele. Intrarile in tabela de
routare se pot crea manual sau pot fi folosite routing protocoale care asigura o
intrare dinamica in tabela de routare.

Daca un router primeste un pachet pentru a carui destinatie nu are o ruta el

va trimite acel pachet catre ceea ce se numeste default router care in prealabil va
trebui configurat.Termenul este asemanator cu default gateway-ul pentru un
17
computer. Daca default routerul nu este definit atunci pachetul este descarcat si
instiintata sursa acelui pachet. Routerul Cisco 2514 are doua interfete pentru
ethernet (conectorii sunt de tip AUI si necesita transceiveri pentru UTP sau BNC in
functie de necesitati – noi vom folosi pe cei pentru UTP ) si doua interfete seriale
sincrone. Acestea se pot conecta folosind cblu serial V.35 acesta asigurand o rata a
datelor de pana la 2 Mbps
Acest router mai are o interfata pentru consola (console port) si o interfata AUX
(pentru management prin intermediul unei perechi de modemuri).

ACL (Access Control List)

Sunt niste mecanisme extrem de utile in ceea ce priveste asigurarea securitatii

retelelor.ACL-urile pot fi folosite doar cu routerul, mai exact se aplica pe
interfetele acestuia. Ca definitie: ACL reprezinta o succesiune de declaratiii de tip
admis / respins care se aplica pe interfetele unui router pentru a admite sau
respinge un enumit tip de trafic. Citirea si aplicarea acestor declaratii o face
routerul in mod secvential atunci cand inspecteaza un pachet. Printre avantajele
folosirii ACLurilor sunt: posibilitatea de a asigura un control al traficului, scaderea
traficului inutil in retea ducand astfel la imbunatatirea benzii disponibile,
posibilitatea de a preciza exact tipul traficului permis sau interzis in functie de
porturi si adresa de IP 1 .

18
 Partea a 2a.Implementarea VPN.

Implementarea LAN

Firma are 3 locatii in Romania: Cluj-Napoca (sediul central), Timisoara si

Bucuresti (filiale).

Intre cele trei sedii trebuie sa circule informatia in cel mai sigur mod cu
putinta, aceste date fiind vitale pentru activitatea economica a firmei. Cu toate
acestea, aceasta firma nu are fondurile necesare pentru a-si putea crea propia sa
retea pe o distanta atat de mare, astfel ca apeleaza la o solutie de compromis foarte
viabila: implementarea unui VPN. Aceasta se va

19
face cu preturi mult mai mici decat cea a realizarii unei retele private dar cu acelasi
grad de securitate. Important este si faptul ca cea mai mare parte a circuitului va fi
in seama providerului de servicii internet eliminand astfel o buna parte din
cheltuielile de intretinere ale retelei. Asadar sa schematizam reteaua pe care dorim
sa o implementam:

Dupa cum se vede in imaginea precedenta aceste trei locatii vor fi

interconectate prin legaturi la reteaua internet. Insa trebuie mentionat foarte clar ca
aceste legaturi nu sunt suficient de sigure pentru a permite transmiterea de
informatie vitala. Asa ca s-a opatat pentru VPN care pe acest tip de lagaturi
transmite in modul cel mai sigur datele prin cripatarea lor. In paginile care urmeaza
am sa incerc sa detaliez modul in care se va face implementare retelei atat la nivel
de LAN cat si de WAN.
Am considerat ca cel mai bine de prezentat aceasta implementare este sa pornesc
de la designul LAN in fiecare dintre cele trei sedii ale firmei iar in cele din urma sa
indic modul in care a fost realizat VPNul.

20
Implementerea LAN

Cele trei sedii de care am vorbit au o structura diferita in ceea ce priveste

cerintele utilizatorilor retelei asa ca cel mai bine este sa le prezint in mod
separat.Voi incepe cu locatia din Cluj-Napoca .

Cluj-Napoca

Aici se afla sediul firmei asa ca vor fi cerinte mai mari in ceea ce
priveste performantele de trafic. Din punct de vedere administrativ am
prevazut pentru sediu urmatoarele departamente de care vom tine seama in
cadrul proiectului:
PIRIMUL NIVEL:
Departamentul de vanzari si relatii cu clientii
Departamentul economic si de salarii
Departamentul de comunicatii

AL DOILEA NIVEL:
Departamentul de evidenta stocurilor
Departamentul de resurse umane si training

LA TREILEA NIVEL:
Departamentul de productie
Departamentul de cercetare

Este importanta repartitia pe diferite departamente pentru plasarea

serverelor si distribuirea in mai multe VLANe.De asemenea este importanta si
gandirea modului in care se vor defini politele de acces intre aceste VLANe
care sunt retele diferite .

In continuare am sa prezint schematic cele trei niveluri ale cladirii in care se

afla birourile firmei.

21
22
23
 In continuare trebuie precizate cateva aspecte in legatura cu cablarea.
Ideea este ca se va folosi cablu UTP Cat 5. Acest tip asa cum am mai precizat
foloseste o topologie fizica de tip stea (si una logica de tip bus) in care lungimea
fiecarei raze nu trebuie sa depasesca 100 m din considerente de atenuare. In cazul
in care se depaseste aceasta dimensiune este indicata folosirea repeaterelor sau a
huburilor. In cazul nostru nu va fi nevoie de nici un repeater pentru ca vom folosi o
multitudine de switchiuri si huburi cascadate.

Probabil cea mai importanta parte a designului este definirea VLANelor

pentru fiecare departament, daca exista departamente care trebuie sa imparta
acelasi VLAN, daca exista utilizatori ai unui VLAN care trebuie sa aiba acces intr-
un altul dar fara o relatie de reciprocitate intre aceste doua VLANe. De asemenea

24
trebuie tinut cont de modul in care alegem folosirea switch-urilor sau a hub-urilor.
Intr-adevar hub-urile sunt mai ieftine decat switch-urile dar sunt locuri unde avem
nevoie de trafic mare si de coliziuni putine, loc unde se preteaza cel mai bine
switch-urile. Si mai trebuie tinut cont si de faptul ca huburile tind sa fie complet
inlocuite de swichiuri. Un alt factor este cum repartizam largimea benzii in aceasta
retea. Momentan exista tendinta de a face trecerea la Fast Ethernet ( 100 Mbps ) si
chiar la Gigabit Ethernet ( 1000 Mbps ). Aici va trebui sa urmarim cam ce
departamente au nevoie de o banda cat mai larga si care se pot multumi si cu trafic
de 10 Mbps (Ethernet). Facem precizarea ca toate conexiunile care asigura
backbon-uri intre componente vor fi de 100 Mbps; acest tip de cablu UTP Cat 5
este pregatit sa poata trece la rate mai mari fara a fi nevoie sa fie modificat. Un alt
factor de care trebuie sa tinem seama este routerul. Acesta este nodul central al
tuturor conexiunilor si al retelei. El va fi acela care va permite legatura intre
VLANe si intre retelele celorlalte noduri. De el vor fi atasate o gramada de alte
device-uri care vor aduce servicii utilizatorilor (ca de exemplu telefonie pe internet
Voice-over-IP sau VoIP). Asdar vom incepe cu definirea unor VLANe. Vom
construi in principiu cate un VLAN pentru fiecare dintre departamente cu
mentiunea ca vom introduce doua departamente intr-un singur VLAN: evidenta
stocurilor si productie. Fac acest lucru pe motiv ca cele doua structuri au ca obiect
de lucru aceeasi baza de date. Asadar vom avea urmatoarele VLANe pe
departamente:

1.Vanzari si relatii cu clientii VRC

2.Economic si salarii ES
3.Comunicatii COM
4.Productie si evidenta stocurilor PES
5.Resurse umane si training RUT
6.Cercetare CER

In concluzie avem 6 VLANe la momentul implementarii. Este posibil ca pe

parcursul activitatii sa mai fie nevoie si de altele, din aceasta cauza va trebui sa
legam un switch care sa permita si porturi redundante. Intre VLANe pentru a
permite comunicarea este nevoie de un router cu care switchiul mare (big-sw) va fi
legat printr-un port de trunk. Acest port este recomandat sa aiba cel putin 100
Mbps trafic. Este important de mentionat ca si routerul trebuie sa aiba pentru
aceasta un port disponibil pentru Fast Ethernet. Dupa cum se vede in imaginea de
mai jos am ocupat deja 6 porturi pe big-sw toate trebuie sa fie de 100 M. Va trebui
sa pregatim un astfel de debit informational pentru viitor chiar daca acum nu este
in totalitate folosit. Trebuie sa mentionez ca cheltuiala nu va fi tocmai mica.

25
 Am sa gandesc in continuare fiecare departament ca avnd un sever propriu –
este ceea ce se numeste workgroup-server. Exista departamente care au nevoie ca
serverul lor sa fie in deplina securitate, din aceasta cauza este recomandat sa fie
plasat impreuna cu alte servere importante intr-o singura camera cu acces numai
pentru personalul de specialitate. In acest sens m-am gandit sa introduc serverele
departamentelor de cercetare, productie si evidenta stocurilor. Asdar am sa le leg la
porturile lui big-sw ocupand inca doau porturi scumpe. O alta categorie de servere
sunt cele intitulate enterprise servers. Acestea sunt o
categorie aparte de cele denumite workgroup servere prin aceea ca au functii
utilizate de toate masinile si utilizatorii din firma. Spre exemplu sunt serverele de
mail, serverele de nume, servere de web si ftp in cazul in care se doreste publicare
unui site pe internet. M-am gandit sa pun toate aceste servere intr-un singur VLAN
– COM .Exista si aici anumite cerinte in ceea ce priveste viteza de acces de aceea
prefer sa leg cat mai multe dintre aceste servere la big-sw.

26
27
 Serverele mari ale firmei (mail, DNS, web, ftp ) impreuna cu cele vitale ca
informatie (de cercetare si cel de productie) vor fi situate in doua camere din cele
trei ale departamentului de comunicatie ( la primul nivel al constructiei ).

In imaginea de mai jos se poate vedea in detaliu modul de amplasare.

Imaginea de mai jos schematizeaza in detaliu modul de aranjare a
componentelor retelei la primul nivel al constructiei.

Vom incepe cu departamentul de comunicatie. Dupa cum se observa exista

acolo trei camere: in camera A am introdus serverele mari ale intreprinderii
precum si serverele departamentelor de productie si cercetare. Conexiunea lor se
face la big-sw care este in camera B. Ideea este ca aceasta conexiune sa fie de
minim 100
M daca nu chiar de 1G Bbp, asta depinde si de ce tip este big-sw.Am introdus in
camera A doar acele servere care se conecteaza direct la porturile lui big-sw fara
nici un alt switch intermediar.

In camera B am introdus echipamente Cisco. Vedem aici big-sw si routerul

big-ro. Practic acesta este inima intregii retele si trebuie sa respecte niste conditii
de mediu extrem de riguroase. Asupra echipamentelor folosite in aceasta camera
vom mai reveni pe larg la sfarsitul prezentarii .

In camera C se afla com-sw (switchul celor care lucreaza in departamentul

de comunicatie). Legat la com-sw se afla computerele celor care lucreaza in acest
departament, o imprimanta de retea si cateva servere. Printre aceste servere pot fi
cel de web, mail etc. Decizia este luata de administratorul de sistem care servere
sunt legate aici si care vor fi in sala A. Am introdus pentru acest departament un
numar de 9 calculatoare si o imprimanta de retea, un numar de trei servere. Deci
pentru inceput avem treisprezece noduri care trebuie sa fie legate la porturile com-
sw. Trebuie urmarita, pentru a asigura un numar redundant de porturi, si
disponibilitatea unui port care sa permita realizarea unui trunk cu un viitor switch
care s-ar
putea atasa acestui departament. Departamentul de vanzari si relatii cu clientii are
pentru inceput un numar de 30 calculatoare, un file-server, o imprimanta de retea,
un plotter de retea si un scanner de retea. De asemenea sala de primire tine tot de
acest departament. Este de recomandat ca toate aceste noduri sa fie legate la
porturile lui vrc-sw care pot sa fie atat de 100 cat se de 10 Mbps. De asemenea
trebuie facuta mentiunea ca pentru sala de primire mai trebuie folosit un hub
deoarece este posibila depasirea distantei limita de 100 metri pentru unele masini.
Consider ca este suficient un simplu hub deoarece traficul pentru aceste

28
calculatoare este relativ mic. Departamentul economic si de salarii are nevoie de
doua imprimante de retea deoarece tipareste o multitudine de facturi. Pentru
moment sunt 29 de calculatoare un file-server 1 si doua printere de retea. Pentru a
reuni si ultimile masini mai avem nevoie de un hub. Asadar o parte dintre
calculatoare se leaga direct la es-sw iar o alta parte se leaga la un hub.

29
 In continuare vom prezenta arhitectura celui de al doilea nivel al cladirii
sediului central al firmei. Aici se afla doua din departamentele firmei : in primul
rand departamentul de evidenta a stocurilor si o serie de birouri administrative, iar
in al doilea rand departamentul de training si resurse umane. In ceea ce priveste
departamentul de evidenta stocurilor , acesta face parte din acelasi VLAN cu cei de
la productie. Asadar avem trei posibilitati : fie sa aducem din big-sw un cablu
aparte pentru fiecare dintre cele doua departamente, sa le reunim pe acelasi cablu
folosind astfel un sigur port al big-sw si un singur switch pentru amblele
departamente plus un hub de Fast Ethernet, sau sa folosim un singur port de la big-
sw si doua switchuri pentru fiecare departament legate intre ele printr-un trunk. Eu
am optat pentru a doua varianta fiind cea mai ieftina in ideea ca un port al lui big-
sw este mai scump decat unul de la pes-sw. Mai exista de asemenea posibilitatea ca
in loc de hub sa folosim un switch fara posibilitate de management care ar fi mai
ieftin decat unul cu management si ar permite microsegmentatie si o buna
performanta a traficului. Asadar acest departament are un numar de 30
workstation-uri, un server, o imprimanta de retea. In ceea ce priveste celalalt
departament cerintele de banda disponibila sunt ceva mai riguroase pentru
urmatorul fapt: exista la ora actuala o regandire a cheltuielilor de training ale unei
intreprinderi inspre orientarea acestora pe solutii de desktop. Mai exact exista doi
factori importanti :

1.toate firmele mari sunt constiente ca training-ul trebuie sa fie o

realitate permanenta , multe avand un departament care se ocupa
permanent cu asa ceva
2.cheltuielile cu educarea permanenta a angajatilor sunt mari , pentru ca in
afara de plata unor instructori mai apar si cheltuieli adiacente : transport ,
cazare , masa , lipsa de la locul de munca .

In aceste conditii a aparut tendinta ca unele corporatii sa-si faca o retea de

calculatoare suficient de puternica incat sa suporte trafic intensiv pentru tinerea
unor cursuri on-line in intranet sau pentru consultarea on-line a unor materiale.
Aceasta modalitate este foarte performanta pentru ca in afara de reducerea masiva
cheltuielilor permite si o mentinere riguros la zi a tuturor materialelor ce se predau
precum si folosirea unor tehnice electronice foarte rapide prin care se anunta
aparitia unor noutati.
Aceasta noua tehnologie de training am incercat sa o fac si eu disponibila in firma
mea prin buna dotare a unui departament care se ocupa cu asa ceva. In acest

30
departament toate serverele vor fi performante asigurand o buna viteza de acces.
Legarea acestora la rut-sw se va face pe porturi de minim 100 M.

Acest departament are :

• un numar de 30 de calculatoare ,
• doua printere de retea ,
• un fax server,
• un proiector ,
• doua camere de luat vederi digitale ,
• cateva displayuri de mari dimensiuni ,
• un plotter de retea ,
• un scanner de retea,
• patru servere.

Asta inseamna aproximativ 45 de noduri pentru inceput. La acestea mai

trebuie sa adaugam un numar sulimentar de porturi redundante fiind un
departament in plina expansiune ca importanta. Asadar rezulta un numar necesar
de aproximativ 60 porturi.
In aceste conditii se recomanda ca fiind necesara folosirea unui switch suplimentar.
Acesta poate fi adus direct din big-sw sau poate fi realizat un trunk intre rut-sw si
un alt switch rut2-sw.
Prezenta unul al doilea switch chiar daca poate fi considerata scumpa se poate
considera ca se amortzeaza in timp, acest departament avand ca scop atat un
training mult mai eficient cat si mult mai ieftin.

31
 Al treilea nivel al constructiei contine departamentele de cercetare si pe
respectiv pe cel de productie. Departamentul de cercetare are mai multe servere,
file-severul principal fiind situat in sediul departamentului de comunicatii din

32
motive de securitate.
]

Departamentul de cercetare este unul relativ mic :

• 21 de calculatoare
• 2 servere
• un printer de retea
• un server de fax

Asadar 25 de noduri. Traficul in aceasta retea nu va fi forte mare, din aceasta cauza
se poate folosi si un hub daca se depaseste numarul de porturi disponibile de cer-
sw. Departamentul de productie este legat in aceeasi retea cu cel care asigura
evidenta stocurilor. Este alcatuit dintr-un mare numar de masini :

• 45 de calculatore
• 2 printere de retea
• 2 servere

In plus fata de acestea urmeaza adaugarea altor device-uri pe masura

extinderii firma fiind in plin progres. Am ales sa folosesc doua switchuri 3Com
fara capacitate de management. Reteaua este gandita ca fiind Fast Ethernet. Un
aspect mai deosebit al acestui departament este acela ca trebuie sa mentina legatura
directa tot timpul cu halele de productie si cu depozitele de stocare. Pentru a realiza
asta exista mai multe solutii, una dintre ele fiind de viitor : folosirea unei retele
LAN Wriless
(retea LAN care sa nu foloseasca cabluri). Aceasta retea va fi introdusa in VLAN-
ul pes, atasarea sa poate sa fie la porturile lui pes-sw sau big-sw.
Imagine urmatoare prezinta arhitectura nivelului al treilea al cladirii sediului
central.

33
 In continuare am sa prezint cateva considerartii relativ la implementare
unei retele LAN wireless. Intrucat in capitolul de consideratii teoretice nu am
introdus acest subiect am sa faca aici o scurta prezentare a subiectului urmata de
datele implementarii in firma despre care vorbim.
Pana acum cativa ani toate retelele LAN fara fir erau implementari de tip
proprietar si in plus foarte lente (in jur de 1,5 M). Acest fapt facea comunicarea
34
imposibila intre echipamente apartinand firmelor diferite. De curand a fost
implementat standardadul IEEE-802.11B si s-a constituit un consortiu WECA ce
are in grija dezvoltarea tehnologiilor wireless LAN. Acest fapt a dus la
posibilitatea de interoperabilitate intre produse de firma diferita precum si la o
crestere calitativa a vitezelor de transfer. Acest fapt face momentan din retelele
LAN wireless o modalitate de a extinde retelele LAN cablate. Toate firmele care
livreaza astfel de echipamente trebuie sa respecte un standard Wi-Fi emis de
WECA sau cel intitulat IEEE-802.11B.
Exista si alte standarde LAN fara fir.

Bluetooth (30-400 kbps) ce se preteaza pentru retele personale (intre PDA, laptop,
telefon mobil) permitand sincronizarea datelor intre acestea. Distanta permisa intre
dispozitive este de 9 m. Momentan se lucreaza la implementari mai raspandite.

HomeRF (1-10 M) pentru retele de birou sau de acasa. Atinge o acoperire de pana
la 45 m. Este inca in dezvoltare.

Standardul IEEE-802.11B asigura o acoperire de 15-90 m in functie de obstacole

intalnite de unde (pereti, plafoane etc). Functioneaza la o rata de 11 M teoretic si 6
M in teste, deci este asemanatoare ca si performante cu Ethernetul de 10 M.
Posibilitati de folosire sunt toate cele valabile pentru standardul ethernet dar se
preteaza cel mai bine la utilizarea in depozite, spitale, aeroporturi in principiu
locuri care necesita miscarea dispozitivelor de retea. Aceasta alegere se datoreaza
preturilor de implementare care sunt destul de ridicate. O retea LAN fara fir are
doua componente: un punct de acces si un adaptor LAN
client. Punctul de acces este un dispozitiv mic care se conecteaza la reteau LAN
cablata si care asigura transferul intre datele transmise prin cupru si cele transmise
ca si unde radio (transceiver radio). In plus acest dispozitiv mai contine soft pentru
criptarea si decriptarea datelor. Clientul este in principiu o placa de retea care are
un transceiver radio si o antena. Aceasta placa trebuie adaptata cu interfete
specifice dispozitivelor de care se ataseaza: laptopuri, PDA, desktop-uri.

Distantele acoperite de un singur punct de acces variaza in functie de

obstacolele pe care le intampina undele. In spatiu liber pot sa mearga pana la o raza
de cateva zeci de metri (chiar 90 m) iar in spatii de tip campus, depozite in jur de
18 m.Cele doua dispozitive clientul si punctul de acces negociaza rata de transfer
la initierea conexiunii. Exista bineinteles posibilitatea de a extinde mult mai mult
raza de acoperire prin folosirea mai multor puncte de acces. Astfel se definesc niste
celule asemanatoare celor din cazul telefoniei mobile. Deplasarea intre celule se
face automat prin negociere fenomenul purtand numele de roaming. Asa cum am

35
mai spus securitatea intre client si punctul de acces se asigura prin incriptarea
datelor odata transmise sub forma de unde radio. Firme care comercializeaza
echipamente pentru wireless LAN sunt Cisco , Apple , Compaq , Lucent ,3Com si
altele. Printre cele mai apreciate solutii sunt cele oferite de Cisco prin kitul Cisco
Aironet Wireless Series (in jur de 200 $ pe client si 1000 $ pe punctul de acces).
Acest echipament este si ceva mai scump decat concurenta (in jur de 150 $/client si
800$/punct de acces). In ceea ce priveste proiectul meu este nevoie de o retea LAN
fara fir in cazul halelor de productie si a depozitelor. In aceste incinte se pot folosi
diferite echipamente de retea mobile: scannere de coduri de bare, etichetatoare,
laptopuri.

Arhitectura retelei este prezentata in schita care urmeaza.

36
Schitele care urmeaza prezinta schematic celelalte doua sedii Bucuresti si
respectivTimisoara.

37
Locatia din Bucuresti este una fara utilitati deosebite avand rolul in principal de
reprezentare.

Aici avem urmatoarele echipamente:

• 21 computere
• un pinter de retea
• un server
• facilitati de training

Nodul de comunicare este dotat cu un router si un switch la care se mai pot adauga
optional un hub si un switch.

Locatia de la Timisoara este ceva mai mare avand si facilitati de productie.

Echipamente :

• 35 de calculatoare
• doua severe
• 2 printere de retea si un plotter
• 1 scanner , 1 server de fax
• facilitati de training

Toate aceste echipamente si posibila adaugare a altora determina folosirea a doua

switchuri si un backbone intre ele.

38
39
 Implementarea WAN

Adresele IP si iesirea la internet

Arhitectura propusa poate folosi doua varinate de adrese IP:

- Se pot folosi adrese reale pentru fiecare masina prin achizitionarea catorva sute
de adrese de clasa C (spre exemplu achitionarea a doua clase la un pret cam de 1 $
pe adresa). De asemenea se pot achizitiona un numar ceva mai mic de adrese IP

40
care vor fi repartizate in primul rand gateway-urilor prin intermediul carora se va
iesi la internet, iar restul preferential pentru anumite masini.

- Se pot folosi in intregime adrese private si achizitionarea de adrese reale doar

strict pentru gateway-urile care vor iesi la internet. In acest caz gateway-ul care va
fi un router ceva mai puternic va face conversia intre adresa sa reala si adresele
private foolosind protocolul NAT (Network Address Translation) cu varianta sa
overloading. Imaginea de mai jos descrie in mare cum are loc procesul :

Dupa cum se vede mai sus este folosita o singura adresa reala si mai multe
private, la iesirea in internet asignandu-se diferite porturi care sunt mapate cu
adresele private. Trebuie mentionat ca se va folosi o singura legatura la internet
realizata in sediul firmei. Aceasta legatura se va face pe un canal diferit de cele
pentru legatura cu celelalte locatii ale firmei folosind de preferinta acelasi provider
de internet. In arhitectura noastra vom folosi acelasi router dar cu interfete diferite
pentru tipurile de iesiri. Setarea gateway-lui pentru internet este foarte importanta
deorece se pun probleme deosebit de stricte de securitate.
Ideea pe care o vom urmari in acest sens este: pentru ce folosim legatura la
internet? Raspunsul depinde de unde privim aceasta conexiune:

- daca privim dinspre internet este necesar sa se vada in primul rand serverul
de web si ftp. Cu timpul se va pune si problema implementarii unor solutii de
e-commerce dar deocamdata nu vom trata aceasta problema.
- Daca privim dinspre companie spre internet este nevoie de cat mai multa
liberate de miscare asa ca vom fi mai permisivi.

Asadar pentru conexiunea la internet vom folosi o arhitectura de tip firewall, care
este alcatuita din mai multe masini, dar in acest caz vom folosi doar un router pe
care vom seta securiatea cu ACLuri. Arhitectura va arata ca mai jos :

41
 In imaginea de mai sus big-ro va face atat legatura la internet, intre locatiile VPN-
ului cat si routarea intre VLAN-ele descrise mai devreme. Nu vom insista mai mult
asupra conexiunii le internet nefiind acesta subiectul lucrarii. Ideea este ca cel mai
bine este achizitionarea unui set de adrese reale, sa spunem 100 si folosirea in rest
a adreselor private. De asemenea este indicat sa achizitionam o banda garantata de
2,048 Mbps (1xE) pentru conexiunea la internet.
Ar mai trebui sa controlam accesul la internet printr-o politica austera cu privire la
conexiune pe http. Toata lumea trebuie sa aiba acces la e-mail dar nu toti angajati
trebuie sa poata vizita site-uri, sau unii trebuie sa o faca cu prioritate. Acestea pot

42
fi coordonate in detaliu cu ACL si QoS disponibile in sistemul de operare al
routerului (IOS).

Trebuie tinut cont de faptul ca toate celelalte locatii vor accesa internetul tot
prin intermediul lui big-ro. De asemenea este important si faptul ca firma trebuie sa
aiba suficienta iesire pentru internet pentru o eventula trecere la sistemul de voice-
over-ip (fiecare canal de voce necesita 16 kbps) care ar permite convorbiri
internationale la preturi foarte mici.
Important atunci cand tinem seama de banada de iesire pentru internet este daca
aceasta firma are servere de web sau ftp puternice si daca va planifica trecerea la
vanzrile on-line. Aceasta nu se va intampla de la inceput asa cum am prevazut
deja. Trecerea la e-commerce este ceva mai complexa deoarece presupune
realizarea unei mutitudini de solutii redundante.

Implementarea conexiunilor de VPN

Iata ca am ajuns si la acest punct. L-am lasat la urma pentru ca poate este cel
mai didicil de proiectat. Si asta se intampla din cauza faptului ca este destul de
dificila alegerea intre diferitele tipuri de VPN si diferitele tipuri de echipamente
disponibile la ora actuala. Solutiile de echipament pe care le-am ales sunt exclusiv
Cisco datorita simplului fapt ca acesta firma asigura la ora actuala 80% din
infrastructura internetului. Intrucat lucrarea deja a ajuns la dimensiuni mari am sa
fiu cat mai schematic in prezentarea acestei parti.
Asadar solutiile alese de noi vor fi pentru un intranet VPN in ceea ce priveste
locatiile din Timisoara si Bucuresti.Totusi este important de realizat de asemenea
si un Access VPN pentru angajati care vor sa lucreze acasa daca aceasta este mai
profitabil pentru firma. Aceasta din urma solutie permite de asemenea si a treia
varianta a extranet VPN, acesta fiind dedicat pentru conexiunile realizate cu
partenerii de afaceri ai firmei (furnizori, resealeri etc.). Vom prezenta aceste
implementari pe rand impreuna cu tipurile de echipament pe care le putem folosi.

Intranet VPN

Imaginea de mai jos prezinta modul in care am proiectat conexiunea intre

cele trei sedii. Am preferat ca pentru moment sa leg doar prin doua conexiuni dar
43
sa fac posibila si o treia intre Bucuresti si Timisoara.

44
 Dupa cum se vede am preferat folosirea numai a routerelor cu toate ca exista
solutii care cuprind pe langa routere si hardware firewalls (in acest caz routerul
este degrevat de o multitudine de sarcini). Am ales arhitectura cu routere deorece
mi se pare mai scalabila.
Va trebui sa alegem routere ceva mai puternice. Pana aici totul este simplu dar
trebuie ales routerele pe care sa le folosim in cele trei locatii si tipul de legatura
WAN.

Pentru routere

Pentru sediul firmei se recomanda ca alegerea sa se faca dintre urmatoarele serii :

2600, 3600, 7100. Fac mentiunea ca ma ales sa folosesc serii cu routere VPN-
optimized mai puternice (exista si categoria VPN-enabled care sunt recomandate
penru solutiile care cer o cripatare moderata si cerinte limitate de tunel).

Este un fapt extrem de important in alegerea routerului sa tinem seama de

scalabilitatea echipamentului, domeniul fiind extrem de dinamic din toate punctele
de vedere. Exista tendinta de a se concentra pe un singur backbone cam tot ceea ce
tine de comunicarea de date de orice fel: video, voce, informatii. In acest sens
trebuie tinut cont de tehnologii ca Voice-over-IP (VoIP) si mai ales AVVID. Asa
ca in ceea ce priveste routerele vom prefera categoric o solutie modulara aceasta
permitand adaugarea unor noi componente pe sasiu.

Asadar pentru sediul centreal este un router din cele trei serii mai sus mentionate.
Am sa le prezint pe fiecare in cateva cuvinte iar in cele din urma am sa prezint
alegerea mea .

Seriile 2600 si 3600 permit folosirea unei multitudini de tipuri de interfete pentru
WAN (de la ISDN si pana la cele mai rapide conexiuni). Permit de asemenea sa fie

45
folosite in toate cele trei tipuri de VPN avand un design modular. Ambele serii au
procesoare RISC. Permit realizarea unor tunele folosind: Ipsec, GRE, L2F si L2TP
iar ca modalitatea de incriptare HI’ 00 in hardware (ca modul optional). Se pot
folosi module de voce permitand trecerea la tehnologii avansate

Seria de routere 7100 (si cele care urmeaza pe aceasta) pot fi considerate daca imi
este permis, un fel de Mercedes al routerelor.Acestea permit optiuniunile cele mai
avnsate in routing si switching, au optiuni de scalabilitate extreme (pot merge lejer
pe Gigabit Ethernet).Partea mai putin placuta este ca si pretul este pe masura.
Aceste routere permite folosirea unei game foarte variate de porturi permitand
totodata si folosirea unui mare numar de placi pe un singur router.Pot fi folosite in
toate tipurile de VPN permitand tuneling si incriptare cu cele mai bune tehnologii
(Ipsec ,L2T,L2F,GRE,3DES,PPTP,MPPE). Aceasta serie mai permite si folosirea
setului de caracteristici Cisco IOS Firewall.

Pentru filiale avem in principiu doua optinui: fie seria 1700 fie seria 800.Seria
1700 mi se pare cea mai buna alegere pentru ca in primul rand este modulara, in
aldoilea rand permite o mare diversitate a porturilor pentru WAN (pot fi folosite
acceasi gama de conexiuni ca si pentru seriile 2600 si 3600). In plus permite
facilitati de tunneling ca L2F,L2TP,Ipsec,GRE iar incriptarea o realizeaza in
software. In plus fata de aceste aspecte mai ofera posibilitatea de routare pe Fast
Ethernet ceea ce ar fi ideal pentru necesitatile noastre de arealiza LANuri 100%
Fast Ethernet. Aceasta serie ofera si avantajul posibilitatii de a folosi module
pentru transmiterea de voce facand posibila realizarea unei retele care sa suporte in
totalitate VoIP si telefonia intre cele trei locatii.

Seria 800 ofera o interfata pentru ISDN si din cauza aceasta face mai prohibitiva
utilizarea acestui router si anume ca va trebui sa depindem de monopolul
Romtelecom, fapt destul de ingrijorator.Alternativa ar fi folosirea seriei UBR900
sau 1400 .Acestea permit IPsec , L2TP ,Cisco IOS Firewall .Ubr900 permite
utilizarea unui modem de cablu.

Acum trebuie mentionata alegerea mea. Sa optez pentru routere peste 7000 mi
se pare cam nepractic pentru dimensiunile pe care le are firma momentan. As face-
o daca as sti ca se prefigureaza cresteri mari in debitul informational .Dar
deocamdata aleg pentru sediul din cluj un router din seria 3600 iar pentru cele doua
filiale cate unul din seria 1700.
46
Alegerea o fac tinand cont si de faptul ca acestea sunt modulare si permit optiuni
ve VoIP si AVVID .In legatura cu ultimul termen discutia este ceva mai
complicata pentru ca alegerea gatewaylui este ceva mai dificila fiind diferente intre
tipul acesteia ( digital sau analog , cati useri trebuie sa suporte, facilitati de fax etc
).Oricum subiectul aceste lucrari este mai putin orientat spre prezentarea unei
solutii de VoIP si cu atat mai putin de AVVID.Totusi am sa prezint schema de
principiu a realizarii unei retele care sa permita VoIP.

Alegerea furnizorului de servicii internet (ISP).

Acest lucru poate fi considerat o optiune subiectiva.In cazul meu am luat

hotararrea dupa ce am consulatat mai multe oferte.La Xnet am vazut niste birouri
foarte luxoase .Am ales RDS care dupa parerea mea sunt cei mai buni pe piata la
ora actuala avand o rata de dezvoltare foarte buna . Pe langa tot avantajul

47
tehnologic pe care il au fata de alti competitori au dat dovada si de deplina
transparenta oferindu-mi toate detaliile de care am avut nevoie.
Vom trata aici problema VPN-ului nu si pe cea a conexiunii la intrenet aceasta
fiind deja schitata. In general prefer conexiunile end-to-end cu providerul (la un
necesar de banda ca acesta ar fi si ceva mai dificila utilizarea unor linii
inchiriate).Asadar toate cele trei locatii vor avea conexiune neintermediata cu
providerul.Ar trebui ales tipul de conexiune aici fiind ceva mai multe
posibilitati.Le vom prezenta schematic mai jos schitand posibilitatile de realizare.

48
 Pe schema de mai sus se pot observa in detaliu ce tipuri de conexiuni sunt
posibile cu providerul pe care l-am ales si la ce debit de date sunt acestea
disponibile. Eu as alege una dintre primele doua posibilitati (cablu coaxial sau
modemuri radio) datorita bunului raport performanta/prêt. Se mai pot face alegeri
hibride ca de exemplu in Cluj varianta pe cablu iar in Timisoara si Bucuresti
varianta radio. Linia denumita DEMARC defineste responsabilitatea firmei in
administrarea retelei fata de cele ale providerului de internet (RDS), adica
responsabilitatea mea este doar pana la aceasta linie restul fiind de partea ISPului.

Implementarea Access VPN

Realizarea unui astfel de VPN consider ca este necesara pentru ca extinde

granitele informatice ale firmei, permitand salavarea unor costuri prin posibilitatea
de a folosi angajati care la fel de bine isi pot desfasura activitatea si acasa. Un alt
avantaj este faptul ca in felul acesta se pot realiza conexiuni importante intre
diferiti utilizatori mobili (care spre exemplu trebuie sa circule in interes comercial)
si firma.
De asemenea este posibilitatea de a seta conexiuni de backup intre sediul firmei si
filialele sale acestea fiind necesare in cazul in care se ajunge ca intre aceste sedii sa
circule informatie vitala pentru activitatea comerciala a firmei.

In ceea ce urmeaza voi incerca sa prezint cam ce posibilitati ar fi pentru realizarea

unei astfel de conexiuni. In principiu sunt doua:

1.Prin intermediul providerului de servicii internet acesta punand la dispozitie

contra cost majoritatea echipamentelor necesare (NAS, modemuri, conexiunea
tunelata si cripatata cu firma mea). Aceasta este una care mi se pare mai
avantajoasa din punct de vedere financiar pentru ca in afara de un port de pe
routerul big-ro dedicat pentru conexiunea cu providerul si de managementul user-
ilor nu mai am alte responsabilitati. Ma refer la mine ca la administratorul acestei
retele – firma avand de platit serviciile catre provider. In plus aceasta situatie imi
ofera si avantajul ca utilizatorii se pot conecta si din alte localitati (conditia este ca
providerul sa aiba POP acolo) avand de platit doar costul convorbirilor locale.
Toate aceste argumente sunt suficiente pentru a convinge staful acestei firme ca
ese mult mai sanatos financiar implementarea acestui tip de access VPN decat

49
oricare altul. Aceasta fiind o lucrare cu caracter teoretic am sa prezint schematic
ambele posibilitati. firmei.

In continuare am sa prezint modul in care se poate realiza un access VPN folosind

un NAS al providerului. Acesta va fi un exemplu de VPN initiat de serverul de
acces al providerului care asa cum am mai mentionat si in partea teoretica a lucrarii
are avantajul ca nu mai necesita folosirea unui client de VPN pe partea
utilizatorului care se conecteaza la
siteul firmei si are dezavantajul ca nu asigura un tunel cripatat decat intre NAS si
routerul firmei .

In cazul unui astfel de acces VPN responsabilitatile vor fi impartite intre

administratorul de sistem al firmei si ISP dupa cum urmeaza :

ISP :
-acizitioneaza , configureaza si mentine Network Access Serverul ( NAS)
in POP sau
-achizitioneaza si suporta modemurile necesare pentru conexiuni
impreuna cu numarul de telefon necesar conectarii (in general este un numar
dar procedura de achizitionare este ceva mai complicata pentru ca in cazul in
care ai 20 de modemuri folosesti un singur numar de telefon cu care esti vazut
din afara dar achizitionezi de la Romtelecom 20 de numere pe care le asociezi
cu modemurile. Stabilirea conexiunii se face printr-un procedeu de hunting:
primul modem gasit liber va fi folosit pentru realizarea conexiunii. Acest
hunting il realizeaza centrala Romtelecomului.)
-mentine un server de autentificare si autorizare (AAA)
-mentine un router care se va conecta cu routerul firmei

Firma :
-achizitioneaza, configureaza si mentine routerul sau
-autentifica si autorizeaza ( username si parola ) utilizatorii (server AAA) .

Imaginea de mai jos prezinta schematic tipul de aparatura utilizata pentru

realizarea acestui tip de Access VPN. Dupa cum se poate vedea pe partea
utilizatorului nu este nevoie decat de un terminal si un modem fara a trebui
configurat nimic altceva decat un username si o parola de acces in serverul
ISPului.

Utilizatorul poate in principiu folosi orice sistem de operare cu conditia ca acesta

sa fie capabil de dial-up. Odata ce utilizatorul initiaza o sesiune de dial-up se va
conecta la NAS. Logarea se va face la serverul de parole al ISPului. Pentru aceasta
50
logare va fi folosita un alt username configurat in client, ca de exemplu
abcd@firma.ro. Serverul de parole va fi interesat numai sa descopere ce domeniu
vrea sa contacteza acel uttilizator. Va gasi in baza sa de date ca acel client doreste
sa se conecteze la domeniul firma.ro. Din acest moment face legatura cu routerul
ISPului si trimite acestuia comanda .

Routerul ISP-ului va incepe negocierea unui tunel criptat cu big-ro. Dupa ce acesta
va fi functional se face legatura cu sesiunea deschisa de utilizator, echipamentul
ISP-ului devenind transparent pentru procesul de logare care va urma. Utilizatorul
se logheaza cu username-ul si parola pe care le-a configurat in clientul sau de dial-
up. Este verificat in serverul de parole al firmei si se da acordul sau nu asupra
inceperii transferului de date sau orice altceva se doreste in reteaua firmei.
Din acest moment utilizatorul poate fi considerat ca facand parte integranta din
retea firmei. Fiecare utilizator poate fi asociat cu anumite drepturi, privilegii,
asociat unui anumit grup de utilizatori, asociat cu anumite ore in care poate sa-si
desfasoare activitatea.

In general pentru locatia ISPului se recomanda ca serverul de parole sa fie un SUN

cu UNIX iar la firma se poate foarte bine folosi un PC cu Windows NT 4 sau 2000
server. Cisco vinde mai multe tipuri de servere de acces ( NAS) unul recomandat
pentru o astfel de utilizare ar fi Cisco AS5300 .Ca router pentru ISP se poate folosi
un Cisco 4500- M.

51
2.A doua modalitate prin care s-ar putea realiza un Access VPN este folosirea
independent de ISP a unor echipamente care sa permita realizarea conexiunilor. In
acest caz putem spune fara sa gresim ca firma se transforma intr-un ISP mai mic.

52
Aceasta poate avea avantajele sale dar mai presus de toate are costuri ridicate nu
atat de mult la implementare cat mai ales la management si intretinere. Acest fapt
se datoreaza preluarii tuturor atributiilor de catre firma.

Procesul de comunicare intre client si concentrator parcurge uramatorii

pasi :

 Se negociaza tunelul : adrese, algoritmi etc.

 Se stabileste tunelul in functie de factorii definiti mai devreme.
 Autentificarea utilizatorilor: username, grupul din care fac parte,
parole, alte certificate (semnatura electronica etc).
 Stabilirea drepturilor pe care le are utilizatorul: ore de acces, durata
conexiunii, protocoalele folosite.
 Negocierea cheilor de securitate.
 Incepe procesul de incriptare iar comunicatie poate sa inceapa.

In imaginea care urmeaza se schematizeaza echipamentele de care este nevoie

pentru realizarea acestui tip de Access VPN. Se poate observa ca avantajul
principal consta in faptul ca tot circuitul informatiei in afara perimetrului firmei se
realizeaza cripatat. Acesta este asadar un tip de Access VPN intitulat client-
initiated.

53
54
Extranet VPN

In legatura cu acest subiect nu mai sunt aici prea multe de spus pentru ca in
mare ss-au acoperit aspectele tehnice.
Asadar acest tip de VPN permite conexiunea site-ului firmei cu potentiali
colaboratori : clienti, resealeri, alti parteneri. Drepturile pe care le au acestia in
reteaua firmei pot fi setate functie de tipul relatiei stabilite cu acestia.
Din punct de vedere tehnic nu este mare deosebire in realizarea link-urilor cu
acestia sau angajatii firmei. Acestea pot facute fie prin legaturi dedicate fie prin
dial-up. Acestea au fost deja prezentate si sunt valabile si pentru acest tip de VPN.
Bineinteles ca subiectul ramane deschis pentru ca si aici se pot folosi metode de
certificare ca semnaturi electronice unde arhitectura este ceva mai complexa
intrucat implica si o autoritate de certificare.

Management si calitatea la VPN – QoS

Implementarea unei retele VPN este doar prima parte a problemei. In general
implementarea o face o firma specializata in asa ceva; cel mai adesea o firma de
consultanta este insarcinata cu dezvoltarea proiectului. Dezvoltarea proiectului se
face dupa un studiu al activitatii firmei client si in fuctie de cerintele de trafic si
aplicatii ale acesteia. Nu spun ca designul este o parte usoara dar partea cea mai
grea este in mod categoric managementul retelei create si impunerea unor
standarde de calitate in exploatarea acesteia. Aceasta se materializeza printr QoS
(Quality-of-Service).

Mai concret un utilizator al retelei respective nu-si va pune in nici un caz problema
tipului de router folosit sau a tipului de tunelare si incriptare intre sedii. Intrebarea
pe care o va pune celui care implementeaza sau administreaza reteaua ve fi de
genul :

Voi putea sa accesez rapid serverul firmei pentru a vedea ce stoc de produse este
disponibil?
Voi putea sa comunic numarul contului de plati cu clientul din Bucuresti fara ca
nimeni sa nu fure acesta informatie din retea?

55
Asadar intrebari concrete la care se poate raspunde mai putin in termeni tehnici.
Pentru cel care implementeaza si administreaza reteau aceste intrebari se traduc in
termeni de intarzieri pe retea (delay), banada de acces WAN (bandwidth si
throughput), securitate, asigurarea prioritatii pentru informatia vitala activitatii
economice (mission-critical). Toate acestea pot fi rezolvate cu ajutorul unui pachet
de unelte create in acest sens si implementate in IOS de catre Cisco care sunt
denumite cum am precizat si mai sus QoS.

QoS urmareste in principal urmtoarele aspecte :

 Clasificarea pachetelor de date.

 Managementul bandei disponibile.
 Evitarea congestiilor

In continuare vom spune cateva cuvinte despre fiecare dintre acesti termeni.
Asadar ce inseamna clasificarea pachetelor? Se pot grupa anumite tipuri de pachete
de date astfel incat sa fie separate de masa larga a pachetelor. Odata facuta acesta
separare se pot aplica acestor pachete un tratament special in sensul ca acestea pot
fi trimise cu prioriate, circulatia lor fiind considerata mai importanta decat a
celorlalte, se pot asigura conditii ca probabilitatea ca aceste pachete sa fie pierdute
sa fie minima. Asadar prioritate intr-un singur cuvant.
Este important ca aceste clasificari sa se faca dupa ce tunelul si cripatarea au fost
definite pentru ca clasificare se face adaugand niste headere, ori daca tunelarea s-ar
face dupa ar putea sa altereze aceste headere. Clasificarea pacheteleor se poate face
pe urmatoarele criterii:

• Adresa IP
• Porturi TCP sau UDP.
• Precedanta IP.
• URL.
• Adresa MAC.
• Timpul in care se face transmisia

In acest sens se poate spune ca se impune folosirea a inca unui termen: ToS – type-
of-service, acesta permitand clasificarea pachetelor. Odata ce anumite pachete au
fost marcate ca fiind mai importante decat altele trebuie sa asiguram faptul ca
aceste pachete vor avea un tratament special. Acest lucru se face prin prin
managementul bandei (bandwidth management). Cea mai importanta metoda de
management a bandei este punerea in cozi a pachetelor.

56
Punerea in cozi a pachetelor poate fi inteleasa prin intermediul termenului de flux
de date. In general un flux inseamna un grup de pachete de date care impart
aceleasi criterii de clasificare enuntate mai sus.

Punerea in cozi a pachetelor (WFQ1) poate fi de doua tipuri: flow-based WFQ si

class-based WFQ. In flow-based WFQ pachetele sunt clasificate pe flux, mai exact
fiecare flux corespunde unei cozi de iesire separate.Cand un pachet este clasificat
intr-un anumit flux el va fi plasat intr-o coada care apartine acelui flux. In perioade
de congestie sistemul de punere in cozi a pachetelor (WFQ) aloca fiecarei cozi o
anumita largime de banda.

Class-based WFQ defineste prioritati in functie de niste clase de pachete pe care

administratorul trebuie sa le defineasca. Crearea de clase se poate realiza spre
exemplu cu ACL-urile iar apoi se aloca fiecarei clase o fractiune din banda de
iesire a unei interfete WAN. Diferenta fata de tipul bazat pe fluxul de date consta
in aceea ca in cazul claselor alocarea este absoluta la capacitatea interfetei si nu
relativa la alte fluxuri (flow-based). In class-based se poate face alocarea in
procente sau kbps.

Acest ultim tip WFQ este cel mai important pentru ca permite alocarea de banda
garantata pentru o anumita aplicatie (spre exemplu pentru baza de date cu
informatiile financiare vitale) precum si definirea de utilizatori care au prioritate in
folosirea benzi disponibile.

Evitarea congestiilor consta in termeni teoretici in capacitatea de a recunoaste

congestiile care apar pe o anumita cale de comunicare si de a le minimiza efectele.
Congestiile produc efecte nedorite in VPN si trebuie evitate. Cisco a implementat
in IOS un algoritm intitulat WRED. Acesta consta in definirea unor limite de trafic
pentru diferite clase de de trafic (definite cu class-based WFQ). Odata ce aceste
limite sunt depasite pachetele vor fi aruncate in functie de prioritatea acestora: cele
mai putin importante primele iar cele importante ultimele.

Concluzii : exista momentan cateva scule care pot fi folosite pentru imbunatatirea
si eficientizarea traficului in retelele VPN. In principal este deosebit de importanta
o urmarire atenta si o eficientizare a traficului pe legaturile WAN pentru ca acestea
sunt cele mai scumpe. Politicile firmei in ceea ce priveste traficul trebuie in primul
rand enuntate in functie de tipul de date care circula iar mai apoi implementate.

57
58