Szemeszter 3

Cisco CCNA Discovery
4.0
Forgalomirnyts s kapcsols nagyvllalati krnyezetben

(3. szemeszter)
edited by Nono 2011
1. Vllalati hlzat
1. Vallalati halozat
1.1 A nagyvllalati hlzatok jellemzi
1.1.1 A vllalat zleti folyamatainak tmogatsa
Ahogy nnek s fejldnek a vllalkozsok, gy n a vllalati szmtgp -hlzatokkal szembeni elvrs is. Nagymret zleti vllalkozsokknt emlegetjk az olyan vllalati krnyezeteket, melyekhez tbb telephely, sok felhasznl vagy sok klnbz rendszer tartozik. Az albbiak tipikus nagymret zleti vllalkozsi terletek: Termkgyrtk Nagykereskedelmi lncok ttermi s szolgltati franchise hlzatok llami s kzigazgatsi szervezetek Krhzak Iskolarendszerek
A nagymret zleti vllalkozsokat kiszolgl szmtgpes hlzatokat nevezzk nagyvllalati hlzatoknak. A nagyvllalati hlzatoknak szmos kzs jellemzjk van. Ilyenek pldul a kvetkezk: Kritikus zleti alkalmazsokat futtatnak Konverglt hlzati forgalmat bonyoltanak Kzpontostott felgyeletet ignyelnek Szertegaz zleti ignyeket elgtenek ki
Egy nagyvllalati hlzatnak kpesnek kell lennie az egyes zletrszek kztti olyan egymstl eltr hlzati forgalomtpusok lebonyoltsra, mint pldul az adatllomnyok tvitele, elektronikus levelezs, IP telefnia vagy a vide alap alkalmazsok. Egyre jellemzbb, hogy a vllalkozsok hlzati infrastruktrjnak kritikus zleti folyamatokat kell kiszolglnia. A nagyvllalati hlzat lellsa ellehetetlenti az zleti folyamatokat, ami tttelesen bevtelkiesshez s a vsrlk elvesztshez vezethet. A felhasznlk ezrt 99,999% -os rendelkezsre llst vrnak el a nagyvllalati szmtgpes hlzattl. Az elvrt megbzhatsg teljestsnek rdekben a nagyvllalati hlzatokban magas minsgi kategrij eszkzket alkalmaznak. A nagyvllalati piacra sznt eszkzknl elsdleges szempont a megbzhatsg, ezrt ezeknek az eszkzknek olyan jellemzik vannak, mint pldul a redundns ramellts s automatikus hibakezelsi kpessg. Mivel a nagyvllalati piacra sznt eszkzk ltalban jelents forgalmat bonyoltanak le, ezrt tervezsket s gyrtsukat szigorbb szabvnyok szablyozzk mint a szlesebb krben hasznlt eszkzkt. A professzionlis eszkzk beszerzse s teleptse ugyanakkor nem helyettestheti a krltekint hlzati tervezst. A j hlzati tervezs egyik legfontosabb clja, hogy minden kritikus hibaforrst megelzznk. Ez elssorban a redundancia biztostsval valsthat meg.
1. Vllalati hlzat A hlzattervezs tovbbi lnyeges elemei a svszlessg -felhasznls optimalizlsa, valamint a hlzat biztonsgnak s teljestmnynek garantlsa.
1.1.2 A forgalom alakulsa a nagyvllalati hlzatban

A nagyvllalati hlzaton gy optimalizlhatjuk legjobban a hlzati svszlessg kihasznltsgt, ha gy alaktjuk ki a hlzatot, hogy a forgalom lehetleg mindig az adott szegmensen bell maradjon, s ne kerljn t olyan hlzatszakaszokra, ahova nem szl az zenet. A hromrteg, hierarchikus tervezsi modell segt a hlzat megfelel kialaktsban. Ez a modell hrom jl elklnthet rtegre osztja a hlzat feladatait: hozzfrsi rteg, elosztsi rteg s kzponti rteg. Mindegyik rtegnek jl meghatrozott feladata van. A hozzfrsi rteg a felhasznlk szmra nyjt hlzati kapcsolatot. Az elosztsi rteg a helyi hlzatok kztti adatramlst biztostja. Vgl, a kzponti rteg az a nagy sebessg gerinc, ahol az egymstl tvoli vghlzatok kzti kommunikci zajlik. Felhasznli forgalom a hozzfrsi rtegben keletkezik, s amennyiben szksg van r, thaladhat a tbbi rtegen is. Br a hierarchikus modell alapveten 3 rteg, a kltsgek cskkentse rdekben sajt kzponti rteg helyett sok zleti hlzat hasznlja az internetszolgltat gerinchlzatt.
1. Vllalati hlzat
Hozzfrsi rteg Kapcsoldsi pontot biztost a nagyvllalati hlzat vgfelhasznli eszkzei szmra. Egy hlzati eszkz, pldul kapcsol segtsgvel lehetv teszi, hogy tbb lloms kapcsoldhasson egymshoz. Ugyanazon a logikai hlzaton tallhatk. Ugyanazon a logikai hlzaton tallhat llomsok fel tovbbtja a forgalmat. Ha a csomag egy msik hlzaton tallhat llomsnak szl, az zenetet tadja az elosztsi rtegnek kzbestsre.
Elosztsi rteg Kapcsoldsi pontot biztost a klnbz helyi hlzatoknak. A helyi hlzatok kzti informciramlst szablyozza. Biztostja, hogy az azonos helyi hlzaton tallhat eszkzk kzti forgalom valban ne hagyja el a hlzatot. Tovbbtja a ms hlzatokba irnyul forgalmat. Biztonsgi s hlzatfelgyeleti okokbl szri a bejv s kimen forgalmat. A hozzfrsi rtegnl erteljesebb kapcsolkat s forgalomirnytkat hasznl. Ha a clhlzat nem kapcsoldik kzvetlenl, akkor tadja az adatokat a kzponti rtegnek kzbestsre.
Kzponti rteg Redundns (tartalk) kapcsolatokat tartalmaz, nagy sebessg gerincet alkot. Nagy mennyisg adatot szllt a szmos vghlzat kzt. Igen erteljes, nagy sebessg kapcsolkbl s forgalomirnytkbl ll.
A Cisco Enterprise Architectures (Cisco Vllalati Architektrk) koncepci gy bontja fel a hlzatot funkcionlis egysgekre, hogy kzben megtartja a gerinc-, elosztsi- s hozzfrsi rteg hrmas tagolst. A Cisco Enterprise Architectures a kvetkez funkcionlis egysgeket hasznlja:
1. Vllalati hlzat Vllalati telephely (Enterprise Campus): A hlzati infrastruktrt, a kiszolglfarmot s a hlzati menedzsmentszolgltatst tartalmazza Vllalati hatrvonal (Enterprise Edge): Az internet, a VPN s a WAN modulok sszessge, melyek a vllalat hlzatt sszekapcsoljk a szolgltat hlzatval. Szolgltati hatrvonal (Service Provider Edge): Internet-, nyilvnos kapcsolt telefon- (PSTN Public Switched Telephone Network) s WAN szolgltatsokat nyjt.
Minden az ECNM (Enterprise Composite Network Model sszetett vllalati hlzatmodell) modellbe belp vagy kilp adat a hatreszkzkn halad keresztl. Ez az a pont, ahol minden csomagot meg lehet vizsglni, s el lehet dnteni, hogy az adott csomag beengedhet-e a vllalati hlzatba. A rosszindulat tevkenysg kiszrst elvgz behatols -rzkelsi (Intrusion Detection System IDS) s behatols-vdelmi (Intrusion Prevention System IPS) rendszereket is a vllalat hatrra rdemes telepteni.
pletszint hozzfrs: Ez a hozzfrsi rteg 2. rtegbeli vagy 3. rtegbeli kapcsolkkal valstja meg a szksges portsrsget. Itt kerlnek megvalstsra a VLAN-ok s az plet elosztsi rtege fel vezet trnkvonalak. Az plet elosztsi rtegben elhelyezett kapcsolk fontos jellemzje a redindancia. plet szint elosztsi rteg: Ez az elosztsi rtegbeli modul 3. rtegbeli eszkzkkel valstja meg az plet szint hozzfrst. Ebben a rtegben kerl megvalstsra a forgalomirnyts, a hozzfrs-vezrls s a szolgltatsminsg (QoS). A redundancia elengedhetetlen ebben a rtegben is. Telephely gerince: Ez a gerincrtegbeli modul nagy sebessg kapcsolatot biztost az elosztsi rteg modulja, az adatkzpont kiszolglfarmja s a vllalati hatrvonal kztt. Ebben a rtegben a redundancia, a gyors konvergencia s a hibatrs ll a tervezs kzppontjban.
1. Vllalati hlzat Kiszolglfarm: Ez a modul biztostja a gyors kapcsolatot s a vdelmet a kiszolglknak. Ezen a terleten a biztonsg. a redundancia s a hibatrs a legfontosabb, Felgyelet: Ez a fontos terlet felgyeli a teljestmnyt azltal, hogy monitorozza az eszkzket s a hlzati elrhetsgeket. Vllalati hatrvonal: Ez a modul terjeszti ki a vllalati szolgltatsokat a tvoli webhelyek fel s teszi lehetv, hogy a vllalat elrje az internetet s a partnerek szolgltatsait. Ez a modul biztostja a szolgltatsminsget (QoS), a hlzati szablyok betartst, a szolgltatsi szinteket s a biztonsgot. Egy jl megtervezett hlzat a forgalom megfelel szrse mellett kpes a meghibsodsok ltal rintett tartomnyok minimalizlsra is. A hibatartomny az a hlzatszakasz, melyet kzvetlenl rint egy kulcsfontossg hlzati eszkz vagy szolgltats meghibsodsa. Az elsknt meghibsod sszetev nagyban meghatrozza, hogy mekkora tartomnyra lesz hatssal a hiba. Pldul, ha egy adott szegmens kapcsolja hibsodik meg, akkor ltalban csak az adott szegmens llomsai rintettek. Ugyanakkor, ha az adott szegmenst a tbbihez kapcsol forgalomirnyt hibsodik meg, akkor sokkal drmaiabb lehet a hats. A hlzati krok cskkenthetk redundns kapcsolatok s megfelel minsg, professzionlis eszkzk hasznlatval. A kismret meghibsodsi tartomnyok cskkentik a meghibsodsok vllalati termelkenysgre gyakorolt hatst, egyszersmind egyszerstik a hibaelhrtst, ezltal cskkentik az egyes felhasznlk ltal tapasztalt lellsi idt.
1. Vllalati hlzat
1.1.3 Vllalati LAN-ok s WAN-ok

A vllalati hlzatok ltalban hagyomnyos LAN s WAN technolgikat is alkalmaznak. Egy tipikus vllalati hlzatban egyetlen kiterjedt telephely szmos helyi hlzata kapcsoldik egymshoz az elosztsi vagy a kzponti rtegen keresztl, ltrehozva gy a vllalati LAN -t. Ezek a helyi hlzatok kapcsoldnak aztn a fldrajzilag tvolabb lev hlzatokhoz, kialaktva egy WAN -t. A LAN-ok privt hlzatok, egyetlen ember vagy szervezet felgyelete alatt. Ez a szervezet telepti, felgyeli s gondozza a teljes vezetkezst s a LAN funkcionlis ptkvetit kpez eszkzket. Lteznek magnkzben lev WAN-ok is. Mivel a WAN-ok kiptsi- s fenntartsi kltsgei meglehetsen magasak, ezrt ltalban csak igen nagy vllalatok engedhetik meg maguknak, hogy sajt WAN-t tartsanak fenn. A legtbb cg internetszolgltattl (ISP Internet Service Provider) vsrolja a WAN kapcsolatt, gy aztn az ISP felel a LAN -ok kzti hlzati szolgltatsokrt s a WAN vgpontok gondozsrt. Amikor egy szervezethez sok egymstl tvoli telephely tartozik, a WAN kapcsolatok s szolgltatsok kialaktsa igen sszetett vlhat. Elfordulhat, hogy a vllalat f internetszolgltatja nem nyjt minden telephelyen vagy orszgban szolgltatst, ahol a vllalatnak irodja van. Ez oda vezethet, hogy a vllalat tbb klnbz internetszolgltattl knytelen szolgltatst vsrolni. A klnbz internetszolgltatktl vsrolt szolgltatsok minsgben komoly eltrsek lehetnek. Szmos feltrekv orszg esetn tapasztalhat a hlzattervez pldul markns klnbsgeket az elrhet eszkzk, a knlt WAN szolgltatsok s az adatbiztonsgot megvalst titkostsi technolgik tern. A vllalati hlzat tmogatsa szempontjbl lnyeges, hogy az eszkzzk, a konfigurci s a szolgltatsok egysges szabvnyokat kvessenek.
1. Vllalati hlzat A LAN jellemzi: Az zemeltet szervezet felels az infrastruktra kialaktsrt s felgyeletrt. Az Ethernet a leggyakrabban alkalmazott technolgia. A hlzat jellemzen a hozzfrsi- s az elosztsi rtegre fkuszl. A LAN biztostja a felhasznlk kapcsoldst, valamint helyi alkalmazsok s kiszolglfarmok elrst. Az sszekapcsolt eszkzk jellemzen egy behatrolt terleten pldul egy pleten vagy egy nagyobb telephelyen bell helyezkednek el.
A WAN jellemzi: Az sszekapcsolt telephelyek fldrajzilag tvol helyezkednek el egymstl. A WAN-hoz trtn csatlakozs kln eszkz modem vagy CSU/DSU hasznlatt ignyelheti, amely lehetv teszi az adatok szolgltati hlzatnak megfelel formtumra alaktst. A szolgltatsokat az ISP nyjtja. A tipikus WAN szolgltatsok kz tartozik a T1/T3, az E1/E3, a DSL, a kbel-TV alap internet, a Frame Relay s az ATM. Az infrastruktra kialaktsa s felgyelete az ISP feladata. A hatreszkzk alaktjk t az Ethernet begyazst soros WAN begyazss.
1.1.4 Intranetek s extranetek

A vllalati hlzatok LAN s WAN technolgikat is alkalmaznak. Ezek a hlzatok szmos olyan szolgltatst is nyjtanak, melyeket jellemzen az internethez szoktunk kapcsolni. Ilyen szolgltatsok pldul az albbiak: E-mail Web FTP Telnet/SSH vitafrumok
1. Vllalati hlzat A cgek jellemzen ezen a privt hlzaton vagy intraneten keresztl biztostjk a helyi s a tvoli alkalmazottaiknak az elrst LAN s WAN technolgik alkalmazsval. Az intranetek kapcsoldhatnak az internethez is, ilyenkor ltalban tzfal felgyeli az intranetre belp s onnan kilp forgalmat.
Az intranetek ltalban bizalmas informcikat tartalmaznak, s kizrlag a vllalat alkalmazottai szmra vannak kialaktva. Az intranetet minden esetben tzfallal kell vdeni. Azok a tvolrl dolgoz alkalmazottak, akik nem kzvetlenl kapcsoldnak a vllalati LAN -hoz, hitelestst kveten kaphatnak hozzfrst. Bizonyos esetekben a vllalkozsok kiterjeszthetik hlzatuk elrst a kiemelt gyfeleik s beszlltik szmra. Ennek leggyakoribb megoldsai: Kzvetlen WAN kapcsolat Kulcs-alkalmazsoktvoli belpssel trtn elrse VPN kapcsolds a vdett hlzathoz
Extranetnek hvjuk az olyan intranetet, ami kls kapcsoldst biztost a vllalat beszllti s ms szerzdses partnerei szmra. Az extranet teht egy olyan privt hlzat (intranet), amely szervezeten kvli egynek s trsasgok szmra biztost ellenrztt hozzfrst. Az extranet nem nyilvnos hlzat.
1. Vllalati hlzat
1.2 A vllalati alkalmazsok azonostsa

1.2.1 Forgalomramlsi mintzatok
A megfelelen megtervezett vllalati hlzatokat jl definilt, kiszmthat forgalmi mintzat jellemzi. Bizonyos krlmnyek kztt a hlzati forgalom a vllalati LAN terletre korltozdik, mskor kilp onnan a WAN kapcsolatokon keresztl. A hlzat megtervezsnek egyik fontos szempontja, hogy meghatrozzuk az egyes clterletek fel irnyul forgalom mrtkt s forrst. Az albbi forgalomtpusoknak pldul alapveten a felhasznlk hlzatn bell kell maradnia: fjlmegoszts nyomtats bels biztonsgi ments s adattkrzs telephelyen belli hangtvitel
Ms forgalomtpusok elfordulhatnak a hlzaton bell s a WAN kapcsolatokon is. Ilyenek pldul az albbiak: rendszerfrisstsek vllalati elektronikus levelezs tranzakci-feldolgozs
A WAN kapcsolati forgalom mellett kls forgalomnak szmt az internetrl szrmaz, vagy oda irnyul forgalom is. A VPN s az internet adatforgalom egyrtelmen kls forgalom. Az adatforgalom szablyozsa optimalizlja a hlzati svszlessg felhasznlst, tovbb azltal, hogy monitorozsi lehetsget biztost, hozzjrul az alapfok adatbiztonsg megvalstshoz is. A hlzati forgalmi mintk s folyamatok elemzse rvn a rendszergazda megtlheti a vrhat forgalom tpust s mrtkt. Az olyan forgalom, ami nem vrt helyen jelentkezik a hlzatban, kiszrhet s forrsa is ellenrizhet.
1.2.2 Alkalmazsok s forgalom vllalati hlzaton

Volt id, amikor az adatok, a hang- s a vide- informcik kln-kln hlzatokon utaztak. A mai technolgival megvalsthat olyan sszevont hlzat, ahol az adat-, a hang- s a vide-jeleket egyazon kzegen tovbbtjuk. Az sszevons szmos tervezsi s svszlessg-gazdlkodsi kihvst jelent. A vllalati hlzat a legklnflbb alkalmazsoktl szrmaz forgalom-sszetevk tovbbitsval elgti ki a vllalat ignyeit. Ilyen forgalom-sszetevkaz albbiak: Adatbzis-tranzakcik Nagygp, illetve adatkzponti elrs llomny- s nyomtatmegoszts Hitelests Webszolgltatsok E-mail s egyb kommunikcik
1. Vllalati hlzat VPN szolgltatsok Hanghvsok s hangzenetek Vide s videokonferencia
Mindezek mellett a hlzat zemeltetse s a hlzat mkdsbl fakad folyamatok is hlzati erforrsokat ignyelnek. A hlzati folyamat menedzselsnek megtervezse szempontjbl elsdleges fontossg a hlzaton zajl forgalom s adatramlsi folyamatok megrtse. Ha nem ismerjk a hlzati forgalom sszetevit, akkor a forgalom, tovbbi elemzs cljbl, csomagvizsgl alkalmazssal rgzthet. A hlzati forgalmi mintk megismerse rdekben fontosak az albbiak: Mindig a forgalmi cscs kzelben rgztsk a csomagokat, gy megfelelen j mintt nyerhetnk a klnbz tpus forgalmakbl! Mivel bizonyos forgalomtpusok adott helyhez kthetek, mindig vegynk mintt tbb hlzatszakaszrl is!
A csomagvizsgl alkalmazssal gyjttt mintk alapjn meghatrozhatk a forgalmi folyamatok. A minta elemzse sorn a hlzati technikus elssorban a megvizsglt csomagok forrs- s clcmre, valamint a forgalmi tpusokra alapozva vonhat le kvetkeztetseket. Az elemzs alapjn hozhatk meg azok a dntsek, melyekkel hatkonyabb tehet a hlzati forgalom menedzselse. Clszer lehet pldul a felesleges forgalom cskkentse, vagy a teljes forgalmi minta talaktsa egy kiszolgl thelyezsvel. Sokszor egyetlen kiszolgl, vagy szolgltats msik hlzati szakaszba val thelyezse nmagban javthatja a hlzat teljestmnyt. Mskor azonban csak a hlzat jratervezsvel vagy komolyabb beavatkozssal lehet a hlzati teljestmnyt optimalizlni.
10
1. Vllalati hlzat
1.2.3 Prioritsok a hlzati forgalomban

A hlzaton megfigyelhet klnbz forgalomtpusok eltr jellemzkkel, ignyekkel s viselkedssel brhatnak. Adatforgalom A legtbb hlzati alkalmazs adatforgalmat generl. Egyes alkalmazsok rendszertelen idkzkben kldenek adatokat, mg msok (pldul az adattrhzak) hosszabb idn t jelents mennyisg adatot tovbbtanak. Vannak adatalkalmazsok melyek rzkenyebbek az idtnyezre, mint a megbzhatsgra, de tbbsgk jl tolerlja a ksst. A fentiek miatt a legtbb adatalkalmazs a TCP (Transmission Control Protocol tvitelvezrlsi protokoll) protokollt hasznlja. A TCP protokoll nyugtk alkalmazsval kveti, hogy jra kell-e valamelyik csomagot kldeni, ezltal garantlja a megbzhat tvitelt. A nyugtk alkalmazsa amellett, hogy megbzhatv teszi az tvitelt, ksletetst is okoz. Hang- s vide tvitel A hang- s vide forgalom alapveten klnbzik az adatforgalomtl. A hang - s videtvitel zkkenmentes adatfolyamot kvetel a j hang- s kpminsg rdekben. A TCP protokoll nyugtzsi technikja ksseket okoz, ami megtri az adatfolyamot, s ezltal rontja az alkalmazs minsgt. Ezrt a hang- s vide alkalmazsok ltalban az UDP (User Datagram Protocol felhasznli datagram protokoll) protokollt hasznljk a TCP helyett. Mivel az UDP nem tartalmaz a csomagok jrakldst biztost eljrst, gy csak minimlis ksst okoz. A TCP s UDP protokollok okozta kssbeli klnbsgek megrtse mellett fontos ltni, hogy a hlzati eszkzk is ksleltetst okoznak, mikzben a tovbbtshoz feldolgozzk a csomagokat. Az OSI modell 3. rteghez tartoz eszkzk nagyobb ksleltetst okoznak, mint a 2. rteghez tartozk, mivel tbb fejrsz-informcit kell feldolgozniuk. Ennek megfelelen a forgalomirnytk okozta ksleltets pldul nagyobb, mint a kapcsolk ltal okozott. A hlzati torlds miatti ksleltetsi bizonytalansg (jitter) az a jelensg, amikor az egyes csomagok vltakoz hosszsg id alatt rnek el a clhoz. Idzts-rzkeny forgalom esetn fontos cl a ksleltets s a ksleltetsi bizonytalansg hatsait minl jobban cskkenteni. A szolgltatsminsg (Quality of Service QoS) olyan folyamat, ami egy adott adatfolyam szmra minsgi garancikat biztost. A QoS folyamat prioritsok alapjn sorokba rendezi a forgalmat. A hangtvitel pldul prioritst lvez a hagyomnyos adatokkal szemben.
11
1. Vllalati hlzat
12
1. Vllalati hlzat
1.3 Tvoli alkalmazottak tmogatsa

1.3.1 Telefonos tvmunka
A nagyvllalati hlzatok s a tvolrl trtn csatlakozst biztost technolgik fejldse alapjaiban vltoztatta meg mindennapi munkavgzsnket. A telefonos tvmunka, ms nevn e-munkavgzs, lehetv teszi, hogy a munkavllalk a klnbz telekommunikcis lehetsgeket kihasznlva otthonrl, vagy ms, munkahelyktl tvoli helysznrl vgezzk munkjukat. Az ilyen, tvolrl dolgoz munkatrsat nevezzk tvmunksnak. Egyre tbb vllalat bztatja munkatrsait otthoni munkavgzsre. A tvmunka szmos elnnyel jrhat mind a munkaad, mind a munkavllal rszre. A munkaad szemvel nzve a tvmunks kollga rszre nem kell sajt fizikai helyet biztostani az irodban, gy elegend egyetlen kzs munkahelyet kialaktani, ahol az ppen az irodban tartzkod munkatrs helyet tud foglalni. Ez a megolds jelents mrtkben cskkentheti az irodai ingatlan- s fenntartsi kltsgeket. Egyes cgek mg a repljegyekre s hoteljszakkra fordtott kltsgeiket is gy cskkentik, hogy telekonferencival s ms kollaborcis eszkzkkel hozzk ssze munkatrsaikat. A vilg legklnbzbb pontjain tartzkod emberek dolgozhatnak ezltal gy, mintha egy helyen tartzkodnnak. A munkavllal s a munkaad is egyformn jl jr a tvmunkval. A munkavllal idt s pnzt takart meg, radsul nem terheli a napi utazgatssal egytt jr stressz. Otthonukban kiltznik sem kell, gy tovbbi pnzt takarthatnak meg a munkaltzeten. Otthon dolgozva a munkavllalk tbb idt tlthetnek csaldjukkal. A kevesebbet utaz munkavllal a krnyezetet is jobban kmli. A kisebb replgpes s autforgalom kevesebb lgszennyezst jelent. A tvmunksnak persze nllnak s fegyelmezettnek kell lennie. Egyes tvmunksok hinyoljk a munkahelyi kzssget, s nem szeretnek elszigetelten dolgozni. Vannak munkakrk, melyekben nem elnys a tvmunka. Egyes pozcik egyszeren ignylik az adott idsvban a szemlyes irodai jelenltet. Mgis egyre tbb vllalkozs s mind gyakrabban l a technolgia biztostotta e-munkavgzs lehetsgvel. A hatkony tvmunka megvalstsnak vannak eszkzszksgletei. Ilyenek pldul az albbiak: Elektronikus levelezs Csevegs Munkaasztal- s alkalmazs-megoszts FTP Telnet VoIP Videokonferencia
13
1. Vllalati hlzat
Videokonferencia Lehetv teszi, hogy tvoli helyeken tartzkod rsztvevk szemtl -szembe, egymst ltva beszlgethessenek. E-mail Lehetv teszi egy rott zenet eljuttatst egy tvoli felhasznlhoz, aki ksbb vlaszolni tud arra. Azonnal zenetkld alkalmazs Lehetv teszi azonnali zenetek validej kldst a tvoli felhasznlnak, aki rgtn tud azokra vlaszolni. Alkalmazs-megoszts Lehetv teszi, hogy egyszerre tbb felhasznl is ugyanazt az alkalmazst hasznlja. FTP Fjltvitelt tesz lehetv szmtgpek kztt. Telnet Tvoli kapcsoldst s terminlkapcsolatot biztost tvoli eszkzkhz. VoIP Vals idej beszlgetst tesz lehetv internetes technolgik alkalmazsval. Az alkalmazsok s a kperny megosztsra szolgl segdeszkzk rengeteget fejldtek, ma mr egyidej hang- s vide tvitelre is kpesek. Az j technolgia egyre kifinomultabb egyttmkdst tesz lehetv. A vllalati hlzat segtsgvel ez a technolgia olyan krnyezetet teremt az egymstl tvol tartzkod munkatrsak szmra, mintha egy szobban lnnek. Nagy kivettk, s j minsg hangrendszer alkalmazsval egy specilisan kialaktott teremben az egsz hats olyan lehet, mintha az sszes rsztvev fggetlenl a tnyleges tartzkodsi helyktl ott lne egyetlen trgyalasztal krl. Az brn lthat trsasgbl csak az eltrben l 5 ember van valjban jelen a szobban. A kpernykn megjelen msik 4 szemly igazbl 3 msik helysznen tartzkodik.
14
1. Vllalati hlzat
1.3.2 Virtulis magnhlzatok

A tvmunksok ltal leggyakrabban megtapasztalt nehzsg a tvmunkhoz hasznlatos eszkzk adatbiztonsgi problmja. A nem biztonsgos eszkzk hasznlata miatt a tovbbtott informci lehallgathat vagy mdosthat. Egy lehetsges megolds a problmra, ha az adott feladatot ellt alkalmazsok kzl a biztonsgos tvitelt alkalmaz vltozatokat hasznljuk. Telnet helyett pldul hasznljunk SSH klienst! Sajnos nem minden esetben ll rendelkezsre biztonsgos alkalmazs, gy sokkal kzenfekvbb megolds, hogy titkostsunk minden forgalmat a tvoli helyszn s a vllalati hlzat kztt virtulis magnhlzatot hasznlva (VPN Virtual Private Network). A VPN-eket szoks alagtnak (angolul tunnel) is nevezni. A hasonlsg megrtshez gondolatban hasonltsuk ssze kt pont kztt a fldalatti alagt s a fldfelszni nyilvnos tvonal lehetsgeit! Minden, ami az alagutat hasznlja a kt pont kztt, az vdve van, s lthatatlan. Itt az alagt jelkpezi a VPN begyazst s a virtulis alagutat.
VPN hasznlatakor virtulis alagt jn ltre a forrs s a cl kztt. A forrs s a cl kzti sszes kommunikcit titkostja a biztonsgos begyazst hasznl protokoll. Ez a biztonsgos csomag kerl tovbbtsra a hlzaton. A clllomshoz megrkezve a csomagot kicsomagoljk s visszalltjk a titkostatlan tartalmat. A VPN megvalstsok gyfl/kiszolgl alapak, gy a tvmunksnak elszr teleptenie kell a VPN kliensprogramot a szmtgpre, amivel aztn ki tudja alaktani a biztonsgos kapcsolatot a vllalati hlzat irnyba. A VPN technolgival kapcsold tvmunksok gyakorlatilag rszei lesznek a vllalati hlzatnak, hozzfrnek az sszes szolgltatshoz s erforrshoz, mintha csak fizikailag is a LAN -hoz kapcsoldnnak. A VPN hlzatok egyik leggyakrabban hasznlt begyazsi protokollja az IPSec, ami az IP Security (IP biztonsg) angol kifejezs rvidtse. Az IPSec valjban egy szmos szolgltatst nyjt protokollcsomag. Ilyen szolgltatsok pldul: adattitkosts, integrits -ellenrzs, trsak hitelestse. kulcskezels.
15
1. Vllalati hlzat
1.4 A fejezet sszefoglalsa
16
2. A vllalatok hlzati infrastruktrjnak megismerse
2. A vallalatok halozati infrastrukturajanak megismerese

2.1 Az aktulis hlzat lersa
2.1.1 A vllalatok hlzati dokumentcija
Ha egy hlzati szakember j helyen kezd dolgozni, akkor elszr meg kell ismerkednie a hlzat jelenlegi felptsvel. Egy vllalati hlzat llomsok ezreibl s hlzati eszkzk szzaibl llhat, amelyek rz, optikai vagy vezetk nlkli technolgival kapcsoldnak egymshoz. Az sszes vgfelhasznli munkallomsrl, kiszolglrl s hlzati eszkzrl (pl. kapcsolkrl s forgalomirnytkrl) dokumentcit kell vezetni. A dokumentcik szmos tpusa ltezik, ezek mind ms-ms szemszgbl mutatjk be a hlzatot. A hlzatszerkezeti diagram vagy mskppen topolgia diagram nyilvntartja az eszkzk helyt, funkcijt s llapott. Topolgia diagram kszlhet a hlzat fizikai s logikai felptsrl egyarnt. A fizikai topolgia rajzn ikonokkal jellik az llomsok, hlzati eszkzk s az tviteli kzegek helyt. A fizikai topolgia rajzt mindig napraksz llapotban kell tartani, hogy segtsgnkre lehessen a ksbbi teleptsi s hibaelhrtsi feladatok sorn. A logikai topolgia rajza a fizikai helyktl fggetlenl, a hlzati sszetartozs alapjn csoportostja az llomsokat. A logikai topolgia rajzn llomsnevek, cmek, csoportinformcik s hlzati alkalmazsok megnevezse szerepelhet. A vllalatok hlzati diagramjai hlzatirnytsi informcikat is tartalmaznak, melyek lerjk a hibatartomnyokat, valamint megadjk, hogy mely interfszeknl keresztezik egymst a klnbz hlzati technolgik.
Dnt fontossg, hogy a hlzati dokumentci napraksz s pontos legyen. A hlzati dokumentci a hlzat teleptsekor ltalban mg pontosan mutatja az akkori llapotot, de a ksbbi nvekedst s vltozsait nem minden esetben kveti. A hlzati topolgia rajza rendszerint az eredeti plet-alaprajzokon alapul. Elkpzelhet, hogy az alaprajz megvltozott az plet elkszlse ta. A vltozsok megfelelen jellssel vagy trajzolssal az eredeti tervrajzon is dokumentlhatk. Az ily mdon mdostott rajzot megvalsul si
17
2. A vllalatok hlzati infrastruktrjnak megismerse diagramnak nevezzk. Az pts szerinti diagram a tnyleges hlzati felptst dokumentlja, amely eltrhet az eredeti tervektl. Mindig bizonyosodjunk meg arrl, hogy a jelenlegi dokumentci az eredeti alaprajz mellett a hlzati topolgia sszes vltozst is tartalmazza! A hlzati diagram ltalban grafikus rajzolprogram segtsgvel kszl. A hlzati diagram ksztsre alkalmas programok jelents rsze azon kvl, hogy rajzeszkzknt hasznlhat, egy adatbzishoz is kapcsoldik. Ez a funkci lehetv teszi, hogy a hlzati tmogatst vgz csapat tagjai rszletes dokumentcit ksztsenek, amelyben rgztik az llomsok s a hlzati eszkzk adatait, belertve a gyrtt, a modellszmot, a vsrls dtumt, a jtllsi idt s ms egyb informcikat. Ha a diagramon rkattintunk egy eszkzre, akkor az eszkz adatait megjelent rlap nylik meg. A hlzati diagramok mellett a vllalati hlzatok szmos ms, fontos szerepet betlt dokumentcitpust is hasznlnak. zletfolytonossgi terv: Az zletfolytonossgi terv (Business Continuity Plan, BCP) hatrozza meg a termszeti vagy ember ltal elidzett katasztrfa esetn az zletfolytonossg megrzshez szksges lpseket. zletbiztonsgi terv: Az zletbiztonsgi terv (Business Security Plan, BSP) tartalmazza a fizikai-, rendszer- s szervezeti szint adatvdelmi intzkedseket. Az ltalnos biztonsgi tervnek tartalmaznia kell egy informatikai rszt, amely lerja, hogy a szervezet hogyan vdi a hlzatt s informcis rtkeit. Hlzat-karbantartsi terv: A hlzat-karbantartsi terv (Network Maintenance Plan, NMP) a hlzat folyamatos s hatkony zemeltetsvel biztostja az zletfolytonossgot. A hlzat-karbantartsi munkkat konkrt idszakokra (ltalban jszakra vagy htvgre) kell temezni, hogy a lehet legkisebb legyen az zletmenetre gyakorolt hatsa. Szolgltatsi szerzds: A szolgltatsi szerzds (Service Level Agreement, SLA) az gyfl s a szolgltat vagy ISP kztt ltrejtt megegyezs, amely olyan tteleket rgzt, mint pldul a hlzat rendelkezsre llsa vagy a problmk kezelsre vllalt vlaszid.
18
2.1.2 A hlzati szolgltatsi kzpont

A legtbb vllalati hlzatban ltezik az sszes hlzati erforrs kzponti kezelst lehetv tev hlzati szolgltatsi kzpont (Network Operations Center, NOC). Az ilyen kzpontot nha adatkzpontnak is nevezik. Egy tipikus vllalatnl a hlzati szolgltatsi kzpont munkatrsai a helyi telephely s a tvoli helysznek szmra egyarnt nyjtanak tmogatst, azaz a helyi feladatokon tl a nagytvolsg hlzatokkal kapcsolatos teendket is elvgzik. A nagyobb hlzati kzpontok akr tbb helyisget is elfoglalhatnak, mivel a hlzati berendezsek s a tmogatszemlyzet ide koncentrldik. A hlzati kzpont tipikus jellemzi: lpadl biztostja, hogy a kbelezs s az ramellts a padl alatt jusson el a berendezsekhez Nagyteljestmny sznetmentes ramforrs s lgkondicionl berendezs biztostja az eszkzk biztonsgos zemeltetst Mennyezetbe integrlt tzoltrendszer mkdik Hlzatfigyel llomsok, kiszolglk, biztonsgi mentst vgz rendszerek s adattrhzak llnak rendelkezsre
19
2. A vllalatok hlzati infrastruktrjnak megismerse Hozzfrsi rtegbeli kapcsolknak s elosztsi rtegbeli forgalomirnytknak biztost helyet, ha a kzponti kbelrendez (Main Distribution Facility, MDF) szerept is ez tlti be az pletben vagy a telephelyen.
A hlzati tmogatson s a hlzat-felgyeleten kvl szmos hlzati kzpont biztost kzpontostott erforrsokat (pl. kiszolglkat s adattrhzakat). A hlzati kzpont kiszolgli ltalban kiszolglfarmot alkot klaszterekbe vannak szervezve. A kiszolglfarm rendszerint egyetlen erforrsnak tekinthet, de valjban kt feladatot is ellt: biztonsgi mentst kszt s terhelselosztst vgez. Amennyiben egy kiszolgl meghibsodik vagy tlterheltt vlik, egy msik veszi t a szerept. A farmot alkot kiszolglk llvnyba szerelhetk, a kztk fennll sszekttetst pedig nagyon nagy sebessg (Gigabit Ethernet vagy gyorsabb) kapcsolk biztostjk. Amennyiben kzs hzba szerelt pengeszerverekrl (blade server) van sz, a kztk fennll sszekttetst a hzon belli nagysebessg htlap (backplane) kapcsolat biztostja. A vllalati hlzati kzpont msik fontos feladata, hogy nagysebessg s nagy kapacits adattrhzknt mkdjn. Az adattrhz vagy hlzati adattrol (Network Attached Storage, (NAS) nagyszm lemezmeghajtt foglal kzvetlenl a hlzatra csatlakoztatott csoportba, brmely kiszolgl szmra elrhet mdon. Egy NAS eszkz ltalban az Ethernetre kapcsoldik s sajt IP cmmel rendelkezik. A trolhlzat (Storage Area Network, SAN) a hlzati adattrolk sokkal kifinomultabb vltozata. A trolhlzat olyan nagy sebessg hlzat, amely klnbz tpus adattrol eszkzket kapcsol ssze helyi vagy nagytvolsg hlzaton keresztl.
20
2. A vllalatok hlzati infrastruktrjnak megismerse A vllalati hlzati kzpont berendezsei ltalban llvnyba vannak szerelve. A nagyobb hlzati kzpontokban az llvnyok a padltl a mennyezetig rnek, s egymshoz rgztettek. A berendezsek llvnyba szerelsekor gyeljnk a megfelel szellzsre, valamint arra, hogy ellrl s htulrl is hozz lehessen frni az eszkzkhz! A berendezseket megfelel fldelshez is csatlakoztatni kell! A legelterjedtebb llvnyok szlessge 48,26 cm (19 hvelyk). A legtbb berendezs mrete ehhez igazodik. A berendezsek ltal fgglegesen elfoglalt teret tartkeret-egysgben (Rack Unit, RU) adjk meg. Egy ilyen egysg 4,4 cm (1,75 hvelyk). A 2U -val jellt panel magassga pldul 8,9 cm (3,5 hvelyk). Minl kisebb az RU szm, annl kevesebb helyet foglal el egy eszkz, gy tbb eszkz frhet egy llvnyba. Azt is figyelembe kell venni, ha egy berendezs sok sszekttetssel rendelkezik (pl. egy kapcsol)! Ezeket clszer a kbelrendez panelek s a kbeltart tlck kzelben elhelyezni.
Egy vllalat hlzati kzpontjba kbelek ezrei futnak be, illetve onnan ki. Strukturlt kbelezssel olyan szervezett kbelrendszer alakthat ki, amely knnyen tlthat a teleptk, hlzati rendszergazdk s brmely ms, a kbelekkel dolgoz szakemberek szmra. A kbelkezels tbbfle clt szolgl. Egyrszrl tlthat s szervezett rendszert eredmnyez, amely segt a kbelezsi problmk izollsban. Msrszrl a megfelel kbelezsi mdszerek biztostjk a kbelek vdelmt a fizikai srlsekkel s az elektromgneses zavarokkal (EMI) szemben, ami nagymrtkben cskkenti a felmerl problmk szmt. A hibaelhrts megknnytshez az albbi feladatokat clszer elvgezni: rdemes felcmkzni az sszes kbel mindkt vgt valamilyen a forrst s a clt is jell konvenci alapjn. rdemes feltntetni az sszes kbelnyomvonalat a fizikai hlzati topolgia diagramon. rdemes ellenrizni az sszes mind a rz, mind az optikai kbelnyomvonalat egyik vgtl a msikig. Ehhez kldjnk vgig egy vizsgljelet a kbelen, majd mrjk meg a jelvesztesget!
21
2. A vllalatok hlzati infrastruktrjnak megismerse A kbelszabvnyok az sszes kbeltpushoz s hlzati technolgihoz meghatrozzk az thidalhat maximlis tvolsgot. Az IEEE pldul meghatrozza, hogy az rnykolatlan csavart rpron (UTP) keresztli Fast Ethernet technolgia esetben a kapcsol s az lloms kztti kbelnyomvonal hossza nem lehet tbb mint 100 mter (krlbell 328 lb). Amennyiben a kbelnyomvonal hossza meghaladja a javasolt mrtket, adattviteli problmk merlhetnek fel. Ez klnsen igaz, ha a kbelvgzdsek rossz minsgek. A hlzat mkdtetshez nlklzhetetlen a kbelezsi s ellenrzsi terv megfelel dokumentlsa.
2.1.3 A telekommunikcis helyisg kialaktsnak szemp ontjai

A hlzati kzpont a vllalat kzponti idegrendszere. A gyakorlatban azonban a legtbb felhasznl egy, a hlzati kzponttl tvolabb es telekommunikcis helyisg kapcsoljhoz csatlakozik. A telekommunikcis helyisget huzalozsi kzpontnak vagy kzbls kbelrendeznek (Intermediate Distribution Facility, IDF) is nevezik. A tvkzlsi helyisgben a hozzfrsi rteg hlzati eszkzei vannak, s idelis esetben a hlzati kzponthoz hasonl krlmnyeket (pl. lgkondicionlt s UPS-t) biztost. A vezetkes technolgit hasznl felhasznlk Ethernet kapcsoln vagy hubon keresztl, a vezetk nlkli technolgit hasznl felhasznlk pedig hozzfrsi ponton (Access Point, AP) keresztl csatlakoznak a hlzathoz. A hozzfrsi rteg eszkzei (pl. a kapcsolk s a hozzfrsi pontok) hlzatbiztonsgi szempontbl lehetsges veszlyforrsok. Az ilyen berendezsekhez trtn fizikai s tvoli hozzfrst az arra illetkes szemlyekre kell korltozni. A hlzati szemlyzet a kapcsolkon tbbek kztt portvdelmet, a hozzfrsi pontokon pedig klnfle vezetk nlkli biztonsgi intzkedseket alkalmazhat. A telekommunikcis helyisg vdelme mg fontosabb vlt az ID (felhasznlnv, jelsz ) identitslopsok megnvekedett szma miatt. Az j, szemlyes adatok kezelst szablyoz trvnyek slyosan bntetik, ha egy hlzatrl bizalmas adatok kerlnek illetktelen kezekbe. A korszer hlzati eszkzk funkciknlata segt az ilyen tpus tmadsok megelzsben, valamint az adat- s felhasznli integrits megrzsben.
22
2. A vllalatok hlzati infrastruktrjnak megismerse Egy kzponti kbelrendezhz (Main Distribution Facility, MDF) szmos IDF csatlakozhat kiterjesztett csillag topolginak megfelel elrendezsben. Az MDF ltalban a hlzati kzpontban vagy az plet kzepn helyezkedik el. Az MDF ltalban lnyegesen nagyobb, mint egy IDF. Az MDF -ben nagysebessg kapcsolk, forgalomirnytk s kiszolglfarmok tallhatk. A kzponti MDF kapcsolihoz vllalati kiszolglk s adattrolk is csatlakozhatnak, gigabites rzvezetken keresztl. Az IDF-ben alacsonyabb sebessg kapcsolk, hozzfrsi pontok s hubok tallhatk. Az IDF kapcsoli ltalban nagyszm Fast Ethernet porttal rendelkeznek, hogy biztostsk a felhasznlk szmra a hozzfrsi rtegben trtn csatakozst. Az IDF kapcsolk ltalban gigabites interfszen keresztl csatlakoznak az MDF kapcsolkhoz. Ez az elrendezs hozza ltre a gerinc- vagy ms nven fkapcsolatokat (uplink). A rz alap gigabites vagy Fast Ethernet sszekttets hossza CAT5e vagy CAT6 kbel hasznlatval legfeljebb 100 mter lehet. Optikai kbellel ennl lnyegesen nagyobb tvolsg fedhet le. Optikai kbeleket ltalban az pletek kztti sszekttetshez hasznlnak. Mivel ezek nem villamos jeleket hasznlnak, rzketlenek a villmcsapsokkal, elektromgneses zavarral (EMI), rdijel zavarral (RFI) s a klnbz fldpotencilbl add problmkkal szemben.
Az alapvet hlzati hozzfrsen kvl egyre elterjedtebb, hogy a vgfelhasznli berendezsek ramelltst is kzvetlenl a telekommunikcis helyisgben tallhat Ethernet kapcsolk biztostjk. Az ilyen tpelltst hasznl berendezsek kz tartozik az IP -telefon, a hozzfrsi pont s a megfigyel kamera is. A fenti eszkzk ramelltsa az Ethernet hlzat ltal biztostott ramelltst (Po wer over Ethernet, PoE) ler, IEEE 802.3af szabvny alapjn trtnik. A PoE ugyanazt a csavart rpras kbelt hasznlja az ramellts biztostsra is, amin az adattvitel trtnik. gy pldul lehetv vlik, hogy egy IP telefon kln tpkbel vagy tpcsatlakoz nlkl kerljn az asztalra. Az IP-telefonhoz hasonl PoE eszkzk mkdtetshez a csatlakozst biztost kapcsolnak PoE funkcival kell rendelkeznie. A PoE szabvnyt nem tmogat kapcsolk alkalmazsa esetn n.ram -injektorok (power injectors) vagy PoE kbelrendezk hasznlatval is megvalsthat az Ethernet hlzat ltal biztostott ramellts. A Panduit s ms gyrtk ksztenek olyan PoE kbelrendezket, amelyek lehetv teszik a PoE funkcikkal nem rendelkez kapcsolk szmra a PoE krnyezetben trtn mkdst. A 23
2. A vllalatok hlzati infrastruktrjnak megismerse hagyomnyos kapcsolt a PoE kbelrendezhz kell csatlakoztatni, amely azutn a PoE funkcikkal rendelkez eszkzhz kapcsoldik.
2.2 A vllalati perem tmogatsa

2.2.1 Szolgltats-tads a szolgltats-elrsi ponton
A vllalati hlzat kls hatra a szolgltats-elrsi pont (Point-of-Presence, POP), amely a vllalati hlzatba rkez szolgltatsok belpsi pontja szolgl. A POP -on keresztl berkez kls szolgltatsok kz tartoznak az internet-hozzfrs, a nagytvolsg kapcsolatok s a telefonszolgltats (PSTN). A POP tartalmaz egy hatrpontot. A hatrpont kijelli, hogy egy adott berendezse karbantartsa s hibaelhrtsa a szolgltat (Service Provider, SP) vagy az gyfl felelssge. A szolgltat ltal biztostott berendezsekrt a hatrpontig a szolgltat, azon tl pedig az gyfl felel. A szolgltat ltal biztostott berendezsekrt a hatrpontig a szolgltat, azon tl pedig mindenrt az gyfl felel. A vllalatoknl a POP biztostja a sszekttetst a kls szolgltatsok s telephelyek fel. A POP kzvetlen sszekttetst biztosthat egy vagy tbb internetszolgltathoz, amely a bels felhasznlk szmra lehetv teszi az ignyelt internet-hozzfrst. A vllalatok tvoli telephelyeit szintn a szolgltats-elrsi pontokon keresztl ktik ssze. Az ilyen telephelyek kztti nagytvolsg sszekttetst a szolgltat hozza ltre. A POP s a hatrpont helye orszgonknt eltr lehet. Gyakran az gyfl kzponti kbelrendezjn bell kap helyet, de az internetszolgltatnl is elhelyezkedhet.
24
2.2.2 A vllalati hatrvonal biztonsgi szempontjai

A nagyvllalatok ltalban tbb, egymssal sszekttetsben lv telephelybl llnak. Ezek mindegyike rendelkezhet olyan hatrkapcsolattal, amelyen keresztl a cg a klvilg egyni felhasznlihoz s szervezeteihez kapcsoldik. A hatrvonal a kvlrl rkez tmadsok belpsi pontja, s ez a pont rendkvl sebezhet. A hatrvonal ellen irnyul tmadsok felhasznlk ezreit rinthetik. A szolgltatsmegtagadsos (Denial of Service, DoS) tmadsok pldul megakadlyozzk az erforrsokhoz trtn hozzfrst az arra jogosult felhasznlk szmra a hlzaton bell s kvl egyarnt, gy cskkentik a vllalat termelkenysgt. A szervezet sszes bejv s kimen forgalma keresztlhalad a hatrvonalon. A hatrvonal berendezseit gy kell konfigurlni, hogy vdelmet nyjtsanak a tmadsok ellen, webhely, IP-cm, forgalmi minta, alkalmazs s a protokoll alap szrst biztostsanak. A hlzat vdelmhez a szervezetek a hatrvonalnl tzfalakat, valamint behatols -rzkel rendszerrel (Intrusion Detection System, IDS) s behatols-megelz rendszerrel (Intrusion Prevention System, IPS) felszerelt biztonsgi eszkzket alkalmazhatnak. A kls helysznen dolgoz rendszergazdknak a karbantartsi feladatok s szoftverteleptsek elvgzshez hozzfrsre van szksge a bels hlzathoz. Ez virtulis magnhlzatok (Virtual Private Network, VPN), hozzfrsi listk (Access Control List, ACL), felhasznli azonostk s jelszavak segtsgvel biztosthat. A VPN lehetv teszi a bels erforrsokhoz trtn hozzfrst a tvmunkt vgzk szmra is.
A vllalatok ltal megvsrolt hlzatkapcsolati szolgltatsok kz tartozik a brelt vonal, a T1/E1 (ms nven zleti kategria), a Frame Relay s az ATM. A fenti szolgltatsok valamilyen fizikai kbelezsen keresztl jutnak el a vllalathoz. A T1/E1 ltalban rzvezetket, a nagyobb sebessg szolgltatsok optikai kbelt hasznlnak. A szolgltats-elrsi pontnak az aktulisan ignyelt WAN-szolgltatshoz szksges sszes berendezssel rendelkeznie kell. A T1/E1 szolgltats esetben pldul az gyfl ignyelhet egy betz panelt a T1/E1 ramkr vgzdtetshez, csakgy mint egy csatornaszolgltat / adatszolgltat egysget (Channel Service Unit / Data Service Unit, CSU/DSU) a megfelel elektromos interfsz s a jelzsrendszer biztostshoz a szolgltat fel. A fenti berendezs tulajdonosa s 25
2. A vllalatok hlzati infrastruktrjnak megismerse karbantartja a szolgltat s az gyfl egyarnt lehet. A tulajdonostl fggetlenl minden, a szolgltats-elrsi ponton bell, vagyis az gyfl oldaln elhelyezett berendezst elfizeti vgberendezsnek (Customer Premises Equipment, CPE) neveznk.
2.3 Az irnyts s a kapcsols ttekintse

2.3.1 A forgalomirnyt
A vllalati hlzat elosztsi rtegnek egyik fontos eszkze a forgalomirnyt. Forgalomirnyts nlkl a csomagok nem lennnek kpesek elhagyni a helyi hlzatot. A forgalomirnyt hozzfrst biztost ms magnhlzatokhoz, valamint az internethez is. A forgalomirnyt helyi interfsznek IP-cmt meg kell adni a helyi hlzat sszes llomsnak IP belltsainl. A forgalomirnyt ezen interfszt alaprtelmezett tjrnak nevezzk. A forgalomirnytk szerepe a hlzatban kulcsfontossg, mivel sszekttetst biztostanak egy vllalati hlzat tbb telephelye kztt, redundns tvonalakat knlnak, s biztostjk az ISP-k kztti kapcsolatot az interneten keresztl. A forgalomirnytk betlthetik a tolmcs szerept is a klnbz tviteli kzegtpusok s protokollok kztt. A forgalomirnyt pldul jracsomagolja az Ethernet hlzatbl szrmaz csomagokat a soros begyazsnak megfelelen. A forgalomirnyt a cl IP-cm hlzati rszt hasznlja, hogy a csomagokat a megfelel cl fel irnytsa. Ha megsznik egy sszekttets vagy torlds alakul ki, akkor tartalktvonalat jell ki. A forgalomirnytk ms hasznos funkcikat is elltnak: A szrsok kzben tartsa sszekttets biztostsa tvoli helyek kztt A felhasznlk alkalmazsi terlet vagy szervezeti egysg szerinti logikai csoportostsa Fejlett adatbiztonsg megvalstsa (hlzati cmfordtssal s ACL-ekkel)
A vllalatok s az internetszolgltatk szmra egyarnt kulcsfontossg a csomagok clba juttatshoz a hatkony forgalomirnyts s a meghibsodott hlzati kapcsolatok helyrelltsa.
26
A forgalomirnytk tbbfle alakban s mretben kaphatk. Egy vllalati krnyezetben dolgoz hlzati rendszergazdnak a legklnflbb forgalomirnytkhoz s kapcsolkhoz kell tmogatst nyjtani, az asztalitl kezdve az llvnyba szerelhetn t a penge modellekig. A forgalomirnytk az alapjn is csoportosthatk, hogy a hardverkonfigurcijuk rgztett vagy modulris. A rgztett konfigurci esetben a forgalomirnyt interfszei fixen beptettek. A modulris forgalomirnytkat tbb bvthellyel szlltjk, amelyek lehetv teszik a hlzati rendszergazdk szmra a forgalomirnyt interfszeinek cserjt. A Cisco 1841 -es forgalomirnytt pldul kt beptett Fast Ethernet RJ -45 interfsszel szlltjk, s van kt szmos klnbz tpus hlzati csatlakozmodul fogadsra alkalmas bvthelye is. A forgalomirnytkat a legklnflbb (pl. Fast Ethernet, Gigabit Ethernet, soros, szloptikai) interfszekkel szlltjk. A forgalomirnyt interfszeinek megnevezse a vezrl/interfsz vagy a vezrl/bvthely/interfsz konvencit kveti. Ha pldul a vezrl/interfsz konvencit hasznljuk, a forgalomirnytn az els Fast Ethernet interfszt az Fa0/0 (0. vezrl s 0. interfsz) jelli. A
27
2. A vllalatok hlzati infrastruktrjnak megismerse msodikat az Fa0/1. A vezrl/bvthely/interfsz konvencit hasznl forgalomirnytn az els soros interfszt az S0/0/0 jelli.
Kt mdszer ltezik egy PC s egy hlzati eszkz konfigurcis s ellenrzsi feladatok cljbl trtn sszekapcsolsra: a svon kvli s a svon belli vezrls. A svon kvli vezrls a kezdeti konfigurci megadshoz vagy hlzati kapcsolat hinya esetn hasznlhat. A svon kvli vezrlst hasznl konfigurcihoz az albbiak szksgesek: Kzvetlen sszekttets a konzol- vagy AUX-porttal Terminlemulcis gyflprogram
A svon belli vezrls egy hlzati eszkz hlzati kapcsolaton keresztl trtn ellenrzsre s a konfigurcis belltsok elvgzsre hasznlhat. A svon belli vezrlst hasznl konfigurcihoz az albbiak szksgesek: Legalbb egy csatlakoztatott s mkdkpes hlzati interfsz az eszkzn Telnet, SSH vagy HTTP kapcsolaton keresztl elrhet Cisco eszkz
28
2.3.2 A forgalomirnyt parancssoros felletnek alapvet show parancsai

Az albbiakban a forgalomirnyt mkdsi llapotnak s hlzati funkcionalitsnak megjelentshez, illetve ellenrzshez hasznlhat leggyakoribb IOS parancsok kzl kvetkezik nhny. Az albbi parancsok tbb kategriba sorolhatk. ltalnos hasznlat: show running-config show startup-config show version
Forgalomirnytssal kapcsolatos: show ip protocols show ip route
Interfsszel kapcsolatos: show interfaces show ip interface brief show protocols
sszekttetssel kapcsolatos: show cdp neighbors show sessions show ssh ping traceroute
29
2.3.3 A forgalomirnyt alapbelltsainak megadsa a parancssoros felletrl

A forgalomirnyt alapbelltsainak rszt kpezi az azonosts cljbl megadott llomsnv, a biztonsgi clbl megadott jelszavak belltsa, valamint az IP -cmek interfszekhez trtn hozzrendelse az sszekttets biztostshoz. Ellenrizzk a konfigurcit, majd mentsk el a
30
2. A vllalatok hlzati infrastruktrjnak megismerse vltoztatsokat a copy running-config startup-config parancs hasznlatval! A forgalomirnyt belltsainak trlshez hasznljuk az erase startup-config, majd a reload parancsot! Konfigurcikezels: enable configure terminal copy running-config startup-config erase startup-config reload
Globlis belltsok: hostname banner motd enable password enable-secret
Vonali belltsok: line con line aux line vty login and password
Interfszbelltsok: interface tpus/szm description ip address no shutdown clock rate begyazs (encapsulation)
Forgalomirnytsi belltsok: router network ip route
2.3.4 A kapcsol
A hierarchikus tervezsi modell mindhrom rtege tartalmaz ugyan kapcsolkat s forgalomirnytkat, a hozzfrsi rtegben ltalban tbb a kapcsol. A kapcsolk f feladata, hogy biztostsk az llomsok (pl. vgfelhasznli munkallomsok, kiszolglk, IP -telefonok, webkamerk, hozzfrsi pontok s forgalomirnytk) kztti sszekttetetst. Ez azt jelenti, hogy egy vllalatnl lnyegesen tbb kapcsolra van szksg, mint forgalomirnytra.
31
2. A vllalatok hlzati infrastruktrjnak megismerse A kapcsolk tbbfle formtumban kaphatk: Lteznek kismret, asztali vagy falra szerelhet modellek. Az llvnyba szerelhet, integrlt forgalomirnytk rszt kpezi egy beptett kapcsol. A nagyteljestmny kapcsolk ltalban llvnyba szerelhetk, kialaktsuk jellemzen modulris a panel- s penge modellre pl, amely kpes kvetni a felhasznlk szmnak nvekedst.
A nagyteljestmny vllalati s szolgltati kapcsolk tmogatjk a 100 Mbit/sec-tl 10 Gbit/sec-ig terjed, klnbz sebessg portokat. Egy vllalati MDF kapcsol gigabites optikai vagy rzkbellel csatlakozik az IDF kapcsolkhoz. Az IDF kapcsolknak ltalban mindkt RJ-45 Fast Ethernet portra szksgk van, de kell legalbb egy gigabites Ethernet port is (rz vagy optikai) az MDF kapcsolhoz trtn felcsatlakozshoz. A nagyteljestmny kapcsolk nmelyike modulris portokkal rendelkezik, amelyek szksg esetn cserlhetk. Ilyen cserre lehet szksg pldul akkor, ha tbbmdus optikai kbelrl, eltr tpus portot ignyl egymdusra vltunk. A forgalomirnytkhoz hasonlan a kapcsolk portjait is a vezrl/port vagy a vezrl/bvthely/port konvenci alapjn jelljk. Ha pldul a vezrl/port konvencit hasznljuk, akkor a kapcsol els Fast Ethernet portjt az Fa0/1 (0. vezrl, 1. port) jelli. A msodikat az Fa0/2. A vezrl/bvthely/port konvencit hasznl kapcsol els portja az Fa0/0/1. A gigabites portokat a Gi0/1, Gi0/2, stb. jellik. A kapcsolk portsrsge szintn lnyeges szempont. Vllalati krnyezetben, ahol felhasznlk szzainak s ezreinek kell csatlakozni valamilyen kapcsolhoz, egy 48 portos, 1RU magassg kapcsol portsrsge nagyobb, mint egy 24 portos, 1RU magassg kapcsol.
32
2.3.5 A kapcsol parancssoros felletnek parancsai

A kapcsoln a belltsok megadsa, az sszekttets ellenrzse s a kapcsol jelenlegi llapotnak megjelentse IOS parancsok segtsgvel trtnik. Ezek a parancsok szmos kategriba sorolhatk az albbiak szerint: ltalnos hasznlat: show running-config show startup-config show version
Interfsszel / porttal kapcsolatos: show show show show interfaces ip interface brief port-security mac-address-table
sszekttetssel kapcsolatos: show cdp neighbors show sessions show ssh ping traceroute
A forgalomirnytknl alkalmazott svon belli s svon kvli konfigurlsi technikk a kapcsol belltsnl is ugyangy hasznlhatk.
33
A kapcsol alapbelltsainak rszt kpezi az azonosts cljbl megadott llomsnv, a biztonsgi clbl megadott jelszavak, valamint az IP-cmek interfszekhez trtn hozzrendelse az sszekttets biztostshoz. A svon belli hozzfrshez a kapcsolnak IP -cmmel kell rendelkeznie.
34
2. A vllalatok hlzati infrastruktrjnak megismerse Ellenrizzk, majd mentsk el a kapcsol konfigurcijt a copy running -config startup-config parancs hasznlatval! A kapcsol belltsainak trlshez hasznljuk az erase startup-config, majd a reload parancsot! Szksg lehet a VLAN informcik trlsre is, amely a delete flash:vlan.dat paranccsal vgezhet el. Konfigurcikezels: enable configure terminal copy running-config startup-config erase startup-config delete flash:vlan.dat reload
Globlis belltsok: hostname banner motd enable password enable-secret ip default-gateway
Vonali belltsok: line con line vty login and password
Interfszbelltsok: interface type/number (vlan1) ip address speed / duplex switchport port-security
35
36
3. Kapcsols vllalati hlzatokban
3. Kapcsola s vallalati halozatokban

3.1 A vllalati szint kapcsolsi folyamatok megismerse
3.1.1 Kapcsols s a hlzat szegmentlsa
Azzal egytt, hogy a kapcsolk s a forgalomirnytk egyarnt rszt kpezik egy vllalati hlzatnak, a hlzat tervezse jelents mrtkben a kapcsolkon alapul. A kapcsolk portonknti ra alacsonyabb, mint a forgalomirnytk, s a keretek vezetk sebessg gyorstovbbtsra kpesek. A kapcsol egy nagyon jl alkalmazhat 2. rtegbeli eszkz. Legegyszerbb szerepben tbb lloms kzponti csatlakozpontjaknt a hub-ot helyettesti. A kapcsol sszetettebb szerepet is kaphat, ha egy vagy tbb msik kapcsolhoz csatlakozik: redundns kapcsolatokat s virtulis LAN (VLAN)-okat hozhat ltre, kezelhet s tarthat karban. Egy kapcsol minden tpus hlzati forgalmat egyformn kezel, fggetlenl annak felhasznlsi mdjtl. Egy kapcsol a forgalmat a MAC-cmek alapjn tovbbtja. Minden kapcsol tartalmaz egy MAC-cm tblt, melyet tartalom szerint cmezhet memrinak (content addressable memory, CAM) nevezett gyors hozzfrs memriban trol. Minden egyes keret fogadsakor a memria tartalma frissl a forrs MAC-cme s a berkezsi port alapjn.
Azzal egytt, hogy a kapcsolk s a forgalomirnytk egyarnt rszt kpezik egy vllalati hlzatnak, a hlzat tervezse jelents mrtkben a kapcsolkon alapul. A kapcsolk portonknti ra alacsonyabb, mint a forgalomirnytk, s a keretek vezetk sebessg gyorstovbbtsra kpesek. A kapcsol egy nagyon jl alkalmazhat 2. rtegbeli eszkz. Legegyszerbb szerepben tbb lloms kzponti csatlakozpontjaknt a hub-ot helyettesti. A kapcsol sszetettebb szerepet is kaphat, ha egy vagy tbb msik kapcsolhoz csatlakozik: redundns kapcsolatokat s virtulis LAN (VLAN) -okat
37
3. Kapcsols vllalati hlzatokban hozhat ltre, kezelhet s tarthat karban. Egy kapcsol minden tpus hlzati forgalmat egyformn kezel, fggetlenl annak felhasznlsi mdjtl. Egy kapcsol a forgalmat a MAC-cmek alapjn tovbbtja. Minden kapcsol tartalmaz egy MAC -cm tblt, melyet tartalom szerint cmezhet memrinak (content addressable memory, CAM) nevezett gyors hozzfrs memriban trol. Minden egyes keret fogadsakor a memria tartalma frissl a forrs MAC-cme s a berkezsi port alapjn. Egy vllalatnl a nagymrtk rendelkezsre lls, a sebessg s a hlzat tbocsjt kpessge kritikus paramterek. Az tkzsi- s a szrsi tartomnyok mrete ersen befolysolja a hlzati forgalmat. ltalban is elmondhat, hogy a nagyobb tkzsi - s szrsi tartomnyok hatssal vannak az emltett ltfontossg paramterekre. Ha egy kapcsol szrsos keretet kap, akkor az ismeretlen clcm keret mintjra minden aktv interfszn kikldi. A szrsi tartomnyt azon eszkzk csoportja alkotja, amelyek mind megkapjk a szrsos keretet. Tbb kapcsol sszekapcsolsval a szrsi tartomnyok mrete nvekszik. Az tkzsi tartomnyok hasonl problmt okoznak. Minl tbb eszkz tartozik egy tkzsi tartomnyhoz, annl tbb tkzs trtnik. A hubok nagymret tkzsi tartomnyokat hoznak ltre. A kapcsolk ezzel szemben az gynevezett mikroszegmentcival mindssze egyetlen kapcsolportra cskkentik az tkzsi tartomnyok mrett. Ha a kapcsol egy portjra csak egy lloms csatlakozik, akkor dediklt kapcsolat jn ltre. Ha kt csatlakoz lloms kommunikl egymssal, akkor a kapcsoltbla alapjn a kapcsol egy virtulis kapcsolatot, ms nven mikroszegmenst hoz ltre a portok kztt. A kapcsol a kerettvitel vgig fenntartja a virtulis ramkrt (VC). Tbb virtulis ramkr is lehet aktv egyszerre. A mikroszegmentci az tkzsek szmnak cskkentsvel s tbb egyidej kapcsolat fenntartsval javtja a svszlessg kihasznlst. A kapcsolk szimmetrikus s aszimmetrikus kapcsolst is tmogathatnak. Azok a kapcsolk, melyeknek minden portjuk azonos sebessg, szimmetrikus kapcsolst vgeznek. Sok kapcsol rendelkezik kt vagy tbb nagysebessg porttal. Ezek a nagysebessg, ms nven fka pcsolati (uplink) portok olyan nagy svszlessg igny kapcsolatokat hoznak ltre, mint az albbiak: Csatlakozs ms kapcsolkhoz sszekttets kiszolglkhoz s kiszolglfarmokho Csatlakozs ms hlzatokhoz
Klnbz sebessg portok kztti adattvitel esetn aszimmetrikus kapcsolsrl beszlnk. Szksg esetn a kapcsol eltrolja az informcit a memriban, s ezzel egy tmeneti trolt biztost a klnbz sebessg portok kztt. Aszimmetrikus kapcsolk gyakran elfordulnak vllalati krnyezetben.
38
3.1.2 Tbbrteg kapcsols

Hagyomnyosan a hlzatokat kln 2. s kln 3. rtegbeli eszkzk alkottk. Minden eszkz klnbz technolgit hasznl az adatok feldolgozsra s tovbbtsra. 2. rteg 2. rteg kapcsolk hardver alapak. Az adatforgalmat a brmely bejv portot az sszes tbbi porttal sszekt bels ramkrkkel, a vezetk sebessgvel tovbbtjk. A tovbbts a keretben s a MAC-tblban megtallhat cl MAC-cm alapjn trtnik. Egy 2. rteg eszkz az adatforgalmat csak egy hlzati szegmensen, alhlzaton bell tovbbtja. 3. rteg A forgalomirnytk szoftver alapak, melyek mikroprocesszorok segtsgvel, IP -cmek alapjn hajtjk vgre a forgalomirnytst. A 3. rteg forgalomirnyts lehetv teszi az adatok tovbbtst klnbz hlzatok s alhlzatok kztt. Egy csomag berkezsekor a forgalomirnyt a szoftvere segtsgvel keresi meg a cllloms IP -cmt s a clhlzat fel vezet legjobb tvonalat. A forgalomirnyt ezek utn a megfelel interfszre kapcsol ja a csomagot.
39
3. Kapcsols vllalati hlzatokban A 3. rteg, vagy ms nven tbbrteg kapcsols (multilayer switching) egyetlen eszkzben egyesti a hardver-alap kapcsolst s a hardver-alap forgalomirnytst. Egy tbbrteg kapcsol egy 2. rtegbeli kapcsol s egy 3. rtegbeli forgalomirnyt tulajdonsgait tvzi. A 3. rteg kapcsolst kln erre a clra kifejlesztett, alkalmazs -specifikus integrlt ramkrk (application-specific integrated circuit, ASIC) vgzik. A keret- s csomagtovbbts ugyanazon ramkrk segtsgvel trtnik. A tbbrteg kapcsolk gyakran elmentik vagy gyorsttrba helyezik egy adatfolyam els csomagjnak irnytsi informciit. Ez lehetv teszi, hogy az adatfolyam tbbi csomagjnl mr ne legyen szksg a keressi folyamatra, hiszen a szksges informci a memriban mr megtallhat. Ez a gyorsttras megolds is hozzjrul az ilyen eszkzk nagy teljestkpessghez.
3.1.3 Kapcsolsi mdszerek

A kapcsols bevezetsekor a kapcsolk csak az egyik eljrst tmogattk a keretek egyik portrl egy msik portra trtn tkapcsolsra alkalmazhat kt f mdszer kzl. A kt mdszer a trol -stovbbt, illetve a kzvetlen tovbbts. Mindkt mdszernek lteznek elnyei s htrnyai. Trol-s-tovbbt Ennl a kapcsolsi mdnl a kapcsols az egsz keretet beolvassa s eltrolja a memriban, mieltt kiklden a cleszkz fel. A ciklikus redundancia ellenrz rtk (cyclic redundancy check, CRC) kiszmtsval ellenrzi az adatbitek rvnyessgt. Ha a kiszmtott rtk egyezik a CRC mez tartalmval, akkor a kapcsol tovbbtja a keretet a cllloms fel. Ha a CRC rtkek nem egyeznek, akkor a kapcsol nem tovbbtja a keretet. A CRC mez az Ethernet keret keretellenrz (frame check sequence, FCS) mezjben tallhat. Br ez a mdszer ugyan megakadlyozza a hibs keretek tovbbtst, nagy htrnya, hogy a lehet legnagyobb ksleltetssel jr. Ennek kvetkeztben ezt a kapcsolsi mdot leginkbb olyan krnyezetben hasznljk, ahol igen gyakoriak pldul az elektromgneses interferencia (EMI) okozta tvitelhibk. Kzvetlen kapcsols A msik gyakori kapcsolsi mdszer a kzvetlen kapcsols. Ennek a mdszernek tovbbi kt alvltozata ltezik: a gyorstovbbts s a tredkmentes kapcsols. Mindkt esetben a kapcsol a
40
3. Kapcsols vllalati hlzatokban teljes keret megrkezse eltt mr elkezdi a keret tovbbtst. w Mivel ebben az esetben a kapcsol nem szmtja ki s nem ellenrzi a CRC rtket, srlt keretek is tovbbtsra kerlhetnek. A gyorstovbbts a kapcsols leggyorsabb mdja. A kapcsol amint elolvassa a cl MAC-cmet, azonnal elkezdi a keret tovbbtst a megfelel clportra. Ennek a mdszernek a legkisebb a ksleltetse, de tkzstredkeket s srlt kereteket egyarnt tovbbt. Egy stabil, kis hibaarny hlzatban ez a legmegfelelbb kapcsolsi mdszer. A tredkmentes kapcsolsnl a kapcsol a tovbbts eltt megvrja a keret els 64 bjtjt, majd tkapcsolja a keretet a clportra. A legrvidebb rvnyes Ethernet keret ugyanis 64 bjt hossz. Kisebb keretek ltalban tkzsek kvetkeztben jnnek ltre s ezeket tkzstredknek (runt) hvjuk. A fentiek miatt az els 64 bjt ellenrzsvel elrhet, hogy a kapcsol tkzstredkeket ne tovbbtson. A trol-s-tovbbt mdszer jr a legnagyobb s a gyorstovbbts a legkisebb ksleltetssel. A tredkmentes kapcsols ksleltetse az elz kt rtk kztt helyezkedik el. A tredkmentes kapcsols a legmegfelelbb vlaszts olyan krnyezetben, ahol sok az tkzs. A jl megtervezett hlzatoknl azonban az tkzs nem jelent problmt, gy ilyen hlzatokban a gyorstovbbts a legjobb mdszer. Manapsg a legtbb Cisco LAN kapcsol a trol -s-tovbbt kapcsolsi mdszert alkalmazza, mivel az jabb technolginak s a gyorsabb feldolgozsi idnek ksznheten a kapcsolk hibzs nlkl kpesek a kzvetlen kapcsolssal kzel megegyez sebessggel az adatokat eltrolni s feldolgozni. Ezen fell a professzionlis, pldul a tbbrteg kapcsolk esetben mindenkppen a trol -stovbbt mdszer kell alkalmazni. Lteznek olyan jabb 2. s 3. rtegbeli kapcsolk, melyek kpesek a vltoz hlzati krlmnyekhez alkalmazkodni. Ezek a kapcsolk kezdetben a gyorstovbbtst alkalmazzk az elrhet legkisebb ksleltets rdekben. Ugyan a kapcsol nem ellenrzi a keretet a tovbbtsa eltt, de felismeri a hibkat, s a memriban egy szmll segtsgvel nyilvntartja azok szmt. A szmll rtkt a kapcsol idrl-idre sszeveti egy elre definilt kszbrtkkel. Ha a hibk szma meghaladja a kszbrtket, akkor ez a kapcsol szmra azt jelenti, hogy a tovbbtott hibs keretek mennyisge mr nem elfogadhat mrtk. Ebben az esetben a kapcsol tvlt trol-s-tovbbt kapcsolsi mdra. Ha a hibk szma visszaesik a kszbrtk al, akkor a kapcsol visszavlt gyorstovbbtsra. Ezt a mdszert adaptv kzvetlen kapcsolsnak hvjuk.
41
3.1.4 Kapcsolk vdelme

Az alkalmazott kapcsolsi mdszertl fggetlenl rdemes a hlzatunk vdelmrl gondoskodni. A hlzati biztonsg tmakrei leginkbb a forgalomirnytkkal s a kls adatforgalom letiltsval foglalkoznak. A kapcsolkat ltalban a szervezeten bell hasznljk, tervezsknl az egyszer kapcsoldsi lehetsg biztostsa volt a cl, gy nem vagy csak kevs biztonsgi bellts lehetsges rajtuk. Az albbi, kapcsolkon alkalmazhat alapszint biztonsgi eljrsok lehetv teszik, hogy csak jogosult felhasznlk frhessenek hozz az eszkzkhz: Az eszkz fizikai vdelme Titkostott jelszavak hasznlata SSH elrs engedlyezse A hozzfrs s az adatforgalom felgyelete A http hozzfrs letiltsa Nem hasznlt portok letiltsa A portvdelem engedlyezse A telnet letiltsa
42
3.2 A kapcsolsi hurkok kialakulsnak megelzse

3.2.1 Redundancia a kapcsolt hlzatokban
A modern vllalatok mkdkpessge egyre nagyobb mrtkben fgg a szmtgpes hlzatuktl. Sok szervezet letkpessgt a hlzata hatrozza meg. A hlzat mkdskptelensge komoly zleti krokat, bevtel kiesst s az zletfelek elgedetlensgt eredmnyezheti. Egy sszekttets, egy eszkz vagy egy kapcsol kritikus portjnak meghibsodsa a hlzat mkdskptelensgt okozza. A hlzat megtervezsekor redundancira van szksg a magas szint megbzhatsg fenntartsa, valamint a meghibsodsra rzkeny s kritikus pontok cskkentse rdekben. A redundancit a hlzati eszkzk s a kritikus terletek fel vezet sszekttetsek duplzsval lehet megvalstani. Termszetesen addhatnak olyan helyzetek, amikor az sszes sszekttets s eszkz megduplzsa nagyon kltsges lenne. A hlzati mrnkknek ltalban mrlegelnik kell s egyenslyt kell tallni a redundancival jr kltsgek s a hlzat rendelkezsre llsi kvetelmnye kztt.
43
3. Kapcsols vllalati hlzatokban A redundancia tulajdonkppen azt jelenti, hogy pldul egy adott cl fel kt tvonal is ltezik. Nem hlzati krnyezetben a redundancira pldaknt az egy vrosba vezet kt t, az egy folyt thidal kt hd, vagy az egy pletbl kivezet kt ajt esett emlthetjk. Ha az egyik t valamirt hasznlhatatlan, a msik mg elrhet. A kapcsolk esetben redundancit a kztk kialakitott tbbszrs sszekttetssel rhetnk el. A kapcsolt hlzatokban megvalstott redundancia cskkenti a torldsokat, bizostja a nagymrtk rendelkezsre llst, valamint a terhelselosztst. A kapcsolk kztt ltrehozott sszektsek ugyanakkor problmk forrsai is lehetnek. Az Ethernet forgalom szrsos jellege miatt pldul kapcsolsi hurkok jhetnek ltre. A szrsos keretek krbe krbe jrnak minden irnyban, szrsi viharokat eredmnyezve. A szrsi viharok az elrhet svszlessget lefoglaljk, gy elfordulhat, hogy jabb hlzati kapcsolatok ltrejttt akadlyozzk meg, valamint rgiek megszaktst eredmnyezik. Kapcsolt hlzatokban a szrsi viharok mellett az egyedi cmzs keretek is okozhatnak problmt. Ilyen problmatpus pldul a tbbszrs kerettovbbts vagy a MAC -adatbzis instabilitsa. Tbbszrs kerettovbbts Ha egy lloms egyedi cmzs keretet kld egy olyan llomsnak, melynek MAC -cme egyetlenegy csatlakoz kapcsol MAC-tbljban sem tallhat meg, akkor mindegyik kapcsol az sszes portjn kikldi a keretet. Nem hurokmentes hlzatban a keret visszarkezhet a kezdemnyez kapcsolhoz. A folyamat gy jra meg jra megismtldik, a keret tbbszrs pldnyt ltrehozva a hlzaton. Esetenknt a cllloms tbb msolatot is kap az eredeti keretbl. Ez hrom problmt is okozhat: svszlessg felesleges lefoglalsa, CPU idvesztesg, valamint az adatforgalom esetleges duplzsa. MAC-adatbzis instabilits Redundns hlzatokban elfordulhat, hogy a kapcsol egy lloms elhelyezkedsrl rossz informcit tanul meg. Ha ltezik hurok, akkor a kapcsol egy lloms MAC -cmt akr kt kln porttal is sszefggsbe hozhatja. Ez nem egyrtelm helyzetet s az optimlistl elmarad kerettovbbtst okozhat.
3.2.2 Fesztfa protokoll (Spanning tree protocol, STP)

A fesztfa protokoll kapcsolt hlzatok redundns sszekttetseinek letiltsra szolgl. Az STP hurkok nlkl biztostja a megbzhatsg nvelshez szksges redundancit. Az STP egy nylt szabvny protokoll, melyet kapcsolt krnyezetben, hurokmentes logikai topolgia ltrehozsra hasznlnak. Az STP egy minimlis konfigurlst ignyl, lnyegben nllan mkd protokoll. Azok a kapcsolk, melyeken engedlyezett az STP az els bekapcsolskor ellenrzik a kapcsolt hlzatok esetleges hurkait. Hurok szlelsekor letiltjk az rintett portok valamelyikt, mg a tbbi porton aktv marad a kerettovbbts.
44
Az STP a hlzat sszes kapcsoljt egy faszerkezet, kiterjesztett csillag topolgij hlzattal kapcsolja ssze. Ezek a kapcsolk folyamatosan ellenrzik a hlzatot annak rdekben, hogy ne alakulhassanak ki hurkok s a portok megfelelen mkdjenek. A kapcsolsi hurkok kialakulsnak megelzsre az STP az albbiakat teszi: Bizonyos interfszeket kszenlti vagy lezrt llapotba helyez A tbbi interfszt tovbbt llapotban hagyja Ha egy tovbbt tvonal elrhetetlenn vlik, akkor a hlzat jrakonfigurlsval a megfelel kszenlti tvonalat aktivlja.
Az STP terminolgit kvetve a kapcsolt gyakran hdnak nevezik. Pldul a gykrponti h d az STP topolgia elsdleges kapcsolja, vagyis kzponti pontja. A gykrponti hd gynevezett hd -protokoll adategysgek (Bridge Protocol Data Unit, BPDU) segtsgvel kommunikl a tbbi kapcsolval. A gykrponti kapcsol kt msodpercenknt csoportcmzssel BPDU keretet kldik ki az sszes tbbi kapcsolnak. A BPDU tbbek kztt a kvetkez informcikat tartalmazza: A BPDU-t kld kapcsol azonostja A forrsport azonostja A gykrponti hdhoz vezet tvonal sszestett kltsge Az elvlsi idztk rtke A hello idztk rtke
45
Port azonost: Minden port esetn egyedi rtket tartalmaz A Port 1/1 esetn a 0x8001 rtket tartalmazza, mg a Port 1/2 esetn a 0x8002 rtket, stb.
A kapcsol elindtsa utn minden port vgighalad a kvetkez ngy llapot sorozatn: lezrt, figyel, tanul s tovbbt. Az tdik, letiltott llapot jelzi, hogy a rendszergazda a portot letiltotta. Miutn a portok vgigmennek ezeken az llapotokon, a kapcsol port LED-jei villog narancssznbl folyamatos zldre vltanak. Akr 50 msodpercbe is telhet, mg a portok az sszes llapoton vgighaladva tovbbt mdba kerlnek. Bekapcsolskor a portok lezrt llapotba kerlnek, azonnal megakadlyozva a hurkok kialakulst. Ezutn figyel llapotba lpnek, ahol mr fogadjk a szomszd kapcsolk BPDU kereteit. A kapott BPDU informci feldolgozsa utn a kapcsol eldnti, hogy mely portok tovbbthatnak adatkereteket anlkl, hogy hurok alakulna ki. Ha egy port adatkereteket tovbbthat, akkor a port elszr tanul mdba, majd tovbbt mdba kerl. A hozzfrsi portok nem okozhatnak hurkokat a hlzatban, ezrt ha lloms kapcsoldik rjuk rgtn tovbbt mdba kerlhetnek. A trnkportok esetn viszont fennll a veszlye hurok kialakulsnak, gy azok vagy tovbbt-, vagy lezrt llapotba kerlnek.
46
47
3.2.3 Gykrponti hidak

Az STP mkds els lpseknt a kapcsolk meghatrozzk a hlzat kzponti pontjt. Az STP ezt a kzponti pontot, ms nven gykrponti hdat (gykrponti kapcsolt) hasznlja annak eldntsre, hogy mely portok kerljenek lezrt s melyek tovbbt llapotba. A gykrponti hd a hlzat topolgijra vonatkoz informcit tartalmaz BPDU -kat kld minden kapcsolnak. Ezen informcik teszik lehetv a hlzat jrakonfigurlst hiba esetn. Minden hlzatban csak egy gykrponti hd ltezik, melyet a kapcsolk a hdazonost (bridge ID, BID) alapjn vlasztanak ki. Ezt az azonostt a hd prioritsa s MAC -cme hatrozza meg. A hdpriorits alaprtelmezett rtke 32,768. Az AA -11-BB-22-CC-33 MAC-cm kapcsol alaprtelmezett hdazonostja 32768 : AA-11-BB-22-CC-33 lenne.
A gykrponti hd a legkisebb hdazonostj kapcsol. Mivel ltalban a kapcsolk az alaprtelmezett rtket hasznljk prioritsnak, gy alaprtelmezetten a legkisebb MAC -cm kapcsol lesz a gykrponti hd. Bekapcsolskor mindegyik kapcsol azt felttelezi, hogy a gykrponti hd, ezrt elkezdi a sajt azonostjval elltott BPDU-k kikldst. Ha S2 kisebb rtk azonostt hirdet mint S1, akkor S1 nem folytatja sajt azonostjnak hirdetst s elfogadja, hogy S2 a gykrponti hd. Az STP hrom klnbz port tpust definil: gykrponti port, kijellt port s lezrt port. Gykrponti port Egy kapcsol azon portja amelybl a legkisebb kltsg tvonal vezet a gykrponti kapcsolhoz. A kapcsolk a gykrponti kapcsolhoz vezet tvonal sszekttetseinek ered kltsgrtke alapjn hatrozzk meg a legkisebb kltsg tvonalat. Kijellt port Egy hlzatszegmens azon portja amelyen t az adott szegmens s gykrponti hd kztti adatforgalom halad, de nem tartozik a legkisebb kltsg tvonalhoz. Lezrt port Olyan port, mely nem tovbbt adatforgalmat.
48
Az STP konfigurlsa eltt a hlzati rendszergazda elemzi s teszteli a hlzatot, hogy a legmegfelelbb kapcsol legyen a fesztfa gykrpontja. Nem biztos ugyanis, hogy az a legoptimlisabb, ha a legkisebb MAC-cm kapcsol lesz a gykrponti hd. Egy kzponti elhelyezkeds kapcsol felel meg leginkbb a gykrponti hd funkcijnak. A hlzat szln elhelyezked gykrponti hd ugyanis azt okozhatja, hogy az adatok hosszabb tvonalon jutnak el a clllomsig, mintha a gykrponti hd kzponti elhelyezkeds lenne. A gykrponti hd funkcinak legmegfelelbb kapcsol azonostjt a tbbihez kpest kisebb priorits rtkkel kell konfigurlni. A bridge priority paranccsal llthat be a priorits rtke. Ez 0-tl 65535-ig terjedhet, s 4096 egsz szm tbbszrsnek kell lennie. Az alaprtelmezett rtk 32768. Az alaprtelmezett rtk 32768. A priorits belltsa: S3(config)#spanning-tree vlan 1 priority 4096 A priorits alaprtelmezett rtknek visszalltsa: S3(config)#no spanning-tree vlan 1 priority
49
3.2.4 Fesztfa egy hierarchikus hlzatban

A gykrponti hd, a gykr-, a kijellt- s a lezrt portok megvlasztsa utn a gykrponti hd kt msodpercenknt BPDU csomagokat kld a hlzaton keresztl minden kapcsolnak. Az STP folyamatosan figyeli ezeket a BPDU-kat az sszekttets hibinak s jabb hurkok keletkezsnek elkerlse rdekben. Ha egy sszekttets meghibsodik, akkor az STP jbl elvgzi a szmtsokat. Ennek eredmnyeknt: Bizonyos lezrt portokat tovbbt mdba helyez Bizonyos tovbbt portokat lezrt llapotba helyez j fesztft kszt a hurokmentes hlzat fenntartsa rdekben
Az STP nem azonnal reagl a vltozsokra. Ha egy sszekttets meghibsodik, akkor az STP szreveszi a hibt s kiszmolja a legjobb tvonalakat a hlzaton. Ez a szmts akr 30 -50 msodpercet is ignybe vehet. Ezen id alatt nincs adatforgalom az jraszmtsban rintett portokon. Bizonyos felhasznli alkalmazsok esetben ez vrakozsi idtllpst eredmnyezhet, ami a termelkenysg s ezzel egytt a bevtel cskkenst eredmnyezheti. Gyakori STP jraszmolsok negatv hatst gyakorolnak a hlzat mkdsre. Ha nagy forgalmat bonyolt kiszolgl csatlakozik egy porthoz, akkor ezen port jraszmolsa esetn a kiszolgl akr 50 msodpercig is elrhetetlenn vlhat. Elkpzelni is nehz, hogy mennyi tranzakci veszik el a kiesett idintervallum alatt. Stabil hlzatban az STP jraszmolsok nem tl gyakoriak. Instabil hlzatban fontos a kapcsolk stabilitsnak s konfigurci vltozsainak ellenrzse. Az STP jraszmolsok egyik leggyakoribb oka a kapcsol hibs tpelltsa. A hibs tpellts az eszkz vratlan jraindulst eredmnyezheti. Az STP tbbirny tovbbfejlesztse is hozzjrul ahhoz, hogy az jraszmols miatt fellp kiess idtartama cskkenjen. PortFast Az STP PortFast egy hozzfrsi port szmra lehetv teszi, hogy a figyel s tanul llapotok kihagysval rgtn tovbbt mdba kerljn. A csupn egyetlen lloms vagy kiszolgl kapcsoldst biztost hozzfrsi portokon bellitott PortFast mddal elrhet, hogy ezen eszkzk mg az STP konverglsa eltt csatlakozzanak a hlzathoz. UplinkFast Egy sszekttets vagy kapcsol meghibsodsa, illetve az STP jrakonfigurlsa esetn az STP UplinkFast felgyorstja az j gykrport kivlasztst. A gykrport az STP normlis mkdstl eltren, a figyel- s tanul llapotok kihagysval rgtn tovbbt mdba kerl.
50
3. Kapcsols vllalati hlzatokban BackboneFast A BackboneFast gyors konvergencit biztost a fesztfa topolgia megvltozsakor. Gyorsan visszalltja a gerinchlzati sszekttetseket. Az elosztsi s a kzponti rtegben hasznljk, ahol tbb kapcsol csatlakozik egymshoz. Mivel a PortFast, UplinkFast s a BackboneFast a Cisco sajt fejlesztsei, gy ms gyrtmny kapcsolk esetn nem alkalmazhatak. Ezen fell mindhrom funkci kln konfigurlst ignyel. Szmos hasznos parancs ltezik a fesztfa protokoll helyes mkdsnek ellenrzsre. Show spanning-tree A gykrponti hd azonostjt, a hdazonostt s a portok llapott jelenti meg Show spanning-tree summary A portok llapotrl ad sszefoglal informcit Show spanning-tree root A gykrponti hd llapott s konfigurcijt jelenti meg Show spannig-tree detail Rszletes informcit nyjt a portokrl Show spanning-tree interface - Az STP interfszek llapott s konfigurcijt jelenti meg Show spanning-tree blockedports - Megmutatja a lezrt portokat
3.2.5 Gyors fesztfa protokoll (Rapid spannig tree protocol, RSTP)

Amikor az IEEE kifejlesztette az eredeti 802.1D Fesztfa protokollt (STP), akkor mg 1 -2 perc helyrelltsi id elfogadhat volt. Manapsg a 3. rteg kapcsols s a fejlettebb irnyt protokollok gyorsabb alternatv tvonalat biztostanak a clllomshoz. A ksleltetsre rzkeny forgalom, mint pldul hang- s vide tvitel a kapcsolt hlzatok gyors konvergencijt ignylik, lpst tartva az jabb technolgik elvrsaival. Az IEEE 802.1w szabvnyaknt ismert gyors fesztfa protokoll (RSTP) jelentsen felgyorstja a fesztfa jraszmolst. Eltren a PortFast, UplinkFast s BackboneFast funkciktl az RSTP nem cgorientltan zrt protokoll. Az RSTP a kapcsolk kztt duplex, pont-pont sszekttetst ignyel a legnagyobb jrakonfigurlsi sebessg elrshez. Az RSTP-vel a fesztfa jrakonfigurlsa kevesebb, mint 1 msodperc alatt megtrtnik, eltren a hagyomnyos STP-tl, ahol ez akr 50 msodperc is lehet. Az RSTP hasznlatakor nincs szksg az olyan funkcikra, mint a PortFast s az UplinkFast. Az RSTP visszallthat STP-re annak rdekben, hogy a szolgltats hagyomnyos eszkzkkel egytt is mkdjn. Az jraszmolsi id cskkentsre az RSTP mindssze hromra cskkenti a port llapotok szmt: eldob, tanul s tovbbt. Az eldob llapot az eredeti STP hrom llapothoz, a lezrt-, a figyels a letiltott llapotokhoz hasonlthat. Az RSTP bevezeti az aktv topolgia fogalmt. Minden nem eldob llapotban lv port az aktv topolgia rsze, s azonnal tovbbt mdba kerl.
51
3.3 VLAN-ok konfigurlsa

3.3.1 Virtulis LAN
A msodik rtegbeli kapcsolkhoz csatlakoz llomsok s kiszolglk azonos szegmenshez tartoznak, ami felvet kt lnyeges problmt: A kapcsolk az zenetszrst minden portjukon kikldik, gy feleslegesen hasznljk a svszlessget. A kapcsolhoz csatlakoz eszkzk szmnak nvelsvel n az zenetszrsok szma, s ezltal nvekszik a svszlessg hasznlat. Minden, a kapcsolhoz csatlakoz eszkz tovbbthat s fogadhat kereteket minden ms ide csatlakoz eszkztl.
A hlzattervezs ltalnosan alkalmazott gyakorlata szerint az zenetszrsokat a hlzat lehet legszkebb terletn bell kell tartani. zleti megfontolsok miatt bizonyos llomsoknak minden ms llomst el kell rnik, mg ms llomsoknl ez szksgtelen. Pldul a knyvelsi kiszolglt valsznleg csak a knyvelsi osztly tagjainak kell elrnik. Kapcsolt hlzatban az zenetszrsok korltozsa s az azonos felhasznlsi terlethez tartoz llomsok csoportostsa rdekben virtulis helyi hlzatok (VLAN - virtual local area network) hozhatk ltre. A VLAN egy logikai zenetszrsi tartomny, mely tbb fizikai LAN szegmensre is kiterjedhet. Lehetsget nyjt a rendszergazdknak az llomsok logikai csoportostsra a fizikai elhelyezkeds figyelembevtele nlkl, pldul projektcsoportok vagy alkalmazsi terlet alapjn.
A kvetkez plda rvilgthat a fizikai s a virtulis, ms nven logikai hlzatok kztti klnbsgre: Egy iskola tanulit kt csoportra osztjuk. Az egyik tagjai piros, mg a msik csoport tagjai kk azonost krtyt kapnak. A legfontosabb kvetend elv, hogy a piros krtysok csak piros krtysokkal, a kkek pedig csak kkekkel beszlhetnek. Ily mdon a tanulk kt logikailag elklnl, virtulis csoporthoz vagy VLAN-hoz tartoznak. E logikai csoportostst hasznlva, az zenetszrs csak a piros krtysok krben terjed el, mg ha a kt csoport fizikailag egy iskolhoz tartozik is.
52
3. Kapcsols vllalati hlzatokban A plda rmutat a virtulis helyi hlzatok egy tovbbi jellemzjre is, nevezetesen, hogy az zenetszrsok a VLAN-ok kztt nem kerlnek tovbbtsra, hanem a VLAN-on bell maradnak. Minden VLAN nll helyi hlzatknt mkdik. Egy vagy tbb kapcsoln vel t, lehetsget teremtve az llomsoknak, hogy gy mkdjenek, mintha azonos hlzati szegmenshez tartoznnak. A VLAN kt legfontosabb feladata: Az zenetszrsok VLAN-on bell tartsa. Az eszkzk csoportostsa. Az egyik VLAN-hoz tartoz llomsok lthatatlanok maradnak egy msik VLAN llomsai szmra.
Virtulis helyi hlzatok kztti adattovbbtshoz harmadik rtegbeli eszkz szksges. Kapcsolt hlzatban az eszkzk elhelyezkedsk, MAC -cmk, IP-cmk vagy leggyakrabban hasznlt alkalmazsaik alapjn lehetnek egy adott VLAN tagjai. A hozzrendelst a rendszergazda elvgezheti statikusan vagy dinamikusan. Statikus VLAN tagsg estn a rendszergazda manulisan rendel minden kapcsolportot egy meghatrozott VLAN-hoz. Pldul az Fa0/3-as portot hozzrendelheti a 20-as VLAN-hoz, gy brmelyik eszkzt is csatlakoztatunk ide, az automatikusan a 20-as VLAN tagjv vlik. A VLAN tagsg belltsnak ez a mdszere a legknnyebb s a legelterjedtebb, annak ellenre, hogy a hozzads, az eltvolts vagy a vltoztats ekkor jr a legtbb adminisztrcival. Pldul, ha egy llomst egy VLAN-bl egy msikba szeretnnk thelyezni, akkor vagy a portot kell manulisan jrakonfigurlni, vagy a munkalloms kbelt kell egy msik porthoz csatlakoztatni. A VLAN-tagsg a felhasznl ell teljes mrtkben rejtve marad. A kapcsol egyik portjhoz csatlakoz eszkzn dolgoz felhasznlnak nincs tudomsa arrl, melyik VLAN -hoz tartozik.
53
3. Kapcsols vllalati hlzatokban Dinamikus VLAN-tagsg belltsnl egy VLAN-tagsgot kezel kiszolgl (VMPS - VLAN management policy server) alkalmazsa szksges, amely nyilvntartja a MAC -cmek s VLAN-ok kztti megfeleltetseket. Amikor egy eszkz egy kapcsolporthoz csatlakozik, a VMPS megkeresi adatbzisban az adott MAC-cmet, s a hasznlt portot tmenetileg a megfelel VLAN-hoz rendeli. A dinamikus VLAN-tagsg tbb szervezst s belltst ignyel, azonban jval rugalmasabb rendszert hoz ltre a tagsgok kezelsre, mint a statikus mdszer. A hozzads, a vltoztats s az eltvolts automatikusan megy vgbe, s nincs szksg rendszergazdai beavatkozsra. Megjegyzs: Nem minden Catalyst kapcsol tmogatja a VMPS alkalmazst.
3.3.2 Virtulis helyi hlzat konfigurlsa

VLAN-ok ltrehozsa akr statikusan, akr dinamikusan trtnik, maximlis szmuk a kapcsol tpustl s az IOS-tl fgg. Alaprtelmezs szerint az 1-es VLAN a felgyeleti VLAN. A kapcsol tvoli konfigurlsra a felgyeleti VLAN IP -cmt hasznlhatja a rendszergazda. Tvoli elrs esetn bellthatja s karbantarthatja a VLAN-konfigurcikat. A felgyeleti VLAN szolgl a ms hlzati eszkzkkel folytatott Cisco Discovery Protocol (CDP) s VLAN Trunking Protocol (VTP) informcicserre is. Egy VLAN ltrehozsakor egy szmot s egy nevet kell megadni. A VLAN szma, az 1 -es VLAN-t leszmtva, brmely rtk lehet a kapcsoln engedlyezett tartomnybl. Nmely kapcsol megkzeltleg 1000 VLAN ltrehozst teszi lehetv, mg msok akr a 4000 -et is tmogatnak. A VLAN-ok elnevezse a hlzat zemeltetinek erre vonatkoz gyakorlatt kveti.
VLAN-ok ltrehozsra globlis konfigurcis mdban az albbi parancsok hasznlhatk: Switch(config)#vlan vlan_szm Switch(config-vlan)#name vlan_nv Switch(config-vlan)#exit Az egyes portok a mr ltez VLAN-okhoz rendelhetk. Kezdetben alaprtelmezs szerint minden port az 1-es VLAN-hoz tartozik. A portok hozzrendelse trtnhet egyesvel vagy csoportosan. Tbb port egyidej VLAN-hoz rendelsre az albbi parancsok hasznlhatk: Switch(config)#interface fa0/port_szm Switch(config-if)#switchport access vlan vlan_szm 54
3. Kapcsols vllalati hlzatokban Switch(config-if)#exit Tbb port egyidej VLAN-hoz rendelsre az albbi parancsok hasznlhatk: Switch(config)#interface tartomny_vge range fa0/tartomny_kezdete -
Switch(config-if)#switchport access vlan vlan_szm Switch(config-if)#exit A VLAN-ok ellenrzse, karbantartsa s hibaelhrtsa rdekben elengedhetetlen a Cisco IOS rendelkezsre ll show parancsainak megrtse. VLAN-ok ellenrzsre s karbantartsra az albbi parancsok hasznlhatk: show vlan Rszletes listt jelent meg a kapcsol jelenleg aktv VLAN-jairl, feltntetve azok nevt, szmt s a hozzrendelt portokat. STP statisztikt jelent meg, ha a kapcsol VLAN-alap STP-re van belltva.
show vlan brief sszestett listt jelent meg kizrlag az aktv VLAN -okrl s az azokhoz rendelt portokrl
show vlan id azonost_szm Az azonostszmval (ID) megadott VLAN-ra vonatkozan jelent meg informcikat.
show vlan name vlan_szm A nevvel megadott VLAN-ra vonatkozan jelent meg informcikat.
Egy szervezetnl gyakran elfordul, hogy egy osztly vagy egy projektcsapat sszettele megvltozik: j munkatrsak kerlhetnek a csapathoz, mg msok munkahelye megsznhet vagy j helyre kerlhet. Az ilyen gyakori vltozsok szksgess teszik a VLAN -ok karbantartst, belertve egy vagy tbb VLAN trlst vagy portok hozzrendelst egy msik virtulis hlzathoz. A VLAN-ok trlse s a VLAN-hoz taroz port-hozzrendelsek megszntetse kt, egymstl jl elklnthet rendeltets s eredmny mvelet. Amikor egy port, egy meghatrozott VLAN-hoz tartoz hozzrendelst megszntetjk, visszakerl az 1-es VLAN-ba. Amikor egy VLAN-t trlnk, minden hozztartoz port inaktvv vlik, mivel egyetlen VLAN -hoz sem tartozik. VLAN trlse: Switch(config)#no vlan vlan_szm Port kivtele egy meghatrozott VLAN-bl: Switch(config)#interface fa0/port_szm Switch(config-if)#no switchport access vlan vlan_szm
55
3.3.3 VLAN-ok azonostsa

Egy adott VLAN-hoz tartoz eszkzk csak az azonos VLAN-hoz tartozkkal kpesek kzvetlenl kommuniklni, fggetlenl attl, hogy ugyanahhoz vagy msik kapcsolkhoz csatlakoznak -e. A kapcsol minden portjhoz egy meghatrozott VLAN -t rendel. Amikor egy keret rkezik a portra, a kapcsol bejegyzi az Ethernet keretbe a VLAN azonostjt (VID - VLAN ID). A VID Ethernet kerethez trtn hozzadst keretcmkzsnek (frame tagging) nevezik. A leggyakrabban alkalmazott cmkzsi szabvny az IEEE 802.1Q. A 802.1Q szabvny, rviden dot1q, egy 4-bjtos mezt illeszt az Ethernet keretbe, a forrscm s a tpus/hossz mez kz. Mivel az Ethernet keret legkisebb mrete 64 bjt, a legnagyobb mrete pedig 1518 bjt lehet, a felcmkzett keret mrete elrheti az 1522 bjtot. A keretek tbbek kztt az albbi mezket tartalmazzk: a forrs s a cl MAC-cme a keret hossza hasznos adat keretellenrz sszeg (FCS - frame check sequence)
Az FCS mez a keret hibaellenrzst tesz lehetv, biztostva az sszes bit srtetlen kzbestst. A cmkzsi mez megnveli az Ethernet keret minimlis hosszt 64 bjtrl 68 -ra, s a maximlis hosszt 1518-rl 1522 bjtra. A bitszm megvltozsnak kvetkezmnyeknt a kapcsol jraszmtja a keretellenrz sszeget. Ha egy 802.1Q protokollnak megfelel port egy msik ugyanilyen porthoz csatlakozik, a VLAN cmkzsi informci a kt port kztt tovbbtdik. Ha a kapcsold port nem felel meg a 802.1Q protokollnak, a VLAN cmkt a kapcsol eltvoltja, mieltt a keret az tviteli kzegre kerlne. Ha 802.1Q protokollt nem tmogat eszkz vagy port 802.1Q keretet kap, a cmkzsi adatot figyelmen kvl hagyja, s a keretet egy szokvnyos Ethernet keretknt tovbbtja a msodik
56
3. Kapcsols vllalati hlzatokban rtegben. Ebbl kvetkezen tovbbi msodik rtegbeli kzbls eszkzk (pldul kapcsolk s hidak) helyezhetk el a trnk vonalon. A 802.1Q keretcmkzs kezelshez ezeknek az eszkzknek 1522 bjtos vagy nagyobb keretek kezelsre is kpesnek kell lennik.
3.4 A trnkls s VLAN-ok kztti forgalomirnyts

3.4.1 Trnkportok
A VLAN-oknak hrom f feladatuk van: az zenetszrsi tartomnyok korltozsa a hlzat teljestmnynek nvelse alapszint vdelem biztostsa
A VLAN-ok sszes elnynek kihasznlsa rdekben a VLAN-ok tbb kapcsolra is kiterjeszthetk. A kapcsol portjai kt klnbz feladat elltsra konfigurlhatk: vagy hozzfrsi portok, vagy trnkportok lesznek. Hozzfrsi port A hozzfrsi port kizrlag egy VLAN-hoz tartozik. ltalban egyetlen eszkz, asztali gp vagy kiszolgl kapcsoldik ehhez a porthoz. Ha hubon keresztl tbb lloms is csatlakozik hozz, mindegyik ugyanannak a VLAN-nak a tagja lesz.
57
3. Kapcsols vllalati hlzatokban Trnkport A trnkport kt kapcsolt vagy ms hlzati eszkzt sszekt pont-pont kapcsolat, mely tbb VLAN forgalmt tovbbtja egyetlen kapcsolaton keresztl, lehetv tve a VLAN -ok szmra a teljes hlzat elrst. Trnkportokra van szksg, amennyiben klnbz VLAN-okhoz tartoz eszkzk kztti forgalmat kell tovbbtani olyan krnyezetben, ahol egy kapcsol egy msik kapcsolhoz, kapcsol forgalomirnythoz vagy kapcsol egy 802.1Q trnklst tmogat hlzati krtyval rendelekez llomshoz csatlakozik.
Trnkport nlkl minden egyes VLAN kln sszekttetst ignyelne a kapcsolk kztt. Pldul egy vllalatnl 100 db VLAN 100 kln sszekttetst ignyelne. Az ilyen elrendezs nehzkesen bvithet s kltsges. A trnk-kapcsolatok megoldst jelentenek a problmra azzal, hogy tbb VLAN forgalmt kpesek szlltani egyetlen kapcsolaton keresztl. Tbb VLAN forgalmnak egyidej szlltsa egyetlen sszekttetsen a VLAN -ok azonostst teszi szksgess. A trnkportok tmogatjk a keretcmkzst, melynek sorn VLAN informcik kerlnek a keretbe. A IEEE 802.1Q a keretcmkzsre vonatkoz szabvnyos s elfogadott eljrs. A Cisco kifejlesztett egy sajt keretcmkzsi protokollt is, kapcsolk kztti sszekttets (ISL - Inter-Switch Link) nven. A nagyteljestmny kapcsolk, mint pldul a Catalyst 6500-as sorozat eszkzei, mindkt keretcmkzsi protokollt tmogatjk, azonban a legtbb LAN kapcsol, mint pldul a 2960 -as, csak a 802.1Q protokollt tmogatja. Alaprtelmezs szerint a kapcsolk portjai hozzfrsi portok. Trnkport konfigurlsra az albbi parancsok hasznlhatk: Switch(config)#interface fa0/port_szm Switch(config-if)#switchport mode trunk Switch(config-if)#switchport negotiate} trunk encapsulation {dot1q | isl |
58
3. Kapcsols vllalati hlzatokban A 802.1Q s az ISL protokollokat egyarnt tmogat kapcsolk esetn az utols parancssor is szksges. A 2960-as kapcsol esetn ez felesleges, hiszen ez csak a 802.1Q protokollt tmogatja. A negotiate (egyeztet) paramter a legtbb kapcsoln alaprtelmezett. Ez a bellts a szomszdos kapcsolk kztti begyazs tpusnak automatikus szlelst rja el.
Az jabb kapcsolk kpesek az sszekttetsek msik vgpontjnak belltsait felismerni, gy a csatlakoz eszkz szerint konfigurljk a kapcsolatot trnk, illetve hozzfrsi portnak. Switch(config-if)#switchport mode dynamic {desirable | auto} desirable (elvrt) mdban a port trnkport lesz, ha az sszekttets tls vge trunk, desirable, vagy auto mdban van. auto mdban a port trnkport lesz, ha az sszekttets tls vge trunk vagy desirable mdban van. Ha egy trnkportot ismt hozzfrsi portra szeretnnk konfigurlni, az albbi parancsok hasznlhatk: Switch(config)#interface fa0/port_szm Switch(config-if)#no switchport mode trunk vagy Switch(config-if)#switchport mode access
59
3.4.2 Tbb kapcsolra kiterjed VLAN-ok

A trnklsi eljrs lehetv teszi tbb VLAN forgalmnak tovbbtst egyetlen porton keresztl. Mindkt vgn 802.1Q cmkzsre belltott sszekttets esetn minden keret egy 4 -bjtos cmkzsi mezvel egszl ki. Ez a mez tartalmazza a VLAN azonostt (VLAN ID). Amikor egy kapcsol cmkzett keretet fogad egy trnkportjn, egy hozzfrsi portra trtn tovbbts eltt eltvoltja a cmkt. A tovbbtst csak akkor hajtja vgre, ha a port a cmkzsi mezben feltntetett VLAN-nak tagja. Bizonyos forgalom-tipusok keretei esetn elkerlhetetlen, hogy azok VLAN ID nlkl haladjanak t egy 802.1Q sszekttetsen. Az ilyen forgalmat cmkzetlen forgalomnak nevezik. Ilyen pldul a CDP s a VTP protokollok forgalma, valamint bizonyos tpus hangtviteli forgalom. A cmkzetlen forgalom ksleltetse kisebb, mivel ilyenkor kimarad a VLAN ID kezels fzisa. A cmkzetlen forgalom lehetv ttele rdekben egy specilis VLAN, az gynevezett natv VLA N alkalmazhat. Egy 802.1Q trnkportra rkez cmkzetlen forgalom a natv VLAN -hoz fog tartozni. A Cisco Catalyst kapcsolkon alaprtelmezs szerint az 1-es VLAN a natv VLAN. Brmely VLAN bellthat natv VLAN-nak. Meg kell bizonyosodni ugyanakkor arrl , hogy a trnkvonal mindkt vgn egyformn van belltva a natv VLAN. Ha klnbzik a bellts, hurok jhet ltre a fesztfa kialaktsa sorn. Egy 802.1Q sszekttetshez tartoz fizikai interfszen a natv VLAN belltsra az albbi parancs alkalmazhat: Switch(config-if)#dot1q native vlan vlan-azonost
3.4.3 VLAN-ok kztti forgalomirnyts

Habr a VLAN-ok tbb kapcsolra is kiterjedhetnek, csak az azonos VLAN-hoz tartoz tagok kommuniklhatnak kzvetlenl egymssal. A klnbz VLAN-ok kztt csak harmadik rtegbeli eszkz tud kapcsolatot teremteni. Ez az elrendezs lehetv teszi a rendszergazda szmra a VLAN-ok kztti forgalom szigor ellenrzst.
60
3. Kapcsols vllalati hlzatokban A VLAN-ok kztti forgalomirnyts megvalstsnak egyik mdja, amikor minden VLAN a harma dik rtegbeli eszkz egy-egy kln interfszhez kapcsoldik.
A klnbz VLAN-ok kztti kapcsolat kialaktsnak msik mdja alinterfszek alkalmazsval trtnik. Az alinterfszek egy fizikai interfsz logikai felosztsbl jnnek ltre. Ebben az eset ben minden VLAN-hoz egy alinterfszt kell konfigurlni. Az alinterfszek alkalmazsval megvalstott VLAN-ok kztti (inter-VLAN) kommunikcihoz a kapcsoln s a forgalomirnytn egyarnt el kell vgezni a megfelel belltsokat. Kapcsol Konfigurljuk a kapcsol interfszt 802.1Q trnkportra!
Forgalomirnyt Vlasszunk a forgalomirnytn egy minimum 100 Mbit/s sebessg Fast Ethernet interfszt! Konfigurljunk alinterfszeket, s lltsuk be rajtuk a 802.1Q begyazst! Konfigurljunk minden VLAN-hoz egy alinterfszt!
Az alinterfszek alkalmazsa lehetv teszi, hogy minden VLAN -nak sajt logikai tvonala s alaprtelmezett tjrja legyen a forgalomirnytn.
61
3. Kapcsols vllalati hlzatokban Egy VLAN-bl trtn adatklds esetn az oda tartoz lloms az alaprtelmezett tjr belltott rtknek megfelelen a csomagokat a forgalomirnytnak tovbbtja. A VLAN -hoz rendelt alinterfsz egyttal alaprtelmezett tjrknt fog mkdni az adott VLAN llomsai szmra. A forgalomirnyt meghatrozza a cl IP-cmet, majd kikeresi a hozztartoz bejegyzst az irnyttblban. Ha a cl VLAN ugyanahhoz a kapcsolhoz csatlakozik, mint a forrs VLAN, akkor a forgalomirnyt visszairnytja a csomagot a kapcsol fel a cl VLAN ID-nek megfelel alinterfszt hasznlva. Ezt a konfigurci tpust gyakran router-on-a-stick nven emlegetik. Ha a forgalomirnyt kimen interfsze 802.1Q kompatibilis, a keret megtartja a 4 -bjtos VLAN cmkt. Ellenkez esetben a forgalomirnyt eltvoltja a cmkt a keretbl, s visszalltja az eredeti Ethernet formt. VLAN-ok kztti forgalomirnyts konfigurlshoz az albbi lpsek szksgesek: 1. Trnkport konfigurlsa a kapcsoln. Router(config)#interface fa2/0 Switch(config-if)#switchport mode trunk 2. IP-cm s alhlzati maszk nlkli interfsz konfigurlsa a forgalomirnytn. Router(config)#interface fa1/0 Router(config-if)#no ip address Router(config-if)#no shutdown 3. Minden VLAN-hoz alinterfsz konfigurlsa a forgalomirnytn. Az alinterfszeken 802.1Q begyazs szksges. Router(config)#interface fa0.10/0 Router(config-subif)#encapsulation dot1q 10 Router(config-subif)#ip address 192.168.10.1 255.255.255.0 4. A VLAN-ok kztti forgalomirnyts belltsainak s mkdsnek ellenrzshez az albbi parancsok hasznlhatk: Switch#show trunk Router#show ip interfaces Router#show ip interfaces brief Router#show ip route
62
3.5 VLAN-ok kezelse vllalati hlzatokban

3.5.1 VLAN trnkprotokoll (VTP)
A hlzatok mretnek s sszetettsgnek nvekedsvel szksgszerv vlik a VLAN -ok kzponti felgyelete. A VLAN-trnkprotokoll (VTP VLAN Trunking Protocol) egy 2. rtegbeli zenettovbbt protokoll, amely lehetv teszi egy hlzati szegmensen a VLAN adatbzis megosztst s felgyelett egy kzponti kiszolglrl. A forgalomirnytk nem tovbbtjk a VTP frisstseket. Amennyiben nincs lehetsg egy tbb szz VLAN-t tartalmaz vllalati hlzat automatizlt felgyeletre, akkor minden kapcsoln minden VLAN -t kzzel kell belltani, s a VLAN-okban bekvetkez minden vltozs is tovbbi kzi konfigurcit ignyel. Egy hibsan lettt szm az egsz hlzatra kiterjed kapcsolathibt okozhat. A Cisco ennek elkerlsre fejlesztette a ki a szmos VLAN belltsi lehetsg automatikus elvgzsre szolgl VTP protokollt. A VTP gondoskodik a VLAN konfigurci egsz hlzatra kiterjed egysgessgnek kialaktsrl, s cskkenti a VLAN felgyelettel s megfigyelssel jr feladatok szmt. A VTP egy gyfl-kiszolgl alap zenettovbbt protokoll, amely egy VTP tartomnyban VLAN -ok ltrehozsra, trlsre s tnevezsre szolgl. A kzs felgyelet al tartoz kapcsolk mindegyike egy tartomny rsze. Minden tartomny egyedi nvvel rendelkezik. A VTP kapcsolk csak az ugyanahhoz a tartomnyhoz tartoz kapcsolknak kldik el VTP zeneteiket. Kt VTP vltozat ltezik, az 1-es s a 2-es. Az 1-es vltozat az alaprtelmezett, s nem kompatibilis a 2-es vltozattal. Minden kapcsoln ugyanazt a vltozatot kell belltani. A VTP hrom mdban mkdik: kiszolgl, gyfl s transzparens. Alapesetben minden kapcsol kiszolgl mdban van. A redundancia rdekben ajnlott legalbb kt kiszolgl md kapcsolt konfigurlni.
63
Minden VTP kapcsol a trnk portjain kldi VTP hirdetmnyeit, melyek tartalmazzk a felgyeleti tartomny, a konfigurci verziszm adatokat s az sszes VLAN paramtert. A kapcsolk ezeket a hirdetmnykereteket egy csoport cmre kldik, amit gy minden szomszdos eszkz meg kap. Minden VTP kapcsol az NVRAM-ban trolja VLAN adatbzist, ami tartalmaz egy verziszmot. Ha a kapcsol az adatbzisban troltnl nagyobb verziszm hirdetmnyt kap, akkor frissti VLAN adatbzist az j informcikkal. A VTP konfigurci verziszma 0-rl indul, s minden vltozskor eggyel n. Maximlis rtke 2 147 483 648, amit elrve visszall 0-ra. A kapcsol jraindtsa szintn 0-ra lltja a verziszmot. A verziszm akkor okozhat gondot, ha a hlzatba egy eddiginl nagyobb verziszmmal rendelkez kapcsol kerl. Mivel egy kapcsol alapesetben kiszolgl, gy az j, de nem helyes informcik fellrjk a korbbi VLAN adatokat minden kapcsoln. Ennek a helyzetnek az elkerlsre bellthat a kapcsol azonostsra szolgl VTP jelsz. Tovbbi megolds jelent, ha mieltt egy kiszolgl md kapcsolt mr tartalmaz hlzathoz j kapcsolt adunk, megbizonyosodunk rla, hogy a kapcsol gyfl vagy transzparens mdban van-e.
64
3. Kapcsols vllalati hlzatokban Hrom VTP zenettpus ltezik: sszegz hirdetmny, rszleges hirdetmny s hirdetmnykrs. sszegz hirdetmny A Catalyst kapcsolk 5 msodpercenknt vagy a VLAN adatbzis vltozsakor kldik sszegz hirdetmnyeiket. Ezek tartalmazzk az aktulis VTP tartomny nevt s a konfigurci verziszmt. VLAN ltrehozsakor, trlsekor vagy vltoztatsakor a kiszolgl eggyel megnveli a verziszmot, s elkld egy sszegz hirdetmnyt. Amikor egy kapcsol sszegz hirdetmnyt kap, sszehasonltja a benne szerepl VTP tartomny nevt a sajtjval. Egyezs esetn ellenrzi a verziszmot is. Kisebb vagy megegyez rtk esetn eldobja a keretet, ellenkez esetben viszont egy hirdetmnykrst kld. Rszleges hirdetmny Az sszegz hirdetmnyt VLAN informcikat tartalmaz rszleges hirdetmny kveti. A rszleges hirdetmnyekben tallhatk az sszegz hirdetmnyhez kapcsold j VLAN informcik. Ha tbb VLAN ltezik, akkor tbb rszleges hirdetmnyre van szksg. Hirdetmnykrs A Catalyst kapcsolk a VLAN informcikat hirdetmnykrsekkel krdezik le. Erre akkor kerl sor, ha a kapcsolt trltk, a VTP tartomny neve megvltozott vagy a kapcsol a sajtjnl nagyobb verziszm VTP sszegz hirdetmnyt kapott.
3.5.2 A VTP konfigurlsa

A kapcsolk alapesetben kiszolgl mdban vannak. Amikor egy kiszolgl mdban lev kapcsol az eddig rvnyben lvnl nagyobb verziszm frisstst kld, az sszes tbbi kapcsol az j informcinak megfelelen vltoztatja meg adatbzist. j kapcsol meglv tartomnyhoz csatlakoztatsakor a kvetkez lpseket kell elvgezni: 1. lps: VTP konfigurlsa off-line mdban (1-es verzi) 2. lps: VTP konfigurci ellenrzse 3. lps: Kapcsol jraindtsa
3.5.3 VLAN-ok az IP-telefnia s a vezetk nlkli hlzatok vilgban

A VLAN-ok ltrehozsnak alapvet clja a forgalom logikai csoportokra bontsa. Egy VLAN forgalma nem befolysolja egy msik VLAN forgalmt. A VLAN -krnyezet idelis a ksleltetsre rzkeny forgalom, pldul hangtvitel esetn. A szakadozott s rosszul hallhat beszlgetsek elkerlse rdekben a hangtvitel szmra prioritst kell biztostani az adattvitellel szemben. Hangtvitelre szolgl kln VLAN ltrehozsval elkerlhet a ktfajta forgalom versengse a rendelkezsre ll svszlessgen. Egy IP-telefonnak ltalban 2 portja van, az egyik a hang-, a msik pedig az adattvitel szmra. A szmtgptl s az IP-telefontl kiindul ill. oda berkez csomagok a telefontl a kapcsolig kzs
65
3. Kapcsols vllalati hlzatokban fizikai sszekttetst, illetve ugyanazt a kapcsolportot hasznljk. A hangforgalom elvlasztshoz kln hangtovbbtsra szolgl VLAN-t rdemes ltrehozni a kapcsoln. Vezetk nlkli forgalom esetn szintn elnykkel jr a VLAN -ok alkalmazsa. A vezetk nlkli forgalom termszetnl fogva nem biztonsgos s a hekkerek kedvelt clpontja. VLAN-ok kialaktsval nhny lehetsges problma elkerlhet. A vezetk nlkli VLAN vdelme miatt alkalmazott ktttsgek nincsenek hatssal a szervezet tbbi VLAN-jra. A legtbb vezetk nlkli rendszernl a felhasznl biztonsgi okokbl a tzfalon kvl csatlakozik a VLAN-hoz, s a vezetk nlkli hlzatbl a bels hlzat elrshez azonostania kell magt. Szmos szervezet biztost vendg hozzfrst a vezetk nlkli hlzathoz. A vendg hozzfrs ideiglenes jelleggel biztost brki szmra olyan vezetk nlkli szolgltatsokat, mint pldul web hozzfrs, elektronikus levelezs, ftp s SSH. A vendg felhasznlk tartozhatnak a vezetk nlkli VLAN-ba vagy akr tkerlhetnek egy elklntett vendg VLAN-ba is.
3.5.4 Bevlt VLAN megoldsok

Egy gondosan megtervezett s ltrehozott VLAN struktra vdelmet nyjt, svszlessget takart meg, s lokalizlja a vllalati hlzat forgalmt. Mindezen tulajdonsgokat egyttesen kihasznlva javthat a hlzat teljestmnye. Nhny hasznos tancs VLAN-ok konfigurlshoz vllalati hlzatokban: Kiszolgl helynek megtervezse Nem hasznlt portok letiltsa A felgyeleti VLAN konfigurlsa 1-estl eltr VLAN-szmmal VLAN trnkprotokoll hasznlata VTP tartomnyok ltrehozsa Minden a meglv hlzathoz csatlakoz j kapcsol csatlakoztats eltti jraindtsa
A VLAN-ok nem nyjtanak minden problmra megoldst. A nem megfelelen kialaktott VLAN-ok feleslegesen bonyolultt tehetik a hlzatot, ez inkonzisztens kapcsolatokhoz s a hlzat teljestmnynek romlshoz vezethet.
66
3. Kapcsols vllalati hlzatokban A VLAN-ok biztonsgi okokbl klntenek el bizonyos tpus forgalomtipusokat egymstl. A VLAN ok kztti forgalomirnytshoz 3. rtegbeli eszkzre van szksg, amely megnveli a megvalsts kltsgt s a hlzat ksleltetst.
3.6 A fejezet sszegzse
67
68
4. Vllalati hlzatok cmzse
4. Vallalati halozatok cmzese

4.1 IP-hlzatok hierarchikus cmzsi smja
4.1.1 Egyszint s hierarchikus hlzatok
A helyi hlzatban bekvetkez tkzsek szma kapcsolk hasznlatval cskkenthet. Egy teljesen kapcsolt hlzat ltalban egyetlen szrsi tartomnybl ll. Ilyen egyszint hlzatban minden eszkz ugyanabba a hlzatba tartozik, s minden szrsi zenetet megkap. Mindez kisebb hlzatok esetn elfogadhat. Sok lloms esetn egy egyszint hlzat hatkonysga romlik. Ahogyan a kapcsolt hlzat llomsainak szma n, gy kell egyre tbb szrsi zenetet kldeni s fogadni. A szrsi zenetek svszlessget foglalnak le, ksleltetseket s idtllpseket okoznak. A nagyobb, egyszint hlzatok problmjra megoldst nyjthat a VLAN -ok (virtulis helyi hlzatok) ltrehozsa. Ebben az esetben minden VLAN egy kln szrsi tartomny. Msik megolds lehet forgalomirnytk hasznlatval hierarchikus hlzat kialaktsa.
4.1.2 Hierarchikus hlzati cmzs

A vllalati hlzatok nagy kiterjedsek s lhetnek a hierarchikus hlzattervezs s cmzs elnyeivel. A hierarchikus cmzs a hlzatot logikailag kisebb alhlzatokra osztja. A hatkony hierarchikus cmzsi sma osztly alap hlzati cmzst hasznl a kzponti rtegben, majd fokozatosan egyre kisebb mret alhlzatokat az elosztsi s hozzfrsi rtegben. Hierarchikus hlzat hierarchikus cmzs nlkl is mkdhet, de hatkonysga cskken, s nhny irnyt protokoll tulajdonsg, mint pldul az tvonalak sszegzse nem megfelelen mkdik. A fldrajzilag klnll telephellyel rendelkez vllalati hlzatok esetben a hierarchikus tervezs s cmzs egyszersti a hlzat felgyelett, a hibaelhrtst, s javitja a bvithetsget s a forgalomirnyts hatkonysgt.
69
4.1.3 Hlzat felosztsa alhlzatokra

hlzatok alhlzatokra bontsnak szmos oka lehet, kztk az albbiak: Fizikai elhelyezkeds Logikai csoportosts Biztonsg Alkalmazsi kvetelmnyek Szrsok hatkrnek korltozsa Hierarchikus tervezs
Ha egy szervezet pldul a 10.0.0.0 hlzatot hasznlja, akkor alkalmazhatja a 10.X.Y.0 cmzsi smt, ahol X egy fldrajzi terletet, Y pedig azon bell egy pletet vagy emeletet jell. Ez a cmzs lehetv teszi: 255 klnbz fldrajzi terlet, terletenknt 255 plet, pletenknt 254 lloms ltrehozst.
70
4.2 A VLSM hasznlata

4.2.1 Alhlzati maszk
A hierarchikus tervezshez szksges alhlzatok ltrehozshoz elengedhetetlen az alhlzati maszk fogalmnak pontos ismerete s megrtse. Az alhlzati maszk azonositja az ugyanabba a hlzatba tartoz llomsokat. A maszk 32 bites, s az IP-cm hlzati s lloms bitjeit klnbzteti meg egymstl. Felptst tekintve 1-eseket majd 0kat tartalmaz. Az 1-es bit a hlzati, a 0-s bit pedig az lloms biteket azonostja. Az A osztly cmek alaprtelmezett alhlzati maszkja 255.0.0.0, vagy perjeles formban: /8. A B osztly cmek alaprtelmezett alhlzati maszkja 255.255.0.0, azaz /16. A C osztly cmek alaprtelmezett alhlzati maszkja 255.255.255.0, azaz /24.
A /x forma a cm hlzat azonositsra hasznlt bitjeinek szmt adja meg. Egy vllalati hlzatban az alhlzati maszk hossza klnbz lehet. Az egyes LAN szegmensekhez ugyanis gyakran eltr szm lloms tartozik, s ilyenkor ugyanannak a maszknak a hasznlata nem hatkony.
71
4.2.2 Alhlzat-szmts binris formban

Amikor egy lloms kommunikcit kezdemnyez egy msik llomssal, akkor meghatrozza a sajt s a cl hlzati cmt. Annak eldntsre, hogy a kt lloms ugyanahhoz a helyi hlzathoz csatlakozik-e, a kld a sajt alhlzati maszkjt alkalmazza mind a sajt, mind a cllloms IPv4 cmre. Az alhlzati maszk 32 bites s az IP-cm hlzati s lloms bitjeinek megklnbztetsre szolgl. Felptst tekintve 1-esek majd 0-k sorozatbl ll. Az 1-es bitek az IP-cm hlzatcmzsre szolgl bitjeit, a 0-s bitek pedig az llomscmzsre hasznlt biteket azonostja. A kld lloms a forrs - s a clcm hlzat-azonost bitjeit hasonltja ssze. Amennyiben a kt hlzatcm megegyezik, a csomag helyileg tovbbthat, ellenkez esetben a csomagot az alaprtelmezett tjrnak kell kldeni. Tegyk fel, hogy a H1 lloms a 192.168.1.44 IP -cmmel s a 255.255.255.0 alhlzati maszkkal zenetet szeretne kldeni a H2 llomsnak, melynek IP -cme 192.168.1.66, alhlzati maszkja 255.255.255.0. Ebben az esetben mindkt lloms alaprtelmezett maszkkal rendelkezik, azaz a hlzati bitek oktetthatron (bjthatron), mgpedig a harmadik oktettnl vgzdnek. Mivel mindkt lloms hlzati bitjei egyformn 192.168.1, gy ugyanabban a hlzatban vannak.
Br bjthatron vgzd alhlzati maszk esetn knny az IP-cm hlzati s lloms rsznek felismerse, maga a folyamat ugyanaz abban az esetben is, amikor a hlzati bitek nem oktetthatron vgzdnek. Legyen pldul a H1 lloms IP -cme 192.168.13.21, alhlzati maszkja 255.255.255.248, azaz /29. Mindez azt jelenti, hogy a 32 bitbl 29 bit a hlzatcim, vagyis a hlzati bitek az els hrom oktettet teljesen, a negyedik oktettet rszben fedik le. Ebben az esetben a hlzat azonostja 192.168.13.16. Ha a 192.168.13.21/29 IP-cm H1 lloms zenetet szeretne kldeni a 192.168.13.25/29 IP -cm H2 llomsnak, a hlzati bitek sszehasonltsa szksges annak eldntsre, hogy a kt lloms ugyanazon a helyi hlzaton tallhat-e. Jelen esetben H1 hlzatazonostja 192.168.13.16, H2 hlzatazonostja pedig 192.168.13.24, gy H1 s H2 nem ugyanahhoz a hlzathoz tartozik, ezrt kommunikcijukhoz forgalomirnyt szksges.
72
4.2.3 Alapszint alhlzat-kszts

Hierarchikus cmzs esetn szmos informci meghatrozhat csupn az IP-cm s az alhlzati maszk perjeles (/X) formjbl. A 192.168.1.74/26 IP -cm pldul a kvetkez informcikat tartalmazza: Decimlis alhlzati maszk A /26 formnak megfelel alhlzati maszk a 255.255.255.192.
Ltrehozott alhlzatok szma Az alaprtelmezett /24 maszkbl kiindulva 2 llomsbit lett tsorolva a hlzatcimzsre szolgl bitekhez, e kt bittel 4 alhlzat hozhat ltre (2^2 = 4).
Alhlzatonknt megcmezhet llomsok szma 6 llomsbit segtsgvel 62 lloms cmezhet meg alhlzatonknt (2^6 2 = 64 - 2 = 62).
Hlzati cm Az alhlzati maszk segtsgvel meghatrozhatk a hlzati bitek, s gy a hlzati cm is. A pldban ez 192.168.1.64.
Els hasznlhat llomscm Egy lloms IP-cmben nem lehet minden llomsbit 0, mivel az az alhlzat hlzati cme. gy az els hasznlhat llomscm a .64-es alhlzatban a .65
zenetszrsi cm Egy lloms IP-cmben nem lehet minden llomsbit 1-es, mivel az az alhlzat zenetszrsi cme. Ebben az esetben az zenetszrsi cm .127, a kvetkez alhlzat hlzati cme pedig .128.
73
4.2.4 Vltoz hosszsg alhlzati maszk (VLSM)

Az alapszint alhlzat-kszts kisebb hlzatok esetn megfelel, de nem nyjt elegend rugalmassgot nagyobb vllalati hlzatokban. A vltoz hosszsg alhlzati maszk (VLSM Variable Length Subnet Mask) a cmtr hatkony alkalmazst, s a hierarchikus IP-cmzsnek ksznheten az tvonalsszegzs kihasznlst teszi lehetv. Az tvonalsszegzs (sszevons) cskkenti az irnyttblk mrett a hozzfrsi s kzponti rteg forgalomirnytiban. A kisebb irnyttblban val keress kevesebb CPU idt ignyel. A VLSM az alhlzatok alhlzatokra bontsnak elve. Kezdetben a cmzs hatkonysgnak maximalizlsra fejlesztettk ki, ksbb a privt cmek megjelensvel elsdleges elnye a szervezhetsg s az tvonalsszegzs lett. Nem minden irnyt protokoll tmogatja a VLSM hasznlatt. Az osztly alap irnyt protokollok, mint pldul a RIPv1, tvonalfrisstseikben nem tartalmazzk az alhlzati maszkot. Adott alhlzati maszkkal rendelkez interfsz esetn a forgalomirnyt felttelezi, hogy minden ugyanebbe az osztlyba taroz csomag ugyanilyen maszkkal rendelkezik. Az osztly nlkli irnyt protokollok tmogatjk a VLSM hasznlatt, mivel minden tvonalfrisstsben elkldik az alhlzati maszkot. Osztly nlkli irnyt protokoll pldul a RIPv2, az EIGRP s az OSPF. A VLSM elnyei: Cmtr hatkony kihasznlsa Eltr alhlzati maszk hossz hasznlata Cmblokkok kisebb egysgekre bontsa tvonalsszegzs Rugalmasabb hlzattervezs Hierarchikus vllalati hlzatok tmogatsa
74
A VLSM lehetv teszi az akr alhlzatonknt klnbz alhlzati maszkok hasznlatt. Egy hlzati cm alhlzatokra bontst kvet minden tovbbi felbonts jabb alhlzatokat (alalhlzatokat) hoz ltre. A 10.0.0.0/8 hlzatot pldul egy /16-os alhlzati maszk 256 alhlzatra bontja, melyek mindegyikben 16382 lloms cmezhet. 10.0.0.0/16 10.1.0.0/16 10.2.0.0/16 - 10.255.0.0/16 A /24 alhlzati maszkot alkalmazva brmely /16 alhlzatra, pldul, a 10.1.0.0/16 -ra, 256 tovbbi alhlzat jn ltre. Az gy kapott j alhlzatok mindegyike 254 lloms cmzsre alkalmasak. 10.1.1.0/24 10.1.2.0/24 10.1.3.0/24 - 10.1.255.0/24 Brmely /24 alhlzatra alkalmazva a /28 alhlzati maszkot, 16 jabb alhlzat jn ltre (pldul 10.1.3.0/28). Az gy kapott j alhlzatok mindgyike 14 lloms cmzsre alkalmasak. 10.1.3.0/28 10.1.3.16/28 10.1.3.32/28 10.1.3.240/28
75
4.2.5 VLSM cmzs megvalstsa

Egy IP-cmzsi sma ltrehozsa VLSM hasznlatval gyakorlst s tervezst ignyel. Gyakorlskppen kpzeljnk el egy olyan sszetett hlzatot, amelyben a kvetkez elvrsok jelentkeznek: Atlanta HQ = 58 llomscm Perth HQ = 26 llomscm Sydney HQ = 10 llomscm Corpus HQ = 10 llomscm WAN sszekttetsek = 2 llomscm (sszekttetsenknt)
A legnagyobb hlzat 58 llomsnak cmzshez /26-os alhlzat szksges. Az egyszer alhlzati sma hasznlata nem csak pazarl, de mindsszesen 4 alhlzat ltrehozst teszi lehetv, ami nem elegend a szksges 7 LAN/WAN szegmens cmzshez. A megoldst a VLSM cmzs nyjtja.
76
VLSM alhlzati sma kialaktsnl az alhlzati kvetelmnyek megtervezsekor mindig figyelembe kell venni az llomsok szmnak esetleges nvekedst.
77
78
4. Vllalati hlzatok cmzse Szmos cmzsi rendszer kialaktst tmogat eszkz ltezik. VLSM diagram Az egyik ilyen mdszer VLSM diagram segtsgvel azonostja a mg felhasznlhat s a mr kiosztott cmblokkokat. VLSM krdiagram Egy msik megolds egy krdiagram segtsgvel, a teljes krt kisebb krcikkekre osztva brzolja az alhlzatokat. Ezek az eljrsok megakadlyozzk a mr lefoglalt cmek jbli kiosztst, s segtenek az tfed cmtartomnyok kialaktsnak elkerlsben.
79
4.3 Az osztly nlkli forgalomirnyts s a CIDR alkalmazsa

4.3.1 Osztly alap s osztly nlkli forgalomirnyts
A VLSM s hasonl mdszerek alkalmazsval az osztly alap IPv4 cmzsi rendszer kiterjeszthet osztly nlkli rendszerr. Az osztly nlkli cmzs az internet exponencilis nvekedst tette lehetv. Az osztly alap cmzs az IP-cmek hrom alap osztlyt s a hozzjuk tartoz alaprtelmezett alhlzati maszkokat hatrozza meg: A osztly (255.0.0.0 vagy /8) B osztly (255.255.0.0 vagy /16) C osztly (255.255.255.0 vagy /24)
Egy vllalat A osztly hlzati cmtartomny hasznlata esetn tbb mint 16 milli, B osztly esetn tbb mint 65.000, mg C osztly esetn mindsszesen 254 llomscmmel rendelkezik. Amita a felhasznlhat A s B osztly cmek szma korltozott, sok vllalat tbb C osztly cm beszerzsvel biztostja a hlzat kvetelmnyeinek megfelel szm cmet. Ennek kvetkezmnyeknt a C osztly cmtr kimerlse az eredetileg tervezettnl lnyegesen gyorsabban megtrtnt.
Osztly alap IP-cmek esetn az els oktett, azon bell is az els hrom bit rtke hatrozza meg, hogy a hlzat A, B vagy C osztly. Minden f hlzathoz egy alaprtelmezett maszk tartozik, melyek rendre 255.0.0.0, 255.255.0.0 vagy 255.255.255.0. Az osztly alap irnyt protokollok, mint pldul a RIPv1, tvonalfrisstsei nem tartalmazzk az alhlzati maszkot, gy a fogad forgalomirnytk ezeket felttelezsek alapjn hatrozzk meg.
80
4. Vllalati hlzatok cmzse Osztly alap irnyt protokoll esetn, ha egy forgalomirnyt frisstst kld egy alhlzatokra bontott hlzatrl, pldul a 172.16.1.0/24-rl, egy olyan forgalomirnytnak, melynek interfsze a frisstsben szerepl fhlzathoz tartozik, pldul a 172.16.2.0/24-hez, akkor a kvetkez trtnik: A kld forgalomirnyt a teljes hlzati cmet hirdeti alhlzati maszk nlkl, ami ebben az esetben 172.6.1.0. A fogad forgalomirnyt a 172.16.2.0 interfsznek megfelel alhlzati maszkot alkalmazza a hirdetett hlzatra, azaz a pldban a 255.255.255.0 maszkot a 172.16.1.0 hlzatra.
Ha a forgalomirnyt frisstst kld egy alhlzatokra bontott hlzatrl, pldul a 172. 16.1.0/24rl, egy olyan forgalomirnytnak, melynek interfsze nem a frisstsben szerepl f hlzathoz tartozik, hanem pldul a 192.168.1.0/24-hez, akkor a kvetkez trtnik: A kld forgalomirnyt nem az alhlzati, csak a f osztly alap hlzati cmet hirdeti, ami ebben az esetben 172.16.0.0. A fogad forgalomirnyt alkalmazza erre a hlzatra az alaprtelmezett alhlzati maszkot, ami B osztly esetn 255.255.0.0.
Az IPv4 cmek gyors kimerlsre reaglva fejlesztette ki az IETF az osztly nlkli forgalomirnytst (Classless Inter-Domain Routing - CIDR). A CIDR az IPv4 cmtr hatkonyabb felhasznlst teszi lehetv, alkalmas hlzati cmek sszegzsre, s gy az irnyttblk mretnek cskkentsre. A CIDR hasznlata osztly nlkli irnyt protokollt ignyel, pldul RIPv2-t, EIGRP-t vagy statikus forgalomirnytst. CIDR kompatibilis forgalomirnytk esetn a cmosztlyoknak nincs jelentsge. Az alhlzati maszk meghatrozza a cm hlzati rszt, amelyet hlzati eltagnak (networ k prefix) vagy eltag hossznak is neveznek. A cm osztlya ebben az esetben mr nem hatrozza meg a hlzati cmet. Az internetszolgltatk az gyfelek nhny llomstl akr tbb szz vagy tbb ezer llomsig terjed ignyei szerint IP-cmek megfelel csoportjt rendelik hozz egy-egy gyflhlzathoz. CIDR s VLSM esetn mr nem csak a /8-as, a /16-os vagy a /24-es eltag hosszt hasznlhatjk.
81
4. Vllalati hlzatok cmzse A VLSM-et s a CIDR-et tmogat osztly nlkli irnyt protokollok kz tartoz bels tjr protokollok (IGP) a RIPv2, az EIGRP, az OSPF s az IS-IS. Az internetszolgltatk kls tjr protokollokat (EGP) is hasznlnak. Pldaknt a hatrtjr-protokollt (BGP Border Gateway Protocol) emlthet. Az osztly alap s osztly nlkli irnyt protokollok kztti klnbsg lnyege, hogy az osztly nlkli protokollok tvonal-frisstsei a hlzati cmeket a hozzjuk tartoz alhlzati maszkkal egytt hirdetik. Osztly nlkli irnyt protokoll hasznlata akkor elengedhetetlen, ha a maszk az els oktett rtke alapjn nem hatrozhat meg helyesen vagy egyrtelmen. Amikor egy forgalomirnyt osztly nlkli protokollt hasznlva tvonalfrisstst kld, pldul a 172.16.1.0 hlzatrl, egy olyan fogalomirnytnak, amelynek hirdetst fogad interfsze a frisstsben hirdetett f hlzathoz tartozik, pldul a 172.16.2.0/24 hlzat rsze, akkor a kvetkez trtnik: A kld forgalomirnyt minden alhlzatt alhlzati maszkkal egytt hirdeti.
Amikor egy forgalomirnyt pldul a 172.16.1.0 hlzatrl kld tvonalfrisstst egy olyan fogalomirnytnak, melynek hirdetst fogad interfsze nem csatlakozik a frisstsben hirdetett f hlzathoz, ehelyett pldul 192.168.1.0/24-hez tartozik, akkor a kvetkez trtnik: A kld forgalomirnyt alapesetben minden alhlzatot sszevon, s az osztly alap f hlzatot hirdeti az sszevont alhlzati maszkkal egytt. Ezt a folyamatot nevezik hlzat hatron trtn tvonalsszegzsnek. A legtbb osztly nlkli protokoll alaprtelmezetten engedlyezi a hlzathatron trtn automatikus tvonalsszegzst, de lehetsg van ennek letiltsra is. Letilts esetn a kld forgalomirnyt minden alhlzatt alhlzati maszkkal egytt hirdeti.
4.3.2 CIDR s tvonalsszegzs

Az internet gyors bvlsnek kvetkeztben a vilg klnbz hlzataihoz vezet tvonalak szma nagymrtkben nvekedett. A VLSM cmzs lehetv teszi az tvonalak sszegzst, s gy a hirdetett tvonalak szmnak cskkentst. Az tvonalsszegzs az sszefgg hlzat- s alhlzatcimeket a hlzat hatrn lev hatrforgalomirnytn egyetlen sszevont hlzatcmmel helyettesiti. Az sszegzs cskkenti az tvonalfrisstsek gyakorisgt s az irnyttbla-bejegyzsek szmt. Javtja az tvonalfrisstsek svszlessg-kihasznlst s gyorstja az irnyttblban val keresst. Az tvonalsszegzs s a szuperhlzatt alakits (supernetting) jelentse megegyezik. A szuperhlzatt alakits az alhlzatokra bonts ellentte, tbb kisebb sszefgg hlzat sszevonsa. Ha a hlzati bitek szma nagyobb az osztly alapon rtelmezett rtknl, mint pldul 172.16.3.0/26 esetn, akkor alhlzatrl beszlnk. B osztly cm esetn minden /16 -osnl nagyobb eltag hossz alhlzatot jell.
82
4. Vllalati hlzatok cmzse Ha a hlzati bitek szma kisebb az osztly alaprtelmezett rtknl, mint pldul 172.16.3.0/14 esetn, akkor szuperhlzatrl beszlnk. B osztly cm esetn minden /16-osnl kisebb eltag hossz szuperhlzatot jell.
Egy hatr-forgalomirnyt ltalban a vllalat minden ismert hlzatt hirdeti az internetszolgltat fel. Ha pldul nyolc klnbz hlzat van, akkor elkpzelhet, hogy mind a nyolcat hirdetni fogja. Ha minden vllalat ugyangy tenne, akkor az internetszolgltat irnyttblja hatalmasra nne. tvonalsszegzskor a forgalomirnyt az sszefgg hlzatokat csoportostja, s egyetlen nagy hlzatknt hirdeti ket. A fenti megoldshoz hasonl plda, amikor egy vllalat kzponti irodjhoz csak nhny kzponti szm tartozik a telefonknyvben annak ellenre, hogy az egyes munkatrsak mellkei kzvetlenl is hvhatk. Hierarchikus cmzsi rendszer esetn knnyebben elvgezhetk az tvonalsszegzsek. Vllalaton bell olyan hlzatcmeket osszunk ki, amelyek CIDR hasznlatval csoportosthatk.
83
4.3.3 Az tvonalsszegzs meghatrozsa

Az sszegzett tvonal meghatrozshoz az rintett hlzatcimeket egyetlen cmm kell sszevonni, ami hrom lpsben trtnik: 1. lps rjuk fel az rintett hlzatcmeket binris formban. 2. lps: Az sszegezett tvonal maszkjnak megadshoz hatrozzuk meg az sszevonni kivnt hlzatcmekben a balrl megegyez bitek szmt. Ez a szm lesz az sszegzett tvonal hlzati eltagja vagy alhlzati maszkja, pldul /14 vagy 255.252.0.0. 3. lps: Az sszegzett hlzaticm meghatrozshoz az egyez biteket egsztsk ki 32 bites hosszsgra 0 bitrtkekkel. (A nem megegyez biteket 0 bitekkel helyettestjk.) Gyorsabb megoldshoz vezet, h a a hlzatok kztt megkeressk a legkisebb hlzati cmmel rendelkezt. Nem hierarchikus cmzs esetn nem felttlenl lehetsges az tvonalak sszegzse. Ha a hlzati cmekben balrl jobbra sszehasonltva nincsenek megegyez bitek, akkor sszefogott maszk nem hatrozhat meg.
4.3.4 Nem sszefgg alhlzatok

Az tvonal-sszegzseket vagy a rendszergazda maga konfigurlja, vagy az egyes irnyt protokollok (pldul a RIPv1, a RIPv2 vagy az EIGRP) automatikusan teszik ezt meg. Fontos az sszegzsek felgyelete, hogy a forgalomirnytk flrevezet hlzati hirdetseket ne kldjenek ki. Tegyk fel, hogy hrom forgalomirnyt az Ethernet interfszein a C osztly 192.168.3.0 hlzat alhlzatait hasznlja. A forgalomirnytk egymshoz soros interfszeiken keresztl kapcsoldnak, s ezek egy msik, pldul a 172.16.100.0/24 f hlzathoz tartoznak. Osztly alap protokoll esetn mindegyik forgalomirnyt a C osztly fhlzatot hirdeti hlzati maszk nlkl. Ennek
84
4. Vllalati hlzatok cmzse eredmnyeknt a kzbls forgalomirnyt ugyanarrl a hlzatrl kt klnbz irnybl is kap hirdetmnyt. Ebben az esetben beszlnk nem sszefgg (nem folytonos) hlzatrl. A nem sszefgg hlzatok megbzhatatlan. nem optimlis forgalomirnytst eredmnyeznek. Ennek elkerlse rdekben a rendszergazda a kvetkezket teheti: Lehetsg szerint mdostja a cmzsi smt. Osztly nlkli irnyt protokollt hasznl, pldul RIPv2-t vagy OSPF-et. Letiltja az automatikus sszegzst. Manulisan vgzi el az tvonalsszegzst az osztly hatron.
Krltekint tervezst kveten is elfordulhat, hogy a hlzatban nem sszefgg alhlzatok vannak. A kvetkez forgalmi s forgalomirnytsi pldk segtenek ezeknek a helyzeteknek a felismersben: Egy forgalomirnyt nem ismer tvonalat egy msik forgalomirnythoz kapcsold LAN fel, pedig a hlzat hirdetst konfigurltk. Kzbls forgalomirnyt kt azonos kltsg tvonalat ismer a f hlzat fel annak ellenre, hogy az alhlzatok eltr hlzati szegmensen tallhatk. Kzbls forgalomirnyt terhelselosztst vgez a f hlzat valamelyik alhlzata fel tart forgalom esetben. A forgalomirnyt felttelezheten csak a forgalom felt kapja meg.
4.3.5 Alhlzatok ltrehozsakor s cmzsnl hasznlt bevlt mdszerek

A hierarchikus hlzat ltrehozshoz nlklzhetetlen egy helyesen megtervezett VLSM cmzsi rendszer. VLSM cmzs kialaktsakor kvessk a kvetkez alapelveket: VLSM cmzst s nem sszefgg alhlzatokat tmogat, minl jabb irnyt protokollokat alkalmazzunk. Szksg esetn az automatikus tvonalsszegzst tiltsuk le. A legfrissebb, nulls alhlzat hasznlatt tmogat IOS-t hasznljuk. Egy hlzaton bell a privt cmtartomnyok keveredst kerljk el. Lehetsg szerint a nem sszefgg alhlzatokat szntessk meg. A cmzs hatkonysga rdekben VLSM-t hasznljunk.
85
4. Vllalati hlzatok cmzse Hierarchikus hlzattervezs s sszefgg cmzsi sma hasznlatval az tvonalsszegzst tervezzk meg. tvonalsszegzst hasznljunk a hlzat hatrain. WAN sszekttetsekhez /30-as alhlzatokat rendeljnk. A ltrehozhat alhlzatok s llomsok szmnak tervezsekor a hlzat jvbeni nvekedst vegyk figyelembe.
4.4 NAT s PAT hasznlata

4.4.1 Privt IP-cmtr
A VLSM s a CIDR mellett a privt cmzs s a hlzati cmfordts (NAT) hasznlata tovbb nvelte az IPv4 cmtr bvthetsgt. Privt cmeket brki alkalmazhat sajt vllalati hlzatban, mivel ezek a cmek csak a bels hlzatban irnythatk, az interneten soha nem jelennek meg. A privt cmteret az RFC1918 definilja. A osztly: 10.0.0.0 - 10.255.255.255 B osztly: 172.16.0.0 - 172.31.255.255 C osztly: 192.168.0.0 - 192.168.255.255
A privt cmek hasznlatnak elnyei: Cskkenti az sszes lloms nyilvnos IP-cmnek beszerzsvel jr magas kltsgeket. Lehetv teszi, hogy tbb ezer bels alkalmazott hasznljon nhny nyilvnos cmet. Biztonsgot nyjt azzal, hogy ms hlzatok s szervezetek nem ltjk a bels cmeket.
86
Bels hlzat privt cmzsi rendszernek kialaktsakor alkalmazzuk a VLSM-nl hasznlt hierarchikus tervezsi elveket. Br a privt cmek az interneten keresztl nem kerlnek tovbbtsra, a bels hlzatban gyakran kell ket irnytani. Mivel a nem sszefgg alhlzatok esetben felmerl problmk elfordulhatnak privt cmek hasznlatakor is, gy a cmzsi rendszer kialaktsa gondos tervezst ignyel. Gyzdjnk meg arrl, hogy a cmek a VLSM-elveknek megfelelen, helyesen lettek kiosztva. A hatkony cmsszegzs rdekben hasznljunk rvnyes cmhatrokat s hierarchikus IP-cmzst.
4.4.2 NAT a vllalati hlzat hatrn

Sok szervezet az internetkapcsolat biztostshoz kihasznlja a privt cmzs elnyeit. Szmos LAN -t s WAN-t alaktanak ki privt cmzssel, s az internethez val csatlakozshoz hlzati cmfordtst (NAT) hasznlnak. A NAT az interneten val forgalomirnytshoz a bels privt cmeket fordtja egy vagy tbb nyilvnos cmre. A NAT minden bels csomag privt forrs IP-cmt az internet fel tovbbts eltt nyilvnosan bejegyzett IP-cmre cserli. A kis s kzepes mret szervezetek sajt internetszolgltatjukhoz egyetlen kapcsolaton, a NAT-tal konfigurlt helyi hatr-forgalomirnytn keresztl csatlakoznak. Nagyobb szervezetek tbb ISP
87
4. Vllalati hlzatok cmzse kapcsolattal is rendelkezhetnek, ilyenkor a cmfordtst az egyes kapcsolatok hatr-forgalomirnyti vgzik. A hatr-forgalomirnytkon alkalmazott cmfordts nveli a biztonsgot. A bels privt cmeket minden alkalommal egy nyilvnos cmre fordtjk, amely elrejti a vllalat llomsainak s kiszolglinak az aktulis cmt. A legtbb cmfordtst vgz forgalomirnyt blokkolja azokat a privt hlzaton kvlrl rkez csomagokat, amelyek nem egy bels lloms krsre rkez vlaszok.
4.4.3 Statikus s dinamikus NAT

A NAT konfigurlhat statikusan s dinamikusan is. A statikus NAT egyetlen bels helyi cmhez rendel egyetlen globlis vagy nyilvnos cmet. Ez az sszerendels teszi lehetv, hogy egy adott bels helyi cmhez mindig ugyanaz a nyilvnos cm tartozzon, s gy a kls eszkzk mindig elrjenek egy bels eszkzt. Ilyen, a klvilgszmra is elrhet eszkzk pldul a web- s ftp kiszolglk. A dinamikus NAT az internet egy nyilvnos cmkszlett rendeli a bels helyi cmekhez. Mindig a nyilvnos cmkszlet els felhasznlhat IP-cme lesz hozzrendelve a klvilggal kommuniklni kvn bels llomshoz. Az lloms ezt a globlis cmet a kapcsolat ideje alatt hasznlja, majd annak befejezsekor visszakerl a ms llomsok szmra felhasznlhat cmek kz. Kt bels lloms kapcsolathoz hasznlt cm a bels helyi cm. A vllalat nyilvnos cmt bels globlis cmnek nevezzk, amely gyakran a hatr-forgalomirnyt kls interfsznek cme. A NAT forgalomirnyt cmprokat tartalmaz tbla segtsgvel kezeli a bels helyi cmek s a bels globlis cmek kztti megfeleltetseket. Statikus vagy dinamikus NAT konfigurlsa sorn: Vegyk szmba azokat a kiszolglkat, amelyek lland kls cmet ignyelnek!
88
4. Vllalati hlzatok cmzse Hatrozzuk meg mely bels llomsok ignyelnek cmfordtst! Hatrozzuk meg, mely interfszekre rkezik a klvilg fel irnyul bels forgalom! Ezek lesznek a bels interfszek. Hatrozzuk meg, melyik interfsz tovbbtja a forgalmat az internet fel! Ez lesz a kls interfsz. Hatrozzuk meg a felhasznlhat nyilvnos cmtartomnyt!
Statikus NAT konfigurlsa 1. Hatrozzuk meg azt a nyilvnos IP-cmet, amelyet a kls felhasznlk hasznlhatnak a bels eszkz vagy kiszolgl elrshez! A rendszergazdk erre a clra leggyakrabban a statikus NAT cmtartomny els vagy utols cmeit hasznljk. Vgezzk el a bels vagy privt cmek nyilvnos cmekhez rendelst! 2. lltsuk be a bels s kls interfszeket!
Dinamikus NAT konfigurlsa 1. Hatrozzuk meg a felhasznlhat nyilvnos IP-cmkszletet! 2. Hozzunk ltre hozzfrsi-listt (ACL) a cmfordtst ignyl llomsok meghatrozshoz. 3. lltsuk be a bels s a kls interfszeket. 4. Rendeljk hozz a cmkszlethez a hozzfrsi listt! A dinamikus NAT konfigurlsnak fontos rsze a norml hozzfrsi listk alkalmazsa. A norml hozzfrsi-lista engedlyez s tilt utastsokkal hatrozza meg azokat az llomsokat, amelyek cmfordtst ignyelnek. A hozzfrsi lista vonatkozhat egy egsz hlzatra, egy alhlzatra vagy csak egy adott llomsra. Terjedelmt tekintve llhat egyetlen sorbl vagy szmos engedlyez s tilt parancsbl.
89
4.4.4 A PAT hasznlata

A dinamikus NAT egyik leggyakrabban alkalmazott vltozata a portcmfordts (PAT Port Address Translation), vagy ms nven tlterhelt NAT. A PAT dinamikusan egyetlen nyilvnos cmre fordt tbb bels helyi cmet. Amikor a forrslloms zenetet kld a clllomsnak, egy IP -cmet s egy portszmot hasznl minden egyes prbeszd kvetsre. PAT esetn a hatr forgalomirnyt a helyi forrscm s portszm prt fordtja le egyetlen nyilvnos IP-cmre s egy1024 fltti egyedi portszmra. A forgalomirnyt egy tblban tartja nyilvn a kls cmre fordtott bels IP -cm s portszm prokat. Br minden lloms cmt ugyanarra a globlis cmre fordtja, a prbeszdekhez rendelt portszmok egyediek lesznek. Mivel tbb, mint 64000 port hasznlhat, gy nem valszn, hogy egy forgalomirnyt kioszthat cmei elfogynak. Mind vllalati, mind otthoni hlzatok kihasznljk a PAT mkdsnek elnyeit. A PAT az integrlt forgalomirnytk alapfunkcii kz tartozik, s alaprtelmezetten engedlyezett. Annak ellenre, hogy a PAT egy cmtartomny helyett egyetlen cmre fordt, konfigurcija ugyanazokkal az alapvet lpsekkel s parancsokkal trtnik, mint a NAT konfigurcija. A kvetkez parancs a bels cmeket fordtja a soros interfsz IP-cmre: ip nat inside source list 1 interface serial 0/0/0 overload A NAT s PAT mkdsnek ellenrzsre szolgl parancsok: show ip nat translations A parancs az aktv fordtsokat mutatja. A nem hasznlt cmfordtsok adott id utn kiregednek. Mg a statikus NAT-bejegyzsek folyamatosan a NAT-tblban maradnak, addig a dinamikus bejegyzshez az lloms s a kls hlzatbeli cllloms kztt valamilyen aktivitsra van szksg. Megfelel bellts mellett, egy egyszer ping vagy trace parancs is bejegyzst eredmnyez a NAT tblba. 90
4. Vllalati hlzatok cmzse show ip nat statistics A parancs a fordtsok statisztikjt mutatja, belertve a hasznlt IP -cmek szmt, valamint a sikeres s sikertelen fordtsokat. A kimenet tartalmazza tovbb a bels cmeket meghatroz hozzfrsi listt, a nyilvnos cmkszletet s a megadott cmtartomnyt.
91
5. Forgalomirnyts tvolsgalap irnyt protokollal
5. Forgalomiranytas tavolsagalapu iranyto protokollal

5.1 Nagyvllalati hlzatok karbantartsa
5.1.1 Nagyvllalati hlzatok
A nagyvllalati hlzatok hierarchikus felptse megknnyti a vllalaton belli informciramlst. Az informci a fikirodk s a tvoli (mobil) alkalmazottak kztt ramlik. Ezek a fikirodk a kzponti irodkhoz kapcsoldnak szerte a vilgban. A vllalat egyes rszeinek eltr hlzati ignyeit a szervezet hierarchia kiptsvel prblja meg biztostani. A kritikus szolgltatsok s informcik a hierarchia cscshoz tartoz biztonsgos kiszolglfarmokon s trolhlzatokon tallhatk. Ez a struktra a hierarchia alsbb szintjein tallhat rszlegekre is kiterjedhet. A hierarchia klnbz szintjei kztti kommunikcihoz a LAN s WAN technolgik egyarnt szksgesek. A vllalat nvekedsvel vagy az elektronikus kereskedelmi szolgltatsok bvlsvel szksg lehet a klnbz funkcij kiszolglknak helyet biztost demilitarizlt zna (DMZ) ltrehozsra.
A forgalomszablyozs elengedhetetlen a nagyvllalati hlzatokban. Enlkl ezek a hlzatok nem tudnak mkdni. A forgalomirnytk tovbbtjk az adatokat s megakadlyozzk, hogy a szrsos zenetek tlterheljk a kritikus szolgltatsok fel vezet adatvonalakat. A helyi hlzatok kztt gy szablyozzk a forgalmat, hogy csak a kvnt forgalom haladhasson t a hlzaton. A nagyvllalati hlzatok nagy megbzhatsgot s magas sznvonal szolgltatsokat nyjtanak. Ennek biztostsra a hlzati szakemberek:
92
5. Forgalomirnyts tvolsgalap irnyt protokollal Tartalk tvonalakat terveznek a hlzathoz, arra az esetre, ha az adatok elsdleges tvonala meghibsodna. Szolgltatsminsgi eljrsok bevezetsvel biztostjk a kritikus adatok elsbbsgt. Csomagszrst hasznlnak bizonyos tpus csomagok letiltsra, az elrhet svszlessg maximalizlsra s a hlzati tmadsok megelzsre.
5.1.2 Nagyvllalati hlzati topolgik

A megfelel fizikai topolgia kivlasztsa lehetv teszi a vllalati hlzat szolgltatsainak bvtst a megbzhatsg s a hatkonysg romlsa nlkl. A hlzattervezk a topolgia kivlasztst a vllalat megbzhatsgi s hatkonysgi kvetelmnyeihez igaztjk. Nagyvllalati krnyezetben leginkbb a csillag s hl topolgikat alkalmazzk. Csillag topolgia Az egyik legnpszerbb topolgia a csillag topolgia. A csillag kzepe megfelel a hierarchia cscsnak, mely ltalban a szervezet kzponti irodja. A fikirodk tbb helysznrl csatlakoznak a csillag kzpontjhoz (hub-jhoz). A csillag topolgia a hlzat kzpontostott irnytst teszi lehetv. gy minden kritikus szolgltats s a technikai szakemberekbl ll csapat is egy helysznen lehet. A csillag topolgij hlzatok egyszeren bvthetk. Egy j fikiroda hozzadsa mindssze a csillag kzpontjhoz trtn egyetlen, j csatlakozst ignyel. Ha egy iroda tbb j gazatot tervez hozzadni, akkor elg, ha minden fikiroda a terletn megtallhat kzponti hub-hoz csatlakozik, amely elvezet a kzponti iroda egyik fcsatlakozsi pontjhoz. gy egy egyszer csillag egy kiterjesztett csillag topolgiv vlik, melyben a kisebb csillagok a firodbl sugrirnyokban rhetk el.
93
A csillag s a kiterjesztett csillag topolgiban egyetlen pont (a kzppont) meghibsodsa a hlzat teljes mkdskptelensgt okozhatja. A hl topolgij hlzatok ezt a problmt hivatottak kikszblni. Hl Topolgia Minden jabb kapcsolat egy-egy jabb alternatv tvonalat szolgltat az adatforgalom szmra, s ezzel egyre nagyobb megbzhatsgot nyjt a hlzatnak. jabb linkek hozzadsval a topolgia egyre inkbb sszekapcsolt csompontok hljv alakul. Ugyanakkor minden egyes jabb kapcsolat tbbletkltsget s tbbletterhelst is jelent, valamint a hlzat karbantartsnak bonyolultsgt is nveli. Rszleges (rszben sszekapcsolt) hl A vllalati hlzat egy meghatrozott rszhez adott redundns kapcsolatokkal rszleges hl topolgia jn ltre. Ez a topolgia a hlzat olyan kritikus rszeinek, mint a kiszolglfarmok s a trolhlzatok, rendelkezsre llst, megbzhatsgt a tbbletkltsgek minimalizlsa mellett javitja. A hlzat tbbi rsze ugyanakkor tovbbra is srlkeny marad. Ezrt nagyon fontos, hogy a redundns vonalakat oda helyezzk, ahol azok a legtbb elnyt nyjtjk. Teljes (teljesen sszekapcsolt) hl Amennyiben egy hlzatban egyltaln nem megengedett az zemkimarads, akkor teljes hl topolgira van szksg. Egy teljes hl topolgiban minden egyes csompont az sszes tbbi csomponttal sszekttetsben van. Ez a leginkbb hibaellenll topolgia, de egyben ez a legkltsgesebb is
94
5. Forgalomirnyts tvolsgalap irnyt protokollal Az internet kitn pldja a hl topolgij hlzatoknak. Az internet eszkzei nem tartoznak sem egynek, sem szervezetek hatskre al. A fentiek miatt az internet topolgija llandan vltozik, egyes csatlakozsok eltnnek, mindekzben jabbak vlnak elrhetv. Tartalk kapcsolatok segtik a forgalomirnyitst, s biztostjk a megbzhat tvonalat a cllloms fel. A nagyvllalati hlzatok hasonl problmkkal kzdenek, mint az internet. Emiatt az eszkzk klnbz eljrsokat hasznlnak a folyamatosan vltoz krlmnyekhez trtn alkalmazkodshoz s a forgalom szksg szerinti tirnytshoz.
5.1.3 Statikus s dinamikus forgalomirnyts

A nagyvllalati hlzatok fizikai topolgija megadja az adattovbbts struktrjt is. A forgalomirnyts biztostja a mkdshez szksges mechanizmust. A clhlzathoz vezet legjobb tvonal megtallsa igen bonyolult lehet egy nagyvllalati krnyezetben, mivel egy forgalomirnyt nagyon sok forrsbl ptheti fel az irnyttbljt. Az irnyttbla a RAM-ban tallhat adatszerkezet, amely a kzvetlenl kapcsold s a tvoli hlzatokrl tartalmaz informcit. Az irnyttbla minden hlzatot egy kimen interfsszel vagy egy kvetkez ugrssal azonost. A kimen interfsz azt a fizikai tvonalat adja meg, melyet a forgalomirnyt tnylegesen az adatok clllomsra trtn tovbbtshoz hasznl. A kvetkez ugrs egy kzvetlenl kapcsold msik forgalomirnyt olyan interfsze, amely a vgs cl fel vezet ton tallhat. A tbla minden egyes tvonalhoz egy szmrtket is rendel, amely az t megbzhatsgt, pontossgt jelzi. Ez az rtk az adminisztratv tvolsg. A forgalomirnytk kzvetlenl kapcsold, statikus s dinamikus tvonalakrl trolnak bejegyzseket. Kzvetlenl kapcsold tvonalak Egy kzvetlenl kapcsold hlzat a forgalomirnyt interfszhez csatlakozik. Az interfszen belltott IP-cm s alhlzati maszk lehetv teszi, hogy az interfsz a csatlakoz hl zat egy llomsa legyen. Az interfsz hlzati cme, az alhlzati maszkja, valamint az interfsz tpusa s a szma az irnyttblban, mint kzvetlenl kapcsold hlzat jelenik meg. Az ilyen hlzatokat az irnyttblban a C bet jelli. 95
5. Forgalomirnyts tvolsgalap irnyt protokollal Statikus tvonalak Statikus tvonalak a hlzati rendszergazda ltal manulisan konfigurlt tvonalak. Egy statikus tvonal tartalmazza a clhlzat hlzatcmt s hlzati maszkjt, valamint a clhlzathoz vezet kimen interfszt vagy a kvetkez ugrs IP-cmt. Az irnyttbla a statikus tvonalakat S-sel jelli. A statikus tvonalak sokkal tartsabbak s megbzhatbbak, mint a dinamikusan tanult tvonalak, gy adminisztratv tvolsguk is kisebb. Dinamikus tvonalak Dinamikus irnyt protokollok szintn bejegyzseket adnak hozz az irnyttblhoz a tvoli hlzatokrl s lehetv teszik, hogy a forgalomirnytk a hlzat feldertse sorn tvoli hlzatok elrhetsgrl s llapotrl osszanak meg informcit. Minden irnyt protokoll adatokat kld s kap ms forgalomirnytkon trolt informcirl, valamint frissti s karbantartja az irnyttbljt. Minden dinamikus irnyt protokoll ltal megtanult tvonalat a protokoll azonost. gy pldul R bet azonostja a RIP s D bet az EIGRP irnyt protokollt. Az adminisztratv tvolsgot is ennek alapjn kapja az tvonal.
Nagyvllalati hlzatokban statikus s dinamikus tvonalakat egyarnt hasznlnak. A statikus forgalomirnyts a specilis hlzati ignyek miatt szksges, valamint a fizikai topolgitl fggen a forgalom szablyozsra is hasznlhat. A hlzat ki- s bemen forgalmnak egyetlen pontra val korltozsa egy vghlzat, ms nven zskhlzat (stub network) ltrejttt eredmnyezi. Bizonyos nagyvllalati hlzatokban a kisebb fikirodk mindssze egyetlen tvonalon kpesek elrni a hlzat tbbi rszt. Ilyen esetben nem fontos a vghlzat forgalomirnytjt irnytsi frisstsekkel s a dinamikus irnyt protokollokkal jr megnvekedett forgalommal terhelni. A statikus forgalomirnyts ilyenkor elnysebb. Elhelyezkedsktl s feladatuktl fggen bizonyos nagyvllalati forgalomirnytk szintn hasznlhatnak statikus tvonalakat. A hatrtjrk ltalban statikus tvonalakat hasznlnak az internetszolgltat biztonsgos s stabil elrsre, mg a nagyvllalaton belli tbbi forgalomirnyt az ignyeknek megfelelen statikus s dinamikus forgalomirnytst egyarnt alkalmazhat.
96
5. Forgalomirnyts tvolsgalap irnyt protokollal A nagyvllalati hlzatban hasznlt forgalomirnytknak svszlessgre, operatv memrira s feldolgoz erforrsra egyarnt szksgk van a NAT/PAT-, a csomagszrsi- s az egyb szolgltatsaik biztostshoz. Ezzel szemben a statikus forgalomirnyts a legtbb dinamikus irnyt protokollnl fellp tbbletterhels nlkl nyjt tovbbtsi funkcit. Ezen fell a statikus forgalomirnyts a dinamikusnl nagyobb adatbiztonsgot nyjt, mivel nincs szksge irnytsi frisstsekre. Egy hekker brmikor elfoghat egy dinamikus irnytsi frisstst, s gy informcit szerezhet a hlzatrl. A fentiek ellenre a statikus forgalomirnyts is egytt jrhat bizonyos problmkkal. A hlzati rendszergazdtl idt s odafigyelst ignyel, mivel a forgalomirnytsi informcit manulisan kell begpelnie. Egy statikus tvonal egyszer elgpelsi hibja csomagvesztst s a hlzat mkdskptelensgt okozhatja. Amikor egy statikus tvonal megvltozik, a manulis konfigurcifrissts ideje alatt a hlzatban irnytsi hibk jelentkezhetnek. Statikus tvonalak nagyvllalati hlzatban trtn ltalnos alkalmazsa a fentiek miatt nem praktikus.
5.1.4 Statikus tvonalak konfigurlsa

Statikus tvonalak konfigurlsra hasznlt globlis parancs az ip route kulcsszavakkal kezddik, melyet a clhlzat cme, az alhlzati maszkja s az elrshez hasznlt tvonal kvet. A teljes parancs: Router(config)#ip route [hlzati-cm] [[kvetkez_ugrs_cme VAGY kimen_interfsz] [[alhlzati_maszk]
A forgalomirnytk a kvetkez ugrs IP-cmt vagy a kimen interfszt hasznlva tovbbtjk a csomagokat a megfelel clllomsnak. A kt paramter mgis klnbzkppen viselkedik. Mieltt egy forgalomirnyt tovbbtja a csomagot, meg kell hatrozni a kimen interfszt. Kimen interfsszel konfigurlt statikus tvonalak csak egyszeri keresst ignyelnek az irnyttblban, mg a kvetkez ugrssal megadott tvonalak esetn ktszer is szksg van az irnyttbla tvizsglsra. Nagyvllalati hlzatokban a pont-pont sszekttetsekhez (pldul egy hatrtjr s a szolgltat (ISP) kztti kapcsolathoz) a statikus tvonalaknak kimen interfsszel trtn megadsa a legjobb vlaszts.
97
5. Forgalomirnyts tvolsgalap irnyt protokollal Kvetkez ugrssal megadott statikus tvonalak esetn kt lps szksges a kimen interfsz meghatrozshoz. Ezt hvjuk rekurzv keressnek. Rekurzv keress esetn: A forgalomirnyt elszr kivlasztja a csomag clcmhez illeszked statikus tvonalat. Ezutn a kimen interfszt hatrozza meg oly mdon, hogy az irnyttbljban meg keresi a statikus tvonalban megadott kvetkez ugrs cmhez tartoz bejegyzst.
Ha egy kimen interfsz elrhetetlenn vlik, akkor az rintett statikus tvonal eltnik az irnyttblbl, majd az interfsz helyrellsa utn jra bekerl oda. Tbb statikus tvonal egyetlen bejegyzss egyestse cskkenti az irnyttbla mrett s hatkonyabb teszi a keressi folyamatot. Ezt a folyamatot tvonal sszevonsnak (tvonal sszegzsnek) nevezzk. Egy statikus tvonal tbb statikus tvonalat egyest, ha: A clhlzatokat egy hlzati cm fogja ssze. Mindegyik statikus tvonal ugyanazt a kimen interfszt vagy kvetkez ugrs IP -cmt hasznlja.
tvonalsszegzs nlkl, az irnyttblk az internet gerinchlzatnak forgalomirnytiban kezelhetetlenek lennnek. A nagyvllalati hlzatokban is hasonl problma jelentkezhet. Az sszevont statikus tvonalak alkalmazsa elengedhetetlen ahhoz, hogy nagy hlzatokban az irnyttblk mrete kezelhet mret maradjon.
A vllalati hlzatokban hasznlt WAN-szolgltatsok kialakitstl fggen a statikus tvonalak tartalk tvonalknt is funkcionlhatnak, ha az elsdleges WAN kapcsolat kiesik. Az n. lebeg statikus tvonalak (floating static route) biztostjk ezt a tartalk tvonal szolgltatst.
98
5. Forgalomirnyts tvolsgalap irnyt protokollal Alaprtelmezett belltsnl egy statikus tvonalnak kisebb az adminisztratv tvolsga, mint egy dinamikusan tanult tvonalnak. A lebeg statikus tvonalnak az adminisztratv tvolsga nagyobb, mint a dinamikus irnyt protokoll ltal tanult tvonalnak, gy nem kerl be az irnyttblba, csak a dinamikusan tanult tvonal kiesse esetn. A lebeg statikus tvonal ltrehozshoz az ip route parancs vgre adjunk meg egy adminisztratv tvolsg rtket: Router(config)#ip route 192.168.4.0 255.255.255.0 192.168.9.1 200 A megadott adminisztratv tvolsgnak nagyobbnak kell lennie, mint a dinamikus irnyt protokoll ltal tanult tvonalnak. A forgalomirnyt mindaddig az elsdleges tvonalat fogja hasznlni, ameddig az aktv. Ha az elsdleges tvonal valamilyen oknl fogva kiesik, akkor az irnyttblba bekerl a lebeg statikus tvonal.
5.1.5 Alaprtelmezett tvonalak

Az irnyttblk nem tudnak minden egyes internet cmhez bejegyzst eltrolni. Minl nagyobb az irnyttbla mrete, annl tbb RAMot s feldolgozsi idt ignyel. Az alaprtelmezett tvonal a statikus tvonal egy olyan klnleges tpusa, ami egy tjrt hatroz meg arra az esetre, ha az irnyttbla nem tartalmaz bejegyzst a clhlzathoz. ltalban az alaprtelmezett tvonalak az ISP fel vezet t legkzelebbi forgalomirnytjra mutatnak. Bonyolult nagyvllalatok esetn az alaprtelmezett tvonalak az internetes forgalmat kifel irnytjk a hlzatbl. Az alaprtelmezett tvonalak ltrehozsra szolgl parancs hasonlt a hagyomnyos vagy lebeg statikus tvonalakhoz, azzal a klnbsggel, hogy ebben az esetben a hlzati cm s az hlzati maszk rtke egyarnt 0.0.0.0 (ngy 0-s tvonal). A parancs vagy a kvetkez ugrs IP-cmt vagy a kimen interfszt hasznlja paramterknt. A nullk jelzik a forgalomirnyt szmra, hogy nincs szksg a bitek egyezsre az tvonal hasznlathoz. Mindaddig, amg jobb egyezs nem ltezik a forgalomirnyt az alaprtelmezett statikus tvonalat fogja hasznlni. A hatrtjrn ltrehozott alaprtelmezett tvonal a forgalmat az ISP fel tovbbtja. Ez az tvonal azonostja a nagyvllalaton belli utols megllt, az olyan csomagok vgs tjrjt (Gateway of Last Resort), amelyek clcme egyetlen irnyttbla bejegyzssel sem egyezik. Ez az informci minden forgalomirnyt irnyttbljban megjelenik. Ha a vllalat dinamikus forgalomirnyt protokollt hasznl, akkor a hatrtjrk az alaprtelmezett tvonalat az irnytsi frisstsek rszeknt is elkldhetik a tbbi forgalomirnytnak.
99
5.2 RIP protokollal trtn forgalomirnyts

5.2.1 Tvolsgvektor alap forgalomirnyt protokollok
A dinamikus irnyt protokollok kt f kategriba sorolhatk: Tvolsgvektor alap s kapcsolatllapot alap protokollok. Tvolsgvektor alap irnyt protokollt futtat forgalomirnytk a hlzati informcit a kzvetlenl kapcsold szomszdjaikkal osztjk meg. A szomszdos forgalomirnytk tovbbtjk az informcit az szomszdjaiknak, mindaddig, mg a vllalat minden forgalomirnytjhoz el nem jut az informci. Egy tvolsgvektor alap irnyt protokollt futtat forgalomirnyt nem ismeri a clllomsig terjed teljes tvonalat, csak a tvoli hlzat tvolsgt s irnyt, azaz vektort. Az sszes informcija a kzvetlenl kapcsold szomszdjaitl szrmazik. A tbbi irnyt protokollhoz hasonlan a tvolsgvektor alap irnyt protokollok is egy mrtket (mrszmot) hasznlnak a legjobb tvonal meghatrozsra. A tvolsgvektor alap irnyt protokollok a legjobb tvonalat a forgalomirnyt s a clhlzat kztti tvolsg alapjn szmoljk. A leggyakrabban hasznlt mrtk az ugrsszm, mely a forgalomirnyt s a cllloms kztti forgalomirnytk szma.
100
5. Forgalomirnyts tvolsgalap irnyt protokollal A tvolsgvektor alap irnyt protokollok ltalban kevesebb s egyszerbb konfigurlst s karbantartst ignyelnek, mint a kapcsolatllapot alapak. Rgebbi verzij, kevsb erteljes forgalomirnytn is kpesek futni s kevesebb memrit s feldolgozsi teljestmnyt ignyelnek. Tvolsgvektor alap protokollt futtat forgalomirnytk rendszeres idkznknt a teljes irnyttbljukat elkldik a szomszdos forgalomirnytknak szrsos vagy csoportos klds segtsgvel. Ha egy forgalomirnyt tbb tvonalat is ismer egy clhlzathoz, akkor a legkisebb mrtk utat hirdeti. Az irnytsi informcik nagy hlzatokban trtn ilyen jelleg tovbbtsa lass. Brmelyik pillanatban ltezhetnek olyan forgalomirnytk, melyek nem rendelkeznek a legf rissebb informcival a hlzatrl. Ez a protokollok sklzhatsgt korltozza s olyan problmk, mint az irnytsi hurkok kialakulst is okozhatja. A RIP irnyt protokoll 1. s 2. verzija igazi tvolsgvektor alap protokoll, mg az EIGRP lnyegbe n egy tvolsgvektor alap protokoll tovbbfejlesztett lehetsgekkel. A RIPng -t, a RIP legjabb vltozatt kifejezetten az IPv6 tmogatsra fejlesztettk ki.
5.2.2 Forgalomirnytsi informcis protokoll (Routing Information Protocol, RIP)

A forgalomirnytsi informcis protokoll (RIP) volt az els RFC -ben (az 1988-ban kiadott RFC 1058ban) szabvnyostott tvolsgvektor alap IP irnyt protokoll. Az els verzit gyakran RIPv1 -nek hvjk, megklnbztetsl a ksbbi javtott verzitl, a RIPv2-tl s az IPv6-ot tmogat RIPng-tl. Alaprtelmezett belltsoknl a RIPv1 30 msodpercenknt kld irnytsi frisstseket minden aktv interfszen szrssal. A RIPv1 osztly alap irnyt protokoll. Automatikusan sszegzi az alhlzatokat az osztly hatrokon s a frisstsekben nem kld alhlzati maszkot. A fentiek miatt nem tmogatja a vltoz hosszsg alhlzati maszkok hasznlatt (VLSM) s az osztlyok nlkli, krzetek kztti forgalomirnytst (CIDR). Egy RIPv1-gyel konfigurlt forgalomirnyt vagy a helyi interfszn belltott alhlzati maszkot, vagy az alaprtelmezett osztly alap maszkot hasznlja. A RIPv1 -el hirdetett alhlzatoknak a megfelel forgalomirnyts rdekben folytonosaknak kell lennik.
101
5. Forgalomirnyts tvolsgalap irnyt protokollal Pldul egy forgalomirnyt, melynek kt interfsze a 172.16.1.0/24 s a 172.16.4.0/24 hlzatok tjrjaknt mkdik, RIPv1-el csak a 172.16.0.0 B osztly hlzatot fogja hirdetni. Egy msik forgalomirnyt, mely megkapja ezt a frisstst csak a 172.16.0.0 B osztly hlzatot fogja az irnyt tbljban megjelenteni. gy egy 172.16.3.0s clhlzat csomag tvesen a 172.16.0.0 B osztly hlzatot hirdet forgalomirnythoz kerlhet, melynek eredmnykppen a megfelel clcmre nem rkezik meg. A RIPv2 sok tulajdonsgban hasonlt a RI Pv1-hez, de fontos jtsokat is tartalmaz. A RIPv2 egy osztly nlkli irnyt protokoll, mely tmogatja a vltoz hosszsg alhlzati maszkok hasznlatt (VLSM) s az osztlyok nlkli, krzetek kztti forgalomirnytst (CIDR). A 2. verzij frisstsek tartalmazzk az alhlzati maszkot, gy nem folytonos hlzatok hasznlata is megengedett RIPv2-t hasznl hlzatokban. Ezen fell a RIPv2 esetn kikapcsolhat az automatikus hlzat sszegzsi funkci. A RIP mindkt verzija minden konfigurlt interfszn kikldi a teljes irnyttblt. Alapbellitsban a RIPv1 a 255.255.255.255 cmet hasznl szrsos klds (broadcast) segtsgvel kldi a frisstseket. Ez az olyan szrsos hlzatok esetn, mint az Ethernet, a hlzat sszes llomsa szmra az adatok feldolgozst ignyli. A RIPv2 csoportos klds (tbbes klds, multicast) segtsgvel hirdeti frisstseit a 224.0.0.9-es cmen. A csoportos klds kevesebb svszlessget foglal le, mint a szrs. Azok az eszkzk, melyeken nincs RIPv2 konfigurlva az adatkapcsolati rtegben, eldobjk a csoportos kldses csomagokat. A tmadk gyakran helytelen frisstsek kldsvel rik el, hogy a forgalomirnytk az adatokat rossz cmre kldjk, illetve hogy a hlzat teljestkpessge komoly mrtkben cskke njen. Helytelen informci hibs konfigurci vagy mkdsi zavar miatt is bekerlhet az irnyttblba. Az irnytsi informcik titkostsa az irnyttblk tartalmt elrejti a jelszval vagy a hitelest informcival nem rendelkez forgalomirnytk ell. A RIPv2 a RIPv1-el ellenttben rendelkezik hitelest eljrssal. Br a RIPv2 szmos tovbbfejlesztst tartalmaz, mgsem tekinthet teljesen klnbz protokollnak. A kt verzinak tbb, a kvetkezkben felsorolt kzs tulajdonsga ltezik: Az ugrsszm a mrtk 15 ugrs a maximum A TTL rtke 16 ugrs Alaprtelmezetten 30 msodpercesek a frisstsi intervallumok tvonalmrgezst, visszirny mrgezst, lthatrmegosztst s visszatart szmllkat hasznlnak az irnytsi hurkok kikszblsre Frisstsekhez az UDP 520-as portjt hasznljk Az adminisztratv tvolsg rtke 120 Az zenet fejrsze maximum 25 hitelests nlkli tvonalat tartalmaz
Egy forgalomirnyt a bekapcsolsa utn minden RIP protokollal konfigurlt interfszn egy krst kld a protokollban rsztvev szomszdoknak, hogy kldjk el a teljes irnyttbla tartalmt. A RIP protokollal konfigurlt szomszdok az ltaluk ismert hlzatok bejegyzseinek elkldsvel vlaszolnak. A fogad forgalomirnyt minden egyes tvonalat a kvetkez kritriumok alapjn rtkel:
102
5. Forgalomirnyts tvolsgalap irnyt protokollal Ha a kapott tvonal ismeretlen, akkor a forgalomirnyt berja az irnyttbljba. Ha az tvonalra mr tallhat bejegyzs az irnyttblban egy msik forrstl, akkor az jat csak akkor rja be, ha az jobb ugrsszmmal rendelkezik a rginl. Ha az tvonal mr a tblban van s ugyanattl a forrstl szrmazik, akkor mindenkppen kicserli az j bejegyzsre, mg akkor is, ha a mrtk nem jobb.
A frissen bekapcsolt forgalomirnyt ezutn egy esemnyvezrelt frisstst kld a RIP protokollal konfigurlt interfszein a sajt irnyttblja tartalmnak elkldsvel, gy a RIP szomszdok az sszes j tvonalrl rteslnek. Ha a forgalomirnytk a megfelel verzij frisstseket kldik s dolgozzk fel, akkor a RIPv1 s RIPv2 teljesen kompatibilisek egymssal. Alaprtelmezsben a RIPv2 csak 2. verzij frisstseket kld s fogad. Ha egy hlzatban mindkt verzit kell hasznlni, akkor a hlzati rendszergazda konfigurlhatja gy a RIPv2-t, hogy 1. s 2. verzij frisstst egyarnt kldjn s fogadjon. A RIPv1 alaprtelmezsben 1. verzij frisstseket kld, de mindkettt fogadja. Egy nagyvllalaton bell szksg lehet a RIP mindkt verzijnak hasznlatra. Pldul, mg a hlzat egy rsze ttrt a 2. verzira, addig lehet, hogy egy msik rsze megmaradt az eredeti verzinl. A globlis RIP konfigurci kiegsztse interfsz-specifikus tulajdonsgokkal lehetv teszi a kt verzi egyttes hasznlatt. A globlis konfigurci interfszen trtn testre szabshoz hasznlja a kvetkez interfsz konfigurcis parancsokat: ip rip send version <1 | 2 | 1 2> ip rip receive version <1 | 2 | 1 2>
5.2.3 RIP konfigurlsa

A RIP konfigurlsa eltt be kell lltani a forgalomirnytsban rsztvev interfszek IP -cmeit s maszkjait, valamint az rajelet azokon a soros sszekttetseken ahol szksges. Az alapszint belltsok utn kerlhet sor a RIP konfigurlsra. A RIP alapvet konfigurlsa hrom parancsbl ll: Router(config)#router rip Az irnyt protokoll engedlyezse
Router(config)#version 2 A verzi megadsa
Router(config-router)#network [hlzati cm] Az sszes kzvetlenl kapcsold, RIP hirdetsben rsztvev hlzat megadsa
Az MD5 autentikci konfigurlshoz a RIPv2 protokollban rsztvev interfszeken k i kell adni az ip rip authentication mode md5 parancsot. Ennek a parancsnak a hatsra az adott interfszen kimen sszes frissts titkostva lesz.
103
5. Forgalomirnyts tvolsgalap irnyt protokollal A RIPv2 egy alaprtelmezett tvonalat is kpes elkldeni a frisstseiben a szomszdos forgalomirnytknak. Ehhez szksg van az alaprtelmezett tvonal konfigurlsra s a RIP konfigurci redistribute static paranccsal trtn kiegsztsre.
5.2.4 A RIP problmi

Szmos teljestmnybeli s biztonsgi problma vetdik fel a RIP hasznlatakor. Az els problma az irnyttbla pontossga. A RIP mindkt verzija automatikusan sszegzi a hlzatokat az osztly hatrokon. Ez azt jelenti, hogy a RIP az alhlzatokat, mint egyedi A, B s C osztly hlzatok ismeri fel. Nagyvllalati hlzatok tipikusan osztly nlkli cmzst hasznlnak, valamint alhlzatok sokasgt, melyek olykor nem sszefgg alhlzatokat alkotnak, mivel nem mindig kapcsoldnak kzvetlenl egymshoz. A RIPv1-el ellenttben a RIPv2 esetben az automatikus sszegzs kikapcsolhat. Ebben az esetben a RIPv2 minden alhlzatot kln hirdet a megfelel maszkkal egytt, gy pontosabb irnyttblt biztost. Ehhez a RIPv2 konfigurci no auto-summary paranccsal trtn kiegsztse szksges. Router(config-router)#no auto-summary Egy msik problmt okoz a RIPv1 frisstsek szrsos jellege. Amint a RIP konfigurciban megadtunk legalbb egy network parancsot, a RIP azonnal elkezdi kldeni a frisstseit netw ork parancsban megadott hlzathoz tartoz interfszein. Ezekre a frisstsekre nincs szksg a hlzat minden rszn. Pldul ezeknek a frisstseknek egy Ethernet LAN interfszen keresztl a hlzat sszes eszkznek trtn kikldse felesleges hlzati forgalmat okozhat az adott szegmensen. Radsul ezeket a frisstseket brmely eszkz elfoghatja, s ez a hlzat biztonsgt is cskkenti. Az interfsz konfigurcis mdban kiadott passive-interface parancs a parancsban megadott interfszen letiltja az irnytsi frisstsek kikldst. Router(config-router)#passive-interface interfsz_szm interfsz_tpus
A tbb irnyt protokollt is hasznl, bonyolult nagyvllalati hlzatokban a passive -interface paranccsal megadhat mely forgalomirnytk kapjk meg a RIP tvonalakat. A RIP tvonalakat hirdet interfszek szmnak korltozsa nagyobb mrtk biztonsghoz s forgalomszablyozshoz vezet. Egy RIP-et hasznl hlzatban idre van szksg a konvergencihoz. A forgalomirnytk helytelen tvonalakat is trolhatnak az irnyttblikban mindaddig, amg az sszes forgalomirnyt nem frisstette az irnyttbljt, s ugyanazt a kpet nem ltjk a hlzatrl. A hibs hlzati informci az irnytsi frisstsek s ms forgalmak vgtelen hurokba kerlst okozhatja. RIP irnyt protokoll esetn a vgtelent a 16 ugrsszm jelenti. Az irnytsi hurkok rontjk a hlzat teljestmnyt. A RIP szmos lehetsget tartalmaz ennek a hatsnak a kikszblsre, melyeket akr egyszerre is alkalmazhatnak: Visszirny mrgezs Lthatrmegoszts
104
5. Forgalomirnyts tvolsgalap irnyt protokollal Visszatart idztk Esemnyvezrelt frisstsek
A visszirny mrgezs az tvonal mrtkt 16-ra lltja, s gy elrhetetlennek nyilvntja azt. Mivel a RIP a vgtelent 16-nak definilja, ezrt minden olyan hlzat mely 15 ugrsnl tvolabb van elrhetetlennek minsl. Ha egy hlzat elrhetetlen, akkor a forgalomirnyt megvltoztatja arra az tvonalra vonatkoz mrtket 16-ra, hogy minden ms forgalomirnyt is elrhetetlennek lssa. Ez a tulajdonsg akadlyozza meg a mrgezett tvonalakon kldtt informcik terjedst A RIP hurokmentestsi megoldsai stabil mkdst eredmnyeznek, ugyanakkor a hlzat konvergencia idejt nvelik. A lthatrmegoszts megakadlyozza a hurkok kialakulst. Ha tbb forgalomirnyt is ugya nazt az tvonalat hirdeti egymsnak, akkor irnytsi hurok jhet ltre. A lthatrmegoszts megakadlyozza, hogy egy forgalomirnyt azon az interfszn hirdessen egy tvonalat, amelyiken azt megismerte. A visszatart szmllk stabilizljk az tvonalakat. A visszatart idztk ugyanis megakadlyozzk egy lellt tvonalra vonatkoz frisstsnek az elfogadst, ha a frissts a lellst kvet meghatrozott idintervallumon bell rkezik, s nagyobb mrtket szerepel benne a korbbi rtknl. Ha a visszatart idzt lejrta eltt az eredeti tvonal helyrell, vagy a forgalomirnyt olyan tvonal informcit kap, mely kisebb mrtkkel rendelkezik, akkor a forgalomirnyt felveszi az irnyttbljba, s azonnal hasznlni is kezdi. Az alaprtelmezett visszatartsi id 180 msodperc, a rendszeres frisstsi id hatszorosa. Az alaprtelmezett rtk megvltoztathat, de a visszatartsi intervallum nvelse lassabb hlzati konvergencit okoz, s negatv hatssal br a hlzati teljestmnyre. Ha egy tvonal kiesik, a RIP nem vrja meg a kvetkez frisstsi idt, hanem azonnal kld egy rendkivli frisstst, amit esemnyvezrelt frisstsnek neveznk. A kiesett tvonalat 16 -os mrtkkel hirdeti, igy az utat megmrgezi. Ez a frissts visszatartsi llapotban tartja az tvonalat, mindaddig amg a RIP egy jobb mrtk alternatv tvonalat nem tall helyette.
5.2.5 RIP ellenrzse

A RIPv2 egy egyszeren konfigurlhat protokoll. Ennek ellenre hibk s ellentmondsos llapotok mindig keletkezhetnek egy hlzaton. Szmos show parancs segti a rendszergazdt a RIP konfigurcijnak ellenrzsben s a mkdsi hibk feldertsben. Brmely irnyt protokoll esetn a show ip protocols s a show ip route parancsok fontos szerepet jtszanak a hibaelhrtsban. A kvetkez parancsok kifejezetten a RIP ellenrzst s hibaelhrtst szolgljk:
show ip rip database: Minden RIP ltal megismert tvonalat listz debug ip rip vagy a debug ip rip {events}: A RIP ltal kldtt s fogadott
irnytsi frisstseket mutatja vals idben Ennek a debug parancsnak a kimenete megmutatja az sszes frissts forrsnak az IP -cmt s interfszt, valamint a protokoll verzijt s az tvonal mrtkt. 105
5. Forgalomirnyts tvolsgalap irnyt protokollal Ne hasznlja a szksgesnl tbbet a debug parancsokat. A debug parancs hasznlata nagy svszlessgi s feldolgozsi erforrs-ignnyel jr, ami lasstja a hlzatot. A ping paranccsal a vgponttl vgpontig terjed kapcsolatok tesztelhetk. A show runningconfig parancs segtsgvel knyelmes ellenrizhetjk, hogy az sszes parancsot megfelelen rtuk e be.
5.3 Forgalomirnyts az EIGRP protokollal

5.3.1 A RIP korltai
A RIP irnyt protokollt knny konfigurlni, mkdtetshez minimlis forgalomirnyt erforrs szksges. A RIP ltal hasznlt egyszer ugrsszm mrtk azonban bonyolult hlzatokban nem a legoptimlisabb a legjobb tvonal megtallshoz. A RIP ezen fell 15 ugrsban maximalizlja a tvoli hlzatok elrhetsgt. A RIP az irnyttbljrl periodikus frisstseket kld, mely svszlessget foglal, mg akkor is, ha nem trtnik vltozs a hlzatban. A forgalomirnytknak ezeket fogadniuk kell s fel kell dolgozniuk, hogy eldnthessk, hogy az adott zenet tartalmaz-e friss informcit. Idt vesz ignybe, hogy a forgalomirnytrl forgalomirnytra kldtt frisstsek a hlzat minden rszt elrjk, gy elkpzelhet, hogy a forgalomirnytk nem rendelkeznek pontos informcival a hlzat aktulis llapotrl. A hossz konvergencia id kvetkeztben irnytsi hurok keletkezhet, mely rtkes svszlessget foglal le. Mindezek a tulajdonsgok korltozzk a RIP irnyt protokoll hasznlhatsgt nagyvllalati krnyezetben.
5.3.2 Tovbbfejlesztett bels tjr irnyt protokoll (EIGRP)

A RIP korltai fejlettebb protokollok kifejlesztshez vezettek. A hlzati szakembereknek szksgk volt egy vltoz hosszsg alhlzati maszkok hasznlatt (VLSM) s osztlyok nlkli, krzetek kztti forgalomirnytst (CIDR) tmogat, nagyvllalati hlzatokban gyorsan konvergl, knnyen bvthet protokollra. A Cisco kifejlesztette sajt tulajdon, specilis tvolsgvektor alap protokolljt, az EIGRP -t. A fejlesztsek ms tvolsgvektor alap protokollok korltait prbljk meg kikszblni. Az E IGRP szmos tulajdonsgban hasonlt a RIP irnyt protokollhoz, mikzben sok fejlettebb funkcit is tmogat. Br az EIGRP konfigurlsa meglehetsen egyszer, a httrben meghzd tulajdonsgok s opcik igen bonyolultak. Az EIGRP szmos olyan tulajdonsggal rendelkezik, mely egyetlen irnyt protokollban sem tallhat meg. Mindezek a tnyezk az EIGRP-t kitn vlasztss teszik a nagy, tbb protokollt s elssorban Cisco eszkzket hasznl hlzatok esetn.
106
Az EIGRP kt f clja a hurokmentes irnytsi krnyezet s a gyors konvergencia biztostsa. Ezen clok elrshez az EIGRP a RIP-tl eltr mdszert hasznl a legjobb tvonal kivlasztsra. sszetett mrtket hasznl, mely elssorban a svszlessgen s a ksleltetsen alapszik, ezltal a cllloms fel vezet tvonal minsgnek meghatrozsakor az ugrsszmnl sokkal pontosabb rtket szolgltat. Az EIGRP ltal hasznlt n. sztszr frisst algoritmus (DUAL) a hurokmentes forgalomirnytst az tvonal-szmts ideje alatti mkdsvel garantlja. A topolgia megvltozsakor a DUAL egyszerre szinkronizlja az rintett forgalomirnytkat. Ezen elnyei miatt az EIGRP tvonalak adminisztratv tvolsga 90, mg a RIP tvonalak 120. A kisebb rtk az EIGRP nagyobb megbzhatsgt s a mrtk nagyobb pontossgt mutatja. Emiatt ha egy forgalomirnyt ugyanahhoz a clhlzathoz EIGRP s RIP tvonalat is ismer, akkor az EIGRP-tl szrmazt fogja vlasztani. Az EIGRP a ms irnyt protokollok ltal tanult tvonalakat kls tvonalknt jelli meg. Mivel ezeknek az tvonalaknak a szmtshoz hasznlt informci nem annyira megbzhat, mint az EIGRP mrtk, ezrt ezekhez az tvonalakhoz egy nagyobb adminisztratv tvolsgot rendel.
107
5. Forgalomirnyts tvolsgalap irnyt protokollal Az EIGRP kitn vlaszts bonyolult, elssorban Cisco eszkzket hasznl, nagyvllalati hlzatok szmra. A maximlis ugrsszma 255, amivel szintn a nagy hlzatokat tmogatja. Az EIGRP tbb irnyttblt is tud kezelni, amivel szmos irnytott protokoll (mint pldul az IP s az IPX) szmra kpes irnytsi informcit gyjteni. Az EIGRP irnyttblk, mind a helyi rendszer, mind a kls rendszer megtanult tvonalait megjelentik. A tbbi tvolsgvektor alap irnyt protokolltl eltren az EIGRP nem kldi el a teljes irnyttbljnak tartalmt a frisstsekben. Csoportos kldst (multicast) alkalmazva rszleges frisstst kld az adott vltozsokrl, s nem a terlet sszes, csak az rintett forgalomirnytjnak. Ezeket kapcsolt frisstseknek hvjk, mivel csak bizonyos paramterekhez kapcsold informci t tartalmaznak. A periodikus frisstsek helyett az EIGRP kis hello csomagok kldsvel tartja fenn a kapcsolatot szomszdjaival. Mivel ezek kismretek, gy mind a hello csomagok, mind a kapcsolt frisstsek a svszlessgnek csak kis rszt foglaljk, ennek ellenre a hlzati informci folyamatos frisstse biztostott.
5.3.3 EIGRP fogalmak s tblk

Az EIGRP tbb tblt tart fenn a frisstsi informcik trolsra s a gyors konvergencia biztostshoz. Az EIGRP forgalomirnytk az tvonal s a topolgia informcikat a RAM-ban troljk, gy gyorsan tudnak reaglni a hlzati vltozsokra. Hrom egymssal sszefgg tblt tartanak fenn: Szomszdtbla Topolgiatbla Irnyttbla
Szomszdtbla Ez a tbla a kzvetlenl kapcsold szomszdos forgalomirnytkrl tartalmaz informcit. Az EIGRP eltrolja az jonnan felfedezett szomszd cmt s a hozz kapcsold interfszt. Ha egy szomszd egy hello csomagot kld, abban meghirdet egy megtartsi idt. A megtartsi id az az id, amg egy forgalomirnyt a szomszdjt elrhetnek tekinti. Ha a megtartsi idintervallum alatt nem rkezik hello csomag a szomszdtl, akkor az idzt lejr, a szomszd elrhetetlennek minsl s emiatt a DUAL algoritmus jraszmolja a topolgit. Mivel a gyors konvergencia elssorban a szomszdokrl trolt pontos informcin alapszik, ezrt ez a tbla elengedhetetlen az EIGRP mkdshez. Topolgiatbla A topolgiatbla az sszes EIGRP szomszdtl tanult tvonalat tartalmazza. A DUAL algoritmus a szomszd- s topolgiatblkban tallhat informcik alapjn szmolja ki az egyes hlzatokhoz vezet legkisebb kltsg tvonalakat. A topolgiatbla legfeljebb ngy elsdleges, hurokmentes tvonalat tartalmaz clhlzatonknt. Ezek a legjobb tvonalak bekerlnek az irnyttblba is. Az EIGRP kpes terhelselosztst vgezni, azaz tbb tvonalat is hasznlni egy adott clhoz a csomagok kldsekor. A terhelst egyenl 108
5. Forgalomirnyts tvolsgalap irnyt protokollal kltsg s nem egyenl kltsg tvonalak kztt is kpes elosztani. Ezzel a mdszerrel megelzhet, hogy az egyes tvonalak tlterheldjenek. A tartalk tvonalak, ms nven a msodik legjobb tvonalak (feasible successor) az irnyttblban nem, csak a topolgiatblban tallhatk. Ha az elsdleges tvonal kiesik, akkor a msodik legjobb tvonal vlik a legjobb tvonall. Ez a folyamat azonban csak akkor kvetkezik be, ha a msodik legjobb tvonal jelentett tvolsga kisebb, mint a jelenlegi legjobb tvonal tvolsga a clig. Irnyttbla Mg a topolgiatbla szmos lehetsges tvonalrl trol informcit, addig az irnyttbla csak a legjobb tvonalakat tartalmazza. Az EIGRP kt mdon jelent meg informcit az tvonalakrl: Az irnyttblban az EIGRP ltal tanult tvonalakat D -vel jelli. A ms irnyt protokollok ltal megtanult statikus vagy dinamikus tvonalakat D EX-el jelli, mert nem az autonm rendszeren belli EIGRP forgalomirnytktl szrmaznak.
5.3.4 EIGRP szomszdok s szomszdsgi viszonyok

Mieltt megkezddhetne a forgalomirnytk kztti csomagok cserje, fel kell fedeznik sajt szomszdjaikat. Az EIGRP-szomszdok a kzvetlenl kapcsold hlzatokon tallhat EIGRP -t futtat forgalomirnytk. Az EIGRP forgalomirnytk hello csomagokat kldenek a szomszdok feldertsre s a szomszdsgi viszonyok kialaktsra. Alaprtelmezsben hello csomagokat csoportos klds segtsgvel 5 msodpercenknt kldenek a T1-nl gyorsabb sszekttetseken s 60 msodpercenknt a T1 vagy annl lassabb sszekttetseken. IP hlzat a csoportos klds (multicast) cme 224.0.0.10. A hello csomagok a forgalomirnyt interfszeirl s az interfszek cmeirl tartalmaz informcit. Az EIGRP forgalomirnytk felttelezik, hogy ameddig hello csomagokat kapnak a szomszdoktl, addig elrhetek ezek a szomszdok s tvonalaik is. A megtartsi id az az idintervallum, ameddig az EIGRP egy hello csomag megrkezsre vr. ltalban a megtartsi id a hello intervallum hromszorosa. Ha a megtartsi id lejr s az EIGRP elrhetetlennek nyilvntja az tvonalat, s a DUAL algoritmus jra kirtkeli a topolgiatblt s frissti az irnyttblt is. A hello protokoll ltal megtanult informcik a szomszdtblba kerlnek. A sorozatszm az adott szomszdtl utoljra kapott csomag sorszmt s rkezsi idejt rgzti.
109
A szomszdsgi viszony kialakulsa utn az EIGRP tbb klnbz csomagot hasznl az irnyttbla tartalmnak frisstsre s hirdetsre. A szomszdok a kvetkez csomagok segtsgvel tanulnak j -, jra felfedezett - s elrhetetlen utakat: Nyugtz Frisst Lekrdez Vlasz
Ha egy tvonal kiesik, akkor aktv llapotba kerl s a DUAL egy j tvonalat keres a clllomshoz. Ha tallt j tvonalat, akkor az bekerl az irnyttblba s passzv llapotba kerl. A fent emltett csomagokkal szerzett informcik alapjn szmolja ki a DUAL algoritm us a legjobb tvonalat.
110
Egy nyugtz csomag jelzi a frisst, a lekrdez s a vlasz csomagok megrkezst. Ezek adat nlkli, kismret hello csomagok. Az ilyen tpus csomagok minden esetben egyedi cmzssel rkeznek. A frisst csomag a szomszdoknak kldtt, topolgia-informcit tartalmaz csomag. A szomszdok ennek alapjn frisstik a topolgiatblikat. Az j szomszdoknak gyakran van szksgk olyan frisstsekre, melyek az egsz topolgirl trolt informcit tartalmazzk. Ha a DUAL egy tvonalat aktv llapotba helyez, akkor a forgalomirnytnak lekrdez csomagot kell kldenie az sszes szomszd fel (ismernek-e a kiesett hlzathoz vezet utat). Erre a szomszdoknak vlaszt kell kldenik, mg akkor is, ha nincs informcijuk a clhlzatrl. A vlasz csomagokban rkez informcik alapjn tallja meg a DUAL a legjobb tvonalat a clhlzat fel. A lekrdez csomagok egyedi klds (unicast) s csoportos klds (multicast) segtsgvel is tovbbthatk, mg a vlaszok kizrlag egyedi kldssel rkezhetnek. Az EIGRP csomagtpusok a TCP-hez hasonl sszekttets alap, vagy az UDP-hez hasonl sszekttets nlkli szolgltatst hasznlnak. A frisst, a lekrdez s a vlasz csomagok a TCP -hez hasonl szolgltatst vesznek ignybe, mg a nyugtz s a hello csomagok UDP-szert. Az EIGRP a hlzati rtegtl fggetlenl mkd irnyt protokoll. A Cisco tervezett egy sajt, negyedik rteg megbzhat szlltsi protokollt (Reliable Transport Protocol, RTP). Az RTP garantlja a klnbz hlzati rtegbeli protokollok mindegyike szmra az EIGRP csomagok kzbestst s fogadst. Mivel bonyolult nagy hlzatok akr tbb hlzati rtegbeli protokollt is hasznlhatnak, gy ezen tulajdonsga alapjn mondhatjuk, hogy az EIGRP rugalmas s bvthet protokoll. Az RTP egyarnt hasznlhat mind TCP-hez hasonl megbzhat, mind UDP-hez hasonlt legjobb szndk szlltsi protokollknt. Megbzhat RTP esetn, a kld fl egy nyugtt vr a fogad fltl. A frisst, a lekrdez s a vlasz csomagok megbzhat mdon kerlnek kzbestsre, mg a nyugtz s a hello csomagok csupn legjobb szndkkal, gy ezek nem ignyelnek nyugtt. Az RTP egyedi kldses s csoportos kldses csomagot is hasznl. A csoportos kldses EIGRP csomagok a fenntartott csoportos cmet, a 224.0.0.10 cmet hasznljk. Minden hlzati rtegbeli protokoll egy az adott irnyt protokollrt felels protokollfgg modulon (Protocol Dependent Module) keresztl dolgozik. Minden PDM hrom tblt tart karban. Egy IP -t, IPX-et, s AppleTalk-t futtat forgalomirnyt pldul hrom szomszdtblt, hrom topolgiatblt s hrom irnyttblt kezel.
111
5.3.5 EIGRP mrtkek s konvergencia

Az EIGRP sszetett mrtket hasznl a clhlzathoz vezet legjobb tvonal kivlasztsra, melyet a kvetkez rtkekbl szmol: Svszlessg Ksleltets Megbzhatsg Terhels
A maximlis adattviteli egysg (MTU) rtket szintn tartalmazzk az irnytsi frisstsek, de ez nem tartozik az irnytsi mrtkek kz. Az sszetett mrtket szmt kplet (K rtk) K1-tl K5-ig tartalmaz paramtereket. Alaprtelmezsben K1=K3=1 s K2=K4=K5=0. Az 1 rtk azt mutatja, hogy a svszlessg s a ksleltets egyforma sllyal jtszanak szerepet az sszetett mrtk szmtsban. Svszlessg A svszlessg egy lland kbit/s-ban megadott rtk. A legtbb soros interfsz az alaprtelmezett 1544 kbit/s-os rtket hasznlja. Ez a T1 kapcsolatnak megfelel svszlessg. Gyakran a svszlessg rtke nem tkrzi az adott interfsz tnyleges fizikai svszlessgt. A svszlessg befolysolja a mrtk szmtst, s gy az EIGRP tvonalvlasztst is. Ha egy 56 kbit/s os sszekttetst 1544 kbit/s-os rtkkel azonostanak, akkor ez problmkat okozhat a konvergencia elrsben, mivel forgalomterhelssel fog kszkdni.
112
Az sszekttetsek kltsgnek kiszmtshoz hasznlt tbbi mrtk a ksleltets, a megbzhatsg s a terhels. A ksleltets a kimen interfsz tpustl fgg lland rtk. Az alaprtelmezett rtk 20,000 mikroszekundum soros interfszek, s 100 mikroszekundum Fast Ethernet interfszek esetn. A ksleltets nem a csomagok clllomshoz trtn megrkezshez szksges idt mutatja. A ksleltetsi rtk megvltoztatsa az adott interfszeken tnylegesen nem befolysolja a hlzat mkdst. A megbzhatsg megadja, hogy milyen gyakran trtnik hiba az adott sszekttetsen. A ksleltetstl eltren ez az rtk automatikusan vltozik az sszekttets krlmnyeitl fggen. Az rtkek 0 s 255 kztt lehetnek. A 255/255 s rtk 100%-os megbzhatsgot jelent. A terhels az sszekttetst hasznl forgalom nagysgt jelli. Egy kisebb terhelsi rtk jobb rtket jelent, mint a nagy. Az 1/255 jelenten pldul a minimlisan terhelt, mg a 255/255 a 100% osan kihasznlt sszekttetst.
Az EIGRP topolgiatbla szolgl a legkisebb tvolsg (Feaseable Distance, FD) s a meghirdetett tvolsg (Advertized, AD), vagy a jelentett tvolsg (Reported, RD) mrtkekhez tartoz rtkek karbantartsra. A DUAL ezen rtkek alapjn vlasztja ki a legjobb - s a msodik legjobb tvonalat. A legkisebb tvolsg a legjobb EIGRP mrtk a forgalomirnyttl a clhlzatig. A meghirdetett tvolsg a szomszd ltal hirdetett legjobb mrtk. 113
5. Forgalomirnyts tvolsgalap irnyt protokollal A legkisebb tvolsggal rendelkez hurokmentes tvonal lesz a legjobb tvonal. Az aktulis topolgitl fggen egy adott clllomsig tbb legjobb tvonal is ltezhet. A msodik legjobb tvonal a legjobb tvonal legkisebb tvolsgnl kisebb jelentett tvolsggal rendelkez tvonal lesz. A DUAL a topolgia-vltozs utn gyors konvergencit tesz lehetv. A msodik legjobb tvonalakat a topolgiatblban trolja s a legjobbat kzlk az eredeti legjobb tvonal kiesse esetn legjobb tvonalknt az irnyttblba helyezi. Ha nem ltezik msodik legjobb tvonal, akkor az eredeti legjobb tvonal aktv llapotba kerl s lekrdez csomagok kldse kvetkezik az j legjobb tvonal megtallsa rdekben.
5.4 EIGRP megvalstsa

5.4.1 EIGRP konfigurlsa
EIGRP-t alapszinten nagyon egyszer konfigurlni. Sok hasonlsgot mutat a RIPv2-vel. Az EIGRP irnytsi folyamatnak elindtshoz alkalmazza a kvetkez kt lpst: 1. lps Az EIGRP irnytsi folyamat engedlyezse.
114
5. Forgalomirnyts tvolsgalap irnyt protokollal Az EIGRP irnytsi folyamat engedlyezshez egy autonm rendszerazonost (autonomous system - AS) szksges. Ez az autonm rendszerazonost brmilyen 16 bites rtk lehet, s egy vllalat vagy szervezet forgalomirnytit azonostja. Br az EIGRP ezt az rtket autonm rendszerazonostnak hvja, valjban folyamatazonostknt szolgl. Ennek az AS azonostnak csak helyi jelentsge van s nem azonos az Internet Assigned Numbers Authority (IANA) ltal kiosztott autonm rendszer szmval. Az AS szmnak az adott EIGRP irnytsi folyamatban rsztvev forgalomirnytk mindegyikn egyeznie kell. 2. lps A network parancs kiadsa minden hirdetend hlzatra. A network parancs hatrozza meg az EIGRP szmra az irnytsi folyamatban rsztvev interfszeket s hlzatokat.
Csak bizonyos alhlzatok hirdetse esetn kell megadni a helyettest maszkot a hlzat cme utn. A helyettest maszk kiszmtshoz vonja ki az alhlzati maszkot a 255.255.255.255-bl. A Cisco IOS bizonyos verzii lehetv teszik a helyettest maszk helyett az alhlzati maszk hasznlatt. Mg akkor is, ha az alhlzati maszkot hasznljuk, a show running-config parancs a helyettest maszkot jelenti meg.
115
5. Forgalomirnyts tvolsgalap irnyt protokollal Tovbbi kt parancs egszti ki az EIGRP tipikus alapszint konfigurcijt. A szomszdsgi viszonyok vltozsainak kvetseihez adja hozz az eigrp log-neighborchanges parancsot a konfigurcihoz! Ez elsegti az EIGRP hlzat stabilitsnak megfigyelst a hlzati rendszergazda szmra. Olyan soros sszekttetseken, ahol a svszlessg nem az alaprtelmezett 1,544 Mbit/s, adja ki a Bandwith parancsot az sszekttets tnyleges sebessgnek kbit/s-ban megadott rtkvel. A nem pontos svszlessg rtk megakadlyozhatja a tnylegesen legjobb tvonal kivlasztst.
Az EIGRP engedlyezse utn, brmely EIGRP-vel s megfelel AS azonostval konfigurlt forgalomirnyt belphet az EIGRP hlzatba. A klnbz s ellentmondsos tvonal informcival rendelkez forgalomirnytk befolysolhatjk, illetve helytelen informcival tlthetik meg az irnyttblt. Ennek megelzsre lehetsg van az EIGRP konfigurcin bell a hirdetsek hitelestsnek engedlyezsre. Amint a szomszdok hitelestse engedlyezett, a forgalomirnyt a frisstsek forrsait az informcik feldolgozsa eltt hitelesti. Az EIGRP hitelestshez elre megosztott kulcsokra van szksg. Az EIGRP kulcsokat a rendszergazda tartja karban egy kulcslncon keresztl. Az EIGRP hitelestsek konfigurcija kt lpsbl ll: a kulcs ltrehozsa s a kulcsot hasznl hitelests engedlyezse. Kulcs ltrehozsa A kulcs ltrehozshoz a kvetkez parancsokra van szksg:
key chain lnc_neve
Globlis konfigurcis parancs. A kulcslnc nevt hatrozza meg s belp kulcslnc konfigurcis mdba.
key kulcs_azonost
Azonostja a kulcs szmt s belp a megadott kulcsazonost konfigurcis mdba.
key-string szveg
Azonostja a kulcs karakterlncot vagy ms nven jelszt. Ennek minden EIGRP forgalomirnytn egyeznie kell.
116
5. Forgalomirnyts tvolsgalap irnyt protokollal Hitelests engedlyezse Az EIGRP MD5 hitelestst a kulcs segtsgvel a kvetkez interfsz konfigurcis parancsokkal lehet engedlyezni:
ip authentication mode eigrp md5
Meghatrozza, hogy MD5 hitelests szksges a csomagok kldshez, fogadshoz.
ip authentication key-chain eigrp AS lnc_neve
Az AS hatrozza meg az EIGRP konfigurci AS azonostjt.
A lnc_neve paramter hatrozza meg az elzleg konfigurlt kulcslncot.
117
5.4.2 EIGRP tvonal sszevons

A RIP-hez hasonlan az EIGRP osztly alap hatrokon szintn automatikusan sszevonja az alhlzatokra bontott hlzatokat. Az EIGRP sszesen egy bejegyzst kszt az irnyttbljban az sszevont tvonal szmra. A legjobb tvonal ez esetben mindig az sszevont tvonal, gy minden olyan forgalom, melyet az alhlzatokba cmeztek ezen az egy tvonalon megy vgig. Nagyvllalati hlzatokban az sszevont tvonal nem felttlenl a legjobb vlaszts az egyes alhlzatokba cmzett csomagok szmra. Az egyetlen megolds, mellyel a forgalomirnytk megtallhatjk az alhlzatokhoz vezet legjobb tvonalaikat az, hogyha alhlzati informcit is kldenek a szomszdok. Ha az alaprtelmezett sszegzs tiltva van, akkor a frisstsek tartalmazzk az alhlzati informcit. Az irnyttblba minden egyes alhlzathoz bekerl egy bejegyzs, valamint egy msik bejegyzs az sszevont tvonal szmra. Az sszevont tvonalat szl tvonalaknak, mg az alhlzati bejegyzseket gyermek tvonalaknak nevezzk. Az EIGRP minden szl-tvonalra vonatkozan egy Null0 sszevont tvonalat helyez el az irnyttblba. A Null0 interfsz jelzi, hogy nem egy tnyleges tvonalrl van sz, hanem csak egy hirdetsi clra hasznlt sszevont tvonalrl. Ha egy csomag clcme azonos valam ely gyermek tvonallal, akkor a forgalomirnyt a megfelel interfszen tovbbtja azt. Ha a csomag clcme egyetlen gyermek tvonallal sem, de az sszevont tvonallal egyezik, akkor a csomagot eldobja a forgalomirnyt. Az alaprtelmezett sszevons hasznlata kisebb irnyttblkat, mg az sszevons letiltsa nagyobb mret frisstseket s nagy tblkat eredmnyez. A teljes hlzati teljestmny s forgalommintk hatrozzk meg, hogy az automatikus sszevons elnys-e. A no auto-summary parancs segtsgvel kikapcsolhat az alaprtelmezett sszevons.
118
Kikapcsolt automatikus sszevons mellett minden alhlzatot hirdetnek a forgalomirnytk. Egy rendszergazda tallkozhat olyan esettel, amikor bizonyos tvonalakat sszegezni kell, mg msokat nem. A dnts az alhlzatok elhelyezkedstl is fgg. Ngy ugyanahhoz a forgalomirnythoz kapcsold folytonos alhlzat esetben pldul rdemes sszevonni. A manulis tvonal sszevons az EIGRP tvonalak pontosabb ellenrzst teszi lehetv, gy a rendszergazda dntheti el, hogy mely interfszek mely alhlzatait hirdeti sszevont tvonalknt. A manulis sszevonst interfszenknt kell elvgezni. Ez az eljrs a rendszergazda szmra teljes ellenrzst biztost. Egy manulisan sszevont tvonal az irnyttblban logikai (nem fizikai) interfsztl szrmaz EIGRP tvonalknt jelenik meg:
D 192.168.0.0/22 is a summary, Null0
119
5. Forgalomirnyts tvolsgalap irnyt protokollal Br az EIGRP viszonylag egyszeren konfigurlhat protokoll, kifinomult technolgikat hasznl a tvolsgvektor alap irnyt protokoll korltainak kikszblsre. Fontos, hogy megrtsk ezeket a technolgikat, hogy megfelelen tudjuk egy EIGRP hlzat konfigurcijt ellenrizni s a hibkat megkeresni. Nhny ellenrzsre szolgl parancs:
show ip protocols
Megmutatja, hogy az EIGRP a megfelel hlzatokat hirdeti-e, valamint kimenetbl leolvashat az autonm rendszerazonost s az adminisztratv
show ip route
Segtsgvel leellenrizhet, hogy minden EIGRP tvonal az irnyttblban van -e. Az EIGRP tvonalak D vagy D EX betkkel vannak megjellve, s a bels utak alaprtelmezett adminisztratv tvolsga 90.
show ip eigrp neighbors detail
Segtsgvel leellenrizhetk az EIGRP szomszdsgi viszonyai. Megmutatja a szomszdos forgalomirnytk interfszeit s IP-cmeit.
show ip eigrp topology
Megmutatja a legjobb s az sszes msodik legjobb tvonalat, valamint a legkisebb s a jelentett tvolsgot.
show ip eigrp interfaces detail
Segtsgvel leellenrizhetk az EIGRP-t hasznl interfszek.
show ip eigrp traffic
Megmutatja az EIGRP ltal kldtt s fogadott csomagok tpust s szmt.
Ezeknek a parancsoknak az elsdleges clja az EIGRP szomszdsgi viszonyok sikeres ltrejttnek, valamint a forgalomirnytk kztti sikeres informcicsernek az ellenrzse. Az E IGRP a szomszdsgi viszonyok kialakulsa nlkl nem mkdhet, gy minden ms hiba feldertse eltt ennek az ellenrzsre van szksg. Ha a szomszdsgi viszonyok megfelelek, de tovbbra is fennll a problma, akkor a rendszergazdnak a debug parancsok segtsgvel kell a hibkat megkeresnie. Ezek a parancsok lehetv teszik az EIGRP esemnyek vals-idej nyomonkvetst.
debug eigrp packet
megmutatja az sszes EIGRP csomag kldst s fogadst
debug eigrp fsm
megjelenti az EIGRP-nek a msodik legjobb tvonalakkal kapcsolatos tevkenysgeit, aminek alapjn megllapthat, hogy az tvonalakat trltk, felfedeztk vagy bejegyeztk -e.
120
5. Forgalomirnyts tvolsgalap irnyt protokollal A debug folyamatok nagy svszlessget s feldolgozsi idt vesznek ignybe, klnsen akkor, ha az EIGRP-hez hasonl nagyon komplex protokoll monitorozsrl van sz. Ezek a parancsok olyan rszleteket nyjtanak, amelyek segtsgvel pontosan meghatrozhat egy elveszett EIGRP tvonal forrsa, vagy egy hinyz szomszdsgi viszony. Termszetesen ezen parancsok hasznlata leronthatja a hlzati teljestmnyt.
5.4.4 Az EIGRP korltai s problmi

Br az EIGRP egy erteljes s kifinomult irnyt protokoll, szmos tnyez korltozhatja a hasznlatt: Nem mkdik tbb gyrt eszkzvel kialaktott rendszerben, mivel Cisco tulajdon protokoll. Legjobban nem hierarchikus hlzati felpts mellett mkdik. Minden forgalomirnytnak ugyanazzal az autonm rendszerazonostval kell rendelkeznie, vagyis tovbb nem csoportosthatk az eszkzk. Hatsra ltrejhetnek hatalmas irnyttblk, melyek sok frisstst eredmnyeznek s nagy svszlessg hasznlatot vonnak maguk utn. Tbb memrit s feldolgozst ignyel, mint a RIP Alaprtelmezett belltsaival nem mkdik hatkonyan A rendszergazdnak magas szint technikai tudssal kell rendelkeznie, mind a protokollal, mind a hlzattal kapcsolatban.
Az EIGRP a legjobb tvolsgvektor alap irnyt protokoll, mely tipikusan kapcsolatllapot alap irnyt protokollokra jellemz tulajdonsgokat is magba foglal (kapcsolt frisstsek, szomszdsgi viszonyok). Az EIGRP szmos tulajdonsgnak sikeres hasznlata figyelmes konfigurlst, felgyeletet s hibafeldertst ignyel.
121
122
6. Kapcsolatllapot alap forgalomirnyts
6. Kapcsolatallapot alapu forgalomiranytas

6.1 OSPF protokollal trtn forgalomirnyts
6.1.1 Kapcsolatllapot alap protokoll mkdse
A vllalati hlzatok s az internetszolgltatk a hierarchikus (egymsra pl rszekbl ll) felptsk s bvithetsgk miatt kapcsolatllapot alap forgalomirnyit protokollt alkalmaznak. A tvolsgvektor alap forgalomirnyit protokollok ltalban nem alkalmasak sszetett vllalati hlzatok forgalomirnytsra. Kapcsolatllapot alap protokollra plda a Legrvidebb t protokoll (OSPF - Open Shortest Path First,), amely az Internet mrnki munkacsoport (IETF - Internet Engineering Task Force) ltal kifejlesztett nylt szabvny, IP feletti irnyt protokoll. Az OSPF osztly nlkli bels tjr protokoll (IGP - interior gateway protocol), amely a bvithetsg rdekben a hlzatot klnll rszekre, un. terletekre (area) bontja. A hlzati sz akember szmra a tbb terlet alkalmazsa lehetsget ad meghatrozott tvonalak sszevonsra s bizonyos irnytsi feladatok egyetlen terletre trtn leszktsre. A kapcsolatllapot alap irnyt protokollok, mint pldul az OSPF, nem kldik el egsz irnyttbljukat rendszeres idkznknt. Ehelyett a hlzat konverglsa (kzeltse az optimlis mkdshez) utn kizrlag a topolgia megvltozsa (pldul egy kapcsolat megszakadsa) kvetkeztben kldenek frisstseket. Az OSPF teljes kr frisstst csupn 30 percenknt kld. A kapcsolatllapot alap irnyt protokollok, mint az OSPF is, kivlan alkalmazhatk nagyobb, hierarchikus hlzatokban, ahol a gyors konvergencia fontos. A kapcsolatllapot alap irnyt protokollok a tvolsgvektor alapval sszehasonltva: sszetett hlzattervezst s konfigurcit ignyel nagyobb az erforrsignye tbb tblzat karbantartsa miatt nagyobb memrit ignyel az sszetett irnytsi szmtsok kvetkeztben nagyobb a CPU- s a feldolgozsignye akadlyt, hiszen napjainkban nagy teljestmny
Ezen kvetelmnyek nem jelentenek forgalomirnytk llnak rendelkezsre.
RIP protokollt alkalmaz forgalomirnytk a kzvetlen szomszdjaikrl kapnak frisstseket, de a hlzat egszrl nincsenek ismereteik. Az OSPF protokollt futtat forgalomirnytk viszont ltrehozzk a teljes hlzaton bell sajt terletk trkpt, s ez ltal kpesek gyorsan meghatrozni j, hurokmentes tvonalakat egy kapcsolat megszakadsa (hlzati ad atcsatorna hibja) esetn.
123
6. Kapcsolatllapot alap forgalomirnyts Az OSPF nem sszegzi automatikusan az tvonalakat a fbb hlzathatrokon, tovbb a Cisco OSPF implementcija figyelembe veszi a svszlessget egy kapcsolat kltsgnek meghatrozsnl. A legjobb tvonal meghatrozshoz kltsgmrtket alkalmaz. A Cisco OSPF implementcija egy tvonal kltsgnek meghatrozsnl a svszlessget veszi figyelembe. A nagyobb svszlessg sszekttets kisebb kltsget jelent. A clhoz vezet legkisebb kltsg tvonal lesz a legmegfelelbb. A legjobb t meghatrozsnl a forgalomirnyt szmra a svszlessg alap mrtk megbzhatbb, az ugrsszm alapnl. A mrtk megbzhatsgbl s pontossgbl addan az OSPF adminisztratv tvolsga 110, mely kisebb a RIP protokollnl.
6.1.2 OSPF mrtk s konvergencia

Az OSPF protokoll a kapcsolat kltsgmrtkt, annak svszlessgre vagy sebessgre alapozza. Meghatrozott clhlzatba vezet tvonal kltsge az egyes sszekttetsek kltsgnek sszegbl addik. Egy hlzatba vezet sszes tvonal kzl a legkisebb sszkltsg tvonal rszesl elnyben s kerl az irnyttblba. A kltsg kiszmtsa az albbi kplet alapjn trtnik: Kltsg = 100.000.000 / az sszekttets svszlessge [bit/s] A szmts alapjul az interfszen belltott svszlessg szolgl, amely a show interfaces parancs segtsgvel tekinthet meg. A kplet alkalmazsa sorn problmt eredmnyeznek a 100 Mbit/s vagy nagyobb sebessg kapcsolatok, mint a Fast s Gigabit Ethernet. Tekintet nlkl e kt sszekttets sebessgnek klnbsgre, mindkt esetben a kltsgrtk 1, gy klnbzsgk ellenre azonos eredmnyt nyjtanak. Ennek ellenslyozsa rdekben, az ip ospf cost parancs alkalmazsval az interfsz kltsge kzzel bellthat.
Az azonos terlethez tartoz OSPF forgalomirnytk a kapcsolat-llapotukrl n. kapcsolatllapothirdetseket (LSA Link State Advertisement) kldenek a szomszdjaiknak. Miutn egy OSPF forgalomirnyt LSA zenetek segtsgvel a teljes terlet minden sszekttetst feltrkpezi azaz meghatrozza a terlet hlzat trkpt, ebbl az SPF algoritmus vagy ms nven Dijkstra algoritmus alkalmazsval felpt egy az adott forgalomirnyitbl kiindul terleti topolgia ft. Minden forgalomirnyt, mely az algoritmust futtatja, az SPF fa gykerben sajt magt tnteti fel. A gykrbl kiindulva, az sszkltsg alapjn minden clhlzathoz meghatrozza a legrvidebb utat. Ezek sszessge az SPF fa.
124
6. Kapcsolatllapot alap forgalomirnyts Az OSPF kapcsolatllapot vagy topolgiai adatbzis trolja az SPF fa informciit, s minden hlzathoz vezet legrvidebb tvonal bekerl az irnyttblba. A konvergencia bekvetkezik, ha minden forgalomirnyt: Megkapott minden informcit a hlzat sszes irnyrl Az ismereteket feldolgozta az SPF algoritmus alkalmazsval Frisstette az irnyttbljt
6.1.3 OSPF szomszdok s szomszdsgi viszony

OSPF esetn a kapcsolatllapot frisstseket vltozsok esetn kldik ki a forgalomirnytk. De vajon honnan rtesl egy forgalomirnyt szomszdja kiessrl? Az OSPF forgalomirnytk szomszdsgi kapcsolatokat ptenek ki s tartanak fenn ms csatlakoz forgalomirnytkkal. A szomszdokkal kialaktott legteljesebb llapot a szomszdsgi viszony, melynek sorn kt forgalomirnyt egymssal irnytsi informcikat cserl. A szomszdsgi viszony kialaktst kveten a kt forgalomirnyt elkezdi a kapcsolatllapot frisstsek kldst egymsnak. A teljes rtk (full state) szomszdsgi viszonyt akkor rik el, ha kapcsolatllapot-adatbzisuk mr sszhangban van egymssal. A teljes rtk szomszdsgi viszony kialaktsa sorn, a forgalomirnytk az albbi llapotokon haladnak keresztl: Kezdeti Kt-utas Kezds utni Adat cserl Adat feltlt Teljes rtk
A szomszdsgi kapcsolatok kialaktsa a Hello protokollra pl, melynek sorn a kzvetlenl kapcsold OSPF forgalomirnytk kismret csomagokat kldenek egymsnak a 224.0.0.5 csoportos (tbbes kldses, multicast) cm alkalmazsval. A Hello zenetek kldse Ethernet s zenetszrsos hlzatokon 10, mg nem szrsos hlzatokon 30 msodpercenknt trtnik. A forgalomirnytk belltsaiban a hello idzt, a vrakozsi idzt, a hlzattpus, a hitelests tpusa s a hitelestsi adatok egyarnt megvltoztathatk. Szomszdsgi viszony esetn ezeknek a paramtereknek egyeznik kell. A forgalomirnytk e viszonyokat a kapcsolatllapot adatbzisban troljk.
125
Az OSPF forgalomirnyt norml esetben teljes rtk szomszdsgi llapotban van. Ha az eszkz huzamosabb ideig egy msik llapotban marad, akkor valamilyen problmra lehet kvetkeztetni. Ilyen problmt okozhatnak pldul a nem megegyez belltsok. Az egyetlen kivtelt a ktutas llapot kpezi. Szrsos krnyezetben egy forgalomirnyt a kijellt forgalomirnytval (DR designated router) s a tartalk kijellt forgalomirnytval (BDR - backup designated router) alakt ki teljes rtk szomszdsgi viszonyt. A DR s a BDR forgalomirnytk megvlasztsval a frisstsek szma s a szksgtelen forgalom cskkenthet, tovbb a forgalomirnytk feldolgozsi folyamata gyorsthat. Ennek megvalstshoz egyedl az szksges, hogy a forgalomirnytk csak a kijellt forgalomirnyttl fogadjanak frisstseket. Szrsos hlzati szegmensen egyetlen kijellt, illetve tartalk kijellt forgalomirnyt jelenlte szksges, az sszes tbbi forgalomirnyt csak ezekkel van szomszdsgi kapcsolatban. Egy kapcsolat kiessekor, az a forgalomirnyt, amelyiknek rzkeli a kapcsolat megsznst, zenetet kld a DR forgalomirnytnak a 224.0.0.6 csoportos cmet hasznlva. A DR felelssge eljuttatni az informcit a tbbi OSPF forgalomirnytnak a 224.0.0.5 csoportos cm alkalmazsval. Azon kvl, hogy gy cskkenthet a frisstsek szma, a folyamat biztostja, hogy minden forgalomirnyt egysgesen, egyidben s ugyanazt az informcit kapja meg egyetlen forrsbl. A tartalk kijellt forgalomirnyt (BDR) jelenltvel kikszblhet a hlzat egyetlen hibapontbl szrmaz srlkenysge. A kijellt forgalomirnythoz hasonlan a BDR is figyeli a 224.0.0.6 IP cmre rkez zeneteket, illetve megkapja a frisstseket. A DR mkdskptelenn vlsa esetn a BDR forgalomirnyt azonnal tveszi a kijellt forgalomirnyt szerept, s j BDR vlaszts trtnik a szegmensen. A kitntetett szereppel nem rendelkez forgalomirnytk neve: DROther. Helyi hlzatokon a legmagasabb OSPF forgalomirnyt azonostval rendelkez forgalomirnytt lesz a DR. A msodik legnagyobb forgalomirnyt-azonostval rendelkez lesz a BDR.
126
6. Kapcsolatllapot alap forgalomirnyts 1. 1. 2. 3. A forgalomirnyt azonost egy IP-cm, amelyet az albbi paramterek befolysolnak: A router-id parancs alkalmazsval meghatrozott rtk Ha nincs belltott rtk a legmagasabb belltott IP-cm brmely loopback interfszen Ha nincs belltott loopback interfsz, akkor a legmagasabb IP -cm brmelyik aktv fizikai interfszen.
A forgalomirnyt azonostja megtekinthet az albbi show parancsok alkalmazsval:

show ip protocols, show ip ospf, show ip ospf interface
Elfordulhat, hogy a hlzati rendszergazda maga szeretn meghatrozni a kijellt s a tartalk kijellt forgalomirnytt. Kivlaszthat pldul egy nagyobb teljestmny vagy kisebb terheltsg forgalomirnytt erre a clra. Ehhez befolysolnia kell a DR s BDR vlasztst a megfelel priorits belltsval az albbi parancs segtsgvel:
ip ospf priority number
Alaprtelmezett belltsok szerint az OSPF forgalomirnytk prioritsa 1. Ha a priorits rtke megvltozik egy forgalomirnytn, a nagyobb rtk nyer a DR s BDR vlasztson. A legnagyobb bellthat rtk a 255. A 0 rtk belltsval megakadlyozhat egy forgalomirnyt megvlasztsa DR-nek vagy BDR-nek.
Nem minden OSPF hlzattpus esetn szksges kijellt s tartalk kijellt forgalomirnyt. Az OSPF protokoll az albbi tpusokat klnbzteti meg: zenetszrsos tbbszrs hozzfrs hlzatok Ethernet
127
6. Kapcsolatllapot alap forgalomirnyts Pont-pont (PPP) hlzatok: Soros T1/E1
Nem szrsos tbbszrs hozzfrs (NBMA - Non-Broadcast Multi-Access) hlzatok: Frame Relay ATM
zenetszrsos tbbszrs hozzfrs hlzatok esetn, mint az Ethernet is, a szomszdok szma igen sok lehet, ezrt szksges kijellt forgalomirnyt. Pont-pont hlzatok esetn teljes rtk szomszdsgi viszonyok kialaktsa problmamentes, hiszen a hlzattpus termszetbl addan a kapcsolatban csupn kt forgalomirnyt vesz rszt. Ebben a helyzetben nem szksges kijellt forgalomirnytt vlasztani s alkalmazni. NBMA hlzatok esetn az OSPF protokoll ktfle mdban mkdhet: Szimullt zenetszrsos krnyezetben: A rendszergazda bellthatja a hlzat tpust zenetszrsosnak, gy a hlzat DR s BDR vlasztssal zenetszrsos modellt szimull. Ilyen esetben ltalban ajnlott priorits belltsval meghatrozni a kijellt s a tartalk kijellt forgalomirnytkat is, s ezzel biztostani a DR s a BDR kapcsolatt a hlzat sszes tbbi forgalomirnytjval. A szomszdos forgalomirnytk szintn bellthatk az OSPF konfigurcis mdban alkalmazott neighbor parancs segtsgvel. Pont-tbbpont krnyezet: Minden, nem zenetszrsos hlzatot pont-pont kapcsolatok sszessgeknt kezel az OSPF, ezrt a DR vlaszts szksgtelen. A szomszdos forgalomirnytkat ebben az esetben is statikusan kell belltani.
Pont-pont
128
6. Kapcsolatllapot alap forgalomirnyts Nem szrsos tbbszrs hozzfrs
6.1.4 OSPF terletek

Minden OSPF hlzat kiindulsi pontja a 0-s terlet, melyet gerinchlzatnak is neveznek. A hlzat nvekedsvel tovbbi terletek hozhatk ltre a 0-s terlet szomszdsgban, melyek 65 535-ig brmely szmmal jellhetk. Az egy terlethez tartoz forgalomirnytk legnagyobb lehetsges szma 50. Az OSPF hlzatok ktrteg, hierarchikus tervezst ignyelnek. A 0-s terlet, vagy ahogy szintn nevezik, gerinchlzat ll a fels szinten, s az sszes tbbi terlet az als szinten. Minden terletnek, mely nem gerinchlzat, a 0-s terlethez kzvetlenl kell kapcsoldnia. A terletek egyttesen alkotnak egy autonm rendszert (AS - Autonomous System). Az OSPF adott terleten belli mkdse klnbzik a terlet s a gerinchlzat kztti mkdstl. A hlzati informcik sszevonsa ltalban terletek kztt jn ltre, aminek segtsgvel cskkenthet az irnyttblk mrete a gerinchlzatban. Az sszevons a vltozsok s a bizonytalan sszekttetsek hatst a forgalomirnytsi tartomny rintett terletre korltozza. Topolgia-vltozs esetn kizrlag az rintett terlet forgalomirnyti kapnak LSA hirdetseket, igy csak ezeknek kell jrafuttatni az SPF algoritmust. A hlzati informcik sszevonsa csak terletek kztt jn ltre, aminek segtsgvel cskkenthet az irnyttblk mrete a gerinchlzatban. tvonal-sszevonssal a topolgiaivltozsok s a bizonytalan sszekttetsek hatsa a forgalomirnytsi tartomny rintett terletre korltozhat. A gerinchlzatot ms terlettel sszekt forgalomirnytt terleti hatr - forgalomirnytnak (ARB - Area Border Router) nevezik. Egy adott terletet a gerinchlzattal sszekt forgalomirnytt terleti hatr- forgalomirnytnak (ARB - Area Border Router) nevezik. Azokat a forgalomirnytkat, amelyek ms irnytprotokollt, pldul EIGRP protokollt hasznl terletekhez is kapcsoldnak vagy statikus tvonalakat osztanak meg az OSPF terletekkel, autonm rendszer hatr-forgalomirnytnak (ASBR - Autonomous System Border Router) nevezik.
129
6.2 Egyterlet OSPF megvalstsa

6.2.1 Egyterlet OSPF alapszint belltsa
Az OSPF protokoll alapszint belltshoz csupn kt lps szksges. Az elsben engedlyezni kell az OSPF forgalomirnytst, a msodikban pedig meg kell hatrozni a hirdetsre kerl hlzatokat. 1. lps: Az OSPF engedlyezse
router(config)#router ospf <folyamat-azonost>
A folyamatazonost rtkt a rendszergazda vlasztja meg az 1-tl 65 535-ig terjed intervallumbl. Csupn helyi jelentsg (csak az adott forgalomirnytn hasznlt), ezrt nem szksges megegyeznie a tbbi OSPF forgalomirnytn belltott folyamatazonostval. 2. lps: Hlzatok hirdetse
Router(config-router)#network <terletazonost> <hlzati-cm> <helyettest-maszk> area
A network parancs funkcija megegyezik a ms bels irnyt protokollok esetn megszokott funkcival. Egyfell meghatrozza azokat az interfszeket, amelyeken engedlyezett az OSPF csomagok kldse s fogadsa, msfell azonostja azokat a hlzatokat, amelyeket az OSPF irnytsi frisstseinek tartalmaznia kell. Az OSPF network parancs egy hlzati cm s egy helyettest maszk (wildcard mask) egyttest hasznlja, ezek kzsen jellik ki az OSPF OSPF szmra engedlyezett interfszeket, s hlzatokat. A terletazonost (area ID) meghatrozza azt a terletet, melyhez a hlzat tartozik. Ha nincsenek terletek definilva, a 0-s terletet akkor is fel kell tntetni. Egyterlet OSPF krnyezetben a terletazonost mindig 0. Az OSPF network parancs alkalmazsnl a helyettest maszkot minden esetben meg kell adni. tvonalsszegzs s szuperhlzatok hasznlata esetn a helyettest maszk az alhlzati maszk inverze. Egy hlzat vagy alhlzat helyettest maszkjnak meghatrozshoz az interfsz decimlis alhlzati maszkjt egyszeren ki kell vonni a csupa 255-s maszkbl (255.255.255.255). Pldul egy rendszergazda a 10.10.10.0/24-es alhlzatot szeretn hirdetni az OSPF protokoll esetn. Mivel ebben az esetben az alhlzati maszk /24, azaz 255.255.255.0, a helyettest maszk kiszmtshoz ezt kell kivonni a csupa 255-s maszkbl. Csupa 255-s maszk: 255.255.255.255 Alhlzati maszk: - 255.255.255.0 ----------------------Helyettest maszk: 0. 0 . 0 .255 A szmts alapjn az OSPF network parancs formja:
Router(config-router)#network 10.10.10.0 0.0.0.255 area 0
130
6.2.2 Az OSPF hitelests belltsa

Az OSPF, ms irnytprotokollokhoz hasonlan, a szomszdok kztti informcicsert alaprtelmezetten nylt szvegknt bonyoltja le, s ezzel a hlzat ellen irnyul biztonsgi fenyegetsre ad lehetsget. Csomagelemz alkalmazs segtsgvel ugyanis egy hacker elfoghatja s elolvashatja az OSPF frisstseket, melyekbl hlzati informcikat nyerhet. E biztonsgi problma elhrthat a forgalomirnytk kztti OSPF hitelests konfigurlsval. Ha egy terleten a hitelests engedlyezett, a forgalomirnytk csak akkor osztjk meg egymssal az informcikat, ha a hitelestsi adatok megegyeznek. Egyszer jelszavas hitelests esetn, minden forgalomirnytn egy kulcsnak nevezett jelszt kell belltani. A mdszer csupn alapszint vdelmet nyjt, mert a forgalomirnytk nylt szvegben kldik a jelszt, gy az elolvassuk csak annyira nehz, amennyire a nylt szveg elolvassa. Biztonsgosabb hitelestsi eljrst jelent a Message Digest 5 (MD5) titkosts. Ez egy kulcs s egy kulcsazonost belltst ignyli az sszes forgalomirnytn. A forgalomirnyt a kulcsbl, az OSPF csomagbl s a kulcsazonostbl egy algoritmus alkalmazsval ltrehoz egy titkostott szmot,
131
6. Kapcsolatllapot alap forgalomirnyts amely belekerl minden OSPF csomagba. A csomagellenrz alkalmazsok hasznlatval a kulcs nem szerezhet meg, hiszen nem kerl tovbbtsra a hlzaton.
6.2.3 Az OSPF paramterek belltsa

Az OSPF protokoll alapszint belltsnl a rendszergazdnak gyakran szksge van bizonyos OSPF paramterek megvltoztatsra. Ilyen eset lehet pldul, amikor a rendszergazda szeretn meghatrozni, hogy melyik forgalomirnyt legyen a DR s melyik a BDR. Az interfsz prioritsnak vagy a forgalomirnyt azonostjnak belltsval ez a feladat teljesthet. A kijellt forgalomirnyt megvlasztsa az albbi sorrend szerint, a felsorolt paramterek legmagasabb rtke alapjn trtnik: 1. Interfsz priorits: Az interfsz prioritsa a priority parancs alkalmazsval llthat be. 2. Forgalomirnyt azonost: A forgalomirnyt azonost a router-id parancs alkalmazsval llthat be. 3. Legmagasabb loopback-cm: Alaprtelmezsben a forgalomirnyt azonostja a legmagasabb IP-cmmel rendelkez loopback interfsz IP-cme. Az OSPF elnyben rszesti a loopback interfszeket, mivel azok logikai s nem fizikai interfszek. A logikai interfszek mindig mkdnek. 4. A fizikai interfszek legmagasabb cme: A forgalomirnyt az aktv interfszeinek cmei kzl a legmagasabb IP-cmet hasznlja a forgalomirnyt azonostjaknt. Ez a lehetsg problmt okozhat, ha az interfsz meghibsodik vagy jrakonfigurljk. Miutn megvltozik egy forgalomirnyt azonostja vagy prioritsa, a szomszdsgi viszonyokat alaphelyzetbe kell lltani. A clear ip ospf process parancs alkalmazsval biztosthat az j rtkek rvnybelpse. Ez a parancs biztostja az j rtk rvnybe lpst.
132
A svszlessg is olyan paramter, amely gyakori mdostst ignyelhet. A Cisco forgalomirnytkon a legtbb soros interfsz svszlessgnek alaprtelmezett belltsa 1.544 Mb it/s, azaz a T1 kapcsolat sebessge. Ez az rtk meghatrozza a kapcsolat OSPF kltsgt, de valjban nem fgg ssze a kapcsolat sebessgvel. Bizonyos krlmnyek kztt egy szervezet rszleges T1 kapcsolatot kap az internetszolgltattl. Rszleges T1 kapcsolat pldul a T1 kapcsolat egynegyed rsze, azaz 384 Kbit/s. Az IOS a T1 kapcsolat alaprtelmezett teljes svszlessgt rzkeli a soros kapcsolaton, mg ha az csak 384 Kbit/s is. A hibs rzkels helytelen tvlasztst eredmnyez, mivel a kapcsolatot az irnyt protokollok a tnylegesnl gyorsabb kapcsolatknt veszik szmtsba. Amikor a soros interfsz nem az alaprtelmezett T1 sebessggel mkdik, a megfelel bandwidth rtk kzi belltsa szksges. A kapcsolat mindkt vgpontjn ugyanazt az rtket kell konfigurlni. OSPF esetn a bandwidth interface s az ip ospf cost interface parancsok alkalmazsval vgrehajtott mdostsok azonos eredmnyre vezetnek. Mindkt parancs pontos rtket hatroz meg az OSPF protokoll szmra a legjobb tvonal meghatrozshoz. A bandwidth parancs megvltoztatja az OSPF kltsgmrtknek meghatrozshoz hasznlt svszlessg rtkt. A kltsg kzvetlen megvltoztatsra az ip ospf cost parancs hasznlhat.
133
6. Kapcsolatllapot alap forgalomirnyts Az OSPF protokoll kltsgmrtkhez kapcsold tovbbi paramter a referencia-svszlessg, amely az interfsz kltsgnek, ms nven a kapcsolat kltsgnek (link cost) kiszmtshoz szksges. Az egyes interfszek esetn a svszlessg-rtknek meghatrozsa a kvetkez kplettel trtnik: 100 000 000/svszlessg. A 100 000 000 (10^8) rtk az n. referencia-svszlessg rtk. Problmt okoznak a nagyobb sebessg sszekttetsek, pldul a Gigabit Ethernet s a 10Gbit Ethernet. Az alaprtelmezett 100 000 000 referencia-svszlessg vagy az ennl gyorsabb kapcsolatok OSPF kltsge egysgesen 1. Pontosabb kltsgszmtsok rdekben szksges lehet a referencia-svszlessg rtknek mdostsa, mely az auto-cost reference-bandwidth paranccsal hajthat vgre. Amennyiben szksg van ennek a parancsnak a hasznlatra, akkor az OSPF mrtk kvetkezetessgnek rdekben minden forgalomirnytn egysgesen kell alkalmazni a belltst. Az j referencia-svszlessg Mbit/s ban adhat meg. Pldul, 10-Gigabit referencia-svszlessg megadsa esetn a megfelel rtk 10 000.
6.2.4 Az OSPF mkdsnek ellenrzse

Az OSPF esetn szmos parancs ll rendelkezsre a megfelel mkds ellenrzshez. Az OSPF hlzat hibaelhrtsnl jl alkalmazhat a show ip ospf neighbor parancs, mellyel a szomszdsgi viszonyok kialaktsa ellenrizhet. Ha a szomszd forgalomirnyt azonostja nem jelenik meg, vagy nincs teljes rtk llapotban, a kt forgalomirnyt kztt nem alakult ki szomszdsgi viszony. DROther forgalomirnyt esetn szomszdsgi viszony teljes rtk vagy kt utas llapot esetn jn ltre. Tbbszrs hozzfrs Ethernet hlzat esetn a DR s BDR szerep csak a teljes rtk szomszdsgi llapot belltt kveten vlik lthatv az llapot oszl opban. Kt forgalomirnyt kztt nem jn ltre szomszdsgi viszony, ha: az alhlzati maszkok klnbzsge miatt a forgalomirnytk nem azonos hlzathoz tartoznak az OSPF hello s vrakozsi idzti nem egyeznek meg az OSPF hlzat tpusa nem egyezik hinyos vagy helytelen valamelyik network parancs
134
Tbb show parancs is alkalmas az OSPF mkdsnek ellenrzsre.

show ip protocols
Megjelenti a forgalomirnyt azonostjt, a meghirdetett hlzatokat s a szomszdsgi viszonyban lv forgalomirnytk IP-cmt.

show ip ospf
Megjelenti a forgalomirnyt azonostjt s az OSPF folyamatnak, idztinek s terleti informcijnak rszleteit.

show ip ospf interface
Megjelenti a forgalomirnyt azonostjt, a hlzat tpusnak kltsgt s az idztk belltsait.

show ip route
Informcit ad arra vonatkozan, hogy a forgalomirnyt kap-e s kld-e OSPF tvonal informcit.
135
6.3 Tbb irnytprotokoll egyttes alkalmazsa

6.3.1 Alaprtelmezett tvonal belltsa s meghirdetse
A legtbb hlzat interneten keresztl kapcsoldik egymshoz. Az OSPF protokoll egy autonm rendszeren bell biztost forgalomirnytsi informcikat. Tovbb adatokkal szolgl az autonm rendszeren kvli, elrhet hlzatokrl is. Bizonyos esetekben nmely forgalomirnytn a rendszergazda statikus tvonalakat llt be, amelyeket az irnyt protokollok alaprtelmezetten nem terjesztenek. Nagy hlzat esetn igen krlmnyes feladat a statikus tvonalak konfigurlsa az sszes forgalomirnytn. Ennl egyszerbb eljrs az internet fel vezet alaprtelmezett tvonal belltsa. OSPF esetn a rendszergazda ezt az tvonalat rendszerint egy n. ASBR forgalomirnytn (Autonomous System Boundary Router / Autonomous System Border Router) konfigurlja. Az ASBR forgalomirnyt kapcsolatot teremt az OSPF hlzat s a klvilg kztt. Miutn az irnyttbljba bekerlt a megfelel alaprtelmezett tvonal bellthat, hogy az ABSR forgalomirnyt a tbbi forgalomirnyit fel hirdesse azt. Amint egy alaprtelmezett tvonal bekerl az irnyttbljba, megfelel belltssal a forgalomirnyt hirdetni fogja az OSPF hlzat tbbi rsze fel. Ez a hirdetett tvonal kijratknt szolgl az OSPF hlzat tbbi rsze szmra. Az eljrs lehetv teszi az AS minden forgalomirnytjnak tjkoztatst az alaprtelmezett tvonalrl, s megkmli a rendszergazdt alaprtelmezett tvonalak statikus konfigurlstl az egyes forgalomirnytkon.
Az alaprtelmezett tvonal az OSPF hlzaton belli terjesztshez az albbi lpsek szksgesek: 1. lps Alaprtelmezett tvonal konfigurlsa az ASBR forgalomirnytn.
R1(config)#ip route 0.0.0.0 0.0.0.0 serial 0/0/0
Az ip route parancs alkalmazsa sorn vagy egy interfszt vagy a kvetkez ugrs IP -cmt kell megadni.
136
6. Kapcsolatllapot alap forgalomirnyts 2. lps ASBR forgalomirnyt konfigurlsa az alaprtelmezett tvonal hirdetsre. Alaprtelmezs szerint, az OSPF protokoll hirdetsei mg akkor sem tartalmazzk az alaprtelmezett tvonalat, ha az mr szerepel az irnyttblban.
R1(config)#router ospf 1 R1(config-router)#default-information originate
A fenti parancsok eredmnyeknt az OSPF tartomny forgalomirnytinak irnyttbljban megjelenik egy vgs (last resort) tjr s a 0.0.0.0/0 hlzat. Az gy bejegyzett alaprtelmezett tvonal az irnyttblban kls tvonalknt (E2) ltszik.
6.3.2 Az OSPF tvonalsszegzs belltsa

Az OSPF tvonalsszegzs megknnytse rdekben az IP-cmeket a terleteknek megfelelen rdemes csoportostani. Az albbi pldban egy OSPF terlethez a kvetkez ngy, folytonos hlzati szegmens tartozik: 192.168.0.0/24 192.168.1.0/24 192.168.2.0/24 192.168.3.0/24
Ez a ngy hlzat sszevonhat s egyetlen hlzatknt hirdethet a 192.168.0.0/22 cmmel. Az tvonalsszevons az OSPF tartomnyban cskkenti a meghirdetett hlzatok szmt, a szksges memria nagysgt s a forgalomirnyt frisstseiben szerepl bejegyzsek szmt. Tovbb elnyt jelent, hogy az sszevons mrskli a folyamatosan eltn, majd jramegjelen n. vltakoz tvonalak (flapping route) negatv hatst. A vergds olyan tvonalra utal, amely folyamatosan vltozik a mkd s a mkdskptelen llapot kztt. Alaprtelmezsben egy vltakoz (hol mkd, hol lekapcsolt llapot) tvonal minden llapotvltozsa tvonalfrisstst eredmnyez az egsz tartomnyban, s ez jelentsen megnveli a hlzat forgalmt s terheltsgt. Amikor egy forgalomirnyt tvonalsszevonst alkalmaz, egyetlen, szuperhlzat-cmmel jell tbb tvonalat. Az tvonalak kzl elg csupn egy mkdkpessge ahhoz, hogy a forgalomirnyt meghirdethesse az sszevont tvonalat. Abban az esetben ha az tvonalak kztt van egy vagy tbb vltakoz tvonal, a forgalomirnyt tovbbra is csak a sokkal stabilabb sszevont tvonalat fogja hirdetni, s az egyes klnll tvonalakrl egyltaln nem tovbbt frisstst. Az tvonalsszevonst vgz forgalomirnyt brmely vltakoz tvonalon tovbbtand csomagot egyszeren eldobja, amg az adott tvonal mkdskptelen. Az OSPF ASBR eszkz forgalomirnyt konfigurcis zemmdjban az albbi parancs segtsgvel konfigurlhat sszevont tvonal:
area terlet-azonost range IP-cm maszk
A parancson bell meg kell hatrozni azt a terletet, amelyen az tvonalsszegzs trtnik, valamint a kezd hlzat cmt s alhlzati maszkjt.
137
6.3.3 Az OSPF problmi s korltai

Az OSPF egy bvthet irnyt protokoll. Gyors konvergencira kpes s nagy hlzatokban is alkalmazhat. Ennek ellenre a hasznlata sorn nhny problmval kell szembenzni. Az OSPF tbb adatbzist is karbantart, ezrt nagyobb memria- s CPU kapacitsra van szksge, mint a tvolsgvektor alap irnyt protokolloknak. A Dijkstra algoritmus a legjobb tvonal meghatrozshoz a CPU -t nagymrtkben ignybe veszi. Ha az OSPF hlzat bonyolult s nem stabil, a gyakori jraszmols kvetkeztben az algoritmus erforrs hasznlata jelents lehet. Az OSPF protokollt futtat forgalomirnytk ltalban nagyobb teljestmnyek s ezrt drgbbak. A tlzott erforrs-hasznlat elkerlse rdekben, a hlzatot ajnlott kisebb terletekre osztani egy szigor, hierarchikus tervezs alkalmazsval. Minden terletnek a 0-s terlethez kell kapcsoldnia, klnben elveszthetik a kapcsolatot a tbbi terlettel. Az OSPF protokoll lehetv teszi nagy s bonyolult hlzatok tervezst, a zonban az OSPF adatbzisokban s irnyttblban trolt adatok rtelmezse a technolgia magas szint ismerett kveteli meg. A kezdeti, feltrkpez folyamat sorn, az OSPF LSA hirdetsek elrasztjk a hlzatot, korltozva ezzel a felhasznli adatok tovbbtst. Kis svszlessggel rendelkez, sok forgalomirnytt tartalmaz kiterjedt hlzatokban az elraszts jelentsen cskkentheti a hlzat teljestmnyt. Korltai s problmi ellenre vllalati hlzatokban az OSPF protokoll a legszlesebb krbe n alkalmazott irnyt protokoll.
138
6.3.4 Tbb protokoll egyidej alkalmazsa nagyvllalati krnyezetben

Egyes szervezetek tbbfajta irnyt protokollt is hasznlnak, aminek szmos oka lehet. A hlzati rendszergazda a hlzat klnbz rszein klnbz protokollokat alkalmazhat a rendelkezsre ll, hagyomnyos eszkzkhz vagy az elrhet erforrsokhoz igazodva. Elkpzelhet, hogy kt cg, ami klnbz irnytprotokollt hasznl, egyesl, s szksg van az egyms kztti kommunikcira.
Amikor tbb irnyt protokoll fut egyetlen forgalomirnytn, elfordulhat, hogy ugyanazt az tvonalat a forgalomirnyt tbb forrsbl is megtanulja. Ilyen esetben elengedhetetlen egy olyan jl meghatrozott mdszer a forgalomirnyt szmra, amellyel kivlaszthatja a legmegfelelbb tvonalat s elhelyezheti az irnyttblban.
139
6. Kapcsolatllapot alap forgalomirnyts Amikor egy forgalomirnyt egyetlen hlzatrl tbb forrsbl is rtesl, az adminisztratv tvolsg (AD - administrative distance) figyelembevtelvel hatrozza meg az elnyben rszestett tvonalat. A Cisco IOS minden irnytsi informcit alkalmaz mdszerhez egy adminisztratv tvolsgot rendel. Ha egy forgalomirnyt egy meghatrozott alhlzatrl RIP s OSPF forrsbl is rtesl, az OSPF ltal tanult tvonalat fogja elnybe rszesiteni s eltrolni az irnyttblban. Az irnyttbla bejegyzseinek elejn lthat kd jelzi az tvonal forrst, vagy a tanuls mdjt. Minden kdhoz meghatrozott AD tartozik.
Ha kt hlzat azonos hlzati cmmel s alhlzati maszkkal rendelkezik, akkor a forgalomirnytk azonosnak ltjk ket. Ez a megllapts akkor is igaz, ha a kt hlzat kzl az egyik egy sszevont hlzat, a msik pedig az sszevonsban szerepl valamelyik nll hlzat. Annak ellenre, hogy a 192.168.0.0/22 sszevont hlzat tartalmazza a 192.168.1.0/24 hlzatot, kln bejegyzsknt szerepelnek. Ilyen esetekben mindkt bejegyzs megtallhat az irnyttblban. Annak eldntsre, hogy melyik tvonal legyen hasznlatban, a leghosszabb eltag egyezs szolgl. Pldul, egy forgalomirnyt csomagot kap a 172.16.0.10 clcmmel. Hrom lehetsges tvonalnak felel meg: 172.16.0.0/12, 172.16.0.0/18, s. Kzlk a 172.16.0.0/26 mutatja a leghosszabb egyezst. Egyezsrl akkor beszlhetnk, ha legalbb az alhlzati maszkban jelzett bitszmig megegyezik binrisan a clcm s az adott tvonal.
140

Sklzhatsgot, tvonal-sszevonst s a problmk elszigetelhetsgt teszi lehetv. A kltsg-mrtket a svszlessg alapjn szmolja ki. Egy terlet forgalomirnyti a szomszdjaik kapcsolatainak llapotrl adnak hrt LSA -k segtsgvel. Tbbszrs hozzfrs hlzatban az OSPF forgalomirnytk kijellt s tartalk kijellt forgalomirnytt vlasztanak. OSPF autonm rendszer megtervezse a gerinchlzattal, ms nven a 0-s terlettel kezddik. Minden ms terlet a 0-s terlet szomszdja. Az ABR forgalomirnyt a 0-s terletet kti ssze ms terletekkel. Az ASBR forgalomirnyt a teljes OSPF autonm rendszert kti ssze ms autonm rendszerekkel. Az OSPF network parancs a hlzati cm s a helyettest maszk kombincijt hasznlja, mely egy interfsz-cmet vagy egy cmtartomnyt engedlyez az OSPF szmra. Az OSPF tvonalfrisstsek biztonsga rdekben a forgalomirnytk kztt hitelests llthat be. A legbiztonsgosabb hitelest eljrs az MD5. A hlzati rendszergazda priorits vagy azonost belltsval irnythatja a DR s BDR vlaszts kimenetelt. A bandwidth interface s az ip ospf cost interface parancs biztostja, hogy az OSPF a legjobb tvonal kivlasztsnl a jelenleg rvnyben lev kltsget hasznlja. Szmos show parancs alkalmazhat az OSPF mkdsnek ellenrzsre, mint pldul a show ip protocols, show ip ospf, show ip ospf interface, show ip route s show ip ospf neighbor. Egy rendszergazda alaprtelmezett tvonalat konfigurl egy ASBR forgalomirnytn, majd belltja a meghirdetst az OSPF hlzat tbbi rsze fel. Terletek kztti tvonal-sszevonst a terleti hatr-forgalomirnytkon (ABR) kell konfigurlni s az autonm rendszeren bell segti a forgalomirnytst. Az autonm rendszerek kztti tvonal-sszevonst az Autonm rendszer Hatr-forgalomirnytn (ASBR) kell belltani. Az OSPF tbb memria s CPU erforrst ignyel, gy nagyobb teljestmny s kltsgesebb forgalomirnytkra van szksg. Az tvonaleloszts lehetv teszi egy irnyt protokoll vagy statikus tvonal beillesztst egy msik irnyt protokollba. Az adminisztratv tvolsg s a leghosszabb egyez prefix meghatrozza a legjobb tvona lat egy hlzat fel.
141
7. Vllalati WAN kapcsolatok megvalstsa
7. Vallalati WAN kapcsolatok megvalostasa

7.1 A vllalati WAN hlzatok sszekapcsolsa
7.1.1 WAN eszkzk s technolgik
Ahogy a vllalatok nvekednek, gyakori, hogy az egytelephelyes cgbl tbbtelephelyes lesz. Ez a bvls ltalban kiknyszerti a vllalati hlzat bvlst, igy a helyi hlzati (Local Area Network, LAN) szint mellett a nagykiterjeds hlzatok (Wide Area Network, WAN) megjelenst is. Egy helyi hlzat rendszergazdja mg fizikailag is kpes a teljes hlzati kbelezs, az eszkzk s a szolgltatsok felgyeletre. Annak ellenre, hogy nhny nagyobb vllalat sajt WAN hlzat zemeltet, a legtbb szervezet valamilyen szolgltattl vsrolja a WAN szolgltatsokat. A szolgltatk hasznlati djat szmolnak fel hlzati erforrsaik ignybevtelrt. Az internetszolgltatk (Internet Service Provider, ISP) segtsgvel a felhasznlk megoszthatjk az erforrsaikat a tvoli helyeik kztt, anlkl, hogy szmolniuk kellene egy sajt hlzat megptsnek s fenntartsnak kltsgeivel. A LAN-ok s WAN-ok kztt nemcsak a hlzati erforrsok felgyeletben van klnbsg. A technolgik is eltrek. A leggyakoribb LAN technolgia az Ethernet. A WAN technolgik viszont soros tvitelt valstanak meg. A soros tvitel lehetv teszi a megbzhat, nagytvolsg kommunikcit, de a helyi hlzatoknl alacsonyabb sebessgeken. WAN-kapcsolatok megvalstsakor az alkalmazott WAN technolgia szabja meg az ehhez szksges eszkzk tpust. A WAN hlzatokhoz val kapcsoldskor pldul tjrknt forgalomirnytt hasznlunk, amely a szolgltat hlzata szmra kezelhet formtumv alaktja az adatokat. A modemek s az ezekhez hasonl, talakt szerepet betlt eszkzk (translation device), az adatok szolgltati hlzaton keresztl trtn tvitelt ksztik el. Digitlis vonalak esetn csatornaszolgltat (Channel Service Unit, CSU) s adatszolgltat (Da ta Service Unit, DSU) egysgekre van szksg az adatok elksztsre a WAN -kapcsolaton trtn adat-tovbbtshoz. Ez a kt eszkz gyakran egyetlen berendezsben egyestve fordul el, melyet CSU/DSU-nak neveznk. Ez az eszkz tbbnyire a forgalomirnytk interfszkrtyjba van beptve. Analg kapcsolatok esetn modemre van szksg. Amikor egy vllalat valamilyen WAN szolgltatsra fizet el akkor a szolgltat birtokolja s tartja fent a szksges berendezseket. Bizonyos esetekben azonban az elfizet tulajdonban is van nhny kommunikcis eszkz, melyek mkdsrt maga felel. Azon a ponton, ahol az gyfl felgyeleti feladatai s felelssgi ktelezettsgei vget rnek, ott kezddik a szolgltat felgyeleti s felelssgi feladatkre. . Ezt a pontot demarkcis pontnak nevezzk (demarcation point, demarc). A demarkcis pont elhelyezkedhet pldul a forgalomirnyt s az talakt berendezs kztt de akr az talakt berendezs s a szolgltat kzponti irodja (Central Office, CO) kztti vonal csatlakozsnl. Tekintet nlkl a tulajdonjogra, a szolgltatk az elfizeti vgberendezs
142
7. Vllalati WAN kapcsolatok megvalstsa (Customer Premise Equipment, CPE) kifejezst hasznljk az gyfl telephelyn elhelyezked berendezs megjellsre.
A kzponti iroda (CO) az a hely, ahol a szolgltat a berendezseit trolja, s fogadja az gyflkapcsolatokat. A CPE-tl kiindul fizikai vonal rz vagy optikai kbelt hasznlva csatlakozik a kzponti irodban elhelyezett forgalomirnythoz vagy WAN kapcsolhoz. Ez a kapcsolat az gynevezett helyi hurok vagy utols mrfld (last mile). Az gyfl szemszgbl ez a els mrfld (first mile), mivel ez az gyfl telephelyrl kivezet tviteli kzeg els szakasza. A CSU/DSU vagy a modem feladata a helyi hurok fel tart adatok mozgsnak temez se, valamint az rajel biztostsa a forgalomirnyt szmra. A CSU/DSU adatkommunikcis (Data Communications Equipment, DCE) eszkznek minsl. A DCE fel tart adatok tovbbtsrt felels forgalomirnyt viszont az adat-vgberendezsek (Data Terminal Equipment, DTE) csoportjba tartozik. A DTE/DCE interfsz szmos fizikai rtegbeli protokollt hasznl, pldul az X.21 -et s a V.35-t. Ezek a protokollok rgztik azokat a jel- kd- s elektronikus paramtereket, melyeket a forgalomirnytk s a CSU/DSU eszkzk hasznlnak az egymssal val kommunikcihoz.
143
A technolgiai fejlesztsek egyre jobb jelzsi szabvnyokat eredmnyeznek, amelyek megnvekedett sebessget, nagyobb adatforgalmat tesznek lehetv. A megfelel WAN technolgia kivlasztsakor fontos szempont a kapcsolat sebessge. A WANkapcsolatokat megvalstsra ltrehozott els digitlis hlzatok 64 kbit/s sebessg kapcsolatokat tmogattak, brelt vonalon keresztl. A 0-s szint digitlis csatorna (Digital Signal level 0, DS0) kifejezs erre a szabvnyra utal. A technolgia fejldsvel, a szolgltatk a DS0 csatorna kibvtett vltozatait is biztostottk az elfizetk szmra. szak-Amerikban pdul a DS1 szabvny, ms nven T1 vonal, egy olyan kommunikcis vonalat definil, amely 24 DS0 adatcsatornt, s egy 8 kbit/s sebessg, jelzsrenszeri csatornt foglal magban. Ez a szabvny maximlisan 1,544 Mbit/s sebessget tesz lehetv. A T3 vonalak a DS3 szabvnyt hasznljk, amely 28 DS1 csatornt fog ssze s ezltal maximlisan 44,736 Mbit/s tviteli sebessgre kpes. A vilg ms rszein ms szabvnyokat alkalmaznak. Eurpban pldul E1 vonalakat knlnak a szolgltatk, melyek 32 DS0 csatorna tmogatsval 2,048 Mbit/s sebessgre kpesek. Tallkozhatunk E3 kapcsolatokkal is, melyek 16 E1 vonalat felhasznlva maximlisan 34,064 Mbit/s sebessget biztostanak.
144
7.1.2 WAN szabvnyok

Az ide vonatkoz szabvnyokhoz igazod hlzattervezs biztostja, hogy a WAN krnyezetben elfordul sszes eszkz s technolgia egyttmkdhessen egymssal. A WAN szabvnyok az adatok szlltsnak fizikai- s adatkapcsolati rtegbeli jellemzit specifikljk. Az adatkapcsolati rtegre vonatkoz WAN szabvnyok olyan paramtereket irnak el, mint a fizikai cmzs, az adatfolyamvezrls (flow control) vagy a begyazs tpusa, de leirjk az informci mozgatsnak a WAN-kapcsolaton keresztli megoldst is. Az alkalmazott WAN technolgia tpusa pontosan meghatrozza a felhasznlt adatkapcsolati rtegre vonatkoz szabvnyokat. Nhny plda 2. rtegbeli WAN protokollokra: Kapcsolatelrsi eljrs Frame Relay-hez (Link Access Procedure for Frame Relay, LAPF) Magasszint adatkapcsolat-vezrls (High-level Data Link Control, HDLC) Pont-pont protokoll (Point-to-Point Protocol, PPP)
Szmos szervezet van, amely a fizikai- s az adatkapcsolati rtegbeli WAN szabvnyok kezelsrt felels. Ilyen szervezet pldul: Nemzetkzi Telekommunikcis Szvetsg Telekommunikcis Szabvnyostsi Csoportja (International Telecommunications Union Telecommunications Standardization Sector, ITU-T) Nemzetkzi Szabvnygyi Hivatal (International Organization for Standardization, ISO) Internet Mrnki Munkacsoport (Internet Engineering Task Force, IETF) Elektronikai Ipargak Szvetsge (Electronics Industry Alliance, EIA) Telekommunikcis Ipari Szvetsg (Telecommunications Industry Association, TIA)
145
7.1.3 WAN-kapcsolatok ltestse

A WAN-kapcsolatok digitlis vagy analg technolgit hasznlnak. Analg kapcsolatok esetn az adatok kdolssal, ms nven modullssal kerlnek r egy vivhullmra. A modullt jel ezutn tovbbviszi az informcikat az tviteli kzegen a tvoli vgpont fel. A tvoli helyen a jel demodullsra kerl, s a vevoldal kinyeri az informcit. tvitel eltt a modem rkdolja az informcit a vivhullmra, a vev oldalon pedig dekdolja azt. Nevt feladatrl kapta: a vivjel modullsa s demodullsa (modem). Modemek segtsgvel a tvoli llomsok a hagyomnyos telefon-rendszert (Plain Old Telephone System, POTS) hasznlatva kommuniklhatnak egymssal. Ezen kvl a felhasznlk digitlis elfizeti vonalakon (Digital Subscriber Line, DSL) vagy kbeltelevzis (Cable Television, CATV) kapcsolatokon is csatlakozhatnak a szolgltatk hlzataihoz.
Szmos vllalat fizet el olyan szolgltatsokra, amelyek dediklt vonalak segtsgvel biztostjk az sszekttetst telephelyk s az ISP kztt. Ezek gyakran brelt vonali szolgltatsok formjban valsulnak meg, melyekrt a vllalatok havi elfizetsi djat fizetnek. Ezek a vonalak risi mennyisg adat tvitelre kpesek. Egy T1 kapcsolat pldul 1,544 Mbit/s, mg egy E1 vonal 2,048 Mbit/s sebessggel kpes tovbbtani a forgalmat. Gyakran ez a svszlessg nagyobb, mint amire a szervezetnek valjban szksge lenne. Egy T1 vonal feloszthat 24 darab 64 Kbit/s sebessg DS0 csatornra. Ebben az esetben az gyfl a T1/E1 kapcsolatnak csak egy rszre, ms nven rszleges (frakcionlis) T1 vagy E1 kapcsolatra fizet el. A nagy svszlessg kapcsolatok tbb DS0 csatornra bonthatak fel. Az internetszolgltatk az egyes DS0 vonalakhoz klnbz kommunikcis prbeszdeket vagy vgfelhasznlkat rendelhetnek hozz. A szervezetek egy vagy tbb DS0 csatornt is megvsrolhatnak. Egy DS0 csatorna nem egy fizikailag klnll entits, inkbb a vonal fizikai svszlessgnek egy idszelethez hasonlthat. Az egyes frakcionlis kapcsolatok az sszes idtartam egy tredkig teljes hozzfrst tesznek lehetv az tviteli kzeghez a szervezet szmra. Kt technika ltezik arra, hogy az id fggvnyben az informcikldshez egyetlen kbel svszlessgt tbb csatorna
146
7. Vllalati WAN kapcsolatok megvalstsa kztt lehessen megosztani: az egyszer idosztsos multiplexels (Time Division Multiplexing, TDM) s a statisztikai alap idosztsos multiplexels (Statistical -Time Division Multiplexing, STDM).
Az idosztsos multiplexels (TDM) elre meghatrozott idrsek alapjn osztja meg a svszlessget. Minden ilyen idrst egy egyedi prbeszdhez rendelnek. Az egyes idrsek azt az idtartamot reprezentljk, ami alatt egy prbeszd teljes kren hasznlhatja a fizikai tviteli kzeget. A svszlessget attl fggetlenl lefoglaljk az egyes csatornk vagy idrsek szmra, hogy a csatornt hasznl llomsnak vannak-e tovbbtsra vr adatai. Kvetkezskppen a szabvnyos TDM esetn, ha egy llomsnak ppen nincs kldend zenete, idrse kihasznlatlan marad, elpazarolva az rtkes svszlessget. A statisztikai idosztsos multiplexels (STDM) hasonlt a TDM-hez, eltekintve attl, hogy nyomon kveti a tbblet svszlessget ignyl prbeszd-folyamokat. Ez a megolds a fel nem hasznlt idrseket az aktulis szksgletek szerint dinamikusan kiosztja. Ily mdon az STDM segtsgvel minimalizlhat az elpazarolt svszlessg.
7.1.4 Csomag- s vonalkapcsols

Egy nagyvllalat szmtalan mdon csatlakozhat WAN szolgltatsokhoz. Dediklt brelt vonal Az egyik kapcsoldsi tpus a pont-pont soros sszekttets kt forgalomirnyt kztt, dediklt brelt vonal segtsgvel. Ezzel vgpont-vgpontpont tpus kapcsolat hozhat ltre, mely alapvet adattovbbtsi feladatok elltsra kpes. Minden ilyen sszekttets vgpontonknt egy klnll fizikai interfszt s egy kln CSU/DSU berendezst ignyel. Ahogy egy szervezet egyre tbb telephelyet alakt ki, az egyes helysznek kztti brelt vonalak fenntartsa nagyon kltsgess vlhat. Vonalkapcsols Vonalkapcsols esetn egy ramkr jn ltre az llomsok kztt, mieltt azok brmilyen adatot tovbbtannak. A szabvnyos telefonos hvsok ezt a kapcsoldsi tpust hasznljk. A vonalkapcsols az ramkr bekapcsolt llapota alatt fix svszlessget biztost a kt vgpont kztt. 147
7. Vllalati WAN kapcsolatok megvalstsa A prbeszd befejeztvel az ramkr felszabadul. Ms szervezet nem hasznlhatja az ramkrt addig, amg az szabadd nem vlik. Ez egyfajta biztonsgot jelent, amely nincs jelen a csomagkapcsolt vagy a cellakapcsolt technolgik esetben. Vonalkapcsols esetn akkor rendelik hozz a szolgltatk az egyes kapcsolatokhoz az sszekttetseket, amikor az erre vonatkoz ignyt berkezik. Kltsget csak akkor szmolnak fel, ha az sszekttets hasznlatban van. Egy vonalkapcsolt sszekttets kltsge a hasznlati id fggvnyben vltozik, s gyakori hasznlat esetn meglehetsen drga lehet. Csomagkapcsols A csomagkapcsols jval hatkonyabban hasznlja ki a vonalak svszlessgt, mint ms kapcsolsi tpusok. Az adatokat itt csomagokra bontjk, melyekhez cl- s forrs-azonostkat rendelnek. Ezutn az adatok a szolgltat hlzatba lpnek. A szolgltat fogadja az adatokat s clcimk alapjn tovbbkapcsolja azokat egyik csompontrl a msikra, mg el nem rik vgs cljukat. A forrs s cl kztti tvonal vagy ramkr, ltalban elre meghatrozott, de nem kizrlagos hasznlat sszekttets. A szolgltatk a klnbz szervezetek fell rkez csomagokat ugyanazon sszekttetseken keresztl kapcsoljk. A csomagkapcsolt technolgia egyik pldja a Frame Relay. Cellakapcsols A cellakapcsols a csomagkapcsols egy vltozata. Alkalmas hang, video s adattvitelre magn vagy nyilvnos hlzatokon keresztl, akr 155 Mbit/s sebessggel. Az ATM (Asynchronous Transfer Mode) technolgia fix mret, 53 bjtos cellkat hasznl, melyek egy 48 bjtos adatrszbl s egy 5 bjtos fejrszbl llnak. A kicsi, egyforma mret cellk gyors s hatkony kapcsolst tesznek lehetv a csompontok kztt. Az ATM technolgia egyik elnye, hogy megakadlyozza, hogy a kisebb mret zeneteket visszatartsk a nagyobb mret zenetek. A fknt szegmentlt adatokat forgalmaz hlzatokban azonban az ATM nagymrtk tbbletterhelst eredmnyez, amely tnylegesen cskkenti a hlzat teljestmnyt. Virtulis ramkrk Csomagkapcsolt technolgia hasznlata sorn a szolgltat virtulis ramkrket (Virtual Circuit, VC) hoz ltre. Egy virtulis ramkr az egyes csomagkapcsol eszkzk kztti sszekttetseket a klnbz forrsbl szrmaz csomagok kztt megosztva hasznlja. Ennek eredmnyekppen, az tviteli kzeg nem kerl kizrlagos hasznlat al a kapcsolat idtartama alatt. Ktfle virtulis ramkr ltezik: kapcsolt s lland. Kapcsolt virtulis ramkrk A kapcsolt virtulis ramkrk (Switched, SVC) dinamikusan jnnek ltre kt vgpont kztt, amikor egy forgalomirnyt adatot kvn tovbbtani. Az ramkr igny szerint pl fel, s lebomlik miutn az tvitel befejezdtt, (pldul letltdtt egy llomny). Egy SVC ltrejttekor hvsfelptsi informcikat kell elkldeni mieltt brmilyen adatot kldhet. A hvsbontsi informcik megszaktjk a kapcsolatot, ha arra mr nincs szksg. Ez a folyamat nmi ksleltetst eredmnyez a hlzatban, mivel minden prbeszd esetn fel kell pteni majd le kell bontani a virtulis ramkrket.
148
7. Vllalati WAN kapcsolatok megvalstsa lland virtulis ramkrk Az lland virtulis ramkrk (Permanent, PVC) tarts tvonalat biztostanak kt pont kztt az adatok tovbbtshoz. A szolgltatnak elre be kell lltania a PVC -ket, melyek nagyon ritkn bomlanak fel vagy kapcsoldnak szt. Ez a tulajdonsg szksgtelenn teszi a hvsok felptst, illetve lebontst, s ennek ksznheten felgyorsul az informciramls a WAN -kapcsolaton keresztl. A PVC-k segtsgvel a szolgltatk sokkal nagyobb mrtkben kpesek kzben tartani a hlzat adatramlsi mintit s a felgyeleti feladatokat. A PVC -k npszerbbek az SVC-knl, s gyakran olyan telephelyek kiszolglsra hasznljk ket, amelyek lland, nagymret adatforgalmat bonyoltanak. A Frame Relay jellemzen PVC-ket hasznl.
7.1.5 Helyi hurok s nagytvolsg WAN technolgik

Az ISP-k tbbfajta WAN technolgit hasznlnak gyfeleik csatlakoztatshoz. Az a kapcsoldsi tpus, melyet a helyi hurok, vagy ms nven utols mrfld (last mile) esetben hasznlnak, nem felttlenl egyezik meg azzal a WAN kapcsoldsi tpussal, amit az ISP hlzatn bell vagy a klnbz szolgltatk kztt alkalmaznak. Helyi huroknl alkalmazott technolgik pldul a kvetkezk: analg betrcszs integrlt digitlis hlzat (Integrated Services Digital Network, ISDN) brelt vonal kbeltvs kapcsolat digitlis elfizeti vonal (Digital Subscriber Line, DSL) Frame Relay vezetk nlkli kapcsolat
Ezen technolgik mindegyike biztost elnyket s htrnyokat egyarnt az elfizetk szmra. Nem minden fldrajzi terleten rhet el az sszes itt felsorolt technolgia. Amikor egy szolgltat adatokat fogad, tovbbtania kell azokat a tvoli vgpontok fel, hogy vgl eljussanak a cmzetthez. Ezek a tvoli helyek tartozhatnak az ISP hlzathoz vagy kpezhetik a
149
7. Vllalati WAN kapcsolatok megvalstsa klnbz internetszolgltatk kztti szakaszokat. Nagytvolsg kommunikcis kapcsolatokkal gyakran tallkozhatunk az internetszolgltatk kztt vagy risvllalatok fikirodinak sszekttetse esetn. Sok klnbz WAN technolgia ll rendelkezsre a szolgltatk szmra, amelyek nagy tvolsgok esetn is lehetv teszik a megbzhat adattovbbtst. Ezek kz tartoznak pldul az ATM, a Frame Relay, a mholdas- s a brelt vonalas kapcsolatok.
A nagyvllalatok folyamatos nvekedse nvekv szm, a vilg legklnbzbb terletein ltrejv telephelyet eredmnyeznek. Ennek eredmnyekppen az alkalmazsoknak egyre nagyobb s nagyobb svszlessgre van szksgk. Ez a nvekeds olyan nagysebessg s nagy svszlessg technolgit ignyel, ami alkalmas nagyobb tvolsgra trtn adattovbbtsra is. A Szinkron Optikai hlzat (Synchronous Optical Network, SONET) s a Szinkron Digitlis Hierarchia (Synchronous Digital Hierarchy, SDH) olyan szabvnyok, melyek nagy mennyisg adat tvitelt biztostjk, nagy hattvolsggal rendelkeznek, s optikai kbeleket hasznlnak. Mind a SONET, mind az SDH magban foglalja a korai digitlis tviteli szabvnyokat, s tmogatja az ATM, illetve a Packet over SONET/SDH (POS) hlzatokat. Mindkt technolgit hasznljk adatok s hangzenetek tovbbtsra is. A DWDM (Dense Wavelength Division Multiplexing) az egyik olyan j fejleszts, amely tmogatja a rendkvl nagy tvolsg adatkommunikcit. A DWDM a berkez optikai jelekhez meghatrozott frekvencij vagy hullmhossz fnyt rendel hozz. Kpes e hullmhosszok erstsre is, ami fokozza a jelerssget. A DWDM tbb mint 80 klnbz hullmhossz vagy adatcsatorna egyetlen vegszlra trtn multiplexelsre ad
150
7. Vllalati WAN kapcsolatok megvalstsa lehetsget. Az egyes csatornk 2,5 Gbit/s sebessgen kpesek tvinni a multiplexelt jeleket. Az adat vev oldalon trtn demultiplexelse lehetsget ad tbb klnbz adatfolyam egyetlen optikai szlon trtn tvitelre, akr eltr adattviteli sebessgek hasznlatval is. A DWDM pldul kpes IP, SONET s ATM formtum adatok egyidej tvitelre.
7.2 Gyakori WAN begyazsok sszehasonltsa

7.2.1 Ethernet s WAN begyazsok
A begyazsi folyamat mg azeltt lezajlik, mieltt az adatok thaladnak a WAN -kapcsolaton. A begyazs egy olyan konkrt formtumhoz illeszkedik, amely a hlzaton hasznlt technolgin alapszik. Mieltt az adatokat bitekk alaktank a kzegen val tvitelhez, a 2. rtegbeli begyazsi folyamatcmzsi s vezrlsi informcikat ad az adatokhoz. A 2. rteg a fizikai hlzati tvitel tpusra jellemz fejlc informcikat ad hozz az adatokhoz. LAN krnyezetben az Ethernet a leggyakrabban elfordul technolgia. Az adatkapcsolati rteg Ethernet keretekbe gyazza a csomagokat. A keret fejlcek olyan informcikat tartalmaznak, mint a forrs s cl MAC-cmek, s olyan Ethernetre jellemz vezrlket, mint a keretmret s az idztsi informcik. Hasonlkppen az elbbiekhez, a WAN-kapcsolatokon val tvitelre sznt keretek begyazsa illeszkedik az sszekttetsen hasznlatban lv technolgival. Ha egy sszekttets pldul Frame Relay-t hasznl, akkor Frame Relay specifikus begyazsi tpusra van szksg. Az adatkapcsolati rtegbeli begyazs tpusa elklnl a hlzati rteg begyazsi tpustl. Ahogy az adatok ramlanak a hlzaton keresztl, az adatkapcsolati rtegbeli begyazs tpusa folyamatosan vltozhat, mg a hlzati rtegbeli begyazs mindvgig vltozatlan marad. Ha egy csomag a cllloms elrshez thalad egy WAN-kapcsolaton, a 2. rtegbeli begyazs tpusa a kapcsolatot megvalsit WAN technolgihoz igazodik. A csomagok a helyi hlzatokbl az alaprtelmezett tjr szerept betlt forgalomirnytn keresztl jutnak ki. A forgalomirnyt eltvoltja az Ethernet keret informciit majd a WANkapcsolatnak megfelel j keretbe gyazza az adatokat. A WAN interfszen fogadott adatok Ethernet keretformtumra trtn talaktsa azeltt megy vgbe, hogy azokat a helyi hlzatra helyeznk. A forgalomirnyt tviteli kzeg talaktknt szolgl (mdia konverter), mivel az adatkapcsolati rtegbeli keretformtumot az interfsznek megfelelen vltoztatja meg. Pont-pont kapcsolatok esetn a begyazsi tpusnak mindkt oldalon meg kell egyeznie. Az adatkapcsolat rtegbeli begyazsi tpusok a kvetkez adatmezket tartalmazzk: Jelz (flag) Cm Az egyes keretek kezdett s vgt jelli meg.
151
7. Vllalati WAN kapcsolatok megvalstsa A begyazs tpustl fgg. Nem szksges a pont-pont WAN-kapcsolatoknl.
Vezrls A keret tpusnak jelzsre szolgl.
Protokoll Adat rtegbeli adatot s az IP adategysget foglalja magba. A begyazott hlzati rtegbeli protokoll megadsra hasznljk. Nem szerepel minden WAN begyazsi tpus esetn.
Keretellenrz sorozat (FCS) Ellenrzsi mechanizmust biztost annak megllaptshoz, hogy nem srlt-e meg a keret tvitel kzben.
7.2.2 HDLC s PPP

A HDLC s a PPP a kt leggyakoribb soros vonali 2. rtegbeli begyazsi tpus. A HDLC (High-level Data Link Control) szabvnyos, bit-orientlt adatkapcsolati rtegbeli begyazsi tpus. A HDLC szinkron soros tvitelt hasznl, mely hibamentes kommunikcit biztost kt pont kztt. A HDLC protokoll definil egy 2. rtegbeli keretszervezsi (frame) struktrt, amely nyugtzs s ablakozsi rendszer hasznlatval ramlsvezrlsre s hibakezelsre ad lehetsget. Minden keret ugyanolyan formtum, akr adatkeretrl, akr vezrlkeretrl legyen sz. A szabvnyos HDLC keretformtum nem tartalmaz olyan adatmezt, amely azonostan a keret ltal hordozott protokoll tpust. A szabvnyos HDLC emiatt nem kpes tbbfajta protokoll tvitelre ugyanazon az sszekttetsen keresztl. A Cisco HDLC protokoll bevezet egy tovbbi adatmezt, amely tpus (Type) nven ismert. Segtsgvel lehetsg nylik arra, hogy tbb hlzati rtegbeli protokoll megosztva hasznlja ugyanazt a kapcsolatot. Csak akkor hasznljuk a Cisco HDLC protokollt, ha Cisco kszlkeket szeretnnk sszekapcsolni egymssal. A Cisco HDLC az alaprtelmezett adatkapcsolati protokoll a Cisco soros kapcsolatoknl.
152
7. Vllalati WAN kapcsolatok megvalstsa A HDLC-hez hasonlan a Pont-Pont Protokoll (PPP) is soros sszekttetsek szmra kszlt adatkapcsolat rtegbeli begyazsi tpus. Rteges felptst hasznl, mely segtsgvel kpes multi protokoll adatcsomagok begyazsra s tvitelre pont-pont kapcsolatokon keresztl. Mivel a PPP protokoll szabvnyokon alapul, lehetv teszi a kommunikcit a klnbz gyrttl szrmaz kszlkek kztt. A PPP a kvetkez interfszeket tmogatja: aszinkron soros szinkron soros HSSI (High-Speed Serial Interface) ISDN (Integrated Services Digital Network)
A PPP kt alprotokollal rendelkezik: Kapcsolatvezrl protokoll (Link Control Protocol, LCP) a pont-pont kapcsolatok felptsrt, fenntartsrt s lebontsrt felels. Hlzatvezrl protokoll (Network Control Protocol, NCP) egyttmkdst biztost a klnbz hlzat rtegbeli protokollokkal.
Kapcsolatvezrl protokoll A PPP az LCP-t hasznlja pont-pont sszekttetsek kialaktsra, fenntartsra, tesztelsre s befejezsre. Az LCP szleli s konfigurlja a WAN-kapcsolat vezrl-belltsait. Nhny belltsi lehetsg, amiket az LCP kezel: hitelests (authentication) tmrts
153
7. Vllalati WAN kapcsolatok megvalstsa hibafelismers tbb kapcsolat (multilink) PPP visszahvs
A fentieken tl az LCP a kvetkezkrt felels: kezeli a klnbz mret csomagokat szleli a gyakori konfigurcis hibkat kpes a jl s a hibsan mkd kapcsolatok megklnbztetsre
Hlzatvezrl protokoll (NCP) A PPP az NCP-t hasznlja a klnbz hlzat rtegbeli protokollok begyazsra, gy azok kpe sek ugyanazon kommunikcis kapcsolaton keresztl mkdni. A PPP kapcsolatokon hasznlt minden hlzati protokolloknak sajt hlzatvezrl protokollra van szksge. Az internetprotokoll (IP) pldul, az IP vezrlprotokollt (IPCP), az IPX pedig az IPX vezrlprotokollt (IPXCP) hasznlja. Az NCP-k a begyazott hlzati rtegbeli protokollok azonositsra jelzkdokat tartalmaz adatmezket hasznlnak.
154
A PPP-kapcsolatok ltrehozsnak folyamata hrom fzisra bonthat, ezek az sszekttets ltrehozsa, a hitelests (ez elhagyhat) s a hlzati rtegbeli protokoll hasznlatnak fzisa. Az sszekttets ltrehozsa A PPP LCP-kereteket kld az adatkapcsolat konfigurlsa s tesztelse cljbl. Az LCP-keretek tartalmaznak egy konfigurcis mezt, amely lehetv teszi pldul a maximlis tviteli egysg (Maximum Transmission Unit, MTU) mretnek, a tmrtsnek s a kapcsolat hitelestsnek egyeztetst. Ha egy LCP-keretbl hinyzik valamelyik konfigurcis bellts, a hinyz konfigurcis elemhez a protokoll az alaprtelmezett rtket rendeli hozz. A kapcsolat hitelestsi tpusnak meghatrozsa s az tviteli minsg tesztelse elhagyhat paramtereknek szmtanak az sszekttets ltrehozsa sorn. A kapcsolat minsgnek meghatrozsval eldnthet, hogy az sszekttets megfelel-e a hlzati rtegbeli protokollok hasznlathoz. A fentebb emltett elhagyhat konfigurcis paramterek belltsnak meg kell trtnni, mieltt az eszkzk fogadnk a konfigurci helyessgt igazol nyugtt. Ez a fzis akkor tekinthet befejezettnek, ha a vgponti kszlkek megkaptk a konfigurcit nyugtz keretet. Hitelestsi fzis (elhagyhat) A hitelestsi fzis jelszavas vdelmet biztost a kapcsold vgpontok (pldul forgalomirnytk) azonostshoz. A hitelestsre a forgalomirnytk paramtereinek elfogadsa utn kerl sor, de mg azeltt, hogy az NCP egyeztetsi fzis megkezddne. NCP egyeztetsi fzis A PPP vgpont NCP csomagokat kld, melyekkel egy vagy tbb hlzati rtegbeli protokollt (pldul, az IP-t vagy az IPX-et) vlaszt ki s konfigurl. Amikor az LCP bontja a kapcsolatot, rtesti a hlzati rtegbeli protokollokat, gy azok vgrehajthatjk a megfelel mveletet. A show interfaces parancs megmutatja az LCP s NCP llapotokat. Ha a PPP kapcsolat ltrejtt, mindaddig aktv marad, amg az LCP vagy az NCP fel nem bontja a kapcsolatot, vagy le nem jr egy aktivitst figyel szmll. A felhasznlk is kezdemnyezhetik a kapcsolat befejezst.
155
7.2.3A PPP konfigurlsa

A Cisco forgalomirnytk soros interfszein a HDLC az alaprtelemezett begyazsi tpus. A begyazs tpusnak megvltoztatshoz, valamint a PPP sajtossgainak hasznlathoz hasznlja a kvetkez parancsot:
encapsulation ppp
Ez aktivlja a PPP begyazst a soros interfszen.
Miutn a PPP engedlyezsre kerlt, bellthatv vlnak az opcionlis paramterek, pldul a tmrts s a terhelseloszts.
compress [predictor | stac]
Engedlyezi a tmrtst az interfszen, predictor (eljsl) vagy stacker (verem -trolsos) mdszer hasznlatval.
ppp multilink
Segtsgvel terhelseloszts konfigurlhat tbb sszekttets kztt.
A hlzaton tkldtt adatok tmrtse javthatja a hlzat teljestmnyt. A predictor s stacker szoftveres tmrtsi technikk, amelyek tmrtsi mdjukban trnek el egymstl. A stacker processzorignyesebb tmrts, de kevesebb memrira van szksge, a predictor technika viszont kevsb terheli a processzort, de tbb memrit hasznl. Ezrt a stacker-t akkor rdemes hasznlni, ha a vonal svszlessge a szk keresztmetszet, a predictor-t pedig abban az esetben, ha a forgalomirnyt tlterhelt. Csak akkor engedlyezzk a tmrtst, ha a hlzat teljestmnye megkvnja azt, mivel hasznlata nveli a forgalomirnyt feldolgozsi idejt s tbbletterhelst okoz. Abban az esetben sem rdemes tmrtst alkalmazni, ha a hlzat forgalmt kpez adatok dnt tbbsge mr egybknt is tmrtett llomnyokbl ll. Egy tmrtett fjl jbli tmrtse tbbnyire mretnvekedssel jr. A PPP multilink tbb WAN sszekttets egyetlen logikai csatornv trtn sszevonst teszi lehetv. Ez terhelsmegosztst eredmnyez klnbz kapcsolatok kztt, s bizonyos szint biztonsgot jelent abban az esetben, ha valamelyik sszekttets meghibsodna.
156
7. Vllalati WAN kapcsolatok megvalstsa Az albbi parancsokat HDLC hibaelhrtshoz hasznljk.

show interfaces serial
PPP
begyazsok
konfigurciinak
ellenrzshez
Megjelenti a begyazs tpust s a kapcsolatvezrl protokoll (LCP) llapotait.
show controllers
Kijelzi az interfsz-csatornk llapott s azt, hogy csatlakozik-e kbel az interfszhez.
debug serial interface
Segtsgvel ellenrizhet az brenlti (keepalive) zenetek szmnak folyamatos nvekedse. Ha ezeknek a csomagoknak a szma nem nvekszik, akkor valsznleg idztsi problma lpett fel az interfszkrtyban vagy a hlzatban.
debug ppp
Informcit biztost a PPP protokoll mkdsi folyamatnak klnbz szakaszairl, belertve az egyeztetst s a hitelestst.
7.2.4 PPP hitelests

A PPP sszekttetsek hitelestsnek belltsa elhagyhat. Ha be van lltva, a hitelestsi folyamat kzvetlenl a kapcsolat ltrehozsa utn, de mg a hlzati rtegbeli protokollok konfigurcis fzisa eltt lezajlik. A PPP sszekttetsek kt lehetsges hitelestsi tpusa a jelsz hitelest protokoll (Password Authentication Protocol, PAP), illetve a kihvsos kzfogs hitelestsi protokoll (Challenge Handshake Authentication Protocol, CHAP). A PAP egyszer eljrst biztost a tvoli lloms azonostshoz. Ktfzis (ktutas, kt zenetbl ll) kzfogst hasznl a felhasznli nv s a jelsz elkldshez. A hvott eszkz megvizsglja a kezdemnyez eszkz felhasznli nevt, majd meggyzdik arrl, hogy a fogadott jelsz megegyezik-e az adatbzisban tallhatval. Ha a kt jelsz megegyezik, a hitelests sikeres. A PAP nylt szveges formtumban egyms utn ismtelve mindaddig elkldi a hlzaton a felhasznlnv/jelsz prt, mg nyugta nem rkezik a hitelestsrl vagy le nem zrul a kapcsolat. Ez a hitelestsi md nem biztost vdelmet a felhasznli nv s jelsz csomaglehallgat program segtsgvel trtn ellopsa ellen. Tovbbi problma forrsa lehet, hogy a tvoli lloms felel a bejelentkezsi ksrletek gyakorisgnak szablyozsrt s temezsrt. Miutn a tvoli lloms hitelestse megtrtnt, az a tovbbiakban nem lesz jraellenrizve. A folyamatos ellenrzs hinyban az sszekttets vdtelen a hitelestett kapcsolat ellopsval (hijacking), illetve a forgalomirnythoz jogtalanul hitelestett hozzfrst eredmnyez visszajtszsos tmadsokkal szemben.
157
7. Vllalati WAN kapcsolatok megvalstsa A msik PPP hitelestsi mdszer a kihvsos kzfogs hitelestsi protokoll (CHAP). A kihvsos kzfogs hitelestsi protokoll A CHAP sokkal biztonsgosabb hitelestsi folyamat, mint a PAP. A CHAP nem kldi el a jelszt az sszekttetsen keresztl. A CHAP alap hitelests az sszekttets felptsekor trtnik meg elszr, majd annak lebontsig jra s jra megismtldik. Itt a hvott eszkz felel a hitelests gyakorisgnak szablyozsrt s temezsrt, ami elgg valszntlenn teszi a jelszlopson alapul tmadsok sikeressgt. A CHAP hromutas kzfogst hasznl. 1. A PPP-sszekttets ltrehozsnak fzisa megtrtnik. 2. A helyi forgalomirnyt kihv (challange) zenetet kld a tvoli forgalomirnytnak. A tvoli forgalomirnyt a kapott kihv zenet s a megosztott titkos kulcs segtsgvel, egyirny hash fggvny felhasznlsval egy kivonatot hoz ltre. 4. Ezutn a kivonatot visszakldi a helyi fogalomirnytnak. 5. A helyi forgalomirnyt sszeveti az rkezett vlaszt a sajt maga ltal szmtott kivonattal, melyet a kihv zenet s ugyanazon megosztott titkos jelsz valamint ugyanazon egyirny hash fggvny felhasznlsval hatroz meg. 6. Ha a kt szmtott rtk megegyezik, a helyi forgalomirnyt nyugtzza a hitelestst. 7. Abban az esetben, ha a kt rtk nem egyezik meg, a helyi forgalomirnyt bontja a kapcsolatot. A CHAP a kihv zenetek rtknek megvltoztatsval biztost vdelmet a visszajtszsos tmadsokkal szemben. Mivel a kihv zenet rtke egyedi s vletlenszer, ezrt az ebbl szmtott kivonat (hash) rtke is egyedi s vletlenszer lesz. Az ismtelt kihvsok hasznlata cskkenti azt az idtartamot, amg veszlynek van kitve a kapcsolat. A helyi forgalomirnyt vagy egy kls hitelestsi kiszolgl felel a kihv zenetek gyakorisgnak s temezsnek szablyozsrt.
7.2.5 PAP s CHAP konfigurlsa

PPP kapcsolatok hitelestsnek belltshoz a kvetkez globlis konfigurcis parancsok hasznlhatak:
username nv password jelsz
Globlis konfigurcis parancs. Ltrehoz egy helyi adatbzist, amely a tvoli eszkz felhasznli nevt s jelszavt tartalmazza. A felhasznli nvnek pontosan meg kell egyeznie a tvoli forgalomirnyt llomsnevvel. Ez a nv rzkeny a kis- s nagybetkre.
ppp authentication {chap | chap pap | pap chap | pap}
Interfszkonfigurcis parancs.
158
7. Vllalati WAN kapcsolatok megvalstsa Segtsgvel megadhat az egyes interfszek ltal alkalmazott PPP hitelests tpusa (PAP vagy CHAP). Ha egynl tbb hitelestsi tpust lltottak be, pldul, chap pap, akkor a forgalomirnyt elszr az els tpussal prblkozik s csak akkor fog prblkozni a msodik mdszerrel, ha arra a tvoli forgalomirnyt kri.
A CHAP hitelests belltshoz nincs szksg tovbbi konfigurcis parancsokra. rdemes tudni, hogy a Cisco IOS 11.1 verzijtl kezdden alaprtelmezs szerint a PAP le van til tva az interfszeken. Ez azt jelenti, hogy a forgalomirnyt akkor sem fogja elkldeni sajt felhasznli nv/jelsz rtkeit, ha a PAP hitelests engedlyezett. A PAP hasznlathoz tovbbi parancsok szksgesek.
ppp pap sent-username nv password jelsz
Interfszkonfigurcis parancs. A tvoli forgalomirnytnak kldend felhasznli nv/jelsz kombinci adhat meg vele. Ennek meg kell egyeznie a tvoli forgalomirnyt helyi adatbzisban belltott felhasznli nvvel s jelszval.
159
7. Vllalati WAN kapcsolatok megvalstsa A konfigurlt ktutas hitelests segtsgvel az egyik forgalomirnyt hitelesti a msikat. Ha mindkt forgalomirnytn hasznljuk a debug parancsokat, akkor a hitelestsi folyamat alatt figyelhet meg az zenetcsere forgalma.
debug ppp {authentication | packet | error | negotiation | chap }
Authentication (hitelests) Megjelenti a hitelestsi zenetek sorozatt. Packet (csomag) Megjelenti az sszes kldtt s fogadott PPP csomagot. Negotiation (egyeztets, trgyals) Megjelenti a PPP protokoll indulsakor tovbbtott, a PPP belltsok egyeztetsrt felels csomagokat. Error (hiba) Protokollhibkat s statisztikai adatokat jelent meg a PPP kapcsolatra s egyeztetsre vonatkozan. CHAP (kihv zenetek) Megjelenti az egymssal vltott CHAP csomagokat. A hibakeresst az egyes parancsok no eltaggal kiegsztett vltozatval llthatjuk le.
7.3 Frame Relay

7.3.1 A Frame Relay ttekintse
A Frame Relay egy gyakran elfordul 2. rtegbeli WAN begyazsi tpus. A Frame Relay hlzatok tbbszrs hozzfrsek, hasonlan az Ethernethez, viszont az Ethernettl eltren nem tovbbtjk a szrsos (broadcast) forgalmat. A Frame Relay hlzatok a nem szrsos tbbszrs hozzfrs hlzatok kz tartoznak (NonBroadcast Multi-Access network, NBMA). A Frame Relay vltoz hosszsg csomagokat s csomagkapcsolsi technolgit hasznl. Ez a protokoll is szinkron, idosztsos multiplexelst hasznl, a rendelkezsre ll vonali svszlessg optimlis kihasznlshoz. A forgalomirnyt (DTE) ltalban brelt vonal segtsgvel ll sszekttetsben a szolgltatval. Ez a vonal egy Frame Relay kapcsoln (DCE) keresztl csatlakozik a szolgltat legkzelebb es kapcsoldsi pontjhoz (POP). Ezt a kapcsolatot nevezzk hozzfrsi sszekttetsnek. A clhlzathoz tartoz tvoli forgalomirnyt is DTE eszkz. A kt DTE eszkz kztti kapcsolatot virtulis ramkrnek nevezzk (VC).
160
7. Vllalati WAN kapcsolatok megvalstsa A virtulis ramkrk jellemzen a szolgltat ltal elre konfigurlt PVC -k segtsgvel jnnek ltre. A legtbb ISP nem javasolja vagy nem is teszi lehetv a Frame Relay hlzatokban az SVC -k hasznlatt.
7.3.2 A Frame Rekay mkdse

Az NMBA hlzatokban minden virtulis ramkrnek szksge van 2. rtegbeli cmre az azonostshoz. Frame Relaynl ez a cm az adatkapcsolati azonost (Data -Link Connection Identifier, DLCI). A DLCI azonostja a virtulis ramkrt, amelyet az adatok hasznlnak egy bizonyos cllloms elrshez. A DLCI minden tovbbtott keret cmmezjben megtallhat. A DLCI -nek ltalban csak helyi jelentsge van, s ugyanazon virtulis ramkr kt vgn eltr DLCI is szerepelhet. A 2. rtegbeli DLCI kapcsolatban van a virtulis ramkr msik vgn lv eszkz 3. rtegbeli cmvel. A DLCI sszerendelse a tvoli IP-cmmel trtnhet statikusan, illetve dinamikusan is, az inverz ARPknt ismert folyamat segtsgvel. A DLCI azonost tvoli IP-cmmel trtn sszerendelsnek folyamata a kvetkez lpsek alapjn megy vgbe: 1. A helyi eszkz kihirdeti jelenltt a virtulis ramkrn a 3. rtegbeli cmnek kikldsvel. 2. A tvoli eszkz fogadja ezt az informcit s hozzrendeli a kapott 3. rtegbeli IP -cmet a helyi 2. rtegbeli DLCI cmhez. 3. A tvoli eszkz is hirdeti sajt IP-cmt a virtulis ramkrn. 4. A helyi eszkz azon DLCI-hez rendeli a tvoli eszkz 3. rtegbeli cmt, amelyen keresztl fogadta az informcit. A helyi kezelfellet (Local Management Interface, LMI) egy jelzsi rendszerre vonatkoz szabvny, amit a DTE eszkz s a Frame Relay kapcsol hasznl egyms kztt. Az LMI a kapcsolat kezelsrt s az eszkzk kztti llapotok fenntartsrt felels.
161
7. Vllalati WAN kapcsolatok megvalstsa Az LMI zenetek kommunikcit s szinkronizcit biztostanak a Frame Relay hlzat s a felhasznl vgponti eszkze kztt. Szablyos idkznknt tjkoztatnak az j PVC -k ltrejttrl, a meglv PVC-k trlsrl, tovbb informlnak arrl is, hogy a korbban ltrehozott PVC -k tovbbra is lteznek. A virtulis ramkr llapot-zenetek megakadlyozzk az adatok kldst a mr nem ltez PVC-k irnyba. Az LMI kapcsolatllapot informcit szolgltat azon virtulis ramkrkl, melyek a Frame Relay lekpzsi tblzatban (map table) jelennek meg: Aktv llapot (Active State) A kapcsolat aktv, a forgalomirnytk kpesek az adatcserre.
Inaktv llapot (Inactive State) A helyi vgpont s az Frame Relay (FR) kapcsol kztti sszekttets mkdkpes, viszont a FR kapcsol s a tvoli vgpont kztti sszekttets nem megfelel.
Trlt llapot (Deleted State) A helyi kapcsolat nem fogad LMI zeneteket a FR kapcsoltl, vagy a szolgltats nem zemel a CPE forgalomirnyt s a Frame Relay kapcsol kztt.
Amikor egy vgfelhasznl Frame Relay szolgltatsra fizet el, bizonyos szolgltatsi paramtereket egyeztetnie kell a szolgltatval. Az egyik ilyen paramter a vllalt adatsebessg (Committed Information Rate, CIR). A CIR rtke az a minimlis svszlessg, melyet a szolgltat az adatok tovbbtsra garantl a virtulis ramkrn. A szolgltat a CIR rtkt egy adott egysgnyi idtartam alatt tvitt tlagos adatmennyisg alapjn szmolja ki. A kiszmolt idintervallum rtke a vllalsi id (committed time, Tc). A Tc-n bell vllalt bitek szma a vllalt lket (committed burst, Bc). A Frame Relay szolgltats kltsge a kapcsolat sebessgtl s a CIR rtktl fgg.
162
7. Vllalati WAN kapcsolatok megvalstsa A CIR ugyan meghatroz egy minimlisan biztostand sebessget, azonban ha nincs torlds az sszekttetseken, akkor a szolgltat megnveli a svszlessget a msodik elzetesen elfogadott svszlessg rtkig. A tllpsi adatsebessg (Excess Information Rate, EIR) a CIR ltal rgztett rtk feletti tlagos sebessg, amelyet a virtulis ramkr akkor biztost, ha nincs tlterhelve a hlzat. Minden rads bit, amely a vllalt adatsebessgen tl forgalmazhat, egszen a hozzfrsi kapcsolat maximlis sebessgig, tbblet lket (excess Burst, Be) nven ismert. A vllalt adatsebessgen (CIR) tli keretek tovbbtst nem garantlja a szolgltats, de biztostja, ha a hlzati terhels lehetv teszi azt. Az ilyen tbblet kereteket figyelmen kvl hagyhatknt (Discard Eligible, DE) jelli meg a rendszer. Ha torlds kvetkezne be, a szolgltat elszr a DE rtkkel belltott kereteket dobja el. A felhasznlk gyakran alacsonyabb CIR rtkkel rendelkez kapcsolatra fizetnek el, arra a tnyre alapozva, hogy a szolgltat nagyobb svszlessget biztost s meggyorstja az adatforgalmat, ha nincs torlds a hlzaton. Az elremutat explicit torldsjelzs (Forward Explicit Congestion Notification, FECN) egy egybites mez, melynek rtkt 1-re llthatjk a kapcsolk. Ez azt jelzi a vgponti DTE eszkzk szmra, hogy torlds lpett fel a hlzatban a clhlzat fel vezet irnyban. A visszirny explicit torldsjelzs (Backward Explicit Congestion Notification, BECN) egy egybites rtk, melyet a Frame Relay kapcsolk akkor lltanak 1-es rtkre, ha a hlzaton torlds lp fel az ellenkez, azaz a forrshlzat irnyban. A FECN s BECN bitek segtsgvel a magasabb szint protokollok intelligensen reaglhatnak ezekre a torldsjelzsekre. A kld eszkz pldul a BECN-t figyelembe vve lassthatja az tviteli sebessgt.
163

Egy WAN szmos klnbz technolgit hasznl, mindegyik ms -ms elnykkel rendelkezik. A hasznlatban lv technolgia fggvnyben, az adatok elfogadhat formtumv talaktshoz egy modemre vagy egy CSU/DSU-ra van szksg. A WAN technolgik feloszthatak vonalkapcsolt, csomagkapcsolt s cellakapcsolt (53 bjtos csomag a cella) tpusakra. A vonalkapcsolt technolgik egy fizikai ramkrt hoznak ltre a vgberendezsek kztt, mieltt informcikat kldennek. A csomag- s cellakapcsolt technolgik PVC vagy SVC ramkrket hasznlnak az informcikldshez a hlzaton keresztl (kivve a DG tpusakat). A WAN technolgik lehetnek "last mile" tpusak, amelyek a szolgltatkat ktik ssze az gyfelekkel, illetve lehetnek nagy tvolsgak, melyek a szolgltatkat ktik ssze egymssal. A HDLC az alaprtelmezett 2. rtegbeli, soros vonali begyazsi tpus a Cisco forgalomirnytkon. A Cisco HDLC bevezet egy kln adatmezt, hogy lehetv tegye tbbfle 3. rtegbeli protokoll hordozst. A 2. rtegbeli begyazsi tpus megvltozik, mikzben a keretek a WAN hlzaton keresztl haladnak t. A PPP lehetv teszi szmos fejlett szolgltats egyeztetst, mint pldul hitelests, terhelseloszts, visszahvs s tmrts. A PPP tmogatja a PAP s a CHAP hitelestst is. A PAP hitelests nylt szveges formtumban kldi el a felhasznli nv/jelsz prost s ki van tve a lehallgatsos s a visszajtszsos tmadsoknak. A CHAP bellthat idkznknt kihvsokat bocst ki s jra-hitelestsre knyszerti a csatlakoztatott eszkzt. A Frame Relay egy csomagkapcsolt technolgia. A Frame Relay virtulis ramkrket hasznl egy adott forrs clllomshoz val csatlakoztatshoz. A virtulis ramkrk lehetnek kapcsoltak vagy llandak. A Frame Relay FECN s BECN bitek segtsgvel tjkoztatja a fogad s a kld eszkzket a hlzati torldsrl, gy a forgalomirnytk elvgezhetik a szksges mveleteket. A Frame Relay olyan paramtereket hasznl, mint a CIR, hogy megllaptsa az egyes virtulis ramkrkn hasznlhat svszlessg mrtkt.
164
8. Forgalomszrs hozzfrsi listk hasznlatval
8. Forgalomszures hozzaferesi listak haszna lataval

8.1 A hozzfrsi listk hasznlata
8.1.1 Forgalomszrs
A vllalati hlzaton bell a biztonsg alapvet fontossg. Fontos az illetktelen felhasznlk belpsnek megakadlyozsa s a hlzat vdelme a klnfle tmadsokkal (pl.: DoS tmads) szemben. Az illetktelen felhasznlk mdosthatjk, megsemmisthetik vagy eltulajdonthatjk a kiszolglkon trolt fontos adatokat, a DoS tmadsok pedig megakadlyozhatjk a jogos felhasznlk hozzfrst az erforrsokhoz. Mindkt eset id- s pnzvesztesggel jr a vllalat szmra. A forgalomszrs segtsgvel a hlzati rendszergazda felgyelheti a hlzat klnbz rszeit. A szrs a csomagtartalom elemzsnek folyamata, amely alapjn eldnthet, hogy egy adott csomagot tengednk vagy blokkolunk. A csomagszrs lehet egyszer vagy sszetett, a forgalom engedlyezse vagy tiltsa az albbiak szerint trtnhet: Forrs IP-cm Cl IP-cm MAC-cm Protokollok Alkalmazstpus
A csomagszrs a levlszemt szrshez hasonlthat. A legtbb levelezprogramban a felhasznl bellthatja, hogy egy bizonyos forrscmrl rkez levelek automatikusan trldjenek. A csomagszrs ugyangy vgezhet: be kell lltani a forgalomirnytt a nemkvnatos forgalom azonostsra. A forgalomszrs javtja a hlzat teljestmnyt. A nemkvnatos forgalom forrshoz kzeli tiltsval a forgalom nem halad keresztl a hlzaton, s nem pazarol el rtkes erforrsokat.
165
A forgalomszrshez hasznlt leggyakoribb eszkzk: Integrlt forgalomirnytba ptett tzfalak Adatbiztonsgi funkcikat ellt clkszlkek Kiszolglk
Az eszkzk nmelyike kizrlag a bels hlzatbl szrmaz forgalmat szri. A jval kifinomultabb biztonsgi eszkzk felismerik s kiszrik a kls forrsbl rkez ismert tmadstpusokat. A vllalati forgalomirnytk felismerik a krtkony forgalmat, s megakadlyozzk, hogy az bejusson a hlzatba s ott krt okozzon. Szinte minden forgalomirnyt kpes a forrs s cl IP -cm alapjn trtn csomagszrsre, emellett meghatrozott alkalmazsok s protokoll ok (pl. IP, TCP, HTTP, FTP s Telnet) szerinti szrsre is alkalmasak.
166
8.1.2 A hozzfrs-vezrlsi listk

A forgalomszrs egyik legltalnosabb mdja a hozzfrs-vezrlsi listk (Access Control List, ACL) hasznlata. Az ACL-ek hasznlatval a hlzatba belp s az onnan tvoz forgalom ellenrizhet s szrhet. Mrett tekintve az ACL lehet egy adott forrsbl rkez forgalmat engedlyez vagy tilt egyetlen parancs, de lehet tbb szz parancsbl ll lista is, ami klnbz forrsbl rkez csomag ok tengedsrl vagy tiltsrl dnt. Az ACL elsdlegesen az engedlyezni vagy elutastani kvnt csomagtpusok azonostsra hasznlhat. Az ACL ltal azonostott forgalom az albbi clokra is felhasznlhat: A bels llomsok meghatrozsa cmfordtshoz A specilis funkcikhoz (pl. a szolgltatsminsg /QoS - Quality of Service/, sorba llts) tartoz forgalom azonostsa s csoportostsa A forgalomirnytsi frisstsek tartalmi korltozsa A hibakeressi zenetek korltozsa A forgalomirnytk virtulis terminlrl trtn elrsnek szablyozsa
Az ACL-ek hasznlatbl ered potencilis problmk: Az sszes csomag ellenrzse komoly terhelst jelent a forgalomirnyt szmra, gy kevesebb id jut a csomagtovbbtsra. A rosszul megtervezett ACL-ek mg nagyobb terhelst okoznak, ami zavart okozhat a hlzat hasznlatban. A nem megfelelen elhelyezett ACL-ek blokkolhatjk az engedlyezni kvnt, s engedlyezhetik a blokkolni kvnt forgalmat.
8.1.3 Az ACL tpusok s hasznlatuk

A hozzfrsi listk ltrehozsakor a hlzati rendszergazda szmos lehetsg kzl vlaszthat, a szksges ACL tpust mindig a tervezsi irnyelvek sszetettsge hatrozza meg.
167
8. Forgalomszrs hozzfrsi listk hasznlatval Hrom ACL tpus ltezik: Norml ACL A norml ACL (Standard ACL) a legegyszerbb a hrom tpusbl. Norml IP ACL ltrehozsakor az ACL a csomag forrs IP-cmnek alapjn vgzi a szrst. A norml ACL a teljes (pl. IP) protokollmkds alapjn engedlyezi vagy tiltja a forgalmat. Ha pldul egy norml ACL nem engedlyezi egy hlzati lloms IP forgalmt, akkor az llomsrl rkez sszes szolgltatst tiltja. Ez az ACL -tpus egy adott felhasznl vagy LAN szmra engedlyezheti az sszes szolgltats elrst a forgalomirnytn keresztl, mg az sszes tbbi IP-cm esetn tiltja a hozzfrst. A norml ACL-ek a hozzjuk rendelt azonositsi szm alapjn azonosthatk. Az IP-forgalom engedlyezst vagy tiltst vgz hozzfrsi listk azonostsi szma 1 s 99, illetve 1300 s 1999 kztti lehet. Kiterjesztett ACL A kiterjesztett ACL (Extended ACL) nem csupn a forrs IP-cm, hanem a cl IP-cm, a protokoll s a portszmok alapjn is szrhet. A kiterjesztett ACL-ek hasznlata sokkal elterjedtebb, mint a norml ACL-ek, mivel specifikusabbak s jobb ellenrzst tesznek lehetv. A kiterjesztett AC L-ek azonositsi szma 100 s 199, illetve 2000 s 2699 kztti lehet. Nevestett ACL A nevestett ACL (Named ACL, NACL) olyan norml vagy kiterjesztett hozzfrsi lista, amelyre szm helyett egy beszdes nvvel hivatkozunk. A nevestett ACL-ek belltsa a forgalomirnyt NACL zemmdjban trtnik.
7.1.4 Az ACL feldolgozsa

A hozzfrsi listk egy vagy tbb utastsbl llnak. A forgalmat minden egyes utasts a megadott paramterek alapjn engedlyezheti vagy tilthatja. Az ACL-ben tallhat utastsokat sorban egyms utn ssze kell vetni a forgalommal, egszen addig, amg paramter egyezst nem tallunk vagy el nem rjk az utastslista vgt.
168
8. Forgalomszrs hozzfrsi listk hasznlatval Az ACL utols utastsa mindig implicit tilts. Ez az utasts automatikusan is odakerl mindegyik ACL vgre, mg akkor is, ha a konfigci kszitje nem irja oda. Az implicit tilts semmilyen forgalmat nem engedlyez. Ezrt az implicit tilts funkci megakadlyozza a nemkvnatos forgalom vletlen thaladst. A hozzfrsi lista akkor lp mkdsbe, ha elksztse utn hozzrendeljk a megfelel interfszhez. Az ACL az interfszen, a belltstl fggen, vagy a bejv vagy a kimen forgalmat figyeli. Amennyiben az ACL egy engedlyez utastsnak elrsa megegyezik az ppen vizsglt csomag paramtereivel, a csomag tovbbhaladsa engedlyezett. Ha a csomaghoz egy tilt utasts illeszkedik, akkor nem haladhat tovbb. Az engedlyez utastst nem tartalmaz ACL minden forgalmat tilt, mivel minden ACL vgn szerepel az implicit tilts. Az ACL teht minden olya n forgalmat tilt, ami nincs konkrtan engedlyezve. A rendszergazda akr befel akr kifel irnyul forgalmat szr ACL listt rendelhet a forgalomirnyt brmely interfszhez. A bejv vagy kimen irnyt mindig a forgalomirnyt szemszgbl nzzk, gy az interfszre berkez forgalom bejv (a forgalomirnyitba belp), az onnan tvoz forgalom pedig kimen. Amikor egy csomag rkezik valamely interfszre, a forgalomirnyt az albbi paramtereket ellenrzi: Ltezik-e az interfszhez rendelt ACL lista? Az ACL lista a bejv vagy a kimen forgalomra vonatkozik? A forgalomra teljesl-e valamely engedlyez vagy tilt felttel?
Az interfsz kimen irnyhoz hozzrendelt ACL semmilyen hatssal nincs az adott interfsz berkez forgalmra, ami fordtva is igaz. A forgalomirnyt interfszekhez protokollonknt s irnyonknt egy -egy ACL adhat meg. Igy az IP protokoll esetben is egy interfszhez egyszerre csak egy befel s egy kifel halad forgalmat szr ACL adhat meg. Az interfszhez hozzrendelt ACL-ek vgrehajtsa kslelteti a forgalmat. Akr egyetlen hossz ACL is szrevehet hatssal lehet a forgalomirnyt teljestmnyre.
8.2 A helyettest maszk hasznlata

8.2.1 A helyettest maszk clja s felptse
Alapesetben az egyszer ACL-ek csak egyetlen cmet engedlyeznek vagy tiltanak. Tbb cm vagy egy adott cmtartomny szrshez tbb utasts vagy megfelel helyettest maszk szksges. Az IP -cm s a helyettest maszk egyttes hasznlata sokkal rugalmasabb megoldst nyjt. A helyettest maszk lehetv teszi egy adott cmtartomny, vagy akr egy egsz hlzat szrst egyetlen utasts segtsgvel. A helyettest maszkban a 0-k jellik ki az IP-cm azon bitjeit, amiknek pontosan egyeznie kell a megadott cmmel, mg a 1-eseknl nincs szksg egyezsre.
169
8. Forgalomszrs hozzfrsi listk hasznlatval A 0.0.0.0 helyettest maszk pontos egyezst r el az IP -cm mind a 32 bitjn. Ez a maszk egyenrtk a host paramterrel
Az ACL-ek ltal hasznlt helyettest maszk hasonlt az OSPF irnytprotokoll esetben hasznlt maszkhoz. Ennek ellenre a kt maszk eltr clra szolgl. Az ACL-utastsokban szerepl helyettest maszk az engedlyezni vagy tiltani kvnt cmtartomnyt hatrozza meg. Egy ACL-utastsban az IP-cm s a hozz tartoz helyettest maszk kzsen, egyttesen hatrozzk meg, hogy az utasts mely cmbitjeit kell sszehasonltani a vizsglt csomagok megfelel cimbitjeivel. Az interfszre berkez vagy onnan tvoz sszes csomag cmrszt ssze kell hasonltani az ACLutastsok megfelel cmrszvel, hogy van-e egyezs. A helyettest maszk hatrozza meg, hogy sszehasonltskor a csomag fejlcben szerepl IP-cm s az utastsban megadott cm mely bitjeit kell figyelembe venni. Az albbi utasts pldul a 192.168.1.0 hlzat minden llomst engedlyezi, ugyanakkor minden mst tilt:
access-list 1 permit 192.168.1.0 0.0.0.255
A helyettest maszk meghatrozza, hogy csupn az els hrom oktettnek kell illeszkedn ie. A fentiekbl kvetkezik, hogy ha a bejv csomag els 24 bitje megegyezik a viszonytsi mez els 24 bitjvel, akkor a csomag engedlyezve lesz. A helyettest maszk szerint brmely csomag, amelynek forrs IP-cme a 192.168.1.1 s a 192.168.1.255 kztti tartomnyba esik, illeszkedni fog a pldban szerepl sszehasonltsi cmhez. Minden ms csomagot az ACL implicit tilts (deny any) utastsa letilt.
170
8.2.2 A helyettest maszk hatsainak elemzse

Egy ACL ltrehozsakor kt specilis helyettest maszk egyszerbb alakban is megadhat: a host (lloms) s az any (brmi). A host paramter Egy bizonyos lloms szrshez az IP-cm utni 0.0.0.0 helyettestsi maszkot, vagy az IP -cm eltti host paramtert kell hasznlnunk.
R1(config)#access-list 9 deny 192.168.15.99 0.0.0.0
Ugyanaz, mint:
R1(config)#access-list 9 deny host 192.168.15.99
Az any paramter Az sszes lloms szrshez hasznljuk a csupa egyesekbl ll paramtert, amelyet a 255.255.255.255 helyettest maszk belltsval adhatunk meg! A 255.255.255.255 helyettest maszk az sszes bitet egyeznek tekinti, ezrt ltalban az IP -cmet a 0.0.0.0 jelli. Az sszes lloms szrsre hasznlt msik mdszer az any paramter hasznlata.
R1(config)#access-list 9 permit 0.0.0.0 255.255.255.255
Ugyanaz, mint:
R1(config)#access-list 9 permit any
Nzzk meg az albbi pldt, amely egy bizonyos llomst letilt, mg az sszes tbbit engedlyezi:
R1(config)#access-list 9 deny host 192.168.15.99 R1(config)#access-list 9 permit any
A permit any parancs minden forgalmat engedlyez, amely az ACL-ben nincs konkrtan elutastva. Ezzel a belltssal egyik csomag sem ri el az ACL vgn szerepl implicit deny any utastst.
171
A tbbszint IP-cmzsi smt hasznl vllalati hlzatokban gyakran szksges az alhlzati forgalom szrse. Amennyiben a 192.168.77.0 hlzat alhlzatokra osztshoz 3 bitet hasznlunk, az alhlzati maszk 255.255.255.224 lesz. Ha a fenti alhlzati maszkot kivonjuk a csupa 255-bl ll 32 bites hlzati maszkbl, a 0.0.0.31 helyettest maszkot kapjuk. Ennek megfelelen a 192.168.77.32 alhlzat llomsainak engedlyezshez az albbi ACL utastst kell hasznlnunk:
Minden csomag els 27 bitje megegyezik a viszonytsi cm els 27 bitjvel. A fenti utasts ltal engedlyezett teljes cmtartomny a 192.168.77.33-tl a 192.168.77.63-ig terjed, amely pontosan lefedi a 192.168.77.32 alhlzat sszes cmt.
A teljes A, B vagy C osztly hlzatok alhlzati s helyettest maszkja egyenlen oszlik meg egy oktetthatron. A nem oktetthatrra es alhlzatok eltr helyettest maszkot eredmnyeznek. Az oktetthatr az els s msodik, vagy a msodik s harmadik oktett kz es rsz. Plda: Egy alaprtelmezs szerinti A osztly alhlzat esetben a 8. s 9. bit kz esik. Ez az egyik oktett vge s a kvetkez oktett eleje, amit a kvetkez oktett hatrnak neveznk.
172
8. Forgalomszrs hozzfrsi listk hasznlatval A forgalom finomhangolshoz szksges vezrlst az ACL utastsokhoz ltrehozott helyettest maszkok biztostjk. Kezdk szmra a klnbz alhlzatok forgalmnak szrst a legnehezebb megrteni. A 192.168.77.0 hlzat a 255.255.255.192 vagy a /26 alhlzati maszkkal az albbi ngy alhlzatot jelenti: 192.168.77.0/26 192.168.77.64/26 192.168.77.128/26 192.168.77.192/26 A fenti ngy alhlzat brmelyikt szr ACL ltrehozshoz vonjuk ki a 255.255.255.192 alhlzati maszkot a csupa 255-bl ll maszkbl, amely a 0.0.0.63 helyettest maszkot eredmnyezi. Az els kt alhlzatbl rkez forgalom engedlyezshez kt ACL utastst kell hasznlnunk:
access-list 55 permit 192.168.77.0 0.0.0.63 access-list 55 permit 192.168.77.64 0.0.0.63
Az els kt alhlzat sszevonhat a 192.168.77.0/25 megadsval. A 255.255.255.128 sszevont alhlzati maszk kivonsa a csupa 255-bl ll maszkbl a 0.0.0.127 helyettest maszkot eredmnyezi. A fenti maszk hasznlatval a kt alhlzat kett helyett egyetlen ACL -ben sszefoghat.
173
8.3 A hozzfrsi listk paramterezse

8.3.1 A norml s a kiterjesztett ACL-ek elhelyezse
A megfelelen megtervezett hozzfrsi listk pozitv hatssal vannak a hlzati teljestmnyre s rendelkezsre llsra. Tervezznk meg a hozzfrsi listk ltrehozst s elhelyezst a maximlis hats rdekben! A tervezs az albbi lpsekbl ll: 1. 2. 3. 4. A forgalomszrsi ignyek meghatrozsa. Az ignyeknek leginkbb megfelel ACL tpusnak kivlasztsa. Annak a forgalomirnytnak s interfsznek a kivlasztsa, amelyhez az ACL-t rendeljk. A forgalomszrs irnynak meghatrozsa
1 lps: A forgalomszrsi ignyek meghatrozsa Gyjtsk ssze a forgalomszrsi ignyeket az rintettektl, a vllalat minden osztlyrl! A fenti felhasznli ignyeken, forgalomtpuson, terheltsgen s biztonsgi szempontokon alapul ignyek vllalatonknt eltrek lehetnek. 2. lps: Az ignyeknek leginkbb megfelel ACL tpusnak kivlasztsa Mindig a helyzetnek megfelel szrsi ignyeken mlik, hogy norml vagy kiterjesztett ACL -t hasznlunk. Az ACL tpusnak kivlasztsa hatssal lehet az ACL rugalmassgra csakgy, mint a forgalomirnyt teljestmnyre s a hlzati kapcsolat svszlessgre. A norml ACL ltrehozsa s alkalmazsa egyszer. A norml ACL viszont kizrlag a forrscm alapjn kpes szrni, tekintet nlkl a forgalom tpusra s cljra. A tbb hlzatba vezet tvonalak esetben egy, a forrshoz tl kzel elhelyezett ACL akaratlanul is letilthatja az engedlyezni kvnt forgalmat is. Ezrt fontos, hogy a norml ACL-eket a clhoz a lehet legkzelebb helyezzk el! Ha a szrsi ignyek jval sszetettebbek, hasznljunk kiterjesztett ACL-t! A kiterjesztett ACL precizebb szelekcit biztost, mint a norml ACL. Forrs - s clcm szerinti szrsre egyarnt kpes. Szksg esetn a hlzati s szlltsi rteg protokolljai s a portszmok alapjn is szrhet. Ez a megnvelt szrsi rszletessg lehetv teszi a hlzati rendszergazda szmra a biztonsgi terv ignyeinek megfelel ACL-ek ltrehozst. A kiterjesztett ACL-t mindig a forrscmhez kzel helyezzk el! Ha az ACL mind a forrs -, mind a clcmet megvizsglja, akkor bizonyos clhlzatba sznt csomagokat mg azeltt letilthat, hogy azok elhagynk a forrs-forgalomirnytt. A csomagok szrse mg a hlzaton trtn thaladsuk eltt trtnik, ami segt a svszlessg megrzsben.
174
3. lps: A megfelel forgalomirnyt s interfsz meghatrozsa, amelyhez az ACL -t rendeljk Helyezzk az ACL-eket a hozzfrsi vagy az elosztsi rteg forgalomirnytira! A hlzati rendszergazdnak megfelel jogosultsgokkal kell rendelkeznie a fenti forgalomirnytk
175
8. Forgalomszrs hozzfrsi listk hasznlatval vezrlshez s a biztonsgi irnyelvek alkalmazshoz. Az a hlzati rendsz ergazda, aki nem rendelkezik hozzfrssel a forgalomirnythoz, az ACL-t sem kpes ott belltani. A megfelel interfsz kivlasztshoz a szrsi ignyeket, az ACL tpust s a forgalomirnyt hlzaton belli pozcijt egyarnt figyelembe kell venni. A forgalom szrst mg azeltt clszer elvgezni, hogy az elrne egy alacsonyabb svszlessg soros sszekttetst. Az interfsz kivlasztsa a forgalomirnyt kijellst kveten mr ltalban egyrtelm. 4. lps: A forgalomszrs irnynak meghatrozsa Szemlljk a forgalom ramlst a forgalomirnyt szemszgbl azrt, hogy az ACL alkalmazsnak irnyt meg tudjuk hatrozni! Bejv forgalom a forgalomirnyt valamely interfszre kvlrl rkez forgalom. A forgalomirnyt sszeveti a berkez csomagot az ACL-lel, mieltt megkeresn a clhlzatot az irnyttblban. Az itt elutastott csomagok megsproljk az irnyttblban trtn keress kltsgt. Emiatt a befel szr hozzfrsi lista jval hatkonyabb a forgalomirnyt szmra, min t a kifel szr hozzfrsi lista. A kimen forgalom a forgalomirnytn bell ramlik, majd onnan valamelyik interfszen keresztl tvozik. A kimen csomagra vonatkozan a forgalomirnyt mr elvgezte az irnytsi keresst, s a csomagot a megfelel interfszre kapcsolta. A csomag sszevetse az ACL-lel kzvetlenl a forgalomirnytrl val tvozs eltt trtnik.
176
8.3.2 Az ACL alapbelltsnak folyamata

Az ignyek sszegyjtse, a hozzfrsi lista megtervezse s az alkalmazsi hely meghatroz sa utn el kell kszteni az ACL-t. Mindegyik ACL egyedi azonostt ignyel, amely lehet egy szm vagy egy beszdes nv. A szmozott hozzfrsi listkban a szm meghatrozza a ltrehozott ACL tpust: A norml IP ACL-ek azonost szma 1 s 99 kztt, illetve 1300 s 1999 kztt lehet. A kiterjesztett IP ACL-ek azonost szma 100 s 199 kztt, valamint 2000 s 2699 kztt mozoghat.
AppleTalk s IPX ACL ltrehozsa szintn lehetsges. Egy forgalomirnyt brmely interfszre protokollonknt s irnyonknt legfeljebb egy ACL-t lehet hozzrendelni. Amennyiben a forgalomirnyt kizrlag IP -t futtat, mindegyik interfsz legfeljebb kt ACL-t kezelhet: egy befel s egy kifel szrt. Mivel minden, az adott interfszen thalad csomagot ssze kell vetni mindegyik ACL-lel, ezrt az ACL ksleltetst okoz.
177
8. Forgalomszrs hozzfrsi listk hasznlatval Egy hozzfrsi lista konfigurlsa kt lpsbl ll: ltrehozs s alkalmazs. Az ACL ltrehozsa Lpjnk be a globlis konfigurcis mdba! Az access-list parancs hasznlatval adjuk meg a hozzfrsi lista utastsait! Az sszes utastst ugyanazzal az ACL szmmal lssuk el, amg a hozzfrsi lista nem lesz teljes! A norml ACL utasts-szintaktikja az albbi:
access-list [hozzfrsi_lista_szma] [forrs_helyettest_maszk][log] [deny|permit] [forrscm]
Mindaddig, amg nincs egyezs, minden csomagot ssze kell vetni az sszes ACL utastssal, ezrt az utastsok ACL-en belli sorrendje nagymrtkben befolysolhatja a mr emltett ksleltetst. A fentiek miatt, az utastsok sorrendjnl rdemes a gyakoribb feltteleket a kevsb gyakoriak el helyezni! A forgalom dnt rszt kpez utastsokat pldul tegyk mindig az ACL elejre! Azt azonban tartsuk fejben, hogy egyezs esetn a csomag mr nem lesz sszevetve az ACL tovbbi utastsaival! Ez azt jelenti, hogy ha az egyik sor engedlyez egy csomagot, de az ACL egy ksbbi sora tiltja azt, a csomag engedlyezve lesz. Ezrt gy tervezzk meg az ACL -t, hogy a konkrtabb felttelek az ltalnosabbak eltt szerepeljenek! Mskppen fogalmazva, elszr tiltsuk le egy hlzat bizonyos llomst, s csak azutn engedlyezzk a teljes hlzat maradk rszt! Dokumentljuk az ACL minden rsznek vagy utastsnak a funkcijt a remark parancs segtsgvel:
access-list [a lista szma] remark [szveg]
Egy ACL trlshez hasznljuk az albbi parancsot:

no access-list [a lista szma]
Nincs lehetsg arra, hogy csupn a norml vagy kiterjesztett ACL egyetlen sort trljk! Ehelyett az egsz ACL-t trlni kell, majd a javtott listval kell lecserlni.
178
8.3.3 A szmozott norml ACL belltsa

Az ACL addig nem szri a forgalmat, amg egy interfszre nem alkalmazzuk, azaz hozz nem rendeljk az interfszhez. Az ACL alkalmazsa Rendeljk az ACL-t egy vagy tbb interfszhez s hatrozzuk meg, hogy bejv vagy kimen forgalomra vonatkozik-e! Az ACL-t a clhoz lehet legkzelebb alkalmazzuk!
R2(config-if)#ip access-group hozzfrsi lista szma [in | out]
Az albbi parancsokkal az 5-s szm hozzfrsi lista az R2 forgalomirnyt Fa0/0 interfszre helyezhet, hogy a bejv forgalmat szrje:
R2(config)#interface fastethernet 0/0 R2(config-if)#ip access-group 5 in
Egy interfszre alkalmazott ACL esetben (bizonyos IOS vltozatok alkalmazsakor) a kimen irny az alaprtelmezett, ennek ellenre az irny megadsa a zavarok elkerlse s a forgalom megfelel irnyba trtn szrsnek biztostsa rdekben nagyon fontos. Az ACL eltvoltsa az interfszrl az ACL rintetlenl hagysval, a no ip access-group interface paranccsal lehetsges.
Szmos ACL paranccsal ellenrizhet a megfelel szintaktika, az utastsok sorrendje s az interfszeken trtn elhelyezs.
show ip interface
A fenti parancs megjelenti az IP interfsz informciit, s jelzi a hozzrendelt ACL-eket.
show access-lists [hozzfrsi lista szma]
A fenti parancs nem csupn a forgalomirnyt sszes ACL-jnek tartalmt jelenti meg, hanem az egyes engedlyez s tilt utastsokhoz tartoz az ACL alkalmazsa ta tallt egyezsek szmt is. Egy adott lista megtekintshez adjuk meg az ACL nevt vagy szmt a parancs paramtereknt!
show running-config
A fenti parancs megjelenti a forgalomirnytn belltott sszes ACL-t, akkor is, ha azok jelenleg egyik interfszhez sincsenek hozzrendelve.
179
8. Forgalomszrs hozzfrsi listk hasznlatval Szmozott ACL hasznlatakor az ACL els ltrehozsa utn hozzadott parancsok a lista vgre kerlnek. Ez a sorrend nem biztos, hogy a kvnt eredmnyhez vezet. A problma megoldshoz tvoltsuk el az eredeti ACL-t, majd a szksges korrekcival hozzuk ltre ismt! Jl bevlt mdszer, ha az ACL-t egy szvegszerkesztben hozzuk ltre, amely lehetv teszi az ACL knny szerkesztst s a forgalomirnyt konfigurcijba trtn beillesztst. Ugyanakkor arra is figyeljnk oda, hogy az ACL msolsa s beillesztse eltt tvoltsuk el a jelenleg alkalmazott ACL-t, msklnben az sszes utasts annak a vgre kerl.
8.3.4 A szmozott kiterjesztett ACL belltsa

A kiterjesztett ACL szlesebb kr kezelhetsget biztost, mint a norml ACL. A kiterjesztett ACL ugyanis a forrs IP-cm, a cl IP-cm, a protokolltpus s a portszmok alapjn engedlyezi vagy tiltja a forgalmat. Mivel a kiterjesztett ACL specifikcija ilyen apr rszletekre is kiterjed lehet, mrete ltalban gyorsan nvekszik. Minl tbb utastst tartalmaz egy ACL, annl nehezebben kezelhet. A kiterjesztett ACL-ek a 100 s 199, illetve a 2000 s 2699 kztti azonost szmokat hasznljk. A norml ACL-re vonatkoz szablyok ugyangy vonatkoznak a kiterjesztett ACL-re is: Tbb utasts is megadhat egy ACL-ben.
180
8. Forgalomszrs hozzfrsi listk hasznlatval Egy ACL minden utastban ugyanazt az ACL azonosit szmot kell megadni. Az IP-cmek specifiklsakor hasznlhatk a host s az any kulcsszavak.
A leglnyegesebb eltrs a kiterjesztett ACL szintaktikjban az, hogy az engedlyez vagy tilt felttel utn egy protokoll megadsa ktelez. Ez a protokoll akr az IP is lehet ha a teljes IP -forgalom tiltsa vagy engedlyezse a cl de lehet az IP forgalom egy kivlasztott rszhalmazt kpez ms protokoll (pl. a TCP, az UDP, az ICMP s az OSPF) is.
181
Az elvrsok teljestse gyakran tbbfle mdon is lehetsges. Ha egy vllalatnak van egy 192.168.3.75 cmen elrhet kiszolglja akkor ennek elrsre vonatkozan pldul az albbi elvrsok lehetsgesek: A 192.168.2.0 LAN llomsai szmra engedlyezzk a kiszolgl elrst! A 192.168.1.66 lloms szmra engedlyezzk kiszolgl elrst! Tiltsuk meg a 192.168.4.0 LAN llomsai szmra a kiszolgl elrst! A vllalaton bell mindenki msnak engedlyezzk a kiszolgl elrst!
Legalbb kt lehetsges megolds van, amely a fenti elvrsoknak megfelel. Az ACL tervezsekor trekedjnk arra, hogy a lehetsgekhez mrten minl kevesebb utastssal oldjuk meg a problmt! Az utastsok szmnak minimalizlsa s a forgalomirnyt feldolgozsi terhelsnek cskkentse tbbek kztt az albbi mdon lehetsges: Nagy forgalom vizsglatt s a nem engedlyezett forgalom tiltst az ACL elejn vgezzk! Ez a megkzeltsmd garantlja, hogy itt kiejtett a csomagokat nem kell az ACL ksbbi rsznek utastsaival sszevetni. Tartomnyok hasznlatval vonjunk ssze tbb engedlyez, illetve tilt utastst egyetlen utastsba! Fontoljuk meg egy bizonyos csoport tiltst a vele ellenttes elbrls, nagyobb csoport engedlyezse helyett!
182
8.3.5 A nevestett ACL belltsa

A Cisco IOS 11.2 vagy annl jabb verziiban mr lehetsges nevestett ACL (NACL) ltrehozsa. Az NACL esetben a norml s a kiterjesztett ACL-ekhez hasznlatos szmtartomnyokat beszdes nv vltja fel. A nevestett ACL a norml s a kiterjesztett ACL minden funkcijval s elnyvel rendelkezik, csupn a ltrehozshoz hasznlt szintaktika eltr. Az ACL-hez rendelt nv egyedi. A csupa nagybetvel megadott nv knnyebben felismerhet a forgalomirnyt parancskimenetben s a hibaelhrts sorn. Nevestett ACL az albbi paranccsal hozhat ltre:
ip access-list {standard | extended} nv
A fenti parancs kiadsa utn a forgalomirnyt az NACL konfigurcis almdba vlt. A kezdeti nvmegadsi parancs utn egyesvel vigyk be az sszes engedlyez s tilt utastst! Az NACL a norml vagy a kiterjesztett ACL permit vagy deny utastssal kezdd parancsformtumt hasznlja. A nevestett ACL hozzrendelse egy interfszhez gy trtnik, mint a norml s a kiterjesztett ACL ek esetben, csak itt nv azonositja az interfszhez kapcsolt ACL-t. Egy nevestett ACL megfelel szintaktikjt, az utastsok sorrendjt s az interfszeken trtn elhelyezst a norml ACL esetben is hasznlt parancsokkal ellenrizhetjk.
183
8. Forgalomszrs hozzfrsi listk hasznlatval Az IOS rgebbi verziiban az ACL tszerkesztshez az albbiakra volt szksg: Az ACL kimsolsa egy szvegszerkesztbe. Az ACL eltvoltsa a forgalomirnytrl. Az ACL ismtelt ltrehozsa, majd a szerkesztett vltozat alkalmazsa.
Sajnos a fenti folyamat a szerkesztsi ciklus vgig minden forgalmat tenged az interfszen, gy a hlzat vdtelen marad a lehetsges biztonsgi rsekkel szemben. Az IOS jelenlegi verziiban a szmozott s a nevestett ACL-ek szerkesztshez hasznljuk az ip access-list parancsot! Az ACL-ek sorai szmozva (10, 20, 30, stb.) jelennek meg. A sorokhoz tartoz szmok megtekintshez hasznljuk az albbi parancsot:
show access-lists
Egy mr ltez sor szerkesztshez az albbiakat kell tenni: A no line number parancs hasznlatval tvoltsuk el a sort! A sorhoz tartoz szm hasznlatval adjuk ismt hozz ugyanazt a sort az ACL-hez!
A 20-as s 30-as sorok kz egy j sor beillesztshez: Adjuk ki a kt meglv sor kz es szmmal (pl.: 25) kezdd j ACL utastst!
Az jrarendezett s 10-esvel jraszmozott sorok megtekintshez adjuk ki a show access-lists parancsot!
184
8.3.6 A virtulis terminl alap hozzfrs belltsa a forgalomirnytn

A hlzati rendszergazdnak gyakran kell konfigurlnia tvoli telephelyen lv forgalomirnytkat. A tvoli forgalomirnytra trtn bejelentkezshez a Telnet, a Secure Shell (SSH) vagy ezekhez hasonl gyflprogramok hasznlhatk. A Telnet nem tl biztonsgos, mivel a felhasznli nevet s a jelszt egyszer szveges formban tovbbtja. Az SSH ezzel szemben mindkt adatot titkostott formban kldi tovbb. Amikor a hlzati rendszergazda a Telnet gyflprogram hasznlatval egy tvoli forgalomirnythoz kapcsoldik, akkor a forgalomirnyt szemszgbl egy bejv kapcsolat kezdemnyezse trtnik. A Telnet s az SSH egyarnt svon belli hlzat-felgyeleti eszkz, ezrt szksge van az IPprotokollra s a forgalomirnythoz vezet mkd hlzati kapcsolatra. A virtulis terminl (VTY) alap hozzfrs korltozsnak clja a hlzatbiztonsg javtsa. A kls tmadk megprblhatnak hozzfrst szerezni a forgalomirnythoz. Ha a forgalomirnyt virtulis portjn nincs hozzfrsi lista, akkor brki bejuthat, aki a Telnet felhasznli nevt s jelszavt ismeri. Amennyiben a forgalomirnyt vty portjhoz rendelt ACL kizrlag meghatrozott IP-cmeket engedlyez, akkor az ACL-ben nem engedlyezett IP-cmrl, a telnet segtsgvel kapcsoldni prbl brmilyen szemly hozzfrst megtagadja a forgalomirnyt. Ugyanakkor azt se feledjk, hogy ez problmt okozhat, ha a rendszergazdnak klnbz helyekrl s IP -cmekrl kell a forgalomirnythoz kapcsoldni.
185
8. Forgalomszrs hozzfrsi listk hasznlatval A virtulis terminl alap hozzfrsi lista ltrehozsnak folyamata ugyanaz, mint egy norml interfszhez kapcsold ACL esetn. Ezzel szemben az ACL hozzrendelse egy vagy tbb VTY vonalhoz ms paranccsal trtnik. Az ip access-group parancs helyett az access-class parancsot kell hasznlnunk. A VTY vonalakhoz hozzrendelt hozzfrsi listk belltshoz kvessk az albbi irnyelveket: A VTY vonalakhoz ne nevestett, hanem szmozott ACL -t hasznljunk! A korltozsokat minden VTY vonalhoz hozz kell rendelni, mivel nem szablyozhat, hogy a felhasznl melyik vonalon kapcsoldjon!
A VTY kapcsolat a Telnet gyflprogram s a clknt megadott forgalomirnyt Telnet szerverprogramja kztt jn ltre. A hlzati rendszergazda ltrehozza a kapcsolatot a clknt megadott forgalomirnytval, megadja felhasznli nevt s jelszavt, majd elvgzi a szksges konfigurcis vltoztatsokat.
186
8.4 Meghatrozott forgalomtpusok engedlyezse s tiltsa

8.4.1 ACL-ek belltsnak alkalmazsa- s portszrse
A kiterjesztett ACL ltalban a forrs- s a cl IP-cm alapjn szr. A szrs anonban ennl specifikusabb csomagjellemzk alapjn is elvgezhet. Az OSI 3. rtegbeli hlzati protokollja, valamint a 4. rtegbeli szlltsi protokollok s az alkalmazsportok lehetv teszik az ilyen jelleg szrst. A szrshez rendelkezsre ll protokollok kztt szerepel az IP, a TCP, az UDP s az ICMP. A kiterjesztett ACL a clport szma alapjn is vgez szrst. Ezek a portszmok rjk le a csomag ltal elrni kvnt alkalmazst, ill. szolgltatst. Minden alkalmazshoz egy rgztett portszm tartozik. A forgalomirnytnak meg kell vizsglnia az Ethernet keret szllitmnyt, hogy az ACL -ekkel trtn sszehasonltshoz kigyjtse a szksges IP-cmeket s portszmokat. Az utasts kirtkelse eltt a portszmokon kvl egy felttel megadsa is szksges. Erre az albbi gyakori rvidtsek hasznlatosak: eq - egyenl (equals) gt nagyobb, mint (greater than) lt kisebb, mint (less than)
Vegyk az albbi pldt:

R1(config)#access-list 192.168.2.89 eq 80 122 permit tcp 192.168.1.0 0.0.0.255 host
A fenti ACL utasts engedlyezi a 192.168.1.0 hlzatbl szrmaz, a 80-as porton HTTP-hozzfrst ignyl forgalmat. Amennyiben egy felhasznl telnet- vagy FTP-kapcsolatot prbl ltesteni a 192.168.2.89 cm llomssal, a minden hozzfrsi lista vgn megtallhat implicit tilt utasts megakadlyozza azt.
Egy konkrt alkalmazs alapjn trtn szrshez ismernnk kell az adott alkalmazs portszmt. Az alkalmazsokat egy portszm s egy nv azonositja. Egy ACL pldul hivatkozhat akr a 80 -as portra, akr a HTTP nvre. Amennyiben sem az alkalmazshoz tartoz portszm, sem pedig a nv nem ismert, prbljuk megtallni az informcit az albbi lpsek valamelyikvel: 187
8. Forgalomszrs hozzfrsi listk hasznlatval 1. Keressnk fel egy IP-cmek bejegyzsvel foglalkoz oldalt (pl.: http://www.iana.org) a vilghln! 2. Nzznk utna a szoftver dokumentcijban! 3. Ltogassunk el a szoftvergyrt weboldalra! 4. Szerezzk meg az adatokat egy csomagvizsgl (packet sniffer) segtsgvel kzvetlenl az alkalmazsbl! 5. Hasznljuk a ? lehetsget az access-list parancshoz! Az gy kapott lista tartalmazza a TCP protokollhoz tartoz legismertebb portneveket s portszmokat. Nhny alkalmazs egynl tbb portszmot hasznl. Pldul, az FTP adattvitel a 20 -as porton trtnik, de az FTP-t lehetv tev kapcsolatvezrls a 21-s portot hasznlja. Az FTP forgalom teljes tiltshoz mindkt portot le kell tiltanunk! Tbb portszm megfelel kezelshez a Cisco IOS ACL-ek kpesek port-tartomnyok alapjn is szrni. Ehhez hasznljuk az ACL utasts gt, lt vagy range opertort! A kt FTP -t tilt ACL utasts pldul sszevonhat az albbi paranccsal:
R1(config)#access-list 181 deny tcp any 192.168.77.0 0.0.0.255 range 20 21
8.4.2 Az ACL-ek tmogatshoz
belltsa
kapcsolat-felvtel
utni
forgalom
Az ACL-eket gyakran azrt hasznlunk, hogy vdelmet nyjtsanak a bels hlzat szmra a kls forrsokkal szemben. Ugyanakkor a bels hlzat vdelme mellett a bels felhasznlk szmra biztostani kell a hozzfrst minden erforrshoz. Amikor a bels felhasznlk kls erforrsokat hasznlnak, az ltaluk ignyelt erforrsoknak t kell jutniuk az ACL-en. Ha pldul egy bels felhasznl kapcsoldni akar egy kls webkiszolglhoz, az ACL-nek engedlyeznie kell a bentrl krt kls html csomagok bejutst. Mivel az ACL-ek vgn mindig ott szerepel az implicit tilts, a fenti erforrsokat kln engedlyezni kell az ACL-ben. A minden lehetsges ignyelt erforrst engedlyez klnll utastsok hossz ACL-t s biztonsgi rseket eredmnyezhetnek. A problma megoldhat egyetlen utasts megadsval, amely a bels felhasznlk szmra engedlyezi egy TCP kapcsolat felptst a kls erforrsokhoz. Amint megtrtnt a TCP hromfzis kzfogsa s a kapcsolat ltrejtt, a kt eszkz kztt kldtt sszes csomag engedlyezve lesz. Ehhez hasznljuk az established kulcsszt!
access-list 101 permit tcp any any established
188
8. Forgalomszrs hozzfrsi listk hasznlatval A fenti utasts hasznlatval az sszes kvlrl rkez tcp csomag engedlyezve lesz, feltve, ha a vlasz egy bellrl rkez krsre jtt. A bentrl kezdemnyezett kommunikci eredmnyeknt berkez vlaszcsomagok engedlyezse az llapottart csomagvizsglat (Stateful Packet Inspection, SPI) egyik formja. A mr ltrejtt forgalmon kvl arra is szksg lehet, hogy egy bels felhasznl kls eszkzket pingelhessen. Ugyanakkor nem kvnatos, hogy kls felhasznlk megpingelhessk a bels hlzat eszkzeit vagy kvethessk az azokhoz vezet tvonalat. Ilyen esetekben hasznlhat az ACL utastsban megadott echo-reply s az unreachable kulcssz a ping vlaszok s a cl elrhetetlensgt jelz zenetek fogadsnak engedlyezsre. Ugyanakkor a kls forrsokbl szrmaz ping mindaddig el lesz utastva, amg azt egy msik utasts kln nem engedlyezi.
8.4.3 A NAT s a PAT szerepe az ACL-ek elhelyezsbeb

Az ACL-ek megtervezsnl gondot okozhat a hlzati cmfordts (NAT) s a portcmfordts (PAT) hasznlata. Kln figyelmet ignyel a rendszergazdtl, ha egy olyan interfszen alkalmaz ACL -t, amin egybknt cmfordts is trtnik. Ha egy forgalomirnytn cmfordtst s ACL-t egytt hasznlunk, legynk tisztban ezek egyttmkdsnek mdjval! 1. Ha egy bejv csomag rkezik a cmfordtst vgz kls interfszre, akkor a forgalomirnyt: Alkalmazza a bejv ACL-t. A clcmet klsrl belsre (globlisrl loklisra) fordtja. Tovbbtja a csomagot.
2. Ha egy csomag kifel tvozik a cmfordtst vgz kls interfszrl, akkor a forgalomirnyt: A forrscmet belsrl klsre (loklisrl globlisra) fordtja. Alkalmazza a kimen ACL -t. Alkalmazza a kimen ACL-t.
Az ACL-t gy tervezzk meg, hogy a cmfordtshoz val viszonytl fggen vagy csak a privt, vagy csak a publikus cmeket szrje! Amennyiben a cmfordtst vgz kls interfszre bejv vagy onnan kimen forgalomrl van sz, akkor a publikus cmeket kell szrni.
8.4.4 A hlzati ACL-ek s elhelyezsk elemzse

A hlzati rendszergazdnak mg a tnyleges hasznlat eltt meg kell vizsglnia az ACL minden utastsnak hatst. Egy interfszhez rendelt, de rosszul megtervezett ACL azonnali problmkhoz vezethet. Ezek a problmk a hamis biztonsgrzettl, a forgalomirnyt felesleges terhelsn keresztl, a mkdskptelen hlzatig terjedhetnek. A rendszergazdnak sorrl sorra t kell nznie az ACL-t, s utasitsonknt meg kell vlaszolni az albbi krdseket: Mely szolgltatsokat tiltja az utasts? Mi a forrs, s mi a cl? Mely portszmokat tiltja? Mi trtnne, ha az ACL-t thelyeznnk egy msik interfszre?
189
8. Forgalomszrs hozzfrsi listk hasznlatval Mi trtnne, ha az ACL a msik irny forgalmat szrn? Okoz-e brmifle problmt a hlzati cmfordts?
Kiterjesztett ACL vizsglatakor nem szabad megfeledkezni az albbi kulcsszempontokrl: A tcp kulcssz az FTP, a HTTP, a Telnet s hasonl protokollokat engedlyezi vagy tiltja. A permit ip kulcskifejezs a teljes IP-forgalmat belertve a TCP, az UDP s az ICMP protokollt engedlyezi.
8.4.5 Az ACL-ek belltsa a VLAN-ok kztti forgalomirnytshoz

Ha egy hlzatban VLAN-ok kztti forgalomirnytst hasznlunk, esetenknt szksg lehet az egyik VLAN-bl a msikba tart forgalom ACL-ekkel trtn vezrlsre. Az ACL-eket rendeljk kzvetlenl a forgalomirnyt VLAN interfszeihez vagy alinterfszeihez ppen gy, mint a fizikai interfszek esetben! A vllalati hlzatokban a kiszolglk ltalban a felhasznli csoportoktl eltr VLAN-ban kapnak helyet. Ilyen esetekben a kiszolgli VLAN-hoz val hozzfrs szrst ignyel. Az alinterfszekre helyezett ACL-ek ltrehozsra s hasznlatra ugyanazok a szablyok s irnyelvek vonatkoznak, mint a fizikai interfszre helyezettek esetben.
190
8.5 Forgalomszrs, hozzfrsi alkalmazsval

8.5.1 A naplzs hasznlata az ACL funkcionalitsnak ellenrzsre
Egy ACL megrsa s interfszhez rendelse utn a hlzati rendszergazdnak rdemes megvizsglnia az egyezsek szmt. Egyezsrl beszlnk, ha egy bejv csomag mezi megfelelnek az ACL sszes viszonytsi mezjnek. Az egyezsek szmnak megtekintse segt annak megtlsben, hogy az ACL utastsok elrik-e a kvnt hatst. Az ACL utastsok alaprtelmezs szerint rgztik az egyezsek (tallatok) szmt, amelyet megjelentenek az rintett utastsok vgn. Az egyezsek megtekintshez hasznljuk az albbi parancsot:
show access-list
A show access-list parancs hasznlatval ACL soronknt megjelentett egyezsi szmrtkek utastsonknt megmutatjk, hny csomag-egyezs trtnt. A kimenet a csomag forrst vagy cljt, sem pedig a hasznlt protokollt nem jelzi. Az engedlyezett vagy elutastott csomagokkal kapcsolatos tovbbi rszletek megismershez aktivljuk a naplzs folyamatt! A naplzs az egyes ACL utastsokra kln-kln aktivlhat, a vizsglni kvnt utastsok vgre illesztett log opcival. A naplzst csak rvid idre, az ACL tesztelsnek befejezsig kapcsoljuk be, az esemnyek naplzsa ugyanis jelentsen nvelheti a forgalomirnyt terhelst. A konzolra trtn naplzs a forgalomirnyt memrijt hasznlja, ami korltozott erforrsnak szmt. Ehelyett lltsuk be a forgalomirnytn, hogy a naplzand informcit egy kls kiszolglra kldje! Ezek az n. syslog zenetek lehetv teszik az informcik vals idej vagy egy ksbbi idpontban trtn megtekintst. A syslog esemny-zenetek nyolc slyossgi szint valamelyikbe sorolhatk. A 0. szint vszhelyzetet vagy hasznlhatatlan rendszert jelent, a 7. pedig informcis (pl.: hibakeressi) zeneteket azonosit. Az ACL naplzs tbbek kztt az albbi informcis zenetet generlja: az ACL szma az engedlyezett vagy elutastott csomag a forrs- s clcmek a csomagok szma
Az zenet az els csomagegyezs esetn, majd ezt kveten 5 percenknt generldik. A naplzs kikapcsolshoz hasznljuk az albbi parancsot:
no logging console
A hibakeress teljes kikapcsolshoz hasznljuk az albbi parancsot:

undebug all
191
8. Forgalomszrs hozzfrsi listk hasznlatval Egy konkrt (pl. IP-csomagokhoz kapcsold) hibakeress kikapcsolshoz hasznljuk az albbi parancsot:
no debug ip packet
8.5.2 A forgalomirnyt naplinak elemzse

A konzolra trtn naplzs a forgalomirnyt memrijt hasznlja, ami korltozott erforrsnak szmt. Ehelyett lltsuk be a forgalomirnytn, hogy a naplzs kimenett egy kls kiszolglra kldje! Ezek az n. syslog zenetek lehetv teszik az informcik vals idej vagy egy ksbbi idpontban trtn megtekintst. A naplzott esemnytpusok az albbiak llapott tartalmazzk: a forgalomirnyt interfszei a hasznlt protokollok a svszlessg-hasznlat az ACL zenetek a konfigurcis esemnyek
Mindenkppen tancsos kihasznlni azt a lehetsget, amely egy kritikus esemny bekvetkezsekor e-mailben, szemlyi hvn vagy mobiltelefonon rtesti a hlzati rendszergazdt. Az egyb belltsi lehetsgek kztt szerepel: rtests az jonnan rkezett zenetekrl az zenetek rendezse s csoportostsa az zenetek slyossga alapjn trtn szrs az sszes vagy csak a kijellt zenetek trlse
Syslog kiszolglprogram tbbfle forrsbl is beszerezhet. Ezek tudsszintje s kezelhetsge az r fggvnyben vltozik, de lteznek az interneten elrhet, ingyenes programok is.
192
8. Forgalomszrs hozzfrsi listk hasznlatval A syslog egy olyan protokoll, amelyet minden hlzati berendezs idertve a kapcsolkat, forgalomirnytkat, tzfalakat, trolrendszereket, modemeket, vezetk nlkli eszkzket s UNIX llomsokat tmogat.
Egy syslog kiszolgl hasznlathoz teleptsk a programot egy Windows, Linux, UNIX vagy MAC OS opercis rendszert futtat kiszolglra, majd lltsuk be a forgalomirnytn, hogy a naplzott esemnyeket erre a syslog kiszolglra kldje! Az albbi pldban szerepl parancs egy syslog kiszolglt futtat lloms IP -cmt hasznlja:
logging 192.168.3.11
Egy problma elhrtsa sorn mindig lltsuk be az idblyeg szolgltatst a naplzshoz! Bizonyosodjunk meg arrl, hogy a forgalomirnytn a dtum s id be legyen lltva, s gy a naplllomnyok mindig a megfelel idblyeget jelentsk meg! A dtum s id belltsainak ellenrzshez hasznljuk a show clock parancsot!
R1>show clock *00:03:45.213 UTC Mon Mar 1 2007
A pontos id belltshoz elszr adjuk meg a Greenwich-i kzpidhz (GMT) viszonytott idznt, majd lltsuk be az idt! Figyeljnk oda, hogy az id belltst (clock set) vgz parancsot nem a konfigurcis mdban kell kiadni! Az idzna belltshoz:
R1(config)#clock timezone CST -6
Az id belltshoz:
R1#clock set 10:25:00 Sep 10 2007
193
8.5.3 Bevlt ACL megoldsok

Az ACL nagyon hatkony szrsi eszkz. Egy ACL azonnal aktvv vlnak, amint alkalmazzuk egy interfszre. Sokkal jobban jrunk, ha tbb idt tltnk az ACL megtervezsvel s hibaelhrtsval mg a tnyleges hasznlat megkezdse eltt, mintha utna prblnnk megtallni s kijavtani a problmkat! Az ACL-ek alkalmazsa eltt mindig ellenrizzk a teljeskr kapcsolatok megltt! Amennyiben egy lloms pingelse hibs kbel vagy valamilyen IP -belltsi problma miatt sikertelen, az ACL nehezebb teheti a hiba elhrtst. Naplzs esetn az ACL utols sorba irjuk be a deny ip any utastst, gy nyomon kvethetjk az elutastott csomagok szmt! Ha tvoli forgalomirnytval dolgozunk, s az ACL mkdst ellenrizzk, hasznljuk a reload in 30 parancsot! Ha ugyanis egy esetleges hiba az ACL-ben letiltja a hozzfrst a forgalomirnythoz, a tvoli kapcsolat is megsznhet. A fenti parancs hasznlatval a forgalomirnyt 30 perc elteltvel jraindul az ACL nlkli indtsi konfigurci belltsaival. Amikor mr elgedettek vagyunk az ACL mkdsvel, msoljuk az aktv konfigurcit az indtsi konfigurciba!
194
195
196
9. Hibaelhrts egy vllalati hlzaton
9. Hibaelhartas egy vallalati halozaton

9.1 A hlzati meghibsodsok hatsai
9.1.1 Elvrsok a vllalati hlzatokkal szemben
A vllalatok tbbsge sajt hlzataira tmaszkodva prbl folyamatos s megbzhat hozzfrst biztostani a megosztott erforrsokhoz. Hlzati zemidnek azt az idtartamot nevezzk, amikor a hlzat rendelkezsre ll s az elvrsoknak megfelelen zemel. Hlzati lellsnak neveznk minden olyan idszakot, amikor a hlzat nem a kvnalmak szerint teljest. A hlzat teljestmnynek cskkense negatvan befolysolhatja az zletvitelt. Megbzhat hlzat hinyban szmos szervezet vesztheti el hozzfrst az gyfladatokat tartalmaz adatbzisokhoz s a szmviteli nyilvntartsokhoz, holott erre az alkalmazottaknak szksgk van mindennapi munkjuk sorn. Ezen fell a hlzati lellsok megakadlyozzk az gyfeleket rendelseik feladsban vagy az ltaluk ignyelt informcik megszerzsben. A lells termelskiesst s az gyfelek csaldottsgt eredmnyezi, valamint gyakran jr azzal, hogy az gyfelek a konkurencit vlasztjk inkbb. Egy lells miatt a vllalatnl jelentkez vesztesg meghatrozsra tbb klnbz mrsi mdszert hasznlnak. Egy adott vllalat szmra a tnyleges kltsg a napszak, a dtum s az idpont fggvnyben vltozik. A nagyvllalatok tbbnyire tbb idznban is rendelkeznek telephellyel, alkalmazottaik, gyfeleik s beszlltk pedig a nap minden szakban hasznljk a vllalati hlzatot. Az ilyen szervezetek esetben rendkvl kltsges brmilyen lells. Szmos tnyez okozhat hlzati lellst. Ilyenek pldul az albbiak: Idjrsi s termszeti katasztrfk Betrsek Emberi beavatkozs ltal elidzett katasztrfk Tlfeszltsg lksek Vrustmadsok Meghibsodott berendezsek Rosszul konfigurlt eszkzk Erforrshiny
Egy jl elksztett hlzati terv s annak megvalstsa kritikus fontossg ahhoz, hogy az zemid az elvrsok szerint alakuljon. Egy jl megtervezett hlzat a megfelel s hatkony adatramls biztostshoz redundnsan tartalmaz minden kritikus fontossg sszetevt s adattvonalat. Ez a redundancia kizrja az egyetlen pontbl ered meghibsodsokat. A hromrteg hierarchikus hlzattervezsi modell funkcionlisan vlasztja szt egymstl a klnfle hlzati eszkzket s sszekttetseket. Ez az elklnts gondoskodik a hlzat
197
9. Hibaelhrts egy vllalati hlzaton teljestmnynek hatkonysgrl. A fenti hlzattervezsi modell s a vllalati kategriba tartoz eszkzk egyttes alkalmazsa nagymrtk megbzhatsgot eredmnyez. Mg a megfelel hlzati terv meglte esetn is elkerlhetetlen lehet esetenknti lells a hlzatban. A lellsi id minimalizlshoz s a gyors helyrells biztostshoz tovbbi tnyezket kell figyelembe venni. A szolgltatsi szintek garantlshoz, a vllalatnak s a f szolgltatknak szolgltati szerzdsekben (SLA) kell megegyeznik egymssal. Egy SLA vilgosan rgzti a szolgltats szintjvel szemben tmasztott elvrsokat. Ezen elvrsok kz tartozik pldul az elfogadhat mrtk hlzati lells s a helyrellts idtartama is. Ezekben a szerzdsekben gyakran elrjk a szolgltats brmely hinyossghoz trstott jvttel mrtkt is.
Lellsok nem csak az ISP-k szolgltatsainak hinyossgai miatt kvetkezhetnek be. Elg gyakran a problma a helyi hlzat rszt kpez kulcsfontossg eszkz meghibsodsbl ered. Az ilyen tpus lellsok elfordulsnak minimalizlshoz jtllsra van szksg az sszes kritikus fontossg berendezsre nzve. A jtlls gondoskodik a ltfontossg sszetevk gyors cserjrl. Az zletfolytonossgi tervek rszletes akcitervvel szolglnak az olyan nem vrt, mestersgesen elidzett vagy termszeti katasztrfk esetn, mint pldul az ramkimaradsok vagy a fldrengsek. Az zletfolytonossgi tervek rszletezik azt, hogy miknt folytatdjanak vagy induljanak jra a vllalat tevkenysgei a katasztrfa utn gy, hogy az gyfeleket ez a lehet legkisebb mrtkben zavarja csak. Egyrtelmen lerjk, hogyan fog a hlzat mkdkpessge jra kialakulni egy kritikus meghibsods esetn. A mkdkpessg biztostsnak egyik mdja, ha egy redundns, biztonsgi telephellyel rendelkeznk egy msik helysznen, arra az esetre, ha az elsdleges telephely meghibsodna.
198
9.1.2 Nyomon kvets s megelz karbantarts

A hlzati zemid biztostsnak egyik mdja a hlzati mkds folyamatos nyomon kvetse s a megelz karbantartsi feladatok elvgzse. A hlzat megfigyelsnek clja az, hogy a hlzat teljestmnye sszevethet legyen egy elre meghatrozott viszonytsi alaprtkkel. Brmilyen szlelt eltrs ettl a viszonytsi alaptl a hlzat egy lehetsges hibjrl rulkodik s kivizsglst ignyel. Amint a hlzati rendszergazda meghatrozza a teljestmny cskkensnek okt, elvgezhet a helyrellts, s gy elkerlhet a komolyabb hlzati zemsznet. Szmos eszkzcsoport ll rendelkezsre a hlzati teljestmnyszintek nyomon kvetshez s adatok gyjtshez. Ilyen eszkzk pldul az albbiak: Hlzati segdprogramok Csomagvizsgl (packet sniffing) eszkzk SNMP felgyeleti eszkzk
Az egyes eszkzcsoportok klnbz lehetsgekkel rendelkeznek s klnbz tpus informcikat szolgltatnak. Az ilyen eszkzk kombinlt hasznlatval tfog kpet kaphatunk a hlza t pillanatnyi teljestmnyrl. Egy hlzati rendszergazda rendszeresen proaktv (megelz) karbantartsi feladatokat vgez a berendezsek ellenrzshez s karbantartshoz. Ezzel a rendszergazda mg egy kritikus hiba bekvetkezse eltt kpes lehet megtallni azokat a gyenge pontokat, amelyek a hlzat lellst okozhatnk. Csakgy, mint egy aut rendszeres szervzelse esetn, a proaktv karbantarts meghosszabbtja a hlzati eszkz lettartamt. A hlzatfigyel eszkzk, mdszerek s programok hasznlathoz szksg van egy teljes kr, pontos s aktulis hlzati dokumentcira. Az ilyen dokumentciknak a kvetkezket kell tartalmazniuk: Fizikai s logikai topolgia diagramok Minden hlzati eszkz konfigurcis llomnya Viszonytsi teljestmnyszint
Bevlt gyakorlatnak szmt a hlzat els teleptse utn, illetve minden nagyobb vltoztatst vagy fejlesztst kveten meghatrozni a viszonytsi teljestmnyszinteket. A hlzati rendszergazdk normlis terheltsgi szintek mellett vgzik a hlzat tesztelst, olyan protokollok s alkalmazsok hasznlatval, melyek ltalnosan elfordulnak a hlzaton. Szmos sszetett eszkz s eljrs ltezik a viszonytsi teljestmnyszintek megllaptshoz. Nhny program tbb klnbz tesztet vgez el, klnbz tpus hlzati forgalmakat hasznlva. A tesztek nagyon pontosan meghatrozott terhelsi llapotok s felttelek mellett llaptjk meg a hlzat teljestmnyt. Ms eszkzk, mint pldul a ping, jval pontatlanabbak, viszont gyakran elegend informcit szolgltatnak ahhoz, hogy figyelmeztessk a rendszergazdt egy problmra.
199
Az egyszer hlzati segdprogramok, mint a ping vagy a tracert, informcit szolgltatnak a hlzat vagy a hlzati kapcsolat teljestmnyrl. Ezen parancsok tbbszri alkalmazsval megjelenthet egy csomag kt hely kztti tvitelnek idbeli eltrse. Mindemellett ezeknek a parancsoknak a hasznlata nem ad magyarzatot az idklnbsgekre. A csomagvizsgl eszkzk figyelemmel ksrik a forgalomtpusokat a hlzat klnbz rszein. Ezek az eszkzk jelzik, ha egy bizonyos forgalomtpus rendkvl nagy mennyisgben van jelen. A csomagok tartalmt megvizsglva kpesek pillanatok alatt meghatrozni az rintett forgalom forrst. Ezek az eszkzk esetenknt kpesek a problmt orvosolni is, mg mieltt a hlzat tlterheltsge kritikuss vlna. Pldul forgalomlehallgats segtsgvel felismerhetek a hlzatban elfordul nemkvnatos forgalomtpusok s mveletek. Ez a felismers megllthat egy lehetsges szolgltats megtagadsos (DoS) tmadst, mieltt az befolysoln a hlzat teljestmnyt.
200
9. Hibaelhrts egy vllalati hlzaton Az egyszer hlzatfelgyeleti protokoll (SNMP) lehetv teszi egyedi berendezsek megfigyelst a hlzaton. Az SNMP-kpes eszkzk bepitett SNMP gynkprogramokat hasznlnak nhny elre meghatrozott paramter bizonyos krlmnyek kztt trtn megfigyelshez. Ezek az gynkk sszegyjtik az informcikat s egy sajt, felgyeleti informcis adatbzis (MIB) nven ismert adatbzisban troljk azokat. Az SNMP szablyos idkznknt lekrdezssel begyjti az az eszkzktl a felgyelt paramterekre vonatkoz informcikat. Ezenfell az SNMP kpes olyan esemnyek detektlsra, amelyek tllpnek egy elre meghatrozott kszbrtket vagy felttelt. Az SNMP pldul megfigyelheti egy forgalomirnyt interfsznek hibit. A hlzati rendszergazda ehhez az interfszhez meghatrozza a hibk szmra vonatkoz mg elfogadhat szintet. Ha a hibk szma tllpi a kszbrtket, az SNMP szleli ezt az llapotot, s elkldi azt a hlzatfelgyeleti llomsnak (NMS). Az NMS riasztja a hlzati rendszergazdt. Nmely SNMP rendszer olyan esemnyeket vlt ki a problma kikszblshez, mint pldul egy eszkz automatikus jrakonfigurlsa. A legtbb vllalati szint hlzatfelgyeleti rendszer SNMP-t hasznl. Sok ingyenes (freeware) s kereskedelmi verzij proaktv hlzatfigyel eszkz ltezik. Ezekkel az eszkzkkel megfigyelhet a forgalom tpusa s terhelse, a kiszolglk konfigurcija, forgalom mintk s szmos egyb krlmny. Egy j hlzat-megfigyelsi terv s a megfelel eszkzk hasznlata segtsgre lehet a hlzati rendszergazdnak a hlzat llapotnak kirtkelsben s a problms szitucik szlelsben.
9.1.3 Hibaelhrts s hibatartomny

Minden hibaelhrtsi trekvsnek az a clja, hogy gyorsan visszalljon a mkdkpes llapot, s mindez a vgfelhasznlkat minl kevsb rintse. E cl elrse gyakran azzal jr, hogy a mkdkpessg gyors helyrelltsnak rdekben el kell halasztani a problma oknak meghatrozshoz szksges kiterjedt vagy hosszadalmas folyamatot. Nhny esetben, egy tmeneti megolds lehetv teszi a problma kivizsglsnak s kijavtsnak elhalasztst egy ksbbi, kevsb kritikus idszakra. A redundancia kulcsfontossg tervezsi alkotelem a vllalati hlzatok esetben. Redundns krnyezetben, ha egy sszekttets lell, akkor azonnal megindul a forgalom elterelse a tartalk sszekttets fel. Ez az tmeneti megolds lehetv teszi a hlzat mkdkpessgnek
201
9. Hibaelhrts egy vllalati hlzaton fenntartst, s idt ad a rendszergazdnak a meghibsodott sszekttets hibjnak megllaptshoz s kijavtshoz. Ha egy adott eszkzzel vagy konfigurcival problma addik, akkor a konfigurcis llomnyokrl kszlt biztonsgi msolat vagy egy tartalk eszkz az sszekttets gyors helyrelltst teszik lehetv.
Az ilyen gyors megoldsok nem mindig lehetsgesek s nem minden esetben nyjtanak kielgt eredmnyt. A hlzat s a benne lv erforrsok biztonsgt els szm prioritsknt kell kezelni. Ha egy gyors javts veszlyezteti az elbb emltett biztonsgot, sznjunk idt egy alkalmasabb, alternatv megolds felkutatsra. A hlzat biztonsgi vonatkozsait az zletfolytonossgi tervben is rszletezni kell. A terv a kvetkezket tartalmazza: A lehetsges problmk dokumentlsa A problmk bekvetkezsekor elvgzend intzkedsek lersa A vllalat biztonsgi hzirendjnek rszletei Az intzkedsek biztonsgi kockzatainak rszletei
Vllalati hlzatok tervezse sorn korltozni kell a hibatartomnyok mrett. A hibatartomny a hlzat azon rsze, amelyre hatssal van egy hlzati eszkz meghibsodsa vagy hibs konfigurcija. A tartomny tnyleges mrete fgg az eszkztl s a meghibsods vagy a konfigurcis hiba tpustl. Egy hlzat hibaelhrtsakor hatrozzuk meg a problma hatkrt s hatroljuk krl az rintett hibatartomnyt. Ha egy idben hibsodik meg egy 2. rtegbeli kapcsol s egy hatr forgalomirnyt is, akkor ezek klnbz hibatartomnyokra vannak hatssal. Egy LAN szegmensen lv 2. rtegbeli kapcsol meghibsodsa csak a szrsi tartomnyban lv felhasznlkra van hatssal, s nincs befolyssal a hlzat tbbi tartomnyra. Egy hatr forgalomirnyt meghibsodsa azonban meggtolja a vllalat minden felhasznljt a helyi hlzatukon kvl tallhat hlzati erforrsok elrsben.
202
9. Hibaelhrts egy vllalati hlzaton A forgalomirnytnak nagyobb befolysa van a hlzat mkdsre nzve, ezrt nagyobb hibatartomnnyal br. Normlis krlmnyek mellett a hibaelhrtst elszr a nagyobb mret hibatartomny erforrsaival kell elkezdeni. Nhny esetben a hibatartomny mrete nem szmt dnt tnyeznek a hibaelhrts sorn. Ha egy az zletvitel szempontjbl kritikus fontossg kiszolgl csatlakozik egy meghibsodott kapcsolhoz, akkor e problma kijavtsa elsbbsget lvez a hatr forgalomirnytval szemben.
9.1.4 A hibaelhrtsi folyamat

Amikor egy vllalati hlzatban valamilyen problma kvetkezik be, nagyon fontos a problma gyors s hatkony elhrtsa a hossz ideig tart lells elkerlse rdekben. Tbb strukturlt s strukturlatlan problmamegold technika ll a hlzati szakemberek rendelkezsre. Ezek kz tartoznak pldul az albbiak: Fentrl lefel Lentrl felfel Oszd meg s uralkodj Prblgats Helyettests
A legtbb tapasztalt hlzati szakember a korbban megszerzett tapasztalatokra tmaszkodik, s a prblgats szemlletvel kezdi el a hibaelhrtsi folyamatot. A problma ily mdon trtn kijavtsval sok id megtakarthat. Sajnos a kevsb tapasztalt szakemberek nem hagyatkozhatnak kizrlag a korbban megszerzett tapasztalatokra, s a prblgatsos megkzelts nem is mindig jr eredmnnyel. A fentiek miatt a hibaelhrtshoz egy strukturltabb megkzeltsre van szksg. Amikor olyan helyzet addik, amikor strukturltabb megkzeltsre van szksg, a legtbb hlzati szakember az OSI vagy a TCP/IP modellek rtegein alapul mdszert alkalmaz. A szakember a korbbi tapasztalatait felhasznlva meghatrozza, hogy a problma az OSI modell alsbb vagy felsbb rtegeivel kapcsolatos-e. A rteg szabja meg, hogy a fentrl lefel vagy a lentrl felfel trtn megkzelts lesz-e a megfelel. Egy problms szituci megkzeltse sorn kvessk az ltalnos problmamegold modellt, tekintet nlkl az alkalmazott hibaelhrtsi technika tpusra. Hatrozzuk meg a problmt! Gyjtsk ssze a fennll krlmnyeket! Kvetkeztessnk a lehetsgekre s az alternatvkra! Hozzunk ltre egy intzkedsi tervet! Valstsuk meg a megoldst! Elemezzk az eredmnyeket!
Ha ezzel az eljrssal els nekifutsra nem tudjuk meghatrozni s kijavtani a problmt, akkor szksg szerint ismteljk meg a folyamatot!
203
9. Hibaelhrts egy vllalati hlzaton Dokumentljuk a kezdeti tneteket s minden elfordulst a problma oknak megtallsa s annak kijavtsa rdekben! Ez a dokumentci rtkes eszkzknt szolglhat egy ilyen vagy ehhez hasonl problma bekvetkezse esetn. Mg a sikertelen prblkozsokat is fontos dokumentlni, hogy idt takarthassunk meg a jvbeni hibaelhrtsi tevkenysgek sorn.
204
205
9.2 Kapcsolsi s kapcsoldsi problmk hibaelhrtsa

9.2.1 Kapcsolk alapvet hibaelhrtsa
Jelenleg a kapcsolk a leggyakrabban hasznlt hozzfrs rtegbeli hlzati eszkzk. A munkallomsok, nyomtatk s kiszolglk kapcsolkon keresztl csatlakoznak a hlzathoz. A kapcsol hardveres vagy konfigurcis hibi megakadlyozzk a helyi s tvoli eszkzk kztt az sszekttetst. A kapcsolknl fellp leggyakoribb hibk a fizikai rteg szintjn kvetkeznek be. Ha egy kapcsolt nem kellen vdett krnyezetbe teleptettek, akkor olyan krosodsokat is elszenvedhetnek, mint a kimozdult vagy megsrlt adat- s tpkbelek. Gyzdjnk meg rla, hogy a kapcsolkat fizikailag vdett terleten helyeztk el! Ha egy vgponti eszkz nem kpes csatlakozni a hlzathoz s a kapcsolatjelz LED nem vilgt, akkor az sszekttets vagy a kapcsolport hibsodott meg, vagy llt le. Ebben az esetben vgezzk el az albbi lpseket: Gyzdjnk meg rla, hogy vilgt-e az ramelltst jelz LED! Gyzdjnk meg arrl, hogy a megfelel tpus kbel csatlakoztatja-e a vgponti eszkzt a kapcsolhoz! Hzzuk ki s dugjuk be jra a kbeleket a munkallomsnl s a kapcsolnl is! Ellenrizzk a konfigurcit annak rdekben, hogy a port ne letiltott llapotban legyen!
Ha kapcsoldsi problma ll fenn s vilgt a kapcsolatjelz LED, akkor valsznleg a kapcsol konfigurcija okozza a problmt. Abban az esetben, ha egy kapcsolport nem megfelelen vagy hibsan mkdik, a legegyszerbb tesztelsi mdszer az, ha egy msik portba csatlakoztatjuk a hlzati kbelt, s ellenrizzk, hogy ez megoldotta-e a problmt. Gyzdjnk meg arrl, hogy nem tiltotta-e le a portot a kapcsol portvdelme. Ez az albbi parancsok segtsgvel ellenrizhet:
206

show running-config show port-security interface interface_azonost
Ha a kapcsol vdelmi belltsai tiltottk le a portot, akkor ellenrzzk le a biztonsgi hzirendben, hogy megengedett-e a biztonsgi szablyok megvltoztatsa. A kapcsolk a 2. rtegben mkdnek, s egy tblban nyilvntartst vezetnek minden csatlakoztatott eszkz MAC-cmrl. Ha ebben a tblban egy MAC-cmhez helytelen bejegyzs tartozik, akkor a kapcsol nem a megfelel port fel fogja tovbbtani az informcit, s gy a kommunikci nem jn ltre. Az egyes kapcsolportokhoz csatlakoztatott eszkzk MAC-cmeinek megtekintshez a kvetkez parancs hasznlhat:
show mac-address-table
A tbla dinamikus bejegyzseinek trlshez adja ki az albbi parancsot:

clear mac-address-table dynamic
A kapcsol ezt kveten a legfrissebb informcik alapjn jra feltlti MAC -cm tblt.
207
9. Hibaelhrts egy vllalati hlzaton Annak ellenre, hogy szmos eszkz kpes a sebessg s a duplexits automatikusan szlelsre, az erre vonatkoz egymssal nem egyez belltsok meggtoljk a kapcsol s a vgponti eszkz kztti sszekttets mkdst. Nhny kapcsol nem megfelelen szleli a csatlakoztatott eszkz sebessgt s duplexitst. Amennyiben ez a felttelezett problma, rgztsk le az rtkeket a kapcsoln a gazdagpnek megfelelen, az interface speed s a duplex parancsok segtsgvel! Egy adott port sebessgnek s duplex belltsainak megjelentshez ez a parancs hasznlhat:
show interface interface_azonost
A kapcsoldsi problmk tovbbi lehetsges forrsait a kapcsolsi hurkok alkotjk. Egy kapcsolt hlzatban az STP elhrtja a kapcsolsi hurkokat s a szrsi viharokat azltal, hogy lelltja a redundns tvonalakat. Ha az STP pontatlan informcik alapjn hozza meg a dntseit, hurkok alakulhatnak ki. Ha hurok van jelen egy hlzatban, annak az albbi jelei lehetnek: Megsznt az sszekttets az rintett hlzati tartomnyok fel, fell s azokon keresztl Magas CPU kihasznltsg az rintett szegmensekhez csatlakoz forgalomirnytkon Az sszekttets magas, akr 100%-os kihasznltsga Magas a kapcsol n. htlapi kommunikcis rendszernek kihasznltsga a viszonytsi pont kihasznltsg rtkhez kpest A syslog zenetek csomaghurkot vagy lland cm jratanulst jeleznek, esetleg egy MAC -cm tbb porton trtn szlelsrl (MAC address flapping) rkezik figyelmeztet zenet Nvekv szm eldobott kimen keret tbb interfszen
Hurok akkor alakul ki, amikor a kapcsol nem kap BPDU -kat vagy nem kpes feldolgozni azokat. Ez a problma a kvetkezk miatt lehet: Hibs konfigurcik Meghibsodott mdia konverterek Hardveres vagy kbelezsi problmk Tlterhelt processzorok
A tlterhelt processzorok miatt lellhat az STP mkdse, s a kapcsolk nem lesznek kpesek feldolgozni a BPDU-kat. A tbb porton is megjelen MAC-cmek megsokszorozzk az tvitelek szmt. A megnvekedett tvitelszm tlterhelheti a processzort. Ilyen helyzet csak nagyon ritkn kvetkezhet be egy megfelelen konfigurlt hlzatban. A problmatpus orvoslshoz meg kell szntetni az sszes redundns tvonalat. Egy msik hibaelhrtsi problma az gynevezett nem optimlis kapcsols (suboptimal switching) esete. Az alaprtelmezett rtkeken hagyva az STP nem mindig a legjobb pozicij hidat vagy portot vlasztja ki gykrponti hidnak illetve gykr portnak. Egy kapcsoln a priorits rtknek megvltoztatsval knyszerthet ki a megfelel gykrponti hd kivlasztsa. Az optimlis kapcsols rdekben a gykrponti hdnak a hlzat kzponti helyn kell elhelyezkednie. STP hibaelhrtsakor hasznljuk a kvetkez parancsokat: Informcit ad az STP konfigurcijrl:
208

show spanning-tree
Informcit ad egy adott interfsz STP llapotrl:

show spanning-tree interface interface_azonost
9.2.2 VLAN konfigurcis problmk hibaelhrtsa

Ha a fizikai rteg rendben mkdik, s mg sincs kommunikci az eszkzk kztt, ellenrizzk a VLAN konfigurcit! Ha a nem mkd portok kzs VLAN-ba tartoznak, akkor az llomsoknak ugyanazon hlzatba vagy alhlzatba tartoz IP-cmmel kell rendelkeznik a kommunikci rdekben. Ha a nem mkd portok klnbz VLAN-ba tartoznak, a kommunikci csak egy 3. rtegbeli eszkz, pldul forgalomirnyt segtsgvel lehetsges. Ha informcira van szksgnk egy bizonyos VLAN -rl, hasznljuk a show vlan id vlan_szm parancsot, amivel megtekinthetek az egyes VLAN-okhoz rendelt portok! Ha VLAN-ok kztti forgalomirnytsa van szksg, ellenrizzk a kvetkez konfigurcikat: VLAN-onknt egy port egy forgalomirnyt interfszhez vagy alinterfszhez csatlakozzon. Mind a kapcsolport, mind a forgalomirnyt interfsze konfigurlva legyen trnklsre. Mind a kapcsolport, mind a forgalomirnyt interfsze ugyanazon begyazssal legyen konfigurlva.
Az jabb kapcsolk alaprtelmezs szerinti belltsa a 802.1Q, de nhny Cisco kapcsol tmogatja a 802.1Q-t s a Cisco tulajdonban lv Inter-Switch Link (ISL) formtumot is. Ahol lehetsges az IEEE 802.1Q-t kell hasznlni, mivel ez szmt de facto szabvnynak, tovbb a 802.1Q s az ISL nem kompatibilisek egymssal. VLAN-ok kztti forgalomirnytsi problmk hibaelhrtsakor gyzdjnk meg arrl, ho gy a forgalomirnyt fizikai interfsznek ne legyen IP-cme. Ennek az interfsznek aktvnak kell lennie. Az interfszek konfigurcijnak megtekintshez a kvetkez parancs hasznlhat:
show ip interface brief
Az egyes VLAN-okhoz rendelt hlzatnak lthatnak kell lennie a forgalomirnyt tblban. Ellenkez esetben ellenrizzk jra az sszes fizikai csatlakozst s a trnk konfigurcijt az sszekttets mindkt vgn! Ha a forgalomirnyt nem kzvetlenl csatlakozik egy vagy tbb VLAN alhlzathoz, ellenrizzk az irnyt protokoll konfigurcijt annak rdekben, hogy minden VLAN fel legyen tvonal! Hasznljuk az albbi parancsot:
show ip route
Hozzfrsi port vagy trnkport Minden kapcsolport vagy hozzfrsi portknt vagy trnkportknt zemel. Nhny kapcsol modellen ms tpus kapcsolportok is rendelkezsre llnak, s a kapcsol automatikusan lltja be a portot a megfelel llapotba. Nhny esetben ajnlatos rgzteni a port hozzfrsi vagy trnk llapott, gy elkerlhetek az szlelsi folyamat sorn fellp lehetsges problmk.
209
9. Hibaelhrts egy vllalati hlzaton Natv s menedzsment VLAN-ok A kapcsolportok vagy hozzfrsi portknt vagy trnkportknt zemelnek. A trnkvonal natv VLAN jhoz vannak hozzrendelve a trnkn tkldtt cmkzetlen keretek. Ha egy eszkzn megvltoztattuk a natv VLAN kiosztst, akkor a 802.1Q trnk mindkt vgpontjn be kell lltani ugyanazt a natv VLAN azonostszmot. Ha a trnk egyik vgn a VLAN10 lett natvknt konfigurlva, a msik vgen pedig a VLAN 14, akkor az egyik vgen a VLAN10-bl kldtt keret a msik oldalon a VLAN14-ben lesz fogadva. Ekkor a VLAN10 tszivrog a VLAN14-be. Ez vratlan kapcsoldsi problmkat okozhat s nvelheti a ksleltetst. A zavartalan, gyors tvitel rdekben ellenrizzk le, hogy a natv VLAN hozzrendels ugyanaz legyen minden eszkzn az egsz hlzatban!
9.2.3 VTP hibaelhrts

A VTP leegyszersti a VLAN informcik sztosztst tbb kapcsol kztt egy tartomnyon bell. A VTP mkdsben rszt vev kapcsolk a kvetkez hrom md egyikben zemelnek: kiszolgl, gyfl s transzparens. Csak a kiszolgl veheti fel, trlheti vagy mdosthatja a VLAN informcikat. Amikor VTP hibaelhrtst vgznk egy hlzaton, bizonyosodjunk meg az albbiakrl: Minden rszt vev eszkznek ugyanazzal a VTP tartomnynvvel kell rendelkeznie. Kt VTP kiszolglnak kell lennie minden tartomnyban arra az esetre, ha az egyik meghibsodna. Minden kiszolglnak ugyanazokkal az informcikkal kell rendelkeznie. Minden eszkznek ugyanazt a VTP-protokoll verzit kell hasznlnia.
Egy eszkzn a hasznlatban lv VTP-protokoll verzi, a VTP tartomnynv, a VTP md s a VTPverziszm (revision number) megjelentshez, adjuk ki az albbi parancsot:
show vtp status
A VTP-protokoll verzi megvltoztatshoz:

vtp version <1 | 2>
A VTP gyfelek s kiszolglk a VTP frisstsi -verziszmot hasznljk annak eldntshez, hogy frisstenik kell-e a VLAN informciikat. Ha a frissts verziszma magasabb, mint a jelenleg hasznlt verziszm, az gyfelek s a kiszolglk felhasznljk az jonnan rkezett informcikat a konfigurci frisstshez. Mindig ellenrizzk le a VTP-verziszmot s a VTP mdot, mieltt brmilyen kapcsolt csatlakoztatnnk a hlzathoz. A verziszmot az NVRAM-ban troljk a kapcsolk, s az indt konfigurci trlse nem lltja alaphelyzetbe ezt az rtket. A verziszm alaphelyzetbe hozshoz vagy lltsuk a kapcsol VTP mdjt transzparensre vagy vltoztassuk meg a VTP tartomnynevet. Az is problmt okozhat, ha egy illeglis illeglis (rogue) kapcsol csatlakozik a tartomnyhoz, s megvltoztatja a VLAN informcikat. Ennek megakadlyozshoz rdemes jelszt belltani a VTP
210
9. Hibaelhrts egy vllalati hlzaton tartomnyhoz. A tartomny VTP jelszavnak belltshoz hasznljuk a kvetkez globlis konfigurcis parancsot:
vtp password jelsz
Ha hasznlunk hitelestsi jelszt, akkor a VTP tartomnyon bell minden eszkzn ugyanazt kell belltani. Ha a frisstsek nem terjednek tovbb egy j kapcsol fel a VTP tartomnyban, akkor valsznleg a jelszval van a problma. A jelsz ellenrzshez hasznljuk ezt a parancsot:
show vtp password
9.3 Forgalomirnytsi problmk hibaelhrtsa

9.3.1 RIP forgalomirnytsi problmk
Szmos eszkz ltezik a forgalomirnytsi problmk elhrtshoz. . Ezek kz tartoznak az IOS show parancsok, a debug parancsok s az olyan TCP/IP segdprogramok, mint a ping, a traceroute s a telnet. A show parancsok egy pillanatfelvtelt jelentenek meg a konfigurcira vagy egy adott rszegysgre vonatkozan. A debug parancsok dinamikus mkdsek s vals-idej informcikat szolgltatnak a forgalom vltozsrl s a protokollok kztti informcicserrl. A TCP/IP segdprogramokat, pldul a ping-et, a kapcsolds ellenrzsre hasznlhatjuk. A show parancsok fontos eszkzknt szolglnak pldul egy forgalomirnyt llapotnak megismershez, a szomszdos forgalomirnytk szlelshez, a hlzatban tallhat problmk azonostshoz s a hlzat ltalnos megfigyelshez. A show s a debug parancsok kombincijt a RIP forgalomirnyt protokoll mkdse kzben fellp hibk elhrtshoz is hasznlhatjuk. Mieltt hasznlnnk a debug parancsot, kzeltsnk a problmhoz a lehetsges okokra trtn szktssel. A debug parancsokat a problmk azonostshoz hasznljuk, ne pedig a hlzati normlis mkdsnek megfigyelshez! A RIP egy meglehetsen alapszint s egyszeren konfigurlhat protokoll. Ennek ellenre fellphet nhny tipikus problma a forgalomirnytk RIP konfigurlsa sorn. Kompatibilitsi problmk lteznek a RIPv1 s a RIPv2 kztt. Ha a RIP tvonalakat nem hirdetik a forgalomirnytk, akkor vizsgljuk meg a kvetkez lehetsges problmkat: vagy 2. rtegbeli kapcsoldsi problmk Szksg van a VLSM alhlzatok kezelsre, de RIPv1 van hasznlatban Nem illeszkednek egymssal a RIPv1 s a RIPv2 forgalomirnytsi konfigurcik Hinyoznak vagy helytelenek a network parancsok Az interfszek IP-cmzse nem megfelel A kimen interfsz lekapcsolt llapotban van A hirdetett hlzathoz tartoz interfsz lekapcsolt llapotban van Helytelenl konfigurlt passzv interfszek
211
9. Hibaelhrts egy vllalati hlzaton A show ip route paranccsal trtn tesztels eltt rdemes trlni az irnyttbla tartalmt a clear ip route * paranccsal. Az itt felismert problmkon fell, nagyon fontos, hogy mindig emlkezznk arra, hogy a RIP mrtke az ugrsszm, mely 15 ugrsra van korltozva! Ez a korltozs nmagban is okozhat problmt egy nagyobb vllalati hlzatban.
9.3.2 EIGRP forgalomirnytsi problmk

Az EIGRP forgalomirnytsi problmk elhrtsa sorn alkalmazott IOS show s debug parancsok kzl szmos megegyezik a RIP esetn hasznltakkal. Kizrlag csak az EIGRP hibaelhrtshoz hasznlhat parancsok kz az albbiak tartoznak:
show ip eigrp neighbors
Megjelenti a szomszdok IP-cmeit s az interfszek azonostit, amelyeken keresztl megtanulta ezeket a cmeket.
show ip eigrp topology
Megjelenti az ismert hlzatok topolgia tbljt a legjobb tvonalakkal, az llapotjelzkkel, a legrvidebb tvolsggal s az interfszek azonostival egytt.
show ip eigrp traffic
Megjelenti az EIGRP forgalmi statisztikit a konfigurlt autonm rendszerben, egyebek mellett a kldtt s fogadott hello csomagok, valamint a frisstsek szmt.
debug eigrp packets
Vals idben jelenti meg a szomszdok ltal egymsnak kldtt EIGRP csomagokat.
debug ip eigrp
Vals idben jelenti meg az EIGRP esemnyeket, kzte az sszekttetsek llapotnak vltozsait s a forgalomirnyt tbla frisstseit. Bizonyos problmk gyakran elfordulnak az EIGRP protokoll konfigurlsa sorn. A kvetkez lehetsges okok miatt nem mkdhet az EIGRP: vagy 2. rtegbeli kapcsoldsi problmk Hibs cmzssel vagy alhlzati maszkkal rendelkez interfsz Egymssal nem egyez autonmrendszer azonostk a klnbz EIGRP forgalomirnytkon Rossz hlzat vagy helytelen helyettest maszk van megadva az irnytsi folyamatban Az sszekttets lellt vagy torlds lpett fel A kimen interfsz lekapcsolt llapotban van Egy hirdetett hlzathoz tartoz interfsz lekapcsolt llapotban van
Ha az automatikus tvonalsszegzs engedlyezve van a forgalomirnytkon, mikzben az alhlzatok nem sszefggek, elkpzelhet, hogy az tvonalak nem megfelelen lesznek hirdetve.
212
9.3.3 OSPF forgalomirnytsi problmk

Az OSPF kapcsn felmerl problmk tlnyom rsze a szomszdsgi kapcsolatok ltrehozsval s a kapcsolatllapot-adatbzisok szinkronizlsval fgg ssze. Az OSPF kapcsn felmerl problmk elhrtsa A szomszdos forgalomirnytknak ugyanazon OSPF terlethez kell tartozniuk. A szomszdos forgalomirnytk interfszeinek egymssal kompatibilis IP -cmmel s alhlzati maszkkal kell rendelkeznik. Az egy terleten lv forgalomirnytkon ugyanazt az OSPF hello intervallumot s halott intervallumot kell megadni. A forgalomirnytknak az interfszeknek megfelel hlzatokat kell hirdetnik az OSPF folyamatban val rszvtelhez. A megfelel helyettest maszkokat kell hasznlni a helyes IP -cm tartomnyok hirdetshez. A kommunikci megvalsulshoz a hitelestst megfelelen kell belltani a forgalomirnytkon.
A szabvnyos show s debug parancsokon fell, az albbi parancsok hasznlata segthet az OSPF -fel kapcsolatos problmk elhrtsban:
show ip ospf show ip ospf neighbor show ip ospf interface debug ip ospf events debug ip ospf packet
9.3.4 tvonal elosztsi problmk

Egy hatr-forgalomirnytn (edge router) belltott statikus tvonal legvgs tjrknt szolgl a hlzaton kvl tallhat IP-cmmel rendelkez llomsoknak kldend csomagok szmra. Jllehet ez a konfigurci megoldst nyjt a hatr-forgalomirnytk szmra, viszont nem biztost kijratot a bels hlzatbl a tbbi bels forgalomirnyt rszre. Az egyik megolds, ha minden egyes bels forgalomirnytn konfigurlunk egy alaprtelmezett tvonalat, amely a kvetkez ugrs (next hop) vagy a hatr-forgalomirnyt fel mutat. Ez a mdszer azonban nem alkalmazhat hatkonyan a nagyobb hlzatokban. Jobb megoldsnak szmt forgalomirnyt protokollok hasznlatval a hatr-forgalomirnytrl a tbbi bels forgalomirnyt fel hirdetni az alaprtelmezett tvonalat. Ennek megvalstshoz minden irnyt protokoll, belertve a RIP -et, az EIGRP-t s az OSPF-et is, biztost mechanizmust. Brmely irnyt protokollt is hasznljuk, konfigurljunk egy alaprtelmezett ngynulls statikus tvonalat a hatr-forgalomirnytn.
ip route 0.0.0.0 0.0.0.0 S0/0/0
Ezutn lltsuk be a hatr-forgalomirnytt, hogy hirdesse vagy terjessze alaprtelmezett tvonalt a tbbi forgalomirnyt fel. RIP s OSPF esetn lpjnk be forgalomirnyt konfigurcis mdba s
213
9. Hibaelhrts egy vllalati hlzaton hasznljuk a default-information originate parancsot! Az EIGRP azonnal hirdeti az alaprtelmezett tvonalakat, de hasznlhat a redistribute static parancs is. Az alaprtelmezett tvonalak nem megfelel hirdetse megakadlyozza forgalomirnytkhoz csatlakoz felhasznlkat a kls hlzatok elrsben. a bels
9.4 WAN konfigurcis problmk hibaelhrtsa

9.4.1 WAN kapcsolds hibaelhrtsa
A WAN interfszek konfigurlsa sorn szmos potencilisan problmval kerlhetnk szembe. Ezen problmk nmelyike elkerlhetetlen, ha a hlzati rendszergazda az sszekttetsnek csak az egyik vge felett rendelkezik befolyssal, s az ISP kezeli a msik vget. Ebben az esetben a hlzati rendszergazda azokat a konfigurcis informcikat hasznlja, melyekkel az ISP ltta el a kapcsolds biztostsa rdekben. A fizikai rteg szintjn elfordul leggyakoribb problmk az rajel, a kbeltpusok s a kilazult vagy hibs csatlakozk miatt addnak. A soros vonali sszekttetsek egy DCE eszkzt csatlakoztatnak egy DTE eszkzhz. Kt klnbz tpus kbel ltezik az eszkzk csatlakoztatshoz: DTE s DCE. ltalban a szolgltatnl lv DCE eszkz biztostja az rajelet. Szemrevtelezssel vizsgljunk meg minden kbelt laza csatlakozst vagy hibs csatlakozt keresve! Ha egy kbelt nem lehet megfelelen csatlakoztatni, cserljk ki azt egy biztosan jl mkdre! A kbel tpusnak megjelentshez, valamint a DTE, DCE llapot s az rajel felismershez hasznljuk a kvetkez parancsot:
show controllers <soros_port>
Ahhoz, hogy egy soros sszekttets mkdjn, a kapcsolat mindkt vgpontjn egyeznie kell a begyazsi tpusnak. A Cisco forgalomirnytkon a HDLC az alaprtelmezett soros vonali begyazsi tpus. Mivel a Cisco HDLC s a nylt szabvny HDLC nem kompatibilisek egymssal, ne hasznljuk az alaprtelmezett Cisco begyazst egy nem-Cisco gyrtmny eszkzhz val csatlakozs sorn! Nhny 2. rtegbeli begyazsi tpusnak tbb vltozata is van. Pldul a Cisco forgalomirnytk tmogatjk mind a Cisco sajt Frame Relay formtumt, mind az ipari szabvny IETF formtumot. Ezek a formtumok nem kompatibilisek egymssal. A Cisco eszkzkn a Cisco Frame Relay formtum az alaprtelmezett. Annak megtekintshez, hogy egy soros vonalon milyen begyazs van hasznlatban, hasznljuk a kvetkez parancsot:
show interfaces <soros_port>
3. rteggel kapcsolatos konfigurcis belltsok is megakadlyozhatjk az adatok mozgst egy soros sszekttetsen. Br soros sszekttetsek esetn nem szksges IP -cmeket belltani, ha hasznlni szeretnnk azokat, akkor az sszekttets mindkt vgpontjnak ugyanazon a hlzaton vagy alhlzaton kell lennie.
214
9. Hibaelhrts egy vllalati hlzaton Az a folyamat, amely soros vonali cmfelold protokoll (SLARP) nven ismert, hozzrendel egy cmet egy soros sszekttets egyik vgpontjhoz, feltve, ha az sszekttets msik vge mr konfigur lva van. Az SLARP felttelezi, hogy minden soros vonal egy klnll IP -alhlzat s a vonal egyik vgnek llomsazonostja 1, a msik vgnek pedig 2. Felttelezve azt, hogy a soros sszekttets egyik vge mr konfigurlva van, az SLARP automatikusan konfigurlja az IP-cmet a msik oldalon. Az albbi paranccsal megtekinthet a belltott IP -cm egy interfszen, valamint a port s a vonali protokoll llapota:
show ip interface brief
Mieltt az sszekttetsen megindulna a 3. rtegbeli informcik mozgsa, mind az interfsznek, mind a protokollnak mkdkpes llapotban kell lennie. Ha az interfsz lekapcsolt llapotban van, akkor magval az interfsszel van problma. Ha az interfsz mkdik, de a vonali protokoll van lekapcsolt llapotban, ellenrizzk, hogy a megfelel kbel van-e csatlakoztatva s szilrdan kapcsoldik-e a porthoz! Ha ez a lps nem javtja ki a problmt, akkor cserljk ki a kbelt! Ha egy interfsz llapota adminisztratvan letiltott (administratively down), annak legvalsznb b oka az, hogy nem adtuk ki a no shutdown parancsot az interfszen. Az interfszek le vannak tiltva alaprtelmezs szerint. A PPP folyamat magban foglalja mind az LCP mind az NCP fzisokat. Az LCP ltrehozza az sszekttetst s ellenrzi azt, hogy annak minsge megfelel-e a 3. rtegbeli protokollok hasznlathoz. Az NCP lehetv teszi a 3. rtegbeli forgalom szmra az sszekttetsen val thaladst. Egy elhagyhat hitelestsi szakasz van az LCP s az NCP fzisok kztt. Minden egyes fzisnak sikeresen be kell fejezdnie, mieltt a kvetkez megkezddne. PPP sszekttetsek hibaelhrtsakor ellenrizzk a kvetkezket: Befejezdtt-e mr az LCP fzis? Ha konfigurlva van, akkor sikeres volt-e a hitelests? Befejezdtt-e mr az NCP fzis?
A kvetkezkben nhny parancs segtsget nyjt a PPP sszekttetsek hibaelhrtsakor. Az LCP s NCP fzisok llapotainak megtekintshez az albbi parancs hasznlhat:
show interface
A kvetkez parancs az sszekttets ltrehozsnak fzisa alatt tkldtt, a PPP konfigurcis belltsok egyeztetsre hasznlt PPP csomagok megtekintshez hasznlhat:
debug ppp negotiation
A kvetkez utasts a PPP csomagok ramlsnak vals idej megtekintshez hasznlhat:

debug ppp packet
215
9.4.2 WAN hitelests hibaelhrtsa

A PPP szmos elnnyel rendelkezik az alaprtelmezett HDLC soros vonali begyazshoz kpest. Ezen tulajdonsgok kz tartozik a PAP vagy CHAP hasznlata, a vgponti eszkzk hitelestse rdekben. Az elhagyhat hitelestsi fzis azutn kvetkezik be, hogy az LCP ltrehozta az sszekttetst, de mg azeltt, hogy az NCP engedlyezn a 3. rtegbeli forgalom megindulst. Ha az LCP nem tud csatlakozni, akkor az elhagyhat konfigurcis belltsok kztk a hitelests egyeztetse elmarad. Az aktv NCP-k hinya sikertelen hitelestsre utal. PPP hitelests hibaelhrtsakor hatrozzuk meg, hogy a hitelests okozza -e a problmt. Ehhez vizsgljuk meg az LCP s az NCP-k llapotait a show interface parancs segtsgvel! Ha mind az LCP, mind az NCP-k aktvak, akkor a hitelests sikeres volt s a problma mshol tallhat. Ha az LCP nem aktv, akkor problma ll fenn a forrs s a cl kztti fizikai sszekttetssel. Ha az LCP aktv, de az NCP-k nem azok, akkor a hitelestsre kell gyanakodni. A hitelests lehet egyutas, illetve ktutas. A fokozott biztonsg rdekben hasznljunk ktutas vagy klcsns hitelestst! A ktutas hitelests megkveteli, hogy mindkt vgponti eszkz meggyzdjn a msik eszkz hitelessgrl. Az sszekttets mindkt vgn ellenrizzk, hogy ltezzen egy felhasznli bejegyzs a tvoli eszkz rszre s megfelel legyen a jelsz. Ha bizonytalanok vagyunk, tvoltsuk el a rgi felhasznli bejegyzst meghatroz utastst, majd hozzuk ltre jra! A konfigurcinak az sszekttets mindkt vgn ugyanazt a hitelestsi tpust kell tartalmaznia. A hitelestssel kapcsolatos leggyakoribb problmk abbl erednek, hogy egyrszt elfelejtenek felhasznli bejegyzst konfigurlni a tvoli forgalomirnyt szmra, vagy hibsan lltjk be a felhasznli nevet s a jelszt. Alaprtelmezs szerint a felhasznli nv a tvoli forgalomirnyt llomsneve. Mind a felhasznli nv, mind a jelsz rzkeny a kis- s nagybetkre. Ha PAP hitelestst szeretnnk hasznlni egy aktulis verzij IOS rendszeren, aktivljuk azt az albbi paranccsal:
ppp pap sent-username felhasznli_nv password jelsz
A hitelestsi folyamat nyomon kvetse gyors mdszert biztost a hiba meghatrozshoz. Hasznljuk a kvetkez parancsot a vgberendezsek ltal egymsnak kldtt, a hitelestsi folyamattal kapcsolatban ll csomagok megjelentshez:
debug ppp authentication
216
9.5 ACL-ekkel kapcsolatos problmk hibaelhrtsa

9.5.1 ACL-ekkel kapcsolatos problmk meghatrozsa
Az ACL-k hasznlata komplexebb teheti a hlzati problmk hibaelhrtsi folyamatt. Emiatt nagyon fontos, hogy ellenrizzk az alapszint hlzati sszekttetst, mieltt alkalmaznnak egy ACL-t. Amikor ACL-eket hasznlnak, s elrhetetlenn vlnak hlzatok vagy llomsok, lnyeges annak meghatrozsa, hogy az ACL okozza-e a problmt. A kvetkez krdsek segthetnek a problma azonostsban: Van-e ACL alkalmazva a problms forgalomirnytra vagy interfszre? Nemrg lett-e alkalmazva? Ltezett-e a problma az ACL alkalmazsa eltt? Az ACL az elvrsoknak megfelelen mkdik? rinti-e a problma az interfszhez csatlakoz sszes llomst vagy csak bizonyos llomsokat? Minden tovbbtsra kerl protokollt rint a problma vagy csak bizonyos protokollokat? A hlzatok az elvrsoknak megfelelen jelentek meg a forgalomirnyt tblban?
Ezen krdsek kzl nhnyra vlaszt kaphatunk a naplzs engedlyezsvel. A naplzs megmutatja, hogy milyen hatssal van az ACL a klnbz csomagokra. Alaprtelmezs szerint az egyezsek szma a show access-list paranccsal jelenthet meg. Az engedlyezett, illetve tiltott csomagok rszleteinek megtekintshez tegyk az ACL parancsok vgre a log kulcsszt. Szmos parancs segthet annak meghatrozsban, hogy megfelelen vannak -e konfigurlva s alkalmazva az ACL-ek. A forgalomirnytn konfigurlt sszes ACL megjelentshez, attl fggetlenl, hogy alkalmazva lett e egy interfszre vagy sem, hasznljuk a kvetkez parancsot:
show access-lists
Az egyes ACL utastsokhoz tartoz illeszkedsi szmllk trlshez a kvetkez parancs hasznlhat:
clear access-list counters
A forgalomirnyt brmely interfsze ltal fogadott vagy kldtt sszes csomag forrs s cl IPcmnek megjelentshez az albbi parancs hasznlhat:
debug ip packet
A debug ip packet parancs azokat a csomagokat mutatja meg, melyeknek forrs -, illetve clcme egy forgalomirnyt interfsze. Azok a csomagok is megjelennek a parancs hatsra, amelyeket letiltott egy ACL az interfszen. Nhny forgalomtpus, melyek debug zeneteket hoznak ltre: RIP frisstsek egy forgalomirnyt interfsze irnybl vagy irnyba
217
9. Hibaelhrts egy vllalati hlzaton Brmilyen kls forrsbl szrmaz, kls cllloms fel tart telnet forgalom, melyet blokkolt egy ACL az interfszen.
Ha a csomagok egyszeren tovbbhaladnak, s az ACL nem blokkol egyetlen csomagot sem errl az IP-cmrl, akkor nem keletkeznek debug zenetek.
9.5.2 ACL konfigurcis s elhelyezsi problmk

Egy helytelenl konfigurlt ACL-bl olyan problmk is addhatnak, mint a lelassult vagy elrhetetlen vlt hlzatok. Nhny esetben elkpzelhet, hogy az ACL engedlyezi vagy tiltja a tervezett hlzati forgalmat, viszont emellett nem vrt hatsai lehetnek ms forgalomtpusokra. Ha gy tnik, hogy az ACL okozza a problmt, akkor szmos dolgot kell megvizsglni. Amennyiben az ACL utastsok nem a leghatkonyabb sorrendben kvetik egymst ahhoz, hogy azok a hozzfrsi listban minl korbban engedlyezzk a legnagyobb mennyisg forgalmat, ellenrizzk a naplzs eredmnyeit egy hatkonyabb sorrend meghatrozshoz! Az implicit deny utastsnak nem vrt kvetkezmnyei lehetnek ms forgalomtpusokra nzve. Ebben az esetben egy explicit deny ip any any log parancs hasznlatval megfigyelhetek azok a csomagok, melyekre nem trtnt egyezs egyetlen korbban szerepl ACL utasts rszrl sem. Hasznljunk naplzst annak eldntshez, hogy az ACL optimlisan, illetve az elvrtak szerint mkdik-e! Annak meghatrozsn tl, hogy az ACL megfelelen lett-e konfigurlva, az is nagyon fontos, hogy az ACL a helyes forgalomirnyt interfszre legyen alkalmazva s a megfelel irnyban. Egy helyesen konfigurlt, de nem megfelelen alkalmazott ACL, az ACL-ek ltrehozsa sorn elfordul egyik leggyakoribb problma. A norml ACL-ek csupn a forrs IP-cmet szrik, ezrt lehetleg a clhoz legkzelebb kell el helyezni azokat. Egy a forrshoz kzel elhelyezett norml ACL olyan hlzati forgalmakat is blokkolhat, amelyeket egybknt t kellene engednie. A clhoz kzel elhelyezett ACL sajnos egy vagy tbb hlzati szegmensen t lehetv teszi a forgalom ramlst, mg mieltt azok tiltsra kerlnnek. Ez az rtkes svszlessg pazarlst jelenti. Egy kiterjesztett ACL hasznlata megoldst jelent mindkt elbb emltett problmra. Azokra a csomagokra, melyek nem a blokkolt hlzat fel tartanak, nem lesz hatsa. A lehetsges hlzati tvonalon tallhat forgalomirnytk soha nem fognak tallkozni a tiltott csomagokkal, s ez hozzjrul a svszlessggel val takarkoskodshoz.
218
219
220
221
Tartalomjegyzk
Tartalom
1. Vllalati hlzat...............................................................................................................................1 1.1 A nagyvllalati hlzatok jellemzi ............................................................................................1 1.1.1 A vllalat zleti folyamatainak tmogatsa .........................................................................1 1.1.2 A forgalom alakulsa a nagyvllalati hlzatban .................................................................2 1.1.3 Vllalati LAN-ok s WAN-ok ................................................................................................6 1.1.4 Intranetek s extranetek.....................................................................................................7 1.2 A vllalati alkalmazsok azonostsa ..........................................................................................9 1.2.1 Forgalomramlsi mintzatok .............................................................................................9 1.2.2 Alkalmazsok s forgalom vllalati hlzaton .....................................................................9 1.2.3 Prioritsok a hlzati forgalomban ................................................................................... 11 1.3 Tvoli alkalmazottak tmogatsa ............................................................................................. 13 1.3.1 Telefonos tvmunka ......................................................................................................... 13 1.3.2 Virtulis magnhlzatok ................................................................................................. 15 1.4 A fejezet sszefoglalsa ........................................................................................................... 16 2. A vllalatok hlzati infrastruktrjnak megismerse .................................................................. 17 2.1 Az aktulis hlzat lersa........................................................................................................ 17 2.1.1 A vllalatok hlzati dokumentcija ................................................................................ 17 2.1.2 A hlzati szolgltatsi kzpont ........................................................................................ 19 2.1.3 A telekommunikcis helyisg kialaktsnak szempontjai................................................ 22 2.2 A vllalati perem tmogatsa .................................................................................................. 24 2.2.1 Szolgltats-tads a szolgltats-elrsi ponton.............................................................. 24 2.2.2 A vllalati hatrvonal biztonsgi szempontjai .................................................................... 25 2.3 Az irnyts s a kapcsols ttekintse..................................................................................... 26 2.3.1 A forgalomirnyt............................................................................................................ 26 2.3.2 A forgalomirnyt parancssoros felletnek alapvet show parancsai ............................. 29 2.3.3 A forgalomirnyt alapbelltsainak megadsa a parancssoros felletrl ....................... 30 2.3.4 A kapcsol ........................................................................................................................ 31 2.3.5 A kapcsol parancssoros felletnek parancsai ................................................................. 33 2.4 A fejezet sszefoglalsa ........................................................................................................... 36 3. Kapcsols vllalati hlzatokban ................................................................................................... 37 3.1 A vllalati szint kapcsolsi folyamatok megismerse .............................................................. 37 3.1.1 Kapcsols s a hlzat szegmentlsa ............................................................................... 37
222
Tartalomjegyzk 3.1.2 Tbbrteg kapcsols ....................................................................................................... 39 3.1.3 Kapcsolsi mdszerek ....................................................................................................... 40 3.1.4 Kapcsolk vdelme ........................................................................................................... 42 3.2 A kapcsolsi hurkok kialakulsnak megelzse ...................................................................... 43 3.2.1 Redundancia a kapcsolt hlzatokban .............................................................................. 43 3.2.2 Fesztfa protokoll (Spanning tree protocol, STP) .............................................................. 44 3.2.3 Gykrponti hidak ............................................................................................................ 48 3.2.4 Fesztfa egy hierarchikus hlzatban ............................................................................... 50 3.2.5 Gyors fesztfa protokoll (Rapid spannig tree protocol, RSTP) ........................................... 51 3.3 VLAN-ok konfigurlsa ............................................................................................................ 52 3.3.1 Virtulis LAN ..................................................................................................................... 52 3.3.2 Virtulis helyi hlzat konfigurlsa .................................................................................. 54 3.3.3 VLAN-ok azonostsa ........................................................................................................ 56 3.4 A trnkls s VLAN-ok kztti forgalomirnyts ................................................................... 57 3.4.1 Trnkportok ..................................................................................................................... 57 3.4.2 Tbb kapcsolra kiterjed VLAN-ok .................................................................................. 60 3.4.3 VLAN-ok kztti forgalomirnyts.................................................................................... 60 3.5 VLAN-ok kezelse vllalati hlzatokban ................................................................................. 63 3.5.1 VLAN trnkprotokoll (VTP) ................................................................................................ 63 3.5.2 A VTP konfigurlsa .......................................................................................................... 65 3.5.3 VLAN-ok az IP-telefnia s a vezetk nlkli hlzatok vilgban ...................................... 65 3.5.4 Bevlt VLAN megoldsok .................................................................................................. 66 3.6 A fejezet sszegzse ................................................................................................................ 67 4. Vllalati hlzatok cmzse............................................................................................................ 69 4.1 IP-hlzatok hierarchikus cmzsi smja ................................................................................ 69 4.1.1 Egyszint s hierarchikus hlzatok .................................................................................. 69 4.1.2 Hierarchikus hlzati cmzs ............................................................................................. 69 4.1.3 Hlzat felosztsa alhlzatokra ....................................................................................... 70 4.2 A VLSM hasznlata .................................................................................................................. 71 4.2.1 Alhlzati maszk ............................................................................................................... 71 4.2.2 Alhlzat-szmts binris formban ................................................................................ 72 4.2.3 Alapszint alhlzat-kszts ............................................................................................ 73 4.2.4 Vltoz hosszsg alhlzati maszk (VLSM) .................................................................... 74 4.2.5 VLSM cmzs megvalstsa .............................................................................................. 76
223
Tartalomjegyzk 4.3 Az osztly nlkli forgalomirnyts s a CIDR alkalmazsa ...................................................... 80 4.3.1 Osztly alap s osztly nlkli forgalomirnyts ............................................................. 80 4.3.2 CIDR s tvonalsszegzs ................................................................................................. 82 4.3.3 Az tvonalsszegzs meghatrozsa ................................................................................. 84 4.3.4 Nem sszefgg alhlzatok............................................................................................. 84 4.3.5 Alhlzatok ltrehozsakor s cmzsnl hasznlt bevlt mdszerek .............................. 85 4.4 NAT s PAT hasznlata ............................................................................................................ 86 4.4.1 Privt IP-cmtr................................................................................................................. 86 4.4.2 NAT a vllalati hlzat hatrn ......................................................................................... 87 4.4.3 Statikus s dinamikus NAT ................................................................................................ 88 4.4.4 A PAT hasznlata .............................................................................................................. 90 4.5 A fejezet sszefoglalsa ........................................................................................................... 91 5. Forgalomirnyts tvolsgalap irnyt protokollal..................................................................... 92 5.1 Nagyvllalati hlzatok karbantartsa ..................................................................................... 92 5.1.1 Nagyvllalati hlzatok ..................................................................................................... 92 5.1.2 Nagyvllalati hlzati topolgik ...................................................................................... 93 5.1.3 Statikus s dinamikus forgalomirnyts ........................................................................... 95 5.1.4 Statikus tvonalak konfigurlsa....................................................................................... 97 5.1.5 Alaprtelmezett tvonalak ............................................................................................... 99 5.2 RIP protokollal trtn forgalomirnyts .............................................................................. 100 5.2.1 Tvolsgvektor alap forgalomirnyt protokollok ........................................................ 100 5.2.2 Forgalomirnytsi informcis protokoll (Routing Information Protocol, RIP) ................ 101 5.2.3 RIP konfigurlsa ............................................................................................................ 103 5.2.4 A RIP problmi .............................................................................................................. 104 5.2.5 RIP ellenrzse ............................................................................................................... 105 5.3 Forgalomirnyts az EIGRP protokollal ................................................................................. 106 5.3.1 A RIP korltai .................................................................................................................. 106 5.3.2 Tovbbfejlesztett bels tjr irnyt protokoll (EIGRP) ................................................ 106 5.3.3 EIGRP fogalmak s tblk................................................................................................ 108 5.3.4 EIGRP szomszdok s szomszdsgi viszonyok ................................................................ 109 5.3.5 EIGRP mrtkek s konvergencia .................................................................................... 112 5.4 EIGRP megvalstsa ............................................................................................................. 114 5.4.1 EIGRP konfigurlsa ........................................................................................................ 114 5.4.2 EIGRP tvonal sszevons .............................................................................................. 118
224
Tartalomjegyzk 5.4.4 Az EIGRP korltai s problmi ....................................................................................... 121 5.5 A fejezet sszefoglalsa ......................................................................................................... 122 6. Kapcsolatllapot alap forgalomirnyts .................................................................................... 123 6.1 OSPF protokollal trtn forgalomirnyts ........................................................................... 123 6.1.1 Kapcsolatllapot alap protokoll mkdse .................................................................... 123 6.1.2 OSPF mrtk s konvergencia ......................................................................................... 124 6.1.3 OSPF szomszdok s szomszdsgi viszony ..................................................................... 125 6.1.4 OSPF terletek ................................................................................................................ 129 6.2 Egyterlet OSPF megvalstsa ............................................................................................ 130 6.2.1 Egyterlet OSPF alapszint belltsa............................................................................ 130 6.2.2 Az OSPF hitelests belltsa .......................................................................................... 131 6.2.3 Az OSPF paramterek belltsa ..................................................................................... 132 6.2.4 Az OSPF mkdsnek ellenrzse ................................................................................. 134 6.3 Tbb irnytprotokoll egyttes alkalmazsa ......................................................................... 136 6.3.1 Alaprtelmezett tvonal belltsa s meghirdetse ....................................................... 136 6.3.2 Az OSPF tvonalsszegzs belltsa ............................................................................... 137 6.3.3 Az OSPF problmi s korltai ........................................................................................ 138 6.3.4 Tbb protokoll egyidej alkalmazsa nagyvllalati krnyezetben .................................... 139 6.4 A fejezet sszefoglalsa ......................................................................................................... 141 7. Vllalati WAN kapcsolatok megvalstsa .................................................................................... 142 7.1 A vllalati WAN hlzatok sszekapcsolsa ........................................................................... 142 7.1.1 WAN eszkzk s technolgik ....................................................................................... 142 7.1.2 WAN szabvnyok ............................................................................................................ 145 7.1.3 WAN-kapcsolatok ltestse ........................................................................................... 146 7.1.4 Csomag- s vonalkapcsols ............................................................................................. 147 7.1.5 Helyi hurok s nagytvolsg WAN technolgik ............................................................ 149 7.2 Gyakori WAN begyazsok sszehasonltsa ......................................................................... 151 7.2.1 Ethernet s WAN begyazsok ....................................................................................... 151 7.2.2 HDLC s PPP ................................................................................................................... 152 7.2.3A PPP konfigurlsa ......................................................................................................... 156 7.2.4 PPP hitelests ................................................................................................................ 157 7.2.5 PAP s CHAP konfigurlsa ............................................................................................. 158 7.3 Frame Relay .......................................................................................................................... 160 7.3.1 A Frame Relay ttekintse .............................................................................................. 160
225
Tartalomjegyzk 7.3.2 A Frame Rekay mkdse............................................................................................... 161 7.4 A fejezet sszefoglalsa ......................................................................................................... 164 8. Forgalomszrs hozzfrsi listk hasznlatval.......................................................................... 165 8.1 A hozzfrsi listk hasznlata............................................................................................... 165 8.1.1 Forgalomszrs .............................................................................................................. 165 8.1.2 A hozzfrs-vezrlsi listk ........................................................................................... 167 8.1.3 Az ACL tpusok s hasznlatuk ........................................................................................ 167 7.1.4 Az ACL feldolgozsa ........................................................................................................ 168 8.2 A helyettest maszk hasznlata ............................................................................................ 169 8.2.1 A helyettest maszk clja s felptse .......................................................................... 169 8.2.2 A helyettest maszk hatsainak elemzse...................................................................... 171 8.3 A hozzfrsi listk paramterezse ...................................................................................... 174 8.3.1 A norml s a kiterjesztett ACL-ek elhelyezse................................................................ 174 8.3.2 Az ACL alapbelltsnak folyamata ................................................................................ 177 8.3.3 A szmozott norml ACL belltsa ................................................................................. 179 8.3.4 A szmozott kiterjesztett ACL belltsa .......................................................................... 180 8.3.5 A nevestett ACL belltsa.............................................................................................. 183 8.3.6 A virtulis terminl alap hozzfrs belltsa a forgalomirnytn ............................... 185 8.4 Meghatrozott forgalomtpusok engedlyezse s tiltsa ..................................................... 187 8.4.1 ACL-ek belltsnak alkalmazsa- s portszrse ........................................................... 187 8.4.2 Az ACL-ek belltsa a kapcsolat-felvtel utni forgalom tmogatshoz ........................ 188 8.4.3 A NAT s a PAT szerepe az ACL-ek elhelyezsbeb .......................................................... 189 8.4.4 A hlzati ACL-ek s elhelyezsk elemzse.................................................................... 189 8.4.5 Az ACL-ek belltsa a VLAN-ok kztti forgalomirnytshoz.......................................... 190 8.5 Forgalomszrs, hozzfrsi alkalmazsval .......................................................................... 191 8.5.1 A naplzs hasznlata az ACL funkcionalitsnak ellenrzsre ...................................... 191 8.5.2 A forgalomirnyt naplinak elemzse .......................................................................... 192 8.5.3 Bevlt ACL megoldsok ................................................................................................... 194 8.6 A fejezet sszefoglalsa ......................................................................................................... 195 9. Hibaelhrts egy vllalati hlzaton ........................................................................................... 197 9.1 A hlzati meghibsodsok hatsai ....................................................................................... 197 9.1.1 Elvrsok a vllalati hlzatokkal szemben ..................................................................... 197 9.1.2 Nyomon kvets s megelz karbantarts .................................................................... 199 9.1.3 Hibaelhrts s hibatartomny ...................................................................................... 201
226
Tartalomjegyzk 9.1.4 A hibaelhrtsi folyamat ................................................................................................ 203 9.2 Kapcsolsi s kapcsoldsi problmk hibaelhrtsa ............................................................ 206 9.2.1 Kapcsolk alapvet hibaelhrtsa .................................................................................. 206 9.2.2 VLAN konfigurcis problmk hibaelhrtsa ................................................................ 209 9.2.3 VTP hibaelhrts ............................................................................................................ 210 9.3 Forgalomirnytsi problmk hibaelhrtsa ........................................................................ 211 9.3.1 RIP forgalomirnytsi problmk ................................................................................... 211 9.3.2 EIGRP forgalomirnytsi problmk ............................................................................... 212 9.3.3 OSPF forgalomirnytsi problmk ................................................................................ 213 9.3.4 tvonal elosztsi problmk ........................................................................................... 213 9.4 WAN konfigurcis problmk hibaelhrtsa ....................................................................... 214 9.4.1 WAN kapcsolds hibaelhrtsa .................................................................................... 214 9.4.2 WAN hitelests hibaelhrtsa ....................................................................................... 216 9.5 ACL-ekkel kapcsolatos problmk hibaelhrtsa ................................................................... 217 9.5.1 ACL-ekkel kapcsolatos problmk meghatrozsa .......................................................... 217 9.5.2 ACL konfigurcis s elhelyezsi problmk.................................................................... 218 9.6 A fejezet sszefoglalsa ......................................................................................................... 219
227

Szemeszter 3

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Szemeszter 3

Uploaded by

Copyright:

Available Formats

Cisco CCNA Discovery

Forgalomirnyts s kapcsols nagyvllalati krnyezetben

edited by Nono 2011

1.1.2 A forgalom alakulsa a nagyvllalati hlzatban

1.1.3 Vllalati LAN-ok s WAN-ok

1.1.4 Intranetek s extranetek

1.2 A vllalati alkalmazsok azonostsa

1.2.2 Alkalmazsok s forgalom vllalati hlzaton

1. Vllalati hlzat VPN szolgltatsok Hanghvsok s hangzenetek Vide s videokonferencia

1.2.3 Prioritsok a hlzati forgalomban

1.3 Tvoli alkalmazottak tmogatsa

1.3.2 Virtulis magnhlzatok

1.4 A fejezet sszefoglalsa

2. A vllalatok hlzati infrastruktrjnak megismerse

2. A vallalatok halozati infrastrukturajanak megismerese

2. A vllalatok hlzati infrastruktrjnak megismerse

2.1.2 A hlzati szolgltatsi kzpont

2.1.3 A telekommunikcis helyisg kialaktsnak szemp ontjai

2.2 A vllalati perem tmogatsa

2. A vllalatok hlzati infrastruktrjnak megismerse

2.2.2 A vllalati hatrvonal biztonsgi szempontjai

2.3 Az irnyts s a kapcsols ttekintse

2. A vllalatok hlzati infrastruktrjnak megismerse

2. A vllalatok hlzati infrastruktrjnak megismerse

2.3.2 A forgalomirnyt parancssoros felletnek alapvet show parancsai

Forgalomirnytssal kapcsolatos: show ip protocols show ip route

Interfsszel kapcsolatos: show interfaces show ip interface brief show protocols

2. A vllalatok hlzati infrastruktrjnak megismerse

2.3.3 A forgalomirnyt alapbelltsainak megadsa a parancssoros felletrl

Globlis belltsok: hostname banner motd enable password enable-secret

Forgalomirnytsi belltsok: router network ip route

2. A vllalatok hlzati infrastruktrjnak megismerse

2.3.5 A kapcsol parancssoros felletnek parancsai

2. A vllalatok hlzati infrastruktrjnak megismerse

Globlis belltsok: hostname banner motd enable password enable-secret ip default-gateway

Vonali belltsok: line con line vty login and password

Interfszbelltsok: interface type/number (vlan1) ip address speed / duplex switchport port-security

2. A vllalatok hlzati infrastruktrjnak megismerse

2.4 A fejezet sszefoglalsa

3. Kapcsols vllalati hlzatokban

3. Kapcsola s vallalati halozatokban

3. Kapcsols vllalati hlzatokban

3.1.2 Tbbrteg kapcsols

3.1.3 Kapcsolsi mdszerek

3. Kapcsols vllalati hlzatokban

3.1.4 Kapcsolk vdelme

3. Kapcsols vllalati hlzatokban

3.2 A kapcsolsi hurkok kialakulsnak megelzse

3.2.2 Fesztfa protokoll (Spanning tree protocol, STP)

3. Kapcsols vllalati hlzatokban

3. Kapcsols vllalati hlzatokban

3. Kapcsols vllalati hlzatokban

3. Kapcsols vllalati hlzatokban

3.2.3 Gykrponti hidak

3. Kapcsols vllalati hlzatokban

3. Kapcsols vllalati hlzatokban

3.2.4 Fesztfa egy hierarchikus hlzatban

3.2.5 Gyors fesztfa protokoll (Rapid spannig tree protocol, RSTP)

3. Kapcsols vllalati hlzatokban

3.3 VLAN-ok konfigurlsa

3.3.2 Virtulis helyi hlzat konfigurlsa

3. Kapcsols vllalati hlzatokban

3.3.3 VLAN-ok azonostsa