Professional Documents
Culture Documents
Szemeszter 3
Szemeszter 3
4.0
1. Vllalati hlzat
1. Vallalati halozat
1.1 A nagyvllalati hlzatok jellemzi
1.1.1 A vllalat zleti folyamatainak tmogatsa
Ahogy nnek s fejldnek a vllalkozsok, gy n a vllalati szmtgp -hlzatokkal szembeni elvrs is. Nagymret zleti vllalkozsokknt emlegetjk az olyan vllalati krnyezeteket, melyekhez tbb telephely, sok felhasznl vagy sok klnbz rendszer tartozik. Az albbiak tipikus nagymret zleti vllalkozsi terletek: Termkgyrtk Nagykereskedelmi lncok ttermi s szolgltati franchise hlzatok llami s kzigazgatsi szervezetek Krhzak Iskolarendszerek
A nagymret zleti vllalkozsokat kiszolgl szmtgpes hlzatokat nevezzk nagyvllalati hlzatoknak. A nagyvllalati hlzatoknak szmos kzs jellemzjk van. Ilyenek pldul a kvetkezk: Kritikus zleti alkalmazsokat futtatnak Konverglt hlzati forgalmat bonyoltanak Kzpontostott felgyeletet ignyelnek Szertegaz zleti ignyeket elgtenek ki
Egy nagyvllalati hlzatnak kpesnek kell lennie az egyes zletrszek kztti olyan egymstl eltr hlzati forgalomtpusok lebonyoltsra, mint pldul az adatllomnyok tvitele, elektronikus levelezs, IP telefnia vagy a vide alap alkalmazsok. Egyre jellemzbb, hogy a vllalkozsok hlzati infrastruktrjnak kritikus zleti folyamatokat kell kiszolglnia. A nagyvllalati hlzat lellsa ellehetetlenti az zleti folyamatokat, ami tttelesen bevtelkiesshez s a vsrlk elvesztshez vezethet. A felhasznlk ezrt 99,999% -os rendelkezsre llst vrnak el a nagyvllalati szmtgpes hlzattl. Az elvrt megbzhatsg teljestsnek rdekben a nagyvllalati hlzatokban magas minsgi kategrij eszkzket alkalmaznak. A nagyvllalati piacra sznt eszkzknl elsdleges szempont a megbzhatsg, ezrt ezeknek az eszkzknek olyan jellemzik vannak, mint pldul a redundns ramellts s automatikus hibakezelsi kpessg. Mivel a nagyvllalati piacra sznt eszkzk ltalban jelents forgalmat bonyoltanak le, ezrt tervezsket s gyrtsukat szigorbb szabvnyok szablyozzk mint a szlesebb krben hasznlt eszkzkt. A professzionlis eszkzk beszerzse s teleptse ugyanakkor nem helyettestheti a krltekint hlzati tervezst. A j hlzati tervezs egyik legfontosabb clja, hogy minden kritikus hibaforrst megelzznk. Ez elssorban a redundancia biztostsval valsthat meg.
1. Vllalati hlzat A hlzattervezs tovbbi lnyeges elemei a svszlessg -felhasznls optimalizlsa, valamint a hlzat biztonsgnak s teljestmnynek garantlsa.
1. Vllalati hlzat
Hozzfrsi rteg Kapcsoldsi pontot biztost a nagyvllalati hlzat vgfelhasznli eszkzei szmra. Egy hlzati eszkz, pldul kapcsol segtsgvel lehetv teszi, hogy tbb lloms kapcsoldhasson egymshoz. Ugyanazon a logikai hlzaton tallhatk. Ugyanazon a logikai hlzaton tallhat llomsok fel tovbbtja a forgalmat. Ha a csomag egy msik hlzaton tallhat llomsnak szl, az zenetet tadja az elosztsi rtegnek kzbestsre.
Elosztsi rteg Kapcsoldsi pontot biztost a klnbz helyi hlzatoknak. A helyi hlzatok kzti informciramlst szablyozza. Biztostja, hogy az azonos helyi hlzaton tallhat eszkzk kzti forgalom valban ne hagyja el a hlzatot. Tovbbtja a ms hlzatokba irnyul forgalmat. Biztonsgi s hlzatfelgyeleti okokbl szri a bejv s kimen forgalmat. A hozzfrsi rtegnl erteljesebb kapcsolkat s forgalomirnytkat hasznl. Ha a clhlzat nem kapcsoldik kzvetlenl, akkor tadja az adatokat a kzponti rtegnek kzbestsre.
Kzponti rteg Redundns (tartalk) kapcsolatokat tartalmaz, nagy sebessg gerincet alkot. Nagy mennyisg adatot szllt a szmos vghlzat kzt. Igen erteljes, nagy sebessg kapcsolkbl s forgalomirnytkbl ll.
A Cisco Enterprise Architectures (Cisco Vllalati Architektrk) koncepci gy bontja fel a hlzatot funkcionlis egysgekre, hogy kzben megtartja a gerinc-, elosztsi- s hozzfrsi rteg hrmas tagolst. A Cisco Enterprise Architectures a kvetkez funkcionlis egysgeket hasznlja:
1. Vllalati hlzat Vllalati telephely (Enterprise Campus): A hlzati infrastruktrt, a kiszolglfarmot s a hlzati menedzsmentszolgltatst tartalmazza Vllalati hatrvonal (Enterprise Edge): Az internet, a VPN s a WAN modulok sszessge, melyek a vllalat hlzatt sszekapcsoljk a szolgltat hlzatval. Szolgltati hatrvonal (Service Provider Edge): Internet-, nyilvnos kapcsolt telefon- (PSTN Public Switched Telephone Network) s WAN szolgltatsokat nyjt.
Minden az ECNM (Enterprise Composite Network Model sszetett vllalati hlzatmodell) modellbe belp vagy kilp adat a hatreszkzkn halad keresztl. Ez az a pont, ahol minden csomagot meg lehet vizsglni, s el lehet dnteni, hogy az adott csomag beengedhet-e a vllalati hlzatba. A rosszindulat tevkenysg kiszrst elvgz behatols -rzkelsi (Intrusion Detection System IDS) s behatols-vdelmi (Intrusion Prevention System IPS) rendszereket is a vllalat hatrra rdemes telepteni.
pletszint hozzfrs: Ez a hozzfrsi rteg 2. rtegbeli vagy 3. rtegbeli kapcsolkkal valstja meg a szksges portsrsget. Itt kerlnek megvalstsra a VLAN-ok s az plet elosztsi rtege fel vezet trnkvonalak. Az plet elosztsi rtegben elhelyezett kapcsolk fontos jellemzje a redindancia. plet szint elosztsi rteg: Ez az elosztsi rtegbeli modul 3. rtegbeli eszkzkkel valstja meg az plet szint hozzfrst. Ebben a rtegben kerl megvalstsra a forgalomirnyts, a hozzfrs-vezrls s a szolgltatsminsg (QoS). A redundancia elengedhetetlen ebben a rtegben is. Telephely gerince: Ez a gerincrtegbeli modul nagy sebessg kapcsolatot biztost az elosztsi rteg modulja, az adatkzpont kiszolglfarmja s a vllalati hatrvonal kztt. Ebben a rtegben a redundancia, a gyors konvergencia s a hibatrs ll a tervezs kzppontjban.
1. Vllalati hlzat Kiszolglfarm: Ez a modul biztostja a gyors kapcsolatot s a vdelmet a kiszolglknak. Ezen a terleten a biztonsg. a redundancia s a hibatrs a legfontosabb, Felgyelet: Ez a fontos terlet felgyeli a teljestmnyt azltal, hogy monitorozza az eszkzket s a hlzati elrhetsgeket. Vllalati hatrvonal: Ez a modul terjeszti ki a vllalati szolgltatsokat a tvoli webhelyek fel s teszi lehetv, hogy a vllalat elrje az internetet s a partnerek szolgltatsait. Ez a modul biztostja a szolgltatsminsget (QoS), a hlzati szablyok betartst, a szolgltatsi szinteket s a biztonsgot. Egy jl megtervezett hlzat a forgalom megfelel szrse mellett kpes a meghibsodsok ltal rintett tartomnyok minimalizlsra is. A hibatartomny az a hlzatszakasz, melyet kzvetlenl rint egy kulcsfontossg hlzati eszkz vagy szolgltats meghibsodsa. Az elsknt meghibsod sszetev nagyban meghatrozza, hogy mekkora tartomnyra lesz hatssal a hiba. Pldul, ha egy adott szegmens kapcsolja hibsodik meg, akkor ltalban csak az adott szegmens llomsai rintettek. Ugyanakkor, ha az adott szegmenst a tbbihez kapcsol forgalomirnyt hibsodik meg, akkor sokkal drmaiabb lehet a hats. A hlzati krok cskkenthetk redundns kapcsolatok s megfelel minsg, professzionlis eszkzk hasznlatval. A kismret meghibsodsi tartomnyok cskkentik a meghibsodsok vllalati termelkenysgre gyakorolt hatst, egyszersmind egyszerstik a hibaelhrtst, ezltal cskkentik az egyes felhasznlk ltal tapasztalt lellsi idt.
1. Vllalati hlzat
1. Vllalati hlzat A LAN jellemzi: Az zemeltet szervezet felels az infrastruktra kialaktsrt s felgyeletrt. Az Ethernet a leggyakrabban alkalmazott technolgia. A hlzat jellemzen a hozzfrsi- s az elosztsi rtegre fkuszl. A LAN biztostja a felhasznlk kapcsoldst, valamint helyi alkalmazsok s kiszolglfarmok elrst. Az sszekapcsolt eszkzk jellemzen egy behatrolt terleten pldul egy pleten vagy egy nagyobb telephelyen bell helyezkednek el.
A WAN jellemzi: Az sszekapcsolt telephelyek fldrajzilag tvol helyezkednek el egymstl. A WAN-hoz trtn csatlakozs kln eszkz modem vagy CSU/DSU hasznlatt ignyelheti, amely lehetv teszi az adatok szolgltati hlzatnak megfelel formtumra alaktst. A szolgltatsokat az ISP nyjtja. A tipikus WAN szolgltatsok kz tartozik a T1/T3, az E1/E3, a DSL, a kbel-TV alap internet, a Frame Relay s az ATM. Az infrastruktra kialaktsa s felgyelete az ISP feladata. A hatreszkzk alaktjk t az Ethernet begyazst soros WAN begyazss.
1. Vllalati hlzat A cgek jellemzen ezen a privt hlzaton vagy intraneten keresztl biztostjk a helyi s a tvoli alkalmazottaiknak az elrst LAN s WAN technolgik alkalmazsval. Az intranetek kapcsoldhatnak az internethez is, ilyenkor ltalban tzfal felgyeli az intranetre belp s onnan kilp forgalmat.
Az intranetek ltalban bizalmas informcikat tartalmaznak, s kizrlag a vllalat alkalmazottai szmra vannak kialaktva. Az intranetet minden esetben tzfallal kell vdeni. Azok a tvolrl dolgoz alkalmazottak, akik nem kzvetlenl kapcsoldnak a vllalati LAN -hoz, hitelestst kveten kaphatnak hozzfrst. Bizonyos esetekben a vllalkozsok kiterjeszthetik hlzatuk elrst a kiemelt gyfeleik s beszlltik szmra. Ennek leggyakoribb megoldsai: Kzvetlen WAN kapcsolat Kulcs-alkalmazsoktvoli belpssel trtn elrse VPN kapcsolds a vdett hlzathoz
Extranetnek hvjuk az olyan intranetet, ami kls kapcsoldst biztost a vllalat beszllti s ms szerzdses partnerei szmra. Az extranet teht egy olyan privt hlzat (intranet), amely szervezeten kvli egynek s trsasgok szmra biztost ellenrztt hozzfrst. Az extranet nem nyilvnos hlzat.
1. Vllalati hlzat
Ms forgalomtpusok elfordulhatnak a hlzaton bell s a WAN kapcsolatokon is. Ilyenek pldul az albbiak: rendszerfrisstsek vllalati elektronikus levelezs tranzakci-feldolgozs
A WAN kapcsolati forgalom mellett kls forgalomnak szmt az internetrl szrmaz, vagy oda irnyul forgalom is. A VPN s az internet adatforgalom egyrtelmen kls forgalom. Az adatforgalom szablyozsa optimalizlja a hlzati svszlessg felhasznlst, tovbb azltal, hogy monitorozsi lehetsget biztost, hozzjrul az alapfok adatbiztonsg megvalstshoz is. A hlzati forgalmi mintk s folyamatok elemzse rvn a rendszergazda megtlheti a vrhat forgalom tpust s mrtkt. Az olyan forgalom, ami nem vrt helyen jelentkezik a hlzatban, kiszrhet s forrsa is ellenrizhet.
Mindezek mellett a hlzat zemeltetse s a hlzat mkdsbl fakad folyamatok is hlzati erforrsokat ignyelnek. A hlzati folyamat menedzselsnek megtervezse szempontjbl elsdleges fontossg a hlzaton zajl forgalom s adatramlsi folyamatok megrtse. Ha nem ismerjk a hlzati forgalom sszetevit, akkor a forgalom, tovbbi elemzs cljbl, csomagvizsgl alkalmazssal rgzthet. A hlzati forgalmi mintk megismerse rdekben fontosak az albbiak: Mindig a forgalmi cscs kzelben rgztsk a csomagokat, gy megfelelen j mintt nyerhetnk a klnbz tpus forgalmakbl! Mivel bizonyos forgalomtpusok adott helyhez kthetek, mindig vegynk mintt tbb hlzatszakaszrl is!
A csomagvizsgl alkalmazssal gyjttt mintk alapjn meghatrozhatk a forgalmi folyamatok. A minta elemzse sorn a hlzati technikus elssorban a megvizsglt csomagok forrs- s clcmre, valamint a forgalmi tpusokra alapozva vonhat le kvetkeztetseket. Az elemzs alapjn hozhatk meg azok a dntsek, melyekkel hatkonyabb tehet a hlzati forgalom menedzselse. Clszer lehet pldul a felesleges forgalom cskkentse, vagy a teljes forgalmi minta talaktsa egy kiszolgl thelyezsvel. Sokszor egyetlen kiszolgl, vagy szolgltats msik hlzati szakaszba val thelyezse nmagban javthatja a hlzat teljestmnyt. Mskor azonban csak a hlzat jratervezsvel vagy komolyabb beavatkozssal lehet a hlzati teljestmnyt optimalizlni.
10
1. Vllalati hlzat
11
1. Vllalati hlzat
12
1. Vllalati hlzat
13
1. Vllalati hlzat
Videokonferencia Lehetv teszi, hogy tvoli helyeken tartzkod rsztvevk szemtl -szembe, egymst ltva beszlgethessenek. E-mail Lehetv teszi egy rott zenet eljuttatst egy tvoli felhasznlhoz, aki ksbb vlaszolni tud arra. Azonnal zenetkld alkalmazs Lehetv teszi azonnali zenetek validej kldst a tvoli felhasznlnak, aki rgtn tud azokra vlaszolni. Alkalmazs-megoszts Lehetv teszi, hogy egyszerre tbb felhasznl is ugyanazt az alkalmazst hasznlja. FTP Fjltvitelt tesz lehetv szmtgpek kztt. Telnet Tvoli kapcsoldst s terminlkapcsolatot biztost tvoli eszkzkhz. VoIP Vals idej beszlgetst tesz lehetv internetes technolgik alkalmazsval. Az alkalmazsok s a kperny megosztsra szolgl segdeszkzk rengeteget fejldtek, ma mr egyidej hang- s vide tvitelre is kpesek. Az j technolgia egyre kifinomultabb egyttmkdst tesz lehetv. A vllalati hlzat segtsgvel ez a technolgia olyan krnyezetet teremt az egymstl tvol tartzkod munkatrsak szmra, mintha egy szobban lnnek. Nagy kivettk, s j minsg hangrendszer alkalmazsval egy specilisan kialaktott teremben az egsz hats olyan lehet, mintha az sszes rsztvev fggetlenl a tnyleges tartzkodsi helyktl ott lne egyetlen trgyalasztal krl. Az brn lthat trsasgbl csak az eltrben l 5 ember van valjban jelen a szobban. A kpernykn megjelen msik 4 szemly igazbl 3 msik helysznen tartzkodik.
14
1. Vllalati hlzat
VPN hasznlatakor virtulis alagt jn ltre a forrs s a cl kztt. A forrs s a cl kzti sszes kommunikcit titkostja a biztonsgos begyazst hasznl protokoll. Ez a biztonsgos csomag kerl tovbbtsra a hlzaton. A clllomshoz megrkezve a csomagot kicsomagoljk s visszalltjk a titkostatlan tartalmat. A VPN megvalstsok gyfl/kiszolgl alapak, gy a tvmunksnak elszr teleptenie kell a VPN kliensprogramot a szmtgpre, amivel aztn ki tudja alaktani a biztonsgos kapcsolatot a vllalati hlzat irnyba. A VPN technolgival kapcsold tvmunksok gyakorlatilag rszei lesznek a vllalati hlzatnak, hozzfrnek az sszes szolgltatshoz s erforrshoz, mintha csak fizikailag is a LAN -hoz kapcsoldnnak. A VPN hlzatok egyik leggyakrabban hasznlt begyazsi protokollja az IPSec, ami az IP Security (IP biztonsg) angol kifejezs rvidtse. Az IPSec valjban egy szmos szolgltatst nyjt protokollcsomag. Ilyen szolgltatsok pldul: adattitkosts, integrits -ellenrzs, trsak hitelestse. kulcskezels.
15
1. Vllalati hlzat
16
Dnt fontossg, hogy a hlzati dokumentci napraksz s pontos legyen. A hlzati dokumentci a hlzat teleptsekor ltalban mg pontosan mutatja az akkori llapotot, de a ksbbi nvekedst s vltozsait nem minden esetben kveti. A hlzati topolgia rajza rendszerint az eredeti plet-alaprajzokon alapul. Elkpzelhet, hogy az alaprajz megvltozott az plet elkszlse ta. A vltozsok megfelelen jellssel vagy trajzolssal az eredeti tervrajzon is dokumentlhatk. Az ily mdon mdostott rajzot megvalsul si
17
2. A vllalatok hlzati infrastruktrjnak megismerse diagramnak nevezzk. Az pts szerinti diagram a tnyleges hlzati felptst dokumentlja, amely eltrhet az eredeti tervektl. Mindig bizonyosodjunk meg arrl, hogy a jelenlegi dokumentci az eredeti alaprajz mellett a hlzati topolgia sszes vltozst is tartalmazza! A hlzati diagram ltalban grafikus rajzolprogram segtsgvel kszl. A hlzati diagram ksztsre alkalmas programok jelents rsze azon kvl, hogy rajzeszkzknt hasznlhat, egy adatbzishoz is kapcsoldik. Ez a funkci lehetv teszi, hogy a hlzati tmogatst vgz csapat tagjai rszletes dokumentcit ksztsenek, amelyben rgztik az llomsok s a hlzati eszkzk adatait, belertve a gyrtt, a modellszmot, a vsrls dtumt, a jtllsi idt s ms egyb informcikat. Ha a diagramon rkattintunk egy eszkzre, akkor az eszkz adatait megjelent rlap nylik meg. A hlzati diagramok mellett a vllalati hlzatok szmos ms, fontos szerepet betlt dokumentcitpust is hasznlnak. zletfolytonossgi terv: Az zletfolytonossgi terv (Business Continuity Plan, BCP) hatrozza meg a termszeti vagy ember ltal elidzett katasztrfa esetn az zletfolytonossg megrzshez szksges lpseket. zletbiztonsgi terv: Az zletbiztonsgi terv (Business Security Plan, BSP) tartalmazza a fizikai-, rendszer- s szervezeti szint adatvdelmi intzkedseket. Az ltalnos biztonsgi tervnek tartalmaznia kell egy informatikai rszt, amely lerja, hogy a szervezet hogyan vdi a hlzatt s informcis rtkeit. Hlzat-karbantartsi terv: A hlzat-karbantartsi terv (Network Maintenance Plan, NMP) a hlzat folyamatos s hatkony zemeltetsvel biztostja az zletfolytonossgot. A hlzat-karbantartsi munkkat konkrt idszakokra (ltalban jszakra vagy htvgre) kell temezni, hogy a lehet legkisebb legyen az zletmenetre gyakorolt hatsa. Szolgltatsi szerzds: A szolgltatsi szerzds (Service Level Agreement, SLA) az gyfl s a szolgltat vagy ISP kztt ltrejtt megegyezs, amely olyan tteleket rgzt, mint pldul a hlzat rendelkezsre llsa vagy a problmk kezelsre vllalt vlaszid.
18
19
2. A vllalatok hlzati infrastruktrjnak megismerse Hozzfrsi rtegbeli kapcsolknak s elosztsi rtegbeli forgalomirnytknak biztost helyet, ha a kzponti kbelrendez (Main Distribution Facility, MDF) szerept is ez tlti be az pletben vagy a telephelyen.
A hlzati tmogatson s a hlzat-felgyeleten kvl szmos hlzati kzpont biztost kzpontostott erforrsokat (pl. kiszolglkat s adattrhzakat). A hlzati kzpont kiszolgli ltalban kiszolglfarmot alkot klaszterekbe vannak szervezve. A kiszolglfarm rendszerint egyetlen erforrsnak tekinthet, de valjban kt feladatot is ellt: biztonsgi mentst kszt s terhelselosztst vgez. Amennyiben egy kiszolgl meghibsodik vagy tlterheltt vlik, egy msik veszi t a szerept. A farmot alkot kiszolglk llvnyba szerelhetk, a kztk fennll sszekttetst pedig nagyon nagy sebessg (Gigabit Ethernet vagy gyorsabb) kapcsolk biztostjk. Amennyiben kzs hzba szerelt pengeszerverekrl (blade server) van sz, a kztk fennll sszekttetst a hzon belli nagysebessg htlap (backplane) kapcsolat biztostja. A vllalati hlzati kzpont msik fontos feladata, hogy nagysebessg s nagy kapacits adattrhzknt mkdjn. Az adattrhz vagy hlzati adattrol (Network Attached Storage, (NAS) nagyszm lemezmeghajtt foglal kzvetlenl a hlzatra csatlakoztatott csoportba, brmely kiszolgl szmra elrhet mdon. Egy NAS eszkz ltalban az Ethernetre kapcsoldik s sajt IP cmmel rendelkezik. A trolhlzat (Storage Area Network, SAN) a hlzati adattrolk sokkal kifinomultabb vltozata. A trolhlzat olyan nagy sebessg hlzat, amely klnbz tpus adattrol eszkzket kapcsol ssze helyi vagy nagytvolsg hlzaton keresztl.
20
2. A vllalatok hlzati infrastruktrjnak megismerse A vllalati hlzati kzpont berendezsei ltalban llvnyba vannak szerelve. A nagyobb hlzati kzpontokban az llvnyok a padltl a mennyezetig rnek, s egymshoz rgztettek. A berendezsek llvnyba szerelsekor gyeljnk a megfelel szellzsre, valamint arra, hogy ellrl s htulrl is hozz lehessen frni az eszkzkhz! A berendezseket megfelel fldelshez is csatlakoztatni kell! A legelterjedtebb llvnyok szlessge 48,26 cm (19 hvelyk). A legtbb berendezs mrete ehhez igazodik. A berendezsek ltal fgglegesen elfoglalt teret tartkeret-egysgben (Rack Unit, RU) adjk meg. Egy ilyen egysg 4,4 cm (1,75 hvelyk). A 2U -val jellt panel magassga pldul 8,9 cm (3,5 hvelyk). Minl kisebb az RU szm, annl kevesebb helyet foglal el egy eszkz, gy tbb eszkz frhet egy llvnyba. Azt is figyelembe kell venni, ha egy berendezs sok sszekttetssel rendelkezik (pl. egy kapcsol)! Ezeket clszer a kbelrendez panelek s a kbeltart tlck kzelben elhelyezni.
Egy vllalat hlzati kzpontjba kbelek ezrei futnak be, illetve onnan ki. Strukturlt kbelezssel olyan szervezett kbelrendszer alakthat ki, amely knnyen tlthat a teleptk, hlzati rendszergazdk s brmely ms, a kbelekkel dolgoz szakemberek szmra. A kbelkezels tbbfle clt szolgl. Egyrszrl tlthat s szervezett rendszert eredmnyez, amely segt a kbelezsi problmk izollsban. Msrszrl a megfelel kbelezsi mdszerek biztostjk a kbelek vdelmt a fizikai srlsekkel s az elektromgneses zavarokkal (EMI) szemben, ami nagymrtkben cskkenti a felmerl problmk szmt. A hibaelhrts megknnytshez az albbi feladatokat clszer elvgezni: rdemes felcmkzni az sszes kbel mindkt vgt valamilyen a forrst s a clt is jell konvenci alapjn. rdemes feltntetni az sszes kbelnyomvonalat a fizikai hlzati topolgia diagramon. rdemes ellenrizni az sszes mind a rz, mind az optikai kbelnyomvonalat egyik vgtl a msikig. Ehhez kldjnk vgig egy vizsgljelet a kbelen, majd mrjk meg a jelvesztesget!
21
2. A vllalatok hlzati infrastruktrjnak megismerse A kbelszabvnyok az sszes kbeltpushoz s hlzati technolgihoz meghatrozzk az thidalhat maximlis tvolsgot. Az IEEE pldul meghatrozza, hogy az rnykolatlan csavart rpron (UTP) keresztli Fast Ethernet technolgia esetben a kapcsol s az lloms kztti kbelnyomvonal hossza nem lehet tbb mint 100 mter (krlbell 328 lb). Amennyiben a kbelnyomvonal hossza meghaladja a javasolt mrtket, adattviteli problmk merlhetnek fel. Ez klnsen igaz, ha a kbelvgzdsek rossz minsgek. A hlzat mkdtetshez nlklzhetetlen a kbelezsi s ellenrzsi terv megfelel dokumentlsa.
22
2. A vllalatok hlzati infrastruktrjnak megismerse Egy kzponti kbelrendezhz (Main Distribution Facility, MDF) szmos IDF csatlakozhat kiterjesztett csillag topolginak megfelel elrendezsben. Az MDF ltalban a hlzati kzpontban vagy az plet kzepn helyezkedik el. Az MDF ltalban lnyegesen nagyobb, mint egy IDF. Az MDF -ben nagysebessg kapcsolk, forgalomirnytk s kiszolglfarmok tallhatk. A kzponti MDF kapcsolihoz vllalati kiszolglk s adattrolk is csatlakozhatnak, gigabites rzvezetken keresztl. Az IDF-ben alacsonyabb sebessg kapcsolk, hozzfrsi pontok s hubok tallhatk. Az IDF kapcsoli ltalban nagyszm Fast Ethernet porttal rendelkeznek, hogy biztostsk a felhasznlk szmra a hozzfrsi rtegben trtn csatakozst. Az IDF kapcsolk ltalban gigabites interfszen keresztl csatlakoznak az MDF kapcsolkhoz. Ez az elrendezs hozza ltre a gerinc- vagy ms nven fkapcsolatokat (uplink). A rz alap gigabites vagy Fast Ethernet sszekttets hossza CAT5e vagy CAT6 kbel hasznlatval legfeljebb 100 mter lehet. Optikai kbellel ennl lnyegesen nagyobb tvolsg fedhet le. Optikai kbeleket ltalban az pletek kztti sszekttetshez hasznlnak. Mivel ezek nem villamos jeleket hasznlnak, rzketlenek a villmcsapsokkal, elektromgneses zavarral (EMI), rdijel zavarral (RFI) s a klnbz fldpotencilbl add problmkkal szemben.
Az alapvet hlzati hozzfrsen kvl egyre elterjedtebb, hogy a vgfelhasznli berendezsek ramelltst is kzvetlenl a telekommunikcis helyisgben tallhat Ethernet kapcsolk biztostjk. Az ilyen tpelltst hasznl berendezsek kz tartozik az IP -telefon, a hozzfrsi pont s a megfigyel kamera is. A fenti eszkzk ramelltsa az Ethernet hlzat ltal biztostott ramelltst (Po wer over Ethernet, PoE) ler, IEEE 802.3af szabvny alapjn trtnik. A PoE ugyanazt a csavart rpras kbelt hasznlja az ramellts biztostsra is, amin az adattvitel trtnik. gy pldul lehetv vlik, hogy egy IP telefon kln tpkbel vagy tpcsatlakoz nlkl kerljn az asztalra. Az IP-telefonhoz hasonl PoE eszkzk mkdtetshez a csatlakozst biztost kapcsolnak PoE funkcival kell rendelkeznie. A PoE szabvnyt nem tmogat kapcsolk alkalmazsa esetn n.ram -injektorok (power injectors) vagy PoE kbelrendezk hasznlatval is megvalsthat az Ethernet hlzat ltal biztostott ramellts. A Panduit s ms gyrtk ksztenek olyan PoE kbelrendezket, amelyek lehetv teszik a PoE funkcikkal nem rendelkez kapcsolk szmra a PoE krnyezetben trtn mkdst. A 23
2. A vllalatok hlzati infrastruktrjnak megismerse hagyomnyos kapcsolt a PoE kbelrendezhz kell csatlakoztatni, amely azutn a PoE funkcikkal rendelkez eszkzhz kapcsoldik.
24
A vllalatok ltal megvsrolt hlzatkapcsolati szolgltatsok kz tartozik a brelt vonal, a T1/E1 (ms nven zleti kategria), a Frame Relay s az ATM. A fenti szolgltatsok valamilyen fizikai kbelezsen keresztl jutnak el a vllalathoz. A T1/E1 ltalban rzvezetket, a nagyobb sebessg szolgltatsok optikai kbelt hasznlnak. A szolgltats-elrsi pontnak az aktulisan ignyelt WAN-szolgltatshoz szksges sszes berendezssel rendelkeznie kell. A T1/E1 szolgltats esetben pldul az gyfl ignyelhet egy betz panelt a T1/E1 ramkr vgzdtetshez, csakgy mint egy csatornaszolgltat / adatszolgltat egysget (Channel Service Unit / Data Service Unit, CSU/DSU) a megfelel elektromos interfsz s a jelzsrendszer biztostshoz a szolgltat fel. A fenti berendezs tulajdonosa s 25
2. A vllalatok hlzati infrastruktrjnak megismerse karbantartja a szolgltat s az gyfl egyarnt lehet. A tulajdonostl fggetlenl minden, a szolgltats-elrsi ponton bell, vagyis az gyfl oldaln elhelyezett berendezst elfizeti vgberendezsnek (Customer Premises Equipment, CPE) neveznk.
A vllalatok s az internetszolgltatk szmra egyarnt kulcsfontossg a csomagok clba juttatshoz a hatkony forgalomirnyts s a meghibsodott hlzati kapcsolatok helyrelltsa.
26
A forgalomirnytk tbbfle alakban s mretben kaphatk. Egy vllalati krnyezetben dolgoz hlzati rendszergazdnak a legklnflbb forgalomirnytkhoz s kapcsolkhoz kell tmogatst nyjtani, az asztalitl kezdve az llvnyba szerelhetn t a penge modellekig. A forgalomirnytk az alapjn is csoportosthatk, hogy a hardverkonfigurcijuk rgztett vagy modulris. A rgztett konfigurci esetben a forgalomirnyt interfszei fixen beptettek. A modulris forgalomirnytkat tbb bvthellyel szlltjk, amelyek lehetv teszik a hlzati rendszergazdk szmra a forgalomirnyt interfszeinek cserjt. A Cisco 1841 -es forgalomirnytt pldul kt beptett Fast Ethernet RJ -45 interfsszel szlltjk, s van kt szmos klnbz tpus hlzati csatlakozmodul fogadsra alkalmas bvthelye is. A forgalomirnytkat a legklnflbb (pl. Fast Ethernet, Gigabit Ethernet, soros, szloptikai) interfszekkel szlltjk. A forgalomirnyt interfszeinek megnevezse a vezrl/interfsz vagy a vezrl/bvthely/interfsz konvencit kveti. Ha pldul a vezrl/interfsz konvencit hasznljuk, a forgalomirnytn az els Fast Ethernet interfszt az Fa0/0 (0. vezrl s 0. interfsz) jelli. A
27
2. A vllalatok hlzati infrastruktrjnak megismerse msodikat az Fa0/1. A vezrl/bvthely/interfsz konvencit hasznl forgalomirnytn az els soros interfszt az S0/0/0 jelli.
Kt mdszer ltezik egy PC s egy hlzati eszkz konfigurcis s ellenrzsi feladatok cljbl trtn sszekapcsolsra: a svon kvli s a svon belli vezrls. A svon kvli vezrls a kezdeti konfigurci megadshoz vagy hlzati kapcsolat hinya esetn hasznlhat. A svon kvli vezrlst hasznl konfigurcihoz az albbiak szksgesek: Kzvetlen sszekttets a konzol- vagy AUX-porttal Terminlemulcis gyflprogram
A svon belli vezrls egy hlzati eszkz hlzati kapcsolaton keresztl trtn ellenrzsre s a konfigurcis belltsok elvgzsre hasznlhat. A svon belli vezrlst hasznl konfigurcihoz az albbiak szksgesek: Legalbb egy csatlakoztatott s mkdkpes hlzati interfsz az eszkzn Telnet, SSH vagy HTTP kapcsolaton keresztl elrhet Cisco eszkz
28
sszekttetssel kapcsolatos: show cdp neighbors show sessions show ssh ping traceroute
29
30
2. A vllalatok hlzati infrastruktrjnak megismerse vltoztatsokat a copy running-config startup-config parancs hasznlatval! A forgalomirnyt belltsainak trlshez hasznljuk az erase startup-config, majd a reload parancsot! Konfigurcikezels: enable configure terminal copy running-config startup-config erase startup-config reload
Vonali belltsok: line con line aux line vty login and password
Interfszbelltsok: interface tpus/szm description ip address no shutdown clock rate begyazs (encapsulation)
2.3.4 A kapcsol
A hierarchikus tervezsi modell mindhrom rtege tartalmaz ugyan kapcsolkat s forgalomirnytkat, a hozzfrsi rtegben ltalban tbb a kapcsol. A kapcsolk f feladata, hogy biztostsk az llomsok (pl. vgfelhasznli munkallomsok, kiszolglk, IP -telefonok, webkamerk, hozzfrsi pontok s forgalomirnytk) kztti sszekttetetst. Ez azt jelenti, hogy egy vllalatnl lnyegesen tbb kapcsolra van szksg, mint forgalomirnytra.
31
2. A vllalatok hlzati infrastruktrjnak megismerse A kapcsolk tbbfle formtumban kaphatk: Lteznek kismret, asztali vagy falra szerelhet modellek. Az llvnyba szerelhet, integrlt forgalomirnytk rszt kpezi egy beptett kapcsol. A nagyteljestmny kapcsolk ltalban llvnyba szerelhetk, kialaktsuk jellemzen modulris a panel- s penge modellre pl, amely kpes kvetni a felhasznlk szmnak nvekedst.
A nagyteljestmny vllalati s szolgltati kapcsolk tmogatjk a 100 Mbit/sec-tl 10 Gbit/sec-ig terjed, klnbz sebessg portokat. Egy vllalati MDF kapcsol gigabites optikai vagy rzkbellel csatlakozik az IDF kapcsolkhoz. Az IDF kapcsolknak ltalban mindkt RJ-45 Fast Ethernet portra szksgk van, de kell legalbb egy gigabites Ethernet port is (rz vagy optikai) az MDF kapcsolhoz trtn felcsatlakozshoz. A nagyteljestmny kapcsolk nmelyike modulris portokkal rendelkezik, amelyek szksg esetn cserlhetk. Ilyen cserre lehet szksg pldul akkor, ha tbbmdus optikai kbelrl, eltr tpus portot ignyl egymdusra vltunk. A forgalomirnytkhoz hasonlan a kapcsolk portjait is a vezrl/port vagy a vezrl/bvthely/port konvenci alapjn jelljk. Ha pldul a vezrl/port konvencit hasznljuk, akkor a kapcsol els Fast Ethernet portjt az Fa0/1 (0. vezrl, 1. port) jelli. A msodikat az Fa0/2. A vezrl/bvthely/port konvencit hasznl kapcsol els portja az Fa0/0/1. A gigabites portokat a Gi0/1, Gi0/2, stb. jellik. A kapcsolk portsrsge szintn lnyeges szempont. Vllalati krnyezetben, ahol felhasznlk szzainak s ezreinek kell csatlakozni valamilyen kapcsolhoz, egy 48 portos, 1RU magassg kapcsol portsrsge nagyobb, mint egy 24 portos, 1RU magassg kapcsol.
32
Interfsszel / porttal kapcsolatos: show show show show interfaces ip interface brief port-security mac-address-table
sszekttetssel kapcsolatos: show cdp neighbors show sessions show ssh ping traceroute
A forgalomirnytknl alkalmazott svon belli s svon kvli konfigurlsi technikk a kapcsol belltsnl is ugyangy hasznlhatk.
33
A kapcsol alapbelltsainak rszt kpezi az azonosts cljbl megadott llomsnv, a biztonsgi clbl megadott jelszavak, valamint az IP-cmek interfszekhez trtn hozzrendelse az sszekttets biztostshoz. A svon belli hozzfrshez a kapcsolnak IP -cmmel kell rendelkeznie.
34
2. A vllalatok hlzati infrastruktrjnak megismerse Ellenrizzk, majd mentsk el a kapcsol konfigurcijt a copy running -config startup-config parancs hasznlatval! A kapcsol belltsainak trlshez hasznljuk az erase startup-config, majd a reload parancsot! Szksg lehet a VLAN informcik trlsre is, amely a delete flash:vlan.dat paranccsal vgezhet el. Konfigurcikezels: enable configure terminal copy running-config startup-config erase startup-config delete flash:vlan.dat reload
35
36
Azzal egytt, hogy a kapcsolk s a forgalomirnytk egyarnt rszt kpezik egy vllalati hlzatnak, a hlzat tervezse jelents mrtkben a kapcsolkon alapul. A kapcsolk portonknti ra alacsonyabb, mint a forgalomirnytk, s a keretek vezetk sebessg gyorstovbbtsra kpesek. A kapcsol egy nagyon jl alkalmazhat 2. rtegbeli eszkz. Legegyszerbb szerepben tbb lloms kzponti csatlakozpontjaknt a hub-ot helyettesti. A kapcsol sszetettebb szerepet is kaphat, ha egy vagy tbb msik kapcsolhoz csatlakozik: redundns kapcsolatokat s virtulis LAN (VLAN) -okat
37
3. Kapcsols vllalati hlzatokban hozhat ltre, kezelhet s tarthat karban. Egy kapcsol minden tpus hlzati forgalmat egyformn kezel, fggetlenl annak felhasznlsi mdjtl. Egy kapcsol a forgalmat a MAC-cmek alapjn tovbbtja. Minden kapcsol tartalmaz egy MAC -cm tblt, melyet tartalom szerint cmezhet memrinak (content addressable memory, CAM) nevezett gyors hozzfrs memriban trol. Minden egyes keret fogadsakor a memria tartalma frissl a forrs MAC-cme s a berkezsi port alapjn. Egy vllalatnl a nagymrtk rendelkezsre lls, a sebessg s a hlzat tbocsjt kpessge kritikus paramterek. Az tkzsi- s a szrsi tartomnyok mrete ersen befolysolja a hlzati forgalmat. ltalban is elmondhat, hogy a nagyobb tkzsi - s szrsi tartomnyok hatssal vannak az emltett ltfontossg paramterekre. Ha egy kapcsol szrsos keretet kap, akkor az ismeretlen clcm keret mintjra minden aktv interfszn kikldi. A szrsi tartomnyt azon eszkzk csoportja alkotja, amelyek mind megkapjk a szrsos keretet. Tbb kapcsol sszekapcsolsval a szrsi tartomnyok mrete nvekszik. Az tkzsi tartomnyok hasonl problmt okoznak. Minl tbb eszkz tartozik egy tkzsi tartomnyhoz, annl tbb tkzs trtnik. A hubok nagymret tkzsi tartomnyokat hoznak ltre. A kapcsolk ezzel szemben az gynevezett mikroszegmentcival mindssze egyetlen kapcsolportra cskkentik az tkzsi tartomnyok mrett. Ha a kapcsol egy portjra csak egy lloms csatlakozik, akkor dediklt kapcsolat jn ltre. Ha kt csatlakoz lloms kommunikl egymssal, akkor a kapcsoltbla alapjn a kapcsol egy virtulis kapcsolatot, ms nven mikroszegmenst hoz ltre a portok kztt. A kapcsol a kerettvitel vgig fenntartja a virtulis ramkrt (VC). Tbb virtulis ramkr is lehet aktv egyszerre. A mikroszegmentci az tkzsek szmnak cskkentsvel s tbb egyidej kapcsolat fenntartsval javtja a svszlessg kihasznlst. A kapcsolk szimmetrikus s aszimmetrikus kapcsolst is tmogathatnak. Azok a kapcsolk, melyeknek minden portjuk azonos sebessg, szimmetrikus kapcsolst vgeznek. Sok kapcsol rendelkezik kt vagy tbb nagysebessg porttal. Ezek a nagysebessg, ms nven fka pcsolati (uplink) portok olyan nagy svszlessg igny kapcsolatokat hoznak ltre, mint az albbiak: Csatlakozs ms kapcsolkhoz sszekttets kiszolglkhoz s kiszolglfarmokho Csatlakozs ms hlzatokhoz
Klnbz sebessg portok kztti adattvitel esetn aszimmetrikus kapcsolsrl beszlnk. Szksg esetn a kapcsol eltrolja az informcit a memriban, s ezzel egy tmeneti trolt biztost a klnbz sebessg portok kztt. Aszimmetrikus kapcsolk gyakran elfordulnak vllalati krnyezetben.
38
39
3. Kapcsols vllalati hlzatokban A 3. rteg, vagy ms nven tbbrteg kapcsols (multilayer switching) egyetlen eszkzben egyesti a hardver-alap kapcsolst s a hardver-alap forgalomirnytst. Egy tbbrteg kapcsol egy 2. rtegbeli kapcsol s egy 3. rtegbeli forgalomirnyt tulajdonsgait tvzi. A 3. rteg kapcsolst kln erre a clra kifejlesztett, alkalmazs -specifikus integrlt ramkrk (application-specific integrated circuit, ASIC) vgzik. A keret- s csomagtovbbts ugyanazon ramkrk segtsgvel trtnik. A tbbrteg kapcsolk gyakran elmentik vagy gyorsttrba helyezik egy adatfolyam els csomagjnak irnytsi informciit. Ez lehetv teszi, hogy az adatfolyam tbbi csomagjnl mr ne legyen szksg a keressi folyamatra, hiszen a szksges informci a memriban mr megtallhat. Ez a gyorsttras megolds is hozzjrul az ilyen eszkzk nagy teljestkpessghez.
40
3. Kapcsols vllalati hlzatokban teljes keret megrkezse eltt mr elkezdi a keret tovbbtst. w Mivel ebben az esetben a kapcsol nem szmtja ki s nem ellenrzi a CRC rtket, srlt keretek is tovbbtsra kerlhetnek. A gyorstovbbts a kapcsols leggyorsabb mdja. A kapcsol amint elolvassa a cl MAC-cmet, azonnal elkezdi a keret tovbbtst a megfelel clportra. Ennek a mdszernek a legkisebb a ksleltetse, de tkzstredkeket s srlt kereteket egyarnt tovbbt. Egy stabil, kis hibaarny hlzatban ez a legmegfelelbb kapcsolsi mdszer. A tredkmentes kapcsolsnl a kapcsol a tovbbts eltt megvrja a keret els 64 bjtjt, majd tkapcsolja a keretet a clportra. A legrvidebb rvnyes Ethernet keret ugyanis 64 bjt hossz. Kisebb keretek ltalban tkzsek kvetkeztben jnnek ltre s ezeket tkzstredknek (runt) hvjuk. A fentiek miatt az els 64 bjt ellenrzsvel elrhet, hogy a kapcsol tkzstredkeket ne tovbbtson. A trol-s-tovbbt mdszer jr a legnagyobb s a gyorstovbbts a legkisebb ksleltetssel. A tredkmentes kapcsols ksleltetse az elz kt rtk kztt helyezkedik el. A tredkmentes kapcsols a legmegfelelbb vlaszts olyan krnyezetben, ahol sok az tkzs. A jl megtervezett hlzatoknl azonban az tkzs nem jelent problmt, gy ilyen hlzatokban a gyorstovbbts a legjobb mdszer. Manapsg a legtbb Cisco LAN kapcsol a trol -s-tovbbt kapcsolsi mdszert alkalmazza, mivel az jabb technolginak s a gyorsabb feldolgozsi idnek ksznheten a kapcsolk hibzs nlkl kpesek a kzvetlen kapcsolssal kzel megegyez sebessggel az adatokat eltrolni s feldolgozni. Ezen fell a professzionlis, pldul a tbbrteg kapcsolk esetben mindenkppen a trol -stovbbt mdszer kell alkalmazni. Lteznek olyan jabb 2. s 3. rtegbeli kapcsolk, melyek kpesek a vltoz hlzati krlmnyekhez alkalmazkodni. Ezek a kapcsolk kezdetben a gyorstovbbtst alkalmazzk az elrhet legkisebb ksleltets rdekben. Ugyan a kapcsol nem ellenrzi a keretet a tovbbtsa eltt, de felismeri a hibkat, s a memriban egy szmll segtsgvel nyilvntartja azok szmt. A szmll rtkt a kapcsol idrl-idre sszeveti egy elre definilt kszbrtkkel. Ha a hibk szma meghaladja a kszbrtket, akkor ez a kapcsol szmra azt jelenti, hogy a tovbbtott hibs keretek mennyisge mr nem elfogadhat mrtk. Ebben az esetben a kapcsol tvlt trol-s-tovbbt kapcsolsi mdra. Ha a hibk szma visszaesik a kszbrtk al, akkor a kapcsol visszavlt gyorstovbbtsra. Ezt a mdszert adaptv kzvetlen kapcsolsnak hvjuk.
41
42
43
3. Kapcsols vllalati hlzatokban A redundancia tulajdonkppen azt jelenti, hogy pldul egy adott cl fel kt tvonal is ltezik. Nem hlzati krnyezetben a redundancira pldaknt az egy vrosba vezet kt t, az egy folyt thidal kt hd, vagy az egy pletbl kivezet kt ajt esett emlthetjk. Ha az egyik t valamirt hasznlhatatlan, a msik mg elrhet. A kapcsolk esetben redundancit a kztk kialakitott tbbszrs sszekttetssel rhetnk el. A kapcsolt hlzatokban megvalstott redundancia cskkenti a torldsokat, bizostja a nagymrtk rendelkezsre llst, valamint a terhelselosztst. A kapcsolk kztt ltrehozott sszektsek ugyanakkor problmk forrsai is lehetnek. Az Ethernet forgalom szrsos jellege miatt pldul kapcsolsi hurkok jhetnek ltre. A szrsos keretek krbe krbe jrnak minden irnyban, szrsi viharokat eredmnyezve. A szrsi viharok az elrhet svszlessget lefoglaljk, gy elfordulhat, hogy jabb hlzati kapcsolatok ltrejttt akadlyozzk meg, valamint rgiek megszaktst eredmnyezik. Kapcsolt hlzatokban a szrsi viharok mellett az egyedi cmzs keretek is okozhatnak problmt. Ilyen problmatpus pldul a tbbszrs kerettovbbts vagy a MAC -adatbzis instabilitsa. Tbbszrs kerettovbbts Ha egy lloms egyedi cmzs keretet kld egy olyan llomsnak, melynek MAC -cme egyetlenegy csatlakoz kapcsol MAC-tbljban sem tallhat meg, akkor mindegyik kapcsol az sszes portjn kikldi a keretet. Nem hurokmentes hlzatban a keret visszarkezhet a kezdemnyez kapcsolhoz. A folyamat gy jra meg jra megismtldik, a keret tbbszrs pldnyt ltrehozva a hlzaton. Esetenknt a cllloms tbb msolatot is kap az eredeti keretbl. Ez hrom problmt is okozhat: svszlessg felesleges lefoglalsa, CPU idvesztesg, valamint az adatforgalom esetleges duplzsa. MAC-adatbzis instabilits Redundns hlzatokban elfordulhat, hogy a kapcsol egy lloms elhelyezkedsrl rossz informcit tanul meg. Ha ltezik hurok, akkor a kapcsol egy lloms MAC -cmt akr kt kln porttal is sszefggsbe hozhatja. Ez nem egyrtelm helyzetet s az optimlistl elmarad kerettovbbtst okozhat.
44
Az STP a hlzat sszes kapcsoljt egy faszerkezet, kiterjesztett csillag topolgij hlzattal kapcsolja ssze. Ezek a kapcsolk folyamatosan ellenrzik a hlzatot annak rdekben, hogy ne alakulhassanak ki hurkok s a portok megfelelen mkdjenek. A kapcsolsi hurkok kialakulsnak megelzsre az STP az albbiakat teszi: Bizonyos interfszeket kszenlti vagy lezrt llapotba helyez A tbbi interfszt tovbbt llapotban hagyja Ha egy tovbbt tvonal elrhetetlenn vlik, akkor a hlzat jrakonfigurlsval a megfelel kszenlti tvonalat aktivlja.
Az STP terminolgit kvetve a kapcsolt gyakran hdnak nevezik. Pldul a gykrponti h d az STP topolgia elsdleges kapcsolja, vagyis kzponti pontja. A gykrponti hd gynevezett hd -protokoll adategysgek (Bridge Protocol Data Unit, BPDU) segtsgvel kommunikl a tbbi kapcsolval. A gykrponti kapcsol kt msodpercenknt csoportcmzssel BPDU keretet kldik ki az sszes tbbi kapcsolnak. A BPDU tbbek kztt a kvetkez informcikat tartalmazza: A BPDU-t kld kapcsol azonostja A forrsport azonostja A gykrponti hdhoz vezet tvonal sszestett kltsge Az elvlsi idztk rtke A hello idztk rtke
45
Port azonost: Minden port esetn egyedi rtket tartalmaz A Port 1/1 esetn a 0x8001 rtket tartalmazza, mg a Port 1/2 esetn a 0x8002 rtket, stb.
A kapcsol elindtsa utn minden port vgighalad a kvetkez ngy llapot sorozatn: lezrt, figyel, tanul s tovbbt. Az tdik, letiltott llapot jelzi, hogy a rendszergazda a portot letiltotta. Miutn a portok vgigmennek ezeken az llapotokon, a kapcsol port LED-jei villog narancssznbl folyamatos zldre vltanak. Akr 50 msodpercbe is telhet, mg a portok az sszes llapoton vgighaladva tovbbt mdba kerlnek. Bekapcsolskor a portok lezrt llapotba kerlnek, azonnal megakadlyozva a hurkok kialakulst. Ezutn figyel llapotba lpnek, ahol mr fogadjk a szomszd kapcsolk BPDU kereteit. A kapott BPDU informci feldolgozsa utn a kapcsol eldnti, hogy mely portok tovbbthatnak adatkereteket anlkl, hogy hurok alakulna ki. Ha egy port adatkereteket tovbbthat, akkor a port elszr tanul mdba, majd tovbbt mdba kerl. A hozzfrsi portok nem okozhatnak hurkokat a hlzatban, ezrt ha lloms kapcsoldik rjuk rgtn tovbbt mdba kerlhetnek. A trnkportok esetn viszont fennll a veszlye hurok kialakulsnak, gy azok vagy tovbbt-, vagy lezrt llapotba kerlnek.
46
47
A gykrponti hd a legkisebb hdazonostj kapcsol. Mivel ltalban a kapcsolk az alaprtelmezett rtket hasznljk prioritsnak, gy alaprtelmezetten a legkisebb MAC -cm kapcsol lesz a gykrponti hd. Bekapcsolskor mindegyik kapcsol azt felttelezi, hogy a gykrponti hd, ezrt elkezdi a sajt azonostjval elltott BPDU-k kikldst. Ha S2 kisebb rtk azonostt hirdet mint S1, akkor S1 nem folytatja sajt azonostjnak hirdetst s elfogadja, hogy S2 a gykrponti hd. Az STP hrom klnbz port tpust definil: gykrponti port, kijellt port s lezrt port. Gykrponti port Egy kapcsol azon portja amelybl a legkisebb kltsg tvonal vezet a gykrponti kapcsolhoz. A kapcsolk a gykrponti kapcsolhoz vezet tvonal sszekttetseinek ered kltsgrtke alapjn hatrozzk meg a legkisebb kltsg tvonalat. Kijellt port Egy hlzatszegmens azon portja amelyen t az adott szegmens s gykrponti hd kztti adatforgalom halad, de nem tartozik a legkisebb kltsg tvonalhoz. Lezrt port Olyan port, mely nem tovbbt adatforgalmat.
48
Az STP konfigurlsa eltt a hlzati rendszergazda elemzi s teszteli a hlzatot, hogy a legmegfelelbb kapcsol legyen a fesztfa gykrpontja. Nem biztos ugyanis, hogy az a legoptimlisabb, ha a legkisebb MAC-cm kapcsol lesz a gykrponti hd. Egy kzponti elhelyezkeds kapcsol felel meg leginkbb a gykrponti hd funkcijnak. A hlzat szln elhelyezked gykrponti hd ugyanis azt okozhatja, hogy az adatok hosszabb tvonalon jutnak el a clllomsig, mintha a gykrponti hd kzponti elhelyezkeds lenne. A gykrponti hd funkcinak legmegfelelbb kapcsol azonostjt a tbbihez kpest kisebb priorits rtkkel kell konfigurlni. A bridge priority paranccsal llthat be a priorits rtke. Ez 0-tl 65535-ig terjedhet, s 4096 egsz szm tbbszrsnek kell lennie. Az alaprtelmezett rtk 32768. Az alaprtelmezett rtk 32768. A priorits belltsa: S3(config)#spanning-tree vlan 1 priority 4096 A priorits alaprtelmezett rtknek visszalltsa: S3(config)#no spanning-tree vlan 1 priority
49
Az STP nem azonnal reagl a vltozsokra. Ha egy sszekttets meghibsodik, akkor az STP szreveszi a hibt s kiszmolja a legjobb tvonalakat a hlzaton. Ez a szmts akr 30 -50 msodpercet is ignybe vehet. Ezen id alatt nincs adatforgalom az jraszmtsban rintett portokon. Bizonyos felhasznli alkalmazsok esetben ez vrakozsi idtllpst eredmnyezhet, ami a termelkenysg s ezzel egytt a bevtel cskkenst eredmnyezheti. Gyakori STP jraszmolsok negatv hatst gyakorolnak a hlzat mkdsre. Ha nagy forgalmat bonyolt kiszolgl csatlakozik egy porthoz, akkor ezen port jraszmolsa esetn a kiszolgl akr 50 msodpercig is elrhetetlenn vlhat. Elkpzelni is nehz, hogy mennyi tranzakci veszik el a kiesett idintervallum alatt. Stabil hlzatban az STP jraszmolsok nem tl gyakoriak. Instabil hlzatban fontos a kapcsolk stabilitsnak s konfigurci vltozsainak ellenrzse. Az STP jraszmolsok egyik leggyakoribb oka a kapcsol hibs tpelltsa. A hibs tpellts az eszkz vratlan jraindulst eredmnyezheti. Az STP tbbirny tovbbfejlesztse is hozzjrul ahhoz, hogy az jraszmols miatt fellp kiess idtartama cskkenjen. PortFast Az STP PortFast egy hozzfrsi port szmra lehetv teszi, hogy a figyel s tanul llapotok kihagysval rgtn tovbbt mdba kerljn. A csupn egyetlen lloms vagy kiszolgl kapcsoldst biztost hozzfrsi portokon bellitott PortFast mddal elrhet, hogy ezen eszkzk mg az STP konverglsa eltt csatlakozzanak a hlzathoz. UplinkFast Egy sszekttets vagy kapcsol meghibsodsa, illetve az STP jrakonfigurlsa esetn az STP UplinkFast felgyorstja az j gykrport kivlasztst. A gykrport az STP normlis mkdstl eltren, a figyel- s tanul llapotok kihagysval rgtn tovbbt mdba kerl.
50
3. Kapcsols vllalati hlzatokban BackboneFast A BackboneFast gyors konvergencit biztost a fesztfa topolgia megvltozsakor. Gyorsan visszalltja a gerinchlzati sszekttetseket. Az elosztsi s a kzponti rtegben hasznljk, ahol tbb kapcsol csatlakozik egymshoz. Mivel a PortFast, UplinkFast s a BackboneFast a Cisco sajt fejlesztsei, gy ms gyrtmny kapcsolk esetn nem alkalmazhatak. Ezen fell mindhrom funkci kln konfigurlst ignyel. Szmos hasznos parancs ltezik a fesztfa protokoll helyes mkdsnek ellenrzsre. Show spanning-tree A gykrponti hd azonostjt, a hdazonostt s a portok llapott jelenti meg Show spanning-tree summary A portok llapotrl ad sszefoglal informcit Show spanning-tree root A gykrponti hd llapott s konfigurcijt jelenti meg Show spannig-tree detail Rszletes informcit nyjt a portokrl Show spanning-tree interface - Az STP interfszek llapott s konfigurcijt jelenti meg Show spanning-tree blockedports - Megmutatja a lezrt portokat
51
A hlzattervezs ltalnosan alkalmazott gyakorlata szerint az zenetszrsokat a hlzat lehet legszkebb terletn bell kell tartani. zleti megfontolsok miatt bizonyos llomsoknak minden ms llomst el kell rnik, mg ms llomsoknl ez szksgtelen. Pldul a knyvelsi kiszolglt valsznleg csak a knyvelsi osztly tagjainak kell elrnik. Kapcsolt hlzatban az zenetszrsok korltozsa s az azonos felhasznlsi terlethez tartoz llomsok csoportostsa rdekben virtulis helyi hlzatok (VLAN - virtual local area network) hozhatk ltre. A VLAN egy logikai zenetszrsi tartomny, mely tbb fizikai LAN szegmensre is kiterjedhet. Lehetsget nyjt a rendszergazdknak az llomsok logikai csoportostsra a fizikai elhelyezkeds figyelembevtele nlkl, pldul projektcsoportok vagy alkalmazsi terlet alapjn.
A kvetkez plda rvilgthat a fizikai s a virtulis, ms nven logikai hlzatok kztti klnbsgre: Egy iskola tanulit kt csoportra osztjuk. Az egyik tagjai piros, mg a msik csoport tagjai kk azonost krtyt kapnak. A legfontosabb kvetend elv, hogy a piros krtysok csak piros krtysokkal, a kkek pedig csak kkekkel beszlhetnek. Ily mdon a tanulk kt logikailag elklnl, virtulis csoporthoz vagy VLAN-hoz tartoznak. E logikai csoportostst hasznlva, az zenetszrs csak a piros krtysok krben terjed el, mg ha a kt csoport fizikailag egy iskolhoz tartozik is.
52
3. Kapcsols vllalati hlzatokban A plda rmutat a virtulis helyi hlzatok egy tovbbi jellemzjre is, nevezetesen, hogy az zenetszrsok a VLAN-ok kztt nem kerlnek tovbbtsra, hanem a VLAN-on bell maradnak. Minden VLAN nll helyi hlzatknt mkdik. Egy vagy tbb kapcsoln vel t, lehetsget teremtve az llomsoknak, hogy gy mkdjenek, mintha azonos hlzati szegmenshez tartoznnak. A VLAN kt legfontosabb feladata: Az zenetszrsok VLAN-on bell tartsa. Az eszkzk csoportostsa. Az egyik VLAN-hoz tartoz llomsok lthatatlanok maradnak egy msik VLAN llomsai szmra.
Virtulis helyi hlzatok kztti adattovbbtshoz harmadik rtegbeli eszkz szksges. Kapcsolt hlzatban az eszkzk elhelyezkedsk, MAC -cmk, IP-cmk vagy leggyakrabban hasznlt alkalmazsaik alapjn lehetnek egy adott VLAN tagjai. A hozzrendelst a rendszergazda elvgezheti statikusan vagy dinamikusan. Statikus VLAN tagsg estn a rendszergazda manulisan rendel minden kapcsolportot egy meghatrozott VLAN-hoz. Pldul az Fa0/3-as portot hozzrendelheti a 20-as VLAN-hoz, gy brmelyik eszkzt is csatlakoztatunk ide, az automatikusan a 20-as VLAN tagjv vlik. A VLAN tagsg belltsnak ez a mdszere a legknnyebb s a legelterjedtebb, annak ellenre, hogy a hozzads, az eltvolts vagy a vltoztats ekkor jr a legtbb adminisztrcival. Pldul, ha egy llomst egy VLAN-bl egy msikba szeretnnk thelyezni, akkor vagy a portot kell manulisan jrakonfigurlni, vagy a munkalloms kbelt kell egy msik porthoz csatlakoztatni. A VLAN-tagsg a felhasznl ell teljes mrtkben rejtve marad. A kapcsol egyik portjhoz csatlakoz eszkzn dolgoz felhasznlnak nincs tudomsa arrl, melyik VLAN -hoz tartozik.
53
3. Kapcsols vllalati hlzatokban Dinamikus VLAN-tagsg belltsnl egy VLAN-tagsgot kezel kiszolgl (VMPS - VLAN management policy server) alkalmazsa szksges, amely nyilvntartja a MAC -cmek s VLAN-ok kztti megfeleltetseket. Amikor egy eszkz egy kapcsolporthoz csatlakozik, a VMPS megkeresi adatbzisban az adott MAC-cmet, s a hasznlt portot tmenetileg a megfelel VLAN-hoz rendeli. A dinamikus VLAN-tagsg tbb szervezst s belltst ignyel, azonban jval rugalmasabb rendszert hoz ltre a tagsgok kezelsre, mint a statikus mdszer. A hozzads, a vltoztats s az eltvolts automatikusan megy vgbe, s nincs szksg rendszergazdai beavatkozsra. Megjegyzs: Nem minden Catalyst kapcsol tmogatja a VMPS alkalmazst.
VLAN-ok ltrehozsra globlis konfigurcis mdban az albbi parancsok hasznlhatk: Switch(config)#vlan vlan_szm Switch(config-vlan)#name vlan_nv Switch(config-vlan)#exit Az egyes portok a mr ltez VLAN-okhoz rendelhetk. Kezdetben alaprtelmezs szerint minden port az 1-es VLAN-hoz tartozik. A portok hozzrendelse trtnhet egyesvel vagy csoportosan. Tbb port egyidej VLAN-hoz rendelsre az albbi parancsok hasznlhatk: Switch(config)#interface fa0/port_szm Switch(config-if)#switchport access vlan vlan_szm 54
3. Kapcsols vllalati hlzatokban Switch(config-if)#exit Tbb port egyidej VLAN-hoz rendelsre az albbi parancsok hasznlhatk: Switch(config)#interface tartomny_vge range fa0/tartomny_kezdete -
Switch(config-if)#switchport access vlan vlan_szm Switch(config-if)#exit A VLAN-ok ellenrzse, karbantartsa s hibaelhrtsa rdekben elengedhetetlen a Cisco IOS rendelkezsre ll show parancsainak megrtse. VLAN-ok ellenrzsre s karbantartsra az albbi parancsok hasznlhatk: show vlan Rszletes listt jelent meg a kapcsol jelenleg aktv VLAN-jairl, feltntetve azok nevt, szmt s a hozzrendelt portokat. STP statisztikt jelent meg, ha a kapcsol VLAN-alap STP-re van belltva.
show vlan brief sszestett listt jelent meg kizrlag az aktv VLAN -okrl s az azokhoz rendelt portokrl
show vlan id azonost_szm Az azonostszmval (ID) megadott VLAN-ra vonatkozan jelent meg informcikat.
show vlan name vlan_szm A nevvel megadott VLAN-ra vonatkozan jelent meg informcikat.
Egy szervezetnl gyakran elfordul, hogy egy osztly vagy egy projektcsapat sszettele megvltozik: j munkatrsak kerlhetnek a csapathoz, mg msok munkahelye megsznhet vagy j helyre kerlhet. Az ilyen gyakori vltozsok szksgess teszik a VLAN -ok karbantartst, belertve egy vagy tbb VLAN trlst vagy portok hozzrendelst egy msik virtulis hlzathoz. A VLAN-ok trlse s a VLAN-hoz taroz port-hozzrendelsek megszntetse kt, egymstl jl elklnthet rendeltets s eredmny mvelet. Amikor egy port, egy meghatrozott VLAN-hoz tartoz hozzrendelst megszntetjk, visszakerl az 1-es VLAN-ba. Amikor egy VLAN-t trlnk, minden hozztartoz port inaktvv vlik, mivel egyetlen VLAN -hoz sem tartozik. VLAN trlse: Switch(config)#no vlan vlan_szm Port kivtele egy meghatrozott VLAN-bl: Switch(config)#interface fa0/port_szm Switch(config-if)#no switchport access vlan vlan_szm
55
Az FCS mez a keret hibaellenrzst tesz lehetv, biztostva az sszes bit srtetlen kzbestst. A cmkzsi mez megnveli az Ethernet keret minimlis hosszt 64 bjtrl 68 -ra, s a maximlis hosszt 1518-rl 1522 bjtra. A bitszm megvltozsnak kvetkezmnyeknt a kapcsol jraszmtja a keretellenrz sszeget. Ha egy 802.1Q protokollnak megfelel port egy msik ugyanilyen porthoz csatlakozik, a VLAN cmkzsi informci a kt port kztt tovbbtdik. Ha a kapcsold port nem felel meg a 802.1Q protokollnak, a VLAN cmkt a kapcsol eltvoltja, mieltt a keret az tviteli kzegre kerlne. Ha 802.1Q protokollt nem tmogat eszkz vagy port 802.1Q keretet kap, a cmkzsi adatot figyelmen kvl hagyja, s a keretet egy szokvnyos Ethernet keretknt tovbbtja a msodik
56
3. Kapcsols vllalati hlzatokban rtegben. Ebbl kvetkezen tovbbi msodik rtegbeli kzbls eszkzk (pldul kapcsolk s hidak) helyezhetk el a trnk vonalon. A 802.1Q keretcmkzs kezelshez ezeknek az eszkzknek 1522 bjtos vagy nagyobb keretek kezelsre is kpesnek kell lennik.
A VLAN-ok sszes elnynek kihasznlsa rdekben a VLAN-ok tbb kapcsolra is kiterjeszthetk. A kapcsol portjai kt klnbz feladat elltsra konfigurlhatk: vagy hozzfrsi portok, vagy trnkportok lesznek. Hozzfrsi port A hozzfrsi port kizrlag egy VLAN-hoz tartozik. ltalban egyetlen eszkz, asztali gp vagy kiszolgl kapcsoldik ehhez a porthoz. Ha hubon keresztl tbb lloms is csatlakozik hozz, mindegyik ugyanannak a VLAN-nak a tagja lesz.
57
3. Kapcsols vllalati hlzatokban Trnkport A trnkport kt kapcsolt vagy ms hlzati eszkzt sszekt pont-pont kapcsolat, mely tbb VLAN forgalmt tovbbtja egyetlen kapcsolaton keresztl, lehetv tve a VLAN -ok szmra a teljes hlzat elrst. Trnkportokra van szksg, amennyiben klnbz VLAN-okhoz tartoz eszkzk kztti forgalmat kell tovbbtani olyan krnyezetben, ahol egy kapcsol egy msik kapcsolhoz, kapcsol forgalomirnythoz vagy kapcsol egy 802.1Q trnklst tmogat hlzati krtyval rendelekez llomshoz csatlakozik.
Trnkport nlkl minden egyes VLAN kln sszekttetst ignyelne a kapcsolk kztt. Pldul egy vllalatnl 100 db VLAN 100 kln sszekttetst ignyelne. Az ilyen elrendezs nehzkesen bvithet s kltsges. A trnk-kapcsolatok megoldst jelentenek a problmra azzal, hogy tbb VLAN forgalmt kpesek szlltani egyetlen kapcsolaton keresztl. Tbb VLAN forgalmnak egyidej szlltsa egyetlen sszekttetsen a VLAN -ok azonostst teszi szksgess. A trnkportok tmogatjk a keretcmkzst, melynek sorn VLAN informcik kerlnek a keretbe. A IEEE 802.1Q a keretcmkzsre vonatkoz szabvnyos s elfogadott eljrs. A Cisco kifejlesztett egy sajt keretcmkzsi protokollt is, kapcsolk kztti sszekttets (ISL - Inter-Switch Link) nven. A nagyteljestmny kapcsolk, mint pldul a Catalyst 6500-as sorozat eszkzei, mindkt keretcmkzsi protokollt tmogatjk, azonban a legtbb LAN kapcsol, mint pldul a 2960 -as, csak a 802.1Q protokollt tmogatja. Alaprtelmezs szerint a kapcsolk portjai hozzfrsi portok. Trnkport konfigurlsra az albbi parancsok hasznlhatk: Switch(config)#interface fa0/port_szm Switch(config-if)#switchport mode trunk Switch(config-if)#switchport negotiate} trunk encapsulation {dot1q | isl |
58
3. Kapcsols vllalati hlzatokban A 802.1Q s az ISL protokollokat egyarnt tmogat kapcsolk esetn az utols parancssor is szksges. A 2960-as kapcsol esetn ez felesleges, hiszen ez csak a 802.1Q protokollt tmogatja. A negotiate (egyeztet) paramter a legtbb kapcsoln alaprtelmezett. Ez a bellts a szomszdos kapcsolk kztti begyazs tpusnak automatikus szlelst rja el.
Az jabb kapcsolk kpesek az sszekttetsek msik vgpontjnak belltsait felismerni, gy a csatlakoz eszkz szerint konfigurljk a kapcsolatot trnk, illetve hozzfrsi portnak. Switch(config-if)#switchport mode dynamic {desirable | auto} desirable (elvrt) mdban a port trnkport lesz, ha az sszekttets tls vge trunk, desirable, vagy auto mdban van. auto mdban a port trnkport lesz, ha az sszekttets tls vge trunk vagy desirable mdban van. Ha egy trnkportot ismt hozzfrsi portra szeretnnk konfigurlni, az albbi parancsok hasznlhatk: Switch(config)#interface fa0/port_szm Switch(config-if)#no switchport mode trunk vagy Switch(config-if)#switchport mode access
59
60
3. Kapcsols vllalati hlzatokban A VLAN-ok kztti forgalomirnyts megvalstsnak egyik mdja, amikor minden VLAN a harma dik rtegbeli eszkz egy-egy kln interfszhez kapcsoldik.
A klnbz VLAN-ok kztti kapcsolat kialaktsnak msik mdja alinterfszek alkalmazsval trtnik. Az alinterfszek egy fizikai interfsz logikai felosztsbl jnnek ltre. Ebben az eset ben minden VLAN-hoz egy alinterfszt kell konfigurlni. Az alinterfszek alkalmazsval megvalstott VLAN-ok kztti (inter-VLAN) kommunikcihoz a kapcsoln s a forgalomirnytn egyarnt el kell vgezni a megfelel belltsokat. Kapcsol Konfigurljuk a kapcsol interfszt 802.1Q trnkportra!
Forgalomirnyt Vlasszunk a forgalomirnytn egy minimum 100 Mbit/s sebessg Fast Ethernet interfszt! Konfigurljunk alinterfszeket, s lltsuk be rajtuk a 802.1Q begyazst! Konfigurljunk minden VLAN-hoz egy alinterfszt!
Az alinterfszek alkalmazsa lehetv teszi, hogy minden VLAN -nak sajt logikai tvonala s alaprtelmezett tjrja legyen a forgalomirnytn.
61
3. Kapcsols vllalati hlzatokban Egy VLAN-bl trtn adatklds esetn az oda tartoz lloms az alaprtelmezett tjr belltott rtknek megfelelen a csomagokat a forgalomirnytnak tovbbtja. A VLAN -hoz rendelt alinterfsz egyttal alaprtelmezett tjrknt fog mkdni az adott VLAN llomsai szmra. A forgalomirnyt meghatrozza a cl IP-cmet, majd kikeresi a hozztartoz bejegyzst az irnyttblban. Ha a cl VLAN ugyanahhoz a kapcsolhoz csatlakozik, mint a forrs VLAN, akkor a forgalomirnyt visszairnytja a csomagot a kapcsol fel a cl VLAN ID-nek megfelel alinterfszt hasznlva. Ezt a konfigurci tpust gyakran router-on-a-stick nven emlegetik. Ha a forgalomirnyt kimen interfsze 802.1Q kompatibilis, a keret megtartja a 4 -bjtos VLAN cmkt. Ellenkez esetben a forgalomirnyt eltvoltja a cmkt a keretbl, s visszalltja az eredeti Ethernet formt. VLAN-ok kztti forgalomirnyts konfigurlshoz az albbi lpsek szksgesek: 1. Trnkport konfigurlsa a kapcsoln. Router(config)#interface fa2/0 Switch(config-if)#switchport mode trunk 2. IP-cm s alhlzati maszk nlkli interfsz konfigurlsa a forgalomirnytn. Router(config)#interface fa1/0 Router(config-if)#no ip address Router(config-if)#no shutdown 3. Minden VLAN-hoz alinterfsz konfigurlsa a forgalomirnytn. Az alinterfszeken 802.1Q begyazs szksges. Router(config)#interface fa0.10/0 Router(config-subif)#encapsulation dot1q 10 Router(config-subif)#ip address 192.168.10.1 255.255.255.0 4. A VLAN-ok kztti forgalomirnyts belltsainak s mkdsnek ellenrzshez az albbi parancsok hasznlhatk: Switch#show trunk Router#show ip interfaces Router#show ip interfaces brief Router#show ip route
62
63
Minden VTP kapcsol a trnk portjain kldi VTP hirdetmnyeit, melyek tartalmazzk a felgyeleti tartomny, a konfigurci verziszm adatokat s az sszes VLAN paramtert. A kapcsolk ezeket a hirdetmnykereteket egy csoport cmre kldik, amit gy minden szomszdos eszkz meg kap. Minden VTP kapcsol az NVRAM-ban trolja VLAN adatbzist, ami tartalmaz egy verziszmot. Ha a kapcsol az adatbzisban troltnl nagyobb verziszm hirdetmnyt kap, akkor frissti VLAN adatbzist az j informcikkal. A VTP konfigurci verziszma 0-rl indul, s minden vltozskor eggyel n. Maximlis rtke 2 147 483 648, amit elrve visszall 0-ra. A kapcsol jraindtsa szintn 0-ra lltja a verziszmot. A verziszm akkor okozhat gondot, ha a hlzatba egy eddiginl nagyobb verziszmmal rendelkez kapcsol kerl. Mivel egy kapcsol alapesetben kiszolgl, gy az j, de nem helyes informcik fellrjk a korbbi VLAN adatokat minden kapcsoln. Ennek a helyzetnek az elkerlsre bellthat a kapcsol azonostsra szolgl VTP jelsz. Tovbbi megolds jelent, ha mieltt egy kiszolgl md kapcsolt mr tartalmaz hlzathoz j kapcsolt adunk, megbizonyosodunk rla, hogy a kapcsol gyfl vagy transzparens mdban van-e.
64
3. Kapcsols vllalati hlzatokban Hrom VTP zenettpus ltezik: sszegz hirdetmny, rszleges hirdetmny s hirdetmnykrs. sszegz hirdetmny A Catalyst kapcsolk 5 msodpercenknt vagy a VLAN adatbzis vltozsakor kldik sszegz hirdetmnyeiket. Ezek tartalmazzk az aktulis VTP tartomny nevt s a konfigurci verziszmt. VLAN ltrehozsakor, trlsekor vagy vltoztatsakor a kiszolgl eggyel megnveli a verziszmot, s elkld egy sszegz hirdetmnyt. Amikor egy kapcsol sszegz hirdetmnyt kap, sszehasonltja a benne szerepl VTP tartomny nevt a sajtjval. Egyezs esetn ellenrzi a verziszmot is. Kisebb vagy megegyez rtk esetn eldobja a keretet, ellenkez esetben viszont egy hirdetmnykrst kld. Rszleges hirdetmny Az sszegz hirdetmnyt VLAN informcikat tartalmaz rszleges hirdetmny kveti. A rszleges hirdetmnyekben tallhatk az sszegz hirdetmnyhez kapcsold j VLAN informcik. Ha tbb VLAN ltezik, akkor tbb rszleges hirdetmnyre van szksg. Hirdetmnykrs A Catalyst kapcsolk a VLAN informcikat hirdetmnykrsekkel krdezik le. Erre akkor kerl sor, ha a kapcsolt trltk, a VTP tartomny neve megvltozott vagy a kapcsol a sajtjnl nagyobb verziszm VTP sszegz hirdetmnyt kapott.
65
3. Kapcsols vllalati hlzatokban fizikai sszekttetst, illetve ugyanazt a kapcsolportot hasznljk. A hangforgalom elvlasztshoz kln hangtovbbtsra szolgl VLAN-t rdemes ltrehozni a kapcsoln. Vezetk nlkli forgalom esetn szintn elnykkel jr a VLAN -ok alkalmazsa. A vezetk nlkli forgalom termszetnl fogva nem biztonsgos s a hekkerek kedvelt clpontja. VLAN-ok kialaktsval nhny lehetsges problma elkerlhet. A vezetk nlkli VLAN vdelme miatt alkalmazott ktttsgek nincsenek hatssal a szervezet tbbi VLAN-jra. A legtbb vezetk nlkli rendszernl a felhasznl biztonsgi okokbl a tzfalon kvl csatlakozik a VLAN-hoz, s a vezetk nlkli hlzatbl a bels hlzat elrshez azonostania kell magt. Szmos szervezet biztost vendg hozzfrst a vezetk nlkli hlzathoz. A vendg hozzfrs ideiglenes jelleggel biztost brki szmra olyan vezetk nlkli szolgltatsokat, mint pldul web hozzfrs, elektronikus levelezs, ftp s SSH. A vendg felhasznlk tartozhatnak a vezetk nlkli VLAN-ba vagy akr tkerlhetnek egy elklntett vendg VLAN-ba is.
A VLAN-ok nem nyjtanak minden problmra megoldst. A nem megfelelen kialaktott VLAN-ok feleslegesen bonyolultt tehetik a hlzatot, ez inkonzisztens kapcsolatokhoz s a hlzat teljestmnynek romlshoz vezethet.
66
3. Kapcsols vllalati hlzatokban A VLAN-ok biztonsgi okokbl klntenek el bizonyos tpus forgalomtipusokat egymstl. A VLAN ok kztti forgalomirnytshoz 3. rtegbeli eszkzre van szksg, amely megnveli a megvalsts kltsgt s a hlzat ksleltetst.
67
68
69
Ha egy szervezet pldul a 10.0.0.0 hlzatot hasznlja, akkor alkalmazhatja a 10.X.Y.0 cmzsi smt, ahol X egy fldrajzi terletet, Y pedig azon bell egy pletet vagy emeletet jell. Ez a cmzs lehetv teszi: 255 klnbz fldrajzi terlet, terletenknt 255 plet, pletenknt 254 lloms ltrehozst.
70
A /x forma a cm hlzat azonositsra hasznlt bitjeinek szmt adja meg. Egy vllalati hlzatban az alhlzati maszk hossza klnbz lehet. Az egyes LAN szegmensekhez ugyanis gyakran eltr szm lloms tartozik, s ilyenkor ugyanannak a maszknak a hasznlata nem hatkony.
71
Br bjthatron vgzd alhlzati maszk esetn knny az IP-cm hlzati s lloms rsznek felismerse, maga a folyamat ugyanaz abban az esetben is, amikor a hlzati bitek nem oktetthatron vgzdnek. Legyen pldul a H1 lloms IP -cme 192.168.13.21, alhlzati maszkja 255.255.255.248, azaz /29. Mindez azt jelenti, hogy a 32 bitbl 29 bit a hlzatcim, vagyis a hlzati bitek az els hrom oktettet teljesen, a negyedik oktettet rszben fedik le. Ebben az esetben a hlzat azonostja 192.168.13.16. Ha a 192.168.13.21/29 IP-cm H1 lloms zenetet szeretne kldeni a 192.168.13.25/29 IP -cm H2 llomsnak, a hlzati bitek sszehasonltsa szksges annak eldntsre, hogy a kt lloms ugyanazon a helyi hlzaton tallhat-e. Jelen esetben H1 hlzatazonostja 192.168.13.16, H2 hlzatazonostja pedig 192.168.13.24, gy H1 s H2 nem ugyanahhoz a hlzathoz tartozik, ezrt kommunikcijukhoz forgalomirnyt szksges.
72
Ltrehozott alhlzatok szma Az alaprtelmezett /24 maszkbl kiindulva 2 llomsbit lett tsorolva a hlzatcimzsre szolgl bitekhez, e kt bittel 4 alhlzat hozhat ltre (2^2 = 4).
Alhlzatonknt megcmezhet llomsok szma 6 llomsbit segtsgvel 62 lloms cmezhet meg alhlzatonknt (2^6 2 = 64 - 2 = 62).
Hlzati cm Az alhlzati maszk segtsgvel meghatrozhatk a hlzati bitek, s gy a hlzati cm is. A pldban ez 192.168.1.64.
Els hasznlhat llomscm Egy lloms IP-cmben nem lehet minden llomsbit 0, mivel az az alhlzat hlzati cme. gy az els hasznlhat llomscm a .64-es alhlzatban a .65
zenetszrsi cm Egy lloms IP-cmben nem lehet minden llomsbit 1-es, mivel az az alhlzat zenetszrsi cme. Ebben az esetben az zenetszrsi cm .127, a kvetkez alhlzat hlzati cme pedig .128.
73
74
A VLSM lehetv teszi az akr alhlzatonknt klnbz alhlzati maszkok hasznlatt. Egy hlzati cm alhlzatokra bontst kvet minden tovbbi felbonts jabb alhlzatokat (alalhlzatokat) hoz ltre. A 10.0.0.0/8 hlzatot pldul egy /16-os alhlzati maszk 256 alhlzatra bontja, melyek mindegyikben 16382 lloms cmezhet. 10.0.0.0/16 10.1.0.0/16 10.2.0.0/16 - 10.255.0.0/16 A /24 alhlzati maszkot alkalmazva brmely /16 alhlzatra, pldul, a 10.1.0.0/16 -ra, 256 tovbbi alhlzat jn ltre. Az gy kapott j alhlzatok mindegyike 254 lloms cmzsre alkalmasak. 10.1.1.0/24 10.1.2.0/24 10.1.3.0/24 - 10.1.255.0/24 Brmely /24 alhlzatra alkalmazva a /28 alhlzati maszkot, 16 jabb alhlzat jn ltre (pldul 10.1.3.0/28). Az gy kapott j alhlzatok mindgyike 14 lloms cmzsre alkalmasak. 10.1.3.0/28 10.1.3.16/28 10.1.3.32/28 10.1.3.240/28
75
A legnagyobb hlzat 58 llomsnak cmzshez /26-os alhlzat szksges. Az egyszer alhlzati sma hasznlata nem csak pazarl, de mindsszesen 4 alhlzat ltrehozst teszi lehetv, ami nem elegend a szksges 7 LAN/WAN szegmens cmzshez. A megoldst a VLSM cmzs nyjtja.
76
VLSM alhlzati sma kialaktsnl az alhlzati kvetelmnyek megtervezsekor mindig figyelembe kell venni az llomsok szmnak esetleges nvekedst.
77
78
4. Vllalati hlzatok cmzse Szmos cmzsi rendszer kialaktst tmogat eszkz ltezik. VLSM diagram Az egyik ilyen mdszer VLSM diagram segtsgvel azonostja a mg felhasznlhat s a mr kiosztott cmblokkokat. VLSM krdiagram Egy msik megolds egy krdiagram segtsgvel, a teljes krt kisebb krcikkekre osztva brzolja az alhlzatokat. Ezek az eljrsok megakadlyozzk a mr lefoglalt cmek jbli kiosztst, s segtenek az tfed cmtartomnyok kialaktsnak elkerlsben.
79
Egy vllalat A osztly hlzati cmtartomny hasznlata esetn tbb mint 16 milli, B osztly esetn tbb mint 65.000, mg C osztly esetn mindsszesen 254 llomscmmel rendelkezik. Amita a felhasznlhat A s B osztly cmek szma korltozott, sok vllalat tbb C osztly cm beszerzsvel biztostja a hlzat kvetelmnyeinek megfelel szm cmet. Ennek kvetkezmnyeknt a C osztly cmtr kimerlse az eredetileg tervezettnl lnyegesen gyorsabban megtrtnt.
Osztly alap IP-cmek esetn az els oktett, azon bell is az els hrom bit rtke hatrozza meg, hogy a hlzat A, B vagy C osztly. Minden f hlzathoz egy alaprtelmezett maszk tartozik, melyek rendre 255.0.0.0, 255.255.0.0 vagy 255.255.255.0. Az osztly alap irnyt protokollok, mint pldul a RIPv1, tvonalfrisstsei nem tartalmazzk az alhlzati maszkot, gy a fogad forgalomirnytk ezeket felttelezsek alapjn hatrozzk meg.
80
4. Vllalati hlzatok cmzse Osztly alap irnyt protokoll esetn, ha egy forgalomirnyt frisstst kld egy alhlzatokra bontott hlzatrl, pldul a 172.16.1.0/24-rl, egy olyan forgalomirnytnak, melynek interfsze a frisstsben szerepl fhlzathoz tartozik, pldul a 172.16.2.0/24-hez, akkor a kvetkez trtnik: A kld forgalomirnyt a teljes hlzati cmet hirdeti alhlzati maszk nlkl, ami ebben az esetben 172.6.1.0. A fogad forgalomirnyt a 172.16.2.0 interfsznek megfelel alhlzati maszkot alkalmazza a hirdetett hlzatra, azaz a pldban a 255.255.255.0 maszkot a 172.16.1.0 hlzatra.
Ha a forgalomirnyt frisstst kld egy alhlzatokra bontott hlzatrl, pldul a 172. 16.1.0/24rl, egy olyan forgalomirnytnak, melynek interfsze nem a frisstsben szerepl f hlzathoz tartozik, hanem pldul a 192.168.1.0/24-hez, akkor a kvetkez trtnik: A kld forgalomirnyt nem az alhlzati, csak a f osztly alap hlzati cmet hirdeti, ami ebben az esetben 172.16.0.0. A fogad forgalomirnyt alkalmazza erre a hlzatra az alaprtelmezett alhlzati maszkot, ami B osztly esetn 255.255.0.0.
Az IPv4 cmek gyors kimerlsre reaglva fejlesztette ki az IETF az osztly nlkli forgalomirnytst (Classless Inter-Domain Routing - CIDR). A CIDR az IPv4 cmtr hatkonyabb felhasznlst teszi lehetv, alkalmas hlzati cmek sszegzsre, s gy az irnyttblk mretnek cskkentsre. A CIDR hasznlata osztly nlkli irnyt protokollt ignyel, pldul RIPv2-t, EIGRP-t vagy statikus forgalomirnytst. CIDR kompatibilis forgalomirnytk esetn a cmosztlyoknak nincs jelentsge. Az alhlzati maszk meghatrozza a cm hlzati rszt, amelyet hlzati eltagnak (networ k prefix) vagy eltag hossznak is neveznek. A cm osztlya ebben az esetben mr nem hatrozza meg a hlzati cmet. Az internetszolgltatk az gyfelek nhny llomstl akr tbb szz vagy tbb ezer llomsig terjed ignyei szerint IP-cmek megfelel csoportjt rendelik hozz egy-egy gyflhlzathoz. CIDR s VLSM esetn mr nem csak a /8-as, a /16-os vagy a /24-es eltag hosszt hasznlhatjk.
81
4. Vllalati hlzatok cmzse A VLSM-et s a CIDR-et tmogat osztly nlkli irnyt protokollok kz tartoz bels tjr protokollok (IGP) a RIPv2, az EIGRP, az OSPF s az IS-IS. Az internetszolgltatk kls tjr protokollokat (EGP) is hasznlnak. Pldaknt a hatrtjr-protokollt (BGP Border Gateway Protocol) emlthet. Az osztly alap s osztly nlkli irnyt protokollok kztti klnbsg lnyege, hogy az osztly nlkli protokollok tvonal-frisstsei a hlzati cmeket a hozzjuk tartoz alhlzati maszkkal egytt hirdetik. Osztly nlkli irnyt protokoll hasznlata akkor elengedhetetlen, ha a maszk az els oktett rtke alapjn nem hatrozhat meg helyesen vagy egyrtelmen. Amikor egy forgalomirnyt osztly nlkli protokollt hasznlva tvonalfrisstst kld, pldul a 172.16.1.0 hlzatrl, egy olyan fogalomirnytnak, amelynek hirdetst fogad interfsze a frisstsben hirdetett f hlzathoz tartozik, pldul a 172.16.2.0/24 hlzat rsze, akkor a kvetkez trtnik: A kld forgalomirnyt minden alhlzatt alhlzati maszkkal egytt hirdeti.
Amikor egy forgalomirnyt pldul a 172.16.1.0 hlzatrl kld tvonalfrisstst egy olyan fogalomirnytnak, melynek hirdetst fogad interfsze nem csatlakozik a frisstsben hirdetett f hlzathoz, ehelyett pldul 192.168.1.0/24-hez tartozik, akkor a kvetkez trtnik: A kld forgalomirnyt alapesetben minden alhlzatot sszevon, s az osztly alap f hlzatot hirdeti az sszevont alhlzati maszkkal egytt. Ezt a folyamatot nevezik hlzat hatron trtn tvonalsszegzsnek. A legtbb osztly nlkli protokoll alaprtelmezetten engedlyezi a hlzathatron trtn automatikus tvonalsszegzst, de lehetsg van ennek letiltsra is. Letilts esetn a kld forgalomirnyt minden alhlzatt alhlzati maszkkal egytt hirdeti.
82
4. Vllalati hlzatok cmzse Ha a hlzati bitek szma kisebb az osztly alaprtelmezett rtknl, mint pldul 172.16.3.0/14 esetn, akkor szuperhlzatrl beszlnk. B osztly cm esetn minden /16-osnl kisebb eltag hossz szuperhlzatot jell.
Egy hatr-forgalomirnyt ltalban a vllalat minden ismert hlzatt hirdeti az internetszolgltat fel. Ha pldul nyolc klnbz hlzat van, akkor elkpzelhet, hogy mind a nyolcat hirdetni fogja. Ha minden vllalat ugyangy tenne, akkor az internetszolgltat irnyttblja hatalmasra nne. tvonalsszegzskor a forgalomirnyt az sszefgg hlzatokat csoportostja, s egyetlen nagy hlzatknt hirdeti ket. A fenti megoldshoz hasonl plda, amikor egy vllalat kzponti irodjhoz csak nhny kzponti szm tartozik a telefonknyvben annak ellenre, hogy az egyes munkatrsak mellkei kzvetlenl is hvhatk. Hierarchikus cmzsi rendszer esetn knnyebben elvgezhetk az tvonalsszegzsek. Vllalaton bell olyan hlzatcmeket osszunk ki, amelyek CIDR hasznlatval csoportosthatk.
83
84
4. Vllalati hlzatok cmzse eredmnyeknt a kzbls forgalomirnyt ugyanarrl a hlzatrl kt klnbz irnybl is kap hirdetmnyt. Ebben az esetben beszlnk nem sszefgg (nem folytonos) hlzatrl. A nem sszefgg hlzatok megbzhatatlan. nem optimlis forgalomirnytst eredmnyeznek. Ennek elkerlse rdekben a rendszergazda a kvetkezket teheti: Lehetsg szerint mdostja a cmzsi smt. Osztly nlkli irnyt protokollt hasznl, pldul RIPv2-t vagy OSPF-et. Letiltja az automatikus sszegzst. Manulisan vgzi el az tvonalsszegzst az osztly hatron.
Krltekint tervezst kveten is elfordulhat, hogy a hlzatban nem sszefgg alhlzatok vannak. A kvetkez forgalmi s forgalomirnytsi pldk segtenek ezeknek a helyzeteknek a felismersben: Egy forgalomirnyt nem ismer tvonalat egy msik forgalomirnythoz kapcsold LAN fel, pedig a hlzat hirdetst konfigurltk. Kzbls forgalomirnyt kt azonos kltsg tvonalat ismer a f hlzat fel annak ellenre, hogy az alhlzatok eltr hlzati szegmensen tallhatk. Kzbls forgalomirnyt terhelselosztst vgez a f hlzat valamelyik alhlzata fel tart forgalom esetben. A forgalomirnyt felttelezheten csak a forgalom felt kapja meg.
85
4. Vllalati hlzatok cmzse Hierarchikus hlzattervezs s sszefgg cmzsi sma hasznlatval az tvonalsszegzst tervezzk meg. tvonalsszegzst hasznljunk a hlzat hatrain. WAN sszekttetsekhez /30-as alhlzatokat rendeljnk. A ltrehozhat alhlzatok s llomsok szmnak tervezsekor a hlzat jvbeni nvekedst vegyk figyelembe.
A privt cmek hasznlatnak elnyei: Cskkenti az sszes lloms nyilvnos IP-cmnek beszerzsvel jr magas kltsgeket. Lehetv teszi, hogy tbb ezer bels alkalmazott hasznljon nhny nyilvnos cmet. Biztonsgot nyjt azzal, hogy ms hlzatok s szervezetek nem ltjk a bels cmeket.
86
Bels hlzat privt cmzsi rendszernek kialaktsakor alkalmazzuk a VLSM-nl hasznlt hierarchikus tervezsi elveket. Br a privt cmek az interneten keresztl nem kerlnek tovbbtsra, a bels hlzatban gyakran kell ket irnytani. Mivel a nem sszefgg alhlzatok esetben felmerl problmk elfordulhatnak privt cmek hasznlatakor is, gy a cmzsi rendszer kialaktsa gondos tervezst ignyel. Gyzdjnk meg arrl, hogy a cmek a VLSM-elveknek megfelelen, helyesen lettek kiosztva. A hatkony cmsszegzs rdekben hasznljunk rvnyes cmhatrokat s hierarchikus IP-cmzst.
87
4. Vllalati hlzatok cmzse kapcsolattal is rendelkezhetnek, ilyenkor a cmfordtst az egyes kapcsolatok hatr-forgalomirnyti vgzik. A hatr-forgalomirnytkon alkalmazott cmfordts nveli a biztonsgot. A bels privt cmeket minden alkalommal egy nyilvnos cmre fordtjk, amely elrejti a vllalat llomsainak s kiszolglinak az aktulis cmt. A legtbb cmfordtst vgz forgalomirnyt blokkolja azokat a privt hlzaton kvlrl rkez csomagokat, amelyek nem egy bels lloms krsre rkez vlaszok.
88
4. Vllalati hlzatok cmzse Hatrozzuk meg mely bels llomsok ignyelnek cmfordtst! Hatrozzuk meg, mely interfszekre rkezik a klvilg fel irnyul bels forgalom! Ezek lesznek a bels interfszek. Hatrozzuk meg, melyik interfsz tovbbtja a forgalmat az internet fel! Ez lesz a kls interfsz. Hatrozzuk meg a felhasznlhat nyilvnos cmtartomnyt!
Statikus NAT konfigurlsa 1. Hatrozzuk meg azt a nyilvnos IP-cmet, amelyet a kls felhasznlk hasznlhatnak a bels eszkz vagy kiszolgl elrshez! A rendszergazdk erre a clra leggyakrabban a statikus NAT cmtartomny els vagy utols cmeit hasznljk. Vgezzk el a bels vagy privt cmek nyilvnos cmekhez rendelst! 2. lltsuk be a bels s kls interfszeket!
Dinamikus NAT konfigurlsa 1. Hatrozzuk meg a felhasznlhat nyilvnos IP-cmkszletet! 2. Hozzunk ltre hozzfrsi-listt (ACL) a cmfordtst ignyl llomsok meghatrozshoz. 3. lltsuk be a bels s a kls interfszeket. 4. Rendeljk hozz a cmkszlethez a hozzfrsi listt! A dinamikus NAT konfigurlsnak fontos rsze a norml hozzfrsi listk alkalmazsa. A norml hozzfrsi-lista engedlyez s tilt utastsokkal hatrozza meg azokat az llomsokat, amelyek cmfordtst ignyelnek. A hozzfrsi lista vonatkozhat egy egsz hlzatra, egy alhlzatra vagy csak egy adott llomsra. Terjedelmt tekintve llhat egyetlen sorbl vagy szmos engedlyez s tilt parancsbl.
89
4. Vllalati hlzatok cmzse show ip nat statistics A parancs a fordtsok statisztikjt mutatja, belertve a hasznlt IP -cmek szmt, valamint a sikeres s sikertelen fordtsokat. A kimenet tartalmazza tovbb a bels cmeket meghatroz hozzfrsi listt, a nyilvnos cmkszletet s a megadott cmtartomnyt.
91
A forgalomszablyozs elengedhetetlen a nagyvllalati hlzatokban. Enlkl ezek a hlzatok nem tudnak mkdni. A forgalomirnytk tovbbtjk az adatokat s megakadlyozzk, hogy a szrsos zenetek tlterheljk a kritikus szolgltatsok fel vezet adatvonalakat. A helyi hlzatok kztt gy szablyozzk a forgalmat, hogy csak a kvnt forgalom haladhasson t a hlzaton. A nagyvllalati hlzatok nagy megbzhatsgot s magas sznvonal szolgltatsokat nyjtanak. Ennek biztostsra a hlzati szakemberek:
92
5. Forgalomirnyts tvolsgalap irnyt protokollal Tartalk tvonalakat terveznek a hlzathoz, arra az esetre, ha az adatok elsdleges tvonala meghibsodna. Szolgltatsminsgi eljrsok bevezetsvel biztostjk a kritikus adatok elsbbsgt. Csomagszrst hasznlnak bizonyos tpus csomagok letiltsra, az elrhet svszlessg maximalizlsra s a hlzati tmadsok megelzsre.
93
A csillag s a kiterjesztett csillag topolgiban egyetlen pont (a kzppont) meghibsodsa a hlzat teljes mkdskptelensgt okozhatja. A hl topolgij hlzatok ezt a problmt hivatottak kikszblni. Hl Topolgia Minden jabb kapcsolat egy-egy jabb alternatv tvonalat szolgltat az adatforgalom szmra, s ezzel egyre nagyobb megbzhatsgot nyjt a hlzatnak. jabb linkek hozzadsval a topolgia egyre inkbb sszekapcsolt csompontok hljv alakul. Ugyanakkor minden egyes jabb kapcsolat tbbletkltsget s tbbletterhelst is jelent, valamint a hlzat karbantartsnak bonyolultsgt is nveli. Rszleges (rszben sszekapcsolt) hl A vllalati hlzat egy meghatrozott rszhez adott redundns kapcsolatokkal rszleges hl topolgia jn ltre. Ez a topolgia a hlzat olyan kritikus rszeinek, mint a kiszolglfarmok s a trolhlzatok, rendelkezsre llst, megbzhatsgt a tbbletkltsgek minimalizlsa mellett javitja. A hlzat tbbi rsze ugyanakkor tovbbra is srlkeny marad. Ezrt nagyon fontos, hogy a redundns vonalakat oda helyezzk, ahol azok a legtbb elnyt nyjtjk. Teljes (teljesen sszekapcsolt) hl Amennyiben egy hlzatban egyltaln nem megengedett az zemkimarads, akkor teljes hl topolgira van szksg. Egy teljes hl topolgiban minden egyes csompont az sszes tbbi csomponttal sszekttetsben van. Ez a leginkbb hibaellenll topolgia, de egyben ez a legkltsgesebb is
94
5. Forgalomirnyts tvolsgalap irnyt protokollal Az internet kitn pldja a hl topolgij hlzatoknak. Az internet eszkzei nem tartoznak sem egynek, sem szervezetek hatskre al. A fentiek miatt az internet topolgija llandan vltozik, egyes csatlakozsok eltnnek, mindekzben jabbak vlnak elrhetv. Tartalk kapcsolatok segtik a forgalomirnyitst, s biztostjk a megbzhat tvonalat a cllloms fel. A nagyvllalati hlzatok hasonl problmkkal kzdenek, mint az internet. Emiatt az eszkzk klnbz eljrsokat hasznlnak a folyamatosan vltoz krlmnyekhez trtn alkalmazkodshoz s a forgalom szksg szerinti tirnytshoz.
5. Forgalomirnyts tvolsgalap irnyt protokollal Statikus tvonalak Statikus tvonalak a hlzati rendszergazda ltal manulisan konfigurlt tvonalak. Egy statikus tvonal tartalmazza a clhlzat hlzatcmt s hlzati maszkjt, valamint a clhlzathoz vezet kimen interfszt vagy a kvetkez ugrs IP-cmt. Az irnyttbla a statikus tvonalakat S-sel jelli. A statikus tvonalak sokkal tartsabbak s megbzhatbbak, mint a dinamikusan tanult tvonalak, gy adminisztratv tvolsguk is kisebb. Dinamikus tvonalak Dinamikus irnyt protokollok szintn bejegyzseket adnak hozz az irnyttblhoz a tvoli hlzatokrl s lehetv teszik, hogy a forgalomirnytk a hlzat feldertse sorn tvoli hlzatok elrhetsgrl s llapotrl osszanak meg informcit. Minden irnyt protokoll adatokat kld s kap ms forgalomirnytkon trolt informcirl, valamint frissti s karbantartja az irnyttbljt. Minden dinamikus irnyt protokoll ltal megtanult tvonalat a protokoll azonost. gy pldul R bet azonostja a RIP s D bet az EIGRP irnyt protokollt. Az adminisztratv tvolsgot is ennek alapjn kapja az tvonal.
Nagyvllalati hlzatokban statikus s dinamikus tvonalakat egyarnt hasznlnak. A statikus forgalomirnyts a specilis hlzati ignyek miatt szksges, valamint a fizikai topolgitl fggen a forgalom szablyozsra is hasznlhat. A hlzat ki- s bemen forgalmnak egyetlen pontra val korltozsa egy vghlzat, ms nven zskhlzat (stub network) ltrejttt eredmnyezi. Bizonyos nagyvllalati hlzatokban a kisebb fikirodk mindssze egyetlen tvonalon kpesek elrni a hlzat tbbi rszt. Ilyen esetben nem fontos a vghlzat forgalomirnytjt irnytsi frisstsekkel s a dinamikus irnyt protokollokkal jr megnvekedett forgalommal terhelni. A statikus forgalomirnyts ilyenkor elnysebb. Elhelyezkedsktl s feladatuktl fggen bizonyos nagyvllalati forgalomirnytk szintn hasznlhatnak statikus tvonalakat. A hatrtjrk ltalban statikus tvonalakat hasznlnak az internetszolgltat biztonsgos s stabil elrsre, mg a nagyvllalaton belli tbbi forgalomirnyt az ignyeknek megfelelen statikus s dinamikus forgalomirnytst egyarnt alkalmazhat.
96
5. Forgalomirnyts tvolsgalap irnyt protokollal A nagyvllalati hlzatban hasznlt forgalomirnytknak svszlessgre, operatv memrira s feldolgoz erforrsra egyarnt szksgk van a NAT/PAT-, a csomagszrsi- s az egyb szolgltatsaik biztostshoz. Ezzel szemben a statikus forgalomirnyts a legtbb dinamikus irnyt protokollnl fellp tbbletterhels nlkl nyjt tovbbtsi funkcit. Ezen fell a statikus forgalomirnyts a dinamikusnl nagyobb adatbiztonsgot nyjt, mivel nincs szksge irnytsi frisstsekre. Egy hekker brmikor elfoghat egy dinamikus irnytsi frisstst, s gy informcit szerezhet a hlzatrl. A fentiek ellenre a statikus forgalomirnyts is egytt jrhat bizonyos problmkkal. A hlzati rendszergazdtl idt s odafigyelst ignyel, mivel a forgalomirnytsi informcit manulisan kell begpelnie. Egy statikus tvonal egyszer elgpelsi hibja csomagvesztst s a hlzat mkdskptelensgt okozhatja. Amikor egy statikus tvonal megvltozik, a manulis konfigurcifrissts ideje alatt a hlzatban irnytsi hibk jelentkezhetnek. Statikus tvonalak nagyvllalati hlzatban trtn ltalnos alkalmazsa a fentiek miatt nem praktikus.
A forgalomirnytk a kvetkez ugrs IP-cmt vagy a kimen interfszt hasznlva tovbbtjk a csomagokat a megfelel clllomsnak. A kt paramter mgis klnbzkppen viselkedik. Mieltt egy forgalomirnyt tovbbtja a csomagot, meg kell hatrozni a kimen interfszt. Kimen interfsszel konfigurlt statikus tvonalak csak egyszeri keresst ignyelnek az irnyttblban, mg a kvetkez ugrssal megadott tvonalak esetn ktszer is szksg van az irnyttbla tvizsglsra. Nagyvllalati hlzatokban a pont-pont sszekttetsekhez (pldul egy hatrtjr s a szolgltat (ISP) kztti kapcsolathoz) a statikus tvonalaknak kimen interfsszel trtn megadsa a legjobb vlaszts.
97
5. Forgalomirnyts tvolsgalap irnyt protokollal Kvetkez ugrssal megadott statikus tvonalak esetn kt lps szksges a kimen interfsz meghatrozshoz. Ezt hvjuk rekurzv keressnek. Rekurzv keress esetn: A forgalomirnyt elszr kivlasztja a csomag clcmhez illeszked statikus tvonalat. Ezutn a kimen interfszt hatrozza meg oly mdon, hogy az irnyttbljban meg keresi a statikus tvonalban megadott kvetkez ugrs cmhez tartoz bejegyzst.
Ha egy kimen interfsz elrhetetlenn vlik, akkor az rintett statikus tvonal eltnik az irnyttblbl, majd az interfsz helyrellsa utn jra bekerl oda. Tbb statikus tvonal egyetlen bejegyzss egyestse cskkenti az irnyttbla mrett s hatkonyabb teszi a keressi folyamatot. Ezt a folyamatot tvonal sszevonsnak (tvonal sszegzsnek) nevezzk. Egy statikus tvonal tbb statikus tvonalat egyest, ha: A clhlzatokat egy hlzati cm fogja ssze. Mindegyik statikus tvonal ugyanazt a kimen interfszt vagy kvetkez ugrs IP -cmt hasznlja.
tvonalsszegzs nlkl, az irnyttblk az internet gerinchlzatnak forgalomirnytiban kezelhetetlenek lennnek. A nagyvllalati hlzatokban is hasonl problma jelentkezhet. Az sszevont statikus tvonalak alkalmazsa elengedhetetlen ahhoz, hogy nagy hlzatokban az irnyttblk mrete kezelhet mret maradjon.
A vllalati hlzatokban hasznlt WAN-szolgltatsok kialakitstl fggen a statikus tvonalak tartalk tvonalknt is funkcionlhatnak, ha az elsdleges WAN kapcsolat kiesik. Az n. lebeg statikus tvonalak (floating static route) biztostjk ezt a tartalk tvonal szolgltatst.
98
5. Forgalomirnyts tvolsgalap irnyt protokollal Alaprtelmezett belltsnl egy statikus tvonalnak kisebb az adminisztratv tvolsga, mint egy dinamikusan tanult tvonalnak. A lebeg statikus tvonalnak az adminisztratv tvolsga nagyobb, mint a dinamikus irnyt protokoll ltal tanult tvonalnak, gy nem kerl be az irnyttblba, csak a dinamikusan tanult tvonal kiesse esetn. A lebeg statikus tvonal ltrehozshoz az ip route parancs vgre adjunk meg egy adminisztratv tvolsg rtket: Router(config)#ip route 192.168.4.0 255.255.255.0 192.168.9.1 200 A megadott adminisztratv tvolsgnak nagyobbnak kell lennie, mint a dinamikus irnyt protokoll ltal tanult tvonalnak. A forgalomirnyt mindaddig az elsdleges tvonalat fogja hasznlni, ameddig az aktv. Ha az elsdleges tvonal valamilyen oknl fogva kiesik, akkor az irnyttblba bekerl a lebeg statikus tvonal.
99
100
5. Forgalomirnyts tvolsgalap irnyt protokollal A tvolsgvektor alap irnyt protokollok ltalban kevesebb s egyszerbb konfigurlst s karbantartst ignyelnek, mint a kapcsolatllapot alapak. Rgebbi verzij, kevsb erteljes forgalomirnytn is kpesek futni s kevesebb memrit s feldolgozsi teljestmnyt ignyelnek. Tvolsgvektor alap protokollt futtat forgalomirnytk rendszeres idkznknt a teljes irnyttbljukat elkldik a szomszdos forgalomirnytknak szrsos vagy csoportos klds segtsgvel. Ha egy forgalomirnyt tbb tvonalat is ismer egy clhlzathoz, akkor a legkisebb mrtk utat hirdeti. Az irnytsi informcik nagy hlzatokban trtn ilyen jelleg tovbbtsa lass. Brmelyik pillanatban ltezhetnek olyan forgalomirnytk, melyek nem rendelkeznek a legf rissebb informcival a hlzatrl. Ez a protokollok sklzhatsgt korltozza s olyan problmk, mint az irnytsi hurkok kialakulst is okozhatja. A RIP irnyt protokoll 1. s 2. verzija igazi tvolsgvektor alap protokoll, mg az EIGRP lnyegbe n egy tvolsgvektor alap protokoll tovbbfejlesztett lehetsgekkel. A RIPng -t, a RIP legjabb vltozatt kifejezetten az IPv6 tmogatsra fejlesztettk ki.
101
5. Forgalomirnyts tvolsgalap irnyt protokollal Pldul egy forgalomirnyt, melynek kt interfsze a 172.16.1.0/24 s a 172.16.4.0/24 hlzatok tjrjaknt mkdik, RIPv1-el csak a 172.16.0.0 B osztly hlzatot fogja hirdetni. Egy msik forgalomirnyt, mely megkapja ezt a frisstst csak a 172.16.0.0 B osztly hlzatot fogja az irnyt tbljban megjelenteni. gy egy 172.16.3.0s clhlzat csomag tvesen a 172.16.0.0 B osztly hlzatot hirdet forgalomirnythoz kerlhet, melynek eredmnykppen a megfelel clcmre nem rkezik meg. A RIPv2 sok tulajdonsgban hasonlt a RI Pv1-hez, de fontos jtsokat is tartalmaz. A RIPv2 egy osztly nlkli irnyt protokoll, mely tmogatja a vltoz hosszsg alhlzati maszkok hasznlatt (VLSM) s az osztlyok nlkli, krzetek kztti forgalomirnytst (CIDR). A 2. verzij frisstsek tartalmazzk az alhlzati maszkot, gy nem folytonos hlzatok hasznlata is megengedett RIPv2-t hasznl hlzatokban. Ezen fell a RIPv2 esetn kikapcsolhat az automatikus hlzat sszegzsi funkci. A RIP mindkt verzija minden konfigurlt interfszn kikldi a teljes irnyttblt. Alapbellitsban a RIPv1 a 255.255.255.255 cmet hasznl szrsos klds (broadcast) segtsgvel kldi a frisstseket. Ez az olyan szrsos hlzatok esetn, mint az Ethernet, a hlzat sszes llomsa szmra az adatok feldolgozst ignyli. A RIPv2 csoportos klds (tbbes klds, multicast) segtsgvel hirdeti frisstseit a 224.0.0.9-es cmen. A csoportos klds kevesebb svszlessget foglal le, mint a szrs. Azok az eszkzk, melyeken nincs RIPv2 konfigurlva az adatkapcsolati rtegben, eldobjk a csoportos kldses csomagokat. A tmadk gyakran helytelen frisstsek kldsvel rik el, hogy a forgalomirnytk az adatokat rossz cmre kldjk, illetve hogy a hlzat teljestkpessge komoly mrtkben cskke njen. Helytelen informci hibs konfigurci vagy mkdsi zavar miatt is bekerlhet az irnyttblba. Az irnytsi informcik titkostsa az irnyttblk tartalmt elrejti a jelszval vagy a hitelest informcival nem rendelkez forgalomirnytk ell. A RIPv2 a RIPv1-el ellenttben rendelkezik hitelest eljrssal. Br a RIPv2 szmos tovbbfejlesztst tartalmaz, mgsem tekinthet teljesen klnbz protokollnak. A kt verzinak tbb, a kvetkezkben felsorolt kzs tulajdonsga ltezik: Az ugrsszm a mrtk 15 ugrs a maximum A TTL rtke 16 ugrs Alaprtelmezetten 30 msodpercesek a frisstsi intervallumok tvonalmrgezst, visszirny mrgezst, lthatrmegosztst s visszatart szmllkat hasznlnak az irnytsi hurkok kikszblsre Frisstsekhez az UDP 520-as portjt hasznljk Az adminisztratv tvolsg rtke 120 Az zenet fejrsze maximum 25 hitelests nlkli tvonalat tartalmaz
Egy forgalomirnyt a bekapcsolsa utn minden RIP protokollal konfigurlt interfszn egy krst kld a protokollban rsztvev szomszdoknak, hogy kldjk el a teljes irnyttbla tartalmt. A RIP protokollal konfigurlt szomszdok az ltaluk ismert hlzatok bejegyzseinek elkldsvel vlaszolnak. A fogad forgalomirnyt minden egyes tvonalat a kvetkez kritriumok alapjn rtkel:
102
5. Forgalomirnyts tvolsgalap irnyt protokollal Ha a kapott tvonal ismeretlen, akkor a forgalomirnyt berja az irnyttbljba. Ha az tvonalra mr tallhat bejegyzs az irnyttblban egy msik forrstl, akkor az jat csak akkor rja be, ha az jobb ugrsszmmal rendelkezik a rginl. Ha az tvonal mr a tblban van s ugyanattl a forrstl szrmazik, akkor mindenkppen kicserli az j bejegyzsre, mg akkor is, ha a mrtk nem jobb.
A frissen bekapcsolt forgalomirnyt ezutn egy esemnyvezrelt frisstst kld a RIP protokollal konfigurlt interfszein a sajt irnyttblja tartalmnak elkldsvel, gy a RIP szomszdok az sszes j tvonalrl rteslnek. Ha a forgalomirnytk a megfelel verzij frisstseket kldik s dolgozzk fel, akkor a RIPv1 s RIPv2 teljesen kompatibilisek egymssal. Alaprtelmezsben a RIPv2 csak 2. verzij frisstseket kld s fogad. Ha egy hlzatban mindkt verzit kell hasznlni, akkor a hlzati rendszergazda konfigurlhatja gy a RIPv2-t, hogy 1. s 2. verzij frisstst egyarnt kldjn s fogadjon. A RIPv1 alaprtelmezsben 1. verzij frisstseket kld, de mindkettt fogadja. Egy nagyvllalaton bell szksg lehet a RIP mindkt verzijnak hasznlatra. Pldul, mg a hlzat egy rsze ttrt a 2. verzira, addig lehet, hogy egy msik rsze megmaradt az eredeti verzinl. A globlis RIP konfigurci kiegsztse interfsz-specifikus tulajdonsgokkal lehetv teszi a kt verzi egyttes hasznlatt. A globlis konfigurci interfszen trtn testre szabshoz hasznlja a kvetkez interfsz konfigurcis parancsokat: ip rip send version <1 | 2 | 1 2> ip rip receive version <1 | 2 | 1 2>
Router(config-router)#network [hlzati cm] Az sszes kzvetlenl kapcsold, RIP hirdetsben rsztvev hlzat megadsa
Az MD5 autentikci konfigurlshoz a RIPv2 protokollban rsztvev interfszeken k i kell adni az ip rip authentication mode md5 parancsot. Ennek a parancsnak a hatsra az adott interfszen kimen sszes frissts titkostva lesz.
103
5. Forgalomirnyts tvolsgalap irnyt protokollal A RIPv2 egy alaprtelmezett tvonalat is kpes elkldeni a frisstseiben a szomszdos forgalomirnytknak. Ehhez szksg van az alaprtelmezett tvonal konfigurlsra s a RIP konfigurci redistribute static paranccsal trtn kiegsztsre.
A tbb irnyt protokollt is hasznl, bonyolult nagyvllalati hlzatokban a passive -interface paranccsal megadhat mely forgalomirnytk kapjk meg a RIP tvonalakat. A RIP tvonalakat hirdet interfszek szmnak korltozsa nagyobb mrtk biztonsghoz s forgalomszablyozshoz vezet. Egy RIP-et hasznl hlzatban idre van szksg a konvergencihoz. A forgalomirnytk helytelen tvonalakat is trolhatnak az irnyttblikban mindaddig, amg az sszes forgalomirnyt nem frisstette az irnyttbljt, s ugyanazt a kpet nem ltjk a hlzatrl. A hibs hlzati informci az irnytsi frisstsek s ms forgalmak vgtelen hurokba kerlst okozhatja. RIP irnyt protokoll esetn a vgtelent a 16 ugrsszm jelenti. Az irnytsi hurkok rontjk a hlzat teljestmnyt. A RIP szmos lehetsget tartalmaz ennek a hatsnak a kikszblsre, melyeket akr egyszerre is alkalmazhatnak: Visszirny mrgezs Lthatrmegoszts
104
A visszirny mrgezs az tvonal mrtkt 16-ra lltja, s gy elrhetetlennek nyilvntja azt. Mivel a RIP a vgtelent 16-nak definilja, ezrt minden olyan hlzat mely 15 ugrsnl tvolabb van elrhetetlennek minsl. Ha egy hlzat elrhetetlen, akkor a forgalomirnyt megvltoztatja arra az tvonalra vonatkoz mrtket 16-ra, hogy minden ms forgalomirnyt is elrhetetlennek lssa. Ez a tulajdonsg akadlyozza meg a mrgezett tvonalakon kldtt informcik terjedst A RIP hurokmentestsi megoldsai stabil mkdst eredmnyeznek, ugyanakkor a hlzat konvergencia idejt nvelik. A lthatrmegoszts megakadlyozza a hurkok kialakulst. Ha tbb forgalomirnyt is ugya nazt az tvonalat hirdeti egymsnak, akkor irnytsi hurok jhet ltre. A lthatrmegoszts megakadlyozza, hogy egy forgalomirnyt azon az interfszn hirdessen egy tvonalat, amelyiken azt megismerte. A visszatart szmllk stabilizljk az tvonalakat. A visszatart idztk ugyanis megakadlyozzk egy lellt tvonalra vonatkoz frisstsnek az elfogadst, ha a frissts a lellst kvet meghatrozott idintervallumon bell rkezik, s nagyobb mrtket szerepel benne a korbbi rtknl. Ha a visszatart idzt lejrta eltt az eredeti tvonal helyrell, vagy a forgalomirnyt olyan tvonal informcit kap, mely kisebb mrtkkel rendelkezik, akkor a forgalomirnyt felveszi az irnyttbljba, s azonnal hasznlni is kezdi. Az alaprtelmezett visszatartsi id 180 msodperc, a rendszeres frisstsi id hatszorosa. Az alaprtelmezett rtk megvltoztathat, de a visszatartsi intervallum nvelse lassabb hlzati konvergencit okoz, s negatv hatssal br a hlzati teljestmnyre. Ha egy tvonal kiesik, a RIP nem vrja meg a kvetkez frisstsi idt, hanem azonnal kld egy rendkivli frisstst, amit esemnyvezrelt frisstsnek neveznk. A kiesett tvonalat 16 -os mrtkkel hirdeti, igy az utat megmrgezi. Ez a frissts visszatartsi llapotban tartja az tvonalat, mindaddig amg a RIP egy jobb mrtk alternatv tvonalat nem tall helyette.
irnytsi frisstseket mutatja vals idben Ennek a debug parancsnak a kimenete megmutatja az sszes frissts forrsnak az IP -cmt s interfszt, valamint a protokoll verzijt s az tvonal mrtkt. 105
5. Forgalomirnyts tvolsgalap irnyt protokollal Ne hasznlja a szksgesnl tbbet a debug parancsokat. A debug parancs hasznlata nagy svszlessgi s feldolgozsi erforrs-ignnyel jr, ami lasstja a hlzatot. A ping paranccsal a vgponttl vgpontig terjed kapcsolatok tesztelhetk. A show runningconfig parancs segtsgvel knyelmes ellenrizhetjk, hogy az sszes parancsot megfelelen rtuk e be.
106
Az EIGRP kt f clja a hurokmentes irnytsi krnyezet s a gyors konvergencia biztostsa. Ezen clok elrshez az EIGRP a RIP-tl eltr mdszert hasznl a legjobb tvonal kivlasztsra. sszetett mrtket hasznl, mely elssorban a svszlessgen s a ksleltetsen alapszik, ezltal a cllloms fel vezet tvonal minsgnek meghatrozsakor az ugrsszmnl sokkal pontosabb rtket szolgltat. Az EIGRP ltal hasznlt n. sztszr frisst algoritmus (DUAL) a hurokmentes forgalomirnytst az tvonal-szmts ideje alatti mkdsvel garantlja. A topolgia megvltozsakor a DUAL egyszerre szinkronizlja az rintett forgalomirnytkat. Ezen elnyei miatt az EIGRP tvonalak adminisztratv tvolsga 90, mg a RIP tvonalak 120. A kisebb rtk az EIGRP nagyobb megbzhatsgt s a mrtk nagyobb pontossgt mutatja. Emiatt ha egy forgalomirnyt ugyanahhoz a clhlzathoz EIGRP s RIP tvonalat is ismer, akkor az EIGRP-tl szrmazt fogja vlasztani. Az EIGRP a ms irnyt protokollok ltal tanult tvonalakat kls tvonalknt jelli meg. Mivel ezeknek az tvonalaknak a szmtshoz hasznlt informci nem annyira megbzhat, mint az EIGRP mrtk, ezrt ezekhez az tvonalakhoz egy nagyobb adminisztratv tvolsgot rendel.
107
5. Forgalomirnyts tvolsgalap irnyt protokollal Az EIGRP kitn vlaszts bonyolult, elssorban Cisco eszkzket hasznl, nagyvllalati hlzatok szmra. A maximlis ugrsszma 255, amivel szintn a nagy hlzatokat tmogatja. Az EIGRP tbb irnyttblt is tud kezelni, amivel szmos irnytott protokoll (mint pldul az IP s az IPX) szmra kpes irnytsi informcit gyjteni. Az EIGRP irnyttblk, mind a helyi rendszer, mind a kls rendszer megtanult tvonalait megjelentik. A tbbi tvolsgvektor alap irnyt protokolltl eltren az EIGRP nem kldi el a teljes irnyttbljnak tartalmt a frisstsekben. Csoportos kldst (multicast) alkalmazva rszleges frisstst kld az adott vltozsokrl, s nem a terlet sszes, csak az rintett forgalomirnytjnak. Ezeket kapcsolt frisstseknek hvjk, mivel csak bizonyos paramterekhez kapcsold informci t tartalmaznak. A periodikus frisstsek helyett az EIGRP kis hello csomagok kldsvel tartja fenn a kapcsolatot szomszdjaival. Mivel ezek kismretek, gy mind a hello csomagok, mind a kapcsolt frisstsek a svszlessgnek csak kis rszt foglaljk, ennek ellenre a hlzati informci folyamatos frisstse biztostott.
Szomszdtbla Ez a tbla a kzvetlenl kapcsold szomszdos forgalomirnytkrl tartalmaz informcit. Az EIGRP eltrolja az jonnan felfedezett szomszd cmt s a hozz kapcsold interfszt. Ha egy szomszd egy hello csomagot kld, abban meghirdet egy megtartsi idt. A megtartsi id az az id, amg egy forgalomirnyt a szomszdjt elrhetnek tekinti. Ha a megtartsi idintervallum alatt nem rkezik hello csomag a szomszdtl, akkor az idzt lejr, a szomszd elrhetetlennek minsl s emiatt a DUAL algoritmus jraszmolja a topolgit. Mivel a gyors konvergencia elssorban a szomszdokrl trolt pontos informcin alapszik, ezrt ez a tbla elengedhetetlen az EIGRP mkdshez. Topolgiatbla A topolgiatbla az sszes EIGRP szomszdtl tanult tvonalat tartalmazza. A DUAL algoritmus a szomszd- s topolgiatblkban tallhat informcik alapjn szmolja ki az egyes hlzatokhoz vezet legkisebb kltsg tvonalakat. A topolgiatbla legfeljebb ngy elsdleges, hurokmentes tvonalat tartalmaz clhlzatonknt. Ezek a legjobb tvonalak bekerlnek az irnyttblba is. Az EIGRP kpes terhelselosztst vgezni, azaz tbb tvonalat is hasznlni egy adott clhoz a csomagok kldsekor. A terhelst egyenl 108
5. Forgalomirnyts tvolsgalap irnyt protokollal kltsg s nem egyenl kltsg tvonalak kztt is kpes elosztani. Ezzel a mdszerrel megelzhet, hogy az egyes tvonalak tlterheldjenek. A tartalk tvonalak, ms nven a msodik legjobb tvonalak (feasible successor) az irnyttblban nem, csak a topolgiatblban tallhatk. Ha az elsdleges tvonal kiesik, akkor a msodik legjobb tvonal vlik a legjobb tvonall. Ez a folyamat azonban csak akkor kvetkezik be, ha a msodik legjobb tvonal jelentett tvolsga kisebb, mint a jelenlegi legjobb tvonal tvolsga a clig. Irnyttbla Mg a topolgiatbla szmos lehetsges tvonalrl trol informcit, addig az irnyttbla csak a legjobb tvonalakat tartalmazza. Az EIGRP kt mdon jelent meg informcit az tvonalakrl: Az irnyttblban az EIGRP ltal tanult tvonalakat D -vel jelli. A ms irnyt protokollok ltal megtanult statikus vagy dinamikus tvonalakat D EX-el jelli, mert nem az autonm rendszeren belli EIGRP forgalomirnytktl szrmaznak.
109
A szomszdsgi viszony kialakulsa utn az EIGRP tbb klnbz csomagot hasznl az irnyttbla tartalmnak frisstsre s hirdetsre. A szomszdok a kvetkez csomagok segtsgvel tanulnak j -, jra felfedezett - s elrhetetlen utakat: Nyugtz Frisst Lekrdez Vlasz
Ha egy tvonal kiesik, akkor aktv llapotba kerl s a DUAL egy j tvonalat keres a clllomshoz. Ha tallt j tvonalat, akkor az bekerl az irnyttblba s passzv llapotba kerl. A fent emltett csomagokkal szerzett informcik alapjn szmolja ki a DUAL algoritm us a legjobb tvonalat.
110
Egy nyugtz csomag jelzi a frisst, a lekrdez s a vlasz csomagok megrkezst. Ezek adat nlkli, kismret hello csomagok. Az ilyen tpus csomagok minden esetben egyedi cmzssel rkeznek. A frisst csomag a szomszdoknak kldtt, topolgia-informcit tartalmaz csomag. A szomszdok ennek alapjn frisstik a topolgiatblikat. Az j szomszdoknak gyakran van szksgk olyan frisstsekre, melyek az egsz topolgirl trolt informcit tartalmazzk. Ha a DUAL egy tvonalat aktv llapotba helyez, akkor a forgalomirnytnak lekrdez csomagot kell kldenie az sszes szomszd fel (ismernek-e a kiesett hlzathoz vezet utat). Erre a szomszdoknak vlaszt kell kldenik, mg akkor is, ha nincs informcijuk a clhlzatrl. A vlasz csomagokban rkez informcik alapjn tallja meg a DUAL a legjobb tvonalat a clhlzat fel. A lekrdez csomagok egyedi klds (unicast) s csoportos klds (multicast) segtsgvel is tovbbthatk, mg a vlaszok kizrlag egyedi kldssel rkezhetnek. Az EIGRP csomagtpusok a TCP-hez hasonl sszekttets alap, vagy az UDP-hez hasonl sszekttets nlkli szolgltatst hasznlnak. A frisst, a lekrdez s a vlasz csomagok a TCP -hez hasonl szolgltatst vesznek ignybe, mg a nyugtz s a hello csomagok UDP-szert. Az EIGRP a hlzati rtegtl fggetlenl mkd irnyt protokoll. A Cisco tervezett egy sajt, negyedik rteg megbzhat szlltsi protokollt (Reliable Transport Protocol, RTP). Az RTP garantlja a klnbz hlzati rtegbeli protokollok mindegyike szmra az EIGRP csomagok kzbestst s fogadst. Mivel bonyolult nagy hlzatok akr tbb hlzati rtegbeli protokollt is hasznlhatnak, gy ezen tulajdonsga alapjn mondhatjuk, hogy az EIGRP rugalmas s bvthet protokoll. Az RTP egyarnt hasznlhat mind TCP-hez hasonl megbzhat, mind UDP-hez hasonlt legjobb szndk szlltsi protokollknt. Megbzhat RTP esetn, a kld fl egy nyugtt vr a fogad fltl. A frisst, a lekrdez s a vlasz csomagok megbzhat mdon kerlnek kzbestsre, mg a nyugtz s a hello csomagok csupn legjobb szndkkal, gy ezek nem ignyelnek nyugtt. Az RTP egyedi kldses s csoportos kldses csomagot is hasznl. A csoportos kldses EIGRP csomagok a fenntartott csoportos cmet, a 224.0.0.10 cmet hasznljk. Minden hlzati rtegbeli protokoll egy az adott irnyt protokollrt felels protokollfgg modulon (Protocol Dependent Module) keresztl dolgozik. Minden PDM hrom tblt tart karban. Egy IP -t, IPX-et, s AppleTalk-t futtat forgalomirnyt pldul hrom szomszdtblt, hrom topolgiatblt s hrom irnyttblt kezel.
111
A maximlis adattviteli egysg (MTU) rtket szintn tartalmazzk az irnytsi frisstsek, de ez nem tartozik az irnytsi mrtkek kz. Az sszetett mrtket szmt kplet (K rtk) K1-tl K5-ig tartalmaz paramtereket. Alaprtelmezsben K1=K3=1 s K2=K4=K5=0. Az 1 rtk azt mutatja, hogy a svszlessg s a ksleltets egyforma sllyal jtszanak szerepet az sszetett mrtk szmtsban. Svszlessg A svszlessg egy lland kbit/s-ban megadott rtk. A legtbb soros interfsz az alaprtelmezett 1544 kbit/s-os rtket hasznlja. Ez a T1 kapcsolatnak megfelel svszlessg. Gyakran a svszlessg rtke nem tkrzi az adott interfsz tnyleges fizikai svszlessgt. A svszlessg befolysolja a mrtk szmtst, s gy az EIGRP tvonalvlasztst is. Ha egy 56 kbit/s os sszekttetst 1544 kbit/s-os rtkkel azonostanak, akkor ez problmkat okozhat a konvergencia elrsben, mivel forgalomterhelssel fog kszkdni.
112
Az sszekttetsek kltsgnek kiszmtshoz hasznlt tbbi mrtk a ksleltets, a megbzhatsg s a terhels. A ksleltets a kimen interfsz tpustl fgg lland rtk. Az alaprtelmezett rtk 20,000 mikroszekundum soros interfszek, s 100 mikroszekundum Fast Ethernet interfszek esetn. A ksleltets nem a csomagok clllomshoz trtn megrkezshez szksges idt mutatja. A ksleltetsi rtk megvltoztatsa az adott interfszeken tnylegesen nem befolysolja a hlzat mkdst. A megbzhatsg megadja, hogy milyen gyakran trtnik hiba az adott sszekttetsen. A ksleltetstl eltren ez az rtk automatikusan vltozik az sszekttets krlmnyeitl fggen. Az rtkek 0 s 255 kztt lehetnek. A 255/255 s rtk 100%-os megbzhatsgot jelent. A terhels az sszekttetst hasznl forgalom nagysgt jelli. Egy kisebb terhelsi rtk jobb rtket jelent, mint a nagy. Az 1/255 jelenten pldul a minimlisan terhelt, mg a 255/255 a 100% osan kihasznlt sszekttetst.
Az EIGRP topolgiatbla szolgl a legkisebb tvolsg (Feaseable Distance, FD) s a meghirdetett tvolsg (Advertized, AD), vagy a jelentett tvolsg (Reported, RD) mrtkekhez tartoz rtkek karbantartsra. A DUAL ezen rtkek alapjn vlasztja ki a legjobb - s a msodik legjobb tvonalat. A legkisebb tvolsg a legjobb EIGRP mrtk a forgalomirnyttl a clhlzatig. A meghirdetett tvolsg a szomszd ltal hirdetett legjobb mrtk. 113
5. Forgalomirnyts tvolsgalap irnyt protokollal A legkisebb tvolsggal rendelkez hurokmentes tvonal lesz a legjobb tvonal. Az aktulis topolgitl fggen egy adott clllomsig tbb legjobb tvonal is ltezhet. A msodik legjobb tvonal a legjobb tvonal legkisebb tvolsgnl kisebb jelentett tvolsggal rendelkez tvonal lesz. A DUAL a topolgia-vltozs utn gyors konvergencit tesz lehetv. A msodik legjobb tvonalakat a topolgiatblban trolja s a legjobbat kzlk az eredeti legjobb tvonal kiesse esetn legjobb tvonalknt az irnyttblba helyezi. Ha nem ltezik msodik legjobb tvonal, akkor az eredeti legjobb tvonal aktv llapotba kerl s lekrdez csomagok kldse kvetkezik az j legjobb tvonal megtallsa rdekben.
114
5. Forgalomirnyts tvolsgalap irnyt protokollal Az EIGRP irnytsi folyamat engedlyezshez egy autonm rendszerazonost (autonomous system - AS) szksges. Ez az autonm rendszerazonost brmilyen 16 bites rtk lehet, s egy vllalat vagy szervezet forgalomirnytit azonostja. Br az EIGRP ezt az rtket autonm rendszerazonostnak hvja, valjban folyamatazonostknt szolgl. Ennek az AS azonostnak csak helyi jelentsge van s nem azonos az Internet Assigned Numbers Authority (IANA) ltal kiosztott autonm rendszer szmval. Az AS szmnak az adott EIGRP irnytsi folyamatban rsztvev forgalomirnytk mindegyikn egyeznie kell. 2. lps A network parancs kiadsa minden hirdetend hlzatra. A network parancs hatrozza meg az EIGRP szmra az irnytsi folyamatban rsztvev interfszeket s hlzatokat.
Csak bizonyos alhlzatok hirdetse esetn kell megadni a helyettest maszkot a hlzat cme utn. A helyettest maszk kiszmtshoz vonja ki az alhlzati maszkot a 255.255.255.255-bl. A Cisco IOS bizonyos verzii lehetv teszik a helyettest maszk helyett az alhlzati maszk hasznlatt. Mg akkor is, ha az alhlzati maszkot hasznljuk, a show running-config parancs a helyettest maszkot jelenti meg.
115
5. Forgalomirnyts tvolsgalap irnyt protokollal Tovbbi kt parancs egszti ki az EIGRP tipikus alapszint konfigurcijt. A szomszdsgi viszonyok vltozsainak kvetseihez adja hozz az eigrp log-neighborchanges parancsot a konfigurcihoz! Ez elsegti az EIGRP hlzat stabilitsnak megfigyelst a hlzati rendszergazda szmra. Olyan soros sszekttetseken, ahol a svszlessg nem az alaprtelmezett 1,544 Mbit/s, adja ki a Bandwith parancsot az sszekttets tnyleges sebessgnek kbit/s-ban megadott rtkvel. A nem pontos svszlessg rtk megakadlyozhatja a tnylegesen legjobb tvonal kivlasztst.
Az EIGRP engedlyezse utn, brmely EIGRP-vel s megfelel AS azonostval konfigurlt forgalomirnyt belphet az EIGRP hlzatba. A klnbz s ellentmondsos tvonal informcival rendelkez forgalomirnytk befolysolhatjk, illetve helytelen informcival tlthetik meg az irnyttblt. Ennek megelzsre lehetsg van az EIGRP konfigurcin bell a hirdetsek hitelestsnek engedlyezsre. Amint a szomszdok hitelestse engedlyezett, a forgalomirnyt a frisstsek forrsait az informcik feldolgozsa eltt hitelesti. Az EIGRP hitelestshez elre megosztott kulcsokra van szksg. Az EIGRP kulcsokat a rendszergazda tartja karban egy kulcslncon keresztl. Az EIGRP hitelestsek konfigurcija kt lpsbl ll: a kulcs ltrehozsa s a kulcsot hasznl hitelests engedlyezse. Kulcs ltrehozsa A kulcs ltrehozshoz a kvetkez parancsokra van szksg:
key chain lnc_neve
Globlis konfigurcis parancs. A kulcslnc nevt hatrozza meg s belp kulcslnc konfigurcis mdba.
key kulcs_azonost
key-string szveg
Azonostja a kulcs karakterlncot vagy ms nven jelszt. Ennek minden EIGRP forgalomirnytn egyeznie kell.
116
5. Forgalomirnyts tvolsgalap irnyt protokollal Hitelests engedlyezse Az EIGRP MD5 hitelestst a kulcs segtsgvel a kvetkez interfsz konfigurcis parancsokkal lehet engedlyezni:
ip authentication mode eigrp md5
117
118
Kikapcsolt automatikus sszevons mellett minden alhlzatot hirdetnek a forgalomirnytk. Egy rendszergazda tallkozhat olyan esettel, amikor bizonyos tvonalakat sszegezni kell, mg msokat nem. A dnts az alhlzatok elhelyezkedstl is fgg. Ngy ugyanahhoz a forgalomirnythoz kapcsold folytonos alhlzat esetben pldul rdemes sszevonni. A manulis tvonal sszevons az EIGRP tvonalak pontosabb ellenrzst teszi lehetv, gy a rendszergazda dntheti el, hogy mely interfszek mely alhlzatait hirdeti sszevont tvonalknt. A manulis sszevonst interfszenknt kell elvgezni. Ez az eljrs a rendszergazda szmra teljes ellenrzst biztost. Egy manulisan sszevont tvonal az irnyttblban logikai (nem fizikai) interfsztl szrmaz EIGRP tvonalknt jelenik meg:
D 192.168.0.0/22 is a summary, Null0
119
5. Forgalomirnyts tvolsgalap irnyt protokollal Br az EIGRP viszonylag egyszeren konfigurlhat protokoll, kifinomult technolgikat hasznl a tvolsgvektor alap irnyt protokoll korltainak kikszblsre. Fontos, hogy megrtsk ezeket a technolgikat, hogy megfelelen tudjuk egy EIGRP hlzat konfigurcijt ellenrizni s a hibkat megkeresni. Nhny ellenrzsre szolgl parancs:
show ip protocols
Megmutatja, hogy az EIGRP a megfelel hlzatokat hirdeti-e, valamint kimenetbl leolvashat az autonm rendszerazonost s az adminisztratv
show ip route
Segtsgvel leellenrizhet, hogy minden EIGRP tvonal az irnyttblban van -e. Az EIGRP tvonalak D vagy D EX betkkel vannak megjellve, s a bels utak alaprtelmezett adminisztratv tvolsga 90.
Segtsgvel leellenrizhetk az EIGRP szomszdsgi viszonyai. Megmutatja a szomszdos forgalomirnytk interfszeit s IP-cmeit.
Megmutatja a legjobb s az sszes msodik legjobb tvonalat, valamint a legkisebb s a jelentett tvolsgot.
Ezeknek a parancsoknak az elsdleges clja az EIGRP szomszdsgi viszonyok sikeres ltrejttnek, valamint a forgalomirnytk kztti sikeres informcicsernek az ellenrzse. Az E IGRP a szomszdsgi viszonyok kialakulsa nlkl nem mkdhet, gy minden ms hiba feldertse eltt ennek az ellenrzsre van szksg. Ha a szomszdsgi viszonyok megfelelek, de tovbbra is fennll a problma, akkor a rendszergazdnak a debug parancsok segtsgvel kell a hibkat megkeresnie. Ezek a parancsok lehetv teszik az EIGRP esemnyek vals-idej nyomonkvetst.
debug eigrp packet
megjelenti az EIGRP-nek a msodik legjobb tvonalakkal kapcsolatos tevkenysgeit, aminek alapjn megllapthat, hogy az tvonalakat trltk, felfedeztk vagy bejegyeztk -e.
120
5. Forgalomirnyts tvolsgalap irnyt protokollal A debug folyamatok nagy svszlessget s feldolgozsi idt vesznek ignybe, klnsen akkor, ha az EIGRP-hez hasonl nagyon komplex protokoll monitorozsrl van sz. Ezek a parancsok olyan rszleteket nyjtanak, amelyek segtsgvel pontosan meghatrozhat egy elveszett EIGRP tvonal forrsa, vagy egy hinyz szomszdsgi viszony. Termszetesen ezen parancsok hasznlata leronthatja a hlzati teljestmnyt.
Az EIGRP a legjobb tvolsgvektor alap irnyt protokoll, mely tipikusan kapcsolatllapot alap irnyt protokollokra jellemz tulajdonsgokat is magba foglal (kapcsolt frisstsek, szomszdsgi viszonyok). Az EIGRP szmos tulajdonsgnak sikeres hasznlata figyelmes konfigurlst, felgyeletet s hibafeldertst ignyel.
121
122
RIP protokollt alkalmaz forgalomirnytk a kzvetlen szomszdjaikrl kapnak frisstseket, de a hlzat egszrl nincsenek ismereteik. Az OSPF protokollt futtat forgalomirnytk viszont ltrehozzk a teljes hlzaton bell sajt terletk trkpt, s ez ltal kpesek gyorsan meghatrozni j, hurokmentes tvonalakat egy kapcsolat megszakadsa (hlzati ad atcsatorna hibja) esetn.
123
6. Kapcsolatllapot alap forgalomirnyts Az OSPF nem sszegzi automatikusan az tvonalakat a fbb hlzathatrokon, tovbb a Cisco OSPF implementcija figyelembe veszi a svszlessget egy kapcsolat kltsgnek meghatrozsnl. A legjobb tvonal meghatrozshoz kltsgmrtket alkalmaz. A Cisco OSPF implementcija egy tvonal kltsgnek meghatrozsnl a svszlessget veszi figyelembe. A nagyobb svszlessg sszekttets kisebb kltsget jelent. A clhoz vezet legkisebb kltsg tvonal lesz a legmegfelelbb. A legjobb t meghatrozsnl a forgalomirnyt szmra a svszlessg alap mrtk megbzhatbb, az ugrsszm alapnl. A mrtk megbzhatsgbl s pontossgbl addan az OSPF adminisztratv tvolsga 110, mely kisebb a RIP protokollnl.
Az azonos terlethez tartoz OSPF forgalomirnytk a kapcsolat-llapotukrl n. kapcsolatllapothirdetseket (LSA Link State Advertisement) kldenek a szomszdjaiknak. Miutn egy OSPF forgalomirnyt LSA zenetek segtsgvel a teljes terlet minden sszekttetst feltrkpezi azaz meghatrozza a terlet hlzat trkpt, ebbl az SPF algoritmus vagy ms nven Dijkstra algoritmus alkalmazsval felpt egy az adott forgalomirnyitbl kiindul terleti topolgia ft. Minden forgalomirnyt, mely az algoritmust futtatja, az SPF fa gykerben sajt magt tnteti fel. A gykrbl kiindulva, az sszkltsg alapjn minden clhlzathoz meghatrozza a legrvidebb utat. Ezek sszessge az SPF fa.
124
6. Kapcsolatllapot alap forgalomirnyts Az OSPF kapcsolatllapot vagy topolgiai adatbzis trolja az SPF fa informciit, s minden hlzathoz vezet legrvidebb tvonal bekerl az irnyttblba. A konvergencia bekvetkezik, ha minden forgalomirnyt: Megkapott minden informcit a hlzat sszes irnyrl Az ismereteket feldolgozta az SPF algoritmus alkalmazsval Frisstette az irnyttbljt
A szomszdsgi kapcsolatok kialaktsa a Hello protokollra pl, melynek sorn a kzvetlenl kapcsold OSPF forgalomirnytk kismret csomagokat kldenek egymsnak a 224.0.0.5 csoportos (tbbes kldses, multicast) cm alkalmazsval. A Hello zenetek kldse Ethernet s zenetszrsos hlzatokon 10, mg nem szrsos hlzatokon 30 msodpercenknt trtnik. A forgalomirnytk belltsaiban a hello idzt, a vrakozsi idzt, a hlzattpus, a hitelests tpusa s a hitelestsi adatok egyarnt megvltoztathatk. Szomszdsgi viszony esetn ezeknek a paramtereknek egyeznik kell. A forgalomirnytk e viszonyokat a kapcsolatllapot adatbzisban troljk.
125
Az OSPF forgalomirnyt norml esetben teljes rtk szomszdsgi llapotban van. Ha az eszkz huzamosabb ideig egy msik llapotban marad, akkor valamilyen problmra lehet kvetkeztetni. Ilyen problmt okozhatnak pldul a nem megegyez belltsok. Az egyetlen kivtelt a ktutas llapot kpezi. Szrsos krnyezetben egy forgalomirnyt a kijellt forgalomirnytval (DR designated router) s a tartalk kijellt forgalomirnytval (BDR - backup designated router) alakt ki teljes rtk szomszdsgi viszonyt. A DR s a BDR forgalomirnytk megvlasztsval a frisstsek szma s a szksgtelen forgalom cskkenthet, tovbb a forgalomirnytk feldolgozsi folyamata gyorsthat. Ennek megvalstshoz egyedl az szksges, hogy a forgalomirnytk csak a kijellt forgalomirnyttl fogadjanak frisstseket. Szrsos hlzati szegmensen egyetlen kijellt, illetve tartalk kijellt forgalomirnyt jelenlte szksges, az sszes tbbi forgalomirnyt csak ezekkel van szomszdsgi kapcsolatban. Egy kapcsolat kiessekor, az a forgalomirnyt, amelyiknek rzkeli a kapcsolat megsznst, zenetet kld a DR forgalomirnytnak a 224.0.0.6 csoportos cmet hasznlva. A DR felelssge eljuttatni az informcit a tbbi OSPF forgalomirnytnak a 224.0.0.5 csoportos cm alkalmazsval. Azon kvl, hogy gy cskkenthet a frisstsek szma, a folyamat biztostja, hogy minden forgalomirnyt egysgesen, egyidben s ugyanazt az informcit kapja meg egyetlen forrsbl. A tartalk kijellt forgalomirnyt (BDR) jelenltvel kikszblhet a hlzat egyetlen hibapontbl szrmaz srlkenysge. A kijellt forgalomirnythoz hasonlan a BDR is figyeli a 224.0.0.6 IP cmre rkez zeneteket, illetve megkapja a frisstseket. A DR mkdskptelenn vlsa esetn a BDR forgalomirnyt azonnal tveszi a kijellt forgalomirnyt szerept, s j BDR vlaszts trtnik a szegmensen. A kitntetett szereppel nem rendelkez forgalomirnytk neve: DROther. Helyi hlzatokon a legmagasabb OSPF forgalomirnyt azonostval rendelkez forgalomirnytt lesz a DR. A msodik legnagyobb forgalomirnyt-azonostval rendelkez lesz a BDR.
126
6. Kapcsolatllapot alap forgalomirnyts 1. 1. 2. 3. A forgalomirnyt azonost egy IP-cm, amelyet az albbi paramterek befolysolnak: A router-id parancs alkalmazsval meghatrozott rtk Ha nincs belltott rtk a legmagasabb belltott IP-cm brmely loopback interfszen Ha nincs belltott loopback interfsz, akkor a legmagasabb IP -cm brmelyik aktv fizikai interfszen.
Elfordulhat, hogy a hlzati rendszergazda maga szeretn meghatrozni a kijellt s a tartalk kijellt forgalomirnytt. Kivlaszthat pldul egy nagyobb teljestmny vagy kisebb terheltsg forgalomirnytt erre a clra. Ehhez befolysolnia kell a DR s BDR vlasztst a megfelel priorits belltsval az albbi parancs segtsgvel:
ip ospf priority number
Alaprtelmezett belltsok szerint az OSPF forgalomirnytk prioritsa 1. Ha a priorits rtke megvltozik egy forgalomirnytn, a nagyobb rtk nyer a DR s BDR vlasztson. A legnagyobb bellthat rtk a 255. A 0 rtk belltsval megakadlyozhat egy forgalomirnyt megvlasztsa DR-nek vagy BDR-nek.
Nem minden OSPF hlzattpus esetn szksges kijellt s tartalk kijellt forgalomirnyt. Az OSPF protokoll az albbi tpusokat klnbzteti meg: zenetszrsos tbbszrs hozzfrs hlzatok Ethernet
127
Nem szrsos tbbszrs hozzfrs (NBMA - Non-Broadcast Multi-Access) hlzatok: Frame Relay ATM
zenetszrsos tbbszrs hozzfrs hlzatok esetn, mint az Ethernet is, a szomszdok szma igen sok lehet, ezrt szksges kijellt forgalomirnyt. Pont-pont hlzatok esetn teljes rtk szomszdsgi viszonyok kialaktsa problmamentes, hiszen a hlzattpus termszetbl addan a kapcsolatban csupn kt forgalomirnyt vesz rszt. Ebben a helyzetben nem szksges kijellt forgalomirnytt vlasztani s alkalmazni. NBMA hlzatok esetn az OSPF protokoll ktfle mdban mkdhet: Szimullt zenetszrsos krnyezetben: A rendszergazda bellthatja a hlzat tpust zenetszrsosnak, gy a hlzat DR s BDR vlasztssal zenetszrsos modellt szimull. Ilyen esetben ltalban ajnlott priorits belltsval meghatrozni a kijellt s a tartalk kijellt forgalomirnytkat is, s ezzel biztostani a DR s a BDR kapcsolatt a hlzat sszes tbbi forgalomirnytjval. A szomszdos forgalomirnytk szintn bellthatk az OSPF konfigurcis mdban alkalmazott neighbor parancs segtsgvel. Pont-tbbpont krnyezet: Minden, nem zenetszrsos hlzatot pont-pont kapcsolatok sszessgeknt kezel az OSPF, ezrt a DR vlaszts szksgtelen. A szomszdos forgalomirnytkat ebben az esetben is statikusan kell belltani.
Pont-pont
128
129
A folyamatazonost rtkt a rendszergazda vlasztja meg az 1-tl 65 535-ig terjed intervallumbl. Csupn helyi jelentsg (csak az adott forgalomirnytn hasznlt), ezrt nem szksges megegyeznie a tbbi OSPF forgalomirnytn belltott folyamatazonostval. 2. lps: Hlzatok hirdetse
Router(config-router)#network <terletazonost> <hlzati-cm> <helyettest-maszk> area
A network parancs funkcija megegyezik a ms bels irnyt protokollok esetn megszokott funkcival. Egyfell meghatrozza azokat az interfszeket, amelyeken engedlyezett az OSPF csomagok kldse s fogadsa, msfell azonostja azokat a hlzatokat, amelyeket az OSPF irnytsi frisstseinek tartalmaznia kell. Az OSPF network parancs egy hlzati cm s egy helyettest maszk (wildcard mask) egyttest hasznlja, ezek kzsen jellik ki az OSPF OSPF szmra engedlyezett interfszeket, s hlzatokat. A terletazonost (area ID) meghatrozza azt a terletet, melyhez a hlzat tartozik. Ha nincsenek terletek definilva, a 0-s terletet akkor is fel kell tntetni. Egyterlet OSPF krnyezetben a terletazonost mindig 0. Az OSPF network parancs alkalmazsnl a helyettest maszkot minden esetben meg kell adni. tvonalsszegzs s szuperhlzatok hasznlata esetn a helyettest maszk az alhlzati maszk inverze. Egy hlzat vagy alhlzat helyettest maszkjnak meghatrozshoz az interfsz decimlis alhlzati maszkjt egyszeren ki kell vonni a csupa 255-s maszkbl (255.255.255.255). Pldul egy rendszergazda a 10.10.10.0/24-es alhlzatot szeretn hirdetni az OSPF protokoll esetn. Mivel ebben az esetben az alhlzati maszk /24, azaz 255.255.255.0, a helyettest maszk kiszmtshoz ezt kell kivonni a csupa 255-s maszkbl. Csupa 255-s maszk: 255.255.255.255 Alhlzati maszk: - 255.255.255.0 ----------------------Helyettest maszk: 0. 0 . 0 .255 A szmts alapjn az OSPF network parancs formja:
Router(config-router)#network 10.10.10.0 0.0.0.255 area 0
130
131
6. Kapcsolatllapot alap forgalomirnyts amely belekerl minden OSPF csomagba. A csomagellenrz alkalmazsok hasznlatval a kulcs nem szerezhet meg, hiszen nem kerl tovbbtsra a hlzaton.
132
A svszlessg is olyan paramter, amely gyakori mdostst ignyelhet. A Cisco forgalomirnytkon a legtbb soros interfsz svszlessgnek alaprtelmezett belltsa 1.544 Mb it/s, azaz a T1 kapcsolat sebessge. Ez az rtk meghatrozza a kapcsolat OSPF kltsgt, de valjban nem fgg ssze a kapcsolat sebessgvel. Bizonyos krlmnyek kztt egy szervezet rszleges T1 kapcsolatot kap az internetszolgltattl. Rszleges T1 kapcsolat pldul a T1 kapcsolat egynegyed rsze, azaz 384 Kbit/s. Az IOS a T1 kapcsolat alaprtelmezett teljes svszlessgt rzkeli a soros kapcsolaton, mg ha az csak 384 Kbit/s is. A hibs rzkels helytelen tvlasztst eredmnyez, mivel a kapcsolatot az irnyt protokollok a tnylegesnl gyorsabb kapcsolatknt veszik szmtsba. Amikor a soros interfsz nem az alaprtelmezett T1 sebessggel mkdik, a megfelel bandwidth rtk kzi belltsa szksges. A kapcsolat mindkt vgpontjn ugyanazt az rtket kell konfigurlni. OSPF esetn a bandwidth interface s az ip ospf cost interface parancsok alkalmazsval vgrehajtott mdostsok azonos eredmnyre vezetnek. Mindkt parancs pontos rtket hatroz meg az OSPF protokoll szmra a legjobb tvonal meghatrozshoz. A bandwidth parancs megvltoztatja az OSPF kltsgmrtknek meghatrozshoz hasznlt svszlessg rtkt. A kltsg kzvetlen megvltoztatsra az ip ospf cost parancs hasznlhat.
133
6. Kapcsolatllapot alap forgalomirnyts Az OSPF protokoll kltsgmrtkhez kapcsold tovbbi paramter a referencia-svszlessg, amely az interfsz kltsgnek, ms nven a kapcsolat kltsgnek (link cost) kiszmtshoz szksges. Az egyes interfszek esetn a svszlessg-rtknek meghatrozsa a kvetkez kplettel trtnik: 100 000 000/svszlessg. A 100 000 000 (10^8) rtk az n. referencia-svszlessg rtk. Problmt okoznak a nagyobb sebessg sszekttetsek, pldul a Gigabit Ethernet s a 10Gbit Ethernet. Az alaprtelmezett 100 000 000 referencia-svszlessg vagy az ennl gyorsabb kapcsolatok OSPF kltsge egysgesen 1. Pontosabb kltsgszmtsok rdekben szksges lehet a referencia-svszlessg rtknek mdostsa, mely az auto-cost reference-bandwidth paranccsal hajthat vgre. Amennyiben szksg van ennek a parancsnak a hasznlatra, akkor az OSPF mrtk kvetkezetessgnek rdekben minden forgalomirnytn egysgesen kell alkalmazni a belltst. Az j referencia-svszlessg Mbit/s ban adhat meg. Pldul, 10-Gigabit referencia-svszlessg megadsa esetn a megfelel rtk 10 000.
134
Informcit ad arra vonatkozan, hogy a forgalomirnyt kap-e s kld-e OSPF tvonal informcit.
135
Az alaprtelmezett tvonal az OSPF hlzaton belli terjesztshez az albbi lpsek szksgesek: 1. lps Alaprtelmezett tvonal konfigurlsa az ASBR forgalomirnytn.
R1(config)#ip route 0.0.0.0 0.0.0.0 serial 0/0/0
Az ip route parancs alkalmazsa sorn vagy egy interfszt vagy a kvetkez ugrs IP -cmt kell megadni.
136
6. Kapcsolatllapot alap forgalomirnyts 2. lps ASBR forgalomirnyt konfigurlsa az alaprtelmezett tvonal hirdetsre. Alaprtelmezs szerint, az OSPF protokoll hirdetsei mg akkor sem tartalmazzk az alaprtelmezett tvonalat, ha az mr szerepel az irnyttblban.
R1(config)#router ospf 1 R1(config-router)#default-information originate
A fenti parancsok eredmnyeknt az OSPF tartomny forgalomirnytinak irnyttbljban megjelenik egy vgs (last resort) tjr s a 0.0.0.0/0 hlzat. Az gy bejegyzett alaprtelmezett tvonal az irnyttblban kls tvonalknt (E2) ltszik.
Ez a ngy hlzat sszevonhat s egyetlen hlzatknt hirdethet a 192.168.0.0/22 cmmel. Az tvonalsszevons az OSPF tartomnyban cskkenti a meghirdetett hlzatok szmt, a szksges memria nagysgt s a forgalomirnyt frisstseiben szerepl bejegyzsek szmt. Tovbb elnyt jelent, hogy az sszevons mrskli a folyamatosan eltn, majd jramegjelen n. vltakoz tvonalak (flapping route) negatv hatst. A vergds olyan tvonalra utal, amely folyamatosan vltozik a mkd s a mkdskptelen llapot kztt. Alaprtelmezsben egy vltakoz (hol mkd, hol lekapcsolt llapot) tvonal minden llapotvltozsa tvonalfrisstst eredmnyez az egsz tartomnyban, s ez jelentsen megnveli a hlzat forgalmt s terheltsgt. Amikor egy forgalomirnyt tvonalsszevonst alkalmaz, egyetlen, szuperhlzat-cmmel jell tbb tvonalat. Az tvonalak kzl elg csupn egy mkdkpessge ahhoz, hogy a forgalomirnyt meghirdethesse az sszevont tvonalat. Abban az esetben ha az tvonalak kztt van egy vagy tbb vltakoz tvonal, a forgalomirnyt tovbbra is csak a sokkal stabilabb sszevont tvonalat fogja hirdetni, s az egyes klnll tvonalakrl egyltaln nem tovbbt frisstst. Az tvonalsszevonst vgz forgalomirnyt brmely vltakoz tvonalon tovbbtand csomagot egyszeren eldobja, amg az adott tvonal mkdskptelen. Az OSPF ASBR eszkz forgalomirnyt konfigurcis zemmdjban az albbi parancs segtsgvel konfigurlhat sszevont tvonal:
area terlet-azonost range IP-cm maszk
A parancson bell meg kell hatrozni azt a terletet, amelyen az tvonalsszegzs trtnik, valamint a kezd hlzat cmt s alhlzati maszkjt.
137
138
Amikor tbb irnyt protokoll fut egyetlen forgalomirnytn, elfordulhat, hogy ugyanazt az tvonalat a forgalomirnyt tbb forrsbl is megtanulja. Ilyen esetben elengedhetetlen egy olyan jl meghatrozott mdszer a forgalomirnyt szmra, amellyel kivlaszthatja a legmegfelelbb tvonalat s elhelyezheti az irnyttblban.
139
6. Kapcsolatllapot alap forgalomirnyts Amikor egy forgalomirnyt egyetlen hlzatrl tbb forrsbl is rtesl, az adminisztratv tvolsg (AD - administrative distance) figyelembevtelvel hatrozza meg az elnyben rszestett tvonalat. A Cisco IOS minden irnytsi informcit alkalmaz mdszerhez egy adminisztratv tvolsgot rendel. Ha egy forgalomirnyt egy meghatrozott alhlzatrl RIP s OSPF forrsbl is rtesl, az OSPF ltal tanult tvonalat fogja elnybe rszesiteni s eltrolni az irnyttblban. Az irnyttbla bejegyzseinek elejn lthat kd jelzi az tvonal forrst, vagy a tanuls mdjt. Minden kdhoz meghatrozott AD tartozik.
Ha kt hlzat azonos hlzati cmmel s alhlzati maszkkal rendelkezik, akkor a forgalomirnytk azonosnak ltjk ket. Ez a megllapts akkor is igaz, ha a kt hlzat kzl az egyik egy sszevont hlzat, a msik pedig az sszevonsban szerepl valamelyik nll hlzat. Annak ellenre, hogy a 192.168.0.0/22 sszevont hlzat tartalmazza a 192.168.1.0/24 hlzatot, kln bejegyzsknt szerepelnek. Ilyen esetekben mindkt bejegyzs megtallhat az irnyttblban. Annak eldntsre, hogy melyik tvonal legyen hasznlatban, a leghosszabb eltag egyezs szolgl. Pldul, egy forgalomirnyt csomagot kap a 172.16.0.10 clcmmel. Hrom lehetsges tvonalnak felel meg: 172.16.0.0/12, 172.16.0.0/18, s. Kzlk a 172.16.0.0/26 mutatja a leghosszabb egyezst. Egyezsrl akkor beszlhetnk, ha legalbb az alhlzati maszkban jelzett bitszmig megegyezik binrisan a clcm s az adott tvonal.
140
141
142
7. Vllalati WAN kapcsolatok megvalstsa (Customer Premise Equipment, CPE) kifejezst hasznljk az gyfl telephelyn elhelyezked berendezs megjellsre.
A kzponti iroda (CO) az a hely, ahol a szolgltat a berendezseit trolja, s fogadja az gyflkapcsolatokat. A CPE-tl kiindul fizikai vonal rz vagy optikai kbelt hasznlva csatlakozik a kzponti irodban elhelyezett forgalomirnythoz vagy WAN kapcsolhoz. Ez a kapcsolat az gynevezett helyi hurok vagy utols mrfld (last mile). Az gyfl szemszgbl ez a els mrfld (first mile), mivel ez az gyfl telephelyrl kivezet tviteli kzeg els szakasza. A CSU/DSU vagy a modem feladata a helyi hurok fel tart adatok mozgsnak temez se, valamint az rajel biztostsa a forgalomirnyt szmra. A CSU/DSU adatkommunikcis (Data Communications Equipment, DCE) eszkznek minsl. A DCE fel tart adatok tovbbtsrt felels forgalomirnyt viszont az adat-vgberendezsek (Data Terminal Equipment, DTE) csoportjba tartozik. A DTE/DCE interfsz szmos fizikai rtegbeli protokollt hasznl, pldul az X.21 -et s a V.35-t. Ezek a protokollok rgztik azokat a jel- kd- s elektronikus paramtereket, melyeket a forgalomirnytk s a CSU/DSU eszkzk hasznlnak az egymssal val kommunikcihoz.
143
A technolgiai fejlesztsek egyre jobb jelzsi szabvnyokat eredmnyeznek, amelyek megnvekedett sebessget, nagyobb adatforgalmat tesznek lehetv. A megfelel WAN technolgia kivlasztsakor fontos szempont a kapcsolat sebessge. A WANkapcsolatokat megvalstsra ltrehozott els digitlis hlzatok 64 kbit/s sebessg kapcsolatokat tmogattak, brelt vonalon keresztl. A 0-s szint digitlis csatorna (Digital Signal level 0, DS0) kifejezs erre a szabvnyra utal. A technolgia fejldsvel, a szolgltatk a DS0 csatorna kibvtett vltozatait is biztostottk az elfizetk szmra. szak-Amerikban pdul a DS1 szabvny, ms nven T1 vonal, egy olyan kommunikcis vonalat definil, amely 24 DS0 adatcsatornt, s egy 8 kbit/s sebessg, jelzsrenszeri csatornt foglal magban. Ez a szabvny maximlisan 1,544 Mbit/s sebessget tesz lehetv. A T3 vonalak a DS3 szabvnyt hasznljk, amely 28 DS1 csatornt fog ssze s ezltal maximlisan 44,736 Mbit/s tviteli sebessgre kpes. A vilg ms rszein ms szabvnyokat alkalmaznak. Eurpban pldul E1 vonalakat knlnak a szolgltatk, melyek 32 DS0 csatorna tmogatsval 2,048 Mbit/s sebessgre kpesek. Tallkozhatunk E3 kapcsolatokkal is, melyek 16 E1 vonalat felhasznlva maximlisan 34,064 Mbit/s sebessget biztostanak.
144
Szmos szervezet van, amely a fizikai- s az adatkapcsolati rtegbeli WAN szabvnyok kezelsrt felels. Ilyen szervezet pldul: Nemzetkzi Telekommunikcis Szvetsg Telekommunikcis Szabvnyostsi Csoportja (International Telecommunications Union Telecommunications Standardization Sector, ITU-T) Nemzetkzi Szabvnygyi Hivatal (International Organization for Standardization, ISO) Internet Mrnki Munkacsoport (Internet Engineering Task Force, IETF) Elektronikai Ipargak Szvetsge (Electronics Industry Alliance, EIA) Telekommunikcis Ipari Szvetsg (Telecommunications Industry Association, TIA)
145
Szmos vllalat fizet el olyan szolgltatsokra, amelyek dediklt vonalak segtsgvel biztostjk az sszekttetst telephelyk s az ISP kztt. Ezek gyakran brelt vonali szolgltatsok formjban valsulnak meg, melyekrt a vllalatok havi elfizetsi djat fizetnek. Ezek a vonalak risi mennyisg adat tvitelre kpesek. Egy T1 kapcsolat pldul 1,544 Mbit/s, mg egy E1 vonal 2,048 Mbit/s sebessggel kpes tovbbtani a forgalmat. Gyakran ez a svszlessg nagyobb, mint amire a szervezetnek valjban szksge lenne. Egy T1 vonal feloszthat 24 darab 64 Kbit/s sebessg DS0 csatornra. Ebben az esetben az gyfl a T1/E1 kapcsolatnak csak egy rszre, ms nven rszleges (frakcionlis) T1 vagy E1 kapcsolatra fizet el. A nagy svszlessg kapcsolatok tbb DS0 csatornra bonthatak fel. Az internetszolgltatk az egyes DS0 vonalakhoz klnbz kommunikcis prbeszdeket vagy vgfelhasznlkat rendelhetnek hozz. A szervezetek egy vagy tbb DS0 csatornt is megvsrolhatnak. Egy DS0 csatorna nem egy fizikailag klnll entits, inkbb a vonal fizikai svszlessgnek egy idszelethez hasonlthat. Az egyes frakcionlis kapcsolatok az sszes idtartam egy tredkig teljes hozzfrst tesznek lehetv az tviteli kzeghez a szervezet szmra. Kt technika ltezik arra, hogy az id fggvnyben az informcikldshez egyetlen kbel svszlessgt tbb csatorna
146
7. Vllalati WAN kapcsolatok megvalstsa kztt lehessen megosztani: az egyszer idosztsos multiplexels (Time Division Multiplexing, TDM) s a statisztikai alap idosztsos multiplexels (Statistical -Time Division Multiplexing, STDM).
Az idosztsos multiplexels (TDM) elre meghatrozott idrsek alapjn osztja meg a svszlessget. Minden ilyen idrst egy egyedi prbeszdhez rendelnek. Az egyes idrsek azt az idtartamot reprezentljk, ami alatt egy prbeszd teljes kren hasznlhatja a fizikai tviteli kzeget. A svszlessget attl fggetlenl lefoglaljk az egyes csatornk vagy idrsek szmra, hogy a csatornt hasznl llomsnak vannak-e tovbbtsra vr adatai. Kvetkezskppen a szabvnyos TDM esetn, ha egy llomsnak ppen nincs kldend zenete, idrse kihasznlatlan marad, elpazarolva az rtkes svszlessget. A statisztikai idosztsos multiplexels (STDM) hasonlt a TDM-hez, eltekintve attl, hogy nyomon kveti a tbblet svszlessget ignyl prbeszd-folyamokat. Ez a megolds a fel nem hasznlt idrseket az aktulis szksgletek szerint dinamikusan kiosztja. Ily mdon az STDM segtsgvel minimalizlhat az elpazarolt svszlessg.
7. Vllalati WAN kapcsolatok megvalstsa A prbeszd befejeztvel az ramkr felszabadul. Ms szervezet nem hasznlhatja az ramkrt addig, amg az szabadd nem vlik. Ez egyfajta biztonsgot jelent, amely nincs jelen a csomagkapcsolt vagy a cellakapcsolt technolgik esetben. Vonalkapcsols esetn akkor rendelik hozz a szolgltatk az egyes kapcsolatokhoz az sszekttetseket, amikor az erre vonatkoz ignyt berkezik. Kltsget csak akkor szmolnak fel, ha az sszekttets hasznlatban van. Egy vonalkapcsolt sszekttets kltsge a hasznlati id fggvnyben vltozik, s gyakori hasznlat esetn meglehetsen drga lehet. Csomagkapcsols A csomagkapcsols jval hatkonyabban hasznlja ki a vonalak svszlessgt, mint ms kapcsolsi tpusok. Az adatokat itt csomagokra bontjk, melyekhez cl- s forrs-azonostkat rendelnek. Ezutn az adatok a szolgltat hlzatba lpnek. A szolgltat fogadja az adatokat s clcimk alapjn tovbbkapcsolja azokat egyik csompontrl a msikra, mg el nem rik vgs cljukat. A forrs s cl kztti tvonal vagy ramkr, ltalban elre meghatrozott, de nem kizrlagos hasznlat sszekttets. A szolgltatk a klnbz szervezetek fell rkez csomagokat ugyanazon sszekttetseken keresztl kapcsoljk. A csomagkapcsolt technolgia egyik pldja a Frame Relay. Cellakapcsols A cellakapcsols a csomagkapcsols egy vltozata. Alkalmas hang, video s adattvitelre magn vagy nyilvnos hlzatokon keresztl, akr 155 Mbit/s sebessggel. Az ATM (Asynchronous Transfer Mode) technolgia fix mret, 53 bjtos cellkat hasznl, melyek egy 48 bjtos adatrszbl s egy 5 bjtos fejrszbl llnak. A kicsi, egyforma mret cellk gyors s hatkony kapcsolst tesznek lehetv a csompontok kztt. Az ATM technolgia egyik elnye, hogy megakadlyozza, hogy a kisebb mret zeneteket visszatartsk a nagyobb mret zenetek. A fknt szegmentlt adatokat forgalmaz hlzatokban azonban az ATM nagymrtk tbbletterhelst eredmnyez, amely tnylegesen cskkenti a hlzat teljestmnyt. Virtulis ramkrk Csomagkapcsolt technolgia hasznlata sorn a szolgltat virtulis ramkrket (Virtual Circuit, VC) hoz ltre. Egy virtulis ramkr az egyes csomagkapcsol eszkzk kztti sszekttetseket a klnbz forrsbl szrmaz csomagok kztt megosztva hasznlja. Ennek eredmnyekppen, az tviteli kzeg nem kerl kizrlagos hasznlat al a kapcsolat idtartama alatt. Ktfle virtulis ramkr ltezik: kapcsolt s lland. Kapcsolt virtulis ramkrk A kapcsolt virtulis ramkrk (Switched, SVC) dinamikusan jnnek ltre kt vgpont kztt, amikor egy forgalomirnyt adatot kvn tovbbtani. Az ramkr igny szerint pl fel, s lebomlik miutn az tvitel befejezdtt, (pldul letltdtt egy llomny). Egy SVC ltrejttekor hvsfelptsi informcikat kell elkldeni mieltt brmilyen adatot kldhet. A hvsbontsi informcik megszaktjk a kapcsolatot, ha arra mr nincs szksg. Ez a folyamat nmi ksleltetst eredmnyez a hlzatban, mivel minden prbeszd esetn fel kell pteni majd le kell bontani a virtulis ramkrket.
148
7. Vllalati WAN kapcsolatok megvalstsa lland virtulis ramkrk Az lland virtulis ramkrk (Permanent, PVC) tarts tvonalat biztostanak kt pont kztt az adatok tovbbtshoz. A szolgltatnak elre be kell lltania a PVC -ket, melyek nagyon ritkn bomlanak fel vagy kapcsoldnak szt. Ez a tulajdonsg szksgtelenn teszi a hvsok felptst, illetve lebontst, s ennek ksznheten felgyorsul az informciramls a WAN -kapcsolaton keresztl. A PVC-k segtsgvel a szolgltatk sokkal nagyobb mrtkben kpesek kzben tartani a hlzat adatramlsi mintit s a felgyeleti feladatokat. A PVC -k npszerbbek az SVC-knl, s gyakran olyan telephelyek kiszolglsra hasznljk ket, amelyek lland, nagymret adatforgalmat bonyoltanak. A Frame Relay jellemzen PVC-ket hasznl.
Ezen technolgik mindegyike biztost elnyket s htrnyokat egyarnt az elfizetk szmra. Nem minden fldrajzi terleten rhet el az sszes itt felsorolt technolgia. Amikor egy szolgltat adatokat fogad, tovbbtania kell azokat a tvoli vgpontok fel, hogy vgl eljussanak a cmzetthez. Ezek a tvoli helyek tartozhatnak az ISP hlzathoz vagy kpezhetik a
149
7. Vllalati WAN kapcsolatok megvalstsa klnbz internetszolgltatk kztti szakaszokat. Nagytvolsg kommunikcis kapcsolatokkal gyakran tallkozhatunk az internetszolgltatk kztt vagy risvllalatok fikirodinak sszekttetse esetn. Sok klnbz WAN technolgia ll rendelkezsre a szolgltatk szmra, amelyek nagy tvolsgok esetn is lehetv teszik a megbzhat adattovbbtst. Ezek kz tartoznak pldul az ATM, a Frame Relay, a mholdas- s a brelt vonalas kapcsolatok.
A nagyvllalatok folyamatos nvekedse nvekv szm, a vilg legklnbzbb terletein ltrejv telephelyet eredmnyeznek. Ennek eredmnyekppen az alkalmazsoknak egyre nagyobb s nagyobb svszlessgre van szksgk. Ez a nvekeds olyan nagysebessg s nagy svszlessg technolgit ignyel, ami alkalmas nagyobb tvolsgra trtn adattovbbtsra is. A Szinkron Optikai hlzat (Synchronous Optical Network, SONET) s a Szinkron Digitlis Hierarchia (Synchronous Digital Hierarchy, SDH) olyan szabvnyok, melyek nagy mennyisg adat tvitelt biztostjk, nagy hattvolsggal rendelkeznek, s optikai kbeleket hasznlnak. Mind a SONET, mind az SDH magban foglalja a korai digitlis tviteli szabvnyokat, s tmogatja az ATM, illetve a Packet over SONET/SDH (POS) hlzatokat. Mindkt technolgit hasznljk adatok s hangzenetek tovbbtsra is. A DWDM (Dense Wavelength Division Multiplexing) az egyik olyan j fejleszts, amely tmogatja a rendkvl nagy tvolsg adatkommunikcit. A DWDM a berkez optikai jelekhez meghatrozott frekvencij vagy hullmhossz fnyt rendel hozz. Kpes e hullmhosszok erstsre is, ami fokozza a jelerssget. A DWDM tbb mint 80 klnbz hullmhossz vagy adatcsatorna egyetlen vegszlra trtn multiplexelsre ad
150
7. Vllalati WAN kapcsolatok megvalstsa lehetsget. Az egyes csatornk 2,5 Gbit/s sebessgen kpesek tvinni a multiplexelt jeleket. Az adat vev oldalon trtn demultiplexelse lehetsget ad tbb klnbz adatfolyam egyetlen optikai szlon trtn tvitelre, akr eltr adattviteli sebessgek hasznlatval is. A DWDM pldul kpes IP, SONET s ATM formtum adatok egyidej tvitelre.
151
7. Vllalati WAN kapcsolatok megvalstsa A begyazs tpustl fgg. Nem szksges a pont-pont WAN-kapcsolatoknl.
Protokoll Adat rtegbeli adatot s az IP adategysget foglalja magba. A begyazott hlzati rtegbeli protokoll megadsra hasznljk. Nem szerepel minden WAN begyazsi tpus esetn.
Keretellenrz sorozat (FCS) Ellenrzsi mechanizmust biztost annak megllaptshoz, hogy nem srlt-e meg a keret tvitel kzben.
152
7. Vllalati WAN kapcsolatok megvalstsa A HDLC-hez hasonlan a Pont-Pont Protokoll (PPP) is soros sszekttetsek szmra kszlt adatkapcsolat rtegbeli begyazsi tpus. Rteges felptst hasznl, mely segtsgvel kpes multi protokoll adatcsomagok begyazsra s tvitelre pont-pont kapcsolatokon keresztl. Mivel a PPP protokoll szabvnyokon alapul, lehetv teszi a kommunikcit a klnbz gyrttl szrmaz kszlkek kztt. A PPP a kvetkez interfszeket tmogatja: aszinkron soros szinkron soros HSSI (High-Speed Serial Interface) ISDN (Integrated Services Digital Network)
A PPP kt alprotokollal rendelkezik: Kapcsolatvezrl protokoll (Link Control Protocol, LCP) a pont-pont kapcsolatok felptsrt, fenntartsrt s lebontsrt felels. Hlzatvezrl protokoll (Network Control Protocol, NCP) egyttmkdst biztost a klnbz hlzat rtegbeli protokollokkal.
Kapcsolatvezrl protokoll A PPP az LCP-t hasznlja pont-pont sszekttetsek kialaktsra, fenntartsra, tesztelsre s befejezsre. Az LCP szleli s konfigurlja a WAN-kapcsolat vezrl-belltsait. Nhny belltsi lehetsg, amiket az LCP kezel: hitelests (authentication) tmrts
153
7. Vllalati WAN kapcsolatok megvalstsa hibafelismers tbb kapcsolat (multilink) PPP visszahvs
A fentieken tl az LCP a kvetkezkrt felels: kezeli a klnbz mret csomagokat szleli a gyakori konfigurcis hibkat kpes a jl s a hibsan mkd kapcsolatok megklnbztetsre
Hlzatvezrl protokoll (NCP) A PPP az NCP-t hasznlja a klnbz hlzat rtegbeli protokollok begyazsra, gy azok kpe sek ugyanazon kommunikcis kapcsolaton keresztl mkdni. A PPP kapcsolatokon hasznlt minden hlzati protokolloknak sajt hlzatvezrl protokollra van szksge. Az internetprotokoll (IP) pldul, az IP vezrlprotokollt (IPCP), az IPX pedig az IPX vezrlprotokollt (IPXCP) hasznlja. Az NCP-k a begyazott hlzati rtegbeli protokollok azonositsra jelzkdokat tartalmaz adatmezket hasznlnak.
154
A PPP-kapcsolatok ltrehozsnak folyamata hrom fzisra bonthat, ezek az sszekttets ltrehozsa, a hitelests (ez elhagyhat) s a hlzati rtegbeli protokoll hasznlatnak fzisa. Az sszekttets ltrehozsa A PPP LCP-kereteket kld az adatkapcsolat konfigurlsa s tesztelse cljbl. Az LCP-keretek tartalmaznak egy konfigurcis mezt, amely lehetv teszi pldul a maximlis tviteli egysg (Maximum Transmission Unit, MTU) mretnek, a tmrtsnek s a kapcsolat hitelestsnek egyeztetst. Ha egy LCP-keretbl hinyzik valamelyik konfigurcis bellts, a hinyz konfigurcis elemhez a protokoll az alaprtelmezett rtket rendeli hozz. A kapcsolat hitelestsi tpusnak meghatrozsa s az tviteli minsg tesztelse elhagyhat paramtereknek szmtanak az sszekttets ltrehozsa sorn. A kapcsolat minsgnek meghatrozsval eldnthet, hogy az sszekttets megfelel-e a hlzati rtegbeli protokollok hasznlathoz. A fentebb emltett elhagyhat konfigurcis paramterek belltsnak meg kell trtnni, mieltt az eszkzk fogadnk a konfigurci helyessgt igazol nyugtt. Ez a fzis akkor tekinthet befejezettnek, ha a vgponti kszlkek megkaptk a konfigurcit nyugtz keretet. Hitelestsi fzis (elhagyhat) A hitelestsi fzis jelszavas vdelmet biztost a kapcsold vgpontok (pldul forgalomirnytk) azonostshoz. A hitelestsre a forgalomirnytk paramtereinek elfogadsa utn kerl sor, de mg azeltt, hogy az NCP egyeztetsi fzis megkezddne. NCP egyeztetsi fzis A PPP vgpont NCP csomagokat kld, melyekkel egy vagy tbb hlzati rtegbeli protokollt (pldul, az IP-t vagy az IPX-et) vlaszt ki s konfigurl. Amikor az LCP bontja a kapcsolatot, rtesti a hlzati rtegbeli protokollokat, gy azok vgrehajthatjk a megfelel mveletet. A show interfaces parancs megmutatja az LCP s NCP llapotokat. Ha a PPP kapcsolat ltrejtt, mindaddig aktv marad, amg az LCP vagy az NCP fel nem bontja a kapcsolatot, vagy le nem jr egy aktivitst figyel szmll. A felhasznlk is kezdemnyezhetik a kapcsolat befejezst.
155
Miutn a PPP engedlyezsre kerlt, bellthatv vlnak az opcionlis paramterek, pldul a tmrts s a terhelseloszts.
compress [predictor | stac]
Engedlyezi a tmrtst az interfszen, predictor (eljsl) vagy stacker (verem -trolsos) mdszer hasznlatval.
ppp multilink
A hlzaton tkldtt adatok tmrtse javthatja a hlzat teljestmnyt. A predictor s stacker szoftveres tmrtsi technikk, amelyek tmrtsi mdjukban trnek el egymstl. A stacker processzorignyesebb tmrts, de kevesebb memrira van szksge, a predictor technika viszont kevsb terheli a processzort, de tbb memrit hasznl. Ezrt a stacker-t akkor rdemes hasznlni, ha a vonal svszlessge a szk keresztmetszet, a predictor-t pedig abban az esetben, ha a forgalomirnyt tlterhelt. Csak akkor engedlyezzk a tmrtst, ha a hlzat teljestmnye megkvnja azt, mivel hasznlata nveli a forgalomirnyt feldolgozsi idejt s tbbletterhelst okoz. Abban az esetben sem rdemes tmrtst alkalmazni, ha a hlzat forgalmt kpez adatok dnt tbbsge mr egybknt is tmrtett llomnyokbl ll. Egy tmrtett fjl jbli tmrtse tbbnyire mretnvekedssel jr. A PPP multilink tbb WAN sszekttets egyetlen logikai csatornv trtn sszevonst teszi lehetv. Ez terhelsmegosztst eredmnyez klnbz kapcsolatok kztt, s bizonyos szint biztonsgot jelent abban az esetben, ha valamelyik sszekttets meghibsodna.
156
PPP
begyazsok
konfigurciinak
ellenrzshez
show controllers
Segtsgvel ellenrizhet az brenlti (keepalive) zenetek szmnak folyamatos nvekedse. Ha ezeknek a csomagoknak a szma nem nvekszik, akkor valsznleg idztsi problma lpett fel az interfszkrtyban vagy a hlzatban.
debug ppp
Informcit biztost a PPP protokoll mkdsi folyamatnak klnbz szakaszairl, belertve az egyeztetst s a hitelestst.
157
7. Vllalati WAN kapcsolatok megvalstsa A msik PPP hitelestsi mdszer a kihvsos kzfogs hitelestsi protokoll (CHAP). A kihvsos kzfogs hitelestsi protokoll A CHAP sokkal biztonsgosabb hitelestsi folyamat, mint a PAP. A CHAP nem kldi el a jelszt az sszekttetsen keresztl. A CHAP alap hitelests az sszekttets felptsekor trtnik meg elszr, majd annak lebontsig jra s jra megismtldik. Itt a hvott eszkz felel a hitelests gyakorisgnak szablyozsrt s temezsrt, ami elgg valszntlenn teszi a jelszlopson alapul tmadsok sikeressgt. A CHAP hromutas kzfogst hasznl. 1. A PPP-sszekttets ltrehozsnak fzisa megtrtnik. 2. A helyi forgalomirnyt kihv (challange) zenetet kld a tvoli forgalomirnytnak. A tvoli forgalomirnyt a kapott kihv zenet s a megosztott titkos kulcs segtsgvel, egyirny hash fggvny felhasznlsval egy kivonatot hoz ltre. 4. Ezutn a kivonatot visszakldi a helyi fogalomirnytnak. 5. A helyi forgalomirnyt sszeveti az rkezett vlaszt a sajt maga ltal szmtott kivonattal, melyet a kihv zenet s ugyanazon megosztott titkos jelsz valamint ugyanazon egyirny hash fggvny felhasznlsval hatroz meg. 6. Ha a kt szmtott rtk megegyezik, a helyi forgalomirnyt nyugtzza a hitelestst. 7. Abban az esetben, ha a kt rtk nem egyezik meg, a helyi forgalomirnyt bontja a kapcsolatot. A CHAP a kihv zenetek rtknek megvltoztatsval biztost vdelmet a visszajtszsos tmadsokkal szemben. Mivel a kihv zenet rtke egyedi s vletlenszer, ezrt az ebbl szmtott kivonat (hash) rtke is egyedi s vletlenszer lesz. Az ismtelt kihvsok hasznlata cskkenti azt az idtartamot, amg veszlynek van kitve a kapcsolat. A helyi forgalomirnyt vagy egy kls hitelestsi kiszolgl felel a kihv zenetek gyakorisgnak s temezsnek szablyozsrt.
Globlis konfigurcis parancs. Ltrehoz egy helyi adatbzist, amely a tvoli eszkz felhasznli nevt s jelszavt tartalmazza. A felhasznli nvnek pontosan meg kell egyeznie a tvoli forgalomirnyt llomsnevvel. Ez a nv rzkeny a kis- s nagybetkre.
Interfszkonfigurcis parancs.
158
7. Vllalati WAN kapcsolatok megvalstsa Segtsgvel megadhat az egyes interfszek ltal alkalmazott PPP hitelests tpusa (PAP vagy CHAP). Ha egynl tbb hitelestsi tpust lltottak be, pldul, chap pap, akkor a forgalomirnyt elszr az els tpussal prblkozik s csak akkor fog prblkozni a msodik mdszerrel, ha arra a tvoli forgalomirnyt kri.
A CHAP hitelests belltshoz nincs szksg tovbbi konfigurcis parancsokra. rdemes tudni, hogy a Cisco IOS 11.1 verzijtl kezdden alaprtelmezs szerint a PAP le van til tva az interfszeken. Ez azt jelenti, hogy a forgalomirnyt akkor sem fogja elkldeni sajt felhasznli nv/jelsz rtkeit, ha a PAP hitelests engedlyezett. A PAP hasznlathoz tovbbi parancsok szksgesek.
ppp pap sent-username nv password jelsz
Interfszkonfigurcis parancs. A tvoli forgalomirnytnak kldend felhasznli nv/jelsz kombinci adhat meg vele. Ennek meg kell egyeznie a tvoli forgalomirnyt helyi adatbzisban belltott felhasznli nvvel s jelszval.
159
7. Vllalati WAN kapcsolatok megvalstsa A konfigurlt ktutas hitelests segtsgvel az egyik forgalomirnyt hitelesti a msikat. Ha mindkt forgalomirnytn hasznljuk a debug parancsokat, akkor a hitelestsi folyamat alatt figyelhet meg az zenetcsere forgalma.
debug ppp {authentication | packet | error | negotiation | chap }
Authentication (hitelests) Megjelenti a hitelestsi zenetek sorozatt. Packet (csomag) Megjelenti az sszes kldtt s fogadott PPP csomagot. Negotiation (egyeztets, trgyals) Megjelenti a PPP protokoll indulsakor tovbbtott, a PPP belltsok egyeztetsrt felels csomagokat. Error (hiba) Protokollhibkat s statisztikai adatokat jelent meg a PPP kapcsolatra s egyeztetsre vonatkozan. CHAP (kihv zenetek) Megjelenti az egymssal vltott CHAP csomagokat. A hibakeresst az egyes parancsok no eltaggal kiegsztett vltozatval llthatjuk le.
160
7. Vllalati WAN kapcsolatok megvalstsa A virtulis ramkrk jellemzen a szolgltat ltal elre konfigurlt PVC -k segtsgvel jnnek ltre. A legtbb ISP nem javasolja vagy nem is teszi lehetv a Frame Relay hlzatokban az SVC -k hasznlatt.
161
7. Vllalati WAN kapcsolatok megvalstsa Az LMI zenetek kommunikcit s szinkronizcit biztostanak a Frame Relay hlzat s a felhasznl vgponti eszkze kztt. Szablyos idkznknt tjkoztatnak az j PVC -k ltrejttrl, a meglv PVC-k trlsrl, tovbb informlnak arrl is, hogy a korbban ltrehozott PVC -k tovbbra is lteznek. A virtulis ramkr llapot-zenetek megakadlyozzk az adatok kldst a mr nem ltez PVC-k irnyba. Az LMI kapcsolatllapot informcit szolgltat azon virtulis ramkrkl, melyek a Frame Relay lekpzsi tblzatban (map table) jelennek meg: Aktv llapot (Active State) A kapcsolat aktv, a forgalomirnytk kpesek az adatcserre.
Inaktv llapot (Inactive State) A helyi vgpont s az Frame Relay (FR) kapcsol kztti sszekttets mkdkpes, viszont a FR kapcsol s a tvoli vgpont kztti sszekttets nem megfelel.
Trlt llapot (Deleted State) A helyi kapcsolat nem fogad LMI zeneteket a FR kapcsoltl, vagy a szolgltats nem zemel a CPE forgalomirnyt s a Frame Relay kapcsol kztt.
Amikor egy vgfelhasznl Frame Relay szolgltatsra fizet el, bizonyos szolgltatsi paramtereket egyeztetnie kell a szolgltatval. Az egyik ilyen paramter a vllalt adatsebessg (Committed Information Rate, CIR). A CIR rtke az a minimlis svszlessg, melyet a szolgltat az adatok tovbbtsra garantl a virtulis ramkrn. A szolgltat a CIR rtkt egy adott egysgnyi idtartam alatt tvitt tlagos adatmennyisg alapjn szmolja ki. A kiszmolt idintervallum rtke a vllalsi id (committed time, Tc). A Tc-n bell vllalt bitek szma a vllalt lket (committed burst, Bc). A Frame Relay szolgltats kltsge a kapcsolat sebessgtl s a CIR rtktl fgg.
162
7. Vllalati WAN kapcsolatok megvalstsa A CIR ugyan meghatroz egy minimlisan biztostand sebessget, azonban ha nincs torlds az sszekttetseken, akkor a szolgltat megnveli a svszlessget a msodik elzetesen elfogadott svszlessg rtkig. A tllpsi adatsebessg (Excess Information Rate, EIR) a CIR ltal rgztett rtk feletti tlagos sebessg, amelyet a virtulis ramkr akkor biztost, ha nincs tlterhelve a hlzat. Minden rads bit, amely a vllalt adatsebessgen tl forgalmazhat, egszen a hozzfrsi kapcsolat maximlis sebessgig, tbblet lket (excess Burst, Be) nven ismert. A vllalt adatsebessgen (CIR) tli keretek tovbbtst nem garantlja a szolgltats, de biztostja, ha a hlzati terhels lehetv teszi azt. Az ilyen tbblet kereteket figyelmen kvl hagyhatknt (Discard Eligible, DE) jelli meg a rendszer. Ha torlds kvetkezne be, a szolgltat elszr a DE rtkkel belltott kereteket dobja el. A felhasznlk gyakran alacsonyabb CIR rtkkel rendelkez kapcsolatra fizetnek el, arra a tnyre alapozva, hogy a szolgltat nagyobb svszlessget biztost s meggyorstja az adatforgalmat, ha nincs torlds a hlzaton. Az elremutat explicit torldsjelzs (Forward Explicit Congestion Notification, FECN) egy egybites mez, melynek rtkt 1-re llthatjk a kapcsolk. Ez azt jelzi a vgponti DTE eszkzk szmra, hogy torlds lpett fel a hlzatban a clhlzat fel vezet irnyban. A visszirny explicit torldsjelzs (Backward Explicit Congestion Notification, BECN) egy egybites rtk, melyet a Frame Relay kapcsolk akkor lltanak 1-es rtkre, ha a hlzaton torlds lp fel az ellenkez, azaz a forrshlzat irnyban. A FECN s BECN bitek segtsgvel a magasabb szint protokollok intelligensen reaglhatnak ezekre a torldsjelzsekre. A kld eszkz pldul a BECN-t figyelembe vve lassthatja az tviteli sebessgt.
163
164
A csomagszrs a levlszemt szrshez hasonlthat. A legtbb levelezprogramban a felhasznl bellthatja, hogy egy bizonyos forrscmrl rkez levelek automatikusan trldjenek. A csomagszrs ugyangy vgezhet: be kell lltani a forgalomirnytt a nemkvnatos forgalom azonostsra. A forgalomszrs javtja a hlzat teljestmnyt. A nemkvnatos forgalom forrshoz kzeli tiltsval a forgalom nem halad keresztl a hlzaton, s nem pazarol el rtkes erforrsokat.
165
A forgalomszrshez hasznlt leggyakoribb eszkzk: Integrlt forgalomirnytba ptett tzfalak Adatbiztonsgi funkcikat ellt clkszlkek Kiszolglk
Az eszkzk nmelyike kizrlag a bels hlzatbl szrmaz forgalmat szri. A jval kifinomultabb biztonsgi eszkzk felismerik s kiszrik a kls forrsbl rkez ismert tmadstpusokat. A vllalati forgalomirnytk felismerik a krtkony forgalmat, s megakadlyozzk, hogy az bejusson a hlzatba s ott krt okozzon. Szinte minden forgalomirnyt kpes a forrs s cl IP -cm alapjn trtn csomagszrsre, emellett meghatrozott alkalmazsok s protokoll ok (pl. IP, TCP, HTTP, FTP s Telnet) szerinti szrsre is alkalmasak.
166
Az ACL-ek hasznlatbl ered potencilis problmk: Az sszes csomag ellenrzse komoly terhelst jelent a forgalomirnyt szmra, gy kevesebb id jut a csomagtovbbtsra. A rosszul megtervezett ACL-ek mg nagyobb terhelst okoznak, ami zavart okozhat a hlzat hasznlatban. A nem megfelelen elhelyezett ACL-ek blokkolhatjk az engedlyezni kvnt, s engedlyezhetik a blokkolni kvnt forgalmat.
167
8. Forgalomszrs hozzfrsi listk hasznlatval Hrom ACL tpus ltezik: Norml ACL A norml ACL (Standard ACL) a legegyszerbb a hrom tpusbl. Norml IP ACL ltrehozsakor az ACL a csomag forrs IP-cmnek alapjn vgzi a szrst. A norml ACL a teljes (pl. IP) protokollmkds alapjn engedlyezi vagy tiltja a forgalmat. Ha pldul egy norml ACL nem engedlyezi egy hlzati lloms IP forgalmt, akkor az llomsrl rkez sszes szolgltatst tiltja. Ez az ACL -tpus egy adott felhasznl vagy LAN szmra engedlyezheti az sszes szolgltats elrst a forgalomirnytn keresztl, mg az sszes tbbi IP-cm esetn tiltja a hozzfrst. A norml ACL-ek a hozzjuk rendelt azonositsi szm alapjn azonosthatk. Az IP-forgalom engedlyezst vagy tiltst vgz hozzfrsi listk azonostsi szma 1 s 99, illetve 1300 s 1999 kztti lehet. Kiterjesztett ACL A kiterjesztett ACL (Extended ACL) nem csupn a forrs IP-cm, hanem a cl IP-cm, a protokoll s a portszmok alapjn is szrhet. A kiterjesztett ACL-ek hasznlata sokkal elterjedtebb, mint a norml ACL-ek, mivel specifikusabbak s jobb ellenrzst tesznek lehetv. A kiterjesztett AC L-ek azonositsi szma 100 s 199, illetve 2000 s 2699 kztti lehet. Nevestett ACL A nevestett ACL (Named ACL, NACL) olyan norml vagy kiterjesztett hozzfrsi lista, amelyre szm helyett egy beszdes nvvel hivatkozunk. A nevestett ACL-ek belltsa a forgalomirnyt NACL zemmdjban trtnik.
168
8. Forgalomszrs hozzfrsi listk hasznlatval Az ACL utols utastsa mindig implicit tilts. Ez az utasts automatikusan is odakerl mindegyik ACL vgre, mg akkor is, ha a konfigci kszitje nem irja oda. Az implicit tilts semmilyen forgalmat nem engedlyez. Ezrt az implicit tilts funkci megakadlyozza a nemkvnatos forgalom vletlen thaladst. A hozzfrsi lista akkor lp mkdsbe, ha elksztse utn hozzrendeljk a megfelel interfszhez. Az ACL az interfszen, a belltstl fggen, vagy a bejv vagy a kimen forgalmat figyeli. Amennyiben az ACL egy engedlyez utastsnak elrsa megegyezik az ppen vizsglt csomag paramtereivel, a csomag tovbbhaladsa engedlyezett. Ha a csomaghoz egy tilt utasts illeszkedik, akkor nem haladhat tovbb. Az engedlyez utastst nem tartalmaz ACL minden forgalmat tilt, mivel minden ACL vgn szerepel az implicit tilts. Az ACL teht minden olya n forgalmat tilt, ami nincs konkrtan engedlyezve. A rendszergazda akr befel akr kifel irnyul forgalmat szr ACL listt rendelhet a forgalomirnyt brmely interfszhez. A bejv vagy kimen irnyt mindig a forgalomirnyt szemszgbl nzzk, gy az interfszre berkez forgalom bejv (a forgalomirnyitba belp), az onnan tvoz forgalom pedig kimen. Amikor egy csomag rkezik valamely interfszre, a forgalomirnyt az albbi paramtereket ellenrzi: Ltezik-e az interfszhez rendelt ACL lista? Az ACL lista a bejv vagy a kimen forgalomra vonatkozik? A forgalomra teljesl-e valamely engedlyez vagy tilt felttel?
Az interfsz kimen irnyhoz hozzrendelt ACL semmilyen hatssal nincs az adott interfsz berkez forgalmra, ami fordtva is igaz. A forgalomirnyt interfszekhez protokollonknt s irnyonknt egy -egy ACL adhat meg. Igy az IP protokoll esetben is egy interfszhez egyszerre csak egy befel s egy kifel halad forgalmat szr ACL adhat meg. Az interfszhez hozzrendelt ACL-ek vgrehajtsa kslelteti a forgalmat. Akr egyetlen hossz ACL is szrevehet hatssal lehet a forgalomirnyt teljestmnyre.
169
8. Forgalomszrs hozzfrsi listk hasznlatval A 0.0.0.0 helyettest maszk pontos egyezst r el az IP -cm mind a 32 bitjn. Ez a maszk egyenrtk a host paramterrel
Az ACL-ek ltal hasznlt helyettest maszk hasonlt az OSPF irnytprotokoll esetben hasznlt maszkhoz. Ennek ellenre a kt maszk eltr clra szolgl. Az ACL-utastsokban szerepl helyettest maszk az engedlyezni vagy tiltani kvnt cmtartomnyt hatrozza meg. Egy ACL-utastsban az IP-cm s a hozz tartoz helyettest maszk kzsen, egyttesen hatrozzk meg, hogy az utasts mely cmbitjeit kell sszehasonltani a vizsglt csomagok megfelel cimbitjeivel. Az interfszre berkez vagy onnan tvoz sszes csomag cmrszt ssze kell hasonltani az ACLutastsok megfelel cmrszvel, hogy van-e egyezs. A helyettest maszk hatrozza meg, hogy sszehasonltskor a csomag fejlcben szerepl IP-cm s az utastsban megadott cm mely bitjeit kell figyelembe venni. Az albbi utasts pldul a 192.168.1.0 hlzat minden llomst engedlyezi, ugyanakkor minden mst tilt:
access-list 1 permit 192.168.1.0 0.0.0.255
A helyettest maszk meghatrozza, hogy csupn az els hrom oktettnek kell illeszkedn ie. A fentiekbl kvetkezik, hogy ha a bejv csomag els 24 bitje megegyezik a viszonytsi mez els 24 bitjvel, akkor a csomag engedlyezve lesz. A helyettest maszk szerint brmely csomag, amelynek forrs IP-cme a 192.168.1.1 s a 192.168.1.255 kztti tartomnyba esik, illeszkedni fog a pldban szerepl sszehasonltsi cmhez. Minden ms csomagot az ACL implicit tilts (deny any) utastsa letilt.
170
Ugyanaz, mint:
R1(config)#access-list 9 deny host 192.168.15.99
Az any paramter Az sszes lloms szrshez hasznljuk a csupa egyesekbl ll paramtert, amelyet a 255.255.255.255 helyettest maszk belltsval adhatunk meg! A 255.255.255.255 helyettest maszk az sszes bitet egyeznek tekinti, ezrt ltalban az IP -cmet a 0.0.0.0 jelli. Az sszes lloms szrsre hasznlt msik mdszer az any paramter hasznlata.
R1(config)#access-list 9 permit 0.0.0.0 255.255.255.255
Ugyanaz, mint:
R1(config)#access-list 9 permit any
Nzzk meg az albbi pldt, amely egy bizonyos llomst letilt, mg az sszes tbbit engedlyezi:
R1(config)#access-list 9 deny host 192.168.15.99 R1(config)#access-list 9 permit any
A permit any parancs minden forgalmat engedlyez, amely az ACL-ben nincs konkrtan elutastva. Ezzel a belltssal egyik csomag sem ri el az ACL vgn szerepl implicit deny any utastst.
171
A tbbszint IP-cmzsi smt hasznl vllalati hlzatokban gyakran szksges az alhlzati forgalom szrse. Amennyiben a 192.168.77.0 hlzat alhlzatokra osztshoz 3 bitet hasznlunk, az alhlzati maszk 255.255.255.224 lesz. Ha a fenti alhlzati maszkot kivonjuk a csupa 255-bl ll 32 bites hlzati maszkbl, a 0.0.0.31 helyettest maszkot kapjuk. Ennek megfelelen a 192.168.77.32 alhlzat llomsainak engedlyezshez az albbi ACL utastst kell hasznlnunk:
access-list 44 permit 192.168.77.32 0.0.0.31
Minden csomag els 27 bitje megegyezik a viszonytsi cm els 27 bitjvel. A fenti utasts ltal engedlyezett teljes cmtartomny a 192.168.77.33-tl a 192.168.77.63-ig terjed, amely pontosan lefedi a 192.168.77.32 alhlzat sszes cmt.
A teljes A, B vagy C osztly hlzatok alhlzati s helyettest maszkja egyenlen oszlik meg egy oktetthatron. A nem oktetthatrra es alhlzatok eltr helyettest maszkot eredmnyeznek. Az oktetthatr az els s msodik, vagy a msodik s harmadik oktett kz es rsz. Plda: Egy alaprtelmezs szerinti A osztly alhlzat esetben a 8. s 9. bit kz esik. Ez az egyik oktett vge s a kvetkez oktett eleje, amit a kvetkez oktett hatrnak neveznk.
172
8. Forgalomszrs hozzfrsi listk hasznlatval A forgalom finomhangolshoz szksges vezrlst az ACL utastsokhoz ltrehozott helyettest maszkok biztostjk. Kezdk szmra a klnbz alhlzatok forgalmnak szrst a legnehezebb megrteni. A 192.168.77.0 hlzat a 255.255.255.192 vagy a /26 alhlzati maszkkal az albbi ngy alhlzatot jelenti: 192.168.77.0/26 192.168.77.64/26 192.168.77.128/26 192.168.77.192/26 A fenti ngy alhlzat brmelyikt szr ACL ltrehozshoz vonjuk ki a 255.255.255.192 alhlzati maszkot a csupa 255-bl ll maszkbl, amely a 0.0.0.63 helyettest maszkot eredmnyezi. Az els kt alhlzatbl rkez forgalom engedlyezshez kt ACL utastst kell hasznlnunk:
access-list 55 permit 192.168.77.0 0.0.0.63 access-list 55 permit 192.168.77.64 0.0.0.63
Az els kt alhlzat sszevonhat a 192.168.77.0/25 megadsval. A 255.255.255.128 sszevont alhlzati maszk kivonsa a csupa 255-bl ll maszkbl a 0.0.0.127 helyettest maszkot eredmnyezi. A fenti maszk hasznlatval a kt alhlzat kett helyett egyetlen ACL -ben sszefoghat.
access-list 5 permit 192.168.77.0 0.0.0.127
173
1 lps: A forgalomszrsi ignyek meghatrozsa Gyjtsk ssze a forgalomszrsi ignyeket az rintettektl, a vllalat minden osztlyrl! A fenti felhasznli ignyeken, forgalomtpuson, terheltsgen s biztonsgi szempontokon alapul ignyek vllalatonknt eltrek lehetnek. 2. lps: Az ignyeknek leginkbb megfelel ACL tpusnak kivlasztsa Mindig a helyzetnek megfelel szrsi ignyeken mlik, hogy norml vagy kiterjesztett ACL -t hasznlunk. Az ACL tpusnak kivlasztsa hatssal lehet az ACL rugalmassgra csakgy, mint a forgalomirnyt teljestmnyre s a hlzati kapcsolat svszlessgre. A norml ACL ltrehozsa s alkalmazsa egyszer. A norml ACL viszont kizrlag a forrscm alapjn kpes szrni, tekintet nlkl a forgalom tpusra s cljra. A tbb hlzatba vezet tvonalak esetben egy, a forrshoz tl kzel elhelyezett ACL akaratlanul is letilthatja az engedlyezni kvnt forgalmat is. Ezrt fontos, hogy a norml ACL-eket a clhoz a lehet legkzelebb helyezzk el! Ha a szrsi ignyek jval sszetettebbek, hasznljunk kiterjesztett ACL-t! A kiterjesztett ACL precizebb szelekcit biztost, mint a norml ACL. Forrs - s clcm szerinti szrsre egyarnt kpes. Szksg esetn a hlzati s szlltsi rteg protokolljai s a portszmok alapjn is szrhet. Ez a megnvelt szrsi rszletessg lehetv teszi a hlzati rendszergazda szmra a biztonsgi terv ignyeinek megfelel ACL-ek ltrehozst. A kiterjesztett ACL-t mindig a forrscmhez kzel helyezzk el! Ha az ACL mind a forrs -, mind a clcmet megvizsglja, akkor bizonyos clhlzatba sznt csomagokat mg azeltt letilthat, hogy azok elhagynk a forrs-forgalomirnytt. A csomagok szrse mg a hlzaton trtn thaladsuk eltt trtnik, ami segt a svszlessg megrzsben.
174
3. lps: A megfelel forgalomirnyt s interfsz meghatrozsa, amelyhez az ACL -t rendeljk Helyezzk az ACL-eket a hozzfrsi vagy az elosztsi rteg forgalomirnytira! A hlzati rendszergazdnak megfelel jogosultsgokkal kell rendelkeznie a fenti forgalomirnytk
175
8. Forgalomszrs hozzfrsi listk hasznlatval vezrlshez s a biztonsgi irnyelvek alkalmazshoz. Az a hlzati rendsz ergazda, aki nem rendelkezik hozzfrssel a forgalomirnythoz, az ACL-t sem kpes ott belltani. A megfelel interfsz kivlasztshoz a szrsi ignyeket, az ACL tpust s a forgalomirnyt hlzaton belli pozcijt egyarnt figyelembe kell venni. A forgalom szrst mg azeltt clszer elvgezni, hogy az elrne egy alacsonyabb svszlessg soros sszekttetst. Az interfsz kivlasztsa a forgalomirnyt kijellst kveten mr ltalban egyrtelm. 4. lps: A forgalomszrs irnynak meghatrozsa Szemlljk a forgalom ramlst a forgalomirnyt szemszgbl azrt, hogy az ACL alkalmazsnak irnyt meg tudjuk hatrozni! Bejv forgalom a forgalomirnyt valamely interfszre kvlrl rkez forgalom. A forgalomirnyt sszeveti a berkez csomagot az ACL-lel, mieltt megkeresn a clhlzatot az irnyttblban. Az itt elutastott csomagok megsproljk az irnyttblban trtn keress kltsgt. Emiatt a befel szr hozzfrsi lista jval hatkonyabb a forgalomirnyt szmra, min t a kifel szr hozzfrsi lista. A kimen forgalom a forgalomirnytn bell ramlik, majd onnan valamelyik interfszen keresztl tvozik. A kimen csomagra vonatkozan a forgalomirnyt mr elvgezte az irnytsi keresst, s a csomagot a megfelel interfszre kapcsolta. A csomag sszevetse az ACL-lel kzvetlenl a forgalomirnytrl val tvozs eltt trtnik.
176
AppleTalk s IPX ACL ltrehozsa szintn lehetsges. Egy forgalomirnyt brmely interfszre protokollonknt s irnyonknt legfeljebb egy ACL-t lehet hozzrendelni. Amennyiben a forgalomirnyt kizrlag IP -t futtat, mindegyik interfsz legfeljebb kt ACL-t kezelhet: egy befel s egy kifel szrt. Mivel minden, az adott interfszen thalad csomagot ssze kell vetni mindegyik ACL-lel, ezrt az ACL ksleltetst okoz.
177
8. Forgalomszrs hozzfrsi listk hasznlatval Egy hozzfrsi lista konfigurlsa kt lpsbl ll: ltrehozs s alkalmazs. Az ACL ltrehozsa Lpjnk be a globlis konfigurcis mdba! Az access-list parancs hasznlatval adjuk meg a hozzfrsi lista utastsait! Az sszes utastst ugyanazzal az ACL szmmal lssuk el, amg a hozzfrsi lista nem lesz teljes! A norml ACL utasts-szintaktikja az albbi:
access-list [hozzfrsi_lista_szma] [forrs_helyettest_maszk][log] [deny|permit] [forrscm]
Mindaddig, amg nincs egyezs, minden csomagot ssze kell vetni az sszes ACL utastssal, ezrt az utastsok ACL-en belli sorrendje nagymrtkben befolysolhatja a mr emltett ksleltetst. A fentiek miatt, az utastsok sorrendjnl rdemes a gyakoribb feltteleket a kevsb gyakoriak el helyezni! A forgalom dnt rszt kpez utastsokat pldul tegyk mindig az ACL elejre! Azt azonban tartsuk fejben, hogy egyezs esetn a csomag mr nem lesz sszevetve az ACL tovbbi utastsaival! Ez azt jelenti, hogy ha az egyik sor engedlyez egy csomagot, de az ACL egy ksbbi sora tiltja azt, a csomag engedlyezve lesz. Ezrt gy tervezzk meg az ACL -t, hogy a konkrtabb felttelek az ltalnosabbak eltt szerepeljenek! Mskppen fogalmazva, elszr tiltsuk le egy hlzat bizonyos llomst, s csak azutn engedlyezzk a teljes hlzat maradk rszt! Dokumentljuk az ACL minden rsznek vagy utastsnak a funkcijt a remark parancs segtsgvel:
access-list [a lista szma] remark [szveg]
Nincs lehetsg arra, hogy csupn a norml vagy kiterjesztett ACL egyetlen sort trljk! Ehelyett az egsz ACL-t trlni kell, majd a javtott listval kell lecserlni.
178
Az albbi parancsokkal az 5-s szm hozzfrsi lista az R2 forgalomirnyt Fa0/0 interfszre helyezhet, hogy a bejv forgalmat szrje:
R2(config)#interface fastethernet 0/0 R2(config-if)#ip access-group 5 in
Egy interfszre alkalmazott ACL esetben (bizonyos IOS vltozatok alkalmazsakor) a kimen irny az alaprtelmezett, ennek ellenre az irny megadsa a zavarok elkerlse s a forgalom megfelel irnyba trtn szrsnek biztostsa rdekben nagyon fontos. Az ACL eltvoltsa az interfszrl az ACL rintetlenl hagysval, a no ip access-group interface paranccsal lehetsges.
Szmos ACL paranccsal ellenrizhet a megfelel szintaktika, az utastsok sorrendje s az interfszeken trtn elhelyezs.
show ip interface
A fenti parancs nem csupn a forgalomirnyt sszes ACL-jnek tartalmt jelenti meg, hanem az egyes engedlyez s tilt utastsokhoz tartoz az ACL alkalmazsa ta tallt egyezsek szmt is. Egy adott lista megtekintshez adjuk meg az ACL nevt vagy szmt a parancs paramtereknt!
show running-config
A fenti parancs megjelenti a forgalomirnytn belltott sszes ACL-t, akkor is, ha azok jelenleg egyik interfszhez sincsenek hozzrendelve.
179
8. Forgalomszrs hozzfrsi listk hasznlatval Szmozott ACL hasznlatakor az ACL els ltrehozsa utn hozzadott parancsok a lista vgre kerlnek. Ez a sorrend nem biztos, hogy a kvnt eredmnyhez vezet. A problma megoldshoz tvoltsuk el az eredeti ACL-t, majd a szksges korrekcival hozzuk ltre ismt! Jl bevlt mdszer, ha az ACL-t egy szvegszerkesztben hozzuk ltre, amely lehetv teszi az ACL knny szerkesztst s a forgalomirnyt konfigurcijba trtn beillesztst. Ugyanakkor arra is figyeljnk oda, hogy az ACL msolsa s beillesztse eltt tvoltsuk el a jelenleg alkalmazott ACL-t, msklnben az sszes utasts annak a vgre kerl.
180
8. Forgalomszrs hozzfrsi listk hasznlatval Egy ACL minden utastban ugyanazt az ACL azonosit szmot kell megadni. Az IP-cmek specifiklsakor hasznlhatk a host s az any kulcsszavak.
A leglnyegesebb eltrs a kiterjesztett ACL szintaktikjban az, hogy az engedlyez vagy tilt felttel utn egy protokoll megadsa ktelez. Ez a protokoll akr az IP is lehet ha a teljes IP -forgalom tiltsa vagy engedlyezse a cl de lehet az IP forgalom egy kivlasztott rszhalmazt kpez ms protokoll (pl. a TCP, az UDP, az ICMP s az OSPF) is.
181
Az elvrsok teljestse gyakran tbbfle mdon is lehetsges. Ha egy vllalatnak van egy 192.168.3.75 cmen elrhet kiszolglja akkor ennek elrsre vonatkozan pldul az albbi elvrsok lehetsgesek: A 192.168.2.0 LAN llomsai szmra engedlyezzk a kiszolgl elrst! A 192.168.1.66 lloms szmra engedlyezzk kiszolgl elrst! Tiltsuk meg a 192.168.4.0 LAN llomsai szmra a kiszolgl elrst! A vllalaton bell mindenki msnak engedlyezzk a kiszolgl elrst!
Legalbb kt lehetsges megolds van, amely a fenti elvrsoknak megfelel. Az ACL tervezsekor trekedjnk arra, hogy a lehetsgekhez mrten minl kevesebb utastssal oldjuk meg a problmt! Az utastsok szmnak minimalizlsa s a forgalomirnyt feldolgozsi terhelsnek cskkentse tbbek kztt az albbi mdon lehetsges: Nagy forgalom vizsglatt s a nem engedlyezett forgalom tiltst az ACL elejn vgezzk! Ez a megkzeltsmd garantlja, hogy itt kiejtett a csomagokat nem kell az ACL ksbbi rsznek utastsaival sszevetni. Tartomnyok hasznlatval vonjunk ssze tbb engedlyez, illetve tilt utastst egyetlen utastsba! Fontoljuk meg egy bizonyos csoport tiltst a vele ellenttes elbrls, nagyobb csoport engedlyezse helyett!
182
A fenti parancs kiadsa utn a forgalomirnyt az NACL konfigurcis almdba vlt. A kezdeti nvmegadsi parancs utn egyesvel vigyk be az sszes engedlyez s tilt utastst! Az NACL a norml vagy a kiterjesztett ACL permit vagy deny utastssal kezdd parancsformtumt hasznlja. A nevestett ACL hozzrendelse egy interfszhez gy trtnik, mint a norml s a kiterjesztett ACL ek esetben, csak itt nv azonositja az interfszhez kapcsolt ACL-t. Egy nevestett ACL megfelel szintaktikjt, az utastsok sorrendjt s az interfszeken trtn elhelyezst a norml ACL esetben is hasznlt parancsokkal ellenrizhetjk.
183
8. Forgalomszrs hozzfrsi listk hasznlatval Az IOS rgebbi verziiban az ACL tszerkesztshez az albbiakra volt szksg: Az ACL kimsolsa egy szvegszerkesztbe. Az ACL eltvoltsa a forgalomirnytrl. Az ACL ismtelt ltrehozsa, majd a szerkesztett vltozat alkalmazsa.
Sajnos a fenti folyamat a szerkesztsi ciklus vgig minden forgalmat tenged az interfszen, gy a hlzat vdtelen marad a lehetsges biztonsgi rsekkel szemben. Az IOS jelenlegi verziiban a szmozott s a nevestett ACL-ek szerkesztshez hasznljuk az ip access-list parancsot! Az ACL-ek sorai szmozva (10, 20, 30, stb.) jelennek meg. A sorokhoz tartoz szmok megtekintshez hasznljuk az albbi parancsot:
show access-lists
Egy mr ltez sor szerkesztshez az albbiakat kell tenni: A no line number parancs hasznlatval tvoltsuk el a sort! A sorhoz tartoz szm hasznlatval adjuk ismt hozz ugyanazt a sort az ACL-hez!
A 20-as s 30-as sorok kz egy j sor beillesztshez: Adjuk ki a kt meglv sor kz es szmmal (pl.: 25) kezdd j ACL utastst!
184
185
8. Forgalomszrs hozzfrsi listk hasznlatval A virtulis terminl alap hozzfrsi lista ltrehozsnak folyamata ugyanaz, mint egy norml interfszhez kapcsold ACL esetn. Ezzel szemben az ACL hozzrendelse egy vagy tbb VTY vonalhoz ms paranccsal trtnik. Az ip access-group parancs helyett az access-class parancsot kell hasznlnunk. A VTY vonalakhoz hozzrendelt hozzfrsi listk belltshoz kvessk az albbi irnyelveket: A VTY vonalakhoz ne nevestett, hanem szmozott ACL -t hasznljunk! A korltozsokat minden VTY vonalhoz hozz kell rendelni, mivel nem szablyozhat, hogy a felhasznl melyik vonalon kapcsoldjon!
A VTY kapcsolat a Telnet gyflprogram s a clknt megadott forgalomirnyt Telnet szerverprogramja kztt jn ltre. A hlzati rendszergazda ltrehozza a kapcsolatot a clknt megadott forgalomirnytval, megadja felhasznli nevt s jelszavt, majd elvgzi a szksges konfigurcis vltoztatsokat.
186
A fenti ACL utasts engedlyezi a 192.168.1.0 hlzatbl szrmaz, a 80-as porton HTTP-hozzfrst ignyl forgalmat. Amennyiben egy felhasznl telnet- vagy FTP-kapcsolatot prbl ltesteni a 192.168.2.89 cm llomssal, a minden hozzfrsi lista vgn megtallhat implicit tilt utasts megakadlyozza azt.
Egy konkrt alkalmazs alapjn trtn szrshez ismernnk kell az adott alkalmazs portszmt. Az alkalmazsokat egy portszm s egy nv azonositja. Egy ACL pldul hivatkozhat akr a 80 -as portra, akr a HTTP nvre. Amennyiben sem az alkalmazshoz tartoz portszm, sem pedig a nv nem ismert, prbljuk megtallni az informcit az albbi lpsek valamelyikvel: 187
8. Forgalomszrs hozzfrsi listk hasznlatval 1. Keressnk fel egy IP-cmek bejegyzsvel foglalkoz oldalt (pl.: http://www.iana.org) a vilghln! 2. Nzznk utna a szoftver dokumentcijban! 3. Ltogassunk el a szoftvergyrt weboldalra! 4. Szerezzk meg az adatokat egy csomagvizsgl (packet sniffer) segtsgvel kzvetlenl az alkalmazsbl! 5. Hasznljuk a ? lehetsget az access-list parancshoz! Az gy kapott lista tartalmazza a TCP protokollhoz tartoz legismertebb portneveket s portszmokat. Nhny alkalmazs egynl tbb portszmot hasznl. Pldul, az FTP adattvitel a 20 -as porton trtnik, de az FTP-t lehetv tev kapcsolatvezrls a 21-s portot hasznlja. Az FTP forgalom teljes tiltshoz mindkt portot le kell tiltanunk! Tbb portszm megfelel kezelshez a Cisco IOS ACL-ek kpesek port-tartomnyok alapjn is szrni. Ehhez hasznljuk az ACL utasts gt, lt vagy range opertort! A kt FTP -t tilt ACL utasts pldul sszevonhat az albbi paranccsal:
R1(config)#access-list 181 deny tcp any 192.168.77.0 0.0.0.255 range 20 21
belltsa
kapcsolat-felvtel
utni
forgalom
Az ACL-eket gyakran azrt hasznlunk, hogy vdelmet nyjtsanak a bels hlzat szmra a kls forrsokkal szemben. Ugyanakkor a bels hlzat vdelme mellett a bels felhasznlk szmra biztostani kell a hozzfrst minden erforrshoz. Amikor a bels felhasznlk kls erforrsokat hasznlnak, az ltaluk ignyelt erforrsoknak t kell jutniuk az ACL-en. Ha pldul egy bels felhasznl kapcsoldni akar egy kls webkiszolglhoz, az ACL-nek engedlyeznie kell a bentrl krt kls html csomagok bejutst. Mivel az ACL-ek vgn mindig ott szerepel az implicit tilts, a fenti erforrsokat kln engedlyezni kell az ACL-ben. A minden lehetsges ignyelt erforrst engedlyez klnll utastsok hossz ACL-t s biztonsgi rseket eredmnyezhetnek. A problma megoldhat egyetlen utasts megadsval, amely a bels felhasznlk szmra engedlyezi egy TCP kapcsolat felptst a kls erforrsokhoz. Amint megtrtnt a TCP hromfzis kzfogsa s a kapcsolat ltrejtt, a kt eszkz kztt kldtt sszes csomag engedlyezve lesz. Ehhez hasznljuk az established kulcsszt!
access-list 101 permit tcp any any established
188
8. Forgalomszrs hozzfrsi listk hasznlatval A fenti utasts hasznlatval az sszes kvlrl rkez tcp csomag engedlyezve lesz, feltve, ha a vlasz egy bellrl rkez krsre jtt. A bentrl kezdemnyezett kommunikci eredmnyeknt berkez vlaszcsomagok engedlyezse az llapottart csomagvizsglat (Stateful Packet Inspection, SPI) egyik formja. A mr ltrejtt forgalmon kvl arra is szksg lehet, hogy egy bels felhasznl kls eszkzket pingelhessen. Ugyanakkor nem kvnatos, hogy kls felhasznlk megpingelhessk a bels hlzat eszkzeit vagy kvethessk az azokhoz vezet tvonalat. Ilyen esetekben hasznlhat az ACL utastsban megadott echo-reply s az unreachable kulcssz a ping vlaszok s a cl elrhetetlensgt jelz zenetek fogadsnak engedlyezsre. Ugyanakkor a kls forrsokbl szrmaz ping mindaddig el lesz utastva, amg azt egy msik utasts kln nem engedlyezi.
2. Ha egy csomag kifel tvozik a cmfordtst vgz kls interfszrl, akkor a forgalomirnyt: A forrscmet belsrl klsre (loklisrl globlisra) fordtja. Alkalmazza a kimen ACL -t. Alkalmazza a kimen ACL-t.
Az ACL-t gy tervezzk meg, hogy a cmfordtshoz val viszonytl fggen vagy csak a privt, vagy csak a publikus cmeket szrje! Amennyiben a cmfordtst vgz kls interfszre bejv vagy onnan kimen forgalomrl van sz, akkor a publikus cmeket kell szrni.
189
8. Forgalomszrs hozzfrsi listk hasznlatval Mi trtnne, ha az ACL a msik irny forgalmat szrn? Okoz-e brmifle problmt a hlzati cmfordts?
Kiterjesztett ACL vizsglatakor nem szabad megfeledkezni az albbi kulcsszempontokrl: A tcp kulcssz az FTP, a HTTP, a Telnet s hasonl protokollokat engedlyezi vagy tiltja. A permit ip kulcskifejezs a teljes IP-forgalmat belertve a TCP, az UDP s az ICMP protokollt engedlyezi.
190
A show access-list parancs hasznlatval ACL soronknt megjelentett egyezsi szmrtkek utastsonknt megmutatjk, hny csomag-egyezs trtnt. A kimenet a csomag forrst vagy cljt, sem pedig a hasznlt protokollt nem jelzi. Az engedlyezett vagy elutastott csomagokkal kapcsolatos tovbbi rszletek megismershez aktivljuk a naplzs folyamatt! A naplzs az egyes ACL utastsokra kln-kln aktivlhat, a vizsglni kvnt utastsok vgre illesztett log opcival. A naplzst csak rvid idre, az ACL tesztelsnek befejezsig kapcsoljuk be, az esemnyek naplzsa ugyanis jelentsen nvelheti a forgalomirnyt terhelst. A konzolra trtn naplzs a forgalomirnyt memrijt hasznlja, ami korltozott erforrsnak szmt. Ehelyett lltsuk be a forgalomirnytn, hogy a naplzand informcit egy kls kiszolglra kldje! Ezek az n. syslog zenetek lehetv teszik az informcik vals idej vagy egy ksbbi idpontban trtn megtekintst. A syslog esemny-zenetek nyolc slyossgi szint valamelyikbe sorolhatk. A 0. szint vszhelyzetet vagy hasznlhatatlan rendszert jelent, a 7. pedig informcis (pl.: hibakeressi) zeneteket azonosit. Az ACL naplzs tbbek kztt az albbi informcis zenetet generlja: az ACL szma az engedlyezett vagy elutastott csomag a forrs- s clcmek a csomagok szma
Az zenet az els csomagegyezs esetn, majd ezt kveten 5 percenknt generldik. A naplzs kikapcsolshoz hasznljuk az albbi parancsot:
no logging console
191
8. Forgalomszrs hozzfrsi listk hasznlatval Egy konkrt (pl. IP-csomagokhoz kapcsold) hibakeress kikapcsolshoz hasznljuk az albbi parancsot:
no debug ip packet
Mindenkppen tancsos kihasznlni azt a lehetsget, amely egy kritikus esemny bekvetkezsekor e-mailben, szemlyi hvn vagy mobiltelefonon rtesti a hlzati rendszergazdt. Az egyb belltsi lehetsgek kztt szerepel: rtests az jonnan rkezett zenetekrl az zenetek rendezse s csoportostsa az zenetek slyossga alapjn trtn szrs az sszes vagy csak a kijellt zenetek trlse
Syslog kiszolglprogram tbbfle forrsbl is beszerezhet. Ezek tudsszintje s kezelhetsge az r fggvnyben vltozik, de lteznek az interneten elrhet, ingyenes programok is.
192
8. Forgalomszrs hozzfrsi listk hasznlatval A syslog egy olyan protokoll, amelyet minden hlzati berendezs idertve a kapcsolkat, forgalomirnytkat, tzfalakat, trolrendszereket, modemeket, vezetk nlkli eszkzket s UNIX llomsokat tmogat.
Egy syslog kiszolgl hasznlathoz teleptsk a programot egy Windows, Linux, UNIX vagy MAC OS opercis rendszert futtat kiszolglra, majd lltsuk be a forgalomirnytn, hogy a naplzott esemnyeket erre a syslog kiszolglra kldje! Az albbi pldban szerepl parancs egy syslog kiszolglt futtat lloms IP -cmt hasznlja:
logging 192.168.3.11
Egy problma elhrtsa sorn mindig lltsuk be az idblyeg szolgltatst a naplzshoz! Bizonyosodjunk meg arrl, hogy a forgalomirnytn a dtum s id be legyen lltva, s gy a naplllomnyok mindig a megfelel idblyeget jelentsk meg! A dtum s id belltsainak ellenrzshez hasznljuk a show clock parancsot!
R1>show clock *00:03:45.213 UTC Mon Mar 1 2007
A pontos id belltshoz elszr adjuk meg a Greenwich-i kzpidhz (GMT) viszonytott idznt, majd lltsuk be az idt! Figyeljnk oda, hogy az id belltst (clock set) vgz parancsot nem a konfigurcis mdban kell kiadni! Az idzna belltshoz:
R1(config)#clock timezone CST -6
Az id belltshoz:
R1#clock set 10:25:00 Sep 10 2007
193
194
195
196
Egy jl elksztett hlzati terv s annak megvalstsa kritikus fontossg ahhoz, hogy az zemid az elvrsok szerint alakuljon. Egy jl megtervezett hlzat a megfelel s hatkony adatramls biztostshoz redundnsan tartalmaz minden kritikus fontossg sszetevt s adattvonalat. Ez a redundancia kizrja az egyetlen pontbl ered meghibsodsokat. A hromrteg hierarchikus hlzattervezsi modell funkcionlisan vlasztja szt egymstl a klnfle hlzati eszkzket s sszekttetseket. Ez az elklnts gondoskodik a hlzat
197
9. Hibaelhrts egy vllalati hlzaton teljestmnynek hatkonysgrl. A fenti hlzattervezsi modell s a vllalati kategriba tartoz eszkzk egyttes alkalmazsa nagymrtk megbzhatsgot eredmnyez. Mg a megfelel hlzati terv meglte esetn is elkerlhetetlen lehet esetenknti lells a hlzatban. A lellsi id minimalizlshoz s a gyors helyrells biztostshoz tovbbi tnyezket kell figyelembe venni. A szolgltatsi szintek garantlshoz, a vllalatnak s a f szolgltatknak szolgltati szerzdsekben (SLA) kell megegyeznik egymssal. Egy SLA vilgosan rgzti a szolgltats szintjvel szemben tmasztott elvrsokat. Ezen elvrsok kz tartozik pldul az elfogadhat mrtk hlzati lells s a helyrellts idtartama is. Ezekben a szerzdsekben gyakran elrjk a szolgltats brmely hinyossghoz trstott jvttel mrtkt is.
Lellsok nem csak az ISP-k szolgltatsainak hinyossgai miatt kvetkezhetnek be. Elg gyakran a problma a helyi hlzat rszt kpez kulcsfontossg eszkz meghibsodsbl ered. Az ilyen tpus lellsok elfordulsnak minimalizlshoz jtllsra van szksg az sszes kritikus fontossg berendezsre nzve. A jtlls gondoskodik a ltfontossg sszetevk gyors cserjrl. Az zletfolytonossgi tervek rszletes akcitervvel szolglnak az olyan nem vrt, mestersgesen elidzett vagy termszeti katasztrfk esetn, mint pldul az ramkimaradsok vagy a fldrengsek. Az zletfolytonossgi tervek rszletezik azt, hogy miknt folytatdjanak vagy induljanak jra a vllalat tevkenysgei a katasztrfa utn gy, hogy az gyfeleket ez a lehet legkisebb mrtkben zavarja csak. Egyrtelmen lerjk, hogyan fog a hlzat mkdkpessge jra kialakulni egy kritikus meghibsods esetn. A mkdkpessg biztostsnak egyik mdja, ha egy redundns, biztonsgi telephellyel rendelkeznk egy msik helysznen, arra az esetre, ha az elsdleges telephely meghibsodna.
198
Az egyes eszkzcsoportok klnbz lehetsgekkel rendelkeznek s klnbz tpus informcikat szolgltatnak. Az ilyen eszkzk kombinlt hasznlatval tfog kpet kaphatunk a hlza t pillanatnyi teljestmnyrl. Egy hlzati rendszergazda rendszeresen proaktv (megelz) karbantartsi feladatokat vgez a berendezsek ellenrzshez s karbantartshoz. Ezzel a rendszergazda mg egy kritikus hiba bekvetkezse eltt kpes lehet megtallni azokat a gyenge pontokat, amelyek a hlzat lellst okozhatnk. Csakgy, mint egy aut rendszeres szervzelse esetn, a proaktv karbantarts meghosszabbtja a hlzati eszkz lettartamt. A hlzatfigyel eszkzk, mdszerek s programok hasznlathoz szksg van egy teljes kr, pontos s aktulis hlzati dokumentcira. Az ilyen dokumentciknak a kvetkezket kell tartalmazniuk: Fizikai s logikai topolgia diagramok Minden hlzati eszkz konfigurcis llomnya Viszonytsi teljestmnyszint
Bevlt gyakorlatnak szmt a hlzat els teleptse utn, illetve minden nagyobb vltoztatst vagy fejlesztst kveten meghatrozni a viszonytsi teljestmnyszinteket. A hlzati rendszergazdk normlis terheltsgi szintek mellett vgzik a hlzat tesztelst, olyan protokollok s alkalmazsok hasznlatval, melyek ltalnosan elfordulnak a hlzaton. Szmos sszetett eszkz s eljrs ltezik a viszonytsi teljestmnyszintek megllaptshoz. Nhny program tbb klnbz tesztet vgez el, klnbz tpus hlzati forgalmakat hasznlva. A tesztek nagyon pontosan meghatrozott terhelsi llapotok s felttelek mellett llaptjk meg a hlzat teljestmnyt. Ms eszkzk, mint pldul a ping, jval pontatlanabbak, viszont gyakran elegend informcit szolgltatnak ahhoz, hogy figyelmeztessk a rendszergazdt egy problmra.
199
Az egyszer hlzati segdprogramok, mint a ping vagy a tracert, informcit szolgltatnak a hlzat vagy a hlzati kapcsolat teljestmnyrl. Ezen parancsok tbbszri alkalmazsval megjelenthet egy csomag kt hely kztti tvitelnek idbeli eltrse. Mindemellett ezeknek a parancsoknak a hasznlata nem ad magyarzatot az idklnbsgekre. A csomagvizsgl eszkzk figyelemmel ksrik a forgalomtpusokat a hlzat klnbz rszein. Ezek az eszkzk jelzik, ha egy bizonyos forgalomtpus rendkvl nagy mennyisgben van jelen. A csomagok tartalmt megvizsglva kpesek pillanatok alatt meghatrozni az rintett forgalom forrst. Ezek az eszkzk esetenknt kpesek a problmt orvosolni is, mg mieltt a hlzat tlterheltsge kritikuss vlna. Pldul forgalomlehallgats segtsgvel felismerhetek a hlzatban elfordul nemkvnatos forgalomtpusok s mveletek. Ez a felismers megllthat egy lehetsges szolgltats megtagadsos (DoS) tmadst, mieltt az befolysoln a hlzat teljestmnyt.
200
9. Hibaelhrts egy vllalati hlzaton Az egyszer hlzatfelgyeleti protokoll (SNMP) lehetv teszi egyedi berendezsek megfigyelst a hlzaton. Az SNMP-kpes eszkzk bepitett SNMP gynkprogramokat hasznlnak nhny elre meghatrozott paramter bizonyos krlmnyek kztt trtn megfigyelshez. Ezek az gynkk sszegyjtik az informcikat s egy sajt, felgyeleti informcis adatbzis (MIB) nven ismert adatbzisban troljk azokat. Az SNMP szablyos idkznknt lekrdezssel begyjti az az eszkzktl a felgyelt paramterekre vonatkoz informcikat. Ezenfell az SNMP kpes olyan esemnyek detektlsra, amelyek tllpnek egy elre meghatrozott kszbrtket vagy felttelt. Az SNMP pldul megfigyelheti egy forgalomirnyt interfsznek hibit. A hlzati rendszergazda ehhez az interfszhez meghatrozza a hibk szmra vonatkoz mg elfogadhat szintet. Ha a hibk szma tllpi a kszbrtket, az SNMP szleli ezt az llapotot, s elkldi azt a hlzatfelgyeleti llomsnak (NMS). Az NMS riasztja a hlzati rendszergazdt. Nmely SNMP rendszer olyan esemnyeket vlt ki a problma kikszblshez, mint pldul egy eszkz automatikus jrakonfigurlsa. A legtbb vllalati szint hlzatfelgyeleti rendszer SNMP-t hasznl. Sok ingyenes (freeware) s kereskedelmi verzij proaktv hlzatfigyel eszkz ltezik. Ezekkel az eszkzkkel megfigyelhet a forgalom tpusa s terhelse, a kiszolglk konfigurcija, forgalom mintk s szmos egyb krlmny. Egy j hlzat-megfigyelsi terv s a megfelel eszkzk hasznlata segtsgre lehet a hlzati rendszergazdnak a hlzat llapotnak kirtkelsben s a problms szitucik szlelsben.
201
9. Hibaelhrts egy vllalati hlzaton fenntartst, s idt ad a rendszergazdnak a meghibsodott sszekttets hibjnak megllaptshoz s kijavtshoz. Ha egy adott eszkzzel vagy konfigurcival problma addik, akkor a konfigurcis llomnyokrl kszlt biztonsgi msolat vagy egy tartalk eszkz az sszekttets gyors helyrelltst teszik lehetv.
Az ilyen gyors megoldsok nem mindig lehetsgesek s nem minden esetben nyjtanak kielgt eredmnyt. A hlzat s a benne lv erforrsok biztonsgt els szm prioritsknt kell kezelni. Ha egy gyors javts veszlyezteti az elbb emltett biztonsgot, sznjunk idt egy alkalmasabb, alternatv megolds felkutatsra. A hlzat biztonsgi vonatkozsait az zletfolytonossgi tervben is rszletezni kell. A terv a kvetkezket tartalmazza: A lehetsges problmk dokumentlsa A problmk bekvetkezsekor elvgzend intzkedsek lersa A vllalat biztonsgi hzirendjnek rszletei Az intzkedsek biztonsgi kockzatainak rszletei
Vllalati hlzatok tervezse sorn korltozni kell a hibatartomnyok mrett. A hibatartomny a hlzat azon rsze, amelyre hatssal van egy hlzati eszkz meghibsodsa vagy hibs konfigurcija. A tartomny tnyleges mrete fgg az eszkztl s a meghibsods vagy a konfigurcis hiba tpustl. Egy hlzat hibaelhrtsakor hatrozzuk meg a problma hatkrt s hatroljuk krl az rintett hibatartomnyt. Ha egy idben hibsodik meg egy 2. rtegbeli kapcsol s egy hatr forgalomirnyt is, akkor ezek klnbz hibatartomnyokra vannak hatssal. Egy LAN szegmensen lv 2. rtegbeli kapcsol meghibsodsa csak a szrsi tartomnyban lv felhasznlkra van hatssal, s nincs befolyssal a hlzat tbbi tartomnyra. Egy hatr forgalomirnyt meghibsodsa azonban meggtolja a vllalat minden felhasznljt a helyi hlzatukon kvl tallhat hlzati erforrsok elrsben.
202
9. Hibaelhrts egy vllalati hlzaton A forgalomirnytnak nagyobb befolysa van a hlzat mkdsre nzve, ezrt nagyobb hibatartomnnyal br. Normlis krlmnyek mellett a hibaelhrtst elszr a nagyobb mret hibatartomny erforrsaival kell elkezdeni. Nhny esetben a hibatartomny mrete nem szmt dnt tnyeznek a hibaelhrts sorn. Ha egy az zletvitel szempontjbl kritikus fontossg kiszolgl csatlakozik egy meghibsodott kapcsolhoz, akkor e problma kijavtsa elsbbsget lvez a hatr forgalomirnytval szemben.
A legtbb tapasztalt hlzati szakember a korbban megszerzett tapasztalatokra tmaszkodik, s a prblgats szemlletvel kezdi el a hibaelhrtsi folyamatot. A problma ily mdon trtn kijavtsval sok id megtakarthat. Sajnos a kevsb tapasztalt szakemberek nem hagyatkozhatnak kizrlag a korbban megszerzett tapasztalatokra, s a prblgatsos megkzelts nem is mindig jr eredmnnyel. A fentiek miatt a hibaelhrtshoz egy strukturltabb megkzeltsre van szksg. Amikor olyan helyzet addik, amikor strukturltabb megkzeltsre van szksg, a legtbb hlzati szakember az OSI vagy a TCP/IP modellek rtegein alapul mdszert alkalmaz. A szakember a korbbi tapasztalatait felhasznlva meghatrozza, hogy a problma az OSI modell alsbb vagy felsbb rtegeivel kapcsolatos-e. A rteg szabja meg, hogy a fentrl lefel vagy a lentrl felfel trtn megkzelts lesz-e a megfelel. Egy problms szituci megkzeltse sorn kvessk az ltalnos problmamegold modellt, tekintet nlkl az alkalmazott hibaelhrtsi technika tpusra. Hatrozzuk meg a problmt! Gyjtsk ssze a fennll krlmnyeket! Kvetkeztessnk a lehetsgekre s az alternatvkra! Hozzunk ltre egy intzkedsi tervet! Valstsuk meg a megoldst! Elemezzk az eredmnyeket!
Ha ezzel az eljrssal els nekifutsra nem tudjuk meghatrozni s kijavtani a problmt, akkor szksg szerint ismteljk meg a folyamatot!
203
9. Hibaelhrts egy vllalati hlzaton Dokumentljuk a kezdeti tneteket s minden elfordulst a problma oknak megtallsa s annak kijavtsa rdekben! Ez a dokumentci rtkes eszkzknt szolglhat egy ilyen vagy ehhez hasonl problma bekvetkezse esetn. Mg a sikertelen prblkozsokat is fontos dokumentlni, hogy idt takarthassunk meg a jvbeni hibaelhrtsi tevkenysgek sorn.
204
205
Ha kapcsoldsi problma ll fenn s vilgt a kapcsolatjelz LED, akkor valsznleg a kapcsol konfigurcija okozza a problmt. Abban az esetben, ha egy kapcsolport nem megfelelen vagy hibsan mkdik, a legegyszerbb tesztelsi mdszer az, ha egy msik portba csatlakoztatjuk a hlzati kbelt, s ellenrizzk, hogy ez megoldotta-e a problmt. Gyzdjnk meg arrl, hogy nem tiltotta-e le a portot a kapcsol portvdelme. Ez az albbi parancsok segtsgvel ellenrizhet:
206
Ha a kapcsol vdelmi belltsai tiltottk le a portot, akkor ellenrzzk le a biztonsgi hzirendben, hogy megengedett-e a biztonsgi szablyok megvltoztatsa. A kapcsolk a 2. rtegben mkdnek, s egy tblban nyilvntartst vezetnek minden csatlakoztatott eszkz MAC-cmrl. Ha ebben a tblban egy MAC-cmhez helytelen bejegyzs tartozik, akkor a kapcsol nem a megfelel port fel fogja tovbbtani az informcit, s gy a kommunikci nem jn ltre. Az egyes kapcsolportokhoz csatlakoztatott eszkzk MAC-cmeinek megtekintshez a kvetkez parancs hasznlhat:
show mac-address-table
A kapcsol ezt kveten a legfrissebb informcik alapjn jra feltlti MAC -cm tblt.
207
9. Hibaelhrts egy vllalati hlzaton Annak ellenre, hogy szmos eszkz kpes a sebessg s a duplexits automatikusan szlelsre, az erre vonatkoz egymssal nem egyez belltsok meggtoljk a kapcsol s a vgponti eszkz kztti sszekttets mkdst. Nhny kapcsol nem megfelelen szleli a csatlakoztatott eszkz sebessgt s duplexitst. Amennyiben ez a felttelezett problma, rgztsk le az rtkeket a kapcsoln a gazdagpnek megfelelen, az interface speed s a duplex parancsok segtsgvel! Egy adott port sebessgnek s duplex belltsainak megjelentshez ez a parancs hasznlhat:
show interface interface_azonost
A kapcsoldsi problmk tovbbi lehetsges forrsait a kapcsolsi hurkok alkotjk. Egy kapcsolt hlzatban az STP elhrtja a kapcsolsi hurkokat s a szrsi viharokat azltal, hogy lelltja a redundns tvonalakat. Ha az STP pontatlan informcik alapjn hozza meg a dntseit, hurkok alakulhatnak ki. Ha hurok van jelen egy hlzatban, annak az albbi jelei lehetnek: Megsznt az sszekttets az rintett hlzati tartomnyok fel, fell s azokon keresztl Magas CPU kihasznltsg az rintett szegmensekhez csatlakoz forgalomirnytkon Az sszekttets magas, akr 100%-os kihasznltsga Magas a kapcsol n. htlapi kommunikcis rendszernek kihasznltsga a viszonytsi pont kihasznltsg rtkhez kpest A syslog zenetek csomaghurkot vagy lland cm jratanulst jeleznek, esetleg egy MAC -cm tbb porton trtn szlelsrl (MAC address flapping) rkezik figyelmeztet zenet Nvekv szm eldobott kimen keret tbb interfszen
Hurok akkor alakul ki, amikor a kapcsol nem kap BPDU -kat vagy nem kpes feldolgozni azokat. Ez a problma a kvetkezk miatt lehet: Hibs konfigurcik Meghibsodott mdia konverterek Hardveres vagy kbelezsi problmk Tlterhelt processzorok
A tlterhelt processzorok miatt lellhat az STP mkdse, s a kapcsolk nem lesznek kpesek feldolgozni a BPDU-kat. A tbb porton is megjelen MAC-cmek megsokszorozzk az tvitelek szmt. A megnvekedett tvitelszm tlterhelheti a processzort. Ilyen helyzet csak nagyon ritkn kvetkezhet be egy megfelelen konfigurlt hlzatban. A problmatpus orvoslshoz meg kell szntetni az sszes redundns tvonalat. Egy msik hibaelhrtsi problma az gynevezett nem optimlis kapcsols (suboptimal switching) esete. Az alaprtelmezett rtkeken hagyva az STP nem mindig a legjobb pozicij hidat vagy portot vlasztja ki gykrponti hidnak illetve gykr portnak. Egy kapcsoln a priorits rtknek megvltoztatsval knyszerthet ki a megfelel gykrponti hd kivlasztsa. Az optimlis kapcsols rdekben a gykrponti hdnak a hlzat kzponti helyn kell elhelyezkednie. STP hibaelhrtsakor hasznljuk a kvetkez parancsokat: Informcit ad az STP konfigurcijrl:
208
Az jabb kapcsolk alaprtelmezs szerinti belltsa a 802.1Q, de nhny Cisco kapcsol tmogatja a 802.1Q-t s a Cisco tulajdonban lv Inter-Switch Link (ISL) formtumot is. Ahol lehetsges az IEEE 802.1Q-t kell hasznlni, mivel ez szmt de facto szabvnynak, tovbb a 802.1Q s az ISL nem kompatibilisek egymssal. VLAN-ok kztti forgalomirnytsi problmk hibaelhrtsakor gyzdjnk meg arrl, ho gy a forgalomirnyt fizikai interfsznek ne legyen IP-cme. Ennek az interfsznek aktvnak kell lennie. Az interfszek konfigurcijnak megtekintshez a kvetkez parancs hasznlhat:
show ip interface brief
Az egyes VLAN-okhoz rendelt hlzatnak lthatnak kell lennie a forgalomirnyt tblban. Ellenkez esetben ellenrizzk jra az sszes fizikai csatlakozst s a trnk konfigurcijt az sszekttets mindkt vgn! Ha a forgalomirnyt nem kzvetlenl csatlakozik egy vagy tbb VLAN alhlzathoz, ellenrizzk az irnyt protokoll konfigurcijt annak rdekben, hogy minden VLAN fel legyen tvonal! Hasznljuk az albbi parancsot:
show ip route
Hozzfrsi port vagy trnkport Minden kapcsolport vagy hozzfrsi portknt vagy trnkportknt zemel. Nhny kapcsol modellen ms tpus kapcsolportok is rendelkezsre llnak, s a kapcsol automatikusan lltja be a portot a megfelel llapotba. Nhny esetben ajnlatos rgzteni a port hozzfrsi vagy trnk llapott, gy elkerlhetek az szlelsi folyamat sorn fellp lehetsges problmk.
209
9. Hibaelhrts egy vllalati hlzaton Natv s menedzsment VLAN-ok A kapcsolportok vagy hozzfrsi portknt vagy trnkportknt zemelnek. A trnkvonal natv VLAN jhoz vannak hozzrendelve a trnkn tkldtt cmkzetlen keretek. Ha egy eszkzn megvltoztattuk a natv VLAN kiosztst, akkor a 802.1Q trnk mindkt vgpontjn be kell lltani ugyanazt a natv VLAN azonostszmot. Ha a trnk egyik vgn a VLAN10 lett natvknt konfigurlva, a msik vgen pedig a VLAN 14, akkor az egyik vgen a VLAN10-bl kldtt keret a msik oldalon a VLAN14-ben lesz fogadva. Ekkor a VLAN10 tszivrog a VLAN14-be. Ez vratlan kapcsoldsi problmkat okozhat s nvelheti a ksleltetst. A zavartalan, gyors tvitel rdekben ellenrizzk le, hogy a natv VLAN hozzrendels ugyanaz legyen minden eszkzn az egsz hlzatban!
Egy eszkzn a hasznlatban lv VTP-protokoll verzi, a VTP tartomnynv, a VTP md s a VTPverziszm (revision number) megjelentshez, adjuk ki az albbi parancsot:
show vtp status
A VTP gyfelek s kiszolglk a VTP frisstsi -verziszmot hasznljk annak eldntshez, hogy frisstenik kell-e a VLAN informciikat. Ha a frissts verziszma magasabb, mint a jelenleg hasznlt verziszm, az gyfelek s a kiszolglk felhasznljk az jonnan rkezett informcikat a konfigurci frisstshez. Mindig ellenrizzk le a VTP-verziszmot s a VTP mdot, mieltt brmilyen kapcsolt csatlakoztatnnk a hlzathoz. A verziszmot az NVRAM-ban troljk a kapcsolk, s az indt konfigurci trlse nem lltja alaphelyzetbe ezt az rtket. A verziszm alaphelyzetbe hozshoz vagy lltsuk a kapcsol VTP mdjt transzparensre vagy vltoztassuk meg a VTP tartomnynevet. Az is problmt okozhat, ha egy illeglis illeglis (rogue) kapcsol csatlakozik a tartomnyhoz, s megvltoztatja a VLAN informcikat. Ennek megakadlyozshoz rdemes jelszt belltani a VTP
210
9. Hibaelhrts egy vllalati hlzaton tartomnyhoz. A tartomny VTP jelszavnak belltshoz hasznljuk a kvetkez globlis konfigurcis parancsot:
vtp password jelsz
Ha hasznlunk hitelestsi jelszt, akkor a VTP tartomnyon bell minden eszkzn ugyanazt kell belltani. Ha a frisstsek nem terjednek tovbb egy j kapcsol fel a VTP tartomnyban, akkor valsznleg a jelszval van a problma. A jelsz ellenrzshez hasznljuk ezt a parancsot:
show vtp password
211
9. Hibaelhrts egy vllalati hlzaton A show ip route paranccsal trtn tesztels eltt rdemes trlni az irnyttbla tartalmt a clear ip route * paranccsal. Az itt felismert problmkon fell, nagyon fontos, hogy mindig emlkezznk arra, hogy a RIP mrtke az ugrsszm, mely 15 ugrsra van korltozva! Ez a korltozs nmagban is okozhat problmt egy nagyobb vllalati hlzatban.
Megjelenti a szomszdok IP-cmeit s az interfszek azonostit, amelyeken keresztl megtanulta ezeket a cmeket.
show ip eigrp topology
Megjelenti az ismert hlzatok topolgia tbljt a legjobb tvonalakkal, az llapotjelzkkel, a legrvidebb tvolsggal s az interfszek azonostival egytt.
show ip eigrp traffic
Megjelenti az EIGRP forgalmi statisztikit a konfigurlt autonm rendszerben, egyebek mellett a kldtt s fogadott hello csomagok, valamint a frisstsek szmt.
debug eigrp packets
Vals idben jelenti meg a szomszdok ltal egymsnak kldtt EIGRP csomagokat.
debug ip eigrp
Vals idben jelenti meg az EIGRP esemnyeket, kzte az sszekttetsek llapotnak vltozsait s a forgalomirnyt tbla frisstseit. Bizonyos problmk gyakran elfordulnak az EIGRP protokoll konfigurlsa sorn. A kvetkez lehetsges okok miatt nem mkdhet az EIGRP: vagy 2. rtegbeli kapcsoldsi problmk Hibs cmzssel vagy alhlzati maszkkal rendelkez interfsz Egymssal nem egyez autonmrendszer azonostk a klnbz EIGRP forgalomirnytkon Rossz hlzat vagy helytelen helyettest maszk van megadva az irnytsi folyamatban Az sszekttets lellt vagy torlds lpett fel A kimen interfsz lekapcsolt llapotban van Egy hirdetett hlzathoz tartoz interfsz lekapcsolt llapotban van
Ha az automatikus tvonalsszegzs engedlyezve van a forgalomirnytkon, mikzben az alhlzatok nem sszefggek, elkpzelhet, hogy az tvonalak nem megfelelen lesznek hirdetve.
212
A szabvnyos show s debug parancsokon fell, az albbi parancsok hasznlata segthet az OSPF -fel kapcsolatos problmk elhrtsban:
show ip ospf show ip ospf neighbor show ip ospf interface debug ip ospf events debug ip ospf packet
Ezutn lltsuk be a hatr-forgalomirnytt, hogy hirdesse vagy terjessze alaprtelmezett tvonalt a tbbi forgalomirnyt fel. RIP s OSPF esetn lpjnk be forgalomirnyt konfigurcis mdba s
213
9. Hibaelhrts egy vllalati hlzaton hasznljuk a default-information originate parancsot! Az EIGRP azonnal hirdeti az alaprtelmezett tvonalakat, de hasznlhat a redistribute static parancs is. Az alaprtelmezett tvonalak nem megfelel hirdetse megakadlyozza forgalomirnytkhoz csatlakoz felhasznlkat a kls hlzatok elrsben. a bels
Ahhoz, hogy egy soros sszekttets mkdjn, a kapcsolat mindkt vgpontjn egyeznie kell a begyazsi tpusnak. A Cisco forgalomirnytkon a HDLC az alaprtelmezett soros vonali begyazsi tpus. Mivel a Cisco HDLC s a nylt szabvny HDLC nem kompatibilisek egymssal, ne hasznljuk az alaprtelmezett Cisco begyazst egy nem-Cisco gyrtmny eszkzhz val csatlakozs sorn! Nhny 2. rtegbeli begyazsi tpusnak tbb vltozata is van. Pldul a Cisco forgalomirnytk tmogatjk mind a Cisco sajt Frame Relay formtumt, mind az ipari szabvny IETF formtumot. Ezek a formtumok nem kompatibilisek egymssal. A Cisco eszkzkn a Cisco Frame Relay formtum az alaprtelmezett. Annak megtekintshez, hogy egy soros vonalon milyen begyazs van hasznlatban, hasznljuk a kvetkez parancsot:
show interfaces <soros_port>
3. rteggel kapcsolatos konfigurcis belltsok is megakadlyozhatjk az adatok mozgst egy soros sszekttetsen. Br soros sszekttetsek esetn nem szksges IP -cmeket belltani, ha hasznlni szeretnnk azokat, akkor az sszekttets mindkt vgpontjnak ugyanazon a hlzaton vagy alhlzaton kell lennie.
214
9. Hibaelhrts egy vllalati hlzaton Az a folyamat, amely soros vonali cmfelold protokoll (SLARP) nven ismert, hozzrendel egy cmet egy soros sszekttets egyik vgpontjhoz, feltve, ha az sszekttets msik vge mr konfigur lva van. Az SLARP felttelezi, hogy minden soros vonal egy klnll IP -alhlzat s a vonal egyik vgnek llomsazonostja 1, a msik vgnek pedig 2. Felttelezve azt, hogy a soros sszekttets egyik vge mr konfigurlva van, az SLARP automatikusan konfigurlja az IP-cmet a msik oldalon. Az albbi paranccsal megtekinthet a belltott IP -cm egy interfszen, valamint a port s a vonali protokoll llapota:
show ip interface brief
Mieltt az sszekttetsen megindulna a 3. rtegbeli informcik mozgsa, mind az interfsznek, mind a protokollnak mkdkpes llapotban kell lennie. Ha az interfsz lekapcsolt llapotban van, akkor magval az interfsszel van problma. Ha az interfsz mkdik, de a vonali protokoll van lekapcsolt llapotban, ellenrizzk, hogy a megfelel kbel van-e csatlakoztatva s szilrdan kapcsoldik-e a porthoz! Ha ez a lps nem javtja ki a problmt, akkor cserljk ki a kbelt! Ha egy interfsz llapota adminisztratvan letiltott (administratively down), annak legvalsznb b oka az, hogy nem adtuk ki a no shutdown parancsot az interfszen. Az interfszek le vannak tiltva alaprtelmezs szerint. A PPP folyamat magban foglalja mind az LCP mind az NCP fzisokat. Az LCP ltrehozza az sszekttetst s ellenrzi azt, hogy annak minsge megfelel-e a 3. rtegbeli protokollok hasznlathoz. Az NCP lehetv teszi a 3. rtegbeli forgalom szmra az sszekttetsen val thaladst. Egy elhagyhat hitelestsi szakasz van az LCP s az NCP fzisok kztt. Minden egyes fzisnak sikeresen be kell fejezdnie, mieltt a kvetkez megkezddne. PPP sszekttetsek hibaelhrtsakor ellenrizzk a kvetkezket: Befejezdtt-e mr az LCP fzis? Ha konfigurlva van, akkor sikeres volt-e a hitelests? Befejezdtt-e mr az NCP fzis?
A kvetkezkben nhny parancs segtsget nyjt a PPP sszekttetsek hibaelhrtsakor. Az LCP s NCP fzisok llapotainak megtekintshez az albbi parancs hasznlhat:
show interface
A kvetkez parancs az sszekttets ltrehozsnak fzisa alatt tkldtt, a PPP konfigurcis belltsok egyeztetsre hasznlt PPP csomagok megtekintshez hasznlhat:
debug ppp negotiation
215
A hitelestsi folyamat nyomon kvetse gyors mdszert biztost a hiba meghatrozshoz. Hasznljuk a kvetkez parancsot a vgberendezsek ltal egymsnak kldtt, a hitelestsi folyamattal kapcsolatban ll csomagok megjelentshez:
debug ppp authentication
216
Ezen krdsek kzl nhnyra vlaszt kaphatunk a naplzs engedlyezsvel. A naplzs megmutatja, hogy milyen hatssal van az ACL a klnbz csomagokra. Alaprtelmezs szerint az egyezsek szma a show access-list paranccsal jelenthet meg. Az engedlyezett, illetve tiltott csomagok rszleteinek megtekintshez tegyk az ACL parancsok vgre a log kulcsszt. Szmos parancs segthet annak meghatrozsban, hogy megfelelen vannak -e konfigurlva s alkalmazva az ACL-ek. A forgalomirnytn konfigurlt sszes ACL megjelentshez, attl fggetlenl, hogy alkalmazva lett e egy interfszre vagy sem, hasznljuk a kvetkez parancsot:
show access-lists
Az egyes ACL utastsokhoz tartoz illeszkedsi szmllk trlshez a kvetkez parancs hasznlhat:
clear access-list counters
A forgalomirnyt brmely interfsze ltal fogadott vagy kldtt sszes csomag forrs s cl IPcmnek megjelentshez az albbi parancs hasznlhat:
debug ip packet
A debug ip packet parancs azokat a csomagokat mutatja meg, melyeknek forrs -, illetve clcme egy forgalomirnyt interfsze. Azok a csomagok is megjelennek a parancs hatsra, amelyeket letiltott egy ACL az interfszen. Nhny forgalomtpus, melyek debug zeneteket hoznak ltre: RIP frisstsek egy forgalomirnyt interfsze irnybl vagy irnyba
217
9. Hibaelhrts egy vllalati hlzaton Brmilyen kls forrsbl szrmaz, kls cllloms fel tart telnet forgalom, melyet blokkolt egy ACL az interfszen.
Ha a csomagok egyszeren tovbbhaladnak, s az ACL nem blokkol egyetlen csomagot sem errl az IP-cmrl, akkor nem keletkeznek debug zenetek.
218
219
220
221
Tartalomjegyzk
Tartalom
1. Vllalati hlzat...............................................................................................................................1 1.1 A nagyvllalati hlzatok jellemzi ............................................................................................1 1.1.1 A vllalat zleti folyamatainak tmogatsa .........................................................................1 1.1.2 A forgalom alakulsa a nagyvllalati hlzatban .................................................................2 1.1.3 Vllalati LAN-ok s WAN-ok ................................................................................................6 1.1.4 Intranetek s extranetek.....................................................................................................7 1.2 A vllalati alkalmazsok azonostsa ..........................................................................................9 1.2.1 Forgalomramlsi mintzatok .............................................................................................9 1.2.2 Alkalmazsok s forgalom vllalati hlzaton .....................................................................9 1.2.3 Prioritsok a hlzati forgalomban ................................................................................... 11 1.3 Tvoli alkalmazottak tmogatsa ............................................................................................. 13 1.3.1 Telefonos tvmunka ......................................................................................................... 13 1.3.2 Virtulis magnhlzatok ................................................................................................. 15 1.4 A fejezet sszefoglalsa ........................................................................................................... 16 2. A vllalatok hlzati infrastruktrjnak megismerse .................................................................. 17 2.1 Az aktulis hlzat lersa........................................................................................................ 17 2.1.1 A vllalatok hlzati dokumentcija ................................................................................ 17 2.1.2 A hlzati szolgltatsi kzpont ........................................................................................ 19 2.1.3 A telekommunikcis helyisg kialaktsnak szempontjai................................................ 22 2.2 A vllalati perem tmogatsa .................................................................................................. 24 2.2.1 Szolgltats-tads a szolgltats-elrsi ponton.............................................................. 24 2.2.2 A vllalati hatrvonal biztonsgi szempontjai .................................................................... 25 2.3 Az irnyts s a kapcsols ttekintse..................................................................................... 26 2.3.1 A forgalomirnyt............................................................................................................ 26 2.3.2 A forgalomirnyt parancssoros felletnek alapvet show parancsai ............................. 29 2.3.3 A forgalomirnyt alapbelltsainak megadsa a parancssoros felletrl ....................... 30 2.3.4 A kapcsol ........................................................................................................................ 31 2.3.5 A kapcsol parancssoros felletnek parancsai ................................................................. 33 2.4 A fejezet sszefoglalsa ........................................................................................................... 36 3. Kapcsols vllalati hlzatokban ................................................................................................... 37 3.1 A vllalati szint kapcsolsi folyamatok megismerse .............................................................. 37 3.1.1 Kapcsols s a hlzat szegmentlsa ............................................................................... 37
222
Tartalomjegyzk 3.1.2 Tbbrteg kapcsols ....................................................................................................... 39 3.1.3 Kapcsolsi mdszerek ....................................................................................................... 40 3.1.4 Kapcsolk vdelme ........................................................................................................... 42 3.2 A kapcsolsi hurkok kialakulsnak megelzse ...................................................................... 43 3.2.1 Redundancia a kapcsolt hlzatokban .............................................................................. 43 3.2.2 Fesztfa protokoll (Spanning tree protocol, STP) .............................................................. 44 3.2.3 Gykrponti hidak ............................................................................................................ 48 3.2.4 Fesztfa egy hierarchikus hlzatban ............................................................................... 50 3.2.5 Gyors fesztfa protokoll (Rapid spannig tree protocol, RSTP) ........................................... 51 3.3 VLAN-ok konfigurlsa ............................................................................................................ 52 3.3.1 Virtulis LAN ..................................................................................................................... 52 3.3.2 Virtulis helyi hlzat konfigurlsa .................................................................................. 54 3.3.3 VLAN-ok azonostsa ........................................................................................................ 56 3.4 A trnkls s VLAN-ok kztti forgalomirnyts ................................................................... 57 3.4.1 Trnkportok ..................................................................................................................... 57 3.4.2 Tbb kapcsolra kiterjed VLAN-ok .................................................................................. 60 3.4.3 VLAN-ok kztti forgalomirnyts.................................................................................... 60 3.5 VLAN-ok kezelse vllalati hlzatokban ................................................................................. 63 3.5.1 VLAN trnkprotokoll (VTP) ................................................................................................ 63 3.5.2 A VTP konfigurlsa .......................................................................................................... 65 3.5.3 VLAN-ok az IP-telefnia s a vezetk nlkli hlzatok vilgban ...................................... 65 3.5.4 Bevlt VLAN megoldsok .................................................................................................. 66 3.6 A fejezet sszegzse ................................................................................................................ 67 4. Vllalati hlzatok cmzse............................................................................................................ 69 4.1 IP-hlzatok hierarchikus cmzsi smja ................................................................................ 69 4.1.1 Egyszint s hierarchikus hlzatok .................................................................................. 69 4.1.2 Hierarchikus hlzati cmzs ............................................................................................. 69 4.1.3 Hlzat felosztsa alhlzatokra ....................................................................................... 70 4.2 A VLSM hasznlata .................................................................................................................. 71 4.2.1 Alhlzati maszk ............................................................................................................... 71 4.2.2 Alhlzat-szmts binris formban ................................................................................ 72 4.2.3 Alapszint alhlzat-kszts ............................................................................................ 73 4.2.4 Vltoz hosszsg alhlzati maszk (VLSM) .................................................................... 74 4.2.5 VLSM cmzs megvalstsa .............................................................................................. 76
223
Tartalomjegyzk 4.3 Az osztly nlkli forgalomirnyts s a CIDR alkalmazsa ...................................................... 80 4.3.1 Osztly alap s osztly nlkli forgalomirnyts ............................................................. 80 4.3.2 CIDR s tvonalsszegzs ................................................................................................. 82 4.3.3 Az tvonalsszegzs meghatrozsa ................................................................................. 84 4.3.4 Nem sszefgg alhlzatok............................................................................................. 84 4.3.5 Alhlzatok ltrehozsakor s cmzsnl hasznlt bevlt mdszerek .............................. 85 4.4 NAT s PAT hasznlata ............................................................................................................ 86 4.4.1 Privt IP-cmtr................................................................................................................. 86 4.4.2 NAT a vllalati hlzat hatrn ......................................................................................... 87 4.4.3 Statikus s dinamikus NAT ................................................................................................ 88 4.4.4 A PAT hasznlata .............................................................................................................. 90 4.5 A fejezet sszefoglalsa ........................................................................................................... 91 5. Forgalomirnyts tvolsgalap irnyt protokollal..................................................................... 92 5.1 Nagyvllalati hlzatok karbantartsa ..................................................................................... 92 5.1.1 Nagyvllalati hlzatok ..................................................................................................... 92 5.1.2 Nagyvllalati hlzati topolgik ...................................................................................... 93 5.1.3 Statikus s dinamikus forgalomirnyts ........................................................................... 95 5.1.4 Statikus tvonalak konfigurlsa....................................................................................... 97 5.1.5 Alaprtelmezett tvonalak ............................................................................................... 99 5.2 RIP protokollal trtn forgalomirnyts .............................................................................. 100 5.2.1 Tvolsgvektor alap forgalomirnyt protokollok ........................................................ 100 5.2.2 Forgalomirnytsi informcis protokoll (Routing Information Protocol, RIP) ................ 101 5.2.3 RIP konfigurlsa ............................................................................................................ 103 5.2.4 A RIP problmi .............................................................................................................. 104 5.2.5 RIP ellenrzse ............................................................................................................... 105 5.3 Forgalomirnyts az EIGRP protokollal ................................................................................. 106 5.3.1 A RIP korltai .................................................................................................................. 106 5.3.2 Tovbbfejlesztett bels tjr irnyt protokoll (EIGRP) ................................................ 106 5.3.3 EIGRP fogalmak s tblk................................................................................................ 108 5.3.4 EIGRP szomszdok s szomszdsgi viszonyok ................................................................ 109 5.3.5 EIGRP mrtkek s konvergencia .................................................................................... 112 5.4 EIGRP megvalstsa ............................................................................................................. 114 5.4.1 EIGRP konfigurlsa ........................................................................................................ 114 5.4.2 EIGRP tvonal sszevons .............................................................................................. 118
224
Tartalomjegyzk 5.4.4 Az EIGRP korltai s problmi ....................................................................................... 121 5.5 A fejezet sszefoglalsa ......................................................................................................... 122 6. Kapcsolatllapot alap forgalomirnyts .................................................................................... 123 6.1 OSPF protokollal trtn forgalomirnyts ........................................................................... 123 6.1.1 Kapcsolatllapot alap protokoll mkdse .................................................................... 123 6.1.2 OSPF mrtk s konvergencia ......................................................................................... 124 6.1.3 OSPF szomszdok s szomszdsgi viszony ..................................................................... 125 6.1.4 OSPF terletek ................................................................................................................ 129 6.2 Egyterlet OSPF megvalstsa ............................................................................................ 130 6.2.1 Egyterlet OSPF alapszint belltsa............................................................................ 130 6.2.2 Az OSPF hitelests belltsa .......................................................................................... 131 6.2.3 Az OSPF paramterek belltsa ..................................................................................... 132 6.2.4 Az OSPF mkdsnek ellenrzse ................................................................................. 134 6.3 Tbb irnytprotokoll egyttes alkalmazsa ......................................................................... 136 6.3.1 Alaprtelmezett tvonal belltsa s meghirdetse ....................................................... 136 6.3.2 Az OSPF tvonalsszegzs belltsa ............................................................................... 137 6.3.3 Az OSPF problmi s korltai ........................................................................................ 138 6.3.4 Tbb protokoll egyidej alkalmazsa nagyvllalati krnyezetben .................................... 139 6.4 A fejezet sszefoglalsa ......................................................................................................... 141 7. Vllalati WAN kapcsolatok megvalstsa .................................................................................... 142 7.1 A vllalati WAN hlzatok sszekapcsolsa ........................................................................... 142 7.1.1 WAN eszkzk s technolgik ....................................................................................... 142 7.1.2 WAN szabvnyok ............................................................................................................ 145 7.1.3 WAN-kapcsolatok ltestse ........................................................................................... 146 7.1.4 Csomag- s vonalkapcsols ............................................................................................. 147 7.1.5 Helyi hurok s nagytvolsg WAN technolgik ............................................................ 149 7.2 Gyakori WAN begyazsok sszehasonltsa ......................................................................... 151 7.2.1 Ethernet s WAN begyazsok ....................................................................................... 151 7.2.2 HDLC s PPP ................................................................................................................... 152 7.2.3A PPP konfigurlsa ......................................................................................................... 156 7.2.4 PPP hitelests ................................................................................................................ 157 7.2.5 PAP s CHAP konfigurlsa ............................................................................................. 158 7.3 Frame Relay .......................................................................................................................... 160 7.3.1 A Frame Relay ttekintse .............................................................................................. 160
225
Tartalomjegyzk 7.3.2 A Frame Rekay mkdse............................................................................................... 161 7.4 A fejezet sszefoglalsa ......................................................................................................... 164 8. Forgalomszrs hozzfrsi listk hasznlatval.......................................................................... 165 8.1 A hozzfrsi listk hasznlata............................................................................................... 165 8.1.1 Forgalomszrs .............................................................................................................. 165 8.1.2 A hozzfrs-vezrlsi listk ........................................................................................... 167 8.1.3 Az ACL tpusok s hasznlatuk ........................................................................................ 167 7.1.4 Az ACL feldolgozsa ........................................................................................................ 168 8.2 A helyettest maszk hasznlata ............................................................................................ 169 8.2.1 A helyettest maszk clja s felptse .......................................................................... 169 8.2.2 A helyettest maszk hatsainak elemzse...................................................................... 171 8.3 A hozzfrsi listk paramterezse ...................................................................................... 174 8.3.1 A norml s a kiterjesztett ACL-ek elhelyezse................................................................ 174 8.3.2 Az ACL alapbelltsnak folyamata ................................................................................ 177 8.3.3 A szmozott norml ACL belltsa ................................................................................. 179 8.3.4 A szmozott kiterjesztett ACL belltsa .......................................................................... 180 8.3.5 A nevestett ACL belltsa.............................................................................................. 183 8.3.6 A virtulis terminl alap hozzfrs belltsa a forgalomirnytn ............................... 185 8.4 Meghatrozott forgalomtpusok engedlyezse s tiltsa ..................................................... 187 8.4.1 ACL-ek belltsnak alkalmazsa- s portszrse ........................................................... 187 8.4.2 Az ACL-ek belltsa a kapcsolat-felvtel utni forgalom tmogatshoz ........................ 188 8.4.3 A NAT s a PAT szerepe az ACL-ek elhelyezsbeb .......................................................... 189 8.4.4 A hlzati ACL-ek s elhelyezsk elemzse.................................................................... 189 8.4.5 Az ACL-ek belltsa a VLAN-ok kztti forgalomirnytshoz.......................................... 190 8.5 Forgalomszrs, hozzfrsi alkalmazsval .......................................................................... 191 8.5.1 A naplzs hasznlata az ACL funkcionalitsnak ellenrzsre ...................................... 191 8.5.2 A forgalomirnyt naplinak elemzse .......................................................................... 192 8.5.3 Bevlt ACL megoldsok ................................................................................................... 194 8.6 A fejezet sszefoglalsa ......................................................................................................... 195 9. Hibaelhrts egy vllalati hlzaton ........................................................................................... 197 9.1 A hlzati meghibsodsok hatsai ....................................................................................... 197 9.1.1 Elvrsok a vllalati hlzatokkal szemben ..................................................................... 197 9.1.2 Nyomon kvets s megelz karbantarts .................................................................... 199 9.1.3 Hibaelhrts s hibatartomny ...................................................................................... 201
226
Tartalomjegyzk 9.1.4 A hibaelhrtsi folyamat ................................................................................................ 203 9.2 Kapcsolsi s kapcsoldsi problmk hibaelhrtsa ............................................................ 206 9.2.1 Kapcsolk alapvet hibaelhrtsa .................................................................................. 206 9.2.2 VLAN konfigurcis problmk hibaelhrtsa ................................................................ 209 9.2.3 VTP hibaelhrts ............................................................................................................ 210 9.3 Forgalomirnytsi problmk hibaelhrtsa ........................................................................ 211 9.3.1 RIP forgalomirnytsi problmk ................................................................................... 211 9.3.2 EIGRP forgalomirnytsi problmk ............................................................................... 212 9.3.3 OSPF forgalomirnytsi problmk ................................................................................ 213 9.3.4 tvonal elosztsi problmk ........................................................................................... 213 9.4 WAN konfigurcis problmk hibaelhrtsa ....................................................................... 214 9.4.1 WAN kapcsolds hibaelhrtsa .................................................................................... 214 9.4.2 WAN hitelests hibaelhrtsa ....................................................................................... 216 9.5 ACL-ekkel kapcsolatos problmk hibaelhrtsa ................................................................... 217 9.5.1 ACL-ekkel kapcsolatos problmk meghatrozsa .......................................................... 217 9.5.2 ACL konfigurcis s elhelyezsi problmk.................................................................... 218 9.6 A fejezet sszefoglalsa ......................................................................................................... 219
227