56136396-cisco-vlans
TRANSCRIPT
SUBNETAREA
CLASE DE ADRESE SI MASTI
MOTIVATIA SUBNETARII
• Management eficient al adreselor
• Cresterea performantei retelei
• Flexibilitatea adresarii
• Securitate
REALIZAREA SUBNETARII• O parte din bitii rezervati pentru host sunt reasignati
(imprumutati) pentru subretea• Se imprumuta cei mai semnificativi biti• Marcarea numarului de biti imprumutati se face prin
setarea la valoarea 1 a bitilor corespunzatori din masca de retea
• Se pot imprumuta cel putin 2 biti• Pentru host trebuiesc rezervati cel putin 2 biti• Nu se folosesc adresele de subretea sau host avand
toti bitii 1 sau 0• Adresa subretelei: bitii pentru host au valoarea 0• Adresa de broadcast: bitii pentru host au valoarea 1
NUMAR SUBRETELE SI HOSTURI• Considerand n biti imprumutati pentru
subretea si m biti ramasi pentru hosturi, numarul de subretele create si numarul de hosturi din fiecare subretea se poate calcula dupa formulele:
• SUBRETELE=2n-2
• HOSTURI=2m-2
PROBLEMA• Se considera adresa 195.200.15.0. Sa se imparta
aceasta adresa intr-un numar maxim de subretele astfel incat in fiecare subretea sa poata fi adresate cel putin 15 calculatoare. Sa se precizeze:
• masca de retea• numarul de subretele creat• numarul de hosturi din fiecare subretea• adresa primei subretele• gama de adrese a hosturilor din prima subretea• adresa de broadcast a primei subretele• adresa ultimei subretele• gama de adrese a hosturilor din ultima subretea• adresa de broadcast a ultimei subretele
REZOLVARE (1)• Pentru a adresa 15 hosturi sunt
necesari 5 biti.
• Pentru subnetare se vor imprumuta 3 biti.
• Masca de retea: 255.255.255.224
• Numarul de subretele creat: 6
• Numarul de hosturi din fiecare subretea: 30
REZOLVARE (2)• Adresa primei subretele: 195.200.15.32
• Gama de adrese a hosturilor din prima subretea: 195.200.15.33 - 195.200.15.62
• Adresa de broadcast a primei subretele: 195.200.15.63
• Adresa ultimei subretele: 195.200.15.192
• Gama de adrese a hosturilor din ultima subretea: 195.200.15.193 – 195.200.15.222
• Adresa de broadcast a ultimei subretele: 195.200.15.223
PROBLEMA• Pentru problema anterioara, se va realiza subnetare
pe lungime variabila prin imprumutarea a 4 biti pentru a se recupera o parte din adresele pierdute datorita faptului ca adresele de subretea 000 si 111 nu pot fi folosite. Sa se precizeze:
• masca de retea• numarul de subretele creat• numarul de hosturi din fiecare subretea• adresa primei subretele• gama de adrese a hosturilor din prima subretea• adresa de broadcast a primei subretele• adresa ultimei subretele• gama de adrese a hosturilor din ultima subretea• adresa de broadcast a ultimei subretele
REZOLVARE (1)
• Masca de retea: 255.255.255.240
• Numarul de subretele creat: 2
• Numarul de hosturi din fiecare subretea: 14
REZOLVARE (2)• Adresa primei subretele: 195.200.15.16
• Gama de adrese a hosturilor din prima subretea: 195.200.15.17 - 195.200.15.30
• Adresa de broadcast a primei subretele: 195.200.15.31
• Adresa ultimei subretele: 195.200.15.224
• Gama de adrese a hosturilor din ultima subretea: 195.200.15.225 – 195.200.15.238
• Adresa de broadcast a ultimei subretele: 195.200.15.239
RUTAREA INTRE VLAN-URI
Router-on-a-Stick Inter-VLAN Routing• Routerul este conectat la switch pe un
port trunk• Fiecare VLAN are asignata o adresa de
retea distincta• Pentru fiecare VLAN gateway-ul este
reprezentat de cate o subinterfata a routerului
CONFIGURAREA INTERFETEI SWITCHULUI PENTRU RUTAREA INTRE VLAN-URI
• enable
• configure terminal
• interface fastethernet număr_interfaţă
• switchport mode trunk
CONFIGURAREA RUTERELOR
• Interfaţă de tip linie de comandă (command-line interface - CLI) este similara cu cea a switchurilor
• Pentru stergerea configurarilor nu se mai executa comanda delete flash:vlan.dat
• Adresele IP se configureaza la nivelul interfetelor fizice sau al subinterfetelor
CONFIGURAREA INTERFETEI ROUTERULUI PENTRU RUTAREA INTRE VLAN-URI
• enable
• configure terminal
• interface fastethernet număr_interfaţă
• no shutdown
• interface fastethernet număr_interfaţă.număr_subinterfaţă
• encapsulation dot1q număr_VLAN
• ip address adresa_ip netmask
RUTAREA
Consideratii teoretice• Pentru fiecare segment de retea se va asigna
cate o adresa de retea diferita• Gateway: adresa interfetei ruterului la care este
conectata subreteaua• Tipuri de rutare
– Statica– Dinamica
CONFIGURAREA INTERFETEI ROUTERULUI
• enable• configure terminal• interface fastethernet număr_interfaţă• ip address adresa_ip netmask• clock rate frecventa_ceas (daca este interfata
seriala DCE)• no shutdown
CONFIGURAREA RUTELOR STATICE
• enable
• configure terminal
• ip route numar_retea masca adresa_next-hop
CONFIGURAREA RIPv2
• enable
• configure terminal
• router rip
• version 2
• network numar_retea
• no auto-summary (optional)
VERIFICAREA RUTARII
• show ip route
• show ip protocols
LISTE DE CONTROL AL ACCESULUIAccess Control Lists – ACLs
Definiţia listelor de control al accesului
• Liste secventiale de declaratii de permisiune sau refuzare care sunt aplicate tipurilor de trafic identificate pe baza campurilor pachetelor cum ar fi adrese, protocoale porturi sau tipuri
• La nivelul unui echipament de retea poate fi configurata o lista de control al accesului per protocol, per directie, per interfata
• Declaratiile ACL-urilor evalueaza pachetele in ordine secventiala
• ACL-urile introduc la sfarsitul listelor o declaratie implicita care refuza toate pachetele ce nu au o corespondenta cu declaratiile anterioare.
Avantajele ACL-urilor
• Implementarea unor optiuni de securitate prin filtrarea traficului.
• Limitarea traficului in vederea cresterii performantei retelei
• Clasificarea traficului pentru a permite prioritizarea acestuia
Clasificarea ACL-urilor• Standard
– Permit identificarea traficului doar pe baza adresei IP sursa– Se vor localiza cat mai aproape de destinatie
• Extinse– permit filtrarea traficului pe baza mai multor atribute:
identificatorul protocolului, adrese IP sursa si destinatie, porturi sursa si destinatie sau tipuri de protocol
– Se vor localiza cat mai aproape de sursa
Definirea si aplicarea ACL-urilor• Listele de control al accesului se definesc în modul de
configurare globală
• Router(config)#access-list access-list-number {deny | permit | remark} source [source-wildcard] [log]
• Router(config)#access-list access-list-number {deny | permit | remark} protocol source [source-wildcard] [source-port-operator operand] [source-port port-number sau name] destination [destination-wildcard] [destination-port-operator operand] [destination-port port-number sau name] [established]
• Listele de control al accesului se aplica în modul de configurare interfaţă
• Router(config-if)#ip access-group {access-list-number | access-list-name} {in | out}
Monitorizarea si verificarea ACL-urilor
• Se realizeaza în modul Privileged EXEC
• Router#show access-lists {access-list-number | access-list-name}
Network Address Translation (NAT)
Consideratii teoretice• Translateaza adresele interne (de obicei private) la
adrese externe (uzual publice)• Beneficii:
– Permite folosirea adreselor private ceea ce are ca si efect reducerea numarului necesar de adrese publice
– Ascunde adresele private avand ca si urmare cresterea securitatii
• Tipuri:– Static:
• Mapare unu-la-unu a adreselor locale si globale• Maparile raman constante
– Dinamic:• Foloseste o gama de adrese publice pe care le asigneaza in ordinea
cererilor
NAT Overload
• Port Address Translation (PAT)
• Mapeaza mai multe adrese private la una sau la un numar mic de adrese publice
• Asigneaza porturi sursa diferite pentru sesiuni TCP/IP diferite ale clientilor
Configurare NAT static
• Router(config)#ip nat inside source static local-ip global-ip
• Router(config)#interface type number
• Router(config-if)#ip nat inside
• Router(config-if)# exit
• Router(config)#interface type number
• Router(config-if)#ip nat outside
Configurare NAT dinamic
• Router(config)#ip nat pool name start-ip end-ip {netmask netmask|prefix-length prefix-length}
• Router(config)#access-list access-list-number permit source [source-wildcard]
• Router(config)#ip nat inside source list access-list-number pool name
• Router(config)#interface type number• Router(config-if)#ip nat inside• Router(config)#interface type number• Router(config-if)#ip nat outside
Configurare NAT Overload pentruo singura adresa IP publica
• Router(config)#access-list acl-number permit source [source-wildcard]
• Router(config)#ip nat inside source list acl-number interface interface overload
• Router(config)#interface type number
• Router(config-if)#ip nat inside
• Router(config-if)#interface type number
• Router(config-if)#ip nat outside
Configurare NAT Overload pentruo gama de adrese IP publice
• Router(config)#access-list acl-number permit source [source-wildcard]
• Router(config)#ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length}
• Router {config}#ip nat inside source list acl-number pool name overload
• Router(config)#interface type number• Router(config-if)#ip nat inside• Router(config-if)#interface type number• Router(config-if)#ip nat outside
Verificare NAT si NAT Overload
• show ip nat translations
• show ip nat statistics
• debug ip nat
Retea de test NAT si NAT Overload