UNIVERSITATEA “xxx” FACULTATEA DE INGINERIE ELECTRICÃ MASTERAT: xxx
REFERAT Tehnologii Informaţionale şi de Telecomunicaţii
SECURITATEA IN RETELE LAN
CUPRINS 1.Introducere 1.1.Definitii si clasificari 1.2.Medii de transmitere a informatiilor in LAN-uri 1.3.Arhitectura retelei 1.4.Stiva ISO/OSI 1.5.Protocoalele TCP/IP 1.6.Metoda de acces la mediu CSMA/CD 1.7.Adresarea IP 1.7.1.Clase de adrese IP 1.7.2.Subretele si masti de retea 2. Implementarea retelelor LAN folosind cabluri de tip TP 2.1.Cablurile de tip TP (Twisted Pair – perechi rasucite) 2.2.Cardurile de retea - NIC (Network Interface Card) 2.3.Standardul 10BaseT 3.Interconectarea retelelor locale 3.1.Introducere 3.2.Echipamente de interconectare 3.2.1.Repetoare (Hub-uri) 3.2.2.Switch-urile 3.2.3.Podurile (Bridge-uri) 3.2.4.Routerele 3.2.5.Pasarele (Gateways) 4.Securitatea retelei 4.1.Protocolul DHCP 4.2.Securizarea retelei 4.3.Firewall-uri 4.4.Proxy-uri 4.5.Filtrele de pachete 5.Retele VPN 5.1.Point-to-Point Tunneling Protocol (PPTP) 5.2.Layer 2 Tunneling Protocol (L2TP) 5.3.IPsec
2
1.Introducere 1.1.Definitii si clasificari
O retea de calculatoare este un set de statii care sunt conectate intre ele si care sunt capabile sa schimbe mesaje. Exista mai multe tipuri de retele: LAN, WAN si VPN (Virtual Private Pr ivate Network). Clasificarea retelelor in functie de distanta dintre elementele prin care se propaga informatia: - 0,1m - 1m - 1 0m - 100 m - 1km - 10km - 100km - 1000km - 10 10000k 00km
- module sau placi de circuite - sisteme - retea de incapere - retea in cladire LAN - retea in campus - retea in localitate MAN - retea nationala - retea continentala WAN - rreetea m mo ondiala INTERNET
INTRANET
Arhitectura(topologia) unei retele - Bus sau magistrala. In cazul in care se conecteaza retele intre ele avem un backbone - Star – punctual de conectare este hub-ul iar el este transparent pt clientii retelei - Inel - Inele intersectate – o anumita statie face legatura intre doua inele - Arborescenta - Completa (Mesh) – folosita in retelele radio, orice 2 statii sunt conectate intre ele - Neregulate 1.2.Medii de transmitere a informatiilor in LAN-uri
Adaptoare de retea: - care utilizeaza perechi de conductoare - care utilizeaza cabluri: - coaxiale - torsadate - wireless - optice – fibre optice 1.3.Arhitectura retelei
-
Exista doua arhitecturi de retea (mai raspindite): peer-to-peer - fiecare statie are aceleasi capacitati si responsabilitati, sint mai ieftine si mai simple d.p.d.v. al designului, dar nu ofera aceleasi performante in cazul traficului intens. client/server - necesita computere dedicate pentru a servi cererile unor altor computere. O aplicatie server asteapta un client sa initieze un contact.
3
1.4.Stiva ISO/OSI
MODELUL ISO/OSI(International Standard Organization/Open System Interconnection) divide arhitectura unei retele pe 7 nivele, iar fiecare acopera diferite activitati, echipamente si protocoale. 7. Nivelul Aplicatie – permite proceselor aplicatie sa acceseze serviciile de retea si sa administreze comunicatia intre aplicatii. Acest nivel reprezinta serviciile care sunt folosite de aplicatii
software cum ar fi transfer de fisiere, accesul la baze de date si servicii de e-mail. Atributii: - accesul la retea - controlul flu fluxului - recu recupe pera rare reaa dupa dupa apar aparit itia ia une uneii ero erori ri..
Figura 1. Stiva ISO/OSI 6.Nivelul Prezentare – determina formatul folosit pentru a schimba date intre calculatoarele din retea. Se poate numi si translatorul de retea. In cazul calculatorului care transmite, acest nivel se ocupa cu translatarea datelor dintr-un format trimis de la nivelul Aplicatie, intr-un format intermediar recunoscut. Operatia inversa este executata la calculatorul care primeste datele. Atributii: - conversia datelor - compresia si criptarea datelor pentru reducerea numarului de biti ce urmeaza a fi transmisi - functie de redirectare – care este un software ce accepta cereri I/O si le trimite resurselor de pe server 5.Nivelul Sesiune – permite la doua aplicatii aflate pe calculatoare diferite sa initieze, sa foloseasca si sa incheie o conexiune, numita sesiune. Atributii: - recunoasterea numelor si securitatea necesara pentru a facilita comunicarea intre doua aplicatii pe retea - sincronizarea intre taskurile utilizator prin managementul punctelor de revenire in fluxul de date.In acest fel, daca reteaua cade, numai datele de dupa ultimul punct de revenire trebuie retransmise De asemenea acest nivel implementeaza controlul dialogului intre procesele care sunt in comunicare prin setarea partii care transmite, cand si cat. 4.Nivelul Transport – ofera controlul fluxului, tratarea erorilor si este implicat in transmiterea si receptionarea pachetelor. Acest nivel asigura ca pachetele sa fie fara erori, intr-o ordine, fara pierderi sau duplicari. Atributii: - impachetarea mesajelor, prin diviziunea celor mari si gruparea celor mici, ceea ce duce la transmiterea lor eficienta - despachetarea la celalat capat, asamblarea mesajelor originale si trimiterea unui mesaj de primire (ACK) 3.Nivelul Retea – Atributii: - adresarea mesajelor prin translatarea adreselor logice(nume,IP) in adrese adre se fizice(MAC) - determinarea rutei de la sursa la destinatie. Astfel alege calea pe care data trebuie sa o urmeze in functie de conditiile de pe retea, prioritatea serviciilor si alti factori.
4
-
rezolvarea problemelor legate de traffic prin comutarea pachetelor, routare si controlul congestiilor
Daca calculatorul destinatie nu poate primi datele din cauza marimii prea mari, atunci nivelul Retea alocat calculatorului expeditor sparge pachetul mare de date in unitati de mici dimensiuni. 2.Nivelul Legatura de Date – trimite cadre de date de la nivelul Retea la nivelul Fizic. La nivelul opuse(destinatar) impacheteaza bitii in stare bruta in cadre de date si le transmite nivelului Retea. Un cadru de date este o structura logica, in care poate fi plasata date. Prezinta un delimitator de inceput si sfarsit, fata de pachetele de la nivelul superior care nu prezinta decat un preambul(header). Este format din doua subnivele: - MAC (Medium Access Control) – control al accesului la mediu - LLC (Logical Link Control) – legatura logica de date Atributii: - controlul erorilor - controlul fluxului informaţional - gestiunea legăturii Pentru detectia erorilor cel mai răspândit cod utilizat pentru protocoalele legăturilor de date este CRC-ul. Astfel pentru un mesaj dat dat având k biţi, transmiţătorul generează o secvenţă secvenţă de n biţi numită secvenţă de control a mesajului (CRC), astfel încât mesajul rezultat constă din k+n biţi şi este divizibil cu câteva numere predeterminate. Receptorul va divide mesajul primit la acelaşi număr şi dacă restul este zero, zer o, înseamnă că recepţia s-a făcut fără erori. Adresarea MAC
Mecanismul de adresare MAC implică două câmpuri de adresă în cadrul MAC. Deşi formatul detaliat al cadrelor MAC nu este unic, depinzând de metoda pentru controlul accesului la mediu, formatul lor general arată ca în figura urmatoare.
Figura 2. Formatul general la cadrelor MAC Adresa destinaţiei se poate referi la un sistem sau la un grup de sisteme . Dacă
toţi biţii adresei destinaţie destinaţie sunt 1 atunci atunci cadrul respectiv respectiv va fi copiat de către toate sistemele sistemele din reţea (adresă „broadcast” - difuziune). Adresa sursei corespunde unui singur sistem. Câmpurile de adresă conţin 16 biţi sau 48 biţi. Într-o reţea locală câmpurile de adresă au aceeaşi dimensiune în toate cadrele MAC generate. Adresarea MAC poate fi administrată - local - global Adresele de 16 biţi sunt administrate local. Cu o adresă administrată local se atribuie fiecărui sistem din reţeaua locală o adresă MAC unică pentru acea reţea . Pentru fixarea adresei se folosesc comutatoarele de pe placa NIC (Network Interface Card) sau o funcţie software. Dacă se utilizează adresarea administrată global fiecare sistem din orice reţea de pe glob are o adresă unică . Administrarea globală a adreselor este coordonată de IEEE.
5
Figura 3. Cîmpuri de adresă MAC Producătorilor de echipamente de reţea (NIC) li se atribuie, la cerere şi contra unei taxe, o valoare pentru cei 24 biţi cu ponderea cea mai mare, ei fiind responsabili pentru a folosi o adresă MAC unică în ceilalţi 24 biţi, de pondere mică, pentru fiecare placă NIC fabricată. La unele plăci NIC cu adresarea administrată global prestabilită din fabricaţie este posibilă înlocuirea acesteia, printr-o funcţie software , cu o adresă administrată
local.
Ca un mecanism de filtrare a adreselor MAC este posibil ca subnivelul LLC să ceară recepţionare recepţionareaa şi a unor cadre MAC cu adrese de destinaţie destinaţie diferite diferite de cea a propriului sistem (adrese de grup, spre exemplu). Un exemplu(ipconfig /all) de adresa MAC : 00-D0-59-36-AD-7A
1.Nivelul Fizic – se ocupa cu transmiterea bitilor pe cablul de retea. Defineste cuplarea cablului la adaptorul de retea si de asemenea ce tehnica se va folosi pentru transmiterea bitilor. Atributii: - codarea datelor si sincronizarea bitilor, asigurandu-se ca transmiterea unui bit 1 duce la receptionarea unui bit 1 - delimiteaza lungimea unui bit si translatarea lui intr-un impuls electric sau optic specific retelei.
Figura 4. Modelul nivelului fizic
6
Cand datele sunt transmise prin retea ele trec prin toate cele 7 nivele unde li se ataseaza un preambul(header) specific. In cazul nivelului Legatura de Date se ataseaza si
un postscript(trailer) pentru a specifica sfarsitul cadrului.
Figura 5. Adaugarea header-elor la trecerea prin nivele. La nivelul 2 se ataseaza si un trailer la sfarsitul cadrului. 1.5.Protocoalele TCP/IP
TCP/IP reprezintă un grup de protocoale a cărui denumire este dată de principalele sale standarde. TCP (Transmission Control Protocol) şi IP (Internet Protocol). Aceste protocoale pot fi folosite pentru comunicaţii în cadrul oricărui set de reţele interconectate. Protocoalele TCP/IP stau la baza unei mari reţele, numite Internet, care a început cu mai bine de 20 de ani în urmă cu reţeaua ARPA (Advanced Research Projects Agency) şi care acum regrupează mii de reţele, utilizând acelaşi ansamblu de protocoale, pentru a oferi o interfaţă unică utilizatorilor lor. Software-ul de reţea, înglobând o mare parte din protocoalele TCP/IP, este disponibil pe o gamă largă de calculatoare care folosesc diferite sisteme de operare. Dintre serviciile de aplicaţie oferite utilizatorilor de reţea Internet, cel mai frecvent folosite sunt: - poşta electronică (e-mail) - transferul de fişiere - conexiunea la un calculator distant (remote login). Autoritatea supremă care dirijează evoluţia reţelei Internet este este o organizaţie constituită din membri voluntari, numită Internet Society (ISOC). În cadrul acestei oraganizaţii există un consiliu, numit Internet Architecture Board (IAB), care are responsabilitatea tehnică a evoluţiei reţelei. El aprobă standarde noi, alocă resurse şi ia decizii privind reţeaua. Un alt organism, IETF (Internet Engineering Task Force), are sarcina de a dezbate, periodic, periodic, probleme probleme pe termen scurt: Publică rapoarte rapoarte şi documentaţ documentaţie, ie, sugerează sugerează acceptarea unor idei propuse pe bază de voluntariat sau propune adoptarea unor noi standarde. Documentaţia Internet, inclusiv standardele, este publicată sub forma unor documente RFC (Re (Reque quest st for Commen Comments) ts).. Docume Documentu ntull RFC 1540, 1540, intitu intitulat lat Interne Internett Off Offici icial al Protoco Protocoll Standards, detaliază lista tuturor documentelor RFC. Arhitectura TCP/IP
Arhitectura stratificată a unei reţele TCP/IP este prezentată, prin comparaţie cu modelul OSI, în figura urmatoare. Protocoalele TCP/IP sunt conceptual organizate în patru niveluri care se sprijină pe un al cincilea nivel, reprezentat de ansamblul circuitelor necesare pentru transmiterea semnalelor de date. Nivelul cel mai de jos dintre cele patru, numit interfaţă reţea, face ca funcţionarea nivelului nivelului imediat superior, numit internet şi echivalen echivalentt nivelului nivelului reţea din modelul modelul OSI, să nu depindă de reţeaua fizică utilizată pentru comunicaţii şi de tipul legăturii de date.
7
O interfaţă reţea poate fi constituită dintr-un driver reţea, când sistemul este conectat la o reţea locală, sau un subsistem mai complex care utilizează un anumit protocol al legăturii de date (spre exemplu HDCL, atunci când reţeaua utilizează comutatoare de pachete).
Figura 6. Stiva OSI/ISO si echivalenta cu arhitectura TCP/IP O reţea individuală TCP/IP poate fi o reţea locală, utilizând diferite protocoale de subnivel MAC (802.3, 802.4, 802.5 etc), poate fi o reţea care foloseşte legături de date de mare distanţă de tipul circuitelor punct-la-punct închiriate sau comutate, cu un suport fizic oarecare. Protoc Protocoal oalele ele TCP/IP TCP/IP tratea tratează ză toate toate reţele reţelele le la fel. fel. În esenţă, esenţă, protoco protocoale alele le TCP/IP TCP/IP definesc o reţea abstractă care nu ţine seama de detaliile reţelelor fizice componente. Interc Intercone onecta ctarea rea reţele reţelelor lor fiz fizice ice se realiz realizeaz ează ă prin prin interm intermedi ediul ul ruteri ruterilor lor..
Stab Stabililir irea ea rutel rutelor or se face face luân luând d ca bază bază reţea reţeaua ua de dest destin inaţ aţie ie.. În felu felull aces acesta ta volu volumu mull informa informaţie ţieii necesa necesare re pentru pentru rutare rutare depinde depinde de număru numărull reţelel reţelelor or interc interconec onectat tatee şi nu de numărul sistemelor din reţea. Nivelul Nivelul interfaţă interfaţă reţea acceptă mesajele de la nivelul internet şi le pregăteşte pentru transmiterea pe un anumit tip de legătură de date (reţea fizică). Pe de altă parte nivelul interfaţă reţea analizează fiecare cadru recepţionat de placa NIC şi determină, după biţii de control ai cadrului, care este protocolul de nivel internet căruia trebuie să i se transmită datele din cadrul recepţionat. Nivelul Nivelul internet internet realizează funcţiunile de rutare şi de releu pentru transmiterea pachetelor de la sistemul sursă la sistemul destinaţie. La acest nivel se utilizează mai multe protocoale, dintre care se remarcă : Prot Protoc ocol olul ul Inte Intern rnet et (Int (Inter erne nett Proto Protoco coll - IP) IP) care care asig asigur urăă un serv servic iciu iu de transmitere a datelor fără conexiune. Protocolul Protocolul ICMP (Internet (Internet Control Control Message Message Protocol) Protocol) foloseşte foloseşte serviciile serviciile IP (mesa (mesajul jul ICMP ocupă ocupă câmpul câmpul de date date al IP) asigurâ asigurând nd un mecani mecanism sm prin prin care care ruteri ruteriii şi sistemele din reţea comunică informaţii privind situaţiile de funcţionare anormală. Protocolul ARP (Address Resolution Protocol) permite unui sistem să determine adresa fizică (MAC) a unui alt sistem din aceeaşi reţea fizică cunoscând adresa IP (de nivel reţea) a acestuia. Protocolul RARP (Reverse Address Resolution Protocol) permite unui sistem săşi obţină, atunci când n-o cunoaşte, adresa IP proprie. pr oprie. Nivelul Nivelul transport transport asigură comunicaţia între programele de aplicaţie. O astfel de comunicaţie este numită adesea comunicaţie cap-la-cap. Nivelul transport poate regla fluxul datelor, poate asigura livrarea datelor fără erori şi în secvenţă. La nivelul transport fluxul datelor datelor ce trebuie transmise transmise se împarte în pachete pachete şi fiecare pachet este trecut, împreună cu adresa de destinaţie, către nivelul internet pentru transmisiune.
8
Când mai multe programe de aplicaţie beneficiază, în acelaşi sistem, de serviciile reţelei, nivelul transport trebuie să accepte datele de la acestea şi să le treacă spre nivelul inferior, inferior, adăugând adăugând fiecărui fiecărui mesaj informaţia informaţia necesară necesară pentru identificarea identificarea programelor programelor de aplicaţie. Sunt folosite două protocoale de transport: UDP (User Datagram Protocol) TCP (Transmission Control Protocol). Protocolul UDP asigură asigură un serviciu serviciu fără conexiune conexiune folosind folosind IP pentru transport transportul ul mesajelor. Acest protocol, mai simplu decât TCP, nu garantează livrarea livrarea mesajului la recepţie fără erori, fără pierderi, fără duplicate, în ordinea în care au fost emise. Programele de apli aplica caţi ţiee care care util utiliz izea ează ză UDP UDP ar treb trebui ui să-ş să-şii asum asumee respo respons nsab abililit itat atea ea depli deplină nă pent pentru ru soluţionarea acestor aspecte ale transmisiunii. Protocolul Protocolul TCP asigură asigură un servic serviciu iu cu conex conexiun iunee garant garantând ând livrare livrareaa corect corectă, ă, în ordine, a mesajelor la recepţie. La elaborarea unui program de aplicaţie se alege protocolul de transport în funcţie de necesităţile impuse de aplicaţie. Nivelul Nivelul aplicaţie aplicaţie asigur asigurăă utiliz utilizato atoril rilor or reţelei reţelei,, prin prin interm intermedi ediul ul progra programel melor or de aplicaţie, o gamă largă de servicii. Dintre acestea cele mai frecvent folosite sunt: - SMTP (Simple Mail Transfer Protocol) - FTP (File Transfer Protocol) - Telnet Remote Login - SNMP (Simple Network Management Protocol). Protocolul Protocolul SMTP este este folosi folositt pentru pentru transf transferul erul mesaje mesajelor lor de poştă poştă electr electroni onică. că. Utilizatorul poate transmite mesaje sau fişiere altui utilizator conectat la Internet sau la un alt tip de reţea, având însă o conexiune cu Internet. Protocolul FTP permite utilizatorilor transferul de fişiere, în ambele sensuri, între un sistem local şi unul distant. Fişierele pot conţine fie texte (caractere ASCII sau EBCDIC), fie date pur binare. Protocolul Telnet permite permite unui utilizator utilizator să se identifice identifice într-un sistem distant prin intermediul sistemului local. Acest protocol stabileşte o relaţie client-server între sistemul local (client) şi aplicaţia Telnet distantă (server), permiţând deci funcţionarea unui sistem local în regim de terminal virtual conectat la un sistem distant. Protocolul SNMP este folosit pentru administra administrarea rea de la distanţă distanţă a echipament echipamentelor elor de interconectare a reţelelor. 1.6.Metoda de acces la mediu CSMA/CD
Metodele de acces – sunt un set de reguli care defineste cum poate pune si extrage un calculator date de pe retea. Acestea previn accesul simultan asupra mediului de transmisie prin pr in asigurarea faptului ca doar un calculator poate pune date pe retea la un moment dat. Tehnologiile LAN se bazeaza pe una din urmatoarele tehnici: - CSMA/CD (Carrier Sense Multiple Access with Collision Detection) – process multiplu cu sesizarea purtatoarei si detectarea coliziunilor - Token Passing - utilizarea de Jeton(Tokens) in cazul retelelor re telelor Token Ring - Demand Priority – prioritatea cererilor CSMA/CD
Fiecare calculator din retea inclusiv clienti si servere, verifica daca exista trafic pe cablul de retea.Daca exista date in trasmitere pe cablu atunci nici o statie nu poate po ate transmite pana cand acestea au ajuns la destinatie si linia este e ste libera. Daca doua calculatoare sau mai multe calculatoare vor trimite date in acelasi timp, atunci va apare o coliziune, iar ele se vor opri din transmisie pentru o perioada arbitrara de timp, iar apoi vor incerca iarasi. In aceasta idée vom intelege si insemnatatea numelui. Calculatoarele verifica sau simt mediu de transmisie(carrier sense). Sunt mai multe calculatoare care incearca sa trimita date (multiple access) si in acelasi timp asculta reteaua pentru a vedea daca nu s-a produs o coliziune(collision detection).
9
In acest fel se considera ca aceasta tehnologie este una concurentiala, deoarece statiile concureaza pentru a trimite date. In cazul metodei CSMA/CA (Collision Avoidance) fiecare calculator semnalizeaza intentia de a transmite, pentru a evita coliziunile. 1.7.Adresarea IP
Identificarea in retele utilizind protocolul TCP/IP se face pe baza adresei IP. Astfel, fiecare retea din Internet ar avea adresa ei numerica unica , numita adresa de retea. Administratorii de retea ar trebui sa se asigure ca fiecare dispozitiv gazda din retea foloseste un numar de gazda unic. La ora actuala folosindu-se versiunea 4 (IPv4), ce utilizeaza o adresa binara de 32 biti. Fiecare adresa este exprimata prin 4 octeti, ceea ce ar permite 4.294.967.296 adrese.In prezent se lucreaza la definirea celei de a doua versiuni de adrese IP, IPv6, ce vor avea o lungime de 128 biti si clasificari complet noi, in vederea cresterii eficientei. e ficientei. Cea mai mica valoare posibila ar fi 0.0.0.0, iar cea mai mare, 255.255.255.255 255 .255.255.255 (ambele valori sint insa rezervate si nu pot fi alocate unor sisteme individuale). Diferentele dintre clase constau in numarul de biti alocati pentru retea fata de cel alocat pentru adresele dispozitvelor gazda . 1.7.1.Clase de adrese IP
Exista cinci clase: A, B, C, D si E. Exista clase rezervate ce se numesc adrese IP private. Dintre acestea enumeram cele care incep cu 192…. sau cu 10….Acestea sunt ignorate de catre echipamentele de rutare ceea ce duce la invizibilitatea celor ce le folosesc. z ero se Pentru toate clasele adresele cu toti bitii de identificare a gazdei pe zero folosesc pentru identificarea retelei, iar adresa cu toti toti bitii de identificare a gazdei gazdei pe unu se utilizeaza pentru difuzare multipunct in cadrul retelei respective). Pentru clasa A, adresa 127.0.0.0 este rezervata pentru teste in bucla inchisa. CLASA Incepe cu A 0…
Identificator retea 7 biti
Identificator gazda 24 biti
Nr de retele 127
Nr gazde
B
10...
14 biti
16 biti
16.382
C
110...
21 biti
8 biti
2.097.150 254
D
1110...
28 biti
0 biti
2^28
E
11110... Folosite in cercetare
Folosite in cercetare
Folosite in Folosite in cercetare cercetare
16.777.21 4 65.543
0
Intervalul de adrese 1.0.0.0 126.0.0.0 128.1.0.0 191.254.0.0 192.0.1.0 223.255.254.0 224.0.0.0 – 239.255.255.254 240.0.0.0 255.255.255.255
Deficiente ale sistemului
Spatiile de adrese IP au fost folosite nejudicios de-a lungul anilor, consumind un numar considerabil de adrese potentiale. Daca de exemplu o companie avea nevoie de 400 de adrese IP, o singura adresa de clasa C (permitind 254 adrese) nu era suficienta. S-ar fi folosit doua adrese de clasa C, dar acest lucru ar fi generat doua domenii separate in cadrul companiei, ce ar fi marit dimensiunea tabelelor de rutare din Internet. Ca alternativa, s-a trecut la adrese din clasa B, care ofera suficiente adrese dar iroseste inutil 65.534 - 400 = 65.134 adrese. Din fericire, s-au dezvoltat extensii ale protocolului IP care maresc eficienta lui: - mastile de subretea - mastile de subretea de lungime variabila (VLSM) - CIDR
10
1.7.2.Subretele si Masti de retea
Impartirea in subretele (subnetting) a inceput pe la mijlocul anlui 1980 (!). In acea perioada, organizatiile incepeau sa dispuna de un numar din ce in ce mai mare de relete locale (LAN), ce puteau fi tratare ca subretele. In cazul unor retele multiple, fiecare subretea se conecteaza la Internet printr-un punct comun: router cu rolul de poarta de acces ( gateway ) al retelei respective . In interiorul retelei private, portiunea din adresa gazda din cadrul adresei IP poate fi subdivizata pentru a identifica subretelele. O adresa IP folosita pentru impartirea in subretele are trei componente: - adresa retelei - adresa subretelei - adresa gazda Adresele gazda si subretea sint extrase din portiunea de adresa gazda adresei IP originale.
Astfel, posibilitatea de impartire in subretele depinde direct de tipul de adresa IP care este impartita. Cu cit sint mai multi biti de adresa gazda in adresa IP, cu atit se pot crea mai multe subretele si gazde. Subretelele sint identificate folosind o adresa pseudo-IP numita masca de
subretea. O masca de subretea
este si ea un numar pe 32 de biti. Ea este folosita pentru a comunica sistemelor finale (inclusiv routere si alte calculatoare gazda) citi biti din adresa IP sint folositi pentru identificarea retelei si a subretelei. Acesti biti se numesc prefix extins de retea. Bitii ramasi identifica gazdele in cadrul subretelei. Bitii din masca cu rol de identificare a numarului de retea sint setati pe 1, iar cei corespunzatori gazdelor sint pusi pe zero. De ex, o masca de tipul 255.255.255.192 (unde 255 = 1111111 111111 1 in binar, iar 192 = 11000000 in binar), ar furniza 64 de adrese gazda matematic posibile pentru fiecare subretea. Insa numai 62 din aceste adrese adre se sint efectiv disponibile (ca de obicei). Prima adresa gazda (cu toti bitii corespnzatori pe zero) este utilizate pentru identificarea subretelai insasi. Ultima adresa (cu bitii corespunzatori pusi pe 1), este folosita pentru difuzari IP. Masca trebuie definita a.i. sa nu fie mai mare decat cate sisteme am si nici prea mica pentru ca nu voi mai vedea toate sistemele. IP-ul routerului trebuie sa fie inclus in interiorul mastii deoarece un sistem nu poate adresa o adresa IP I P pe care nu o vede . De asemenea IP-ul Poartii de Iesire(GateWay) trebuie inclus in masca. Exemplu masca 255.255.255.0 este folosita pt a vedea o clasa C. Masca 255.255.252.0 pt 2 clase C iar 255.255.240.0 pentru 4 clase C. Numarul de subretele posibile (matematic) depinde insa de tipul clasei din care face parte adresa IP care a fost impartita in subretele. Pentru o adresa IP de clasa B avem: Nr. Nr. de de Nr. Nr. de de Nr de biti Masca adrese adrese gazda din prefixul de de subretea utilizabile de retea subretea utilizabile per subretea ------------------------------------------------------------------2 255.255.192.0 2 16382 3 255.255.224.0 6 8190 4 255.255.240.0 14 4094 5 255.255.248.0 30 2046 6 255.255.252.0 62 1022 7 255.255.254.0 126 510 8 255.255.255.0 254 254 9 255.255.255.128 510 126 10 255.255.255.192 102 2 62 11 255.255.255.224 204 6 30 12 255.255.255.240 409 4 14 13 255.255.255.248 819 0 6 14 255.255.255.252 16382 2 Exemplu de impartire in subretele
11
De exemplu, trebuie impartita o adresa de clasa C 193.168.125.0, aceasta fiind adresa de baza, catre care Internetul va calcula rute. Ultimul octet este divizat: 3 biti sint adaugati numarului de retea pentru a forma prefixul extins de retea, iar cei 5 ramasi sint folositi pentru a identifica gazdele: Numarul Adresa Adresa subretelei binara zecimala ------------------------------------------------------------------11000001.10101000.011111101.0000 Baza 000000 000 00 193. 193.16 168. 8.12 125. 5.0 0 Subretea 0 11000001.10101000.011111101.000-00000 -00000 193.16 193.168.1 8.125. 25.0 0 Subretea 1 11000001.10101000.011111101.001-00000 -00000 193.16 193.168.1 8.125. 25.32 32 Subretea 2 11000001.10101000.011111101.010-00000 -00000 193.16 193.168.1 8.125. 25.64 64 Subretea 3 11000001.10101000.011111101.011-00000 -00000 193.16 193.168.1 8.125. 25.96 96 Subretea 4 11000001.10101000.011111101.100-00000 -00000 193.16 193.168.1 8.125. 25.128 128 Subretea 5 11000001.10101000.011111101.101-00000 -00000 193.16 193.168.1 8.125. 25.160 160 Subretea 6 11000001.10101000.011111101.110-00000 -00000 193.16 193.168.1 8.125. 25.192 192 Subretea 7 11000001.10101000.011111101.111-00000 -00000 193.16 193.168.1 8.125. 25.224 224 Subretele 0 si 7, desi matematic posibile, chiar daca sint definite intr-un router, nu sint in mod normal utilizabile, ele fiind rezervate. Ele sint in tabel doar pentru a demonstra cresterea cimpului binar de adresa de subretea. Gazdele din fiecare subretea sint definite incrementind restul de cinci biti din ultimul octet. Sint 32 de combinatii posibile de 0 si 1. Valorile minime si maxima sint rezervate (iarasi), reiesind un numar utilizabil in practica de 30 de gazde de subretea. Un dispozitiv cu adresa IP 193.168.125.193 ar fi prima gazda din subreteaua 6. Urmatoarele gazde ar fi numerotate pina la 193.168.125.223, moment in care subreteaua ar fi complet populata si nu ar mai putea fi adaugata gazde. Variable Length Subnet Masks (VLSM)
Impartirea in subretele are o limitare: se utilizeaza doar o singura masc de subretea pentru o intreaga retea. Astfel, dupa selectarea unei masti, nu se pot folosi subretele de dimens dimensiun iunii diferi diferite. te. Soluti Solutiaa a apar aparut ut in in 1987. 1987. VLSM face posibila o utilizare mai eficienta a spatiului de adrese al unei organizatii. Classless Interdomain Routing (CIDR)
CIDR = Rutarea inter-domenii fara clase, este o adaugire relativ recenta la arhitectura de adrese IP, pe la inceputul anilor 1990. Problemele existente erau epuizarea adreseler IPv4 nealocate (spatiul de adrese din clasa B erau in pericol, se estima chiar o zi "finala", undeva prin martie 1994), precum si cresterea in dimensiuni rapida si substantiala a tabelelor de rutare. Solutia pe termen lung va fi un IP complet nou, IPv6. Pe termen scurt, s-a incercat eliminarea ineficientelor clase de adrese in favoarea unei arhitecturi de adrese mai flexibile. A aparut astfel CIDR, care are ca facilitati: - eliminarea organizarii pe clase a rutelor r utelor - reunirea imbunatatita a subretelelor - gruparea in supraretele Functionarea CIDR
Arhitectura CIDR a fost o abatere de la traditie. S-a inlocuit reprezentarea cu 8, 16 si 24 de biti a claselor A, B si C, cu un prefix de retea generalizat. Acest prefix putea avea orice lungime, nu numai 8/16/24. S-a permis construirea de spatii de adresa de retea in concordanta cu dimensiunile retelelor. Fiecare adresa de retea conforma CIDR este comunicata impreuna cu o masca
pe biti. Ea indica lungimea prefixului de retea.
De ex, 192.125.61.8/20 indica o adresa CIDR cu 20 de biti alocati pentru adresa de retea. Adresa IP poate fi orice adresa valida matematic, indiferent de apartenenta originala la
12
clasa A, B sau C. Routerele conforme specificatiilor CIDR examineaza numarul de dupa "/" pentru a determina numarul de retea. Cu o adresa dn clasa C se puteau asigura adrese pentru maxim 254 de gazde. Utilizind CIDR, limitarile sint eliminate. In binar, zona care stocheaza numarul de retea al aceste adrese are valoarea 11000000.01111101.00111101. Primii 20 de biti indica numarul de retea. Numarul de retea ar fi: 11000000.01111101.0011 iar cel gazda: 1101.00001000 Astfel, o adresa IPv4 cu prefix de retea de 20 biti are 12 1 2 biti ramasi pentru identificarea gazdelor. Matematic, ar insemna 4094 adrese gazde utilizabile. 2. Implementarea retelelor LAN folosind cabluri de tip TP 2.1.Cablurile de tip TP (Twisted Pair – perechi rasucite)
Cele mai utilizate medii de transmitere a informatiilor in LAN. Structura: - 8 fire fire izolate de cupru rasucite pentru a forma 4 perechi - invelis exterior din plastic Figura 7. Structura cablului TP
Tipuri:
-
UTP (Unshielded TP) – neprotejat(figura) STP (Shielded TP) – protejat (are cate un invelis de ecranare pentru fiecare pereche si inca un invelis de ecranare pentru tot cablul), realizate din staniol ScTP (Screened TP) – se utilizeaza doar un strat ecranator pentru intreg cablul
Scuturile (de la STP si ScTP) trebuie legate la pamant la ambele capete pentru a evita efectul de antena. Functionare:
Doar doua perechi sunt efectiv folosite. Una asigura transmiterea impulsurilor intr-un sens iar cealalta transmiterea in celalalt sens. Celelalte fire sunt folosite la telefonia digitala si video(asa precizeaza standardul). Fiecare pereche utilizata este alcatuita dintr-un fir de masa si dintr-un fir activ. Rasucirea firelor este o modalitate excelenta de a ecrana atat din exterior cat si din interior. Motivul torsadarii este rejectarea perturbatiilor electromagnetice (curentii indusi de campul electromagnetic, aflati in ochiuri se anuleaza reciproc) . In functie de gama frecventelor care se vrea rejectata se stabileste pasul de torsadare. Categorii de calitate CAT: - CAT5 – suporta viteze de pana la 100Mbps - CAT6,7 – viteze superioare, pas mic de torsadare Conectori:
RJ-45 (Registered Jack 45) de tip mama si tata. Introducerea cablului in conectori se realizeaza cu unelte speciale. De asemenea trebuie respectate conventiile de culoare si de pozitionare.
13
Conventii de numerotare:
Numerotarea incepe de la pinul din stanga (numarul 1) si tine pana la pinul din dreapta (numarul 8). Doar 4 pini intervin in comunicarea datelor: - 1 TD+ (Transmission Data +) - 2 TDTD- (Transmission Data -) - 3 RD+ (Received Data +) - 6 RDRD- (Received Data -)
Reguli de mufare:
In general, un cablu va fi mufat la ambele capete. Exista doua situatii: - Mufare crossover (incrucisata) (cablul va conecta 2 calculatoare) Este clar ca firele de transmisie dintr-o parte trebuie sa fie fire de receptie in cealalta parte (apare o incrucisare-cross).
- Mufare straight-trough (cablul va conecta un calculator cu un hub sau switch) Avem corespondente exacte intre transmisie si receptie.
2.2.Cardurile de retea - NIC (Network Interface Card)
Network Interface Card" (cartela de interfata cu reteaua). NIC, in sistemul OSI, acopera deja al doilea nivel, cel al legaturii de date, pe linga cel al legaturii fizice. NIC nu este altceva decit o placa cu circuit imprimat, ce se implanteaza fie intr-un slot de pe placa de baza a unui calculator – ISA,PCI, PCMCIA. NIC este considerat ca fiind si de nivel 2 pent pentru ru ca fiec fiecar aree cart cartel elaa de aces acestt gen gen contin contine e un numar numar serial serial unic unic, denumi denumitt MAC ("Medi ("Media a Access Access Contro Control") l"), utiliz utilizat at pentru controlul comunicatiei de date dintre sistem sistemul ul gazda gazda (calcu (calculat lator or sau dispozi dispozitiv tiv periferic) si retea. Toate interfetele Ethernet au o adresa unica pe 48 de biti, furnizata de fabricant. fabricant. Se mai nume numest stee si adre adresa sa MAC MAC (M (Med edia ia Acce Access ss Control).
Figura 8. Placa de retea
14
Soclul liber de pe placa se foloseste pentru a o memorie in care se poate scrie BIOS-ul, util in retele Novell pentru boot-are de pe placa de retea. re tea. - Soclul de memorie, care se poate folosi la memorarea mesajelor, atunci cand se asteapta eliberarea liniei. - Procesorul este folosit pentru translatarea mesajelor ce sunt transmise si primite pe canalul de comunicatie - AUI – interfata cu unitati de transfer si management a datelor, pentru distante scazute.
Figura 9. Partile componente componente ale unui NIC Un transceiver (transmitter/receiver) converteste un tip de semnal in altul, din punct de vedere fizic. Sunt doua tipuri de transceivere: - interne – pentru semnalul venit prin UTP la mufa RJ45 - externe(AUI) – pentru conectarea la alt tip de retea Ethernet
Figura 10. Montarea unui transceiver 2.3.Standardul 10BaseT
Transmisia la 10Mbps, în banda de bază şi pe un segment de cablu torsadat ( twisted pair). Conform acestui standard, sin singur gura a modali modalitat tate e de conect conectare are a două două staţii staţii este este printr-o legătură punct-la-punct, de unde necesitatea utilizării repetoarelor multiport(HUB), pentru conectarea a mai mult de două staţii, formându-se astfel o topologie stelară. La nivelul MAC se implementează identic protocolul 802.3. Răsucirea firelor este necesară pentru a reduce distorsiunile electromagnetice, prin faptul că un câmp electromagnetic extern va acţiona în mod egal asupra celor două fire. Pentru un cablu cu mai multe perechi de fire răsucite, paşii de răsucire trebuie să fie diferiţi pentru fiecare pereche, şi ei se calculează în aşa fel ca diafonia între perechi să devină minimă. Astăzi, datorită progreselor în tehnologia de realizare a cablurilor TP, ele prevăd o bandă de frecvenţe de sute de megahertzi, utilizându-se uzual pentru transmisii de date la 100Mbps. Cablurile actuale vor fi folosite la viteze de sute de Mbps, chiar în reţelele Gigabit, oferind pentru distanţe scurte de până la 100 m, performanţe comparabile cu fibra optică. După modul de realizare a ecranării cablurilor (prevederea unui înveliş protector legat la masă): ), cablu care prevede atât ecran de protecţie cablul ecranat STP (Shielded Twisted Pair ), (înveliş (înveliş protector) protector) pentru fiecare fiecare pereche pereche de fire, cât şi o ecranare ecranare globală, pentru tot cablul;
15
Foiled Twisted Twisted Pair ), cablul FTP (Foiled ), care prevede doar un unic ecran (folie de ecranare) global pentru întreg cablul; cablul UTP (Unshielded Twisted Pair ), ), care constituie varianta TP ne-ecranată.
Clasificarea cablurilor torsadate folosite în transmisiile de date Categorie Aplicaţii
CAT 1, numită Telecommunication CAT 2 (Low Speed Data )
CAT 3 (High Speed Data) CAT 4 (Low Loss, High Performance Data) CAT 5 CAT 6 si CAT 7
Cuprin Cuprinde de cablur cablurililee folosi folosite te numai numai în telefo telefonia nia clasic clasică, ă, analogică. Cuprinde cab cabluril rile pen pentru tel telef efo onia ana analogi ogică şi dig digitală ală, dar care oferă servicii de transmitere de date la viteze inferioare Defin efineş eştte cabl cablu urile rile fol folos osiite la la rea realiza lizare reaa reţ reţelel elelor or loc locaale cu cu viteze de până la 10Mbps, în special a reţelelor de tip 10BaseT şi a reţelelor Token Ring la 4Mbps Defi Define neşt ştee cabl cablur urii cu perf perfor orma manţ nţee ridi ridica cate te în ceea ceea ce priveşte atenuarea şi viteza de transmisie, fiind folosite la viteze de câteva zeci de Mbps, precum în reţele de tip Token Ring la 16Mbps Se folosesc folosesc actualmen actualmente te în reţelele reţelele ce operează operează până la 100Mbps, precum 100BaseT. Vor opera până la viteze de 200, respectiv 600Mbps, pas mic de torsadare
Principalele funcţii ale unui transceiver 100BaseT: transm transmisi isiaa datelo datelorr primit primitee de la interf interfaţa aţa 802.3, 802.3, date date codifi codificat catee Manche Mancheste ster, r, către către mediu, respectiv către perechea de linii de transmisie date TD (Transmit Data); în lipsa datelor de transmis, se transmite pe linie un semnal idle, care este da fapt o secvenţă specifică de impulsuri; recepţ Receive Data) şi transm recepţia ia datelo datelorr de pe pereche perecheaa de linii linii RD (Receive transmite iterea rea către către interfaţă; detectarea semnalului de coliziune în mediu (pe liniile RD) şi elaborarea semnalului corespunzător către interfaţă; generarea de semnal de test pentru circuitele de detectare a coliziunii (semnal SQET); funcţia de jabber , detectarea cadrelor de lungime incorectă; funcţia de buclare ( loop-back ) prin care datele transmise către mediu sunt transmise în ecou înapoi către interfaţă; funcţia de test integritate a legăturilor, bazată pe faptul că dacă o perioadă de timp (50 – 150ms) nu se primeşte semnal de date sau semnal idle, se consideră cădere de linie. Un segment 10BaseT este constituit dintr-un cablu torsadat cu următoarele caracteristici: impedanţa de 100Ω, ca in telefonie; lungimea de maxim 100m; 3.Interconectarea retelelor locale 3.1.Introducere
O problemă care apare, în primul rând pentru întreprinderile care au mai multe reţele locale, plasate în zone diferite, este interconectarea acestor reţele. Reţe Re ţele lele le loca locale le pot pot fi inte interc rcon onec ecta tate te în mai mai mult multee modu moduri ri,, aşa aşa cum cum se arat aratăă în continuare. Interconectare directă – Două sau mai multe reţele locale, de acelaşi tip sau de tipuri diferite (CSMA/CD, Token Bus, Token Ring), plasate în apropiere una de alta, pot fi conectate direct, prin echipamente de interconectare, pentru a forma o reţea locală extinsă .
LAN 1
EI
LAN 2 16
EI – Echipament de interconectare
LAN 3
Figura 10. Interconectare directă
ofer oferiite de reţ reţelel elelee de telecomunicaţii de arie mare (WAN) – Două sau mai multe reţele locale, localizate în zone distanţate una de alta, pot fi interconectate folosind suporturi de transmisiune oferite de reţeaua reţeaua de telecomuni telecomunicaţii caţii care acoperă acoperă practic practic tot globul. Aceste Aceste legături legături permit, permit, de regulă, regulă, viteze mai mici decât cele din reţelele locale. Pot fi astfel folosite, pentru legăturile pe distanţă mare, circuite telefonice vocale analogice, ce permit cu modemuri adecvate debite de până la 28,8 kb/s, circuite telefonice telefonice vocale digitale (64 kb/s) kb/s) sau canale digitale digitale de debite debite mai mari oferite de reţeaua de telecomunicaţii digitală. Pot fi folosite şi canale digitale din alte tipuri de reţele WAN, cum ar fi spre exemplu reţelele publice de date cu comutaţie de pachete. Inte Interc rcon onec ecta tare re
EI
LAN 1
prin prin
legă legătu turi ri
de
dist distan anţă ţă
mare mare
EI
Reţea de
LAN 2
telecomunicaţii
Figura 11. Interconectare prin circuite de telecomunicaţii telecomunicaţii de distanţă mare Interconectare prin intermediul reţelelor de debit mare, cum ar fi reţeaua pe
fibră optică FDDI. Această reţea va constitui constitui artera principală (backbone) (backbone) şi la ea se ataşează
numai reţele locale.
Reţea locală FDDI
LAN 1
EI
Figura 12.
EI
LAN 2
Interconectare prin reţea FDDI
3.2.Echipamente de interconectare
Echipamentele utilizate pentru interconectarea reţelelor locale sunt de mai multe tipuri, fiecare fiind folosit cu un anumit scop, adecvat pentru o anumită formă de interconectare. 3.2.1.Repetoare
Repetorul permite prelungirea arhitecturii unei reţele CSMA/CD. În felul acesta pot fi depăşite constrângerile relative la lungimile segmentelor. Repetorul poate fi conectat şi în alte puncte ale segmentului, nu numai la o extremitate a sa şi poate retransmite semnalele pe mai multe segmente de cablu care alcătuiesc o structură de tip arbore. De asemenea, repetorul se utilizează pentru a face legătura între medii de transmisiune diferite, cum ar fi: cablu coaxial – fibră optică, cablu coaxial – pereche răsucită, cablu 10 BASE 5 – cablu 10 BASE 2.
Repetor Fizic
Fizic
Fizic
Fizic
17
Figura 13.
Repetorul în raport cu modelul OSI
El nu interpretează cadrele pe care le recepţionează ci doar le repetă bit cu bit pe celelalte segmente, fiind astfel transparent la protocoalele utilizate la nivelul legătură de date. La reţelele în inel repetoarele nu sunt folosite. De fapt în aceste reţele fiecare sistem acţionează ca un repetor. Un exemplu de repetor intr-o retea LAN este HUB-ul(Host Unit Broadcast). Scopul unui hub este de a regenera si a resincroniza d.p.d.v. al timpului semnalele din retea, deci actioneaza tot la nivel fizic. Hub-ul este cunoscut si sub denumirea de repeater multiport. Un cadru este trimis catre toate statiile iar numai statia destinatar il va accepta. Numarul de caburi care pot fi conectate la acest dispozitiv pot fi chiar si 24. Exista doua motive pentru folosirea unui hub: - crearea unui punct central de conectare a cablurilor - cresterea fiabilitatii retelei (un cablu oarecare se poate defecta fara a perturba intreaga retea).
Figura 14. Hubul – repetor multiport Preferabil este sa se foloseasca switch-ul, care recunoaste adresele fiecarei statii în parte. 3.2.2.Switch-urile
Sunt echipamente care arata ca un hub, insa difera ca mod de operare. Astfel el cunoaste destinatia dar nu stie unde se afla. Pentru a rezolva problema foloseste urmatorul algoritm. - trimite cadrul catre toate statiile - raspunde destinatia pe un anumit port po rt care este memorat in memoria switch-ului - se stabileste o conexiune individuala cu aceasta Performantele unui switch depind de: - capacitatea de memorare a adreselor MAC - dimensiunea magistralelor interne pentru deservirea conexiunilor individuale 3.2.3.Poduri
Podul (bridge) (bridge) este este un echipament echipament inteligent inteligent care interconec interconectează tează reţele reţele LAN de acelaşi tip sau diferite. Podul oferă de asemenea posibilitatea extinderii, dincolo de limitele impuse de norma CSMA/CD sau Token Ring. Un pod poate realiza şi o funcţie de filtrare a cadrelor între două reţele. El determină, pe baza adresei de destinaţie din cadru, dacă este cazul sau nu să transmită cadrul de pe o reţea pe alta. În felul acesta podul poate izola o parte din traficul de reţea generat pe o reţea locală pentru a nu pătrunde în alte reţele atunci când nu este cazul. În raport cu modelul OSI podul operează în subnivelul MAC, fiind transparent la protocoalele nivelurilor aflate deasupra acestui subnivel. Aplicaţie
Aplicaţie
Prezentare Sesiune Transport Reţea Legătură Fizic
Prezentare Sesiune Transport Reţea Legătură Fizic
Figura 15.
cu modelul OSI Pod Legătură Fizic
Podul în raport
Legătură Fizic
18
Se comportă, din punct de vedere al accesului la reţea, ca o staţie. Dacă trebuie să transmită un cadru într-o reţea el trebuie să aştepte disponibilitatea reţelei la fel ca un sistem oarecare oarecare din acea reţea. Rezultă că mesajele mesajele recepţionate recepţionate sunt temporar memorate memorate de către pod şi apoi emise în reţeaua în care se află sistemul destinatar. Desigur, dacă într-o reţea apar coliziuni, el nu le propagă în altă reţea. 3.2.4.Routeri
Ruterul Ruterul este un echipament echipament folosit prin excelenţă excelenţă pentru interconect interconectarea area mai multor multor reţele locale de tipuri diferite. Pentru aceasta însă sistemele din diferitele reţele trebuie să utilizeze acelaşi protocol de nivel 3. În timp ce podul operează cu adresele fizice ale sistemelor (din cadrele MAC) ruterul utilizează adresele logice, de reţea, ale sistemelor. Aceste adrese sunt administrate de nivelul 3 şi sunt cu totul independente de tipul reţelei locale. Toate sistemele din acea reţea logică au aceeaşi adresă logică de subreţea. Ruterul interconectează reţele logice diferite. Ruterul asigură posibilitatea rutării mesajelor de la sursă la destinaţie destinaţie atunci atunci când există există mai multe căi posibile posibile între cele cele două puncte. În raport raport cu modelul OSI el operează la nivelul reţea. Aplicaţie
Aplicaţie
Prezentare Sesiune Transport Reţea Legătură Fizic
Figura 16.
Ruter
R e ţe a Legătură Fizic
Reţea Legătură Fizic
Prezentare Sesiune Transport Reţea Legătură Fizic
Ruterul în raport cu modelul OSI
Capacitatea de a opera la nivelul reţea îi permite ruterului să determine cel mai bun traseu, printr-o serie de legături de date, de la o reţea locală în care se află sistemul sursă la reţeaua locală în care se află sistemul de destinaţie. Un sistem de ruteri poate asigura mai multe trasee active între cele două reţele, făcând posibilă transmiterea mesajelor de la sursă la destinaţie pe căi diferite. Mesajele pot ajunge la destinaţie în altă ordine decât cea de la emisie, dar nivelurile superioare din astfel de reţele trebuie să fie capabile să restabilească ordinea iniţială a mesajelor. Există Există o categorie categorie de ruteri care pot deveni poduri atunci atunci când nu recunosc recunosc protocolul protocolul de reţea al cadrului şi, în consecinţă, nu pot face operaţia de rutare, lucrând cu adresele fizice. Un astfel de echipament, echipament, suplu suplu şi modular, modular, care poate fi configurat configurat şi ca pod şi ca ruter, este cunoscut, în limba engleză sub denumirile: bridge-router si il vom numi în continuare B-ruter.
19
Modul în care se transmite mesajul printr-un ruter este prezentat în figura urmatoare. Sistem sursă
Sistem destinatar Ruter
Niveluri superioare
Niveluri superioare
Funcţia de rutare
Nivel reţea
Pachet
Pachet
Nivel legătură de date
Nivel legătură de date
Cadru
Cadru Nivel fizic
Fizic
LAN 1
Figura 17.
Nivel reţea Pachet
Pachet
Nivel legătură de date
Nivel legătură de date
Cadru
Cadru Nivel fizic
Fizic
LAN 2
Transmiterea mesajului printr-un ruter
Routerul un dispozitiv hardware care conecteaza doua sau mai multe retele. Ele sint de obicei asa-numitele " backbone devices", conectind diferite tehnologii de retea intre ele si ascunzind eventualele diferente. Fiecare router prezinta doua sau mai multe adrese IP pentru ca fiecare adresa IP contine prefixul ce specifica o retea fizica. Inainte ca un pachet sa fie transmis catre softul de routare, el este examinat. Daca este corupt, atunci e ignorat. Daca nu, se consulta o tabela de routare care spune unde urmeaza sa fie trimis. Prin definitie, un router nu propaga pachetele "broadcast", dar un router poate fi configurat sa distribuie tipuri particulare de broadcast. 3.2.5.Pasarele
Pasarela (gateway) este un echipament fundamental diferit de un repetor, pod, ruter sau comutator. Ea realizează o conversie de protocol pentru toate cele şapte niveluri OSI, operând la nivelul aplicaţie. Pasarela permite ca un program de aplicaţie, care rulează pe un sistem în conformitate cu o anumită arhitectură de reţea, să comunice cu un alt program aplicaţie ce rulează într-un sistem corespunzător unei alte arhitecturi de reţea. Sarc Sarcin inaa unei unei pasa pasare rele le este este de a face face conv conver ersi siaa de la un set set de prot protoc ocoa oale le de comunicaţie la un alt set de protocoale de comunicaţie. Aceasta include următoarele funcţiuni: conversia formatului de mesaj (inclusiv dimensiunea mesajelor şi codul de reprezentare a caracterelor) translatarea adreselor (mecanismul de adresare, structura adreselor) conver conversia sia de protoc protocol ol (info (informa rmaţia ţia pentru pentru control controlul ul protoco protocolul lului ui la fiecar fiecaree nivel, nivel, segmentarea mesajelor, controlul fluxului, detecţia erorilor). Deoarece o pasarelă realizează funcţiuni mult mai complexe decât un ruter, ea este mai lentă şi implică o instalare mai dificilă.
20
Funcţie pasarelă Prezentare Sesiune Transport Reţea Legătură Fizic
Reţea 1 Figura 18. Structura unei pasarele
Reţea 2
Gateways in retele LAN
O retea locala poate fi conectata la Internet prin intermediul unui gateway, care este un calculator conectat atit la reteaua locala, cit si la Internet . Datele care trebuiesc trimise spre Internet sint trimise la interfata de retea a computerului gateway, si abia apoi acesta le trimite spre Internet. Invers, datele venite din Internet ajung la gateway, care le va trimite la recipientul corect din reteaua locala. Termenul "default gateway" este utilizat pentru a identifica routerul care conecteaza un LAN la internet. Un gateway face mai mult decit un simplu router, el face si conversie de protocoale intre retele.
Figura 19. Configurarea unei retele LAN ce foloseste un gateway 4.Securitatea retelei 4.1.Protocolul DHCP Dynamic Host Configuration Protocol – DHCP - este o modalitate rapida si simpla
de a asigna adrese IP unui numar mare de clienti. Exista nevoia de a defini un interval de IP-uri valide si de a le asigna automat clientilor din retea; de asemenea, a aparut nevoia de a defini o durata de viata unui IP. Functionarea DHCP DHCP implementeaza un model client-server si un agent cu rol de releu (relay agent). Acest agent gestioneaza interactiunea dintre clienti si server. Deoarece clientul este principalul partener de comunicatie in aceasta situatie, el initiaza toate sesiunile cu serverul, lucru care are loc in faza de bootare. DHCP are urmatoarele facilitati:
- suporta alocarea dinamica - suporta alocarea statica - repartizeaza adrese - suporta repartizarea persistenta - reintegreaza repartitiile expirate In esenta, DHCP este insarcinat cu manipularea a doua seturi de date: repartitiile r epartitiile (IPurile alocate) si fondul de adrese (IP-uri disponibile). Repartitiile sint alocate clientilor conform unei proceduri, care este destul de simpla.
21
Cum primesc clientii numere IP
Iata modul de functionare a DHCP din acest punct de vedere: 1. Clientul cere un IP printr-o difuzare de tip DhcpDiscover . Daca clientul are o repartitie re partitie persistenta, poate cere acea repartitie initial. 2. Serverul alege un IP din fondul de adrese si intoarce un pachet DhcpOffer cu un IP disponibil atasat. 3. In cazul in care clientul doreste mai multe oferte IP, o va alege pe prima sau pe cea cu repartitia dorita. 4. Clientul difuzeaza un pachet DhcpRequest cu un identificator pentru un server si trece in asteptare 5. Fiecare server care analizeaza pachetul si nu isi detecteaza identificatorul va ignora pachetul. Dupa ce serverul cu identificatorul corespunzator primeste pr imeste pachetul, el va trimite un DhcpAck (sau DhcpNak - daca IP-ul cerut este deja alocat, ceea ce inseamna ca repartitia a expirat). 6. Dupa ce clientul primeste pachetul DhcpAck, el incepe sa foloseasca IP-ul alocat. In cazul in care primeste DhcpNak, va rula de la inceput secventa de cerere a unui IP. Daca IP-ul reprezinta o problema din punct de vedere al clientului, acesta trimite un pachet DhcpDecline catre server si reia secventa de cerere a unui IP. Functionarea intr-o retea LAN:
in etapa de lansare SO se emite o cerere de alocare IP insotita de adresa MAC a emitatorului catre toata reteaua - va primi un raspuns de la primul server DHCP impreuna cu o adresa IP, masca, gateway-ul si serverele DNS In Universitatea din Suceava,DHCP aloca unui utilizator nou o adresa IP nerutabila cu care nu poate face mai nimic. Trebuie luat legatura cu administratorul administratorul de sistem si memorata adresa adresa sa intr-un tabel NAT. NAT – Networking Addressing Table – tabel de adresare in retea – este o solutie care permite ca in zona retelei locale sa se utilizeze exclusiv adrese private. Routerul converteste toate cererile modificand headerul care insoteste pachetul de date a.i. acestea sa apara originate de catre router si nu de sistemul din spatele lui. Avantaje : - exista o singura adresa IP publica si se pot deservi oricate adrese IP private - ofera protectie pentru flood - ignora informatiile care nu adreseaza o adresa din tabela de NAT-are - toti cei din reteaua locala nu exista pentru reteaua Internet – un sistem local nu poate oferi un serviciu in afara zonei locale – cum ar fi un setarea unui server -
Se poate defini un DMZ – zona demilitarizata – a.i. toate sistemele sa primeasca informatii din reteaua WAN indiferent de continutul tabelei de NAT-are. In cazul in care intr-un LAN exista 2 sau mai multe sisteme cu aceleasi adrese IP routerul le ignora cererile ceea inseamna ca nu vor functiona ambele. 4.2.Securizarea retelei
Firewall-urile si serverele proxy, ca si criptarea si autentificarea, sint proiectate pentru asigurarea securitatii datelor. Motivatia este simpla: daca se dispune de o conexiune la Internet, teoretic, oricine, oriunde s-ar afla in lume, poate accesa reteaua (in anumite conditii, evident). Daca nu exista nici un mecanism de securitate, orice persoana care are acces la Internet, de oriunde din lume, poate folosi TCP/IP pentru a trece prin gateway-ul retelei locale, catre orice masina din retea. Ideea este de a proteja doua lucruri: datele, stocate in retea si echipamentele hardware, conectate la retea. Intrusii sau hackerii pot intra in retea si pot modifica orice, pot accesa orice fel de date sau chiar pot cauza deteriorari fizice ale sistemelor. Exista multe moduri in care intrusii pot accesa o retea: - exploatind brese de securitate din sistemele de operare si aplicatii - “inginerie sociala”, care consta in convingerea cuiva, sub diferite pretexte, sa comunice nume si parole asociate. Rolul unui firewall este sa previna patrunderile neautorizate.
22
O alta problema de securitate: blocarea serviciului (denial of service). Are loc cind hackerii nu va permit folosirea normala nor mala a propriilor sisteme. Blocare serviciului are multe forme. Un exemplu tipic este inundarea unui serviciu (gen email), adica acelui serviciu ii sint trimise atit de multe date incit devine supraincarcat si se blocheaza sau ruleaza in bucla infinita. Exista mai multe modalitati de protejare a retelei. O metoda ar fi anonimatul: daca nimeni nu stie nimic despre reteaua dv, atunci datele sint in siguranta. Insa este o falsa securitate, pentru ca exista o multime de moduri prin care se poate afla ce se afla pe Internet. Cea mai raspindita forma de securitate se numeste securitatea la nivel de gazda (host security) si se refera la securizarea separata a fiecarei masini din retea. Va bazati pe acest tip de securitate cind setati permisiunile de acces in Windows sau permisiunile UNIX pentru fisiere si directoare. Este suficienat insa o singura bresa pentru ca intreaga retea sa fie deschisa hackerilor. De asemnea, pentru ca securitatea la nivel de gazda nu este aplicata egal tuturor masinilor, pot fi exploatate serviciile unei masini slab protejate pentru a accesa o masina cu securitate puternica. 4.3. Firewalls
Un firewall este un computer, un router sau orice alt dispozitiv de comunicatie care controleaza fluxul de date intre retele. In general, un firewall este prima linie impotriva atacurilor din afara retelei. Poate fi implementat: - hardware - este un router special cu filtre aditionale si capacitati de management - software - ruleaza pe un sistem de operare oarecare si transforma un PC intr-un firewall. Conceptual, dispozitivele firewall pot actiona la : - nivelul "Retea" - sint de obicei foarte rapide. Ele controleaza traficul pe baza adreselor sursa si destinatie, precum si a numerelor de port - nivelul "Aplicatie" - nu permit traficul direct intre retele. De obicei ele sint computere care ruleaza servere proxy. Acestea pot implementa proceduri de securitate specifice. De exemplu, se poate configura asa incit sa permita functionarea numai a protocolul de email. Din cadrul aplicatiilor firewall ce ofera o protectie buna la atacurile tipice din retea putem aminti de Zone Alarm, Agnitum Outpost si Firewall-urile integrate din Windows XP si unele variante din Linux. De exemplu in Windows XP se deschide icoana ce reprezinta conexiunea curenta spre Internet si se activeaza firewall-ul.
Figura 20. Activarea firewall-ului din Windows XP Din optiunea Settings se pot configura serviciile ce pot fi accesate de utilizatorii de pe Internet.
23
Figura 21. Serviciile ce pot fi accesate prin Firewall si suportul pentru mesaje ICMP Rolul firewall-urilor
Tipul de securitate important este securitatea la nivel de retea. Presupune securizarea tuturor punctelor de acces la retea. Componenta cheia este acest firewall – o masina care se comporta ca o interfata intre retea si Internet, avind doar preocuparea securitatii. Un firewall are mai multe roluri: - permite accesul la retea numai din anumite locatii - interzice utilizatorilor neautorizati sa obtina acces la retea - forteaza traficul dinspre retea spre Internet sa treaca prin anumite puncte securizate - previne atacurile de tipul blocarea serviciului - impune restrictii asupra actiunilor pe care un utilizator de pe Internet le poate face in retea Conceptul de firewall presupune canalizarea intregului trafic catre si dinspre retea prin unul sau mai multe puncte care sint configurate pentru a controla accesul si serviciile. Utilizarea firewall-urilor
Multe persoane considera un firewall ca fiind o singura masina, ceea ce uneori uneor i este adevarat. Exista masini dedicate doar acestei functii. Totusi, termenul firewall se refera mai mult la functiile indeplinite decit la un dispozitiv fizic. Un firewall poate consta din mai multe masini care conlucreaza, sau pot fi folosite mai multe programe cu functie de firewall. Firewall-urile pot sa indeplineasca si alte functii decit simpla monitorizare a accesului la retea. Firewall-urile nu sint invincibile. Ele sint vulnerabile din cauza defectelor de proiectare, sau a implementarii (care necesita timp si bani pentru instalare si configurare). Un firewall ofera un singur punct de implementare a securitatii din retea, deci eventualele schimbari se fac pe o singura masina si nu pe toate celelalte din retea (de ex, se poate interzice accesul FTP anonim). Firewall-urile pot aplica politici de securitate la nivelul intregii retele, interzicind de exemplu accesul la anumite servicii de pe Internet pentru toti utilizatorii din retea. Totusi, orice firewall are limitari. Ele sint utile doar pentru conexiunea retea-Internet. Ele nu opresc persoanele din retea sa faca orice vor altor masini din retea. Ele nu pot proteja impotriva patrunderilor neautorizate daca aveti alte conexiuni, ca un calculator care este conectat printr-un modem la Internet prin intermediul unui ISP (conexiune care nu trece printr-un firewall). Un firewall nu poate preveni multe probleme distribuite prin Internet, cum sint virusii si caii troieni. Exista doua moduri principale de implementare: - construirea unui firewall propriu din servicii de retea elementare.
24
- cumpararea unui produs comercial. La instalarea unui firewall, manual sau comercial, se pot controla mai multe fatete, depinde de administrator daca doreste sau nu activarea lor. Unele din aceste fatete ar fi: - serverele proxy - filtrele de pachete. 4.4. Proxy-uri
Solutie care permite accesarea informatiei de dupa un router logic. Reprezinta un sistem de intermediere a traficului, adica primeste cererile, identifica raspunsurile, le memoreaza si le trimite solicitantului. Poseda o adresa IP publica si una privata – deci este un sistem cu doua placi de retea. Avantajul este CACHE-ul folosit de proxy. Fiecare pagina are o data si o ora de expirare. De asemenea se poate folosi un proxy transparent in sensul ca cererea din router este redirectata catre un proxy. Serverele proxy
Un astfel de server este plasat intre retea si Internet si accepta cereri pentru un serviciu, le analizeaza si le trimite mai departe, in functie de permisiuni. Serviciul de proxy ofera o conexiune cu rol de inlocuitor pentru acel serviciu, motiv pentru care se comporta ca un intermediar (proxy). Serverul proxy pr oxy se plaseaza la mijloc, ascunde anumite informatii, dar permite desfasurarea serviciului prin el. Ideea este ca, fara proxy, adresa adre sa IP a masinii gazda este trimisa in pachete, prin Internet. Hackerii pot determina dimensiunea retelei, de exemplu. Un server proxy schimba adresa IP cu adresa lui si foloseste o tabela interna pentru a redirecta traficul care soseste si care pleaca spre destinatiile corecte. Pentru exterior va fi vizibila o singura adresa IP (a serverului proxy). Serverele proxy sint intotdeauna implementate prin software si nu trebuie sa faca parte dintr-un pachet de firewall, desi sint de obicei incluse. Windows XP suporta impartirea conexiunii la Internet(Internet Inter net(Internet Sharing) folosind optiunea Network Setup Wizard din Start/Settings/Network Connections. Insa solutia aceasta nu functioneaza intotdeauna. O solutie mult mai buna pentru un server proxy este aplicatia software FreeProxy (www.handcraftedsoftware.org www.handcraftedsoftware.org))
Figura 22. Interfata aplicatiei FreeProxy Se configureaza programul prin creearea unui serviciu IP in care se alege placa de retea ce face legarura la Intenet. Sistemul pe care functioneaza aceasta aplicatie are doua placi de retea si se comporta ca un gateway (capitolul 3.2.5. figura 19).
25
Figura 23. Setarea unui gateway Optiunea Permissions ofera selectia unui serviciu Proxy si a drepturilor ce pot fi oferite diversilor utilizatori. Pornirea serverului Proxy se executa prin selectarea optiunii Start/Stop. Odata executata, aplicatia Proxy ramane rezidenta in memorie si porneste automat la deschiderea calculatorului si initializarea sistemului de operare. Pe celelate calculatoare, care au acces prin acest proxy server trebuie realizate cateva setari. Astfel din Control Panel avem Internet Options, Connections si apoi Lan Settings unde trebuie bifata optiunea de folosire a unui server Proxy si introdusa adresa IP impreuna cu portul de acces al acestuia.
Figura 24. Pornirea serverului Proxy 4.5.Filtrele de pachete
Un astfel de sistem permite pachetelor sa treaca din retea catre Internet si invers, dar selectiv. Pachetele sint identificate dupa tipul aplicatiei care le-a construit (unele informatii se afla in antet). Antetul unui pachet TCP/IP contine adresele adre sele IP sursa si destinatie, porturile sursa si destinatie si asa mai departe. Daca se decide blocarea oricarui trafic FTP, de exemplu, software-ul de filtrare a pachetelor va detecta toate pachetele care au numarul de port 20 sau 21 si le va interzice trecerea. Unii cred ca se poate ocoli un sistem de filtrare schimbind numarul portului, lucru posibil intr-o oarecare masura. Totusi, deoarece software-ul de filtrare este rezident in reteaua dv, el poate determina catre ce interfata se indreapta pachetul si de unde provine. In consecinta, chiar daca numerele de port TCP sint diferite, software-ul de filtrare poate uneori sa blocheze corect traficul. Se poate folosi software-ul de filtrare a pachetelor in mai multe moduri. Cel mai obisnuit, se blocheaza un serviciu, gen FTP sau Telnet. Se pot desemna de asemenea masini care trebuiesc impiedicate sau lasate sa acceseze reteaua – de exemplu, daca se constata ca o anumita retea a fost sursa unor probleme, se poate comanda software-ul asa incit sa respinga orice pachet de la acea retea. In unele cazuri se pot bloca toate serviciile, sau se poate permite numai anumitor servicii, gen email, se treaca prin pr in filtru.
26
5.Retele VPN
O solutie alternative o constituie o retea VPN (Virtual Private Network). Retelele VPN sint bazate pe o infrastructura accesibila in mod public, cum ar fi Internetul sau reteaua de telefonie. Ele prezinta diferite forme de criptare si au de obicei procedee solide de autentificare a utilizatorului. In esenta, VPN este o forma de WAN; diferenta este utilizare de retele publice mai degraba decit linii private (inchiriate). O VPN are aceleasi servicii intranet ca si WAN, dar suporta si servicii de acces la distanta (liniile inchiriate, din cazul WAN, nu se extind de obicei la case particulare si nu se aplica in cazul calatoriilor). Un utilizator VPN se poate conecta printr-un ISP (Internet Service Provider) in modul obisnuit, eliminind costurile legate de accesul la distante mari. Utilizatorul poate initia o cerere "tunnel" catre serverul destinatie. Serverul autentifica utilizatorul si creeaza celalalt capat al "tunelului". Softul VPN cripteaza datele, le formateaza in pachete IP (pentru compatibiliate Internet) si le trimite prin "tunel", unde sint decriptate la celalalt capat. Exista citeva "tunneling protocol": - Point-to-Point Tunneling Protocol (PPTP) - Layer 2 Tunneling Protocol (L2TP) - IP security (IPsec) 5.1.Point-to-Point Tunneling Protocol (PPTP)
Este resultatul cooperariii dintre mai multe firme (3Com, US Robotics, Microsoft etc). Utilizatorii pot sa se conecteze telefonic (dial-in) la furnizorul de servicii Internet (ISP) local si apoi sa se conecteze securizat printr-un tunel virtual la reteaua corporatiei lor. PPTP este un protocol orientat pe modelul client/server , proiectat special pentru asigurarea de tuneluri virtuale prin retele IP utilizind PPP si nivelul 2. PPTP suporta mai multe conexiuni PPP printr-un singur tunel PPTP . Aceste tuneluri virtuale sint denumite in general retele virtuale private (VPN – Virtual Private Networks).
Figura 20. Structura PPTP Cea mai uzuala implementare este de a oferi serviciul prin un punct de prezenta (Point of Presence – POP) dial-up . Dupa ce conexiunea fizica a fost stabilita si utilizatorul autentificat, PPTP se bazeaza pe PPP pentru crearea diagramelor. Apoi PPTP incapsuleaza pachetele PPP pentru transmisia prin tunelul IP. Canalul de control separat
-
PPTP foloseste doua canale pentru a suporta conexiunea: un canal de date unul de control - ruleaza peste legatura TCP, portul 1723. 17 23. Acest canal contine informatii referitoare la starea legaturii si mesaje de management. Mesajele de management sint responsabile cu stabilitarea, gestionarea si inchiderea tunelului PPTP. Suportul pentru mai multe protocoale
27
O facilitate interesanta a PPTP este suportul pentru protocoale gen NetBEUI, IPX sau AppleTalk. Deoarece PPTP este un protocol de nivelul 2, el include si un antet de mediu de transmisie care ii permite sa opereze prin ethernet sau conexiuni PPP. Autentificarea si securitatea datelor
Criptarea si atentificarea datelor nu fac parte din PPTP. Acesta se bazeaza pe functiile protocolul PPP. Tipuri de tuneluri PPTP
Calculatorul utilizatorului va determina capatul tunelului: - fie un server de acces de la distanta ( Remote Access Server – RAS) al ISP-ului - fie chiar calculatorul respectiv. Exista tuneluri voluntare si tuneluri obligatorii. o bligatorii. Intr-un tunel voluntar, utilizatorul initiaza conexiunea PPTP catre un calculator din corporatie. In acest caz, ISP nu trebuie tre buie decit sa asigure servicii IP elementare. Daca ISP asigura un server RAS, clientul are nevoie doar de PPP. In orice caz, utilizatorul nu are control asupra tunelului. In cazul tunelurilor obligatorii, avantajul este ca folosirea Internetului poate fi controlata de corporatii; de asemenea, au capacitatea de a grupa traficul, mai multi clienti PPP putind fi grupati intr-o singura conexiune PPTP catre intranetul companiei. 5.2.Layer 2 Tunneling Protocol (L2TP)
Este asemanator cu PPTP, combinind PPTP cu protoculul Layer 2 Forwarding (L2F) de la firma Cisco. Avanyajul este ca poate fi compatibil cu alte medii de transfer, precum pre cum ATM, si cu alte retele pe baza de pachete, gen X.25. L2F
La fel ca si PPTP, L2F a folosit PPP ca suport pentru asigurarea conexiunii initiale si a serviciilor precum autentificarea. Spre deosebire de PPTP, L2F a folosit Terminal Access Controller Access-Control System (TACACS) – protocol brevetat de Cisco, care ofera autentificare, autorizare si administrare. L2F foloseste si el definitii de conexiuni tunel. Suporta si un nivel suplimentar de autentificare. L2F ofera autentificare la nivel de gateway sau firewall. Suportul pentru IPsec
IPsec difera de celelalte servicii pentru ca este o specificatie deschisa care suporta nu numai autentificarea, dar si securitatea. Ca si PPTP, L2TP apeleaza la PPP pentru stabilirea conexiunii. L2TP se asteapta ca PPP sa stabileasca conexiunea fizica, sa faca autentificarea initiala, sa creeze datagramele si, dupa terminarea sesiunii, sa inchida conexiunea. Dar L2TP va comunica
cu celalalt nod pentru a determina daca nodul care face apelul este autorizat si daca punctul final doreste sa suporte conexiune L2TP. L 2TP. Daca nu, sesiunea este inchisa. Ca si PPTP, L2TP defineste doua tipuri de mesaje: - de date - de control - folosite pentru a stabili si mentine tunelul virtual si pentru a controla transmisia si receptia datelor. Spre deosebire de PPTP, care necesitat doua canale, L2TP combina canalele de date si de control intr-un singur flux. Intr-o retea IP, acest lucru se prezinta prezinta sub forma impachetarii datelor si a mesajelor intr-o datagrama UDP.
Datele utile constau in esente din pachetul PPP, minus elementele de incadrare specifice mediului de transmisie. Deoarece L2TP este de nivel 2, el trebuie sa includa un antet pentru mediul de transmisie cu scopul de a-i indica nivelului superior modul in care trebuie transmis pachetul. Aceasta transmisie poate avea loc pe ethernet, retele frame relay , X.25, ATM, sau prin legatura PPP initiala. Pentru reducerea congestionarii retelei, L2TP suporta controlul fluxului . Acesta este implementat intr-un concentrator de acces L2TP (L2TP Access Concentrator – LAC), care functioneaza ca server de acces la retea, re tea, si un server L2TP de acces la retea (L2TP Network Access Server – LNS), care are rolul de a asigura accesul la reteaua corporatiei. Mesajele de
28
control contin informatii privind ratele de transmisie si parametrii zonelor tampon. Comunicindu-si reciproc aceste informatii, serverele LAC si LNS pot controla fluxul de date.
Figura 21. Structura L2TP O alta metoda pentru reducerea incarcarii retelei este compresia anteturilor pachetelor. L2TP suporta tot doua clase de conexiuni, intr-o maniera asemanatoare cu PPTP: tuneluri voluntare si obligatorii. 5.3.IPsec
Deoarece protocolul TCP/IP nu ofera nici un fel de protectie, au aparut mai multe metode de a umple acest gol. De aceea, s-a lucrat la un set de protocoale numite IPsec. Documentele pentru aceste standard au fost gindite pentru standardul IPv6 (publicate in 1995), dar au fost modificate pentru adaptarea lor la IPv4. Specificatiile imparteau conceptele solutiei in doua clase: - autentificare - criptare Portiunea de autentificare este tratata printr-un antet de autentificare (Authtentication Header – AH), iar criptarea este tratata prin datele utile de incapsulare pentru asigurarea securitatii (Encapsulating Security Payload – EPS).
29