56136396-cisco-vlans

SUBNETAREA

CLASE DE ADRESE SI MASTI

MOTIVATIA SUBNETARII

• Management eficient al adreselor

• Cresterea performantei retelei

• Flexibilitatea adresarii

• Securitate

REALIZAREA SUBNETARII• O parte din bitii rezervati pentru host sunt reasignati

(imprumutati) pentru subretea• Se imprumuta cei mai semnificativi biti• Marcarea numarului de biti imprumutati se face prin

setarea la valoarea 1 a bitilor corespunzatori din masca de retea

• Se pot imprumuta cel putin 2 biti• Pentru host trebuiesc rezervati cel putin 2 biti• Nu se folosesc adresele de subretea sau host avand

toti bitii 1 sau 0• Adresa subretelei: bitii pentru host au valoarea 0• Adresa de broadcast: bitii pentru host au valoarea 1

NUMAR SUBRETELE SI HOSTURI• Considerand n biti imprumutati pentru

subretea si m biti ramasi pentru hosturi, numarul de subretele create si numarul de hosturi din fiecare subretea se poate calcula dupa formulele:

• SUBRETELE=2n-2

• HOSTURI=2m-2

PROBLEMA• Se considera adresa 195.200.15.0. Sa se imparta

aceasta adresa intr-un numar maxim de subretele astfel incat in fiecare subretea sa poata fi adresate cel putin 15 calculatoare. Sa se precizeze:

• masca de retea• numarul de subretele creat• numarul de hosturi din fiecare subretea• adresa primei subretele• gama de adrese a hosturilor din prima subretea• adresa de broadcast a primei subretele• adresa ultimei subretele• gama de adrese a hosturilor din ultima subretea• adresa de broadcast a ultimei subretele

REZOLVARE (1)• Pentru a adresa 15 hosturi sunt

necesari 5 biti.

• Pentru subnetare se vor imprumuta 3 biti.

• Masca de retea: 255.255.255.224

• Numarul de subretele creat: 6

• Numarul de hosturi din fiecare subretea: 30

REZOLVARE (2)• Adresa primei subretele: 195.200.15.32

• Gama de adrese a hosturilor din prima subretea: 195.200.15.33 - 195.200.15.62

• Adresa de broadcast a primei subretele: 195.200.15.63

• Adresa ultimei subretele: 195.200.15.192

• Gama de adrese a hosturilor din ultima subretea: 195.200.15.193 – 195.200.15.222

• Adresa de broadcast a ultimei subretele: 195.200.15.223

PROBLEMA• Pentru problema anterioara, se va realiza subnetare

pe lungime variabila prin imprumutarea a 4 biti pentru a se recupera o parte din adresele pierdute datorita faptului ca adresele de subretea 000 si 111 nu pot fi folosite. Sa se precizeze:

• masca de retea• numarul de subretele creat• numarul de hosturi din fiecare subretea• adresa primei subretele• gama de adrese a hosturilor din prima subretea• adresa de broadcast a primei subretele• adresa ultimei subretele• gama de adrese a hosturilor din ultima subretea• adresa de broadcast a ultimei subretele

REZOLVARE (1)

• Masca de retea: 255.255.255.240

• Numarul de subretele creat: 2

• Numarul de hosturi din fiecare subretea: 14

REZOLVARE (2)• Adresa primei subretele: 195.200.15.16

• Gama de adrese a hosturilor din prima subretea: 195.200.15.17 - 195.200.15.30

• Adresa de broadcast a primei subretele: 195.200.15.31

• Adresa ultimei subretele: 195.200.15.224

• Gama de adrese a hosturilor din ultima subretea: 195.200.15.225 – 195.200.15.238

• Adresa de broadcast a ultimei subretele: 195.200.15.239

RUTAREA INTRE VLAN-URI

Router-on-a-Stick Inter-VLAN Routing• Routerul este conectat la switch pe un

port trunk• Fiecare VLAN are asignata o adresa de

retea distincta• Pentru fiecare VLAN gateway-ul este

reprezentat de cate o subinterfata a routerului

CONFIGURAREA INTERFETEI SWITCHULUI PENTRU RUTAREA INTRE VLAN-URI

• enable

• configure terminal

• interface fastethernet număr_interfaţă

• switchport mode trunk

CONFIGURAREA RUTERELOR

• Interfaţă de tip linie de comandă (command-line interface - CLI) este similara cu cea a switchurilor

• Pentru stergerea configurarilor nu se mai executa comanda delete flash:vlan.dat

• Adresele IP se configureaza la nivelul interfetelor fizice sau al subinterfetelor

CONFIGURAREA INTERFETEI ROUTERULUI PENTRU RUTAREA INTRE VLAN-URI

• enable

• configure terminal

• interface fastethernet număr_interfaţă

• no shutdown

• interface fastethernet număr_interfaţă.număr_subinterfaţă

• encapsulation dot1q număr_VLAN

• ip address adresa_ip netmask

RUTAREA

Consideratii teoretice• Pentru fiecare segment de retea se va asigna

cate o adresa de retea diferita• Gateway: adresa interfetei ruterului la care este

conectata subreteaua• Tipuri de rutare

– Statica– Dinamica

CONFIGURAREA INTERFETEI ROUTERULUI

• enable• configure terminal• interface fastethernet număr_interfaţă• ip address adresa_ip netmask• clock rate frecventa_ceas (daca este interfata

seriala DCE)• no shutdown

CONFIGURAREA RUTELOR STATICE

• enable

• configure terminal

• ip route numar_retea masca adresa_next-hop

CONFIGURAREA RIPv2

• enable

• configure terminal

• router rip

• version 2

• network numar_retea

• no auto-summary (optional)

VERIFICAREA RUTARII

• show ip route

• show ip protocols

LISTE DE CONTROL AL ACCESULUIAccess Control Lists – ACLs

Definiţia listelor de control al accesului

• Liste secventiale de declaratii de permisiune sau refuzare care sunt aplicate tipurilor de trafic identificate pe baza campurilor pachetelor cum ar fi adrese, protocoale porturi sau tipuri

• La nivelul unui echipament de retea poate fi configurata o lista de control al accesului per protocol, per directie, per interfata

• Declaratiile ACL-urilor evalueaza pachetele in ordine secventiala

• ACL-urile introduc la sfarsitul listelor o declaratie implicita care refuza toate pachetele ce nu au o corespondenta cu declaratiile anterioare.

Avantajele ACL-urilor

• Implementarea unor optiuni de securitate prin filtrarea traficului.

• Limitarea traficului in vederea cresterii performantei retelei

• Clasificarea traficului pentru a permite prioritizarea acestuia

Clasificarea ACL-urilor• Standard

– Permit identificarea traficului doar pe baza adresei IP sursa– Se vor localiza cat mai aproape de destinatie

• Extinse– permit filtrarea traficului pe baza mai multor atribute:

identificatorul protocolului, adrese IP sursa si destinatie, porturi sursa si destinatie sau tipuri de protocol

– Se vor localiza cat mai aproape de sursa

Definirea si aplicarea ACL-urilor• Listele de control al accesului se definesc în modul de

configurare globală

• Router(config)#access-list access-list-number {deny | permit | remark} source [source-wildcard] [log]

• Router(config)#access-list access-list-number {deny | permit | remark} protocol source [source-wildcard] [source-port-operator operand] [source-port port-number sau name] destination [destination-wildcard] [destination-port-operator operand] [destination-port port-number sau name] [established]

• Listele de control al accesului se aplica în modul de configurare interfaţă

• Router(config-if)#ip access-group {access-list-number | access-list-name} {in | out}

Monitorizarea si verificarea ACL-urilor

• Se realizeaza în modul Privileged EXEC

• Router#show access-lists {access-list-number | access-list-name}

Network Address Translation (NAT)

Consideratii teoretice• Translateaza adresele interne (de obicei private) la

adrese externe (uzual publice)• Beneficii:

– Permite folosirea adreselor private ceea ce are ca si efect reducerea numarului necesar de adrese publice

– Ascunde adresele private avand ca si urmare cresterea securitatii

• Tipuri:– Static:

• Mapare unu-la-unu a adreselor locale si globale• Maparile raman constante

– Dinamic:• Foloseste o gama de adrese publice pe care le asigneaza in ordinea

cererilor

NAT Overload

• Port Address Translation (PAT)

• Mapeaza mai multe adrese private la una sau la un numar mic de adrese publice

• Asigneaza porturi sursa diferite pentru sesiuni TCP/IP diferite ale clientilor

Configurare NAT static

• Router(config)#ip nat inside source static local-ip global-ip

• Router(config)#interface type number

• Router(config-if)#ip nat inside

• Router(config-if)# exit

• Router(config)#interface type number

• Router(config-if)#ip nat outside

Configurare NAT dinamic

• Router(config)#ip nat pool name start-ip end-ip {netmask netmask|prefix-length prefix-length}

• Router(config)#access-list access-list-number permit source [source-wildcard]

• Router(config)#ip nat inside source list access-list-number pool name

• Router(config)#interface type number• Router(config-if)#ip nat inside• Router(config)#interface type number• Router(config-if)#ip nat outside

Configurare NAT Overload pentruo singura adresa IP publica

• Router(config)#access-list acl-number permit source [source-wildcard]

• Router(config)#ip nat inside source list acl-number interface interface overload

• Router(config)#interface type number

• Router(config-if)#ip nat inside

• Router(config-if)#interface type number

• Router(config-if)#ip nat outside

Configurare NAT Overload pentruo gama de adrese IP publice

• Router(config)#access-list acl-number permit source [source-wildcard]

• Router(config)#ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length}

• Router {config}#ip nat inside source list acl-number pool name overload

• Router(config)#interface type number• Router(config-if)#ip nat inside• Router(config-if)#interface type number• Router(config-if)#ip nat outside

Verificare NAT si NAT Overload

• show ip nat translations

• show ip nat statistics

• debug ip nat

Retea de test NAT si NAT Overload