Professional Documents
Culture Documents
4.1
1. Az internet s hasznlata
1. Az internet s hasznlata
1.1 Mi az internet?
1.1.1 Az internet s a szablyok
Az internet vilgszerte nyilvnosan hozzfrhet hlzatok sszessge. Lehetv teszi mind magnszemlyek mind vllalatok szmra, hogy egymssal sszekapcsolt szmtgp-hlzatokon keresztl informcit, erforrsokat s szolgltatsokat osszanak meg. Kezdetben az internetet kizrlag tudomnyos, oktatsi s katonai kutatsokhoz hasznltk. 1991ben a szablyok megvltozsa tette lehetv a vllalatok s felhasznlk szmra is a csatlakozst. Az internet gyorsan nvekedett s ma mr vilgmret. A folyamatosan megjelen j technolgik egyre knnyebb s vonzbb teszik hasznlatt. A felhasznlk szmra on-line alkalmazsokat biztost, mint pldul az elektronikus levelezs, webbngszs, zene- s videofolyamok tovbbtsa, jtkok s az azonnali zenetklds. Az internet folyamatos fejldsnek megfelelen vltozik az emberek kzti kapcsolattarts, a kommunikci s zleti let is. Az internet nagyobb rdekldst s fogyaszti bzist teremt a hlzaton nyjthat zenetek, termkek s szolgltatsok irnt. Szmos vllalat szmra az internetkapcsolat nem csak a kommunikci, hanem a mindennapi mkds szempontjbl is nlklzhetetlen. A vllalatok egy rsze az internet albbi felhasznlsi terleteit hasznlja: e-kereskedelem Kommunikci Egyttmkds s kpzs
1. Az internet s hasznlata
Az on-line elrhet j technolgik s eszkzk szmnak nvekedse mellett hogyan lehet a vltozsokat kvetni, s olyan megbzhat szolgltatsokat nyjtani, mint pldul az elektronikus levelezs? A felelet az, hogy az internetszabvnyok segtsgvel. Egy szabvny a mkdshez szksges szablyok gyjtemnye. A hlzati s az internetszabvnyoknak ksznheten a hlzathoz csatlakoz minden eszkzre ugyanazon szablyok rvnyesek. Szabvnyok hasznlatval lehetv vlik klnbz tpus eszkzk kommunikcija az interneten keresztl. Egy elektronikus levl formzsa, tovbbtsa s vtele pldul szintn egy szabvny alapjn trtnik. Egy szemlyi szmtgprl elkldtt elektronikus levelet a cmzett mindaddig kpes mobil telefonjn fogadni s elolvasni, amg a telefon s a szmtgp ugyanazt a szabvnyt hasznlja. Egy internet szabvny minden rszletre kiterjed vita, problmamegolds s tesztels eredmnyeknt jn ltre. j szabvny ajnlsakor a fejlesztsi s jvhagysi folyamat minden lpst rgztik egy szmozott RFC (Request for Comments) dokumentumban, melyben a szabvny fejldse nyomonkvethet. Az internetszabvnyok ezrei hatrozzk meg a hlzati eszkzk kommunikcijnak szablyait. Ezeket a klnbz szabvnyokat tbb klnbz szervezet kszti, teszi kzz s tartja karban. Az ilyen szervezetek ltal ksztett s karbantartott szabvnyok teszik lehetv, hogy szmos klnbz eszkzt hasznlva, mint pldul a szemlyi szmtgpek, mobiltelefonok, PDA-k, MP3 lejtszk s televzik, emberek millii kapcsoldjanak az internethez.
1. Az internet s hasznlata
1. Az internet s hasznlata
1.2 ISP-k
1.2.1 Az internet-szolgltatsok eljuttatsa a vgfelhasznlkhoz
Az internethez trtn kapcsoldshoz elsdlegesen egy internetszolgltatval kell kapcsolatot teremteni. Az internetszolgltatk a csatlakozsok szles vlasztkt knljk. Otthoni s kisvllalati felhasznlk ltal leggyakrabban hasznlt kapcsoldsi formk: Betrcszsos hozzfrs A betrcszs egy nem tl kltsges, telefonvonal s modem hasznlatval megvalstott internet elrsi mdszer. Az internetszolgltathoz val kapcsoldshoz a felhasznl felhvja a szolgltat elrsi szmt. A leglassabb kapcsoldsi forma, s jellemzen akkor hasznljk, ha nagyobb sebessg kapcsolat nem pthet ki, illetve a tbb helyszn kztt ingz dolgozk kztt elterjedt. DSL A digitlis elfizeti hurok vagy DSL a betrcszsnl kltsgesebb, de gyorsabb kapcsolatot biztost. Szintn telefonvonalat hasznl, de a betrcszsos hozzfrssel ellenttben lland internet kapcsolatot nyjt. Ez a kapcsoldsi megolds specilis nagysebessg modem segtsgvel vlasztja szt a DSL jelet a telefon jeltl, s szolgltat ethernetkapcsolatot egy szmtgp vagy LAN szmra. Kbelmodem A kbelmodem a televzis trsasgok ltal nyjtott kapcsoldsi lehetsg. A hlzati kommunikcihoz szksges jeleket ugyanaz a koaxilis kbel tovbbtja, mint a televzimsort. Egy specilis kbelmodem klnvlasztja a hlzati jeleket a tbbitl, s ethernetkapcsolatot biztost egy szmtgp vagy szmtgphlzat szmra. Mholdas Mholdas kapcsoldst a mholdas szolgltatk biztostanak. A felhasznl szmtgp ethernethlzattal kapcsoldik a mholdas modemhez, mely a mholdas hlzat legkzelebbi szolgltatsi pontjhoz (POP) kzvetti a jeleket.
1. Az internet s hasznlata
Svszlessg mrtkegysge a bit/s. Nagyobb svszlessgek megadsra a Kbit/s, Mbit/s, illetve a Gbit/s mrtkegysgeket hasznljuk. A vllalatok ltal leggyakrabban hasznlt hrom nagysvszlessg kapcsoldsi forma a kvetkez: T1 kapcsolat, mely 1,544 Mbit/s -os adattvitelre kpes. Ez egy szimmetrikus kapcsolat, abban az rtelemben, hogy a feltltsi s letltsi sebessg azonos. Egy kzpmret vllalatnak sszesen egy T1 kapcsolatra van szksge. Az E1 kapcsolat egy Eurpai szabvny, mely kpes akr 2,048 Mbit/s-os adattviteli sebessgre is. A T3 kapcsolat maximlisan 45 Mbit/s-os adattvitelt biztost. Habr meglehetsen nagyobb kltsgekkel jr a T3 kapcsolat, mint a T1, nagyobb vllalatok esetn mgis megfelelbb az alkalmazottak ignyeinek kielgtsre. Tbbtelephely nagyvllalatok szmra a T1 s T3 kapcsolatok egyttes hasznlata ajnlott. Az E3 kapcsolat egy Eurpai szabvny, mely kpes akr 34,368 Mbit/s-os adattvitli sebessgre is. A Metro Ethernet a nagysvszlessg lehetsgek szles vlasztkt knlja, belertve a Gbit/s-os kapcsolatot. Olyan nagyobb vllalatok, melyek egy vroson bell tbb helysznnel is rendelkeznek, mint pldul a bankok, Metro Ethernetet hasznlnak. A Metro Ethernet a
1. Az internet s hasznlata
telephelyeket kapcsolt technolgival kti ssze. Nagymennyisg adat olcsbb s gyorsabb tvitelt teszi lehetv, mint ms nagysebessg kapcsolat.
A kapcsolat tpusnak meghatrozsa utn az internetelrshez szksg van az ISP-hez trtn kapcsoldsra. Egyni szmtgpek s vllalati hlzatok a szolgltatsi pontnl (POP) kapcsoldnak az internetszolgltathoz. A szolgltatsi pontok (POP) ltalban az internetszolgltatk hlzatnak szln tallhatk s egy meghatrozott fldrajzi terletet szolglnak ki. A vgfelhasznlk szmra helyi csatlakozsi pontot s hitelestst (jelsz vdelem) biztostanak. Egy internetszolgltatnak tbb szolgltatsi pontja is lehet, attl fggen, hogy mekkora a POP mrete s az a terlet, melyet a POP kiszolgl. Az ISP hlzatn bell nagysebessg forgalomirnytk s kapcsolk tovbbtjk az adatokat a szolgltatsi pontok kztt. Tbb tvonal is sszekti a szolgltatsi pontokat, hogy alternatv tvonalat szolgltassanak forgalom tlterhels vagy kiess esetn.
1. Az internet s hasznlata
Az internetszolgltatkat klnbz osztlyokba soroljk annak megfelelen, hogy hogyan rik el az internet gerinchlzatt. Az 1. rteg (Tier 1) internetszolgltatk a hierarchia cscst kpezik. Az 1. rteg internetszolgltatk olyan risszervezetek, melyek magn trskapcsolaton keresztl kapcsoldnak egymshoz, fizikailag sszektve az nnll gerinchlzataikat, hogy egy globlis internet- gerinchlzatot hozzanak ltre. A sajt hlzatukon bell ezek az 1. rteg internetszolgltatk sajt forgalomirnytkkal, nagysebessg adatkapcsolatokkal s ms olyan eszkzkkel rendelkeznek, melyek lehetv teszik szmukra a tbbi 1. rteg internetszolgltathoz trtn kapcsoldst. Ide tartoznak a kontinenseket sszekt, tengeralatti kbelek is. A 2. rteg internetszolgltatk a kvetkez osztlyt alkotjk az internet gerinchlzatnak elrsben. 2. rteg ISP-k lehetnek nagyon nagyok, akr tbb orszgra is kiterjedk, br igen kevsnek van egy egsz fldrszre kiterjed, vagy kontinenseken tvel hlzatuk. Vannak 2. rteg internetszolgltatk, akik, hogy az gyfeleiknek globlis internethozzfrst
1. Az internet s hasznlata
biztostsanak, fizetnek az 1. rteg ISP-knek a forgalmuknak a vilg ms rszei fel trtn tovbbtsrt. Ms 2. rteg ISP-k a globlis forgalmat kevsb kltsges magn trskapcsolatokon keresztl tovbbtjk ms ISP-k fel. Egy hatalmas IXP egy kzponti fizikai helysznen akr tbbszz ISP-t is sszehozhat azrt, hogy tbb hlzathoz hozzfrjen egy megosztott csatlakozson keresztl. A 3. rteg internetszolgltatk vannak legtvolabb a gerinchlzattl. 3. rteg internetszolgltatk ltalban nagyobb vrosokban tallhatk, s helyi internet elrst biztostanak a felhasznlknak. 3. rteg ISP-k fizetnek az 1 s 2. rteg ISP-knek a globlis internetelrsrt s az internetszolgltatsokrt.
1. Az internet s hasznlata
1. Az internet s hasznlata
forrstl a clllomsig terjed ton egy csomag mely internetszolgltatk hlzatn utazik keresztl. A Windows tracert parancsa hasonlan mkdik. Szmos vizulis nyomkvet (traceroute) program is ltezik, melyek grafikusan is megjelentik a csomag tjt.
10
1. Az internet s hasznlata
Az internetszolgltatk ms vllalatokhoz hasonlan terjeszkedni szeretnnek a bevtelek nvelse rdekben. A terjeszkedsi kpessg azon mlik, hogy tudnak-e jabb elfizett szerezni s tbb szolgltatst rtkesteni. Azonban az elfizetk szmnak nvekedsvel az ISP hlzatnak a forgalma is n. Vgl, ez a megnvekedett forgalom tlterhelheti a hlzatot, ami a forgalomirnytk meghibsodshoz, csomagvesztshez s tlsgosan nagy ksleltetshez vezethet. Egy tlterhelt hlzatban az elfizetk akr percekig is vrhatnak egy weboldal letltsre, st a hlzati kapcsolatot is elveszthetik. Ezek a felhasznlk vlaszthatnak egy msik alkalmas ISP-t a jobb teljestmny rdekben. A felhasznlk elvesztse azonban bevtel kiesssel jr, gy az internetszolgltatnak az az rdeke, hogy megbzhat s sklzhat hlzatot biztostsanak. A sklzhatsg a hlzat nvekedsnek kpessge. Sklzhat hlzatok gyorsan nvekedhetnek jabb s jabb felhasznlk s alkalmazsok tmogatsra anlkl, hogy veszlyeztetnk a mr ltez felhasznlknak nyjtott szolgltatsok minsgt. A sklzhatsgot leginkbb tmogat eszkzk modulris felptsek s a bvtsre szolgl modulok beilleszthetsge rdekben bvthellyekkel rendelkeznek. A klnbz modulok akr klnbz szm interfsszel rendelkezhetnek. A modulris forgalomirnytk (chassis router) megfelel bvt modulokkal tbbfle interfszt hasznlhatnak, gy tbbfle kapcsolat ltestsre is alkalmass vlnak.
11
1. Az internet s hasznlata
12
1. Az internet s hasznlata
13
2. gyflszolglat
2. gyflszolglat
2.1 gyflszolglati szakemberek
2.1.1 Az internetszolgltat gyflszolglati szervezete
A helyi hlzat s az internetkapcsolat ma mr a legtbb vllalat zleti tevkenysgben komoly szerepet jtszik. Ezrt klnsen fontos a hlzati hibk gyors elhrtsa. Az internetszolgltat (Internet Service Provider ISP) biztostja az internetkapcsolatot a vllalkozsok szmra, s tmogatst biztost gyfeleinek az internetkapcsolat zavarainak elhrtsban. Ez a tmogats rendszerint kiterjed a felhasznl eszkzeire is. Az internetszolgltat tmogatsa ltalban az gyflszolglaton (help desk) keresztl valsul meg. Ha van valami problma az internetkapcsolattal vagy az elektronikus levelezssel, az gyfl elszr rendszerint az internetszolgltat gyflszolglathoz fordul. Az internetszolgltat gyflszolglati szakemberei kell ismerettel s jrtassggal rendelkeznek a problmk megoldshoz, s biztostjk a felhasznlk hlzati csatlakozst. Az gyflszolglati szakemberek biztostjk a megoldst az gyfelek problmira, azzal a cllal, hogy optimalizljk a hlzat mkdst s megtartsk az gyfeleket. Egy j gyflszolglati csapat gyorsan elhrtja a hibkat az gyfelek megelgedsre. Az internetszolgltatsban igen nagy a verseny, ezrt egy silny gyflszolglat az gyfelek elvesztst okozhatja. Az internetszolgltatnl rendszerint 3 szint gyfltmogats van. szint: Kzvetlen tmogats, amit rendszerint alacsonyabb beoszts gyflszolglati szakemberek ltnak el. szint: Ide kerlnek a tapasztaltabb gyflszolglati szakemberek beavatkozst ignyl hvsok. szint: Telefonon nem oldhat meg a problma, ki kell kldeni a helysznre egy szakembert.
Az internet-szolgltatkon kvl, sok ms gazatba tartoz kzepes s nagy cg tart fenn gyflszolglatot, vagy fogyasztvdelmi csoportot. Az egyes szintek megnevezse termszetesen eltrhet a fentiektl, de ltalban a hrom szint struktrt alkalmazzk. Az gyflszolglat llhat egyetlen szemlybl, aki mindhrom szinten elvgzi a szksges tmogatst, de a szervezet nagysgtl fggen, akr egy minden rszletre kiterjed tevkenysget folytat hvskzpont is lehet, bonyolult telefonos berendezssel s szablyokkal, amelyek meghatrozzk, hogy melyik szint vgezze a problma megoldst. Van olyan internetszolgltat s zleti szervezet is, amelyik az 1. s 2. szint tmogatst egy msik, sajt hvskzponttal rendelkez cgre bzza.
14
2. gyflszolglat
Tbb nagyobb szolgltat terjesztette ki tevkenysgt felhasznli hlzatok helyszni szervizelsre s menedzselsre. Ezeket ltalban felgyelt szolgltatst nyjt szolgltatknak Managed Service Providers (MSP) szoks nevezni. Ilyen szolgltatst nyjthat az internetszolgltat, a tvkzlsi
15
2. gyflszolglat
szolgltat vagy ms szmtstechnikai s szmtgp-hlzati szervezet. Amikor az internetszolgltat ilyenfajta szervizt vllal, munkatrsai installls s tmogats cljbl gyakran keresik fel a felhasznlt a telephelyn . Ez a 3. szint tmogats. A 3. szint szolgltats gyakran van sszhangban egy szolgltatsi szint megllapodssal (Service Level Agreement SLA). Az SLA olyan mint egy biztostsi ktvny, amely kzvettst vagy beavatkozst biztost hlzati vagy szmtgp hiba esetre.
16
2. gyflszolglat
Mszaki kpessgein fell az gyflszolglati szakember dvzlje bartsgosan a hozz fordul felhasznlt, s az egsz hvs sorn sorn tanstson hozzrtst s rdekldst. Nehz gyfelek s bonyolult problmk esetn klnsen fontos az gyflszolglat szerepe s a kapcsolatteremtsi kpessgek meglte. Az gyflszolglati szakembernek tudnia kell, hogyan oldja az gyfl feszltsgt, s hogyan vlaszoljon az esetleg goromba gyflnek a hibaelhrtsi folyamat sorn. A hibajegy-indts s ezzel az informci naplzsa kritikus fontossg az gyflszolglati tevkenysg szempontjbl. Ha ugyanazzal a hibval vagy ugyanolyan hibajelensgekkel kapcsolatosan tbb hvs fut be a vevszolglathoz, nagy segtsget jelent annak ismerete, hogy miknt oldottk meg az adott problmt korbban. Ez azrt is fontos, hogy az gyflszolglati szakember kzlhesse az gyfllel, hogy mit is tesznek most ppen a problma-elhrts rdekben. A nyitott hibajegy kellkppen j informci segtsget nyjt abban, hogy a pontos llapotrl tjkoztathassuk mind az gyfelet, mind pedig az ISP tbbi dolgozjt.
Amellett, hogy sok problmt tvolrl lehet kezelni, az is elfordul, hogy installls s az eszkzk vizsglata cljbl helyszni beavatkozs szksges a hiba elhrtshoz. Amikor egy gyflszolglati szakember kiszll az gyflhez, akkor fontos, hogy professzionlisan kpviselje szervezett. Egy szakember kpes arra, hogy a szaktudsa tekintetben bizalmat bresszen az gyflben. Az els ltogats alkalmval fontos, hogy az gyflszolglati szakember j benyomst keltsen az gyflben. Szemlyes poltsga s ltzke az, amit az gyfl elszr szrevesz. Ha az els benyoms rossz, nagyon nehz azt megvltoztatni, s az gyfl bizalmt visszanyerni. Szmos munkaad egyenruht biztost a helysznen megjelen szakemberei szmra, vagy elrja az ltzkdsk mdjt. Az gyflszolglati szakember hozzllsa s nyelvhasznlata alapjn is megtlik azt a szervezetet, amelyet a munkatrs kpvisel. Egy gyfl nyugtalankodhat egy j berendezs hasznlhatsga miatt.
17
2. gyflszolglat
Mikzben az gyfllel beszl, az gyflszolglati szakember legyen udvarias s tisztelettud. Vlaszoljon az gyfl valamennyi krdsre. Ha az gyfl krdsre nem tud vlaszolni, vagy ha tovbbi informcira van szksg, jegyezze fel az gyfl krdst, s amint lehet, vlaszoljon.
Az OSI modell ht rtegt kt rszre osztjuk: fels rtegekre s als rtegekre. A fels rteg kifejezssel nha, az OSI modell szlltsi rteg feletti, brmelyik rtegt jellhetik. A fels rtegek tipikusan az alkalmazsokkal foglalkoznak, s ltalban szoftveresen valsulnak meg. A legfels, az alkalmazsi rteg, ez van legkzelebb a vgfelhasznlhoz.
18
2. gyflszolglat
Az als rteg kifejezssel az OSI modell viszony (egyttmkdsi) rteg alatti rtegeit jellik. Az adatszlltst az als rtegek sszetett mkdse kezeli. A fizikai s az adatkapcsolati rteget hardveresen s szoftveresen is meg kell valstani. A fizikai rteg van legkzelebb a hlzati adattviv kzeghez, vagy a kbelezshez. A fizikai rteg adja t az informcit az adattviteli kzegnek. A vgkszlkek mint a szerver, vagy a kliens, ltalban mind a ht rteget hasznljk. A hlzati eszkzk csak az alacsonyabb rtegekben mkdnek. Hubok csak az 1. rtegben, a kapcsolk (switches) az 1. s 2. rtegben, a forgalomirnytk (routers) az 1. 2. s 3. rtegben, a tzfalak (firewalls) az 1. 2. 3. s 4. rtegben.
19
2. gyflszolglat
2. lps: A 4. rteg az adatokat (zenetet) a vgponttl vgpontig trtn szlltshoz begyazza. Az e-mail zenet tartalmt kpez adatokat a 4.rteg a hlzati tovbbts cljbl becsomagolja. A 4. rteg kisebb darabokra, gynevezett szegmensekre bontja az zenetet s olyan fejlccel ltja el ezeket, amelyek magukban foglaljk az alkalmazsi rtegben mkd vgpontokat azonost TCP vagy UDP, portszmokat is. Emellett a 4. rtegbeli fejlc azt is jelzi, hogy az adott szegmens milyen szllitsi rteg-szolgltats tpust hasznl. Az e-mail alkalmazs pldul TCP szlltsi rtegszolgltatst hasznl, ezrt e-mail szegmensek megrkezst a cllloms nyugtzza. A 4. rteg funkciit a forrs- s a cl-llomson fut szoftver valsitja meg. Mivel a tzfalak a forgalom szrsre gyakran hasznljk a TCP s UDP port-szmokat ezrt a 4. rteg problmit a helytelenl belltott tzfal szr-lista is okozhatja.
20
2. gyflszolglat
3. lps: A 3. rteg hozzadja az IP-cm informcit. A szlltsi rtegtl kapott szegmenseket a 3. rteg a forrs- s a cllloms hlzati IP-cmt is magban foglal 3. rtegbeli (IP) fejlccel egszti ki, IP csomagokba gyazza. A csomag cl-IP cmt a forgalomirnytk arra hasznljk, hogy a csomagot a hlzat legmegfelelbb tvonaln tovbbtsk. A forrs- vagy cllloms hibsan belltott IP-cme 3. rtegbeli mkdsi hibt idzhet el. Mivel az IP-cmet a forgalomirnytk is hasznljk, a forgalomirnytban lv hibs konfigurci is okozhat 3. rtegbeli hibt.
4. lps: A 2. rteg hozzadja a keret fej- s lblct. A hlzati egysgek mindegyike a forrstl a clig, belertve a kld llomst is, a csomagot keretbe gyazza. A keret-fejlc tartalmazza a kzvetlenl csatlakoz adatvonalon t elrhet hlzati egysg fizikai (Media Access Control - MAC) cmt. A kivlasztott hlzati tvonalon minden hlzati egysg jrakeretezi a csomagot, gy, hogy az a kvetkez kzvetlenl csatlakoz adatvonalon t eljuthasson a kvetkez hlzati egysghez. A keretekben tallhat informcit a kapcsolk s a hlzati krtyk hasznljk fel arra, hogy az zenet a megfelel clllomshoz kerlhessen. A hibs hlzati krtya, a nem megfelel krtya-meghajt s a kapcsolk hardverhibi 2. rtegbeli hibt okozhatnak. 5. lps: Az 1. rteg alaktja t az adatot tvihet bitekk. Az adattviteli kzegen val tovbbtshoz a keretet 1-ekbl s 0-kbl (bitek) ll sorozatt alaktjk t. Egy szinkronizl funkci teszi lehetv, hogy az egysgek a kzegen val thaladsuk sorn meg tudjk klnbztetni az egyes biteket. A forrstl a clig vezet tvonal mentn az tviteli kzeg vltozhat. Pldul: egy e-mail zenet szrmazhat eredetileg egy Ethernet LAN hlzatbl, majd thaladhat a campus vegszlas gerincn s egy soros WAN kapcsolaton, vgl egy Ethernet LAN hlzaton clba rhet. Az 1. rtegben hibt okozhat a laza vagy hibs kbelezs, a hibs hlzati krtya, vagy valamilyen elektromos zavar. A vev llomson a fenti lpsek az 1. lpstl az 5. lpsig fordtott sorrendben megismtldnek, ahogy az zenet a rtegeken thaladva elr a megfelel alkalmazshoz.
21
2. gyflszolglat
Az OSI modellt tmutatknt alkalmazva az gyflszolglati szakember krdseket intzhet a felhasznlhoz a hiba meghatrozsra s az oknak feldertsre.
22
2. gyflszolglat
Az gyflszolglati szakembernek rendszerint van egy ltalnos ellenrz listja vagy forgatknyve, amit a hiba feltrsa sorn kvet. A lers gyakran az alulrl felfel megkzeltsen alapul. Ennek oka az, hogy a fizikai hibkat rendszerint knnyebb diagnosztizlni s javtani, az alulrl felfel megkzelts pedig a fizikai rteggel kezd. 1. rteg hibakeresse Az gyflszolglati szakember az 1. rtegre vonatkoz krdsekkel kezd. Emlkezznk arra, hogy az 1. rteg a hlzati eszkzk fizikai kapcsolataival foglalkozik. Az 1. rteg hibi gyakran a kbelezs s az elektromossg hibibl addnak, s ezek nagyon sok gyflszolglati hvst eredmnyeznek. Nhny a gyakoribb fizikai rteg hibkbl: Az egysg ki van kapcsolva Az egysg tpkbelt kihztk Hibs a hlzati kbel csatlakozja Hibs a kbel tpusa Hibs a hlzati kbel Hibs a vezetk nlkli hozzfrsi pont Helytelen a vezetk nlkli bellts, mint pldul az SSID
Az 1. rteg hibakeressnl elszr ellenrizzk le, hogy minden egysgnl meg van-e a megfelel elektromos tpellts, valamint, hogy az egysgek be vannak-e kapcsolva. Ez ugyan nyilvnval dolognak tnik, de a hibt bejelent szemly gyakran tsiklik ezen valamilyen olyan egysg esetben, mely a forrstl a clig tart tvonal mentn helyezkedik el. Ha vannak llapotjelz LED-ek, ellenriztessk a felhasznlval, hogy helyesen jeleznek-e. A helyszni munka sorn szemrevtelezssel ellenrizzk az egsz kbelelzst, s a kbelek jracsatlakoztatsval biztostjuk a megfelel kapcsolatot. Ha vezetk nlkli elrssel van problma, ellenrizzk le, hogy a vezetk nlkli elrsi pont mkdik-e, valamint helyes-e az egysg konfigurcija.
23
2. gyflszolglat
Amikor tvoli hibaelhrtst vgez az gyflszolglati szakember, minden lpsnl meg kell mondani a felhasznlnak, hogy mit keressen, s mit tegyen a hiba elhrtsra. Ha megllaptst nyert, hogy az sszes 1. rtegre vonatkoz krdst megbeszltk, tovbb kell lpni az OSI modell 2. rtegre. A 2. rteg hibakeresse A hlzati kapcsolk s az llomsok hlzati krtyi (NIC) 2. rtegbeli feladatokat ltnak el. A 2. rtegben hibt okozhat a hibs berendezs, a helytelen eszkzmeghajt vagy a nem megfelelen konfigurlt kapcsol. Mikor tvoli hibakeresst hajtunk vgre, kompliklt lehet a 2. rteg hibjnak behatrolsa. Egy helyszni gyflszolglati szakember ellenrizni tudja, vajon helyesen van-e konfigurlva, s megfelelen mkdik-e a hlzati krtya. A hlzati krtya jra bedugsa, vagy a hibsnak felttelezett krtya kicserlse egy biztosan hibtlan krtyra, segthet a hiba behatrolsban. Brmely hlzati kapcsoln (switch) hajtsuk vgre ugyanez az eljrst vgezhet el. A 3. rteg hibakeresse A 3. rtegben az gyflszolglati szakembernek a hlzaton hasznlt logikai cmzst kell felderteni, mint amilyen az IP-cmzs. Ha a hlzat IP-cmzst hasznl, ellenrizni kell az egysgek helyes belltst, pldul a kvetkezket. Az IP-cm a kijellt hlzaton bell van-e? Helyes-e az lhlzati maszk? Helyes-e az alaprtelmezett tjr? Egyb szksges belltsok, mint a DHCP vagy a DNS.
A 3. rteg hibakeressben szmos segtsg ll rendelkezsre. me hrom, a leggyakrabban hasznlt parancssori eszkzk kzl: ipconfig megmutatja a szmtgp IP belltsait ping ellenrzi a hlzati kapcsolatot traceroute ellenrzi a forgalomirnytsi tvonalat a forrstl a clllomsig A legtbb hlzati problma megoldhat az 1. 2. s 3. rtegek fenti hibakeressi technikinak alkalmazsval. A 4. rteg hibakeresse Amennyiben az 1. rtegtl a 3. rtegig valamennyi normlisan mkdik, s a ping sikeresen elmegy a tvoli szerverig, itt az ideje, hogy a magasabb rtegeket ellenrizzk. Pldul, ha az tvonalon tzfal van, fontos ellenrizni azt, hogy az alkalmazs TCP vagy UDP portja nyitva van-e s, hogy a tzfal szrlistja nem blokkolja-e a port forgalmt.
24
2. gyflszolglat
Az 5. rtegtl a 7. rtegig val hibakeress. Az gyflszolglati szakembernek az alkalmazsok konfigurcijt is ellenrizni kell. Pldul, ha egy email hibt keresnk, ellenrizni kell hogy a kld s a fogad szerverre vonatkoz informcik helyesek-e. Azt szintn ellenrizni kell, hogy a tartomnynv feloldsa az elvrt mdon mkdik-e. Tvoli gyflszolglati szakemberek, a magasabb rtegek hibit ms hlzati segdeszkzkkel is ellenrizhetik, egy packet sniffer-el a teljes hlzati forgalom ellenrizhet. Egy olyan hlzati alkalmazs mint a Telnet szintn felhasznlhat a konfigurci ellenrzsre.
Szmos e-mail problma kzs oka a rossz POP, IMAP, vagy SMTP szerver nv. A legjobb az, ha ellenriztetik az e-mail adminisztrtorral a pontos POP, vagy IMAP s az SMTP szerver nevt. Nha azonos a POP/IMAP s SMTP szerver nv. Azt is ellenrizni kell, hogy helyes-e a felhasznli nv s a jelsz. Mivel a jelsz nem jelenik meg a kpernyn, clszer a gondos jra belps. Mikor ezen krdsek telefonon keresztli hibaelhrtst vgezzk, fontos, hogy az gyfl krltekinten haladjon vgig a konfigurcis paramtereken. Sok gyfl szmra ismeretlen a terminolgia, s idegenek a konfigurcis adatok. Amennyiben lehetsges, egy tvoli menedzsment szoftverrel csatlakozzunk az gyfl kszlkhez. Ez lehetv teszi, hogy az gyflszolglati szakember vgezze el az gyfl szmra szksges lpseket. lloms-konfigurcis krdsek Egy tipikus problma, hogy a helytelenl belltott llomscm-informci megakadlyozza az internethez vagy ms hlzati erforrshoz val csatlakozst. Ez kvetkezik be, ha hibs az IP-cm, az alhlzati maszk vagy az alaprtelmezett tjr. Olyan krnyezetben, ahol az IP-cm informcikat kzzel adjk meg, lehetsges, hogy egyszeren az IP-cm konfigurci begpelse hibs. Olyan krnyezetben, ahol az lloms dinamikusan kapja az IPcmet egy kinevezett szervertl, mint amilyen a DHCP szerver, a szerver elromolhat vagy hlzati hiba kvetkezben elrhetetlenn vlhat. Amikor egy lloms dinamikus IP-cm fogadsra van konfigurlva, de a cmkioszt szerver elrhetetlen vagy hozzfrhetetlen, akkor az opercis rendszer automatikusan generl az lloms szmra egy specilis (link-local) helyi-hlzati cmet. Az IPv4 cmeket a 169.254.0.1-tl
25
2. gyflszolglat
169.254.255.254-ig terjed cmblokkban (169.254.0.0/16) adatkapcsolati szinten helyi (link-local) cmnek nevezik Az lloms opercis rendszere a cmet vletlenszeren adja ki a 169.254.0.0/16 cmtartomnyban. De mi akadlyozza meg azt, hogy kt lloms ugyanazt a cmet vlassza? Amikor az opercis rendszer generl egy ilyen cmet, akkor kld egy ARP krst ezzel a cmmel a hlzatra, s megnzi, hogy hasznlja-e valamelyik eszkz ezt a cmet. Ha vlasz nincs, akkor a cmet az eszkzhz rendeli, egybknt msik IP-cmet vlaszt, s az ARP krst megismtli. Microsoft hivatkozsokban ez az nmkd privt IP-cmzs (Automatic Private IP Addressing APIPA). Ha ugyanazon a hlzaton tbb lloms kapott ilyen automatikusan kiosztott cmet, akkor a kliens/szerver s a peer-to-peer alkalmazsok az ilyen llomsok kztt rendben mkdnek. Mivel az gy kiosztott cm a B osztly privt cmtartomnyban van, a helyi hlzaton kvl nem mkdik a kapcsolat. Amikor dinamikusan s manulisan konfigurlt llomsok kztt keresnk hibt, hasznljuk az ipconfig /all parancsot annak ellenrzsre, hogy az lloms megfelel IP konfigurcit hasznl-e.
A felhasznli kapcsolds krdsei A kapcsoldsi problmk az j felhasznlk krben a fordulnak el leggyakrabban az els csatlakozs idejn. Elfordul meglev felhasznlk kapcsolati hibja is. Elszr kapcsold felhasznlknl gondot okozhat a hardver s a szoftver helytelen konfigurcija. Meglev felhasznlk akkor jelzik a kapcsolati hibkat, mikor nem tudnak megnyitni egy weboldalt, nem tudnak e-mailt vagy zenetet kldeni, vagy fogadni. Sok oka lehet annak, hogy a felhasznl nem tud kapcsoldni, belertve az albbiakat is: A szolgltatsok kifizetsnek elmulasztsa Hardver hibk Fizikai rteg hibi
26
2. gyflszolglat
Sok esetben a hibt egy elromlott vagy rossz helyre dugott kbel okozza. Az ilyen hiba elhrthat a kbel-kapcsolat ellenrzsvel vagy a kbel cserjvel. Msfajta, mint pldul a szoftver hibt, sokkal bonyolultabb behatrolni. Egy ilyen plda: A hibsan betlttt TCP/IP kszlet megakadlyozza az IP helyes mkdst. A TCP/IP kszlet ellenrizhet a visszacsatolsi cm hasznlatval. A visszacsatolsi cm egy specilis IP-cm. Az IPv4 rendszerben erre a clra fenntartott cm: 127.0.0.1, melyen az lloms kzvetlenl nmagval forgalmaz. A visszacsatolsi hurok rvidre zrja a TCP/IP alkalmazsok s szolglatok kztti kommunikcit egy eszkzn bell. A sajt lloms TCP/IP belltsa ellenrizhet a ping 127.0.0.1 parancs kiadsval. Ha nem rkezik vlasz a visszacsatolsi cm pingelsre, akkor a hiba oka a TCP/IP kszlet belltsa vagy installlsa lehet. A 127.0.0.1tl a 127.255.255.254ig terjed cmtartomny az ellenrzsek cljra van fenntartva. Ezen bell minden cm visszacsatol, az adott helyi llomson van. A fenti tartomnyon belli cm sohasem jelenhet meg a hlzaton. Annak ellenre, hogy a 127.0.0.0/8 tartomny van fenntartva a visszacsatolsos ellenrzsre, jellemzen csak a 127.0.0.1 cmet hasznljuk.
27
2. gyflszolglat
Mind az 1. szint, mind pedig a 2. szint gyflszolglati szakember megksrli a felhasznl problmjnak megoldst a telefon, a web eszkzk s a lehetsges tvoli asztalmegosztsi alkalmazs hasznlatval. Ha az gyflszolglati szakemberek nem tudjk tvolrl megoldani az gyfl problmjt, akkor 3. szint gyflszolglati szakembert kell kldeni a felhasznl telephelyre. A helyszni ltogatst vgrehajt gyflszolglati szakember feladata, hogy megltogassa a felhasznli telephelyet s fizikailag, magn a problms eszkzn dolgozzon. Az gyflszolglati szakember egyeztethet egy tallkozt a felhasznlval a helysznre kiszll szakember szmra, de a helyszni szakember maga is egyeztethet a felhasznlval a tallkozst illeten. A hibakeress megkezdse eltt a helyszni szakember ttekinti a hibajegyet, hogy lssa mit tettek korbban a hiba elhrtsa rdekben. Ez az ttekints httr informcikat ad egy logikus kiindulsi pont megtallshoz. Abban is segt dnteni a szakembernek, hogy milyen szerszmokat s anyagokat vigyen magval azrt, hogy ksbb anyagbeszerzs miatt ne kelljen a helyszint elhagyni. A helyszni gyflszolglati szakember jellemzen a felhasznl telephelyn szokott a szmtgpes hlzaton tevkenykedni, br elfordul, hogy nmelyik kszlket nem tudja a helysznen megjavtani. Az ilyen eszkzt vissza kell vinnie az internetszolgltat telephelyre tovbbi hibaelhrtsra.
28
2. gyflszolglat
javtani. A ltrrl val leess vagy mszs kzben egy kszlk elejtse veszlynek cskkentsre, dolgozzunk egytt egy munkatrssal, ha lehet. Magas vagy veszlyes helyek Elfordul, hogy a hlzat kszlkeit vagy kbelezst magas vagy nehezen megkzelthet helyen kell elhelyezni. Ilyen az pletek kls falskja, az plet tetszerkezete, vagy olyan bels szerkezet, mint a liftakna, ami ltrrl nem rhet el. Ilyen esetekben klnsen krltekinten kell eljrni. A leess kockzatnak mrsksre hasznljunk biztonsgi vet. Villamos berendezsek Amikor egy kszlk kezelse kzben fennll egy villamos vezetk megsrtsnek vagy rintsnek lehetsge, fel kell venni a kapcsolatot a felhasznl villamos szakembervel az ramts veszlynek cskkentse rdekben kvetend vintzkedsek miatt. Egy ramts slyos szemlyi srlssel vgzdhet. Kellemetlen helyek A hlzati berendezsek gyakran vannak szk, kellemetlen, nehezen hozzfrhet helyen. Gondoskodni kell a megfelel megvilgtsrl s a szellzsrl. A baleset veszlynek cskkentshez meg kell hatrozni az eszkz emelsnek, szerelsnek s eltvoltsnak legclravezetbb mdjt. Nehz berendezsek A hlzati eszkzk lehetnek nehezek s terjedelmesek. Terjedelmes s nehz berendezsek helyszni teleptse vagy mozgatsa sorn gondoskodni kell a megfelel munkaeszkzkrl s gyakorlott szemlyzet alkalmazsrl. Az gyflszolglati szakembernek brmilyen konfigurcis vltoztats vagy j berendezs teleptse utn ellenrizni kell a helyes mkdst. Amikor befejezte a munkt, kzlnie kell az gyfllel az azonostott hiba termszett, a vlasztott megoldst s minden azt kvet eljrst. Mieltt a problmt megoldottnak tekinthetn az gyflszolglati szakember, az gyflnek t kell vennie a munkt. A hibajegyet csak ezutn zrhatja le, s a megoldst is dokumentlnia kell. A dokumentci egy pldnyt t kell adni az gyflnek. A dokumentcinak tartalmaznia kell az eredeti gyflszolglat-hvsi problmt s az sszes eljrst, amit a hiba elhrtsa rdekben vgrehajtottak. Az gyflszolglati szakember feljegyzi a megoldst, s a hibajegyre rvezetik az gyfl ellenjegyzst is. A jvre val tmutatsul az gyflszolglati szakember az gyflszolglati dokumentciban rgzti a probmt a megoldsval egytt, s felveszi ezeket a gyakran feltett krdsek (FAQ) kz. Nhny esetben a helysznre ltogat gyflszolglati szakember olyan hlzati problmkat tr fel, melyek a hlzati eszkzk frisstst vagy jrakonfigurlst kvnjk meg. Az ilyen eset az eredeti hibajegy hatskrn kvl esik. A tovbbi lpsek meghatrozsa rdekben mindezt mind az gyfllel, mind pedig az internet-szolgltatval kzlni kell.
29
2. gyflszolglat
30
Az elvgzett helyszni felmrs fontos informcikat szolgltat a hlzati tervezknek, megfelel kiindulsi pontot biztost a projekt elkezdshez, megmutatja a telephely jelenlegi llapott, s jl jelzi a jvbeni szksgleteket. A helyszni felmrsek sorn gyjthet fontosabb informcik kz tartoznak a kvetkezk: Felhasznlk szma s a berendezsek tpusa Tervezett nvekeds mrtke Jelenlegi internet hozzfrs tpusa
31
Alkalmazsokra vonatkoz kvetelmnyek Meglv hlzati infrastruktra s fizikai elhelyezkedse j szolgltatsokra vonatkoz kvetelmnyek Biztonsgi s titoktartsi megfontolsok Megbzhatsgi s rendelkezsre llsi elvrsok Kltsgvetsi megszortsok
Amennyiben lehetsges, szerezzk be a telephely alaprajzt. Ha az alaprajz nem ll rendelkezsre, a szakemberek rajzolhatnak egy a helyisgek mretre s elhelyezkedsre vonatkoz brt. Nagy segtsget nyjthat a fejlesztsi alapkvetelmnyek megfogalmazsban a meglv hlzati hardverekrl s szoftverekrl kszlt leltri lista. A helyszni felmrst vgz szakember mellett egy rtkestsi kpvisel is rszt vehet az gyfllel val tallkoz sorn. Az rtkestsi kpvisel az zletvitel szksgleteit kielgt hlzati fejlesztsek fell tehet fel krdseket. llomsok s felhasznlk szma: sszesen hny hlzati felhasznlt, nyomtatt s kiszolglt fog elltni a hlzat? A hlzat ltal tmogatand felhasznlk szmnak meghatrozshoz ne felejtkezzen el az elkvetkez 12 hnapban hozzadand felhasznlk szmba vtelrl, s hogy sszesen hny hlzati nyomtatt s kiszolglt kell befogadnia a hlzatnak. Internet szolgltats s berendezsek: Milyen mdon kapcsoldik a vllalkozs az internethez? A kapcsoldshoz szksges eszkzt az ISP biztostja vagy sajt tulajdonban ll? Nagy sebessg, pldul DSL vagy kbeles internetes kapcsolatok esetn gyakran elfordul, hogy a kapcsolathoz szksges berendezsek a szolgltat tulajdonban vannak (DSL forgalomirnyt vagy kbelmodem). Ha a csatlakozst korszerstik, az internet kapcsolatot biztost eszkz fejlesztse vagy cserje is szksges lehet. Meglv hlzati eszkzk: Hny hlzati eszkz van teleptve hlzatban? Mely funkcik elltsra szolglnak ezek az eszkzk? A hlzat fejlesztsi tervnek elksztshez felttlenl ismernnk kell az aktulisan teleptett eszkzk szmt s tpust. Valamint szksg van a jelenleg teleptett eszkzk konfigurciinak dokumentlsra is. Biztonsggal kapcsolatos elvrsok: Rendelkeznek jelenleg a hlzat vdelmt szolgl tzfallal? Amikor egy magnhlzat csatlakozik az internethez, fizikai kapcsolat jn ltre tbb mint 50000 ismeretlen hlzat s ezek ismeretlen felhasznli fel. Mikzben e kapcsoldsok az informcimegoszts izgalmas lehetsgt biztostjk, egyttal veszlynek tesszk ki a nem megosztsra sznt informcikat is. A tbbfunkcis forgalomirnytk egyb szolgltatsaik mellett tzfal kpessggel is rendelkeznek. Alkalmazottakra vonatkoz kvetelmny: Mely alkalmazsokat kell tmogatnia a hlzatnak? Szksg van az alkalmazsokhoz pldul IP-telefon vagy video-konferenciaszolgltatsra? Fontos, hogy megjelljk a klnleges alkalmazsok irnti ignynket, fknt a hang s video alap alkalmazsokat. E felhasznlsi mdok tovbbi hlzati eszkz konfigurcit ignyelhetnek, s j szolgltatsokra lehet szksg az ISP rszrl a megfelel minsg szolgltats biztostshoz. Vezetk nlkli kvetelmnyek: Vezetkes, vezetk nlkli vagy mindkt technolgit hasznl helyi hlzatot szeretne (LAN)? sszesen hny ngyzetmtert kell lefednie a vezetk nlkli helyi 32
hlzatnak? A szmtgpek, nyomtatk s egyb eszkzk hlzatra trtn csatlakoztatshoz lehetsg van hagyomnyos vezetkes hlzat (10/100 kapcsolt Ethernet), csak vezetk nlkli hlzat (802.11x), illetve ezek kombincijnak hasznlatra. Minden egyes vezetk nlkli hozzfrsi pont, mely asztali szmtgpek s laptopok csatlakoztatsra szolgl, meghatrozott hattvolsggal rendelkezik. Ahhoz, hogy megbecsljk a szksges hozzfrsi pontok szmt, ismernnk kell a lefedend terlet nagysgt ngyzetmterben s a helyszn fizikai jellemzit. A szemlt vgz szakembernek mindenre fel kell kszlnie a munkja sorn. A hlzatok nem mindig felelnek meg a helyi villamos s ptszeti gyakorlati elrsoknak vagy biztonsgi szablyozsoknak. Gyakran semmilyen szabvnynak sem felelnek meg. Elfordulnak olyan hlzatok, melyeken az idk folyamn rendszertelen bvtseket vgeztek, gy klnbz technolgikat s protokollokat hasznlnak. A szakembereknek vatosnak kell lennik, nehogy megsrtsk az gyfelet a meglv hlzatrl alkotott negatv vlemnyk kifejtsvel. Az gyfl telephelynek megltogatsa alkalmval mlyrehat vizsglat al kell venni a hlzati s szmtgpes rendszert. Elfordulhatnak olyan nyilvnval esetek, mint jelletlen kbelek, a hlzati eszkzk gyenge vdelme, tartalk ramforrs vagy a munkhoz nlklzhetetlen eszkzket ellt sznetmentes tpegysgek (UPS) hinya. E krlmnyeket, valamint a szemle s az gyfllel val tallkoz sorn szerzett tovbbi informcikat le kell jegyezni a telephelyi felmrs beszmoljban. A felmrs befejeztvel az gyfllel egytt t kell nzni a kapott eredmnyeket, nehogy valami kimaradjon, vagy hiba kerljn a felmrsbe. Ha mindent pontosan rgztettek, a helyszni felmrs kitn alapul szolgl az j hlzat terv elksztshez.
33
A logikai topolgiai trkp ltrehozshoz szksg van az eszkzk s a hlzat viszonynak megrtsre, fggetlenl a fizikai kbelezs elhelyezkedstl. Szmos topolgiai elrendezs lehetsges. Ezek kz tartoznak pldul a csillag, kiterjesztett csillag, rszleges hl s hl topolgik. Csillag topolgik Csillag topolgia esetben az egyes hlzati eszkzk nll sszekttetsen keresztl kapcsoldnak a kzponti berendezshez. A kzponti berendezs szerept ltalban egy kapcsol vagy vezetk nlkli hozzfrsi pont ltja el. A csillag topolgia elnye, hogy ha egy kapcsold eszkz meghibsodik, a hiba csak ezt az eszkzt rinti. Ha viszont a kzponti berendezs, pldul a kapcsol hibsodik meg, akkor minden csatlakoz eszkz elveszti a kapcsolatot. Kiterjesztett csillag topolgia akkor jn ltre, ha az egyik csillag kzponti eszkze egy msik csillag kzponti berendezsvel kerl kapcsolatba. Ilyen topolgia jn ltre pldul, amikor tbb kapcsol van sszektve, vagy lnckapcsolsban van egymssal.
34
A hlzatok kzponti (mag) rtegnek kbelezse ltalban teljes hl vagy rszleges hl topolgij. Teljes hl topolgia esetben minden hlzati eszkz kzvetlen sszekttetsben ll a tbbi eszkzzel. Br a teljes hl topolgik a teljesen redundns hlzat elnyeit nyjtjk, htrnyaik kz tartozik a krlmnyes huzalozs s felgyelet, valamint a magas kltsgek. Nagyobb mret teleptsek esetn mdostott, rszleges hl topolgit alkalmaznak. A rszleges hl topolgiknl minden eszkz legalbb kt msikkal ll sszekttetsben. Ez a fajta elrendezs tbbnyire elegend redundancit biztost a teljes hl topolgik bonyolultsga nlkl. A rszleges vagy teljes hl segtsgvel megvalstott redundns topolgik biztostjk, hogy a hlzati eszkzk meghibsods esetn is kpesek legyenek alternatv tvonalak hasznlatval elkldeni az adatokat.
35
3. Egy hlzat tovbbfejlesztsnek tervezse Opercis rendszer Logikai cmzsi informcik tjr Kapcsolds tpusa Teleptett vruskeres szoftverek Biztonsgi informcik
3.2 Tervezs
3.2.1 Hlzati korszersts tervezsi fzisai
A hlzat korszerstst gondos tervezsnek kell megelznie. Brmely ms projekthez hasonlan elszr meg kell hatrozni a szksgleteket, majd egy terv kszl, amely krvonalazza a fejleszts folyamatt az elejtl a vgig. Egy j projektterv segt felismerni a gyenge pontokat, az erssgeket, a kihasznlhat lehetsgeket s a veszlyforrsokat (SWOT). A terv pontosan meghatrozza az elvgzend feladatokat, s azok vgrehajtsi sorrendjt. Nhny j tervezsi plda: A sportjtkok csapatai megfelel terv alapjn jtszanak Az ptszek kvetik a tervrajzokat A szertartsok vagy tallkozk napirendet kvetve zajlanak le
Az olyan hlzat, mely mindssze tbbfle technolgia s protokoll felhasznlsval, egymssal sszekttt eszkzk halmaza, ltalban a silny kezdeti tervezsrl rulkodik. Az ilyen mdon felptett hlzatok hajlamosabbak a lellsra, karbantartsuk s hibik elhrtsa nehezen megvalsthat. Egy hlzati korszersts tervezse a helyszni szemle s az eredmnyeket tartalmaz jelents elkszlte utn kezddhet meg. t fzist klnbztetnk meg.
36
Miutn elvgeztk a helyszni szemlt, s minden szksges informcit sszegyjtttek az gyfltl, az adatok elemzsvel meghatrozhatk a hlzat kvetelmnyei. Az elemzst az ISP tervez csoportja vgzi, amely az elemzs eredmnyt egy Elemzsi jelentsben foglalja ssze. 2. fzis: Kivlaszts s tervezs Az Elemzsi jelentsben megfogalmazott kvetelmnyek alapjn kivlasztjk a szksges eszkzket s kbeleket. Tbbfle tervezsi alternatvt ksztenek, melyeket rendszeresen megosztanak a projekt tbbi tagjval. Ez a fzis lehetsget teremt arra, hogy a tervez csapat tagjai mg a dokumentci szintjn ttekintsk a hlzatot s kompromisszumot teremtsenek a teljestmny s a kltsg kztt. Ez az a fzis, melynek sorn lehetsg van a terv gyenge pontjainak feltrsra s kikszblsre. Szintn e fzis sorn ksztik el s tesztelik a hlzat prototpust. A prototpus j indiktora az j hlzat vrhat mkdsnek. Miutn az gyfl jvhagyta a tervet, megkezddhet az j hlzat kivitelezse. 3. fzis: Kivitelezs Ha az els kt lpst megfelelen vgeztk el, a kivitelezs valsznleg problmamentes lesz. Ha olyan feladatok merlnek fel, amelyeken a korbbi fzisokban tsiklottak, a kivitelezsi fzisban kell korriglni. Egy vratlan esemnyek megoldsra tartalk idt biztost kivitelezsi temterv segtsgvel a szolgltats kiesse az gyfl szmra minimlisra szorthat. A projekt sikernek elfelttele az gyfllel val folyamatos kapcsolattarts a kivitelezsi folyamat sorn. 4. fzis: zemeltets A hlzatot az gynevezett termelsi krnyezetben fogjk zembe helyezni. E lpst megelzen a hlzat mg az ellenrzsi vagy kivitelezsi fzisban van. 5. fzis: ttekints s rtkels Miutn a hlzatot zembe helyeztk, sort kell kerteni a tervezsi s kivitelezs ttekintsre s rtkelsre. E folyamat vgrehajtshoz a kvetkez lpsek elvgzse ajnlott: 1. lps: Hasonltsuk ssze a felhasznlk tapasztalatait a dokumentciban foglalt clokkal, s mrlegeljk, hogy a terv megfelel-e a feladatok elvgzshez! 2. lps: Vessk ssze az elirnyzott terveket s kltsgeket a tnylegesen megvalstottal! Ez az rtkels teszi lehetv, hogy a most elvgzett projekt sorn szerzett tapasztalatok a jvbeni projektek elnyre vlnak. 3. lps: A mkds megfigyelse s a vltozsok rgztse. Nagyon fontos, hogy a rendszer mindig teljes kren dokumentlt s ellenrizhet legyen.
37
A klnbz fzisok gondos tervezse biztostja a projekt zkkenmentes lezajlst s a megvalsts sikeressgt. A helysznen dolgoz szakembereket gyakran bevonjk a tervezsbe, mivel k a korszersts minden fzisban rszt vesznek.
A klnbz ISO szabvnyok eltr terminolgit hasznlnak az MDF s IDF szakkifejezsekre. A kbelszekrny kifejezs utalhat az MDF-re s az IDFre is. MDF = pletek kztti eloszt IDF = Szintek kztti eloszt
38
Sokfle kbeltpus megtallhat a hlzati krnyezetekben, nmelyek gyakrabban elfordulnak, mint msok: rnykolt csavart rpr (STP) - Rendszerint 5-s, 5e vagy 6-os kategrij kbel, mely fmflia segtsgvel vdett a kls elektromgneses interferencival (EMI) szemben. Ethernet hlzatokban a kbel ltal thidalhat maximlis tvolsg krlbell 100 mter (328 lb). rnykolatlan csavart rpr (UTP) - Jellemzen 5-s, 5e vagy 6-os kategrij kbel, mely nem biztost kln vdelmet az EMI-vel szemben, viszont olcs. A kbelek vezetse sorn el kell kerlni az elektromosan zajos terleteket. Ethernet hlzatokban a kbel ltal thidalhat maximlis tvolsg krlbell 100 mter (328 lb). Optikai szlas kbel - Elektromgneses interferencira rzketlen tviteli kzeg, mely a rznl nagyobb sebessggel s tvolabbra kpes tovbbtani az adatokat. Az vegszl tpustl fggen az thidalhat tvolsg tbb kilomter is lehet. Az optikai szlas kbelek gerinchlzati sszekttetsek s nagysebessg kapcsolatok ltrehozsra hasznlhatk.
E hrom gyakran hasznlt kbeltpuson kvl a koaxilis kbelt is hasznljk a hlzatokban. A koaxilis kbeleket ltalban nem LAN-okban hasznljk, inkbb a kbelmodemes internet szolgltati hlzatokban elterjedtek. A koaxilis kbel magja szilrd, krltte tbb vdrteg tallhat, melyek polivinilkloridbl (PVC), fonott rnykol vezetkbl s manyag burkolatbl llnak. A kbellel thidalhat tvolsg tbb kilomter. Az thidalhat tvolsgi a kapcsolat rendeltetstl fgg.
39
Vilgszerte tbb szervezet is bocst ki LAN kbelezsi specifikcikat. A Telecommunications Industry Association (TIA) s az Electronic Industries Alliance (EIA) egyttmkdsnek eredmnye a LAN hlzatok szmra ltrehozott TIA/EIA kbelezsi elrs. A kt leggyakrabban hasznlt TIA/EIA kbelezsi specifikci az 568-A s 568-B szabvny. Mindkt szabvny ugyanolyan 5-s vagy 6-os kategrij kbelt hasznl, viszont a csatlakozk bektse eltr sznmintt kvet. A hlzatokban hrom klnbz tpus csavart rpras kbelt hasznlnak: Egyeneskts - Egymstl eltr eszkzk sszekapcsolsra hasznlhat, pldul kapcsol s szmtgp vagy kapcsol s forgalomirnyt. Keresztkts - Hasonl eszkzk sszekapcsolsra szolgl, mint pldul kt kapcsol vagy kt szmtgp. Konzol (vagy Rollover) - Kapcsolatot teremt egy szmtgp s egy forgalomirnyt vagy kapcsol konzol portja kztt a kezdeti konfigurls elvgzshez.
Hlzatokban gyakran elfordul egyb kbeltpus a soros kbel. Soros kbelt jellemzen forgalomirnytk internetre trtn csatlakozshoz hasznlnak. Ezt az internet kapcsolatot egy telefonszolgltat, egy kbelszolgltat vagy valamilyen magn ISP is biztosthatja.
40
Eszkzk beszerzsekor a kltsg mindig jelents dntst befolysol tnyez. A klnbz lehetsgekrl ksztett gondos kltsgelemzs j alapot biztost a vgs dnts meghozatalhoz. Ha a tmogatott szolgltatsra esett a vlaszts, szmolni kell a brleti djjal s a szolgltatsi szint szerzdsben (SLA) felvzolt egyb szolgltatsi kltsgekkel. Ha pedig a vsrlsra esett a vlaszts, az gyflnek figyelembe kell vennie a kszlk rt, a jtlls idtartamt, a meglv berendezsekkel val kompatibilitst, valamint a fejlesztsi s karbantartsi krdseket. E tnyezk mindegyikt elemezni kell a kltsghatkony beszerzs rdekben.
41
42
43
csatlakozsra vagy a szlessv kapcsolat megosztsra. A tzfalak vdelmet jelentenek a hlzati fenyegetsekkel szemben, illetve biztonsgot, hlzat vezrlst s elszigetelst biztostanak. A tbbfunkcis forgalomirnytk (ISR) olyan hlzati eszkzk, melyek egy kszlkben egyestik a kapcsolk, forgalomirnytk, hozzfrsi pontok s tzfalak adottsgait.
Portok, interfszek tpusa s sebessge Olyan 2. rtegbeli eszkzt vlasztva, amely a megnvekedett sebessg kvetelmnyt is kpes elltni, lehetsg lesz a hlzat fejlesztsre a kzponti berendezsek cserje nlkl. A kapcsol kivlasztsakor alapvet szempont a portok szma s tpusa. A hlzati tervezknek krltekinten kell meghatrozniuk a csavart rpras (TP) s az optikai szlas portok szmt. Meg kell becslni az esetleges hlzatbvtsekhez szksges tartalk portok szmt is. Bvthetsg A hlzati eszkzk modulris s rgztett fizikai sszelltsban is kaphatk. A rgztett konfigurcij eszkzk meghatrozott tpus s szm porttal vagy interfsszel rendelkeznek. A modulris berendezsek bvthelyekkel rendelkeznek, gy j modulok hozzadsval rugalmasan lehet kvetni az ignyeket. A legtbb modulris eszkzt minimlis szm rgztett porttal s bvthelyekkel szlltjk. A bvthely felhasznlsnak tipikus pldja, amikor egy eredenden csak nhny rgztett csavart rpras porttal konfigurlt eszkzt optikai szlas kbelek csatlakoztatsra alkalmas modullal bvtik. Modulris kapcsolk segtsgvel kltsghatkonyan kvethet a LAN mretnvekedse. Felgyelhetsg Egy alskategris, olcs kapcsol nem konfigurlhat. Egy olyan felgyelhet kapcsol esetn viszont, amely Cisco IOS szolgltatskszletet hasznl, lehetsg van az egyes portok vagy akr az
44
egsz kapcsol forgalmnak szablyozsra. A szablyozs lehetsgei kz tartozik tbbek kztt az eszkz belltsainak megvltoztatsa, a port biztonsg bevezetse, valamint a teljestmny felgyelet. gy pldul egy felgyelhet kapcsol portjai klnllan be, illetve kikapcsolhatk. Tovbb a rendszergazda azt is megszabhatja, mely szmtgpek csatlakozhatnak egy adott porthoz. Kltsgek Egy kapcsol rt a teljestmnye s szolgltatsai hatrozzk meg. A teljestmnyt a portok szma s tpusa, valamint a teljes tbocstkpessg jellemzi. A kltsgeket befolysol egyb tnyezk pldul a hlzatfelgyeleti lehetsgek, a begyazott biztonsgi technolgik s ms fejlett kapcsolsi technolgik meglte. Egy egyszer r/port szmtst hasznlva elszr gy tnhet, hogy a legjobb vlaszts egy nagymret kapcsol valamilyen kzponti helyre trtn teleptse. A ltszlagos megtakartsokat azonban ellenslyozhatjk a hosszabb kbelek miatt felmerl tbbletkltsgek, amelyek a kzponti kapcsol s a tbbi eszkz kztt teremtik meg kapcsolatot. Ezrt ezt a lehetsget rdemes sszevetni azzal a megoldssal, amikor tbb kisebb kapcsolt teleptnk egy kzponti kapcsol kr kevesebb szm, hosszabb kbellel sszektve. Egyetlen nagy kzponti helyett, tbb kisebb eszkz elhelyezse azzal az elnnyel is jr, hogy cskken a hibatartomny mrete. Egy hibatartomny a hlzat azon terlete, amelyet egy hlzati berendezs hibs mkdse vagy meghibsodsa befolysolhat. A LAN kapcsolk kivlasztsa utn kerlhet sor az gyfl szmra megfelel forgalomirnyt kivlasztsra.
45
Kapcsolds A forgalomirnytk kpesek klnbz technolgival rendelkez hlzatok sszekapcsolsra. Rendelkezhetnek LAN s WAN interfszekkel is. A forgalomirnyt LAN interfsze a helyi hlzat tviteli kzeghez csatlakozik. Ez leggyakrabban UTP kbelezst jelent, de modulok hozzadsval optikai kbelek hasznlatra is nylik lehetsg. A forgalomirnyt sorozattl vagy modelljtl fggen tbb interfsz tpus hasznlhat LAN, illetve WAN kbelek csatlakoztatsra. Jellemzk A forgalomirnyt jellemzinek sszhangban kell lennik a hlzat kvetelmnyeivel. A vizsglat utn, az zletvezets meghatrozhatja, hogy pontosan milyen funkcikkal rendelkez forgalomirnytra lesz szksg. Az alapvet forgalomirnytsi funkcikon kvl a kvetkez szolgltatsok lnak rendelkezsre: Biztonsg (Security) Szolgltats minsge (QoS) IP-alap hangtvitel (VoIP) Hlzati cmfordts (NAT) Dinamikus llomskonfigurl protokoll (DHCP) Virtulis magnhlzat (VPN)
Kltsgek Hlzati eszkzk kivlasztsakor mindig fontos szempont a kltsgvets. A forgalomirnytk drga berendezsek, s a bvt modulok, pldul optikai szlas modulok hozzadsa tovbb nveli a kltsgeket.
46
Viszonylag j technolgit kpviselnek az integrlt szolgltats forgalomirnytk (ISR), melyek egy eszkzben szmos szolgltatst tvznek. Az ISR eszkzk bevezetse eltt szmos berendezs hasznlatra volt szksg az adat, a vezetkes, a vezetk nlkli, a hang, a vide, a tzfal s a VPN technolgik teremtette kvetelmnyek biztostshoz. Az ISR eszkzket tbb szolgltats elltsra terveztk, hogy kielgtsk a kis s kzepes mret vllalkozsok, illetve a nagyobb szervezetek kirendeltsgeinek ignyeit. ISR-ek segtsgvel egy szervezet gyorsan s knnyen kpes vgponttl vgpontig kiterjed vdelmet nyjtani felhasznlk, alkalmazsok, hlzati vgpontok s vezetk nlkli helyi hlzatok szmra. Radsul egy ISR eszkz kltsge jval kisebb is lehet, mintha az egyes szolgltatsokat bztost kszlkeket kln-kln vsrolnnk meg.
Az albbiakban a Catalyst 2960 kapcsolk nhny jellemzjt mutatjuk be: Belp szint, vllalati felhasznlsra tervezett, fix konfigurcij kapcsol, melyet a hozzfrsi rtegben trtn felhasznlsra optimalizltak Fast s Gigabit Ethernet portokkal rendelkezik munkallomsok csatlakoztatsra Hasznlata elssorban kis-, kzpvllalati s kirendeltsgi krnyezetben elnys Kompakt mrete kbelszekrnyen kvli hasznlatra is alkalmass teszi
47
Ezek a kapcsolk a kisebb, beptett kapcsolfunkcival is rendelkez ISR berendezsekkkel ellenttben sok porttal rendelkeznek, s nagy kapcsolsi sebessget biztostanak. J vlaszts lehet olyan hlzati fejlesztsek esetn, melyekben hubokat vagy kis ISR eszkzket hasznlnak. A Cisco Catalyst 2960 Series Intelligent Ethernet Switches csald tagjai fix kipts, nll eszkzk, amelyek munkallomsok Fast s Gigabit Ethernet csatlakozst biztostjk.
48
IP cmzsi terv A hlzattervezs folyamatnak rszt kpezi a logikai cmzs tervezse is. Hlzatok fejlesztse sorn a 3. rtegbeli cmzsi sma megvltoztatsa komoly feladat. Ha a korszersts a hlzat szerkezetnek a megvltozsval jr, valsznleg elkerlhetetlen az IP cmzsi sma megvltoztatsa. Az IP cmzsi tervnek szmolnia kell minden IP-cmet ignyl eszkzzel, s a jvbeni nvekedssel is. IP-cmet ignyl llomsok s hlzati eszkzk: Felhasznli szmtgpek Adminisztrtori szmtgpek Kiszolglk Egyb vgponti eszkzk, pldul nyomtatk, IP telefonok, IP kamerk Forgalomirnyt LAN interfszek Forgalomirnyt WAN (soros) interfszek
Vannak ms eszkzk, amelyeknek a konfigurlsukhoz s felgyeletkhz van szksgk IP-cmre. Ilyen eszkzk: Egyedlll kapcsolk Vezetk nlkli hozzfrsi pontok
Ha pldul egy j forgalomirnytt teleptenek a hlzatra, a forgalomirnyt minden interfsze tovbbi hlzatok vagy alhlzatok ltrehozsra hasznlhat. Ezekhez az j alhlzatokhoz megfelel IP hlzati cmet s alhlzati maszkot kell rendelni. Nha ez csak egy teljesen j cmzsi rendszer elksztsvel oldhat meg. A tervezsi fzis befejezse utn a korszerstsi folyamat a kivitelezsi fzissal folytatdik, melyben megkezddik a tnyleges hlzattelepts.
49
50
Az IP-cmek hierarchikusak. A hierarchit gy kpzeljk el, mint egy csaldft, ahol a szlk a fa tetejn helyezkednek el, s a gyerekek alulrl csatlakoznak hozzjuk. A hlzatnl ez gy nz ki, hogy a 32 bites szm egy rsze a hlzatot (a szlket), mg a maradk az llomsokat azonostja (gyerekek). Az internet hskorban olyan kevs szervezetnek volt szksge internetcsatlakozsra, hogy a hlzatokat az IP-cm els 8 bitje (els oktett) jellte. A fennmarad 24 bitbl kpeztk a helyi llomsok cmeit.
51
A 8 bites hlzatjells logikusnak tnt, mivel eredetileg mindenki gy gondolta, hogy az internet nhny nagy egyetembl, a kormnybl, s katonai szervezetekbl fog llni. A 8 bites hlzati azonositval 256 klnbz hlzatot lehetett ltrehozni, darabonknt 16 milli llomssal. Hamar kiderlt, hogy jvalt tbb szervezet illetve magnszemly vgez kutatmunkt az interneten, vagy kommunikl msokkal. Tbb hlzatra volt szksg, s tbb hlzati azonost ltrehozst kellett megoldani.
A nagyszm hlzat azonostshoz a 32 bites cmtartomnyt t cm-osztlyra bontottk fel. Ezek kzl hrom, az A, B s C osztlyok az llomsok vagy hlzatok egyedi azonostsra hasznlhat, mg a maradk kt osztly, a D s az E csoportos cmzs (multicast), illetve ksrleti clokra hasznlhat. Az IP cmtartomny cm-osztlyokra bontsa eltt a forgalomirnytk a hlzatok azonostsra csak az IP-cmek legmagasabb helyirtk 8 bitjt hasznltk. Ezzel szemben a B osztly hlzatcmek 16 legmagasabb helyirtk bitje azonostja a hlzatokat, a C osztly hlzatcmek esetn pedig a cm 24 legmagasabb helyirtk bitje szolgl ugyanerre a clra. A cm-osztlyokra bonts utn a forgalomirnytkat t kellett programozni azrt, hogy azok figyelembe vegyk az els 8 biten tli tartomnyt is, s gy a B s C osztly hlzatokat is tudjk kezelni. gy dntttek, hogy a hlzatokat olyan mdon osztjk fel, hogy a forgalomirnytk s az llomsok knnyen s helyesen llapthassk meg a hlzatot azonost (hlzati ID) bitek szmt. A hlzati osztlyt az IP-cm els pr bitje adja meg, ezek a legmagasabb helyirtk bitek. Ha az els bit 0, a hlzat A osztly, s az els 8 bit (els oktett) azonostja a hlzatot. Ha az els bit 1, a forgalomirnyt megvizsglja a msodik bitet. Ha a msodik bit 0, akkor a hlzat B osztly, s a forgalomirnyt az els 16 bittel azonostja a hlzatot. Ha az els hrom bit 110, akkor az C osztlyt jelent. A C osztly cmek az els 24 bitet, azaz hrom oktettet hasznlnak a hlzat azonostsra. Az eredeti 8 bites hlzati mezt kisebb osztlyokra bontva a lehetsges hlzatok szma az eredeti 256-rl kt millinl is tbbre nvekedett.
52
53
A klnfle osztlyok ltrehozsn tlmenen az Internet Engineering Task Force (IETF) gy dnttt, hogy az internetes cmtartomny egy rszt a magnhlzatoknak tartja fenn. A magnhlzatok nem csatlakoznak a nyilvnos hlzatokhoz. A magnhlzati cmek nem alkalmasak forgalomirnytsra az interneten. gy tbb hlzat, tbb klnbz helyen hasznlhatja ugyanazt a magnhlzati cmzst cmtkzs nlkl. A magnhlzati cmtartomny hasznlatval cskkent a szervezetek szmra kijellt egyedi IP-cmek szma. Egyetlen A osztly cm, a 10.0.0.0 van magnclokra fenntartva. Ezenkvl, a B s a C osztlyokban is kijelltek erre a clra fenntartott cmtartomnyokat. A legtbb mai hlzat a magnhlzati cmzsi mdot hasznlja. A legtbb, kereskedelemben kaphat hlzati eszkz alapbelltsknt magnhlzati cmeket oszt ki a DHCP-n keresztl. Csupn az internethez kzvetlenl kapcsold eszkzkhz van regisztrlt, az interneten forgalomirnythatsra alkalmas cm hozzrendelve.
54
zenetszrsos az egyik f tpus. Az zenetszrsi csomagokat minden llomshoz elkldjk az adott logikai hlzaton bell. Ha tbb ezer lloms bonyolt zenetszrsos forgalmat egy hlzaton, s a hlzat svszlessge korltozott, a hlzat teljestmnye tovbbi llomsok hozzadsakor jelentsen cskken. Az internet fejldsben vezet szerepet betlt szervezetek a problmt gy oldottk meg, hogy hlzataikat kisebb minihlzatokra vagy alhlzatokra bontottk az gynevezett alhlzatokra val bonts (subnetting) felhasznlsval. Hogyan lehetsges egy adott IP hlzatot tbb hlzatra osztani gy, hogy ezek az alhlzatok mind nllknt viselkedjenek? Az RFC 917, az internet-alhlzatok szabvnya az alhlzati maszkot egy olyan eljrsknt definilja, amelyet a forgalomirnytk arra hasznlnak, hogy a teljes IP-cmbl meghatrozzk a hlzatazonositsra szolgl cmrszt. Amikor a forgalomirnyt egy csomagot fogad, a benne lev cl IP-cmet s a forgalomirnyt tbljban lev tvonalakkal trstott alhlzati maszkot hasznlja arra, hogy a csomag helyes tvonalt meghatrozza. A forgalomirnyt balrl-jobbra, bitrl-bitre kiolvassa az alhlzati maszkot. Ha egy bit rtke az alhlzati maszkban 1-re van lltva, akkor az azt jelzi, hogy a hozztartoz pozciban tallhat rtk a hlzati azonost rsze. Az alhlzati maszk 0 rtke jelzi, hogy a krdses pozciban lev rtk az lloms azonostshoz tartozik.
55
Az eredeti IP-cm hierarchiban kt szint ltezik: a hlzat s az lloms szintje. Az osztlyalap rendszerben az els hrom kezdbit az IP-cm A, B, vagy C osztlyba tartozst hivatott jellni. Ha egy cmet mr osztlyba soroltunk, a hlzatot s az llomsokat azonost (lloms ID) bitek szma jl ismert. A hlzati osztlyokhoz tartoz alaprtelmezett maszkok a kvetkezk: A osztly 255.0.0.0 B osztly 255.255.0.0 C osztly 255.255.255.0 Egy adott osztlyba tartoz hlzat tovbb bontsa j szintet hoz ltre a hlzati hierarchiban. Hrom szinttel dolgozunk: egy hlzati, egy alhlzati s egy lloms szinttel. Hogyan kell az alhlzati maszkot belltani, hogy az jelezze a hierarchia j szintjt? Az egyes A, B, vagy C osztly hlzati cmtartomnyok sok alhlzatra bonthatk az lloms cmtartomnyt meghatroz biteknek az alhlzat azonostsra trtn felhasznlsval. Nzznk 56
egy pldt! Egy szervezet C osztly cmtartomnyt hasznl, kt irodja van kt klnbz pletben. A knnyebb menedzselhetsg rdekben a hlzati adminisztrtor mindegyik helysznt logikailag egy kln hlzatnak szeretn ltni. Ha az llomsok cmtartomnybl kt bitet felhasznlunk, az alhlzati maszk 24-rl 26 bitre nvekszik, vagyis 255.255.255.192 lesz. Ha az llomsokhoz tartoz cmrszbl vesznk klcsn biteket a hlzat azonostshoz, kevesebb bit marad szabadon az egyni llomsoknak. Ha az alhlzat ID kt bitet hasznl fel, akkor csak hat bit marad a cmbl az llomsok rszre. A hagyomnyos osztly alap alhlzatokra bontskor az egyazon osztlybl ltrehozott alhlzatok azonostsra szigoran azonos szm bitet hasznlunk. Ez a fajta alhlzatokra bonts ezrt mindig azonos mret, azonos szm llomst kezelni tud alhlzatot eredmnyez. Ezrt ezt a mdszert azonos mret alhlzatokra bontsnak nevezzk. Komoly tervezst ignyel eldnteni, hogy hny lloms bitet hasznljunk az alhlzat azonostsra. Kt dolgot kell figyelembe venni: a hlzatokon lev llomsok szmt, s hny darab klnll hlzatra van szksg. A 192.168.1.0 hlzat alhlzati lehetsgeit bemutat tblzatbl kiderl, hogyan befolysolja az alhlzati azonost bitek szmnak kivlasztsa mind a lehetsges alhlzatok szmt, mind pedig az azokban lv llomsok szmt. Egy dolgot azonban nem szabad elfelejteni: minden IPv4 hlzatban a csak nullbl, illetve a csupa egyesbl ll llomscm ms clra van fenntartva. Az a cm, amely az lloms rsznl csupa nullbl ll, rvnytelen llomscm, s rendszerint az egsz hlzatot vagy alhlzatot jelli. A z llomst jell rsznl a csupa egyesbl ll cm a helyi hlzat zenetszrsos cme. Ha egy hlzatot alhlzatra bontunk, minden alhlzat tartalmaz egy csak nullbl, illetve csak egyesekbl ll lloms cmet, amelyeket nem hasznlhatunk fel egyni llomsok cmeknt.
57
58
Az osztly alap alhlzatok ltrehozsakor az alhlzati azonostkhoz szksges bitek szma kt tnyeztl fgg: a ltrehozott alhlzatok szmtl s az alhlzatonknti llomsok szmtl. Az osztly alap, vagy rgztett hosszsg alhlzatok ltrehozsnl minden alhlzatnak egyforma mretnek kell lennie, azaz az llomsok szma, amelyet az alhlzatok tartalmazhatnak, ugyanakkora minden ltrehozott alhlzatnl. Minl tbb bitet hasznlunk fel az alhlzat cmhez, annl kevesebb marad az llomsok azonostsra. Ugyanazzal az alapvet kplettel: 2^n, egy kis mdosts utn meghatrozhatjuk a rendelkezsre ll llomsazonostk szmt a fennmarad llomsbitek alapjn. A kt, minden alhlzat ltal fenntartott lloms cm, a csupa 0 illetve a csupa 1 miatt, a tmogatott llomsok szma a kvetkez mdostott formulval szmthat ki: 2^n - 2. Miutn meghatroztuk, hogy hny bitbl ll az alhlzati cm, az alhlzati maszk rvn a hlzatba kapcsolt eszkzk rteslnek az alhlzatokra bontsrl. Az alhlzati maszkkal gy megadhat, hogy egy adott IP-cm melyik alhlzatban van, s ezltal egyszer, osztlyalap alhlzati IP-cmzsi smkat lehet kialaktani.
59
Az eredeti osztlyalap hlzati cmtartomnyok szmos problmjt megoldotta az alhlzatokra bonts. Lehetv tette az A, B vagy C-osztly cmtartomnnyal rendelkez szervezeteknek, hogy a cmtartomnyukat kisebb, helyi alhlzatokra osszk, s gy hatkonyabban gazdlkodjanak a cmekkel. Az alhlzatokra bonts azrt is fontos, mert segtsgvel a forgalom okozta terhelst cskkenteni lehet, s biztonsgi intzkedseket lehet a hlzatok kztt foganatostani. Az alhlzatokra bonts szksgessgnek tipikus pldja az az gyfl, aki kintte az internetszolgltatjtl kezdetben teleptett hlzatot. Ebben a hlzatban az eredeti kis, beptett vezetknlkli forgalomirnytt tlterheli a vezetkes s a vezetknlkli felhasznlk forgalma. Mivel viszonylag kis kiterjeds a hlzat, C osztly cmtartomnyt hasznlnak a cmek kiosztshoz. A tlterhelt hlzat problmjnak egy lehetsges megoldsa az, hogy egy msodik hlzati eszkzt lltunk be, pldul egy nagyobb integrlt szolgltats forgalomirnytt (ISR). Hlzati eszkz hozzadsakor bevlt taktika, hogy a biztonsg nvelse rdekben a vezetkes s a vezetknlkli felhasznlkat kln helyi alhlzatra teszik. Az eredeti vezetknlkli forgalomirnytval tovbbra is biztonsgosan kiszolglhatjuk a vezetknlkli felhasznlkat. Hubok vagy kapcsolk segtsgvel a vezetkes felhasznlk kzvetlenl csatlakoztathatk az j, msik hlzatot hasznl ISR-hez. Az ISR s a vezetknlkli forgalomirnyt ezutn kzvetlenl csatlakoztathat egy harmadik hlzathoz. Az j hlzati konfigurci megkvnja, hogy a meglev C osztly hlzatot legalbb hrom alhlzatra bontsuk. Az osztlyalap alhlzatokra val bontsnl legalbb kt bitet el kell vennnk az llomsok cmrszbl, hogy az ignyeket kielgthessk. Ez az alhlzati sma vgl ngy egyedi alhlzat ltrehozst fogja eredmnyezni, egyenknt 62 szabad lloms cmmel (64 lehetsgesbl leszmtva a csak nullbl ill. csak egyesbl ll cmeket).
60
Az RFC 1519-es szabvnyban javasoltk s el is fogadtk a VLSM mellett az osztlyok nlkli tartomnykzi forgalomirnytst (CIDR) is. A CIDR a magasabb helyirtk biteket alapul vve figyelmen kvl hagyja a hlzati osztlyokat. A CIDR egyedl a hlzati eltag bitjeinek szma alapjn azonostja a hlzatokat, ez a szm az egyesek szmnak felel meg az alhlzati maszkban. Egy IP-cm CIDR trsa pldul gy nz ki: 172.16.1.1/16 ahol a /16 a hlzati eltagban lev bitek szmt jelenti. A CIDR protokollokat hasznl forgalomirnytk mr nem csak az IP-cmek legmagasabb helyirtk bitjei alapjn kpesek a hlzati cmrszt meghatrozni. A korbbi korlt feloldsval az a knyszer is megsznt, hogy a regisztrlt IP-cmek kiosztsa kizrlag cmosztlyok szerint lehetsges. A CIDR hasznlata eltt egy internetszolgltatnak, ha 3000 llomscmre volt szksge, vagy egy teljes B osztly cmtartomnyt, vagy sok C osztly hlzati cmet kellett krvnyeznie az ignyek teljestshez. A B osztly cmtartomnnyal az internetszolgltat a regisztrlt cmek ezreit pocskoln el. Ha sok C osztly cmet krvnyez, bonyolult lesz az internetszolgltat hlzatot megtervezni gy, hogy egyetlen egy hlzat se ignyeljen 254-nl tbb llomscmet. A sok C osztlyt tartalmaz forgalomirnyt tblk nagyok lesznek s a hasznlatuk bonyolult. A hagyomnyos cmosztlyok figyelmen kvl hagysval a CIDR lehetv teszi az internetszolgltatnak, hogy a szksges llomsszmnak megfelel cmblokkokat ignyeljen. A mamuthlzatok, amelyek a C-osztly cmek nagy blokkokba kombinlsval jttek ltre, lehetv teszik a cmek hatkonyabb kiosztst. Pldul egy mamuthlzat (supernet) cme 192.168.0.0/19. Az IP-cm els 19 bitjt hasznlja hlzati eltagnak, ami 8190 lehetsges llomscmet tesz lehetv szmra. Az internetszolgltat hasznlhatja a mamuthlzatot mint egy nagy egszet, vagy annyi kisebb darabra bonthatja, ahnyra igny van. A mamuthlzat pldban a magnhlzati C-osztly 192.168.0.0 cmet hasznltuk. A valsgban a legtbb magncmzst hasznl hlzat alhlzatokra bontott A-, vagy B-osztly fenntartott cmeket hasznl. Annak ellenre, hogy az osztly-alap cmzs s a rgztett hosszsg alhlzati maszkols egyre kevsb szokvnyos, mgis fontos, hogy megrtsk e cmzsi eljrsok mkdst. Sok eszkz ma is alaprtelmezett hlzati maszkot hasznl, ha nincs alhlzat specifiklva.
61
Nhny esetben kt forgalomirnyt csatlakoztatsa is szksgess vlhat, pldul, amikor a Linksys eszkzt s az 1841-es ISR-t csatlakoztatjuk. Ez a konfigurci megkveteli, hogy az egymshoz csatlakoz forgalomirnytk interfszeihez rendelt IP-cmek az adott hlzatban vagy alhlzatban legyenek. A szokvnyos csatlakoztats kt forgalomirnytt mutat, a 192.168.1.16/29-es alhlzathoz csatlakoztatva, a 192.168.1.17/29-es s a192.168.1.18/29-es lloms IP-cmekkel.
62
A NAT f elnye, hogy mdot ad az IP-cmek tbbszrs felhasznlsra, s ezzel sok, helyi hlzati lloms kpes a globlis egyedi IP-cmek megosztott hasznlatra. A NAT tltsz mdon mkdik, elfedi s ezzel megvdi a magnhlzat felhasznlit a nyilvnos hlzatrl felli elrstl. Ezen tlmenen a NAT elrejti a privt IP-cmeket a nyilvnos hlzat ell. Ennek az az elnye, hogy a NAT egyfajta hozzfrsi listaknt mkdik, s nem engedi a kls felhasznlkat a bels eszkzkhz hozzfrni. A htrnya, hogy kln belltsok szksgesek az erre jogosult kls felhasznlk hozzfrsnek biztostshoz. Tovbbi htrny mg, hogy a NAT befolysolja azon alkalmazsok mkdst, amelyek IP-cmeket tartalmaz zenetekkel dolgoznak, mert ezeket a cmeket is le kell fordtani. Ez a fordts megnveli az forgalomirnyt terhelst, s visszafogja a hlzat teljestmnyt.
63
Bels helyi cm: a bels hlzat egy llomsn belltott magnhlzati cm, privt IP-cm. A cm csak gy kerlhet ki a helyi hlzati cmzsi struktrbl, ha eltte lefordtjuk. Bels globlis cm: a bels hlzat llomsnak cme a kls hlzatok fel. Ez a lefordtott cm. Kls helyi cm: a helyi hlzaton tartzkod adatcsomag clpontjnak cme. Ez a cm rendszerint ugyanaz, mint a kls globlis cm. Kls globlis cm: egy kls lloms nyilvnos IP-cme. A cm egy globlisan tovbbthat cmbl, vagy hlzati tartomnybl van szrmaztatva.
A NAT egyik elnye, hogy az egyni llomsok nem rhetk el kzvetlenl az internetrl. De mi a helyzet akkor, ha egy bels hlzati llomson olyan szolgltatsok futnak, amelyeknek az internetre csatlakoz s a helyi privt hlzatra kttt eszkzk szmra is elrheteknek kell lennik? Egy helyi lloms internet felli elrhetv ttelnek egyik mdja, hogy az eszkz szmra egy lland cm fordtst rjuk el. A rgztett cmre fordts biztostja, hogy az egyni lloms privt IPcme mindig ugyanarra a regisztrlt globlis IP-cmre lesz lefordtva. Ezt a regisztrlt cmet ms lloms garantltan nem hasznlja. Az lland NAT lehetv teszi, hogy a nyilvnos hlzaton lev llomsok egy magnhlzaton lev kivlasztott llomsokhoz csatlakozzanak. Ha teht egy bels hlzaton lev eszkznek kvlrl is elrhetnek kell lennie, akkor sztatikus NAT-ot hasznljunk. Szksg esetn a sztatikus s a dinamikus NAT egyidejleg is hasznlhat.
64
Mivel minden cmfordts egyedi a helyi cmre s helyi portra vonatkozan, minden kapcsolat, amely j forrsportot generl, kln fordtst ignyel. Pldul, a 10.1.1.1:1025 egy klnbz fordts a 10.1.1.1:1026-tl.
65
A fordts csak a kapcsolat idejig ll fenn, gy egy adott felhasznl nem tartja meg magnak ugyanazt a globl IP-cm s portszm kombincit a kapcsolat befejezse utn. A kls felhasznl nem tud megbzhatan kapcsolatot ltesteni egy olyan llomssal a hlzaton, amelyik PAT-ot hasznl. Nem csak lehetetlen megjsolni az lloms helyi vagy globlis portszmt, hanem egy tjr csak akkor vgez cmfordtst, ha a bels lloms kezdemnyezi a kommunikcit.
66
67
tjrkat s forgalomirnyt megoldsokat ignyelnek, az eszkzk hlzati cmfordts-belltsai is sokkal bonyolultabbak vlnak. A hlzatok alhlzatokra bontsa, a magnhlzati IP-cmzs s a hlzati cmfordts kifejlesztse tmeneti megoldst jelent az IP-cmek fogysra. Ezek az eljrsok hasznossguk ellenre sem hoznak ltre tbb IP-cmet. A cmek elfogysra vlaszul az RFC 2460 szabvny az IPv6-ot javasolta 1998-ban. Habr az elsdleges cl a problma megoldsa volt, amit az IPv4 IP-cmeinek elfogysa jelentett, ms fontos okai is voltak a kifejlesztsnek. Azta hogy az IPv4-et elszr szabvnyostottk, az internet jelentsen megnvekedett. Ezltal lthatv vltak az IPv4 elnyei s htrnyai, s gy az j kpessgekkel br utdra val ttrs lehetsge is. Rviden az IPv6 legfontosabb fejlesztsi tervei: tbb cmtartomny jobb cmtartomny kezels knnyebb TCP/IP adminisztrci korszerstett forgalomirnytsi lehetsgek a csoportos adatszrs, mobilits s biztonsg jobb tmogatsa.
Az IPv6 fejlesztse arra irnyul, hogy mindezeket a problmkat s elvrsokat a lehet legjobban figyelembe vegye.
Az IPv6-nl az IP-cmek 128 bitesek, a lehetsges cmtartomny 2^128. Tzes szmrendszerben jellve, ez megkzeltleg egy hrmas, amit 38 darab nulla kvet. Ha az IPv4 cmtartomnyt egy kis veggolynak tekintjk, akkor az IPv6 cmtartomnya krlbell egy Szaturnusz nagysg bolyg terjedelmnek felel meg. Mivel a 128-bites szmokkal dolgozni bonyolult, az IPv6-cm szmjegyei a 128 bitet 32 darab tizenhatos szmrendszerbeli szmjeggyel brzoljk, amelyeket 8 darab, 4 hexadecimlis
68
szmjegybl ll csoportra bontunk, kettspontot hasznlva az elvlasztshoz. Az IPv6-cmhierarchija hrom rszbl ll. Az els hrom blokk a globlis eltag, amely az internetes nvadatbzisban lev szervezethez tartozik. Az alhlzat- s a csatlakozs-azonost felett a hlzati adminisztrtor rendelkezik. Egy darabig el fog tartani, amg a rendszergazdk tllnak az j IPv6 cmstruktrra. Addig is, amg az IPv6 szles krben elterjed, a rendszergazdknak szksgk van az IPv4 privt cmtartomnyok hatkonyabb felhasznlst clz mdszerekre.
69
70
71
Kzepes s nagymret zleti krnyezetek s vllalati kirendeltsgek, fikirodk szmra fejlesztettk LAN s WAN interfszeket tmogat modulris bvtaljzattal rendelkezik Legfeljebb 2 db. 10/100 Mb/s sebessg forgalomirnyt portot tmogat Legfeljebb 112 db. 10/100 Mb/s sebessg kapcsolportot tmogat 240 db. Cisco IP telefonos felhasznlt tmogat Adat, biztonsgi, hang s video alap, valamint vezetk nlkli szolgltatsok kombincijt nyjtja Szles sv szolgltatsokat DSL, kbeles s T1/E1 kapcsolatok esetn biztost
Cisco 1800-as sorozat ISR Kis s kzepes zleti krnyezetek s kisebb vllalati kirendeltsgek, fikirodk szmra fejlesztettk LAN s WAN interfszeket tmogat modulris bvtaljzattal rendelkezik Legfeljebb 8 db. 10/100 Mb/s sebessg forgalomirnyt portot tmogat 8 db. 10/100 Mb/s sebessg kapcsolportot tmogat Adat, biztonsgi s vezetk nlkli szolgltatsok kombincijt nyjtja Szles sv szolgltatsokat, DSL, kbeles s T1/E1 kapcsolatok esetn biztost
Cisco 2800-as sorozat ISR Kis s kzepes zleti krnyezetek s kisebb vllalati kirendeltsgek, fikirodk szmra fejlesztettk LAN s WAN interfszeket tmogat modulris bvtaljzattal rendelkezik Legfeljebb 2 db. 10/100 Mb/s sebessg forgalomirnyt portot tmogat Legfeljebb 64 db. 10/100 Mb/s sebessg kapcsolportot tmogat 96 db. Cisco IP telefonos felhasznlt tmogat Adat, biztonsgi s vezetk nlkli szolgltatsok kombincijt nyjtja Szles sv szolgltatsokat, DSL, kbeles s T1/E1 kapcsolatok esetn biztost
Ellnzet: Az 1841-es kszlk kis s kzepes vllalkozsok, valamint nagy cgek kis fikirodi szmra kifejlesztett, viszonylag olcs ISR. Az adattviteli s biztonsgi szolgltatsokon fell, megfelel modul teleptse esetn vezetknlkli szolgltatsra is kpes.
72
Jelzi hogy a tpfeszltsg megvan, s a bels tpegysg mkdik. Bekapcsolt llapotban a LED folyamatos zld fny. Rendszer aktivitst jelz LED (SYS ACT) A LED villogsa azt jelzi hogy a rendszer ppen adatcsomagokat tovbbt.
Htulnzet: A 1841 ISR modulokat hasznl, ami klnbz portkonfigurcik kialaktst teszi lehetv. Modulris csatlakozhely 1 db nagysebessg WAN interfsz krtyval (HWIC): A modulris csatlakoz helyekre klnbz tpusu interfszkrtykat lehet illeszteni. Az itt lthat HWIC soros csatlakozst biztost nagytvolsg hlzatokhoz. Compact Flash modul: Ez a cserlhet modul tartalmazza a Cisco IOS-t s az egyb szksges szoftvereket az ISR szmra. Egyszer USB port : Az USB flash hasznlata lehetv teszi az opercisrendszer kpfjlainak s konfigurciinak a trolst, valamint az USB flash memribl trtn kzvetlen rendszerbetltst. Fast Ethernet portok: Ezek a portok 10/100 Mbit/sec-os kapcsolatot biztostanak a helyi hlzatok irnyba. Konzolport: Ezen a porton keresztl az ISR belltsra hasznlt llomst lehet kzvetlenl csatlakoztatni. Kiegszt (AUX) port: Ezt a portot az ISR belltsra hasznlt modemes kapcsolathoz hasznljk. Modulris csatlakoz 4 portos ethernet kapcsolval: A modulris csatlakoz aljzatok klnbz tpus interfszek hasznlatt teszik lehetv. Az itt lthat 4 portos etehernet krtya LAN kapcsolatot biztost tbb eszkz szmra.
73
A Cisco Internetwork Operating System (IOS) szoftver funkcii lehetv teszik a Cisco eszkzk szmra a vezetkes vagy vezetk nlkli hlzatokon keresztl trtn hlzati forgalom bonyoltst (klds s fogads). A Cisco IOS szoftver rendszerkdnak (image) nevezett modulokban kaphat. Ezek a rendszerkdok szmos funkcit biztostanak a klnbz mret vllalatok szmra. A belp szint Cisco IOS rendszerkdot IP Base-nek (IP Alap) nevezik. A Cisco IOS IP Base szoftver a kis- s kzpvllalkozsok szmra kszlt, s biztostja a hlzatok kztti forgalomirnytst. A tbbi Cisco IOS rendszerkd az IP Base szolgltatsait bvti. Az Advanced Security (Fejlett Biztonsg) rendszerkd fejlett biztonsgi funkcikat biztost magnhlzatok s tzfalak kialaktshoz. A Cisco IOS rendszerkd szmtalan tpusban s verziban elrhet. Az egyes rendszerkdokat a forgalomirnytk, kapcsolk s ISR-ek konkrt modelljeihez terveztk s optimalizltk. A kszlk konfigurlsnak megkezdse eltt fontos tudni, hogy milyen rendszerkd, illetve annak melyik verzija tltdik be.
74
A Cisco 1841 ISR bezemelshez szksges minden specilis szerszm s felszerels ltalban megtallhat az internetszolgltatk s a hlzati szakemberek mhelyben. Az eszkz modelljtl s a megrendelt opcionlis tartozkoktl fggen szksg lehet egyb felszerelsre is. Az j eszkz bezemelshez rendszerint az albbi szerszmokra van szksg: terminlemulcis programmal (pl.: HyperTerminal) rendelkez PC kbelktegelk s 2-es (mret) csillagfej csavarhz klnbz interfszekhez (WAN, LAN, USB, stb.) tartoz kbelek
A WAN s a szlessv kommunikcis szolgltatsok elrshez tovbbi felszerelsre s eszkzkre (pl. modemre) is szksg lehet. Attl fggen, hogy rendelkezsre ll-e integrlt kapcsolmodul s hogy hny eszkzt kell csatlakoztatni, elkpzelhet, hogy egy vagy tbb Ethernet kapcsolt is be kell mg szerezni.
75
Mindig olvassuk el a kezelsi tmutatt s a tbbi dokumentcit, mieltt brmilyen berendezs bezemelshez hozzkezdennk! A dokumentci fontos biztonsgi s vgrehajtsi informcikat tartalmaz, amelyek segtsgvel elkerlhet, hogy az eszkz meghibsodjon. Az 1841 tpus ISR zembehelyezshez kvessk az albbi lpseket! 1. Rgztsk s fldeljk az eszkzt megfelelen! 2. Helyezzk be a kls Compact Flash krtyt! 3. Csatlakoztassuk a tpkbelt! 4. lltsuk be a PC-re teleptett terminlemulcis programot, majd csatlakoztassuk a PC-t a konzolporthoz! 5. Kapcsoljuk be a forgalomirnytt! 6. Ellenrizzk a forgalomirnyt elindulsakor a PC-n megjelen indtsi zeneteket!
76
77
78
megadott egyb helyen. A Cisco IOS szoftver alaprtelmezs szerint a flash memribl tltdik be. Egyb helyrl trtn betltse esetn a konfigurcis belltsok megvltoztatsa szksges. 3. Az indtsi konfigurcit tartalmaz llomny megkeresse s betltse, vagy belltsi mdba vlts. A Cisco IOS szoftver betltse utn a rendszerindt program az NVRAM-ban keresi az indt konfigurcis fjlt. Ez a fjl tartalmazza az elzleg elmentett belltsi parancsokat s paramtereket, belertve az interfszek cmeit, a forgalomirnytsi informcikat, jelszavakat s egyb konfigurcis paramtereket. Ha a konfigurcis fjl nem rhet el, a forgalomirnyt belltsi (setup) mdba lp, ahol a felhasznlnak meg kell adnia az alapkonfigurcit. Ha az indt konfigurcis fjl elrhet, akkor tartalma a RAM-ba msoldik, s a kpernyn megjelenik egy, az llomsnevet tartalmaz prompt. A prompt jelzi, hogy a Cisco IOS szoftver s a konfigurcis fjl betltse a forgalomirnytn sikeres volt.
Az adatveszts elkerlse rdekben fontos tisztban lenni az indt konfigurcis fjl s az aktv konfigurcis fjl kztti klnbsggel. Az indt konfigurcis fjl Az indt konfigurcis fjl olyan elmentett, konfigurcis llomny, amely az eszkz minden egyes indtsakor belltja az adott eszkz tulajdonsgait. A fjl trolsa a nemfelejt RAM-ban (NVRAM) trtnik, ami azt jelenti, hogy az eszkz kikapcsolsa utn is megrzi tartalmt. A Cisco forgalomirnytk az els bekapcsolsnl a Cisco IOS kdjt a munkamemriba, azaz a RAMba tltik be. Ezt kveten az indt konfigurcis fjl tartalma az NVRAM-bl a RAM-ba msoldik. Amikor az indt konfigurcis fjl tartalma a RAM-ba tltdik, az lesz a kezdeti aktv konfigurci. Az aktv konfigurcis fjl Az aktv konfigurci kifejezs az eszkz memrijban (RAM) jelenleg fut konfigurcira utal. A fjlban lv parancsok hatrozzk meg az eszkz hlzati mkdst.
79
Az aktulis konfigurcis fjl trolsa az eszkz munkamemrijban trtnik. A munkamemriban lv fjl lehetv teszi a konfigurcis belltsok s szmos eszkzparamter megvltoztatst. Ugyanakkor lnyeges, hogy az aktv konfigurci minden egyes lelltsnl elveszik, amg nincs elmentve az indt konfigurcis fjlba. Az aktv konfigurci vltozsai automatikusan nem kerlnek t az indt konfigurcis fjlba, a mentst manulisan kell elvgezni. Amennyiben az eszkz belltshoz a Cisco parancssoros fellett (CLI) hasznljuk, a copy runningconfig startup-config vagy rvid alakban a copy run start parancs kiadsval az aktulis konfigurci az indt konfigurcis fjlba menthet. Ha az eszkz belltshoz a Cisco SDM grafikus fellett hasznljuk, minden vgrehajtott parancs utn lehetsg van a forgalomirnyt aktulis konfigurcijnak az indt konfigurcis fjlba trtn mentsre. Az indtsi konfigurcit tartalmaz fjl sikeres betltse s a forgalomirnyt sikeres elindulsa utn a show version parancs hasznlhat az indtsnl szerepet jtsz hardver- s szoftverkomponensek ellenrzsre s az esetleges hibk megkeressre. A show version parancs kimenete az albbiakat jelenti meg: A hasznlatban lv Cisco IOS verzija. A ROM-ban trolt, a forgalomirnyt els indtshoz hasznlt rendszerindt program verzija. A Cisco IOS szoftver teljes fjlneve s az, hogy a rendszerindt program hol tallta meg. A forgalomirnyt ltal hasznlt CPU tpusa s RAM mennyisge. A Cisco IOS szoftver frisstsekor szksg lehet a RAM bvtsre. A forgalomirnyt fizikai interfszeinek szma s tpusa. Az NVRAM mennyisge. Az NVRAM az indt konfigurcis fjlt trolja. A rendelkezsre ll flash memria mennyisge. A flash memria vgzi a Cisco IOS szoftver folyamatos trolst. A Cisco IOS szoftver frisstsekor szksg lehet a flash memria bvtsre. A konfigurcis regiszter jelenlegi, hexadecimlis formban megadott rtke.
A konfigurcis regiszter adja meg az indtsi folyamat mdjt a forgalomirnyt szmra. A gyri bellts szerinti rtke 0x2102, amely azt jelzi, hogy a forgalomirnyt a Cisco IOS szoftvert a flashbl, az indt konfigurcis fjlt pedig az NVRAM-bl tlti be. A konfigurcis regiszter rtke megvltoztathat, ezltal az indtsi folyamat sorn a forgalomirnyt mshol fogja keresni a Cisco IOS kdot, valamint az indt konfigurcis fjlt. Amennyiben megjelenik egy msodik rtk zrjelben, az a forgalomirnyt kvetkez jraindtsnl hasznlt konfigurcis regiszter rtket mutatja.
80
A konfigurcis regiszter kzli a forgalomirnyt szmra az indtsi folyamat mdjt. Tbbfle lehetsges konfigurcis regiszter bellts ltezik. A leggyakoribbak az albbiak: 0x2102 - A Cisco forgalomirnytk gyri alaprtelmezett belltsa (az IOS rendszerkd betltse a flash memribl, az indt konfigurcis fjl betltse az NVRAM-bl) 0x2142 - A forgalomirnyt figyelmen kvl hagyja a nemfelejt RAM (NVRAM) tartalmt 0x2120 - A forgalomirnyt ROMmon mdban indul
Elfordulhat, hogy a forgalomirnyt nem indul el. Ennek oka lehet tbbek kztt a srlt vagy hinyz Cisco IOS fjl vagy annak a konfigurcis regiszterben rosszul megadott helye, esetleg az j Cisco IOS rendszerkd betltshez nem elegend memria. Ha a forgalomirnyt nem tudja betlteni a Cisco IOS-t, akkor ROM monitor (ROMmon) mdban indul el. A ROMmon szoftver a csak olvashat memriban (ROM) trolt egyszer parancskszlet, amely az indtsi hibk elhrtshoz vagy hinyz IOS esetn a forgalomirnyt helyrelltshoz hasznlhat. Amennyiben a forgalomirnyt ROMmon mdban indul el, a hibaelhrts egyik els lpseknt keressnk egy rvnyes IOS rendszerkdot a flash memriban a dir flash: parancs kiadsval. Ha tallunk rvnyes rendszerkdot, akkor prbljuk betlteni a boot flash: parancs kiadsval. rommon 1>boot flash:c2600-is-mz.121-5 Ha a parancs kiadsa utn a forgalomirnyt megfelelen elindul, akkor kt ok lehetsges, amirt elsre nem tlttte be a Cisco IOS rendszerkdot a flash-bl. Els lpsknt a show version paranccsal ellenrizzk, hogy a konfigurcis regiszter rtke az alaprtelmezett rendszerindtsi sorrendet rja-e el. Amennyiben a konfigurcis regiszter rtke helyes, a show startup-config parancs segtsgvel nzzk meg, hogy az indtsi konfigurcit tartalmaz fjlban szerepel-e a bootsystem parancs, amely arra utastja a forgalomirnytt, hogy ms helyen keresse a Cisco IOS szoftvert.
81
A Cisco IOS parancssoros fellete (CLI) egy karakteres segdprogram, amely lehetv teszi olyan Cisco IOS parancsok bevitelt s vgrehajtst, amelyekkel figyelemmel ksrhet s karbantarthat a Cisco eszkzk mkdse. A Cisco CLI svon-belli s svon-kvli feladatok vgrehajtshoz egyarnt hasznlhat.
82
Az eszkzk konfigurcijnak megvltoztatshoz s a forgalomirnytn fut folyamatok jelenlegi llapotnak megjelentshez hasznljuk a CLI parancsait! Akr egyszer, akr sszetett konfigurcirl van sz, a tapasztalt felhasznlk szmra szmos idtakarkos megoldst knl a CLI. A Cisco hlzati eszkzk szinte mindegyike hasonl CLI-t hasznl. Miutn a forgalomirnyt elindult s a Router> parancssor megjelenik, a CLI kszen ll a Cisco IOS parancsok fogadsra. A parancsokat s a CLI mkdst jl ismer szakember szmra knny a klnfle hlzati eszkzk belltsa, s mkdsk nyomon kvetse. A CLI rszletes sgja segt a felhasznlknak ebben a munkban. A Cisco IOS parancssoros felletn kvl ms eszkzk is segtenek a Cisco forgalomirnytk s ISR-ek konfigurlsban. A Security Device Manager (SDM, biztonsgi eszkzkezel) egy web-alap grafikus felgyeleti eszkz. A CLI-vel ellenttben az SDM kizrlag svon-belli felgyeleti feladatokra hasznlhat. Az SDM Express leegyszersti a forgalomirnyt els belltst, mivel gyors s knnyen hasznlhat formban, lpsrl lpsre vgigvezet az alapvet konfigurci megadsnak menetn. A teljes SDM csomag mg fejlettebb lehetsgeket knl: tovbbi LAN s WAN kapcsolatok belltsa tzfalak ltrehozsa VPN kapcsolatok belltsa biztonsgi feladatok vgrehajtsa
Az SDM a Cisco IOS szoftverkiadsok szles skljt tmogatja, s ingyenesen elrhet szmos Cisco forgalomirnytn. Az SDM elteleptve megtallhat pldul a Cisco 1800-as sorozat ISR flash memrijban. Amennyiben az SDM teleptve van a forgalomirnytn, akkor rdemes azt hasznlni a forgalomirnyt els belltshoz. A konfigurci ilyen esetben a forgalomirnyt egyik elre belltott hlzati portjn keresztl trtnik.
83
Nem minden Cisco eszkz tmogatja az SDM-et, s az SDM sem tmogatja a parancssoros felleten elrhet sszes parancsot. Ebbl kifolylag elfordulhat, hogy az SDM hasznlatval megkezdett eszkzbelltst a CLI segtsgvel kell befejezni. A Cisco eszkzk sikeres tmogatshoz elengedhetetlen mindkt fenti mdszer ismerete.
84
A Cisco SDM Express a "Cisco Router and Security Device Manager" csomag rszt kpezi, amely megknnyti a forgalomirnyt alapkonfigurcijnak kialaktst. Az SDM Express hasznlatnak megkezdshez a PC hlzati csatoljt kbellel kssk ssze a belltand forgalomirnyt vagy ISR kezelsi tmutatjban megadott Ethernet portjval! Az SDM Express nyolc konfigurcis kpernyn vezeti vgig a felhasznlt a forgalomirnyt alapkonfigurcijnak kialaktshoz. Overview (ttekints) Basic Configuration (Alapbelltsok) LAN IP Address (LAN IP-cm) DHCP Internet (WAN) Firewall (Tzfal) Security Settings (Biztonsgi belltsok) Summary (sszefoglals)
Az SDM Express grafikus fellete lpsrl lpsre vezet vgig bennnket a forgalomirnyt kezdeti konfigurcijnak kialaktsa sorn. Miutn a kezdeti konfigurci elkszlt, a forgalomirnyt elrhetv vlik a LAN hlzaton. A forgalomirnyt ezen kvl rendelkezhet WAN kapcsolattal, tzfallal, s kzel 30 belltst knl a hlzati biztonsg fokozshoz.
85
A LAN konfigurcis belltsok lehetv teszik, hogy a forgalomirnyt interfsze rszt vegyen a csatlakoztatott helyi hlzatban. IP address (IP-cm) - A LAN interfsz pontokkal tagolt, decimlis szmjegyekkel megadott IPcme. Ez lehet privt IP-cm is, amennyiben az eszkz hlzati cmfordtst (NAT) vagy portcmfordtst (PAT) alkalmaz hlzaton van teleptve.
Fontos, hogy lejegyezzk ezt a cmet! Amikor a forgalomirnyt jraindul, az SDM Express ezen a cmen, nem pedig a kezelsi sszefoglalban megadott cmen rhet el. Subnet mask (alhlzati maszk) - Az IP-cm hlzati rszt azonost alhlzati maszk. Subnet bits (alhlzati bitek) - Az IP-cm hlzati rszt meghatroz bitek szma. Az alhlzati maszk helyett hasznlhat. Wireless parameters (vezetknlkli paramterek) - Opcionlis vezetk nlkli paramterek. Akkor jelenik meg, ha a forgalomirnyt rendelkezik vezetk nlkli interfsszel, s a "Yes" gombra kattintottunk a "Wireless Interface Configuration" ablakban. Megadja a vezetknlkli hlzat SSID-jt.
A DHCP az IP-cmek llomsokhoz s eszkzkhz rendelsnek egyszer mdja. A DHCP egy lloms bekapcsolsakor dinamikusan kioszt egy IP-cmet, majd az lloms kikapcsolsakor visszaveszi azt. Ily mdon a mr nem hasznlt IP-cmek jbl kioszthatk. Az SDM Express hasznlatval a forgalomirnyt bellthat DHCP-kiszolglknt, amely cmeket rendel a bels helyi hlzat egyes eszkzeihez (pl. a PC-khez). Egy eszkz DHCP-kiszolglknt trtn belltshoz jelljk be az Enable DHCP Server on the LAN Interface jellngyzetet! Ez a bellts lehetv teszi, hogy a forgalomirnyt privt IP-cmeket rendeljen a LAN eszkzkhz. Az IP-cmek lejrati ideje egy nap. A DHCP a megengedett IP-cmek egy tartomnyt hasznlja. Az rvnyes cmtartomny alaprtelmezs szerint a LAN interfsz esetben megadott IP-cmen s alhlzati maszkon alapul. A kezdcm az IP-cmtartomny legalacsonyabb cme. A kezd IP-cm megvltoztathat, de ugyanabba a hlzatba vagy alhlzatba kell esnie, mint a LAN interfsz cmnek.
86
A legmagasabb IP-cm megvltoztatsval cskkenthet a cmtartomny mrete, de ugyanabba a hlzatba vagy alhlzatba kell esnie, mint a LAN interfsz cmnek.
A DHCP konfigurci tovbbi paramterei: Domain name for the organization (a szervezet tartomnyneve) - Ezt a nevet kapjk az llomsok a DHCP konfigurci rszeknt. Primary domain name server (elsdleges tartomnynv-kiszolgl) - Az URL-ek s hlzati nevek feloldshoz hasznlt elsdleges tartomnynv-kiszolgl IP-cme. Secondary domain name server (msodlagos tartomnynv-kiszolgl) - A msodlagos DNSkiszolgl IP-cme, amennyiben elrhet. Abban az esetben hasznlhat, ha az elsdleges DNS-kiszolgl nem vlaszol.
A Use these DNS values for DHCP clients lehetsg kivlasztsval a DHCP-kiszolgl a DHCPgyfelekhez rendelheti a megadott DNS belltsokat. Ez a lehetsg akkor rhet el, ha a DHCPkiszolgl engedlyezve van a LAN interfszen.
87
88
A WAN konfigurcis ablak tovbbi WAN paramterek megadst teszi lehetv. Az "Address Type" (cmtpusok) listja A kivlasztott begyazstl fggen a soros interfszen az IP-cmek krsnek klnbz mdjai rhetk el. Static IP address (statikus IP-cm) - Frame Relay, PPP s HDLC begyazsokhoz egyarnt hasznlhat. A statikus IP-cm belltshoz az IP-cm s az alhlzati maszk megadsa szksges. IP unnumbered (szmozatlan IP) - a soros interfsz cmt a forgalomirnyt egy msik, mkd interfsznek cmre lltja be. Frame Relay, PPP s HDLC begyazsokhoz egyarnt hasznlhat. Egyeztetett IP - Az IP-cmet a forgalomirnyt automatikusan, a PPP-n keresztl kapja. Easy IP (IP negotiated) (Egyeztetett IP) - Az IP-cmet a forgalomirnyt automatikusan, a PPP-n keresztl kapja.
Az SDM az SDM Express szmos funkcijt tmogatja, ugyanakkor sokkal sszetettebb konfigurcis lehetsgeket is knl. Ennek ksznheten, szmos felhasznl a forgalomirnyt alapkonfigurcijt az SDM Express segtsgvel adja meg, majd ksbb, pldul a NAT engedlyezshez, tvlt az SDM-re.
A "Basic NAT Wizard" (alapszint NAT varzsl) alaprtelmezs szerint a dinamikus NAT-ot s PAT-ot lltja be. A PAT lehetv teszi a bels helyi hlzat llomsai szmra, hogy a WAN-interfszhez
89
trstott egyetlen IP-cmen osztozzanak, ily mdon a bels privt cmmel rendelkez llomsok is elrhetik az internetet. Kizrlag az SDM konfigurcijban megadott bels cmtartomnybl szrmaz gyfelek cmeinek fordtsa trtnik meg. Fontos annak ellenrzse, hogy az internetelrst ignyl sszes cmtartomny szerepeljen itt! A NAT belltsnak lpsei: 1. lps: A NAT belltsnak engedlyezse az SDM hasznlatval 2. lps: A "Basic NAT Wizard" lpseinek vgrehajtsa 3. lps: Az interfsz kivlasztsa s az IP-cmtartomnyok megadsa 4. lps: A konfigurci ellenrzse
90
91
A felhasznli EXEC mdban vgrehajthat parancsokkal informci krhet az eszkz mkdsrl, valamint hibaelhrts is vgezhet a show parancsok, a ping s a traceroute segdprogramok segtsgvel. Az eszkz mkdst megvltoztat parancsok kiadshoz privilegizlt szint hozzfrs szksges. A privilegizlt EXEC md engedlyezse az enable parancsnak a parancssorba trtn begpelsvel s az Enter letsvel trtnik. A parancssor kszenlti jele a mdvltst kveten megvltozik. A privilegizlt EXEC md promptja: Router# A privilegizlt EXEC mdbl val kilpshez s a felhasznli EXEC mdba val visszatrshez adjuk ki a disable vagy az exit parancsot! Mindkt md jelszval, vagy felhasznli nv s jelsz prosval vdhet.
Egy eszkz belltshoz szmos konfigurcis md ll rendelkezsre. A Cisco IOS eszkzk belltsa a privilegizlt EXEC mdba trtn belpssel kezddik. Az egyb konfigurcis mdok innen rhetk el. A legtbb esetben a terminlkapcsolaton keresztl kiadott parancsok az aktulis konfigurcis fjl tartalmt mdostjk. Ezen parancsok kiadshoz a felhasznlnak be kell lpnie a globlis konfigurcis mdba. A globlis konfigurcis mdba trtn belpshez gpeljk be a configure terminal vagy a conf t parancsot! A parancssor promptja a mdvltst kveten megvltozik: Router(config)# Az ebben a mdban kiadott parancsok hatsa azonnal rvnyre jut, s megvltoztatja az eszkz mkdst. Az adminisztrtor a globlis konfigurcis mdbl klnbz alzemmdokba lphet.
92
A LAN- s WAN-interfszek belltshoz az interfszkonfigurcis md hasznlhat. Az interfszkonfigurcis mdba trtn belpshez gpeljk be az interface [tpus] [szm] parancsot! A parancssor promptja a mdvltst kveten megvltozik: Router(config-if)# Szintn gyakran hasznlt alzemmd a forgalomirnyt-konfigurcis zemmd, amely a parancssorban gy ltszik: Router(config-router)# Ez a md a forgalomirnytsi paramterek belltshoz hasznlhat.
A krnyezetrzkeny sg klnsen hasznos az eszkzk belltsa sorn. A parancssorba gpelt help vagy ? megjelenti a sg rvid lerst.
Router# help
93
A krnyezetrzkeny sg javaslatokat tehet egy parancs kiegsztsre. Ha csak a parancs els nhny karakterre emlksznk, de a teljes alakot nem ismerjk, akkor rjuk be a parancs bevezet karaktereit, majd a vgre tegynk egy ? karaktert. gyeljnk arra, hogy a ? eltt ne legyen szkz!
Ahhoz, hogy egy konkrt parancs paramterlistjt megkapjuk, gpeljk be a parancs egy rszt, majd egy szkzt, ezt kveten pedig egy ? karaktert! Pldul a configure parancs begpelse utn tett szkz, majd ? megjelenti a lehetsges varicik listjt. A parancs kiegsztshez vlasszunk egyet a felknlt lehetsgek kzl! Amikor a parancs elrte a teljes alakjt, a <cr> jelenik meg. Ekkor az Enter lenyomsval adjuk ki a parancsot!
Amennyiben a ? begpelse utn nincs tallat, a sglista res marad Ez azt jelzi, hogy a rendszer nem ismer ilyen kezdet parancsot.
Elfordul, hogy a felhasznlk elgpelik a kiadni kvnt parancsot. A CLI jelzi, ha nem ismert vagy befejezetlen parancsot vittnk be. A % jel a hibazenet kezdett jelli. Ha az interface parancsot pldul paramterek nlkl adjuk ki, a parancs befejezetlensgre utal hibazenet jelenik meg: % Incomplete command Hasznljuk a ? karaktert, hogy megkapjuk az elrhet paramterek listjt! Ha hibs parancsot gpelnk be, az albbi hibazenet jelenik meg: % Invalid input detected Elfordul, hogy a rosszul begpelt parancsban nehezen talljuk meg a hibt. Szerencsre a CLI rendelkezik hibajelzvel. A beszrsi jel (^) a begpelt parancs els hibs vagy nem felismert
94
karakternl jelenik meg. A felhasznl gy visszatrhet a hiba helyhez, s a sg segtsgvel meghatrozhatja a helyes parancsot.
A Cisco IOS parancssoros felletnek msik funkcija az elzleg begpelt parancsok megjegyzse. A szolgltats klnsen a hossz s bonyolult parancsok elhvsnl hasznos. A parancselzmny funkci alaprtelmezs szerint engedlyezett, s a 10 elzleg kiadott parancsot a parancselzmny-pufferben trolja. A terminlkapcsolat eltrolt parancssorai szmnak megvltoztatshoz a terminal history size s a history size parancs hasznlhat. A maximlisan eltrolhat parancssorok szma 256. Ahhoz, hogy a legutbbi parancsot elhvjuk a parancselzmny-pufferbl, nyomjuk le a Ctrl-P billentykombincit vagy a felfel nyilat! A fenti folyamat ismtelgetsvel az egyre korbbi parancsok elhvsa lehetsges. Amennyiben a trolt legrgebbi parancsot akarjuk elhvni, nyomjuk le a Ctrl+N billentykombincit vagy a lefel nyilat! A fenti folyamat ismtelgetsvel az egyre ksbbi parancsok elhvsa lehetsges. A CLI felismeri a rszlegesen begpelt parancsokat az els egyedi karakter alapjn. Az "interface" helyett pldul gpeljk be az "int" rvidtst! Ezutn a Tab billenty lenyomsval a parancsrszlet automatikusan kiegszl a teljes "interface" parancsra. A legtbb szmtgpen megfelel funkcibillentyk segtsgvel a vglap kijellsi s msolsi funkcija is hasznlhat. Egy korbbi parancsot pldul vglapra lehet msolni, majd beilleszteni az ppen bert parancs sorba.
95
A hlzati szakemberek sokszor hasznljk a show parancsokat a konfigurcis fjlok megtekintshez, az eszkzk interfszeinek s folyamatainak llapotellenrzshez s az eszkz mkdkpessgnek vizsglathoz. A show parancsok attl fggetlenl hasznlhatk, hogy az eszkz konfigurlshoz a CLI-t vagy az SDM-et hasznltuk. A forgalomirnyt szinte minden folyamatnak s funkcijnak llapota megjelenthet valamelyik show parancs segtsgvel. A leggyakrabban hasznlt show parancsok kzl nhny: show running-config show interfaces show arp show ip route show protocols show version
5.3.4 Az alapkonfigurci
A Cisco IOS eszkzk kezdeti konfigurcijnak megadshoz hozztartozik az eszkznv s a klnfle funkcikhoz val hozzfrst szablyoz jelszavak belltsa. Els lpsben adjunk egyedi nevet az eszkznek, amely a globlis konfigurcis mdban az albbi parancs kiadsval lehetsges: Router(config)# hostname <nv>
96
Az Enter billenty lenyomst kveten a prompt az alaprtelmezs szerinti Router-rl az jonnan belltott llomsnvre vltozik. A kvetkez lpsben lltsunk be az illetktelen szemlyek hozzfrst megakadlyoz jelszavakat! Az enable password s az enable secret parancsokkal korltozhat a privilegizlt EXEC mdba trtn belps, gy az illetktelen felhasznlk nem vltoztathatjk meg a forgalomirnyt belltsait. Router(config)# enable password <password> Router(config)# enable secret <password> A fenti kt parancs kztti klnbsg az, hogy az enable password alaprtelmezs szerint nincs titkostva. Amennyiben az "enable password" paranccsal megadott jelszt az "enable secret" paranccsal megadott jelsz kveti, akkor az enable secret parancs fellrja az enable password parancsot.
A forgalomirnyt alapbelltsai kz tartozik mg a bejelentkezsi zenet belltsa, az egyidej naplzs engedlyezse s a tartomnynv-kiszolgl keressnek tiltsa is Bejelentkezsi zenetek A bejelentkezsi zenet olyan szveg, amelyet a felhasznl a forgalomirnytra trtn bejelentkezs kezdetn lt. Egy j biztonsgi tervnek ki kell terjednie a megfelel bejelentkezsi zenet meghatrozsra is. Az a legkevesebb, hogy a bejelentkezsi zenet figyelmeztessen arra, hogy az illetktelen hozzfrs nem megengedett. Soha ne lltsunk be illetktelen felhasznlt dvzl bejelentkezsi zenetet! A bejelentkezsi zeneteknek kt tpusa van: a nap zenete (MOTD, message-of-the-day) s a bejelentkezsi informcik. Azrt van szksg kt, egymstl fggetlen zenetre, hogy az egyik esetleges megvltoztatsa ne legyen hatssal az egsz bejelentkezsi zenetre. A bejelentkezsi zenetek belltshoz a banner motd s a banner login parancsok hasznlhatk. Mindkt tpusnl valamilyen elvlaszt karakter -- ilyen pldul a # -- szerepel az zenet elejn s vgn. Az elvlaszt karakter segtsgvel a felhasznl akr tbb soros zenetet is bellthat. Amennyiben mindkt bejelentkezsi zenet be van lltva, a bejelentkezsi informcik a nap zenett kveten jelennek meg.
97
A Cisco IOS szoftver gyakran kld kretlenl zeneteket a kpernyre, pldul egy konfigurlt interfsz llapotvltozsrl. Elfordul, hogy ezek az zenetek ppen gpels kzben jelennek meg. Habr az zenetnek nincs hatsa a parancsra, mgis megzavarhatja a felhasznlt gpels kzben. . A kretlenl rkez zenetek elvlaszthatk a begpelt adatoktl a globlis konfigurcis mdban kiadott logging synchronous paranccsal. A tartomny-kiszolgl keressnek tiltsa A privilegizlt (enable) mdban bevitt llomsnevek esetben a forgalomirnyt alaprtelmezs szerint azt felttelezi, hogy a felhasznl telnet segtsgvel prbl kapcsoldni az eszkzhz. A privilegizlt (enable) mdban begpelt llomsnevek esetben a forgalomirnyt alaprtelmezs szerint azt felttelezi, hogy a felhasznl telnet segtsgvel prbl kapcsoldni egy eszkzhz. A privilegizlt (enable) mdban bevitt ismeretlen neveket a DNS-kiszolglhoz irnytva prblja a forgalomirnyt feloldani. Ez vonatkozik a forgalomirnyt ltal fel nem ismert brmilyen bevitt szra, belertve az elgpelt parancsokat is. Amennyiben nincs szksgnk erre az alaprtelmezs szerint bekapcsolt funkcira, kikapcsolhatjuk a no ip domain-lookup parancs kiadsval.
Egy eszkzhz tbbfle mdon kapcsoldhatunk, ha konfigurcis feladatokat akarunk vgrehajtani. Ennek egyik mdja, ha a PC-t csatlakoztatjuk az eszkz konzolportjhoz. Ez a mdszer gyakran hasznlatos az eszkzk els belltsnl. A konzolkapcsolaton keresztl trtn hozzfrs a globlis konfigurcis mdban megadott jelszval korltozhat. Az albbi parancsok megakadlyozzk, hogy illetktelen felhasznlk a konzolport hasznlatval belphessenek a felhasznli mdba. Route(config)# line console 0 Router(config)# password <password> Router(config)# login Amennyiben az eszkz csatlakoztatva van a hlzathoz, a hlzati kapcsolaton keresztl is elrhet. Az eszkz hlzaton keresztl trtn elrse vty kapcsolatnak szmt, ezrt a jelszt a vty portra kell belltani.
98
5. Hlzati eszkzk konfigurlsa Route(config)# line vty 0 4 Router(config)# password <password> Router(config)# login
A 0 4 t egyidej svon-belli kapcsolatot jell. Minden kapcsolathoz kln jelsz llthat be a konkrt vonalkapcsolat szmnak megadsval (pl.: line vty 0). A jelszavak belltsnak helyessgt ellenrizhetjk a show running-config parancs segtsgvel. Ezeket a jelszavakat az aktv konfigurci trolja egyszer szveg formjban. Lehetsg van a forgalomirnytn trolt sszes jelsz titkostsra, hogy az illetktelenek ne tudjk knnyen kiolvasni azokat. A globlis konfigurcis mdban kiadott service password-encryption parancs garantlja, hogy az sszes jelsz titkostva legyen. Ne feledkezznk meg arrl, hogy a megvltozott aktv konfigurcit az indt konfigurcis fjlba msoljuk, msklnben az eszkz kikapcsolsakor elvesznek a vltoztatsaink. Az aktv konfigurci vltozsai az indt konfigurcis fjlba a copy run start paranccsal menthetk el.
99
elfogadhat formra, valamint a WAN fell rkez adatok talaktst a forgalomirnyt szmra elfogadhat formra. Alaprtelmezs szerint a Cisco forgalomirnytk adat-vgberendezsek (data terminal equipment, DTE). Mivel a DCE berendezsek vezrlik a forgalomirnytval trtn kommunikci idztst, a Cisco DTE berendezsek elfogadjk a DCE berendezstl rkez rajelet. Habr nem tl gyakori, lehetsg van kt forgalomirnyt soros kapcsolaton keresztl trtn, kzvetlen sszektsre. Ebben az esetben nincs szksg CSU/DSU egysg vagy modem hasznlatra; az egyik forgalomirnytt kell DCE berendezsknt konfigurlni, hogy biztostsa az rajelet. Amennyiben a forgalomirnyt DCE berendezsknt van csatlakoztatva, az interfszn be kell lltani a DCE/DTE kapcsolat idztst vezrl rajelet!
A forgalomirnyt interfszeinek belltsa a globlis konfigurcis mdbl lehetsges. Az Ethernet interfszek belltsa nagyban hasonlt a soros interfszek belltshoz. Az egyik f klnbsg, hogy a DCE berendezsknt mkd soros interfszen be kell lltani az rajelet. Az interfszek belltsnak lpsei 1. lps: Adjuk meg az interfsz tpust s portszmt! 2. lps: Adjuk meg az interfsz lerst! 3. lps: lltsuk be az interfsz IP-cmt s alhlzati maszkjt! 4. lps: DCE-knt mkd soros interfsz esetben lltsuk be az rajelet! 5. lps: Engedlyezzk az interfszt! Az interfsz engedlyezst kveten karbantarts vagy hibaelhrts miatt szksges lehet az interfsz lelltsa. Ebben az esetben hasznljuk a shutdown parancsot! Az 1841-es ISR soros interfsznek belltsa sorn az interfszt hrom szmjegy (C/S/P) azonostja, ahol a C a vezrl (controller) szmt, az S a bvthely (slot) szmt, a P pedig a port szmt jelli. Az 1841-es ISR kt modulris bvthellyel rendelkezik. A Serial0/0/0 jells arra utal, hogy a soros
100
interfsz a 0. vezrln, a 0. bvthelyen tallhat els (0.) port. A msodik interfszt a Serial0/0/1 jelli. A soros modul norml esetben a 0. bvthelyre kerl, de telepthet az 1. bvthelyre is. Ez utbbi esetben az els soros interfszt a Serial0/1/0, mg a msodikat a Serial 0/1/1 jelli. Az olyan beptett portokat, mint pldul a FastEthernet port, kt szmjegy (C/P) azonostja, ahol a C a vezrl szmt, a P pedig a port szmt jelli. Az Fa0/0 a 0. vezrlt s a 0. interfszt jelli.
A kzvetlenl csatlakoztatott soros kapcsolatoknl - ilyenek a laborgyakorlatok sszekttetsei is - valamelyik oldalt ki kell jellni DCE-nek; ez fogja biztostani az rajelet. Az rajel engedlyezse s rtknek megadsa a clock rate paranccsal trtnik. A rendelkezsre ll rajelek bit/msodpercben megadva a kvetkezek: 1200, 2400, 9600, 19200, 38400, 56000, 64000, 72000, 125000, 148000, 500000, 800000, 1000000, 1300000, 2000000 s 4000000. Nhny bitsebessg rtk nem hasznlhat bizonyos soros interfszek esetn. Ez az egyes interfszek kapacitstl fgg. Az brn bemutatott parancsokat kell hasznlni az rajel belltshoz s a soros interfsz engedlyezshez.
101
102
103
104
Elfordulhat, hogy a bels hlzat egyik kiszolgljnak az internetrl elrhetnek kell lennie. Ehhez a kiszolglnak a kls felhasznlk szmra ismert, publikus cmmel kell rendelkeznie. A statikus cmfordts az egyik mdja annak, hogy ilyen cmet biztostsunk a bels kiszolgl szmra. A statikus NAT biztostja, hogy a bels hlzat llomsaihoz rendelt cmek mindig ugyanarra a bejegyzett (publikus) IP-cmre legyenek lefordtva. A NAT s a statikus NAT belltsa a Cisco IOS parancssoros felletrl szmos lpsbl ll: 1. lps: A bels interfsz megadsa 2. lps: A bels interfsz elsdleges IP-cmnek belltsa 3. lps: A bels interfsz azonostsa az ip nat inside paranccsal 4. lps: A kls interfsz megadsa 5. lps: A kls interfsz elsdleges IP-cmnek megadsa 6. lps: A kls interfsz azonostsa az ip nat outside paranccsal 7. lps: A statikus cmfordts megadsa 8. lps: A belltsok ellenrzse
105
106
A NAT mkds ellenrzshez s hibaelhrtshoz szmos CLI parancs ll rendelkezsre. Az egyik leghasznosabb parancs a show ip nat translations, amely a NAT hozzrendelsek rszleteit jelenti meg. A parancs megjelent minden belltott statikus s a forgalom ltal generlt dinamikus fordtst. Minden cmfordtsnl szerepel a protokoll, valamint a bels s kls loklis, illetve globlis cm. A show ip nat statistics parancs megjelenti az aktv cmfordtsok teljes szmt, a NAT konfigurci paramtereit, valamint a cmkszlet kioszthat s kiosztott elemeinek szmt. A fentieken tl a show run parancs segtsgvel is megtekinthetk a NAT belltsok. Alaprtelmezs szerint a dinamikus NAT cmfordtsi bejegyzsei 24 ra elteltvel vlnek el, de esetenknt ennl hamarabb is rdemes lehet trlni azokat. Ez klnsen igaz lehet a NAT belltsok ellenrzsnl. A dinamikus bejegyzsek elvls eltti trlshez hasznljuk a privilegizlt (enable) mdban kiadott clear ip nat translation * parancsot! Ez kizrlag a dinamikus cmfordtsokat tvoltja el a tblzatbl, a statikus cmfordtsok nem trlhetk a cmfordtsi tblzatbl.
107
3. lps: A konfigurcis fjlhoz hozzrendelni kvnt nv megadsa, vagy az alaprtelmezs szerinti elfogadsa 4. lps: Az egyes vlasztsok jvhagysa a "Yes" bersval Az aktv konfigurci szintn eltrolhat egy TFTP-kiszolgln a copy running-config tftp parancs kiadsval. A konfigurcis fjl biztonsgi mentsnek visszalltshoz a forgalomirnytnak rendelkeznie kell legalbb egy belltott interfsszel, amin keresztl kpes elrni a TFTP-kiszolglt. 1. lps: A copy tftp running-config parancs kiadsa 2. lps: A TFTP-kiszolglt futtat tvoli lloms IP-cmnek megadsa 3. lps: A konfigurcis fjl nevnek megadsa, vagy az alaprtelmezs szerinti elfogadsa 4. lps: A konfigurcis fjl nevnek, valamint a TFTP-kiszolgl IP-cmnek jvhagysa 5. lps: Az aktv konfigurci mentse az indt konfigurcis fjlba a copy run start parancs segtsgvel, hogy a visszalltott konfigurci megmaradjon A visszallts egy lehetsges mdja, ha a TFTP-fjl tartalmt az indt konfigurcis fjlba msoljuk. Ekkor azonban az j indt konfigurcis fjl betltshez szksg van a forgalomirnyt jraindtsra.
108
A biztonsgi msolat ksztsnek egy msik mdja a show running-config parancs kpernykimenetnek rgztse. Terminlkapcsolat esetn msoljuk ki a kpernykimenetet (a vglapra), majd illesszk be egy szvegfjlba, vgl mentsk el a szvegfjlt! A konfigurci rgztse a HyperTerminal kpernyjrl az albbi lpsekbl ll: 1. lps: A Transfer (tvitel) men kivlasztsa 2. lps: A Capture Text (Szveg rgztse) menpont kivlasztsa 3. lps: A rgztett konfigurcit trol szvegfjl nevnek megadsa 4. lps: A Start lehetsg kivlasztsa a rgzts elindtshoz 5. lps: A show running-config kiadsa a konfigurci kpernyn trtn megjelentshez 6. lps: A szkz billenty lenyomsa minden, a kperny aljn megjelen "-More-" felirat esetn A teljes konfigurci megjelentst kveten az albbi lpsekkel lellthat a rgzts: 1. lps: A Transfer (tvitel) men kivlasztsa 2. lps: A Capture Text (Szveg rgztse) menpont kivlasztsa 3. lps: A Stop lehetsg kivlasztsa A rgzts befejezst kveten a konfigurcis fjl szerkesztsvel el kell tvoltani a felesleges szvegrszeket (pl.: building configuration). Ezen fell minden interfszkonfigurcis rsz vgre oda kell tennnk a no shutdown parancsot! Kattintsunk a File (Fjl) > Save (Ments) menpontra a konfigurci mentshez! A konfigurcis fjlt szvegszerkesztvel, pldul a Jegyzettmbbel lehet szerkeszteni.
109
A konfigurci biztonsgi msolata HyperTerminal-kapcsolat sorn llthat vissza. A konfigurci visszalltsa eltt minden ms konfigurcit el kell tvoltani a privilegizlt EXEC mdban kiadott erase startup-config parancs segtsgvel! Ezutn indtsuk jra a forgalomirnytt a reload paranccsal! A konfigurci biztonsgi mentst az albbi lpsekkel lehet a forgalomirnytra msolni: 1. lps: Belps a globlis konfigurcis mdba 2. lps: A HyperTerminal Transfer (tvitel) > Send Text File (Szvegfjl kldse) lehetsgnek kivlasztsa 3. lps: A konfigurci biztonsgi mentst tartalmaz fjl nevnek kivlasztsa 4. lps: Az indt konfigurci visszalltsa a copy run start paranccsal
110
111
okozza. Elfordulhat, hogy a hlzati eszkzk teleptse vagy fejlesztse csak a norml munkaidn kvl lehetsges. Amennyiben a telepts a hlzat lellsval jr, a hlzati technikus, az ISP rtkestje s a vllalat kpviselje egytt kszti el a forgalomirnyt zembe helyezsnek tervt. Ez biztostja, hogy az gyfl a lehet legkevesebb zavart rzkelje a szolgltatsban az eszkz teleptse sorn. A forgalomirnyt zembehelyezsi terve ezen fell tartalmazza az gyfl ltal kijellt kapcsolattart szemly nevt, valamint a munkaterletre a munkaid utn trtn bejuts rszleteit. Az zembehelyezsi terv rszt kpezi a teleptsi ellenrzlista elksztse, amellyel megbizonyosodhatunk arrl, hogy a berendezs zembehelyezse megfelelen zajlott. A helyszni tmogat technikusnak mindig az zembehelyezsi terv s a teleptsi ellenrzlista alapjn kell a forgalomirnytt bezemelnie az gyflnl. Az elfizeti vgberendezsek teleptsnl fontos, hogy mindig professzionlis mdon vgezzk el a munkt! Ez azt jelenti, hogy a kbeleket cmkzzk fel, rgztsk egymshoz vagy bjtassuk kbelvezetbe! A felesleges kbelszakaszokat csavarjuk fel, hogy ne akadlyozzk a kzlekedst! A dokumentciba vegyk bele a forgalomirnyt jelenlegi konfigurcijt, a hlzati rajzon pedig jelljk be az j berendezs s a hozz tartoz kbelek helyt! A forgalomirnyt sikeres bezemelst s tesztelst kveten a hlzati technikus kitlti a teleptsi ellenrzlistt, amelyet az gyfl kpviselje ellenriz. A teleptett forgalomirnyt ellenrzse gyakran magban foglal egy bemutatt, ami bizonytja, hogy az eszkzn megfelelek a belltsok s a forgalomirnyttl fgg szolgltatsok az elvrt mdon mkdnek. Amennyiben az gyfl kpviselje elgedett a forgalomirnyt teleptsvel s mkdsvel, feldtumozza s alrja az ellenrzlistt. Elfordul, hogy az ellenrzlistn kvl szksg van egy formlis teljestsi igazolsra is. Ezt a folyamatot gyakran lezr szakasznak is nevezik. Kulcsfontossg, hogy az gyfl kpviselje lezrja a munkt, mert az ISP csak akkor llthat ki szmlt az elvgzett munkrl. A teleptsi dokumentci Amennyiben az elfizeti berendezs bezemelse s belltsa az gyfl telephelyn trtnik, fontos, hogy az egsz folyamatot dokumentljuk! A dokumentcinak tartalmaznia kell a berendezs konfigurcijnak minden rszlett, a teleptsi rajzokat, valamint a kapcsold ellenrzlistkat. Amennyiben j konfigurcira van szksg, a dokumentciban szerepl elz konfigurcival sszehasonltva megllapthatjuk, hogy a konfigurci valban vltozott-e, s ha igen, akkor hogyan. A mdostsok s az eszkzhz val hozzfrs nyomon kvetshez hasznlhatunk tevkenysgi naplt. A megfelelen karbantartott tevkenysgi napl segt a problmk hibaelhrtsban. A technikus mr a forgalomirnyt teleptse sorn elkezdi a dokumentcit. A ksbbi azonosts megknnytse rdekben minden kbelt s eszkzt megfelelen felcmkz s megjell a hlzati rajzon. A forgalomirnyt bezemelse sorn mindig kveti a teleptsi ellenrzlistt, amely tartalmazza az gyfl telephelyn vgrehajtand feladatokat. Az ellenrzlista segt a hibk elkerlsben, s biztostja az zembehelyezs hatkony s megfelel menett. A vgleges dokumentci egy pldnya az gyflnl marad.
112
A soros WAN-sszekttetseknek hrom tpusa ltezik. Pont-pont A pont-pont sszekttets egy elre meghatrozott kommunikcis tvonal az gyfl telephelytl a TSP hlzatn keresztl. Ez egy fix svszlessggel rendelkez, llandan rendelkezsre ll dediklt ramkr. A pont-pont sszekttetseket ltalban a tvkzlsi szolgltattl brlik, ezrt gyakran brelt vonalnak is nevezik ket. A pont-pont sszekttets ltalban a legdrgbb WAN-
113
kapcsolattpus, melynek ra az ignyelt svszlessg s a kt sszekttt pont kztti tvolsg fggvnye. A pont-pont tpus WAN-sszekttetsre plda a T1 s az E1 kapcsolat.
Vonalkapcsolt A vonalkapcsolt sszekttets a telefonhlzaton keresztl bonyoltott telefonhvshoz hasonl elven mkdik. Amikor felhvunk egy ismerst, felemeljk a kagylt, ltrehozzuk az ramkrt, majd trcszzuk a szmot. A hvs befejezst kveten lerakjuk a kagylt s lezrjuk az ramkrt. A vonalkapcsolt WAN-sszekttetsre plda az ISDN s a betrcszs kapcsolat.
Csomagkapcsolt A csomagkapcsolt sszekttetsben minden hlzat a szmos elfizet ltal kzsen hasznlt TSP hlzatba kapcsoldik. A vonalkapcsolt ramkr forrstl clig trtn fizikai lefoglalsa helyett, itt mindegyik elfizet sajt virtulis ramkrrel rendelkezik. A virtulis ramkr egy, a kld s a fogad felet sszekt logikai nem pedig fizikai tvonal. A csomagkapcsolt hlzatra plda a Frame Relay.
114
A WAN tovbbfejlesztsnek tervezsekor szmos szempontot kell figyelembe venni. Az internetszolgltat az elfizeti ignyek elemzsvel s a rendelkezsre ll lehetsgek ttekintsvel indtja el a folyamatot. Ezutn egy javaslatot dolgoz ki az gyfl szmra, amely tartalmazza a meglv infrastruktra lerst, az elfizeti ignyeket s a szba jhet WAN lehetsgeket.
115
Ez a vllalat ltal hasznlt jelenlegi infrastruktra lersa, amely segt a felhasznlnak megrteni, hogy a meglv WAN-sszekttets miknt nyjt szolgltatsokat az otthona vagy a vllalata szmra. Elfizeti ignyek A javaslat ezen rsze a WAN tovbbfejleszts szksgessgnek okait rszletezi az gyfl szmra, valamint rviden felvzolja, hogy a jelenlegi WAN-sszekttets hol nem felel meg az elfizeti ignyeknek. Ezen fell tartalmazza az j WAN-sszekttetssel szemben tmasztott jelenlegi s jvbeli elvrsok listjt is. WAN lehetsgek Ez a vlaszthat WAN-kapcsolattpusok listja, a vonatkoz svszlessggel, kltsgekkel s egyb, a vllalat szempontjbl lnyeges paramterekkel. A teljes listban az internetszolgltat megjelli az ltala legmegfelelbbnek tartott kapcsolattpust. Ezutn kvetkezik a WAN tovbbfejlesztsi javaslat bemutatsa a vllalat dntshozinak, akik ttanulmnyozzk a dokumentumot, s mrlegelik a lehetsgeket. Miutn megszletett a dnts, az internetszolgltat az gyfllel egyttmkdve tervezi meg s koordinlja a WAN tovbbfejlesztsnek menett.
116
117
118
A Cisco Catalyst 2960 sorozat intelligens Ethernet kapcsolk kis s kzepes mret hlzatok szmra kszltek. Tmogatjk a 10/100 sebessg Fast Ethernet s a 10/100/1000-es Gigabit Ethernet LAN kapcsoldst. llapotjelz LED-ek SYST LED: Visszajelzi, hogy a rendszer tpfeszltsg alatt van s megfelelen mkdik. Zld: Megfelelen mkdik a rendszer. Borostyn srga: A rendszer tpfeszltsg alatt van, de nem mkdik megfelelen.
RPS LED: A redundns rendszer tpellts (RPS) visszajelz LED, az RPS rendszer llapotrl tjkoztat. Zld: Az RPS csatlakoztatva van s kszen ll tartalk tpfeszltsg biztostsra, amennyiben szksg van r. Villog zld: Az RPS csatlakoztatva van, de nem elrhet, mivel ms eszkz szmra biztost tpfeszltsget. Borostyn: Az RPS rendszer vagy kszenlti llapotban van vagy meghibsodott. Villog borostyn srga: A kapcsolban tallhat bels tpegysg meghibsodott, az RPS rendszer szolgltat ramot a kszlknek.
Mode gomb s port-llapot LED-ek: A port LED-ek informcit szolgltatnak a kapcsolrl s az egyes portokrl. Mode gomb: A mode gombot a kvetkez port-zemmdok egyiknek kivlasztsra hasznljk: llapot md, duplex md vagy sebessg md. zemmd kivlasztshoz vagy megvltoztatshoz nyomja le a Mode gombot, amg ki nem jelldik a kvnt md. A LED rendeltetse a port zemmd belltshoz van rendelve. Port llapot vagy STAT, az alaprtelmezett port md Stt: Nincs kapcsolat vagy a port adminisztratvan le lett tiltva. Zld: Kapcsolatban van. Villog zld: A port ppen adatokat kld vagy fogad.
119
Vltakoz zld s srga: Kapcsolati hiba. Kerethibk befolysolhatjk a kapcsoldst, ezrt az olyan hibk bekvetkezse, mint a tl sok tkzs, CRC hibk, illetve az illesztsi s az n. jabber-hibk, folyamatos megfigyels alatt llnak a kapcsolati hibk jelzse rdekben. Borostyn: A port mkdst blokkolja a Fesztfa Protokoll (STP), s nem tovbb adatokat. Villog borostyn: A portot blokkolja az STP, viszont folytatja a kapcsolk kztti informcis zenetek kldst s fogadst.
Duplex LED: Port duplex md vagy DUPLX, amely lehet duplex vagy fl-duplex. Stt: A port fl-duplex mdban zemel. Zld: A port duplex zemmdban van.
Speed (Sebessg) LED Speed md: A 10/100-as portok, a 10/100/1000-es portok s az SPF modulportok mkdsi sebessgeit jelzi vissza. 10/100-as portok esetn: Stt: A port 10 Mbit/s sebessggel zemel. Zld: A port 100 Mbit/s sebessggel zemel.
10/100/1000-es portok esetn: Stt: A port 10 Mbit/s sebessggel zemel. Zld: A port 100 Mbit/s sebessggel zemel. Zlden villog: A port 1000 Mbit/s sebessggel zemel.
SFP portok esetn: Stt: A port 10 Mbit/s sebessggel zemel. Zld: A port 100 Mbit/s sebessggel zemel. Zlden villog: A port 1000 Mbit/s sebessggel zemel.
10/100-as s 10/100/1000-es portok: A 10/100-as Ethernet portok bellthatak 10 vagy 100 Mbit/s sebessg tmogatsra. A 10/100/1000-es portok kpesek 10, 100 vagy 1000 Mbit/s sebessgen zemelni. SFP portok: Egy Gibabit sebessgre alkalmas Ethernet SFP port hasznlhat optikai vagy rz alap talakt (transceiver) modulokkal. Az optikai talaktk tmogatjk az optikai kbelek hasznlatt. A rz alap talaktkkal RJ-45-s csatlakozval elltott, 5-s kategrij kbelek hasznlhatk.
120
A Gigabit Ethernet SFP portok alkalmazsval lehetsg nylik az optikai s rz alap talaktk knny felcserlhetsgre les hasznlat kzben, amennyiben egy kapcsolat felmondan a szolglatot.
Minden Ethernet port a 2960-as tpus kapcsol elejn van. A kszlk htoldaln tallhat a tpcsatlakoz, a konzolport s a htventiltor szellz nylsa. Konzolport: RJ-45-DB-9 kbel hasznlatval a porton keresztl a kapcsol sszekthet egy PC-vel. Svon kvli felgyeleti feladatok elvgzsre hasznljk.
Minden kapcsol tmogatja a fl-duplex s duplex tviteli zemmdokat. A fl-duplex mdban mkd port brmely adott pillanatban csak kldeni, vagy csak fogadni tudja az adatokat (egyszerre mindkettt nem). A duplex mdban mkd port egyidejleg tud adatokat kldeni s fogadni, megduplzva ezzel az teresztkpessget. Mind a portnak, mind pedig a csatlakoztatott eszkznek ugyanabban az tviteli zemmdban kell mkdnie. Ha mgsem ugyanabban a mdban mkdnek, nagyszm tkzssel, roml kommunikcival jr tviteli illesztettlensgi problmval szmolhatunk. A sebessg s a duplex zemmd bellthat kzzel, de a kapcsol portja automatikusan is egyeztetheti azokat. Az automatikus egyeztets lehetv teszi a kapcsol szmra, hogy a portjra csatlakoztatott eszkz sebessgt s duplex zemmdjt automatikusan detektlja. A legtbb Cisco kapcsoln az automatikus egyeztets alaprtelmezs szerint engedlyezve van. Ahhoz, hogy az automatikus egyeztets mkdjn, ezt a funkcit mindkt rsztvevnek tmogatnia kell. Amennyiben a kapcsol automatikus egyeztetsi mdban van, de a csatlakoztatott eszkz nem tmogatja azt, a kapcsol a msik eszkz sebessgt (10, 100 vagy 1000) fogja hasznlni, s flduplex mdba vlt. A fl-duplex mdra vlts problmkat okozhat, ha az automatikus egyeztetst nem tmogat eszkz duplex mdban mkdik. Ha a csatlakoztatott eszkz nem tmogatja az automatikus egyeztetst, kzzel lltsuk a kapcsol duplex-belltsait a csatlakoztatott eszkz belltsaival megegyezre! A sebessg-paramter magtl belltdik, mg akkor is, ha a csatlakoztatott port nem tmogatja az automatikus egyeztetst. A kapcsol belltsai belertve a portok sebessg- s duplex-paramtereit a Cisco IOS parancssoros felletrl is megadhatk. Amikor egy kapcsolt a Cisco IOS parancssoros felletrl
121
lltunk be, a fellet s a parancsok szerkezete rendkvl hasonlt a Cisco forgalomirnytknl megszokottakra. Csakgy, mint a forgalomirnytk esetben, a kapcsolk szmra kszlt Cisco IOS rendszerkdnak is szmtalan vltozata ltezik. A Cisco Catalyst 2960 tpus kapcsolt az IP-Base (IP-Alap) rendszerkddal szlltjk, amely az alapvet kapcsolsi funkcikat s IP-szolgltatsokat biztostja. A tbbi Cisco IOS rendszerkd az IP-Base szolgltatsait bvti.
122
123
Mivel a fenti mdszerek nmelyike IP-kapcsolaton keresztl vagy valamilyen webbngsz segtsgvel hasznlhat, ezrt a kapcsolnak IP-cmre van szksge. A forgalomirnyt interfszeivel ellenttben a kapcsol portjaihoz nem kell IP-cmet rendelni. . A Cisco kapcsolk IPalap felgyeleti szoftverrel vagy telnet-kapcsolaton keresztl trtn kezelshez egy felgyeleti IPcm belltsa szksges. Amennyiben a kapcsol nem rendelkezik IP-cmmel, a konfigurcis feladatok vgrehajtshoz kzvetlenl a konzolportjra kell csatlakozni, s terminlemulcis programot kell hasznlni.
124
A Cisco 2960 tpus kapcsol elre konfigurlva rkezik, a hlzatra trtn csatlakoztats eltt csupn az alapvet biztonsgi belltsokat kell megadni. Az llomsnv s a jelszavak belltsa ugyanazokkal a parancsokkal trtnik, mint az ISR esetben. A Cisco kapcsolk IP-alap felgyeleti szoftverrel vagy telnet-kapcsolaton keresztl trtn kezelshez lltsunk be egy felgyeleti IP-cmet! Ahhoz, hogy egy IP-cm a kapcsolhoz trsthat legyen, a cmet egy virtulis helyi hlzati (VLAN) interfszhez kell rendelnnk. A VLAN lehetv teszi egynl tbb fizikai port egyetlen logikai csoportknt trtn kezelst. A kapcsoln egy VLAN van elre konfigurlva, a felgyeleti feladatokat ellt VLAN1. A VLAN1 felgyeleti interfszhez tartoz IP-cm belltshoz lpjnk be a globlis konfigurcis mdba! Switch>enable Switch#configure terminal Ezutn lpjnk be a VLAN1 interfszkonfigurcis mdjba! Switch(config)#interface vlan 1 Adjuk meg a felgyeleti interfsz IP-cmt, alhlzati maszkjt s alaprtelmezett tjrjt! Az IPcmnek rvnyesnek kell lennie a kapcsolt tartalmaz helyi hlzatban! Switch(config-if)#ip address 192.168.1.2 255.255.255.0 Switch(config-if)#exit Switch(config)#ip default-gateway 192.168.1.1 Switch(config)#end Mentsk el a belltsokat a copy running-configuration startup-configuration paranccsal!
125
126
A MAC-cmek megtanulsa dinamikusan trtnik, a megtanult cmeket a cmtbla trolja. A megtanulhat cmek szma szablyozhat, alaprtelmezs szerint portonknt legfeljebb egy. A megtanult cmek a port lekapcsolsa vagy a kapcsol jraindtsa esetn elvesznek.
Sticky A dinamikusra hasonlt megolds, amelyben a cmeket az aktv konfigurci is trolja. A portbiztonsg alaprtelmezs szerint nincs engedlyezve. A portbiztonsg engedlyezst kveten a biztonsg megsrtse a port lelltst eredmnyezi. Ha pldul a dinamikus portbiztonsg van engedlyezve, s az engedlyezett MAC-cmek maximlis szma portonknt egy, akkor az els megtanult cm lesz a biztonsgos cm. Amennyiben egy msik szmtgp eltr MACcmmel prbl csatlakozni a porthoz, az a biztonsg megsrtsnek minsl. Az albbi esetek brmelyiknek bekvetkezse a biztonsg megsrtsnek minsl: A cmtblban szerepl cmek szma elrte a biztonsgos MAC-cmek maximlis szmt, s egy -- a cmtblban nem szerepl MAC-cmmel rendelkez -- eszkz prbl csatlakozni az interfszhez. A VLAN egyik biztonsgos interfszn megtanult vagy belltott cm ugyanazon VLAN egy msik biztonsgos interfszn ltszik.
A portbiztonsg aktivlsa eltt a portot elrsi mdba kell lltani a switchport mode access parancs segtsgvel!
127
A kapcsol vagy egy bizonyos interfsz portbiztonsgi belltsainak ellenrzshez hasznljuk a show port-security interface interface-id parancsot! A kpernykimeneten az albbi informcik jelennek meg: a biztonsgos MAC-cmek maximlis szma portonknt az interfszhez tartoz biztonsgos MAC-cmek szma a biztonsgot megsrt esemnyek szma a biztonsg megsrtsnek mdja
Ezen fell a show port-security address parancs megjelenti az sszes porthoz tartoz biztonsgos MAC-cmet, a show port-security parancs pedig megjelenti a kapcsol portbiztonsgi belltsait. Amennyiben a statikus vagy a sticky portbiztonsg van engedlyezve, az egyes portokhoz rendelt MAC-cmek a show running-config paranccsal is megtekinthetk. Az aktv konfigurciban trolt megtanult MAC-cmek trlsnek hrom mdja ltezik: A clear port-security sticky interface <port szma> access parancs segtsgvel trljk ki a megtanult cmeket! Ezutn kapcsoljuk le a portot a shutdown paranccsal! Vgl engedlyezzk jra a portot a no shutdown parancs segtsgvel! Tiltsuk le a portbiztonsgot a no switchport port-security parancs segtsgvel! A letiltst kveten engedlyezzk jra a portbiztonsgot! Indtsuk jra a kapcsolt!
A kapcsol jraindtsa csak akkor mkdik, ha az aktv konfigurci nincs elmentve az indt konfigurcis fjlba. Ellenkez esetben a kapcsolnak nem kell jratanulnia a cmeket a rendszer jraindtsakor. A megtanult MAC-cm egszen addig egy bizonyos porthoz lesz trstva, amg a clear port-security paranccsal le nem tiltjuk a portbiztonsgot. Ha ez megtrtnt, ne felejtsk az aktv konfigurcit jra elmenteni az indt konfigurcis fjlba, msklnben a kapcsol az jraindtst kveten ismt emlkezni fog az adott MAC-cmre. Amennyiben egy kapcsoln vannak hasznlaton kvli portok, ajnlott azokat letiltani. A kapcsol portjainak letiltsa igen egyszer. Keressk meg az sszes hasznlaton kvli portot, s mindegyiknl adjuk ki a shutdown parancsot! Amennyiben egy portot aktivlni kell, adjuk ki a no shutdown parancsot! A portbiztonsg engedlyezsn s a hasznlaton kvli portok letiltsn kvl a kapcsol biztonsga tovbb fokozhat a vty vonalakra belltott jelszavakkal, a bejelentkezsi zenetek engedlyezsvel s a jelszavak -- service password-encryption paranccsal trtn -- titkostsval. A fenti belltsokhoz hasznljuk a forgalomirnytk esetben tanult parancsokat!
128
A CDP kizrlag a msodik rtegben mkdik, s szmos klnbz helyi hlzattpuson hasznlhat, belertve az Ethernet s a soros hlzatokat is. Msodik rtegbeli protokollrl lvn sz, a CDP akkor is meg tudja hatrozni a kzvetlenl csatlakoz kapcsolat llapott, ha nincs IP-cm megadva vagy a megadott cm hibs.
129
Az ugyanazon helyi hlzaton, egymshoz kzvetlenl csatlakoz Cisco eszkzket egyms szomszdjainak nevezzk. A szomszd eszkz fogalmnak megrtse fontos a CDP parancsok kimenetnek rtelmezsnl. A CDP ltal gyjttt informcik: Az eszkz azonostja - a belltott llomsnv Cmlista - a harmadik rtegbeli cm, ha meg van adva Portazonost - a kzvetlenl csatlakoz port (pl.: 0/0/0) Szolgltatslista - az eszkz ltal biztostott funkci(k) Platform - az eszkz hardverplatformja (pl.: Cisco 1841)
A show cdp neighbors s a show cdp neighbors detail parancsok kimenete megjelenti az adott Cisco eszkz ltal a kzvetlenl csatlakoz szomszdjairl szerzett informcikat. A CDP informcik megjelentshez nem szksges a tvoli eszkzkre trtn bejelentkezs. Mivel a CDP rengeteg adatot gyjt s jelent meg a kzvetlenl csatlakoz szomszdokrl, radsul bejelentkezst sem ignyel, ezrt az les hlzatokban biztonsgi okokbl ltalban letiltjk. Ezen fell a CDP svszlessget kt le, gy hatssal lehet a hlzat teljestmnyre.
130
131
132
133
6. Forgalomirnyts
6. Forgalomirnyts
6.1 Az irnyt protokollok konfigurlsa
6.1.1 A forgalomirnyts alapjai
Egy szervezet bels hlzatnak nvekedsvel biztonsgi s szervezeti okokbl szksgess vlhat a hlzat kisebb egysgekre bontsa, amit gyakran alhlzatokra bontssal valstanak meg. Az alhlzatok kztti forgalom tovbbtshoz forgalomirnytra van szksg. A forgalomirnytk az zenetek megfelel clba juttatsa rdekben egy tblt hasznlnak, melyben minden kzvetlenl csatlakoz hlzat s a hozzjuk tartoz interfsz szerepel. Minden interfsz klnbz IP hlzathoz tartozik. A forgalomirnyt az irnyttbla informcii alapjn hatrozza meg a megfelel tvonalat. Az irnyttbla tartalmaz nem kzvetlenl csatlakoz, tvoli hlzatokra vonatkoz tvonalakat is. A forgalomirnyt tvonalbejegyzseit ltrehozhatja statikusan egy rendszergazda, vagy irnyt protokoll segtsgvel kldheti egy msik forgalomirnyt. A forgalomirnyt a csomagok megfelel tovbbtshoz tvonalakat tartalmaz irnyttblt hasznl. Minden bejegyzs megadja, hogy egy adott hlzat melyik tjrn vagy interfszen keresztl rhet el. Egy tvonalbejegyzsnek 4 alapvet sszetevje van: Clhlzat cme Alhlzati maszk tjr vagy interfsz cme tvonal kltsge vagy irnytsi mrtke
Amikor berkezik egy csomag, a forgalomirnyt a csomagtovbbts rdekben megvizsglja a cllloms IP-cmt, majd vele egyez bejegyzst keres az irnyttblban. Mg az irnyttbla minden bejegyzse egy clhlzat cme, addig a csomagban tallhat cl IP-cm tartalmazza mind a hlzat mind az lloms cmt. A forgalomirnyt a clhlzathoz tartoz tvonal meghatrozshoz a hlzati cm s egy irnyttbla-bejegyzs kztt keres egyezst. Ehhez a forgalomirnytnak meg kell hatroznia az IP-cm hlzatazonost, illetve llomsazonost bitjeit. A forgalomirnyt kikeresi az irnyttbla sszes lehetsges tvonalnak hlzati maszkjait, alkalmazza azokat a csomag cl IP-cmre, majd az gy kapott hlzati cmet hasonltja ssze a tblban lv tvonalak hlzati cmvel. Egyezs esetn a megfelel interfszre vagy a megadott tjrhoz tovbbtja a csomagot. Tbb lehetsges tvonal esetn a forgalomirnyt a legspecifikusabb utat vlasztja, vagyis azt, amelyiknl a hlzati cmben a legtbb bit megegyezik.
134
6. Forgalomirnyts
Elfordulhat, hogy tbb tvonal is ltezik az adott clhlzat fel. Ilyen esetekben a vlaszts irnyt protokoll szablyok alapjn trtnik. Amennyiben egyetlen egyezs sincs, a forgalomirnyt a csomagot az alaprtelmezett tvonalknt elre megadott tjrjhoz kldi, vagy annak hinyban eldobja azt.
Cisco forgalomirnytkon a show ip route IOS parancs jelenti meg az irnyttbla tartalmt, amely szmos klnbz tpus tvonalat tartalmazhat. Kzvetlenl csatlakoz tvonalak Egy forgalomirnyt indulsakor a konfigurlt interfszek engedlyezettek, s amint mkdkpess vlnak, a forgalomirnyt a hozz kzvetlenl kapcsold hlzatok hlzatcmeit kzvetlenl csatlakozott tvonalakknt bejegyzi az irnyttblba. Cisco forgalomirnytk irnyttbljban ezeket az tvonalakat a C eltag jelli. Az interfsz jbli konfigurlsa vagy lelltsa utn automatikusan frisslnek az tvonalbejegyzsek. Statikus tvonalak A hlzati rendszergazda manulisan konfigurlhat egy adott hlzathoz statikus tvonalat. Ezeket az tvonalakat az S eltag jelli az irnyttblban, s mindaddig nem vltoznak, amg a rendszergazda jra nem konfigurlja ket.
135
6. Forgalomirnyts
Dinamikusan frisstett tvonalak (dinamikus tvonalak) A dinamikus tvonalakat a forgalomirnyt protokollok hozzk ltre s tartjk karban. Az forgalomirnyt protokollok irnytsi informcikat cserlnek egymssal a hlzaton. A dinamikus tvonalakat az irnyttblban mindig az tvonalat ltrehoz protokollra jellemz eltag jelli. Pldul RIP (forgalomirnytsi informcis protokoll - Routing Information Protocol) esetn ez az R. Alaprtelmezett tvonal Az alaprtelmezett tvonal olyan statikus tvonal, amely meghatrozza a hasznland tjrt, ha az irnyttbla nem tartalmaz clhlzathoz vezet tvonalat. Ez gyakran az internetszolgltat fel vezet tvonal kvetkez forgalomirnytja. Egyetlen forgalomirnytt tartalmaz alhlzat esetn automatikusan az adott forgalomirnyt lesz az alaprtelmezett tjr, mivel a helyi hlzat forgalma mindkt irnyban csak rajta keresztl tud thaladni. Az irnyttblk nem a forrs s clhlzat kztti teljes tvonalrl, csupn a kvetkez ugrsrl tartalmaznak informcit. Az irnyttblban szerepl kvetkez ugrs jellemzen egy kzvetlenl csatlakoz hlzat. Statikus tvonal esetn a kvetkez ugrs a forgalomirnyt ltal elrhet tetszleges IP-cm lehet. A folyamat vgn a csomag thalad a clllomshoz kzvetlenl csatlakoz forgalomirnytn, majd cljhoz r. Minden kzbls forgalomirnyt esetben hlzati cmek s nem konkrt llomscmek alapjn trtnik az irnyts. A clhlzat eltti utols forgalomirnyt tblja az egyetlen, ahol a clcm nem egy hlzatra, hanem egy konkrt llomsra vonatkozik.
Statikus tvonalak konfigurlsa A statikus tvonalakat a hlzati rendszergazda manulisan konfigurlja. Statikus tvonal ltrehozsnak lpsei Cisco forgalomirnytkon: 1. lps. Csatlakozzon a forgalomirnythoz konzol kbel segtsgvel! 2. lps. Egy adott forgalomirnyt konfigurlshoz nyisson egy HyperTerminal ablakot!
136
6. Forgalomirnyts
3. lps. Privilegizlt mdba lpshez gpelje be az enable parancsot a Router1> parancssorba! Figyelje meg hogy a > jel helyett # jelli a privilegizlt mdot! Router1>enable Router1# 4. lps. Lpjen globlis konfigurcis mdba! Router1#config terminal Router1(config)# 5. lps. Statikus tvonal ltrehozshoz hasznlja a Cisco IOS ip route parancst a kvetkez formban: ip route [clhlzat] [alhlzati_maszk] [tjr_cme] vagy ip route [clhlzat] [alhlzati_maszk] [kimen_interfsz] Pldaknt a 192.168.16.0 hlzat egy llomsnak elrshez az R1 forgalomirnytn a rendszergazda egy statikus tvonalat konfigurl globlis konfigurcis mdban a kvetkez Cisco IOS parancs segtsgvel: Router1(config)#ip route 192.168.16.0 255.255.255.0 192.168.15.1 vagy Router1(config)#ip route 192.168.16.0 255.255.255.0 S0/0/0 A 192.168.16.0 hlzat egy llomsval ktirny kommunikci ltrehozshoz a rendszergazdnak az R2 forgalomirnytn is definilni kell egy statikus tvonalat. Mivel a statikus tvonalakat a rendszergazda manulisan hozza ltre, gy a hlzatban bekvetkez brmilyen vltozs esetn neki kell statikus tvonalat ltrehozni vagy trlni. Kisebb hlzatokban kevesebb vltozs trtnhet, gy a statikus tvonalak kezelse nem okoz gondot. Nagyobb hlzatokban viszont az irnyttblk manulis kezelse jelents adminisztrcis idt vehet ignybe, gy ezekben a hlzatokban statikus tvonalak helyett dinamikus irnytst hasznlnak.
137
6. Forgalomirnyts
Tvolsg - Milyen tvolsgra van a hlzat a forgalomirnyttl? Vektor Milyen irnyba kell a csomagot tovbbtani a hlzat fel?
Az tvonal tvolsg sszetevjt az t kltsgnek vagy mrtknek nevezik, s a kvetkezktl fgghet: Ugrsok szma Adminisztratv kltsg Svszlessg tviteli sebessg Ksleltetsek valsznsge Megbzhatsg
138
6. Forgalomirnyts
Az tvonal vektor vagy irny sszetevje az adott tvonalban a kvetkez ugrs IP-cme. A tvolsgvektorok olyanok, mint a keresztezdsekben lv jelztblk. A tbla a cl irnyba mutat, s jelzi a clhoz vezet t hosszt. Az t mentn tovbbi tblk mutatnak a cl fel, de a htralv tvolsg mr egyre kevesebb. Amg a tvolsg cskken, addig a forgalom a legjobb tvonalon halad.
Minden tvolsgvektor alap forgalomirnytst hasznl forgalomirnyt az irnytsi informciit elkldi szomszdainak. Szomszdos forgalomirnytknak azokat nevezzk amelyeknek legalbb egy kzs, kzvetlenl kapcsold hlzatuk van. A kzvetlenl csatlakoz hlzatokhoz vezet interfszek tvolsga 0. Minden forgalomirnyt forgalomirnyt tblt kap a szomszdaitl. Pldul az R2 az R1-tl kap ilyen informcit. R2 megnveli a kapott tblban szerepl kltsgrtkeket, jelen esetben az ugrsszmot, s ezzel jelzi, hogy az rintett clhlzatok innen mr egy ugrsnyival hosszabb ton rhetk el. Ezt kveten R2 is elkldi forgalomirnyt tbljt szomszdainak, kztk R3-nak is. Lpsrl lpsre ugyanez a folyamat zajlik le minden irnyban a szomszdos forgalomirnytk kztt. Vgl minden forgalomirnyt a tvoli hlzatokat a szomszdos forgalomirnytk informcii alapjn tanulja meg. A forgalomirnyt tbla minden bejegyzshez gy egy sszegzett tvolsgvektor tartozik, ami megadja a hlzat tvolsgt az adott irnyban. A tvolsgvektor feldert folyamat alapjn a forgalomirnyt a szomszdoktl kapott informcik segtsgvel megkeresi a clhlzat fel vezet legjobb tvonalat, ami a legkisebb tvolsg vagy mrtk t.
139
6. Forgalomirnyts
A forgalomirnytk minden topolgiavltozskor frisstik forgalomirnyt tbljukat, vagyis brmikor, ha egy j hlzat jelenik meg, vagy egy tvonal elrhetetlenn vlik pl. egy forgalomirnyt meghibsodsa miatt. A forgalomirnyt tblk msolatainak forgalomirnytrl forgalomirnytra trtn kldse eredmnyeknt a topolgia frisstse a hlzatfeldertsi folyamathoz hasonlan lpsrl lpsre trtnik.
tvonalfrissts fogadsakor a forgalomirnyt a vltozsoknak megfelelen mdostja forgalomirnyt tbljt. Amennyiben j tvonalrl szerez tudomst a frisstsbl, a kapott ugrsszmot eggyel megnvelve trolja az tvonalat a forgalomirnyt tbljban. Kvetkez ugrsknt a frisstst kld, kzvetlenl csatlakoz forgalomirnyt helyi hlzati cmt hasznlja. Sajt forgalomirnyt tbljnak frisstst kveten a forgalomirnyt azonnal tvonalfrisstsekkel tjkoztatja a hlzat forgalomirnytit a vltozsokrl. Ezeknek az gynevezett esemnyvezrelt frisstseknek (triggered update) a kldse a RIP ltal kldtt rendszeres frisstsektl fggetlen.
140
6. Forgalomirnyts
RIP (Routing Information Protocol - forgalomirnytsi informcis protokoll) A RIP egyszersgnek s knny telepthetsgnek ksznheten szles krben hasznlt s npszer forgalomirnyt protokoll. A RIP htrnyai: A maximum 15 ugrsnak ksznheten csak olyan hlzatokban alkalmazhat, ahol 16 forgalomirnytnl tbb nem kapcsoldik sorban egymshoz. Mivel rendszeres idkznknt teljes forgalomirnyt tblkat kld a kzvetlenl csatlakozott szomszdoknak, gy nagyobb hlzat esetn minden frissts jelents hlzati forgalmat jelent. Nagy hlzatok vltozsa esetn lassan konvergl.
Jelenleg a RIP kt verzija elrhet: RIPv1 s RIPv2. A RIPv2 szmos elnnyel rendelkezik s rendszerint csak abban az esetben nem alkalmazzk, ha valamelyik eszkz nem tmogatja. A legjelentsebb klnbsg a kt verzi kztt, hogy a RIPv2 tmogatja az osztly nlkli irnytst, mivel frisstsei tartalmazzk az alhlzati maszkot. A RIPv1 nem kld hlzati maszk informcit, s gy - jobb hjn - az egyes osztlyok alaprtelmezett maszkjait hasznlja. EIGRP - Enhanced Interior Gateway Routing Protocol Az EIGRP a Cisco sajt fejleszts, tovbbfejlesztett tvolsgvektor alap forgalomirnyt protokollja, melyet a tbbi tvolsgvektor alap protokoll, mint pldul a RIP, hinyossgainak megoldsra hoztak ltre. Ilyen hinyossg pldul az ugrsszm mrtkknt val hasznlata, valamint a maximum 15 ugrs mret hlzatok kezelse. Az EIGRP sszetett mrtket hasznl, tbbek kztt a konfigurlt svszlessget s a csomag adott tvonalra vonatkoz ksleltetst. Az EIGRP jellemzi: Egy tvonal kltsgnek kiszmtshoz tbbfle mrtket hasznl. A tvolsgvektor alap protokollok kvetkez ugrs szerinti mrtk tulajdonsgait tvzi tovbbi adatbzisokkal s frisstsi jellemzkkel. Maximum 224 ugrst engedlyez.
A RIP-pel szemben az EIGRP nem csak a forgalomirnyt tbljban trolja a mkdshez szksges informcikat, hanem kt tovbbi adatbzis tblt is ltrehoz: a szomszd- s a topolgiatblt. A szomszdtblban tallhatk a kzvetlenl csatlakoz helyi hlzatokon lv forgalomirnytk adatai, mint pldul interfsz IP-cme, tpusa s svszlessge. Az EIGRP topolgiatbla a szomszdos forgalomirnytk hirdetmnyei alapjn pl fel, s tartalmaz minden szomszd ltal hirdetett tvonalat. Az EIGRP a DUAL (Diffused Update Algorithm ) algoritmust hasznlja egy hlzaton bell a clhoz vezet legrvidebb tvonal meghatrozsra s bejegyzsre a forgalomirnyt tblba. A topolgiatbla segtsgvel a hlzat megvltozsakor a forgalomirnyt gyorsan kpes a legjobb alternatv tvonal meghatrozsra. Amennyiben a
141
6. Forgalomirnyts
topolgiatbla nem tartalmaz alternatv tvonalat, akkor a forgalomirnyt a szomszdait lekrdezve keres j tvonalat a clhoz. Mg a RIP hlzatok egyszerek s maximum 15 ugrs mretek lehetnek, addig az EIGRP idelis sszetettebb, maximum 224 ugrs mret s gyors konvergencit ignyl nagyobb hlzatok kezelsre.
Kapcsolatllapot alap protokollok A tvolsgvektor alap irnyt algoritmust futtat forgalomirnytk a tvoli hlzatokrl kevs, a tvoli forgalomirnytkrl pedig semmi informcival sem rendelkeznek. Ezzel szemben a kapcsolatllapot alap irnyt algoritmus a tvoli forgalomirnytkrl s azok sszekttetseirl minden forgalomirnytban teljes topolgiai adatbzis nyilvntartst vezet. A kapcsolatllapot alap forgalomirnyts jellegzetes sszetevi: Forgalomirnyt tbla - az ismert tvonalak s interfszek listja. Kapcsolatllapot-hirdets (LSA - Link-state advertisement) -forgalomirnytk kztt kldtt, forgalomirnytsi informcikat tartalmaz, kismret csomag. Az LSA-k tartalmazzk egy forgalomirnyt interfszeinek (sszekttetseinek) llapott s egyb informciit, mint pldul minden sszekttets IP-cmt. Topolgiai adatbzis egy forgalomirnythoz berkez LSA-kbl sszegyjttt informcikat tartalmazza. Legrvidebb utat keres algoritmus (SPF - Shortest Path First algorithm) - az adatbzison vgzett szmtsok, melyek eredmnyeknt elll az SPF-fa. Az SPF-fa a hlzat egy trkpe a forgalomirnyt szemszgbl. A fban tallhat informcik alapjn pl fel a forgalomirnyttbla.
142
6. Forgalomirnyts
Az LSA-csomagok megrkezst kveten az SPF algoritmus a forgalomirnyt topolgiai adatbzisa alapjn felpti az SPF ft. Az SPF algoritmus meghatrozza a hlzatokhoz vezet legjobb tvonalakat. Minden esetben, amikor egy LSA-csomag megvltoztatja a kapcsolatllapot adatbzist, az SPF algoritmus jraszmtja a legrvidebb tvonalakat, s ennek megfelelen frissti a forgalomirnyt tblt.
OSPF Az OSPF (Open Shortest Path First) egy nylt szabvny, kapcsolatllapot alap forgalomirnyt protokoll, melyet az RFC 2328 dokumentum definil. Az OSPF jellemzi: A clhoz vezet legkisebb kltsg tvonal kiszmtshoz az SPF algoritmust hasznlja. Forgalomirnyt frisstseket csak a hlzati topolgia megvltozsakor kld; vagyis nem kldi el rendszeres idkznknt a teljes irnyttblt. Gyors konvergencit tesz lehetv. Tmogatja a vltoz hosszsg alhlzati maszkok (VLSM Variable Length Subnet Mask) s a nem folytonos hlzatok hasznlatt. tvonal hitelestst biztost.
OSPF hlzatokban a forgalomirnytk abban az esetben kldenek egymsnak kapcsolatllapothirdetmnyeket, ha a hlzatban valamilyen vltozs trtnik, pldul egy j szomszdos forgalomirnyt kerl a hlzatba, egy sszekttets kiesik vagy ppen helyrell. A hlzati topolgia megvltozsakor az rintett forgalomirnytk LSA frisstseket kldenek a hlzat tbbi forgalomirnytjnak. Minden forgalomirnyt frissti a topolgia-adatbzist, s jrapti az SPF- fjt, hogy meghatrozza az egyes hlzatokhoz vezet legrvidebb tvonalat, majd vgl a megvltozott tvonalakkal frissti a forgalomirnyt tbljt. Az OSPF tbb erforrst, pldul RAM-ot s CPU teljestmnyt ignyel a forgalomirnytban, s mint minden fejlett hlzati protokoll - gyakorlott zemeltet szemlyzetet ignyel.
143
6. Forgalomirnyts
Egy forgalomirnytn egyszerre tbb irnyt protokoll is engedlyezhet, valamint a rendszergazda is konfigurlhat bizonyos hlzatokhoz statikus tvonalakat. Amennyiben egy forgalomirnyt kt klnbz forgalomirnyt protokoll alapjn eltr tvonallal rendelkezik egy clhlzat fel, hogyan dnti el, melyik tvonalat hasznlja? Ilyenkor a forgalomirnyt az gynevezett adminisztratv tvolsg (AD - administrative distance) alapjn dnt. Az adminisztratv tvolsg egy tvonal "hihetsgnek" mrtke. Minl kisebb az adminisztratv tvolsg, annl megbzhatbb forrsbl szrmazik az tvonal. Pldul egy statikus tvonal adminisztratv tvolsga 1, mg egy RIP ltal feltrt tvonal 120. Ugyanahhoz a clhlzathoz vezet kt klnbz tvonal esetn a forgalomirnyt a kisebb adminisztratv tvolsgt hasznlja. gy a statikus tvonal elsbbsget lvez a RIP ltal meghatrozott tvonallal
144
6. Forgalomirnyts
szemben, csakgy, mint a 0 adminisztratv tvolsggal rendelkez, kzvetlenl csatlakoz tvonal, a statikus tvonallal szemben.
Bizonyos esetekben, mint pldul kt meglv hlzat egyestsekor, szksgess vlhat egyszerre tbb forgalomirnyt protokoll hasznlata. Ugyanakkor egy j hlzat megtervezsekor rdemes egyetlen forgalomirnyt protokoll hasznlatra szortkozni, mivel az megknnyti a hlzat karbantartst s hibaelhrtst. A megfelel protokoll kivlasztsa mg a gyakorlott hlzattervez szakemberek szmra sem egyszer feladat. Az internethez egyetlen tjrval csatlakoz, kisebb hlzatok esetn vrhatan hasznlhatk a statikus tvonalak. Dinamikus irnytst ezek a hlzatok ritkn ignyelnek. A szervezet nvekedtvel, ahogy nhny jabb forgalomirnyt csatlakozik a topolgihoz, a RIPv2 lehet a megfelel vlaszts. A RIPv2 knnyen konfigurlhat s megfelelen mkdik kisebb hlzatokban mindaddig, mg a hlzat nem ri el a 15 ugrsnyi mretet. Nagyobb hlzatok esetben a leggyakrabban alkalmazott protokollok az EIGRP s az OSPF, de semmilyen egyszer szabllyal nem lehet eldnteni, hogy melyiket vlasszuk. Minden hlzat esetben a vlaszts kln megfontolst ignyel. Hrom alapvet kritriumot rdemes tgondolni: Egyszer felgyelhetsg - Milyen informcikat vezet magrl a protokoll? Milyen show parancsok rhetk el? Egyszer konfigurls - Hny parancsra van szksg egy tlagos konfigurci kialaktshoz? Lehetsges-e a hlzat tbb klnbz forgalomirnytjhoz ugyanazt a konfigurcit hasznlni? Hatkonysg - Mennyi svszlessget ignyel a forgalomirnyt protokoll alapllapotban, illetve, amikor egy hlzati esemnyre vlaszolva konvergl?
145
6. Forgalomirnyts
146
6. Forgalomirnyts
147
6. Forgalomirnyts
148
6. Forgalomirnyts
A konfigurcit kveten rdemes a hlzatazonostkat s az interfszek IP-cmeit ellenrizni az aktv konfigurcis fjl s a pontos topolgia-diagramm sszehasonltsval. Ezt azrt rdemes megszokni, mert knnyen kvethetnk el adatbeviteli hibt. Szmos lehetsg van a RIP helyes mkdsnek ellenrzsre egy hlzatban. Az irnyts megfelel mkdsnek egyik ellenrzsi mdja a tvoli hlzat eszkzeinek megpingelse. Sikeres ping esetn felteheten a forgalomirnyts mkdik. Msik mdszer az IP forgalomirnytst ellenrz show ip protocols s show ip route parancsok hasznlata. A show ip protocols paranccsal ellenrizhet, hogy a RIP konfigurlva van, a megfelel interfszek kldenek s fogadnak frisstseket, s a forgalomirnyt a megfelel hlzatokat hirdeti. A show ip route parancs megjelenti az irnyttblt, s gy ellenrizhet, hogy a RIP szomszdoktl kapott tvonalak bekerltek a forgalomirnyt tblba.
149
6. Forgalomirnyts
A debug ip rip utasts hasznlhat a kldtt s fogadott frisstsekben hirdetett hlzatok megfigyelsre. A debug parancsok mindig vals idben jelentik meg a forgalomirnyt mkdst. Mivel a debug mkdse processzor erforrsokat ignyel a forgalomirnytn, gy hasznlata mkd hlzatokban krltekintst ignyel.
150
6. Forgalomirnyts
Egy autonm rendszer irnytsi tartomnyn bell minden hlzati eszkzhz ugyanaz az AS szm tartozik. Az A ISP egy olyan autonm rendszer, amelynek irnytsi tartomnyhoz az ISP-hez kzvetlenl csatlakoz helyi vllalat tartozik. A vllalat nem rendelkezik sajt AS szmmal, hanem az ISP AS szmt hasznlja (ASN 100). Az brn lthat tovbb egy Hong Kong-ban s New York-ban kzponti irodval rendelkez nagyvllalat is. Mivel az irodk klnbz orszgokban vannak, gy mindkettnek a helyi ISP szolgltatja az internetet, azaz a vllalat kt ISP-hez is csatlakozik. Ebben az esetben a vllalat melyik AS-hez tartozik, s melyik AS szmot hasznlja? Mivel a vllalat a B s a C ISP-n keresztl is kommunikl, az sszekttetsek tekintetben irnytsi problmk addhatnak. Az internet fell rkez forgalom esetben nem egyrtelm, hogy melyik
151
6. Forgalomirnyts
autonm rendszeren keresztl rhet el a vllalat. A problma megoldsaknt a vllalat nll ASknt regisztrlja magt s a 400-as AS szmot hasznlja.
152
6. Forgalomirnyts
Minden autonm rendszer felels azrt, hogy a rajta keresztl elrhet hlzatokrl informlja a tbbi autonm rendszert. Ezeknek az gynevezett elrhetsgi informciknak a cserje specilis hatrtjrkon fut kls forgalomirnyt protokollok segtsgvel trtnik. A csomagok tovbbtsa az interneten a kvetkez lpsekben trtnik: 1. A forrslloms csomagot kld egy msik AS-ben lv tvoli llomsnak. 2. Mivel a csomagban szerepl cl IP-cm nem egy helyi hlzatra mutat, gy a bels forgalomirnytk a csomagot az alaprtelmezett tvonalaik alapjn tovbbtjk mindaddig, mg az a helyi autonm rendszer hatrn lv kls forgalomirnythoz nem r. 3. A kls forgalomirnyt minden hozz csatlakoz autonm rendszert nyilvntart az adatbzisban. Ebbl az gynevezett elrhetsgi adatbzisbl tudja a forgalomirnyt, hogy a clhlzathoz vezet t szmos autonm rendszeren keresztl vezet, s az tvonal kvetkez ugrsa egy szomszdos autonm rendszer kzvetlenl csatlakoz kls forgalomirnytja. 4. A kls forgalomirnyt a csomagot az tvonal kvetkez ugrshoz irnytja, ami egy szomszdos autonm rendszer kls forgalomirnytja. 5. A szomszdos autonm rendszer kls forgalomirnytja a sajt elrhetsgi adatbzisa alapjn tovbbtja a csomagot az tvonal kvetkez ugrshoz. 6. A folyamat mindaddig folytatdik az autonm rendszereken keresztl, amg a cl autonm rendszer kls forgalomirnytja a csomagban szerepl cl IP-cmet fel nem ismeri, mint az egyik hozz kapcsold bels hlzat cmt. Az tvonal utols kls forgalomirnytja a forgalomirnyt tblja alapjn a kvetkez bels forgalomirnythoz tovbbtja a csomagot. Innentl kezdve a csomagot ugyangy kezeli a hlzat, mint brmilyen ms helyi csomagot, s bels forgalomirnyt protokollok segtsgvel halad a bels forgalomirnytkon keresztl a clllomsig.
153
6. Forgalomirnyts
154
6. Forgalomirnyts
Az interneten kldtt zenetek folyamt forgalomnak nevezzk, s kt csoportba sorolhatjuk: Helyi forgalom - Egy autonm rendszeren belli forgalom, amely vagy az adott autonm rendszerben keletkezett, vagy a cllloms az adott autonm rendszerben tallhat. Hasonl az utcai helyi forgalomhoz. tmen forgalom - Az adott autonm rendszeren kvl keletkezett forgalom, ami az autonm rendszeren kvli cllloms elrse rdekben halad t az adott autonm rendszer bels hlzatn. Hasonl az utcai tmen forgalomhoz.
Az autonm rendszerek kztti forgalom ltalban gondosan ellenrztt forgalom. Biztonsgi okokbl vagy a tlterhels elkerlse rdekben fontos az ilyen tpus forgalom korltozsa vagy adott esetben letiltsa. Szmos autonm rendszer hlzati rendszergazdja dnt gy, hogy nem engedlyezi az tmen forgalmat. Az tmen forgalom a nagyobb terhelsre nem alkalmas forgalomirnytk tlterhelshez s kiesshez vezethet.
155
6. Forgalomirnyts
Amennyiben egy ISP felhasznl sajt regisztrlt IP-cmtartomnnyal rendelkezik, akkor elfordulhat, hogy nhny bels hlzatnak tvonalt szeretn nyilvnoss tenni az interneten. Ahhoz, hogy a BGP hirdesse a bels tvonalakat, a hlzati cmeket kell megadni a kvetkez paranccsal: network [hlzati_cm] A CPE installlsa s a forgalomirnyt protokollok konfigurlst kveten a felhasznl helyi s internet kapcsolattal is rendelkezik, s kpes teljes mrtkben hasznlni az ISP ltal nyjtott egyb szolgltatsokat. A BGP forgalomirnytshoz hasznlt IP-cmek egyedi szervezeteket azonost, hagyomnyosan regisztrlt s irnythat cmek. Nagy szervezetek esetben a BGP folyamat sorn privt cmek is hasznlhatk, de az interneten a BGP nem hasznlhat privt hlzati cm hirdetsre!
156
6. Forgalomirnyts
157
7. ISP szolgltatsok
7. ISP szolgltatsok
7.1 Az ISP szolgltatsok bevezetse
7.1.1 Felhasznli kvetelmnyek
Miutn sikerlt az ISP-vel kapcsolatba lpni, az egyni felhasznlnak vagy a vllalatnak el kell dntenie, milyen szolgltatsokat ignyelnek a szolgltattl. Az internetszolgltatk szmos piacot szolglnak. Az otthoni felhasznlk alkotjk a felhasznli piacot. Hatalmas multinacionlis vllalatok kpezik a vllalati piacot. Ezeken fell lteznek mg olyan kisebb piacok, mint a kis- s kzpvllalatok, vagy nagyobb nonprofit szervezetek. Mindegyik, ms s ms szolgltats ignyekkel rendelkezik. A felhasznlk nvekv ignyei s az ersd piaci verseny hatsra az internetszolgltatknak jabb s jabb szolgltatsokat kell nyjtani, amelyek lehetv teszik, hogy bevtelket nvelve megklnbztethessk magukat versenytrsaiktl. Az elektronikus levelezs, a weboldalak trolsa, az adatfolyamok tovbbtsa, az IP telefnia s a fjltvitel mind olyan fontos szolgltats, amit a szolgltatk minden felhasznlnak rendelkezsre bocstanak. Ezek a szolgltatsok elengedhetetlenek az ISP felhasznli, valamint az olyan kis- s kzpvllalatok szmra, amelyek nem rendelkeznek sajt szakemberekkel e feladatok biztostsra.
Nagyon sok szervezet, kis s nagyvllalat, tl drgnak tartja a legjabb technolgik beszerzst, vagy egyszeren csak sajt zleti tevkenysgi krkre szeretnk erforrsaikat fordtani. Az ISP-k az ilyen szervezeteknek felgyelt szolgltatsokat nyjtanak, amelyekkel a legjabb technolgikat s alkalmazsokat anlkl hasznlhatjk, hogy nagyobb sszegeket fektetnnek be akr a felszerelsbe, akr a szakrti tmogatsba.
158
7. ISP szolgltatsok
Amikor egy vllalat egy ilyen felgyelt szolgltatsra elfizet, akkor a szolgltat biztostja az eszkzket s az alkalmazst a szolgltati szerzdsnek (SLA Service Level Agreement) megfelelen. Bizonyos felgyelt szolgltatsok esetn az alkalmazst magt is a szolgltati oldalon, nem pedig a felhasznli berendezseken troljk. A kvetkez hrom eset klnbz felhasznli kapcsolatokat mutat: 1. eset - A felhasznl tulajdonban van s felgyeli a sajt hlzati eszkzeit s a szolgltatsokat. Ezek a felhasznlk csak a megbzhat internet kapcsolatot vrjk az internetszolgltattl. 2. eset - Az ISP szolgltatja az internet kapcsolatot, s tartja karban a felhasznli oldalon teleptett hlzati eszkzket. Az ISP felelssge kiterjed a teleptsre, az eszkzk karbantartsra s adminisztrcijra. A felhasznl ktelessge a hlzat s az alkalmazsok llapotnak megfigyelse, s fogadni a hlzat teljestmnyre vonatkoz rendszeres jelentseket. 3. eset - A felhasznl tulajdonban vannak a hlzati eszkzk, de a kiszolglk, melyeken az alkalmazsok futnak az internetszolgltnl tallhatk meg. A kiszolglk lehetnek akr a felhasznl, akr az ISP tulajdonban, de mindkt esetben az ISP tartja karban a kiszolglkat s az alkalmazsokat is. A kiszolglkat ltalban a kiszolglfarmon, az ISP hlzat zemeltet kzpontjban (NOC Network Operations Center) helyezik el.
159
A megbzhatsgnak kt mrtke van: a meghibsodsok kztti tlagos id (MTBF mean time between failure) s a mkdkpessg helyrelltshoz szksges tlagos id (MTTR mean time to repair). Az eszkzk gyrti a gyrts sorn vgzett tesztelsek alapjn megadjk a vrhat meghibsodsi idt (MTBF). Egy eszkz robosztussgnak mrtkt a hibatr kpessge adja meg. Minl hosszabb a vrhat meghibsodsi id (MTBF), annl nagyobb a hibatrse. A helyrelltshoz szksges idt a garancia vagy szolgltati egyezmny szabja meg. Egy eszkz meghibsodsa miatt bekvetkez hlzat- vagy szolgltatskiess befolysolhatja az internetszolgltatt a szolgltati szerzdsben (SLA) foglaltak betartsban. Ennek megelzsre az ISP a kritikus hardverelemekre kltsges szolgltati egyezmnyeket kthet a gyrtkkal vagy az eladkkal a gyors hibaelhrtsra. Az ISP vlaszthatja azt a megoldst is, hogy tartalk hardverelemeket vsrol s sajt telephelyn trolja. Elrhetsg Az elrhetsget ltalban az erforrs zemidejnek s rendelkezsre llsnak idarnyaknt adjuk meg szzalkos formban. A tkletes elrhetsget a 100% jelenti, amikor a rendszer mindig mkdik s elrhet. A hagyomnyoknak megfelelen a telefonszolgltatsoknl 99.999%-os elrhetsg az elvrs. Ez az n. "5 kilences elrhetsg". Ilyenkor csak az zemid nagyon kis szzalkban (0,001%) lehet a hlzat elrhetetlen. Mivel az internetszolgltatk kritikus zleti szolgltatsokat is tmogatnak, mint pldul az IP telefnia vagy nagy mennyisg kereskedi tranzakci, gy felhasznlik magasabb szint elvrsainak is meg kell felelnik. Az internetszolgltatk az elrhetsget a hlzati eszkzk s kiszolglk megduplzsval, valamint nagy rendelkezsre llst biztost technolgik alkalmazsval rik el. Redundns konfigurci esetn, ha egy eszkz kiesik, akkor a msik automatikusan tveheti a szerept.
160
7. ISP szolgltatsok
Szlltsi rtegbeli protokollok Klnbz tpus adatoknak egyedi kvetelmnyeik lehetnek. Bizonyos alkalmazsok esetn a kommunikcis adatszegmenseknek meghatrozott sorrendben kell megrkeznik a megfelel feldolgozs rdekben. Ms esetben az sszes adatnak meg kell rkeznie a felhasznls eltt. Az is elfordul, hogy az alkalmazs kis mennyisg adatvesztsre nem reagl rzkenyen. A modern konverglt hlzatokon a klnbz alkalmazsok jelentsen eltr szlltsi ignyeik ellenre ugyanazon a hlzaton kommuniklhatnak. A klnbz szlltsi rtegbeli protokollok klnbz szablyokat hasznlva biztostjk az eltr kvetelmnyeket tmaszt adattviteli ignyek kielgtst.
161
7. ISP szolgltatsok
ltalban az alsbb rtegek nem veszik szre, hogy tbb alkalmazs adatait kldik a hlzaton. Az felelssgk csak az, hogy az adatot eljuttassk az eszkzhz. A szlltsi rteg feladata, hogy az adatot a megfelel alkalmazshoz juttassa. A kt legfbb szlltsi rtegbeli protokoll a TCP s az UDP.
A TCP/IP rtegmodell s az OSI modell hasonlsgokat s klnbsgeket is mutat. Hasonlsgok Mindkett rtegek segtsgvel szemllteti a protokollok s szolgltatsok egyttmkdst. A szlltsi s hlzati rtegek megfeleltethetk egymsnak az egyes modellekben. Mindkettt a hlzatok tmakrben hasznljk a protokollok egyttmkdsnek bemutatsra.
Klnbsgek Az OSI modell a TCP/IP modell alkalmazsi rtegt hrom kln rtegre osztja. Ez a hrom legfels rteg ugyanazt a feladatot ltja el, mint a TCP/IP modell alkalmazsi rtege. A TCP/IP nem hatroz meg kln protokollokat a fizikai sszekapcsoldshoz. Az OSI modell kt als rtege a fizikai hlzat elrsvel s a helyi hlzatok llomsai kztti bitek kldsvel foglalkozik.
A TCP/IP modell a tnylegesen kidolgozott protokollokra s szabvnyokra pl, mg az OSI modell inkbb egy elmleti tmutat a protokollok egyttmkdshez
162
7. ISP szolgltatsok
163
7. ISP szolgltatsok
Az olyan alkalmazsok, mint az adatbzisok, weboldalak s az elektronikus levelezs minden adat eredeti sorrendben trtn, hibtlan megrkezst ignylik. Minden hinyz adat az zenet feldolgozhatatlansgt eredmnyezheti, ezrt ezek az alkalmazsok megbzhat szlltsi rtegbeli protokollt hasznlnak. Az a hlzati tbbletterhels, amely ezt a megbzhatsgot lehetv teszi, elfogadhat rat jelent egy sikeres kommunikcirt. A szlltsi rtegbeli protokollt az alkalmazs adattpusa hatrozza meg. Pldul egy elektronikus levl nyugtzott adatkldst ignyel, gy TCP-t hasznl. Egy levelez gyfl, mely SMTP-t hasznl, az elektronikus zenetet bjtfolyamknt tovbbtja a szlltsi rtegnek. A szlltsi rtegben a TCP feladata a folyam szegmensekre osztsa. Minden szegmensen bell a TCP minden egyes bjtot vagy oktetet egy sorszmmal azonost. Az gy kapott szegmenseket az internet rteg kapja meg, mely csomagba helyezi ket az adatkldshez. Ez a folyamat a begyazs. A clllomsnl ez a folyamat megfordul s a csomagot kicsomagoljk. A begyazott szegmensek a TCP folyamaton mennek keresztl, amely visszaalaktja a szegmenseket bjtfolyamm, s azt a levelez kiszolglnak kzbesti. Egy TCP viszony hasznlata eltt az sszekttets felptshez a forrs s cllloms zenetet vltanak egymssal. Ehhez egy hromlpses folyamatot hasznlnak. Az els lpsben a forrslloms kld egy szinkronizcis zenetet (SYN Synchronization Message) a TCP viszony felptshez. Az zenet kt clt szolgl: Jelzi a forrslloms szndkt a clllomssal trtn kapcsolat felptsrl. Szinkronizlja a TCP sorszmokat a kt lloms kztt, hogy a beszlgets folyamn mindkt fl nyomonkvethesse az elkldtt s megrkezett szegmenseket.
A msodik lpsben a cllloms vlaszol a SYN zenetre egy szinkronizcis nyugtval (SYN-ACK). Az utols lpsben a kld lloms megkapja a SYN-ACK zenetet s egy ACK zenetet kld vissza a kapcsolatfelpts befejezshez. Az adatok kldse most mr megbzhat mdon trtnik. Ezt a TCP folyamatok kztti hromlpses metdust hromfzis kzfogsnak nevezik. Amikor egy lloms TCP protokollt hasznlva kld egy zenetszegmenst, akkor a TCP folyamat elindt egy idztt. Az idzt elg idt hagy az zenet kzbestsre, valamint a nyugta visszarkezsre. Ha a forrslloms nem kapja meg a nyugtt a clllomstl az idzt lejrta eltt, akkor a forrs az zenetet elveszettnek tekinti. Az zenet nem nyugtzott rszeit jrakldi a forrs. A nyugtzs s jraklds mechanizmusa mellett a TCP azt is meghatrozza, hogyan trtnik az zenet sszelltsa a clllomsnl. Minden TCP szegmens tartalmaz egy sorszmot. A clllomsnl a TCP folyamat egy ideiglenes trolba rakja a megrkezett szegmenseket. A szegmensek sorszmnak kirtkelse lehetsget nyjt a TCP folyamat szmra a hinyz szegmensek meghatrozsra. Ha az adatok nem sorrendben rkeznek, a TCP jra tudja sorrendezni ket.
164
7. ISP szolgltatsok
A TCP s UDP kzti f klnbsg a protokollok ltal megvalstott funkcikban s az ezzel egyttjr tbbletterhelsben van. A kt protokoll fejrsznek tanulmnyozsval jl lthat ez a klnbsg. Minden TCP szegmens fejrszben 20 bjtnyi extra adat tallhat az alkalmazsi rteg adatai mellett. Ez az extra adat a hibaellenrz mechanizmus eredemnye. Az UDP adategysgeit datagramnak nevezik. Ezeket a datagramokat legjobb szndkkal" tovbbtjk, sszesen 8 bjtnyi extra informcival kiegsztve.
165
7. ISP szolgltatsok
Minden internetes alkalmazs esetn ltezik egy forrslloms s egy cllloms, ltalban egy gyfl s egy kiszolgl. A TCP folyamatok a kld s fogad llomson nmikpp klnbznek. Az gyfelek aktvak s kapcsolatot krnek, mg a kiszolglk passzvan viselkednek, figyelik s elfogadjk a kapcsolatkrseket. Kiszolgl folyamatokhoz ltalban statikusan a jl ismert portokat rendelik 0-tl 1023-ig. A jl ismert portok segtik az gyfl alkalmazsokat a helyes clport hozzrendelsben egy szolgltatskrs ltrehozsakor.
166
7. ISP szolgltatsok
Az gyfeleknek a krst indt gyfl alkalmazs azonostshoz is szksgk van egy portszmra. A forrsportok hozzrendelse dinamikusan trtnik az 1024-tl 65535-ig terjed tartomnybl. Ez a porthozzrendels a krst indt alkalmazs cmnek felel meg. A szlltsi rtegbeli protokollok nyomonkvetik a forrsportot s a krst kezdemnyez alkalmazst, gy a vlasz a megfelel alkalmazsnak tovbbthat.
A szlltsi rteg portszmbl s a hlzati rteg IP-cmbl ll pros egy adott llomson fut alkalmazs azonost. A portszm - IP-cm egyttest socket-nek nevezik. Egy forrs- s cl-oldali socket pr kt lloms kztti prbeszd egyedi azonostjaknt hasznlhat. Egy gyfl socket, 7151-es portszmmal pldul a kvetkezkppen nzhet ki: 192.168.1.1:7151 Egy socket egy webkiszolgln pldul: 10.10.10.101:80 Ezek egyttesen egy socket prt alkotnak: 192.168.1.1:7151, 10.10.10.101:80 A socketek segtsgvel a kommunikcis vgpontok ismertek, gy az adatok eljuthatnak az egyik lloms alkalmazstl egy msik lloms alkalmazsig. Ez teszi lehetv egy gyfl llomson fut tbb alkalmazs, valamint egy kiszolgl tbb kapcsolatnak megklnbztetst.
167
7. ISP szolgltatsok
Az olyan knnyen olvashat tartomnynevek, mint cisco.com az emberek szmra sokkal hasznlhatbbak. A hlzati nvfelold-rendszerek ezeknek a knnyen megjegyezhet neveknek a gpek szmra feldolgozhat, hlzati kommunikcihoz szksges IP-cmekre trtn fordtst vgzik. Webbngszs, vagy elektronikus levelezs kzben nap mint nap hasznljuk a nvfelold rendszereket, anlkl, hogy tudnnk rla. A nvfelold rendszerek rejtett, de szerves rszt alkotjk a hlzati kommunikcinak. Pldul a Cisco Systems weboldalnak megtekintshez a bngsz cmmezjbe a http://www.cisco.com cmet kell berni. A www.cisco.com egy hlzati nv, mely egy meghatrozott IP-cmhez van rendelve. Ha a kiszolgl IP cmt rnnk a bngsz cmmezjbe, akkor ugyanazt a weboldalat ltnnk. A hlzati nvfelold-rendszerek az emberek szmra fontos eszkzk, melyek segtenek abban, hogy sszetett IP-cmek megjegyzse nlkl is elrhessk ugyanazokat az erforrsokat. Az internet els napjaiban az IP-cmek s llomsnevek egy adminisztrcis kiszolgln kzpontilag trolt HOSTS nev llomnyban voltak megtallhatk. Ez a kzponti HOSTS llomny tartalmazta a korai internetre csatlakozott sszes lloms nevnek s IP-cmnek sszerendelst. Mindenhonnan elrhet volt az llomsnevek feloldsa cljbl. Az llomsnv megadsa utn a kld lloms a letlttt HOSTS llomnybl kikereshette a cllloms IP-cmt. Eleinte a HOSTS llomny megfelel volt az internet korltozott szm szmtgpei szmra, azonban a hlzat nvekedsvel, a nv-IP-cm hozzrendelst ignyl llomsok szma nagyon megntt, ezltal lehetetlenn vlt a HOSTS frisstse. j nvfelold-rendszert kellett kifejleszteni. Ez a DNS, amely tartomny-nevek IP-cmekre trtn fordtsra szolgl. A DNS kiszolglk elosztott mkdssel vgzik a nvfeloldst, kzpontilag karbantartott HOSTS llomnyra mr nincs szksg. Ennek ellenre, ugyan csak virtulisan, de minden lloms karbantart egy HOSTS llomnyt, amit a TCP/IP elindulsakor hoznak ltre. A nvfeloldsi folyamat rszeknt a DNS szolgltats krs eltt a helyi HOSTS fjl tvizsglsa trtnik. Ez a fjl hasznlhat hibakeresskor, vagy a DNS kiszolgln tallhat bejegyzsek trlsekor.
168
7. ISP szolgltatsok
A szolgltatsnak hrom sszetevje van. Erforrs bejegyzsek s domainnv-tartomny Az erforrs bejegyzs egy adatbejegyzs a DNS zna adatbzis llomnyban. Az lloms tpusnak, IP-cmnek vagy a DNS adatbzis paramternek azonostsra szolgl. A domainnv-tartomny az erforrsok rendszerezsnek hierarchikus nvstruktrjra utal. Tbb tartomnybl vagy csoportbl s a csoportokon belli erforrs bejegyzsekbl ll. Tartomnynv-kezel rendszer kiszolgli A tartomnynv-kezel rendszer kiszolgli tartjk karban az erforrs bejegyzseket s a domainnv-tartomny informciit trol adatbzist. A DNS kiszolglk megprbljk a sajt znjuk adatbzis llomnyban trolt informcik alapjn feloldani az gyfelek krseit. Ha a kiszolgl nem rendelkezik a krt informcival, akkor tovbbi, elre meghatrozott nvkiszolglk segtsgvel oldja meg a krst.
169
A nvfeloldk olyan alkalmazsok vagy opercis rendszerfunkcik, melyek a DNS gyfeleken s kiszolglkon egyarnt futnak. Amikor egy tartomnynv hasznlatban van, a nvfelold a DNS gyflen betltdik, s ltrehoz egy DNS krst a kiszolgl fel. Ha a kiszolgl nem rendelkezik a krt nv IP-cm hozzrendelssel, akkor a nvfelold segtsgvel tovbbtja a krst egy msik DNS kiszolgl fel.
A DNS egy hierachikus rendszer segtsgvel biztostja a nvfeloldst. Ez a hierarchia egy fordtott fhoz hasonlt, melynek a gykere van fell s az gak alul. A hierarchia cscsn a gykr (root) kiszolglk tartjk karban a legmagasabb szint (top-level) kiszolglk elrsrl trolt informcit, melyek visszamutatnak a msodik szint (second level) tartomny kiszolglkra. A klnbz legmagasabb szint tartomnyok a szervezetek tpust vagy a szrmaz orszgot reprezentljk. Pldk a legmagasabb szint tartomnyokra: .au - Ausztrlia .co - Kolumbia .com ipari vagy zleti vllalat .jp - Japn .org nonprofit szervezet
A legmagasabb szint tartomnyok alatt a msodik szint tartomnyok helyezkednek el, melyek alatt tovbbi, alacsonyabb szint tartomnyok tallhatk.
170
7. ISP szolgltatsok
A gykrben tallhat (root) DNS kiszolgl nem felttlenl tudja pontosan merre tallhat a H1.cisco.com, de van egy bejegyzse a .com legmagasabb szint tartomnyrl. Hasonlan a .com tartomnyba tartoz kiszolglk nem felttlenl tudjk merre van a H1.cisco.com, de van bejegyzse a cisco.com tartomnyrl. A cisco.com tartomnynak van bejegyzse a H1.cisco.com-rl s fel tudja oldani az IP-cmet. A DNS szolgltats nem centralizlt kiszolgl hierarchin alapszik. Az erforrs bejegyzsek tartalmaznak tartomnyneveket, melyeket a kiszolglk feloldanak s ezt ms kiszolglk szintn lekrdezhetik. A H1.cisco.com egy teljesen minstett tartomnynv (FQDN Fully Qualified Domain Name), mivel megadja a szmtgp pontos helyt a hierarchikus DNS nvtartomnyban.
171
7. ISP szolgltatsok
172
7. ISP szolgltatsok
A DNS korai megvalstsaiban az erforrs bejegyzsek hozzadsa s frisstse manulisan trtnt. A hlzat s a szmon tartott llomsok szmnak nvekedsvel mr nem lehetett tovbb hatkonyan megoldani a manulis karbantartst. Tovbb a DHCP hasznlatval az egy DNS znn belli erforrs bejegyzseket sokkal gyakrabban kellett frissteni. A DNS znk karbantartsnak knnytsre, a DNS protokollt megvltoztattk gy, hogy a szmtgp a sajt bejegyzseit dinamikusan frissthesse.
173
7. ISP szolgltatsok
Dinamikus frisstssel a DNS gyflszmtgp brmilyen vltozs esetn azonnal regisztrlhatja s frisstheti sajt bejegyzseit. A dinamikus frisstshez a DNS kiszolglnak, a DNS gyflnek s a DHCP kiszolglnak egyarnt tmogatnia kell a dinamikus frisstseket. z alaprtelmezetten tiltva van, gy engedlyezni kell. A legtbb, napjainkban hasznlatos opercis rendszer mr tmogatja a dinamikus frisstst.
Nmely rgebbi opercis rendszer nem tmogatja a dinamikus DNS frisstst. Ilyen esetben a DHCP kiszolglt kell gy konfigurlni, hogy dinamikusan frisstse a DNS-t az gyfl nevben. DNS frisstse DHCP hasznlatval a kvetkezkppen trtnik: 1. . Az gyfl kr egy cmet a DHCP kiszolgltl 2. A DHCP kiszolgl az gyflhez rendel egy IP-cmet. A DHCP kiszolgl regisztrlja a DNS lloms bejegyzst az elre konfigurlt kiszolglnl az gyfl nevben. 4. A DHCP kiszolgl regisztrlja az lloms mutat (PTR) nevt.
3.
A DNS kizsolglk a teljes DNS hierarchia egy meghatrozott rsznek zna adatbzist tartjk karban. Az erforrs bejegyzseket a DNS znban troljk. A DNS znk cmkeressi (forward lookup) vagy nvkeressi (reverse lookup) znk lehetnek. Ezen bell elsdleges vagy msodlagos cmkeressi, illetve nvkeressi zna lehet. Minden zna tpusnak specilis szerepe van az egsz DNS infrastruktrban.
174
A cmkeressi zna egy hagyomnyos DNS zna, mely egy teljesen meghatrozott tartomnynevet egy IP-cmre old fel. Az internet bngszse kzben ezzel a tpussal lehet leggyakrabban tallkozni. Egy weboldal cmnek, mint pldul www.cisco.com begpelse utn egy rekurzv krs rkezik a helyi DNS kiszolglhoz a nv feloldsra. Nvkeressi zna A nvkeressi zna egy specilis zna tpus, mely IP cmeket old fel teljesen meghatrozott tartomnynevekre. Bizonyos alkalmazsok nvkeresst hasznlnak a velk kommunikl szmtgp rendszer azonostsra. Az interneten megtallhat egy teljes nvkeressi DNS hierarchia, melynek segtsgvel brmely nyilvnosan regisztrlt IP cm feloldhat. Sok magnhlzat sajt maga implementlja a helyi nvkeressi znjt a hlzat szmtgprendszernek azonostsra. Nvkeresst hasznl a ping a[ Ip-cm] parancs is. Elsdleges znk Az elsdleges DNS zna mdosthat. Ha egy j erforrs bejegyzst hozz kell adni vagy egy ltez bejegyzst frissteni, trlni kell, akkor a mdostst az elsdleges znban vgzik. Ha egy elsdleges zna tallhat a DNS kiszolgln, akkor a kiszolgl a felels azrt a znrt, rendelkezik a zna bejegyzseit rint krsekre adhat vlaszokkal. Minden DNS tartomnyban egyetlen elsdleges zna lehet, illetve egy elsdleges cmkeressi s egy elsdleges nvkeressi zna. Msodlagos znk A msodlagos zna egy olvashat tartalk (backup) zna, melyet az elsdleges zntl kln kiszolgln kell trolni. Ez tulajdonkppen az elsdleges zna msolata s az elsdleges zntl kapja a frisstseket. Mivel a msodlagos zna csak egy olvashat backup zna, gy minden bejegyzs frisstst a megfelel elsdleges znn kell elvgezni. Msodlagos znbl is lehet cmkeressi s nvkeressi zna is. A DNS zna elrhetsgi kvetelmnyeitl fggen tbb msodlagos zna is lehet sztszrva.
175
7. ISP szolgltatsok
176
7. ISP szolgltatsok
A DNS kiszolgl elrhetsgnek elvesztse veszlyeztetheti a nyilvnos erforrsok lthatsgt. Ha a felhasznlk olyan tartomnynevet gpelnek be, melyet nem lehet feloldani, akkor nem tudjk elrni az erforrst. Ezrt amikor egy szervezet regisztrl egy tartomnynevet az interneten, akkor legalbb kt DNS kiszolglnak el kell kldeni a regisztrcit. Ezek a kiszolglk troljk a DNS zna adatbzist. Tartalk DNS kiszolglk biztostjk, hogy az egyik kiesse esetn a msik elrhet legyen nvfeloldsra. Ez adja a rendszer hibatr kpessgt. Ha a hardver erforrsok lehetv teszik egy znn bell kt vagy tbb DNS kiszolgl elhelyezst, akkor nagyobb vdelmet s szervezettsget lehet elrni. Szintn hasznos, ha a zna informcit trol DNS kiszolgli fizikailag kln hlzaton vannak. Pldul az elsdleges DNS znainformci trolhat a vllalat helyi DNS kiszolgljn. ltalban az ISP-nl trolhat egy msodlagos DNS kiszolgl a kiess elkerlsre. A DNS kritikus hlzati szolgltats, ezrt tzfalakkal s ms biztonsgi mdszerekkel kell vdeni. Kiesse esetn a webszolgltatsok elrhetetlenek lesznek.
177
7. ISP szolgltatsok
A TCP/IP alkalmazs rtegbeli protokollok ezen ISP szolgltatsok s alkalmazsok tbbsgt lehetv is teszik. A legismertebb TCP/IP alkalmazsi rtegbeli protokollok a HTTP, FTP, SMTP, POP3 s IMAP4. Sok felhasznl biztonsggal szembeni elvrsai nagyobbak, ezrt az alkalmazsi rtegbeli protokollok biztonsgos verzii is rendelkezsre llnak, mint pldul az FTPS s a HTTPS.
178
7. ISP szolgltatsok
Ha kapcsolatba lpnk egy HTTP kiszolglval egy weboldal letltse cljbl, az egysges erforrs azonost (URL uniform resource locator) segtsgvel trtnik a kiszolgl s a meghatrozott erforrs helynek meghatrozsa. Az URL meghatrozza: A hasznlt protokollt Az elrni kvnt kiszolgl tartomnynevt A kiszolgln tallhat erforrs helyt, mint pldul http://example.com/example1/index.htm
Sok webkiszolgl alkalmazs megengedi a rvid URL-ket. A rvid URL-ek azrt is npszerek, mert knny megjegyezni, lerni vagy tovbbadni ket. Egy rvid URL-lel az erforrs alaprtelmezett oldala jelenthet meg. Amikor a felhasznl begpel egy rvidtett URL-t, mint pldul: http://example.com, akkor az alaprtelmezett oldalt kapja meg, ami tulajdonkppen a http://example.com/example1/index.htm weboldal. A HTTP proxy szolgltatsokat is tmogat. A proxy kiszolgl lehetv teszi az gyfelek szmra, hogy kzvetett hlzati kapcsolatokat alaktsanak ki ms hlzati szolgltatsokkal. A kommunikcis folyam kzbls eszkze, mely az gyfl fel gy viselkedik, mint egy kiszolgl, a kiszolgl fel pedig, mint egy gyfl. Az gyfl kapcsoldik a proxy kiszolglhoz s kr egy msik kiszolgln tallhat erforrst a proxytl. A proxy kapcsoldik a meghatrozott kiszolglhoz s lehvja a krt erforrst, majd tovbbtja az gyfl fel. A proxy kiszolgl egy elrekonfigurlt idre eltrolhatja az oldalt vagy az erforrst a cache-ben, gy ksbbi gyflkrsek esetn lehetv teszi a gyors weboldal letltst a tvoli kiszolgl elrse nlkl. A proxy-kat hrom szempont miatt is hasznljk: Gyorsasg A cache-ben eltrolt informci lehetv teszi az gyfl ltal krt erforrs ms gyfelek szmra trtn gyors letltst a tnyleges kiszolgl elrse nlkl. Biztonsg A proxy kiszolglk felhasznlhatk szmtgpes vrusok s ms rosszindulat programok felfogsra s az gyfeleknek val tovbbts megakadlyozsra. Szrs A proxy kiszolglk ltjk a bejv HTTP zeneteket s szrik a nem megfelel vagy tmad tartalm weboldalakat.
A HTTP titkostatlan szveget kld az gyfl s a kiszolgl kztt. Ezek az zenetek knnyen elfoghatk s olvashatk jogosulatlan felhasznlk szmra. Az adatok, fleg a bizalmas informci vdelmre, sok ISP nyjt biztonsgos webszolgltatst HTTPS segtsgvel. A HTTPS tulajdonkppen
179
7. ISP szolgltatsok
HTTP, egy biztonsgos csatol rteg (SSL secure socket layer) felett. A HTTPS ugyanazt az gyflkrs kiszolglvlasz zeneteket hasznlja mint a HTTP, de az adatokat a hlzaton trtn tvitel eltt SSL hasznlatval titkostja. Amikor a HTTP adatfolyam megrkezik a kiszolglhoz, akkor a TCP rteg tadja a kiszolgl alkalmazsi rtegben lv SSL-nek dekdolsra. A HTTPS kiszolgl kevesebb egyidej kapcsolatot tud elltni, mint a HTTP kiszolgl. A HTTPS tbbletterhelst r a kiszolglra az adatforgalom titkostsa s dekdolsa rdekben. A kiszolgl teljestmnynek javtsra a HTTPS-t csak indokolt esetben rdemes hasznlni, pldul bizalmas adatok kldse esetn.
7.4.3 FTP
Az FTP egy sszekttets-alap protokoll, mely TCP-t hasznl az gyfl folyamat s a kiszolgl folyamat kztti kommunikci lebonyoltsra. Az FTP implementcik a protokoll rtelmez (PI Protocol Interpreter) s az adattviteli folyamat (DTP data transfer process) funkcikat is tartalmazzk. A PI s a DTP kt kln folyamatot hatroznak meg, melyek egytt dolgoznak a fjltvitelben. Ennek eredmnyekppen az FTP kt kapcsolat megltt ignyli az gyfl s a kiszolgl kztt. Egyet a vezrl informcik s parancsok kldshez, egyet pedig az aktulis adattvitelhez. Protokoll rtelmez (PI - Protocol Interpreter) A PI a f vezrl kapcsolat az FTP gyfl s az FTP kiszolgl kztt. Ltrehozza a TCP kapcsolatot s tovbbtja a vezrl informcit a kiszolglnak, amely a fjl hierarchin trtn naviglshoz, tnevezshez vagy fjlmozgatshoz szksges parancsokat is magba foglalja. A vezrl kapcsolat vagy vezrl folyam addig nyitva marad, mg a felhasznl be nem zrja. Amikor egy felhasznl kapcsoldni akar egy FTP kiszolglhoz, akkor ez t lpsben trtnik: 1. lps: A felhasznl PI kapcsolat felpts krst kld a kiszolgl PI-nek a 21-es porton. 2. lps: A kiszolgl PI vlaszol s a kapcsolat felplt. 3. lps: Miutn a TCP vezrl kapcsolat megnylt, a kiszolgl PI megkezdi a bejelentkezsi folyamatot. 4. lps: A felhasznl a felhasznli interfszen keresztl megadja a szemlyi adatait, s elvgzi a hitelestst. 5. lps: Megkezddik az adattvitel.
180
A DTP egy klnll adattviteli funkci. Ez a funkci csak akkor engedlyezett, ha a felhasznl akar tnylegesen llomnyokat le vagy feltlteni az FTP kiszolglra. A PI kapcsolattl eltren, mely nyitva marad, a DTP kapcsolat automatikusan bezrul a fjltvitel befejezse utn.
Az FTP ltal tmogatott ktfajta adatkapcsolat az aktv s a passzv kapcsolat. Aktv adatkapcsolatok Aktv adatkapcsolat esetn az gyfl kezdemnyezi a krst a kiszolgl fel s megnyit egy portot a vrt adatnak. A kiszolgl aztn kapcsoldik az gyflhez a megadott porton s megkezddik a fjltvitel. Passzv adatkapcsolatok Passzv adatkapcsolat esetn az FTP kiszolgl nyit meg egy vletlenszeren kivlasztott portot (nagyobb, mint 1023). A kiszolgl elkldi az FTP gyflnek az IP cmt s a megnyitott port szmt egy vezrl folyamon. A kiszolgl vrja az FTP gyfl kapcsoldst s a fjltvitel megkezdst. Az ISP-k az FTP kiszolglknak ltalban passzv adatkapcsolatokat szolgltatnak. A tzfalak gyakran nem engedlyezik az aktv FTP kapcsolatokat a bels hlzaton lv llomsok szmra.
181
7. ISP szolgltatsok
Az SMTP megbzhatan s hatkonyan tovbbtja a leveleket. Az SMTP alkalmazsok megfelel mkdshez az zenetnek megfelel formjnak kell lennie, s az SMTP folyamatoknak mind az gyfl, mind a kiszolgl llomson futnia kell. Az SMTP zenetnek van egy fejrsze s adatrsze. Mg az zenet adatrsze tetszleges mennyisg szveges informcit tartalmazhat, addig a fejrsznek megfelel formtum cmzett s felad cmet kell tartalmaznia. A tbbi fejrsz informci nem ktelez.
182
7. ISP szolgltatsok
Amikor az gyfl e-mailt kld, akkor az SMTP folyamata kapcsoldik a kiszolgl SMTP folyamathoz a jl ismert 25-s porton. A kapcsolat felptse utn az gyfl megksrli a kapcsolaton keresztl az e-mail kldst. Ha a kiszolgl megkapja az zenetet, akkor vagy elhelyezi egy helyi levelzfikban vagy tovbbtja egy msik kiszolglnak ugyanazon az SMTP folyamaton keresztl. A cllloms e-mail kiszolglja lehet, hogy nem elrhet az zenetklds idejben, ezrt az SMTP eltrolja az zeneteket egy sorban a ksbbi kldshez. A kiszolgl peridikus idkznknt ellenrzi az zenetsort s jra megprblja elkldeni. Ha az zenetet nem sikerlt egy elre meghatrozott lejrati idn bell kzbesteni, akkor visszakerl a feladhoz kzbestetlenl. Az e-mail zenet fejrsznek egyik szksges mezje a cmzett e-mail cme. Az e-mail cm felptsben megtallhat az e-mail fik neve vagy egy fednv a levelez kiszolgl tartomny neve mellett. Plda az e-mail cmre: cmzett@cisco.com A @ szimblum a kiszolgl tartomny nevt s a levelez fik nevt vlasztja el egymstl. Ha a DNS kiszolgl egy olyan krst kap, amiben megtallhat a @ szimblum, akkor tudja, hogy egy levelez kiszolgl IP-cmt kell keresnie. Ha az zenet a cmzett@cisco.com-nak szl, akkor a tartomnynevet elkldik a DNS kiszolglnak, hogy a tartomny levelez kiszolgljnak IP-cmt megszerezzk. A evelez kiszolglkat a DNS-en bell egy MX bejegyzs jellel klnbztetik meg. Az MX egy erforrs bejegyzs tpus, mely a DNS kiszolglkon megtallhat. Ha a cllloms levelez kiszolglja megkapja az zenetet, akkor eltrolja a megfelel levelesldban. A leveleslda helye az e-mail cm els rszben meghatrozott elfizeti fikon alapszik, jelen esetben ez a "cmzett" elfizeti fik. Az zenet addig a levelesldban marad, amg a cmzett nem kapcsoldik a kiszolglhoz s le nem tlti az e-mailt. Ha a levelez kiszolgl kap egy e-mail zenetet, ami egy ismeretlen elfizeti fiknak szl, az e-mailt kzbestetlenl visszakldi a feladnak. Postafik protokoll 3-as verzi (POP3 Post Office Protocol) lehetv teszi egy munkalloms szmra az e-mailek levelez kiszolglrl trtn lehvst. POP3 esetn az e-mailek letlts utn trldnek a kiszolglrl. A kiszolgl a POP3 szolgltatst a 110-es TCP port passzv figyelsvel teszi elrhetv az gyflek szmra. Ha az gyflnek szksge van a szolgltatsra, akkor krst kld a TCP kapcsolat felptsre. A kapcsolat felptse utn a POP3 kiszolgl egy dvzl zenetet kld. Az gyfl s a POP3 kiszolgl utastsokat s vlaszokat vltanak egymssal, addig amg a kapcsolat nem zrul vagy meg nem szakad. Mivel az e-mail zeneteket az gyfelek letltik s aztn a kiszolglrl trldnek, gy az zenetek nincsenek egyetlen kzponti helyen trolva. Mivel a POP3 nem trolja az zeneteket, ezrt kis vllalatok szmra nem ajnlott, mert kzpontostott mentsi megoldst ignyelnek. POP3 az ISP-k szmra megfelel vlaszts, mivel nem szksges a levelezkiszolglkon nagymret trolterlet fenntartsa s karbantartsa.
183
7. ISP szolgltatsok
Internetes zenetelrsi protokoll (IMAP4 Internet Message Access Protocol) egy msik e-mail hozzfrsi mdszert definil. A POP3-tl eltren azonban, amikor a felhasznl az IMAP kiszolglhoz kapcsoldik, az gyfl alkalmazs az e-mail zeneteknek csak egy msolatt tlti le. Az eredeti zenetek kezeli trlsig a kiszolgln maradnak. A felhasznlk a levelez gyflprogram segtsgvel tekinthetik meg az zenetek msolatt. Az gyfelek a kiszolgln fjlhierarchit hozhatnak ltre a levelek trolsra s rendszerezsre. A fjlhierarchia msolata az e-mail gyflen is megtallhat. Ha az gyfl trl egy zenetet, akkor a kiszolgl szinkronizlja a mveletet s trli az zenetet a kiszolglrl. Kis s kzpvllalatok szempontjbl sok elnye van az IMAP szolgltatsnak. Az IMAP hossztv e-mail trolst, s kzpontostott mentst tesz lehetv. Az alkalmazottak szmra az e-mailek tbb helysznrl, klnbz eszkzkkel s gyflprogrammal trtn elrst is tmogatja. A leveleslda knyvtrszerkezetnek megtekintse fggetlen a leveleslda elrsi mdjtl. Egy ISP szmra az IMAP nem megfelel vlaszts. Nagyon kltsges lenne az e-mailek trolshoz szksges trkapacits megvsrlsa s karbantartsa. Ezen fell az gyfelek postafikjainak rendszeres mentse tovbb nveln az ISP kltsgeit.
184
7. ISP szolgltatsok
185
8. ISP felelssg
8. ISP felelssg
8.1 ISP biztonsgi megfontolsok
8.1.1 ISP biztonsgi szolgltatsok
Brmilyen internet kapcsolat esetn a szmtgp rosszindulat tmadsok clpontjv vlhat. A krokoz vagy rosszindulat programok, mint a szmtgpes vrusok, frgek vagy kmprogramok levlben, illetve weboldalak letltsvel rkezhetnek. Az ltaluk keletkezett, vltoz mrtk hibk, gyakran az ISP hlzatnak nem biztonsgos elfizeti asztali gpeirl szrmaznak. Ha az ISP webhelyek s e-kereskedelmi oldalak trolsval is foglalkozik, bizalmas kereskedelmi s bankszmlkkal kapcsolatos adatokat is trolhat, minek kvetkeztben az elfizetk adatainak biztonsgos trolsa elengedhetetlen kvetelmny. Az internetszolgltatk fontos szerepet jtszanak az otthoni s zleti felhasznlk vdelmben, tovbb biztonsgi szolgltatsaikkal vdik a nluk elhelyezett kiszolglkat is. A felhasznlk gyakran krik segtsgket hlzataik s munkallomsaik vdelme rdekben a veszly kockzatnak cskkentsre. Szmos lehetsg ll rendelkezsre mind a helyi, mind a szolgltati oldalon az opercis rendszer, a benne trolt s a rendszerek kztt szlltott adatok vdelmre. Ha egy internetszolgltat trhely s levelez szolgltatst nyjt, fontos feladata az adatok vdelme a rosszindulat tmadsokkal szemben. A vdelem megteremtse bonyolult lehet, mert az egyetlen vagy nhny kiszolgln trolt adatok tbb felhasznlhoz tartozhatnak. A sebezhet felletek elleni tmadsok megelzsre a szolgltatk knnyen kezelhet, asztali lehetsgeket nyjtanak. A helyszni telept munkjnak fontos rszt kpezi az alapvet biztonsgi lehetsgek teleptse s belltsa az gyfl szmtgpn, melyek az albbiak lehetnek: Segtsgnyjts az eszkzk biztonsgos jelszavainak belltshoz. Alkalmazsok javtsi s frisstsi lehetsgekkel trtn vdelme. A tmadsi felletet jelent, m nem hasznlt programok s szolgltatsok eltvoltsa. Felhasznlk ltal hozzfrhet s kizrlag a szmukra szksges alkalmazsok biztostsa. Asztali tzfal s vrusellenrz program belltsa. Biztonsgi tesztek elvgzse a programokon s szolgltatsokon a sebezhet pontok feldertse s fokozott vdelme rdekben.
Jelszvdelem Vlasszon sszetett jelszt! Az sszetett jelszavak nagybetk, kisbetk, szmok s szimblumok keverke. Legalbb nyolc karakter hossz, s nem alapulhat sztri szavakon vagy szemlyes informcin, amelyet valaki kitallhat.
186
8. ISP felelssg
Szintn javasolt a jelsz rendszeres megvltoztatsa. Lteznek programok, amelyek lehetv teszik a tmadknak a jelszavak feltrst a betk, szmok s szimblumok sszes lehetsges kombincijnak problgatsval. A jelsz vltoztatgatsval a "nyers er" szerinti jelszfeltrs valsznsge eltrpl, mivel a prblgats rengeteg idt vesz ignybe, mikzben a jelsz folyton mdosul. Felesleges szolgltatsok A szmtgprendszer veszlyeztetsnek egyik legltalnosabb mdszere a nem, vagy rosszul konfigurlt szolgltatsok kiaknzsa. A szolgltats termszetbl addan figyeli a kls szmtgpes rendszerekbl rkez krseket. Ha a szolgltatsnak kiismerhet s jl kiaknzhat forgalma van a rossz konfigurci eredmnyeknt, a tmad vagy egy freg veszlyeztetheti, s hozzfrst szerezhet a szolgltatst futtat szmtgphez. Bevlt mdszerknt az sszes nem hasznlt szolgltats eltvoltsa vagy kikapcsolsa javasolt. A szksges vagy nem eltvolthat szolgltatsok esetn meg kell gyzdni a helyes konfigurcirl. Javtsok kezelse Szinte naponta, folyamatosan azonostanak j, kiaknzhat biztonsgi hzagokat az opercis rendszerekben. Egyszer bngszssel ezek megkereshetk, brki rtallhat a napjainkban hasznlt sszes opercis rendszer kiaknzhat felleteinek listjt tartalmaz oldalakra. A programfejlesztk rendszeresen hoznak forgalomba frisstseket - bizonyos esetekben naponta. Az opercis rendszerek frisstseinek rendszeres figyelemmel kisrse s teleptse elengedhetetlen. A legtbb tmads, ami egy hekkertl, vagy egy vrus vagy freg ltal okozott fertzstl indul ki, az oprcis rendszer folyamatos javtsval megakadlyozhat.
Felhasznl jogosultsgok Egy korszer opercis rendszerben tbb hozzfrsi szint ltezik. Ha a felhasznlknak rendszergazdai, azaz korltlan hozzfrsk van a rendszerhez, a krokozk knnyebben rthatnak a szmtgpnek. A norml felhasznli azonost nem jogostja fel tulajdonost j alkalmazsok teleptsre, mivel nincs hozzfrse sem a legtbb alkalmazs teleptshez szksges llomnyrendszerhez, sem a
187
8. ISP felelssg
rendszer llomnyokhoz. Ennek eredmnyeknt a norml felhasznl nem annyira rzkeny rosszindulat fertzsekre, melyek az llomnyrendszer bizonyos rszeihez prblnak hozzfrni vagy telepteni r valamit. Legjobb megoldsknt a felhasznlknak csak azt a hozzfrsi szintet szabad engedlyezni, amely a mindennapi munkjukhoz elengedhetetlen. Rendszergazdai hozzfrs csak abban az esetben alkalmazhat, amikor olyan mveletek elvgzsre van szksg, melyek a norml felhasznlk szmra nem megengedettek. Tipp A Microsoft szabadon letlthet segdeszkze a Microsoft Baseline Security Analyzer (MBSA) (Microsoft alap biztonsgi elemz) program, amely megvizsgl minden, norml felhasznli hozzfrssel teleptett Windows szolgltatst, s mg az opercis rendszer jelenlegi javtsi szintjt is ellenrzi. Msik npszer tvizsgl segdprogram a Nessus Vulnerability Scanner, amely nem csak Windowson, hanem ms, klnbz platformon is fut. Szmos tovbbi eszkz rhet el interneten. Rendszerint a legjobb megoldst az adja, ha legalbb egy (de inkbb tbb) program vizsglja t a rendszer biztonsgt.
llomnyok s knyvtrak jogosultsgainak belltsakor a "lehet legkevesebb eljog elve" alapjn rhet el a legnagyobb biztonsg. Ez annyit jelent, hogy a felhasznlknak csak annyi jogosultsgot szabad adni az erforrsok elrshez, amennyi a munkjuk elvgzshez elengedhetetlenl szksges. Azaz a megfelel jogosultsgi szintet kell hozzjuk rendelni, pldul hozzfrs csak olvassra vagy rsra. Hitelests, Jogosultsg ellenrzs s Naplzs (AAA Authentication, Authorization, Accounting) a rendszergazdk ltal hasznlt hrom lpses eljrs, amely megnehezti a tmadk hlzathoz trtn hozzfrst. A hitelests sorn a felhasznlnak azonostania kell magt
188
8. ISP felelssg
egy felhasznlnvvel s egy jelszval. A hitelestsi adatbzisokat ltalban RADIUS vagy TACACS protokollt hasznl kiszolglkon troljk. A jogosultsgok kezelsvel a felhasznlk megfelel jogokat kapnak az erforrsok elrshez s bizonyos feladatok elvgzshez. Naplzssal nyomonkvethetk a felhasznlk ltal hasznlt alkalmazsok s hasznlati idejk. Pldul a hitelestsi folyamat rsze a "tanul " nev felhasznl felismerse s a rendszerbe trtn bejelentkezsnek engedlyezse. Az jogosultsg ellenrzs meghatrozza a "tanul" felhasznl jogait az XYZ kiszolgl elrshez Telnet segtsgvel. A naplzs nyomonkveti a "tanul" felhasznl hozzfrst az XYZ kiszolglhoz s a Telnet hasznlatt egy bizonyos napon 15 percen keresztl. Az AAA klnbz hlzati kapcsolatokban hasznlhat. Adatbzis alkalmazsval tartja nyilvn a felhasznli azonostkat, jogosultsgokat s hozzfrsi statisztikkat. A helyi hitelests a legegyszerbb megolds, ebben az esetben a helyi adatbzist az tjr forgalomirnytn lehet elhelyezni. Ha egy szervezetnek tbb tucat felhasznlt kell hitelestenie az AAA segtsgvel, kln kiszolgln kell az adatbzist fenntartania.
8.1.3 Adattitkosts
Az internetszolgltatknak a kiszolglk kztti adatforgalom vdelmt is biztostaniuk kell. A hlzatok alaprtelmezett adattovbbtsa nem biztonsgos, nylt szvegben trtnik, amelyet illetktelen felhasznlk lehallgathatnak. Az tmen forgalom adatainak elfogsa sorn az sszes, az adatokon belltott llomnyrendszerbeli vdelmet elkerlik. Vannak mdszerek a biztonsgi problmk elleni vdelemre. Titkosts A digitlis titkosts az gyfl s a kiszolgl kztti forgalom titkostst teszi lehetv. Szmos protokoll, amelynek biztonsgos vltozatt hasznljk az adattovbbtshoz, digitlis titkostst alkalmaz. Legjobb minden esetben a protokoll biztonsgos vltozatt hasznlni, valahnyszor bizalmas adatokat kell tovbbtani llomsok kztt. Pldul, amikor egy felhasznl a bejelentkezse sorn megersti a felhasznlnevt s jelszavt egy e-kereskedelemmel foglalkoz oldalon, biztonsgos protokoll szksges az adatok vdelme rdekben. Szintn elengedhetetlen a biztonsgos protokollok hasznlata a hitelkrtyval s bankszmlval kapcsolatos adatok hasznlatnl. Az internet bngszse s nyilvnos honlapok nzegetse kzben az adatok biztonsgos tovbbtsa nem szksges, st, felesleges szmtsi tbbletet s lassabb vlaszidt eredmnyezhet.
189
8. ISP felelssg
Az alkalmazsok szmos hlzati protokollt hasznlnak, melyek kzl nmelyiknek van biztonsgos vltozata, nmelyiknek azonban nincs: Web kiszolglk - A Web kiszolglk HTTP protokollt hasznlnak, amely nem biztonsgos. A HTTPS, Biztonsgos tviteli protokoll (SSL - Secure Socket Layer) alkalmazsval azonban lehetv vlik a biztonsgos adattovbbts. Levelez kiszolglk - Klnbz protokollokat hasznlnak, pldul SMTP, POP3 s IMAP4. A felhasznl bejelentkezse sorn a POP3 s az IMAP4 felhasznlnevet s jelszt kr a hitelestshez, amelyeket nem biztonsgos mdon kldenek. A POP3 SSL segtsgvel biztonsgoss tehet. Az SMTP s az IMAP4 SSL-t s Szlltsi rtegbeli biztonsg (TLS Transport Layer Security) protokollt is hasznlhat a vdelem rdekben. Telnet kiszolglk - Cisco forgalomirnytra vagy kapcsolra trtn Telnet bejelentkezs esetn a kapcsolat nem biztonsgos. A Telnet program a hitelest adatokat s a parancsokat nylt szvegknt kldi a hlzaton keresztl, de a Biztonsgos Parancshj (SSH - Secure Shell) protokoll hasznlatval a hitelests s a munka biztonsgos mdon trtnik. FTP kiszolglk - Az FTP szintn nem biztonsgos protokoll, a bejelentkezshez s a hitelestshez krt adatokat nylt szvegknt tovbbtja. SSL hasznlatval a biztonsgos adatklds megvalsthat, s nmely verzi SSH alkalmazsra is kpes. llomnykiszolglk - A szmtgp opercis rendszertl fggen tbb klnbz protokollt is hasznlhatnak adattovbbtsra, de az esetek tbbsgben ezek nem biztonsgosak.
Az IP Biztonsg (IPSec - IP Security) egy hlzati rtegbeli protokoll, amellyel brmely alkalmazs rtegbeli protokoll hasznlata biztonsgos kommunikcit eredmnyez. Ez magban foglal llomnykiszolgl protokollokat, amelyeket semmilyen ms biztonsgi protokollverzi nem knl.
190
8. ISP felelssg
191
8. ISP felelssg
Az internetszolgltatknak kpesnek kell lennik az olyan hlzati forgalom kiszrsre, mint pldul a DoS tmads, amely veszlyezteti a hlzatuk vagy a kiszolglk mkdst. A Portszrs (Port filtering) s a hozzfrsi lista (ACL - access control list) segtsgvel a kiszolgl s ms hlzati eszkzk fel men adatforgalom szablyozhat. Portszrs Meghatrozott TCP vagy UDP portok alapjn ellenrzi az adatforgalmat. Szmos kiszolgl opercis rendszerben van lehetsg a hozzfrsek korltozsra portszrs segtsgvel. Hlzati forgalomirnytkon s kapcsolkon is gyakran hasznljk a forgalom ellenrzsre s az eszkzkhz val biztonsgos hozzfrshez.
192
A hozzfrsi listkkal definilhat a tiltott vagy engedlyezett hlzati forgalom a forrs s cl IPcmek alapjn, valamint a hasznlt protokoll forrs- s clportjai alapjn. Tovbb az ICMP zenetek s a forgalomirnyt protokollok frisstsei is ellenrizhetk. A rendszergazda ACL-eket hoz ltre olyan hlzati eszkzkn, mint pldul a forgalomirnyt, annak eldntsre, vajon a forgalom tengedhet-e vagy sem. Az ACL-ek a vdelemnek csak az els lpsei, nmagukban nem elgsgesek a hlzat biztonsghoz. Csupn megelzik a hlzathoz trtn hozzfrst, de nem vdik meg a rosszindulat tmadsok minden fajtjtl.
8.2.2 Tzfalak
A tzfal olyan hlzati hardver vagy szoftver, amely meghatrozza, melyik forgalom jhet be vagy tvozhat a hlzat bizonyos rszeibl, illetve hogyan kell az adatokat kezelni. Az ACL mechanizmus egy a tzfalak ltal hasznlt eszkzk kzl, amelyek szablyozzk, mely forgalom haladjon t a tzfalon. Az engedlyezett forgalom irnya is szablyozhat. Egy kzepes mret hlzatban az ellenrizni kvnt forgalom, illetve a szablyozand hlzati protokollok mennyisge igen nagy lehet, gy a tzfalon elhelyezett ACL-ek tl bonyolultt vlhatnak.
193
8. ISP felelssg
A tzfalak hozzfrsi listkat hasznlnak az tengedhet s a letiltand forgalom ellenrzsre. llandan fejldnek, ahogy j kpessgeket fejlesztenek ki, s j fenyegetseket fedeznek fel. A klnbz tzfalak klnbz jellemzkkel rendelkeznek. Az llapotalap tzfalknt is ismert dinamikus csomagszr tzfalak llapottbla alkalmazsval kpesek a forrs- s cleszkzk kztti kommunikci kvetsre. Ezek adott adatfolyamok engedlyezst kveten csak az azokhoz tartoz forgalom thaladst engedik a tzfalon. A Cisco IOS-be gyazott Cisco IOS tzfal hasznlatval a forgalomirnytk hlzati rtegbeli dinamikus, llapotalap csomagszr tzfalknt is hasznlhatk. A tzfalak llandan fejldnek, ahogy j kpessgeket fejlesztenek ki, s j fenyegetseket fedeznek fel. Minl tbb begyazott funkcival rendelkeznek, annl tbb idt vesz ignybe a csomagok feldolgozsa. A tzfalak a hlzat egsz terletnek hatrbiztonsgt s a bels, helyi szegmensek, pldul kiszolgl-farmok, vdelmre is jl hasznlhatk. Egy ISP hlzaton bell vagy egy kzepes mret vllalat hlzatban a tzfalakat ltalban tbb rtegben valstjk meg. A nem megbzhat hlzatbl bejv forgalom elszr egy hatrforgalomirnyt csomagszrjn halad t, amelynek bels tzfala az engedlyezett csomagokat egy demilitarizlt zna fel (DMZ - demilitarized zone) irnytja. A DMZ az internet fell rkez felhasznlk szmra hozzfrhet kiszolglkat trolja s kizrlag az a forgalom rkezhet ide, amelyiknek engedlyezett ezekhez a kiszolglkhoz trtn hozzfrse. A tzfalak a vdett, bels hlzatba rkez forgalom tpust is ellenrzik. ltalban a bels eszkzk meghatrozott krseire rkez vlaszok engedhetk be a bels hlzatba. Pldul, ha egy bels eszkz egy kls kiszolgltl kr egy weboldalt, a tzfal beengedi. Nmely szervezet bels tzfalat alkalmaz az rzkeny terletek vdelmre. Ezek a tzfalak a fokozott vdelmet ignyl terletek elrsnek korltozsra hasznlhatk. Elklntik s vdik a kiszolglkon elhelyezett vllalati erforrsokat a szervezeten kvli felhasznlktl, megakadlyozzk a kls s bels vletlenszer vagy akr rosszindulat a tmadsoktl.
194
8. ISP felelssg
Az IDS s IPS szenzorok klnbz mdon vlaszolnak a hlzatban szlelt, nem megszokott esemnyekre, de mindegyiknek sajt szerepe van a hlzatban.
Az IDS megoldsok reaktvak, a behatols szlelsekor riasztanak. A behatolst a jellemz hlzati forgalom vagy a szmtgp jellemz tevkenysgnek ismeretben, az attl val eltrs alapjn
195
8. ISP felelssg
detektljk. A kezdeti forgalmat nem tudjk lelltani a clpont elrse eltt, csak reaglnak a detektlt esemnyre. A rosszindulat forgalom szlelst kveten egy helyesen konfigurlt IDS meg tudja akadlyozni a kvetkez tmadsokat az olyan hlzati eszkzk jrakonfigurlsval, mint a biztonsgi berendezsek vagy a forgalomirnytk. Megjegyzend, hogy a kezdeti tmads keresztlhalad a hlzaton az rintett clpont fel, lelltani nem lehet, csak a tovbbi rosszindulat forgalom akadlyozhat meg. Ebben a tekintetben, az IDS nem tudja teljes mrtkben megakadlyozni a sikeres tmadst. Gyakran a hlzatok nem megbzhat hatrvonalban alkalmazzk, a tzfalon kvl. Itt az IDS tudja elemezni a tzfal fel halad forgalom tpusokat s meghatrozza milyen a vgrehajtott tmads. A tzfallal blokkolhat a legtbb rosszindulat forgalom. IDS a tzfalon bell is elhelyezhet a tzfal flrekonfigurlsnak felismersre. Amikor az IDS itt van elhelyezve, brmely felbukkan vszjel azt mutatja, hogy rosszindulat forgalom lett tengedve a tzfalon. Ezek a vszjelek a tzfal helytelen konfigurcijt jelzik. IPS Az IDS megoldsaival ellenttben, melyek reaktvak, az IPS megoldsai proaktvak. Minden gyans esemnyt azonnal blokkolnak. Az IPS majdnem a teljes adatcsomagot kpes megvizsglni az OSI modell msodik rtegtl a hetedikig. Amikor rosszindulat forgalmat szlel, azonnal blokkolja, majd vszjelet kld a felgyel llomsnak a behatolsrl. A kiindul s a rkvetkez tmadsokat egyarnt megakadlyozza. Megjegyzend, hogy az IPS egy behatols detektl berendezs, nem pedig egy program. ltalban a tzfalon bell helyezik el, ezrt tudja megvizsglni a teljes adatcsomagot s megvdeni a kiszolgl alkalmazsokat tmads esetn. A tzfal ltalban nem vizsglja meg a teljes csomagot, mint az IPS, hanem a legtbb nem engedlyezett csomagokat eldobja, de mg gy is tengedhet rosszindulat csomagokat. Mivel az IPS-nek kevesebb szm adatcsomagot kell megvizsglnia, ellenrizheti az egsz csomagot, gy azonnal blokkolhatja az jabb tmadsokat, amelyek a tzfal eredeti konfigurcijban mg nem voltak tiltva. Az IPS olyan tmadsokat is kpes meglltani, amelyeket a tzfal, sajt korltaibl kifolylag, nem tud.
196
A hitelests az a folyamat, mely sorn hitelest informcik alapjn dl el a belps engedlyezse. A kapcsoldni kvn eszkzk megbzhatsgnak eldntsre hasznljk. Hrom hitelestsi mdszer hasznlhat: Nylt hitelests - Szemlytl fggetlenl, brmely felhasznl kaphat hozzfrst. ltalban nyilvnos vezetknlkli hlzatokban hasznljk. Elre megosztott kulcs (PSK - Pre-shared key) - A kiszolglnak s az gyflnek egyarnt, egy megegyez, elre konfigurlt kulcsra van szksge. Kapcsolds esetn, a hozzfrsi pont egy vletlen bjtsorozatot kld a felhasznlnak, amelyet az titkost (vagy sszekever) a kulcs alapjn, majd visszakld. A hozzfrsi pont a titkostott karaktersorozatot a kulcs segtsgvel visszafejti (vagy visszakeveri). Egyezs esetn a hitelests sikeres. Kiterjeszthet hitelest protokoll. (EAP - Extensible Authentication Protocol) - Klcsns vagy kt-utas hitelestst s felhasznlhitelestst tesz lehetv. Ha EAP-ot hasznl programot teleptettek egy llomsra, az gyfl egy kiszolgl oldali hitelest szerverrel kommunikl, mint pldul a RADIUS.
MAC-cm szrs belltsa A MAC-cm szrs megakadlyozza az illetktelen szmtgp hlzatra csatlakozst a MAC-cmek korltozsval. Br a mdszer mkdik, mgis, mivel a MAC-cm lemsolhat, ms biztonsgi megoldsokkal egytt alkalmazand! A legfontosabb a vezetknlkli hlzaton keresztl kldtt adatok titkostsa. WLAN-ok esetn hrom fontos titkostsi eljrs ltezik: Vezetkessel egyenrtk titkosts (WEP - Wired Equivalent Privacy) - Vezetknlkli csompontok kztt kldtt adatok titkostsra szolgl. 64, 128, vagy 256 bites, elre kiosztott kulcsokat alkalmaz. Legnagyobb hibja a kulcsok llandsgbl addik, azaz minden eszkznl ugyanazt a kulcsot hasznlja az adatok titkostsra. Szmos WEP feltr eszkz rhet el az Interneten, ezrt csak rgebbi eszkzkn hasznlhat, amelyek nem tmogatjk az jabb biztonsgi protokollokat. WiFi vdett hozzfrs (WPA - Wi-Fi Protected Access) - egy j vezetknlkli titkostsi protokoll, amely egy tovbbfejlesztett titkostsi algoritmust, az tmeneti kulcsintegrits protokollt (TKIP - Temporal Key Integrity Protocol) hasznlja. A TKIP egyedi kulcsot generl minden gyfl szmra, amelyeket egy konfigurlhat intervallumon bell forgat. Klcsns hitelestsi eljrst nyjt, mivel a felhasznl s a hozzfrsi pont egyarnt rendelkezik a kulccsal, amelyet sohasem kldenek t a hlzaton. WPA2 - A WPA egy j, tovbbfejlesztett vltozata. A WPA2 a biztonsgosabb Fejlett titkostsi szabvnyt (AES - Advanced Encryption Standard) hasznlja.
197
8. ISP felelssg
ismeretlen sebezhetsgeikkel szemben, amikor csak lehetsges. Egy lehetsges megoldst jelentenek az llomsalap tzfalak. Az llomsalap tzfal kzvetlenl a munkalloms opercis rendszern fut program. Megvdi a szmtgpet az olyan rosszindulat tmadstl, amelyik a vdelem sszes tbbi rtegn keresztljutott. A hlzaton belli s kvli forgalmat egyarnt ellenrzi. Lehetv teszi a szmtgp cme s portja szerinti szrst, mely tovbbi vdekezsi lehetsget ad a hagyomnyos portszrsen tl. Az llomsalap tzfalak ltalban elre meghatrozott szablyokkal kaphatk, amelyek blokkoljk az sszes berkez forgalmat. A szablyokhoz kivteleket hozzadva vlik engedlyezett a bejv s a kimen forgalom megfelel arnya. Az llomsalap tzfal alkalmazsakor fontos megtartani az egyenslyt a feladatok elvgzshez szksges erforsok hozzfrhetsge, s a rosszindulat tmadsok clpontjait jelent alkalmazsok megelzse kztt. Szmos kiszolgl opercis rendszerben egy korltozott lehetsg, egyszer llomsalap tzfal tallhat. Fejlettebb, kls gyrtk ltal forgalmazott csomagok szintn elrhetk. Az ISP-k llomsalap tzfalakat hasznlnak arra, hogy korltozzk egy kiszolgl ltal ajnlott specifikus szolgltatsokhoz val hozzfrst. Egy llomsalap tzfal hasznlatval az ISP megvdi a szervereiket s az elfizetik adatait, a meglv, de felesleges portjai elrsnek blokkolsval.
Az llomsalap tzfalakat alkalmaz ISP kiszolglk vdettek a tmadsok s sebezhetsgek klnbz fajtival szemben. Ismert tmadsok Az llomsalap tzfalak frissthet alrsoknak is nevezett jellemz aktivitsmintk alapjn ismerik fel a rosszindulat tevkenysget, majd blokkoljk a forgalmat a tmads ltal hasznlt porton. A kihasznlhat szolgltatsok Az llomsalap tzfalak vdik a kihasznlhat szolgltatsokat nyjt kiszolglkat a szolgltats portjain trtn elrs megakadlyozsval. Nmelyek a csomag tartalmt is kpesek ellenrizni a rosszindulat kdok felismerse rdekben. A web s levelez kiszolglk npszer clpontjai a
198
8. ISP felelssg
szolgltats tmadsoknak, de csomagvizsglatra alkalmas llomsalap tzfalak alkalmazsval megvdhetk. Frgek s vrusok Frgek s vrusok a szolgltatsok sebezhetsgnek kiaknzsval s az opercis rendszerek ms gyengesgeivel terjednek. Az llomsalap tzfalak megakadlyozzk az ilyen rosszindulat programok hozzfrst a kiszolglkhoz. Megakadlyozhatjk a frgek s vrusok terjedst is a kiszolgltl szrmaz kimen forgalom ellenrzsvel. Back Doors s Trjai falovak A Back door-ok (hts ajt) s Trjai falovak lehetv teszik a hekkerek tvoli hozzfrst a hlzat kiszolglihoz. A program ltalban zenetet kld a hekkernek, tudatva vele a behatols sikeressgt, majd lehetsget ad a rendszerhez val hozzfrshez. Az llomsalap tzfal a kimenforgalom korltozsval megakadlyozhatja a trjai fal zenetkldst s a tmad brmely szolgltatshoz val kapcsoldst.
199
8. ISP felelssg
Az anti_X program teleptsvel mg tfogbb biztonsgi szint rhet el. Az anti_X segt a szmtgp vdelmben a vrusok, frgek, kmprogramok, rosszindulat programok, adathalszat s mg a spam tmadsokkal szemben is. Tbb internetszolgltat nyjt anti_X programot a teljeskr biztonsgi szolgltatsaik rszeknt. Nem minden anti-X szoftver vd meg ugyanazokkal a fenyegetsekkel szemben. Az ISP-nek llandan szemmel kell tartania, hogy az anti-X szoftver valjban mely veszlyek ellen vd, s a veszlyek elemzse alapjn kell javaslatokat tennie. Szmos anti_X programcsomag tesz lehetv tvoli felgyeletet, azaz tartalmaz megfigyel rendszert, amely elektronikus levlben vagy szemlyi hvn figyelmezteti az adminisztrtort vagy mszaki szakembert az illetktelen behatolsrl. A megfelel szemly azonnali tjkoztatsa jelentsen cskkenti a tmadsok kvetkezmnyeit. Anti_X hasznlatval a rosszindulat esemnyek szma nem cskkenthet, viszont a fertzsek kockzata igen. Alkalmanknt a fertzsek s tmadsok ersen rombol hatsak lehetnek, ezrt fontos az esetek felgyelete s a megfelel megoldsok nyomonkvetse a fertzsek jbl val bekvetkezsnek elkerlse rdekben. Az esemnyfelgyelethez a felhasznlk adait nyilvn kell tartani, mert az internetszolgltat az elfizeti fel ktelezi magt a vdelem s az adatok srtetlensgnek biztostsra. Pldul, ha egy hekker a tmadsval hitelkrtyaszmok szzait lopta el a szolgltat ltal felgyelt adatbzisbl, rtestenie kell elfizetit, hogy azok rtesthessk a krtyatulajdonosokat.
200
8. ISP felelssg
Az SLA fontos dokumentum, mely egyrtelmen vzolja a hlzat felgyelett, megfigyelst s fenntartst.
201
8. ISP felelssg
202
8. ISP felelssg
eszkzk, mint pldul a forgalomirnytk, a Telnet-dmon s a Telnet-gyflprogramot egyarnt tmogatjk,ezrt akr gyflknt, akr kiszolglknt hasznlhatk. Egy Telnet kapcsolat felplst kveten a felhasznlk brmilyen engedlyezett mveletet vgrehajthatnak a kiszolgln, gy, mintha magn a kiszolgln hasznlnk a parancssort. Megfelel jogosultsg esetn a felhasznl elindthat s lellthat folyamatokat, konfigurlhatja az eszkzt, vagy akr a rendszert is lellthatja. Telnet kapcsolatot a forgalomirnyt parancssorbl a telnet parancs s azt kveten egy IP-cm vagy egy domain nv segtsgvel lehet kezdemnyezni, egyszerre akr tbb kiszolglval is. Cisco forgalomirnytn a Ctrl-Shift-6 X billentykombincival lehet a Telnet kapcsolatok kztt vlasztani. Radsul egy Telnet kiszolgl kpes egyszerre tbb gyfllel kommuniklni. Egy kiszolglknt mkd forgalomirnytn a show sessions paranccsal megjelenthetk az gyflkapcsolatok. Br a telnet a felhasznlk hitelestst tmogatja, a hlzaton tkldtt adatok titkostst nem. A telnetkapcsolat teljes adatforgalma nylt szvegknt tovbbtdik, az zenetek a felhasznlnvvel s jelszval egytt knnyen lehallgathatk. Amennyiben a biztonsg is fontos szerepet jtszik, a Secure Shell (SSH) protokoll teremt alternatv megoldst a kiszolgl biztonsgos elrshez. Az SSH biztonsgos tvoli bejelentkezst s ms hlzati szolgltatsokat nyjt, valamint a Telnetnl ersebb hitelestsi mdszert s titkostott adatszlltst. A hlzati szakembereknek minden lehetsges esetben az SSH hasznlata ajnlott Telnet helyett. Az SSH kiszolgl alkalmazsnak kt vltozata ltezik, a vlaszts az eszkzre betlttt Cisco IOS verzijtl fgg. Asztali gpenn futtathat SSH gyfl esetn tbb klnbz programcsomag rhet el. Az SSH gyflnek tmogatnia kell a kiszolgln konfigurlt vltozatot.
203
8. ISP felelssg
A felgyel lloms futtatja a rendszergazda ltal a hlzati eszkzk konfigurlsra hasznlt SNMP alkalmazst. Itt troldnak az adatok ezekrl az eszkzkrl. A felgyeleti lloms az eszkzk lekrdezsvel gyjti az adatokat. Lekrdezs akkor kvetkezik be, amikor a felgyel lloms meghatrozott informcikat kr egy gynktl. Az gynk tjloztatst ad, vlaszolva a lekrdezsre. Amikor a felgyel lloms lekrdez egy gynkt, az gynk elveszi a MIB-ben sszegyjttt statisztikt. Az SNMP gynkk nem csak lekrdezhetk, trap-nek nevezett nll riasztzenet elkldsre is konfigurlhatk. A trap egy esemnyvezrelt jelzs. Bizonyos terleteken az gynkkn egy kszbvagy maximumrtket konfigurlnak, amely pldul egy meghatrozott porton thalad adatforgalom mennyisgre vonatkozik. Ha a forgalom mennyisge a kszbt elri, az gynk riasztzenetet kld a felgyel llomsnak. A riasztzenetek megkmlik a felgyel llomsokat a hlzati eszkzk folyamatos lekrdezstl. A felgyel llomsok s a felgyelt eszkzk hitelestse egy kzssgi azonostnak nevezett karakterlnc alapjn trtnik. Az SNMP gynk s az SNMP lloms kzssgi karakterlncnak meg kell egyeznie. Amikor az gynk egy lekrdezs vagy egy riasztzenetet generl esemny hatsra informcit kld a felgyel llomsnak, mindketten elszr a karakterlncot egyeztetik. A hlzat megfigyelsnek fontos rsze a device log (eszkz napl) trolsa s rendszeres idkznknti fellvizsglata. A Syslog a rendszeresemnyek naplzsra kidolgozott szabvny. Az SNMP-hez hasonlan egy alkalmazs-rtegbeli protokoll, amely lehetv teszi az eszkzk informcikldst a felgyeleti llomson teleptett s futtatott syslog dmon szmra. A Syslog rendszer egy kiszolglbl s egy gyflbl ll. Az elbbiek fogadjk s feldolgozzk az gyfelek naplzsi zeneteit, az utbbiak az eszkzk megfigyelst vgzik, amirl tjkoztatjk a Syslog kiszolglt. A naplzsi zenetek ltalban egy azonostbl, az zenet tpusbl, az elklds idpontjt jell idblyegbl (dtum, id) s az zenet szvegbl llnak. A kld hlzati eszkztl fggen, a felsoroltaknl tbb elemet is tartalmazhatnak.
204
8. ISP felelssg
205
8. ISP felelssg
Amikor az ISP-nek adatai mentsre vagy archivlsra van szksge, a lehetsgek kltsgnek s hatkonysgnak egyenslyban kell lennie. Az archivlsi hordozk kivlasztsa a szmos befolysol tnyez kvetkeztben sszetett feladat. Nhny tnyez az albbi lehet: Adat mennyisge Trolhely kltsge Trolhely teljestmnye Trolhely megbzhatsga A kls trols egyszersge
Tbbfle archivlsi hordoz ltezik, pldul szalagok, optikai lemezek s flvezet alap httrtrak. A szalag mig a legkzismertebb kls trolk egyike, nagy kapacits, s mig a piac leginkbb kltsghatkony trolja. Ha az adatmennyisg meghaladja egyetlen szalag trolkpessgt, a mentsi folyamat alatt az automatikus betltk s knyvtrak cserlgethetik a szalagokat, lehetv tve annyi adat eltrolst, amennyire szksg van. Az automatikus betltk s knyvtrak igen kltsgesek lehetnek, amivel a kis- s kzpvllalatok ltalban nem is rendelkeznek, mindamellett nagyobb adatmennyisg esetn, lehetsges, hogy nincs ms vlasztsuk. A szalag hibarzkenysge nagy, a vezrleszkzt rendszeresen tiszttani kell a hibtlan mkds rdekben. Knnyen elkopik, ezrt csak meghatrozott ideig hasznlhat. A szalagoknak klnbz fajti lteznek: Digitlis adattrol (DDS - Digital data storage) Digitlis hangszalag (DAT - Digital audio tape) Digitlis lineris szalag (DLT - Digital linear tape) Nylt (formtum) lineris szalag (LTO - Linear tape-open)
Mindegyik tpus klnbz kapacits s teljestmny jellemzkkel rendelkezik. Optikai lemezek Az optikai lemez kis mennyisg adat esetn a legkedveltebb troleszkz. A cd 700 MB, az egyoldalas kt rteg dvd tbb, mint 8.5 GB adat trolsra kpes, a HD-dvd s a Blue-Ray lemezek kapacitsa a 25 GB-ot is meghaladhatja. A weboldalak tartalmnak a felhasznlk s az ISP kiszolglk kztti hordozsra mindkt fl egyarnt optikai trolkat alkalmazhat. Az optikai hordozk brmely szmtgprl knnyen elrhetk cd vagy dvd meghajt segtsgvel.
206
A merevlemez alap mentsi rendszerek egyre kzkedveltebb vlnak alacsony kltsgk s nagy trolsi kapacitsuk kvetkeztben. Mindamellett a merevlemezek msik helyen trtn trolsa nehzkes. A hatalmas lemeztmbk, mint a kzvetlenl csatlakoztatott trol (DAS - direct attached storage), hlzathoz kapcsolt trol (NAS - network attached storage) s a trol hlzatok (SAN storage area network) nem hordozhatk. A merevlemez alap mentsi rendszerek klnbz megvalstsai a szalagos mentsi rendszerekkel egyttmkdnek a kls helyen trtn trolsban. Tbbszint biztonsgi ments esetn a merevlemezes s a szalagos lehetsgek egyarnt gyors helyrelltsi idt tesznek lehetv a merevlemezen helyileg elrhet adatok s a hossztv archivlsi megoldsok kombinlsval. Flvezet alap trol rendszerek A flvezet alap trol rendszerekkz soroland az sszes nemfelejt troleszkz, amelyben nincsenek mozg rszek. A pdk szles sklja az 1 GB trolsra kpes, kicsi postai blyeg mret eszkztl az 1000 GB (1 TB) adat trolsra kpes forgalomirnytnak megfelel mret eszkzkig terjed. Az adatok gyors trolsi s visszakereshetsgi ignye esetn kitn. A flvezet alap trol rendszerek alkalmazsai kz sorolhatk az adatbzisgyorstk, a HD vide letltk s szerkesztk, az informaciszolgltatk s a trolhlzatok (Storage Area Network- SAN) A nagy tejestmny, flvezet alap trol rendszerek kirvan drgk lehetnek, de a technikai fejlds termszetbl fakadan az rak folyamatosan cskkennek.
207
A klnbsgi ments esetn, mindig csak a legutols teljes ments ta keletkezett vagy vltozott llomnyokrl kszl msolat. Ennl a mdszernl a mentsi ciklus els napjn teljes ments szksges, azt kveten pedig mindig csak az ahhoz kpest trtnt vltozsok, egszen a ciklus vgt jelent legkzelebbi teljes mentsig. Ezltal a folyamat kevesebb idt vesz ignybe. Az adatok helyrelltshoz az utols teljes s az utols klnbsgi ments szksges. Nvekmnyes A nvekmnyes ments egyetlen lnyeges pontban tr el a klnbsgitl. Amg a klnbsgi ments sorn az utols teljes ments utn trtnt vltozsokrl kszl msolat, addig a nvekmnyes esetben az utols nvekmnyes ments ta bekvetkezett vltozsokat kell elmenteni. Ha minden nap nvekmnyes mentsi eljrs trtnik, az archivlsi kzegen mindig csak az aznapi vltozsok troldnak. A nvekmnyes mentsi mdszer a leggyorsabb, viszont a helyrelltsi folyamata a legidignyesebb, mivel az utols norml s az utna kvetkez sszes nvekmnyes ments szksges hozz.
208
8. ISP felelssg
A mentsi rendszerek a helyes mkds rdekben rendszeres karbantartst ignyelnek. Lteznek a mentsek sikeressgt segt eljrsok: Az adathordozk cserje - szmos mentsi mdszer ignyli az adathordozk napi cserjt, az elmentett adatok elzmnyeinek fenntartsra. Ha a szalagot vagy lemezt nem cserlik napi rendszeressggel, adatveszts lphet fel. Mivel a szalagok cserje kzzel vgezhet feladat, ki van tve a hiba bekvetkezsnek. A felhasznlnak szksgk van egy feljegyzsi mdszerre, mint a naptr vagy hatridnapl. A mentsi naplzsok ttekintse - Jformn az sszes mentsre szolgl program ltrehoz naplzsi llomnyokat. Ezek az llomnyok tjkoztatnak a mvelet sikeressgrl, vagy meghatrozzk a hiba helyt. A mentsi naplzsok rendszeres felgyelete lehetv teszi brmely olyan mentsi problma gyors azonostst, amely megkveteli a figyelmet. Helyrelltsi folyamatok kiprblsa - Mgha a naplk szerint a ments sikeres is volt, felmerlhetnek a naplkban nem jelzett, ms problmk. Az adatok rendszeres prbahelyrelltsval ellenrizhet az elmentett adatok hasznlhatsga s a mentsi eljrs megfelel mkdse. Az eszkzvezrl karbantartsa - Sok archivlsi rendszer specilis hardvereket ignyel az eljrs vgrehajtshoz. A szalagos mentsi rendszer a szalag olvasshoz s rshoz mgnesszalagos egysget hasznl, amely a hasznlat sorn piszkoldik, s ksbb mechanikai hibhoz vezethet. Ezrt megfelel tisztt szalagok segtsgvel rendszeres tiszttst kell rajta vgezni. A merevlemez alap archivl rendszereken alkalmanknt tredezettsg-mentests ajnlott a teljestmny nvelse rdekben.
209
8. ISP felelssg
1. lps: A ping parancs segtsgvel az llomny trolsra szolgl TFTP kiszolglval fenntartott kapcsolat ellenrzse. 2. lps: A forgalomirnyt flash memrijban trolt IOS kd ellenrzse. Az llomny nevnek s mretnek megtekintse a show flash parancs hasznlatval. Fontos megbizonyosodni a kiszolgln tallhat szabad hely megfelel mretrl. 3. lps: Az IOS rendszerkd TFTP kiszolglra trtn msolsa az albbi parancs segtsgvel. Router# copy flash tftp A copy parancs alkalmazsnl a forgalomirnyt kri a felhasznltl a forrs llomnynevet, a TFTP kiszolgl IP-cmt s a cl llomnynevet. A TFTP kiszolgln trolt rendszerkd llomnyok segtsgvel a hlzat forgalomirnytinak s kapcsolinak Cisco IOS szoftvere helyrellthat vagy frissthet. A forgalomirnytk IOS rendszerkd frisstsnek s a rendszerkd TFTP szerverre val mentsnek a lpsei hasonlak. Hasznlja a show flash parancsot a flashben lv bjtok szmnak megllaptsra, s bizonyosodjk meg arrl, hogy az IOS szmra van elegend szabad hely, mieltt elkezdi a frisstst vagy a visszalltst. A Cisco IOS frisstsre a kvetkez parancs szolgl: copy tftp: flash: Frissts sorn a forgalomirnyt kri a felhasznltl a TFTP kiszolgl IP-cmt, majd a kiszolglrl letlteni kvnt rendszerkd nevt. Ha nincs elegend hely mind a rgi, mind az j kd trolsra, a forgalomirnyt krheti a felhasznlt a flash trlsre. A kd flash memribl trtn eltvoltsa alatt a folyamatot jelz "e" betk sora jelenik meg. A letlts befejeztvel az ellenrzsre is sor kerl, s ezzel a hlzati eszkz ksz az jraindulsra az j Cisco IOS rendszerkddal. Ha az IOS kd elveszett s helyre kell lltani, egy kln eljrs szksges ROMmon md hasznlatval.
Ha a belltsok alapjn a forgalomirnyt flashbl indul, de onnan a Cisco IOS rendszerkdot kitrltk, megsrlt vagy helyhiny kvetkeztben nem elrhet, azt helyre kell lltani. Ennek leggyorsabb mdja a TFTP hasznlata ROM monitor (ROMmon) mdbl. A ROMmon TFTP tvitel egy meghatrozott LAN interfszen keresztl trtnik, amely alaprtelmezsben az els elrhet LAN interfsz. A mvelet vgrehajtshoz a felhasznlnak elszr be kell lltania nhny krnyezeti vltozt, belertve az IP-cmet, majd a tftpdnld parancs segtsgvel helyrelltani a kpfjlt.
210
8. ISP felelssg
A ROMmon krnyezeti vltozinak belltshoz be kell gpelni a vltoz nevt, majd az egyenlsg (=) jelet, s vgl a vltoz rtkt. Pldul az IP-cm 10.0.0.1-re trtn belltshoz be kell gpelni az IP_ADDRESS=10.0.0.1. parancsot. A szksges krnyezeti vltozk a kvetkezk: IP_ADDRESS - a LAN interfsz IP-cme IP_SUBNET_MASK - a LAN interfsz alhlzati maszkja DEFAULT_GATEWAY - a LAN interfsz alaprtelmezett tjrja TFTP_SERVER - a TFTP kiszolgl IP-cme TFTP_FILE - a Cisco IOS llomnyneve a kiszolgln
A set parancs hasznlatval a ROMmon krnyezeti vltozi megnzhetk s ellenrizhetk. A vltozk belltsa utn a tftpdnld parancsot kell hasznlni. Az Cisco IOS llomny sszes adatcsomagjnak megrkezse utn egy felkilt jel (!) jelenik meg. Amint az IOS msolata elkszl, a Flash memria meglv tartalma kitrldik, melybe nem csak az aktulis IOS fjl, hanem az sszes itt trolt llomny is beletartozik. Ezrt ezek megvsa s szksg esetn helyrelltsa rdekben a msolatok TFTP kiszolgln trtn ideiglenes trolsa elengedhetetlen. A ROMmon parancssornak (rommon1>) megjelensekor a forgalomirnyt a reset parancs, vagy az i begpelsvel jraindthat. A forgalomirnyt most a flash memriban trolt j Cisco IOS rendszerkd alapjn fog indulni.
211
8. ISP felelssg
vllalat katasztrfa okozta fizikai s szocilis vltozsokhoz trtn alkalmazkodsnak biztostsa. Katasztrfa lehet, a hlzat szerkezett rint termszeti csapsoktl kezdve a hlzatot rt rosszindulat tmadsokig, brmi. A katasztrfahelyzet-helyrelltsi terv informcikat tartalmazhat ms telephelyekrl, ahova a szolgltatsok ttehetk, a hlzati eszkzk s kiszolglk kikapcsolsrl, valamint a tartalk csatlakozsi lehetsgekrl. A terv elksztse sorn elengedhetetlen a mkds fenntartshoz szksges kritikus szolgltatsok teljes megrtse. Katasztrfahelyzet esetn is elrhetnek kell lennie az albbi szolgltatsoknak: Adatbzisok Alkalmazskiszolglk Rendszerfelgyeleti kiszolglk Web Adattrolk Cmtr
A katasztrfahelyzet-helyrelltsi terv ksztsnl fontos megrteni a szervezet ignyeit s elnyerni a tmogatst. Sok lps kell egy hatkony helyrelltsi terv elksztshez. Sebezhetsgfelmrs - Fel kell mrni a kritikus vllalati folyamatok s alkalmazsaik srlkenysgnek mrtkt egy htkznapi katasztrfa esetn. Kockzatfelmrs - Elemezni kell az esetleges katasztrfa s hatsainak kockzatt illetve kltsgt. A kockzati felmrs rszeknt ssze kell lltani a tz legvalsznbb katasztrfa listjt a kvetkezmnyeikkel egytt, belertve a vllalat teljes megsemmislst is. Szervezsi tudatossg - Hasznlja fel a sebezhetsgekrl s a kockzatokrl sszegyjttt informcikat, hogy elnyerje a felsbb vezets tmogatst a katasztrfahelyzethelyrelltsi projekthez. A felszerelsek s elhelyezkedsek fenntartsa egy esetleges katasztrfa helyzet helyrelltsban igen kltsges lehet, ezrt a vezetkkel fontos megrtetni a lehetsges kvetkezmnyeket. Tervez csoport felltsa - Fel kell lltani egy tervez csoportot a katasztrfahelyzethelyrelltsi stratgia s terv kidolgozsra s megvalstsra. Akr kis vagy kzepes
212
8. ISP felelssg
mrtk katasztrfa esetn is fontos, hogy mindenki tisztban legyen a feladataival s ktelezettsgeivel. Elsbbsgi sorrend fellltsa - Prioritst kell rendelni minden, a vllalat hlzatt, alkalmazsait s rendszereit rint lehetsges katasztrfahelyzethez, gymint kritikus, fontos vagy kevsb fontos.
A tervhez elszr a vezetsget kell megnyerni, majd vgl mindenkit, aki a kritikus vllalati folyamatokban dolgozik. A siker rdekben mindenkinek rszt kell vennie benne, s tmogatnia kell a tervet. A vllalkozs szmra legfontosabb alkalmazsok s szolgltatsok meghatrozst kveten, a gyjttt informcik alapjn el kell kszteni a katasztrfahelyzet-helyrelltsi tervet. t f lps szksges a terv megvalstshoz: 1. lps - Hlzathelyrellt stratgia A hlzat tervnek elemzse. A hlzat tervnl figyelembe vett katasztrfahelyrelltsi szempontok a kvetkezk: Vajon a tervezett hlzat tllne-e egy nagyobb katasztrft? Lteznek-e tartalk kapcsolatok s redundancik a hlzatban? Azok a nem helysznen trolt kiszolglk, melyek olyan alkalmazsokat tmogatnak, mint a levelezs vagy adatbzis-kezels, elrhetk maradnak-e? Megszakadna-e a tartalk forgalomirnytk, kapcsolk s ms hlzati eszkzk elrhetsge? A hlzat szmra szksges erforrsok s szolgltatsok elhelyezkedse nagy fldrajzi terletre terjed-e ki?
2. lps - Leltr s dokumentci Leltr ksztse az sszes helyrl, az sszes eszkzrl, gyrtrl, a felhasznlt szolgltatsokrl s a kapcsolatok neveirl! A kockzatfelmrsi lpsben megbecslt kltsg ellenrzse. 3. lps - Ellenrzs Olyan tesztfolyamat ltrehozsa, melynek segtsgvel ellenrizhat a katasztrfahelyrelltsi stratgia mkdkpessge. Bevlt katasztrfahelyzet-helyrelltsi gyakorlat a terv korszersgnek s hatkonysgnak biztostsra. 4. fzis - Jvhagys s megvalsts A felsvezetk jvhagysnak elnyerse, s a terv megvalstsi kltsgvetsnek elksztse. 5. fzis - Fellvizsglat A katasztrfahelyrelltsi tervezet megvalstst kvet els vben a terv fellvizsglata.
213
8. ISP felelssg
214
8. ISP felelssg
215
9. Hibaelhrts
9. Hibaelhrts
9.1 Hibaelhrtsi mdszerek s eszkzk
A hlzati szakemberek egyik legfontosabb kpessge a hlzati problmk megoldsnak kpessge. A j problmamegold kpessggel rendelkez hlzati szakemberek mindig keresettek. ppen ezrt a Cisco kpestsek vizsgi a hlzati hibk felismersre s megoldsra helyezik a hangslyt. A hlzati hibaelhrts sorn a szakemberek ltalban az OSI referenciamodell vagy a TCP/IP hlzati modell segtsgvel hatroljk be a hiba lehetsges okt. A logikai hlzati modellek rtegekre bontjk a hlzati mkdst. Az OSI s a TCP/IP modell rtegei jl meghatrozott feladatokat ltnak el adott protokollokkal. A hibaelhrts sorn nagyban megknnyti a szakember munkjt, ha tisztban van az egyes rtegek feladataival, jellemzivel, az azokhoz tartoz eszkzkkel, illetve az adott rteg tbbi rteghez val viszonyval. A fejezet sorn az OSI s a TCP/IP modell mentn pl fel a hlzati hibaelhrts szerkezete. A fejezet elkezdse eltt rdemes tismtelni a CCNA Discovery: Otthoni s kisvllalati hlzatok s CCNA Discovery: Hlzati feladatok kis- s kzpvllalatoknl vagy internetszolgltatknl tananyag OSI s TCP/IP modellre vonatkoz rszeit! Az OSI referenciamodell mint hibaelhrtsi segdeszkz Az OSI referenciamodell a hlzati technikusok s fejlesztmrnkk kzs nyelve. Fontos megrteni az OSI modell egyes rtegeiben felmerl feladatokat, s megismerni e feladatok vgrehajtst szolgl hlzati eszkzket. Az OSI modell felsbb (5-7) rtegei jellemzen specilis alkalmazsi funkcit ltnak el, tbbnyire szoftveresen valstjk meg ket. A problmk gykere ltalban az gyfl vagy a kiszolgli oldalon fut vgfelhasznli szoftverek belltsaiban keresend. Az OSI modell alsbb (1-4) rtegei elssorban az adattovbbtsi krdsekrt felelsek. A 3. (hlzati) s 4. (szlltsi) rteget ltalban teljesen szoftveresen valstjk meg. Egyttal a vgrendszerek szoftveres hibit, s a forgalomirnytk s tzfalak konfigurcis hibit tartjk felelsnek e kt rtegben elfordul problmk tbsgrt. Az IP-cmzsi s a forgalomirnytsi hibk a 3. rtegre jellemzek. Az 1. (fizikai) s a 2. (adatkapcsolati) rteg szoftveres s hardveres sszetevkbl pl fel. A fizikai rteg az tviteli kzeghez (mint pldul a kbelezs) ll legkzelebb, s ez a rteg a felels az adatok tviteli kzegre juttatsrt. Az 1. s a 2. rtegben elfordul hibk zmrt hardveres vagy kompatibilitsi problmk okolhatk.
216
9. Hibaelhrts
Mindhrom megkzelts alapja a hlzati mkds rtegekre bontsa. Elsdleges cljuk, hogy a hibaelhrtst vgz szemly knnyen tudja az egyes rtegek mkdsi funkciit ellenrizni, illetve a hibt egy adott rtegre behatrolni. Fentrl lefel - Az alkalmazsi rteggel kezd s rtegenknt halad lefel. A problmt a felhasznl s az alkalmazs szemszgbl nzi. Csak egy alkalmazs nem mkdik vagy egyik sem? A felhasznl pldul elri a klnbz weblapokat az interneten, de az elektronikus levelezst nem? A tbbi llomson is tapasztalhatk hasonl problmk? Alulrl felfel - A fizikai rteggel kezd s rtegenknt halad felfel. A fizikai rteg a kbelezsre s a fizikai sszetevkre koncentrl. Nem lazult meg egyik kbel sem? Amennyiben vannak kijelz fnyek az eszkzn, azok vilgtanak vagy sem? Oszd meg s uralkodj - Valamelyik kzbls rteggel kezd s onnan halad rtegenknt felfel vagy lefel. A hibaelhrtst vgz szakember kezdheti pldul az IP-cmzsi belltsok ellenrzsvel. Ezek a hibaelhrtsi mdszerek tkletesek lehetnek kezd hibaelhrt szemlyeknek. A tapasztaltabbak gyakran mellzik ezeket a strukturlt mdszereket s sztneikben, illetve tapasztalataikban bznak.
217
9. Hibaelhrts
218
A logikai topolgia mutatja meg, hogyan ramlanak az adatok a hlzatban. Az egyes hlzati eszkzk (forgalomirnytk, kiszolglk, hubok, llomsok s biztonsgi berendezsek) kln jellst kapnak. A rajz ltalban az albbi rszleteket tartalmazza: Eszkz azonost IP-cm s alhlzati maszk Interfsz azonost Irnyt protokollok Statikus s alaprtelmezett tvonalak Adatkapcsolati rtegbeli protokollok WAN-technolgik
A hlzati diagram mellett szmos tovbbi eszkz segtheti a hatkony hibaelhrtst a hlzati teljestmny javtsa s a rendszerhibk feltrsa sorn. Hlzati dokumentcis s alapszint-ellenrz eszkzk Ilyen eszkzk szp szmban llnak rendelkezsre Windows, Linux s UNIX opercis rendszerekhez is. A CiscoWorks nev szoftver kivlan alkalmas a hlzati diagramok megrajzolsra, a szoftver- s hardverdokumentci naprakszen tartsra, valamint a jellemz hlzati svszlessgigny kltsghatkony felmrsre. A hlzati mkds alapszintjnek meghatrozshoz ezek a szoftverek ltalban monitoroz s jelentskszt eszkzket biztostanak. Hlzatfelgyeleti rendszereszkzk A hlzatfelgyeleti rendszereszkzk (NMS - Network Management System tools) elsdleges feladata a hlzat teljestmnynek kvetse. A hlzati eszkzk fizikai elrendezst jelentik meg grafikusan. Meghibsods esetn ezekkel az eszkzkkel meghatrozhat a hiba forrsa, tovbb kiderthet, hogy rosszindulat program, betrsi ksrlet vagy egy eszkz meghibsodsa okozta a hibt. A gyakran hasznlt hlzatfelgyeleti eszkzk kz tartozik a CiscoView, a HP Openview, a SolarWinds s WhatUp Gold. Tudsbzis Mra az egyes gyrtk ltal gondozott tudsbzisok nlklzhetetlen informciforrsokk nttk ki magukat. Az on-line tudsbzisok internetes kereskkel trtn kombinlsa hatalmas mennyisg tapasztalati alapokon nyugv ismeret hozzfrst teszik lehetv. Protokollelemzk A protokollelemzk a kereteket kpesek hlzati rtegekre tagoltan dekdolni s viszonylag knnyen rtelmezhet alakban megjelenteni, s ezltal a hlzati forgalmat tovbbi elemzs cljbl rgzteni. Az gy rgztett kimenet klnbz ignyek s kritriumok szerint szrhet: megjelenthet pldul csak egy adott eszkzrl indtott s annak cmzett forgalom. A Wireshark s a hasonl protokollelemz alkalmazsok a hlzaton forgalmazott adatokrl nyjtanak rszletes hibaelhrtsi informcit. J plda a protokollelemzkkel feltrhat informcira a kt lloms kztt zajl TCP viszony felptse s lezrsa. 219
9. Hibaelhrts
220
9. Hibaelhrts
Szoftveres eszkzkkel sokszor nem knny az OSI modell als rtegeiben jelentkez hibk felismerse. Ezekben az esetekben fontos segtsget nyjthatnak a hardveres hibaelhrt eszkzk: a kbelteszter, a multimter s a hlzatelemz. Kbelteszterek A kbelteszterek olyan kismret clmszerek, melyeket klnbz kommunikcis kbelek ellenrzsre terveztek. Alkalmazsukkal feltrhatk a trtt kbelek, a hibs bektsek, a rvidzrlatok s a felcserlt kbelek. A fejlettebb eszkzk, mint pldul a TDR kbelteszter (timedomain reflectometer - idtartomnyi reflektomter) kpesek a kbelben a szakads helyt is meghatrozni. Kbelteszterrel meghatrozhat a kbel hossza is.
221
A digitlis multimterek olyan mrmszerek, melyekkel kzvetlenl mrhetnk bizonyos elektromos jellemzket: feszltsget, ramerssget s ellenllst. A hlzati hibaelhrtsban a multimter elssorban az egyes ramforrsok feszltsgszintjeinek s az adott hlzati kszlkek ramelltsnak ellenrzsekor hasznos. Hordozhat hlzatanaliztorok A hlzat tetszleges pontjn egy hlzatanaliztor kapcsolhoz csatlakoztatsval rgtn lthatv vlik az adott szegmens tlagos s cscskihasznltsga. Analiztorral az is knnyen kiderthet, hogy melyik eszkz generlja a legnagyobb hlzati forgalmat, de elemezhet vele a forgalom is protokollok szerint, vagy akr rszletesen vizsglhatk az egyes interfszek. A hlzatanaliztorok klnsen jl hasznlhatk rosszindulat programok, vagy szolgltatsmegtagadsi tmads okozta problmk feldertsekor.
222
9. Hibaelhrts
223
9. Hibaelhrts
Az adatkapcsolati rteg (azaz a 2. rteg) definilja az adott kzegen trtn tovbbtsra elksztett adatok formtumt. Ebben a rtegben kerl szablyozsra a kzeghozzfrs is. A 2. rteg teremti meg a kapcsolatot a hlzati rteg szoftveres megvalstsa s az 1. rteg hardveres LAN s WAN technolgii kztt. Az 1. s 2. rtegben elfordul hibk hatkony kezelshez elengedhetetlen a kbelezsi szabvnyok, a begyazsi folyamat s a keretformtumok ismerete. Az 1. rteg mkdkpessgnek ellenrzse utn meg kell llaptani, hogy a hiba a 2. rtegben jelentkezik-e, vagy valamelyik felsbb rtegben. Pldul, ha az lloms meg tudja pingelni a visszacsatolsi hurok cmt (127.0.0.1), de nem ri el a hlzati szolgltatsokat, akkor a hiba j esllyel a 2. rtegbeli keretezsben, vagy a hlzati csatol hibs belltsban keresend. A hlzati analiztorok s ms, hasonl on-line eszkzk segtsgvel behatrolhat a 2. rtegbeli hiba helye. Egyes esetekben az eszkzk felismerhetik a 2. rtegben jelentkez hibt, melyrl akr hibazenetet is kldhetnek a konzolra.
224
9. Hibaelhrts
225
3. Az indtsi konfigurcikat tartalmaz llomny megkeresse s betltse, vagy belltsi mdba vlts. Tetszleges Cisco hlzati eszkz elindtsakor hasznos a rendszerindts sorn megjelen konzolzenetek tanulmnyozsa. A Cisco IOS betltdse utn nhny paranccsal ellenrizhet, hogy a hardver- s szoftversszetevk valban megfelelen mkdnek-e. A show version parancs kimenetbl megllapthat a hasznlatban lev opercis rendszer verziszma, valamint megtudhat, hogy a rendszer rendben felismerte-e a hardver interfszeket. A show flash parancs a flash memria tartalmt listzza ki, belertve az Cisco IOS fjlnevt is. A kimenetbl megllapthat a hasznlatban lev s a szabad flash memria mrete. A show ip interfaces brief parancs kimenetben az egyes fizikai interfszek llapota s a hozzjuk rendelt IP-cmek lthatk. A show running-configuration s a show startup-configuration parancsok kimenetbl megllapthat, hogy minden utastst felismert-e a rendszer az indtsi folyamat sorn. Amikor egy eszkz nem indul el megfelelen, s ezzel hlzatlellst okoz, az eszkzt ki kell cserlni egy ellenrztten mkdkpes kszlkre a szolgltats helyrelltsa rdekben. A szolgltats helyrelltst kveten elegend idt kell sznni a meghibsodott eszkz diagnosztizlsra s javtsra. Ha a forgalomirnyt rendben elindult, kigyulladnak a zld jelzfnyek. Ha hibt szlelnek a rendszerindtsi folyamat sorn, a Cisco eszkzk alaprtelmezett mveletek segtsgvel (pldul ROMmon mdba lpve) megprblnak helyrellni. A kvetkezkben 5 gyakori rendszerindtsi hiba hibaelhrtsi stratgijt trgyaljuk meg. Az eszkz nem jut t az nellenrzsen Ha az nellenrzs sikertelen, nem jelennek meg zenetek a konzolkpernyn. Az eszkz tpustl fggen a rendszer LED vagy villog, vagy ms sznre vlt. A kijelz fnyek jelentse az eszkz lersban megtallhat. Ha az nellenrzs sikertelen, az eszkzt ki kell kapcsolni, a hlzati ramforrsbl ki kell hzni s el kell tvoltani az sszes interfszmodult. Ezek utn az eszkz jraindthat. Ha az nellenrzs mg mindig sikertelen, az eszkz javtsra szorul. Ha az interfszmodulok nlkl sikeres lesz az nellenrzs, akkor valsznsthet, hogy az egyik modul okozta a hibt. ramtalants utn egyenknt vissza kell szerelni az interfszmodulokat, s jraindtani a rendszert, hogy a hibs modul kiszrhet legyen. A hibs modult egy ellenrztten mkdkpes modulra ki kell cserlni, majd jra kell indtani a kszlket. Srlt Cisco IOS rendszerkd a flash memriban Ha a flash memriban trolt rendszerkd megsrlt, vagy hinyzik, a rendszerindt program nem tall rvnyes, betlthet opercis rendszert. Egyes Cisco eszkzkn van egy korltozott kpessg opercis rendszer is, melyet az eszkz betlt, ha nem tall opercis rendszert a flash memriban vagy ms meghatrozott helyen. Ezt a limitlt rendszerkdot nevezzk
226
9. Hibaelhrts
betltssegtnek (Boothelper). A betltssegtk sokszor nem rendelkeznek olyan szolgltatskszlettel, hogy sikeresen lehessen konfigurcis parancsokat futtatni, s ezltal helyrelltani az eszkz helyes mkdst. Betltssegt hinyban az eszkz ltalban ROMmon mdba lp. A ROMmon md parancsaival TFTP kiszolglrl betlthet egy mkdkpes Cisco IOS fjl. A rendszer nem ismeri fel a memrit, vagy memriahibt jelez Elfordulhat, hogy nem ll rendelkezsre kell mret memria az opercis rendszer kicsomagolshoz s betltshez. Ilyenkor hibazenetek peregnek a konzolkpernyn, vagy a rendszer folyton jraindul. Lehet, hogy ROMmon mdban elindthat ilyenkor is az eszkz. Ehhez a CTRL+Break billentykombincit kell letni rendszerindts kzben. ROMmon mdban, a megfelel parancs hasznlatval megllapthat a memria llapota. A rendes mkds helyrelltshoz elkpzelhet, hogy ki kell cserlni, vagy ki kell bvteni a memrit. A rendszer nem ismeri fel az interfszmodulokat A hibs vagy helytelenl teleptett interfszmodulokat a rendszer nem ismeri fel az nellenrzs vagy az IOS betltse sorn. Ilyenkor a show version parancs kimenetben listzott s hasznlhat interfszek nem egyeznek meg a fizikailag teleptett interfszekkel. j interfszmodulokat mindig ellenrizni kell, hogy a kszlken fut IOS tmogatja-e, illetve van-e elg memria a mkdshez. A hardver hiba biztonsgos felismershez a kszlk ramtalantsa s a tpcsatlakoz kihzsa utn az interfszmodult jra be kell szerelni a kszlkbe. Ha jratelepts utn sem ismeri fel a rendszer a modult, ki kell cserlni egy ellenrztten jl mkdre. Hibs vagy hinyz konfigurcis llomny Egyes Cisco kszlkek beptett automatikus teleptsi segdprogramot futtatnak, ha nem tallnak rvnyes konfigurcis llomnyt. Ez a segdprogram szrsos TFTP krst kld ki, hogy konfigurcis llomnyt szerezzen. Ms eszkzk azonnal a kezdeti konfigurcis prbeszdbe lpnek, amit belltsi segdprogramnak vagy belltsi mdnak is neveznk. Az automatikus teleptsi segdprogramot futtat kszlkek is belltsi mdba lpnek, ha 5 krs utn egyetlen TFTP kiszolgl sem vlaszol. A konfigurci betltse vagy ltrehozsa rdekben TFTP vagy kzi bellts is alkalmazhat. Az eszkzk nem tovbbtanak hlzati forgalmat, amg helyes konfigurcihoz nem jutottak.
227
9. Hibaelhrts
Down/down llapothoz vezet gyakori kbelezsi vagy tviteli kzeg hibk: Meglazult vagy megfeszl kbel - akr egyetlen rintkez rossz csatlakozsa az ramkr megszakadst okozhatja. Hibs vgzdtets - ellenrizni kell az rintkezk szabvny szerinti bektst, s hogy az rintkezk helyesen vannak-e vgzdtetve a csatlakozban. Srlt soros interfszcsatlakoz - a csatlakoz egyes rintkezi elgrbltek, vagy hinyoznak. Szakads vagy rvidzr a vezetkben - ha hibk lpnek fel az ramkrben, az interfsz nem rzkel megfelel jeleket.
Up/down llapothoz vezet gyakori 2. rtegbeli problmk: Helytelen begyazsi belltsok. Az adott interfszen nem rkeznek brenlti jelek.
Idnknt az tviteli kzeg hibi nem vezetnek az ramkr lellshoz, hanem a csak hlzati teljestmny cskkenst okozzk. A show interfaces parancs tovbbi informcikkal szolgl, melyek segtenek az tviteli kzeget rint problmk azonostsban. A show interfaces parancs kimenetben megtallhat:
228
9. Hibaelhrts
Ers zaj - Ethernet s soros interfszen rzkelhet sok CRC hiba s kevs tkzs ers zajra utal. A CRC hibk ltalban az tviteli kzeg vagy a kbelezs hibjra utalnak. Jellemz hibk: elektromos interferencia, meglazult vagy srlt kapcsolatok, nem megfelel kbeltpus alkalmazsa. Sok tkzs - az tkzsek a fl-duplex kommunikcira s az osztott kzegre jellemzek. A srlt kbelek az tkzsek szmnak megnvekedshez vezethetnek. Sok tl kicsi (runt) keret - a tl kicsi keretek szmnak megemelkedst ltalban egy hibsan mkd hlzati krtya okozza, de elidzheti a sok tkzshez vezet llapot is. Ksi tkzs - a helyesen megtervezett s kialaktott hlzatokban soha nem fordulhat el ksi tkzs. Leggyakoribb elidzi a tl hossz kbelek. A tves duplex egyeztets is okozhat ksi tkzst.
229
9. Hibaelhrts
van-e kapcsolat (zld fny), vagy hiba van (vrs vagy narancs fny). Az sszekttets mindkt vgn ellenrizni kell a kapcsolat megltt. Ha a kapcsolatjelz nem vilgt, meg kell gyzdni a kbel helyes csatlakozsrl az sszekttets mindkt vgn, s hogy a kbel a megfelel porthoz csatlakozik-e. Tovbb ellenrizni kell, hogy mindkt eszkz be van-e kapcsolva, s hogy a rendszerindtsi folyamat hiba nlkl befejezdtt-e. A lengkbeleket ki kell cserlni ellenrztten j kbelekre, s ellenrizni kell a csatlakozk bektst a kvnt kapcsolattpusnak megfelelen. Ha a kapcsolatjelz fny tovbbra sem gyullad ki, ellenrzni kell, hogy a port nincs-e adminisztratv mdon kikapcsolva. A portok belltsainak megtekintshez a show running-config interface parancs hasznlhat. Switch# sh run interface fastEthernet 4/2 ! interface fastEthernet 4/2 shutdown duplex full speed 100 end
A vilgt kapcsolatjelz nem felttlenl jelenti a kbel tkletes mkdst. A kbel lehet srlt, ami idszakos teljestmnyproblmkat okozhat. Az ilyen esetek ltalban feltrhatk a Cisco IOS show parancsaival: a kimenetekben nagy szm csomaghibt, s folyamatosan le-, illetve felkapcsold interfszeket rdemes keresni. A kapcsoln kiadott show version s show interfaces parancsok kimenete hasonl informcit szolgltat a forgalomirnytn kiadott parancsokhoz. A show interface portazonost counter errors paranccsal egy adott interfsz hibastatisztiki gyorsan megjelenthetk. A hibs duplexbellts sokkal jellemzbb a kapcsolkra, mint a forgalomirnytkra. Sok eszkz automatikusan egyezteti a sebessg- s duplexbelltsokat. Knnyen ellentmond belltshoz, s gy csomagvesztshez s tkzshez vezethet, ha a kapcsolat egyik vgn automatikus egyeztetst, mg a msik vgn kzi belltst alkalmaznak.
230
9. Hibaelhrts
A show interface portazonost status parancs segtsgvel megjelenthet, hogy milyen duplex- s sebessgbelltsok (kzi, vagy automatikus, illetve milyen konkrt rtk) vannak rvnyben egy adott porton. Ha az egyeztetsi hiba olyan Cisco eszkzkn jelentkezik, melyeken a Cisco Discovery Protocol (CDP) engedlyezve van, mindkt eszkz konzolkpernyjn vagy a naplfjlokban hibazenetek jelennek meg. A CDP hasznos segtsg a szomdszdos Cisco eszkzk hibinak, port- s rendszerstatisztikinak ellenrzshez. A duplex egyeztetsi hibk kijavtsnak legegyszerbb mdja, mindkt eszkz automatikus egyeztetsre lltsa. Ha az automatikus bellts nem hozn meg a vrt eredmnyt, akkor kzzel kell belltani az egyez sebessg s duplex rtkeket.
231
9. Hibaelhrts
A show interfaces serial parancs kimenetn a soros vonal llapott jelz sor hat klnbz llapotot mutathat: Serial x is down, line protocol is down (DTE mode) - amikor a forgalomirnyt soros interfsze nem rzkel semmifle jelet a vonalon, akkor mind a vonalat, mind a 2. rtegbeli protokollt lelltnak tekinti.
232
9. Hibaelhrts
Serial x is up, line protocol is down (DTE mode) - amennyiben a soros interfszre nem rkeznek brenlti jelek, vagy begyazsi hiba van, akkor a 2. rtegbeli protokollt tekinti lelltnak.
Serial x is up, line protocol is down (DCE mode) - az olyan esetekben, amikor a forgalomirnyt szolgltatn az rajelet, s az interfszhez DCE kbel csatlakozik, de nincs belltva rajel, akkor a 2. rtegbeli protokollt lelltnak tekinti.
233
9. Hibaelhrts
Serial xis up, line protocol is up (looped) - bevett gyakorlat, hogy a kapcsolat tesztelshez visszacsatolsi llapotba helyezik az ramkrt. Amikor a soros interfsz sajt jelt kapja vissza az ramkrben, akkor hurkoltnak jelzi a vonalat.
Serial x is up, line protocol is down (disabled) - a magas hibaarny arra kszteti a forgalomirnytt, hogy az adott vonalat "protokoll zemen kvl" llapotba helyezze. Az ilyen hiba ltalban hardveres hibra vezethet vissza.
234
9. Hibaelhrts
Serial x is administratively down, line protocol is down - egy interfsz akkor van adminisztratv lezrt llapotban, ha a konfigurcijban szerepel a shutdown utasts. A hiba kijavtshoz rendszerint csak az szksges, hogy interfszkonfigurcis mdban kiadjuk a no shutdown parancsot. Ha az interfsz nem kapcsol fel a no shutdown parancs hatsra, ellenrizzk a konzolon, hogy nem jelente meg dupliklt IP-cmre utal hibazenet. Dupliklt IP-cm esetn ki kell javtani a hibt, majd jra ki kell adni a no shutdown parancsot.
235
9. Hibaelhrts
A 3. rtegben minden csomagnak hordoznia kell a forrs- s a clrendszer cmt. Az IPv4 rendszer 3. rtegbeli fejrsze tartalmazza a forrs s a cl 32-bites cmt. Az IP-cm az egyedi llomsazonosts mellett az lloms 3. rteg hlzatt is azonostja, amelyen kommuniklhat. Egy egyszer IP-hlzat kialaktshoz elegend, ha kzvetlenl sszekapcsolunk kt llomst, melyekhez ugyanabbl az alhlzatbl rendelnk IP-cmet, s azonos alhlzati maszkot adunk. Az llomsok csak akkor kpesek egymssal TCP/IP alapon zeneteket vltani, ha rendelkeznek IPcmmel. A klnll 3. rtegbeli IP-hlzatok lnyegben IP-cmtartomnyokat jelentenek. A hlzatok hatrait a cm hlzati eltagjt alkot bitek szma hatrozza meg. Az klszably egyszer: minl hosszabb a hlzati eltag a cmben, annl kevesebb egyedi cmet lehet llomsoknak kiosztani az adott IP-hlzatban. A 3. rtegbeli problmk megoldshoz elengedhetetlen, hogy a rendszergazda meg tudja hatrozni azt az lloms cmtartomnyt, amely egy adott IP-hlzathoz tartozik. A cmtartomny az
236
9. Hibaelhrts
llomscmet alkot bitek szmtl s pozcijtl fgg. Tegyk fel pldul, hogy a 192.168.1.0/24 hlzatban 3 bitet klcsnvesznk alhlzatok kialaktsra. gy 5 bit marad az llomscmzsre. 8 alhlzatot kapunk (2^3=8), mindegyikben 30 llomssal (2^5 - 2 = 30). Tekintsk a 192.168.1.96/27 hlzatot, melyben az els kioszthat llomscm a 192.168.1.97 lesz, mg az utols a 192.168.1.126. Az alhlzat szrsi cme a 192.168.1.127. Mindez leolvashat az utols oktett binris alakjbl: (011 az alhlzat) 96 + (00001 az els llomscm) 1 = (01100001), ami decimlisan 97 (011 az alhlzat) 96 + (11110 az utols llomscm) 30 = (01111110), ami decimlisan 126 (011 az alhlzat) 96 + (11111 szrs) 31 = (01111111), ami decimlisan 127 Ez egy C osztly cmet hasznl plda. Ugyanez a technika alkalmazhat az A s a B osztly cmek esetben is. Nem szabad elfelejteni, hogy az llomsazonost bitek tnylhatnak az oktetthatron.
237
9. Hibaelhrts
A Cisco IOS megengedi, hogy tlapold alhlzatokbl rendeljnk IP-cmeket a forgalomirnyt kt klnbz interfszhez, ilyenkor azonban nem aktivlja a msodik interfszt. Pldul rendeljnk IP-cmet s alhlzati maszkot az R1 nev forgalomirnyt FastEthernet 0/0 interfszhez a 192.168.1.0/24 hlzatbl! Ezek utn, ha a FastEthernet 0/1 interfszhez a 192.168.1.0/30 hlzatbl prblunk meg IP-cmet rendelni, hibazenet fog tjkoztatni az tlapold belltsokrl. Ha megprbljuk felkapcsolni az interfszt a no shutdown paranccsal, jabb hibazenetet kapunk. Ezen az interfszen a forgalomirnyt nem tovbbt csomagokat. A show ip interface brief parancs kimenetbl is lthat, hogy a msodikknt a 192.168.1.0/24 hlzatba konfigurlt FastEthernet 0/1 interfsz lelltott llapotban van.
238
9. Hibaelhrts
Mindig fontos az interfszek llapotnak ellenrzse a belltsaik megvltoztatsa utn. Ha egy interfsz adminisztratv lezrt llapotban marad a no shutdown parancs kiadsa utn, az tbbnyire IPcmzsi problmra utal.
Ugyan a Cisco IOS szoftver rendelkezik beptett vdelemmel az egy azon kszlk klnbz interfszein belltott tlapold IP-cmek kivdsre, nem tudja megakadlyozni a klnbz kszlkeken, illetve az llomsokon belltott tlapoldsokat. Egyetlen rosszul belltott alhlzati maszk is okozhat nhny llomson hlzatelrsi nehzsgeket. A rosszul belltott alhlzati maszkok klnfle tneteket mutathatnak, amelyek olykor nehezen azonosthatk.
239
9. Hibaelhrts
240
9. Hibaelhrts
241
9. Hibaelhrts
242
9. Hibaelhrts
Ha mindezek nem oldottk meg a problmt, rdemes megvizsglni, hogy valban a DHCP szolgltatsban van-e a hiba! lltsunk be statikus IP-cmet, alhlzati maszkot s az alaprtelmezett tjrt az llomson. Ha az lloms nem fr hozz a hlzat erforrsaihoz, akkor minden bizonnyal nem a DHCP szolgltats felels a hibrt. Ezen a ponton a hlzati kapcsolat hibaelhrtsra van szksg.
A DHCP alapveten zenetszrst alkalmaz protokoll, ami azt jelenti, hogy a DHCP kiszolglnak elrhetnek kell lennie szrsos zenetekkel. Tekintve, hogy a forgalomirnytk ltalban nem tovbbtjk a szrsos forgalmat, a DHCP kiszolglnak vagy az llomssal megegyez helyi hlzaton kell lennie, vagy a forgalomirnytn be kell lltani a szrsos zenetek tovbbtst. A forgalomirnytk az ip helper-address parancs segtsgvel konfigurlhatk a szrsos zenetek, gy a DHCP krsek tovbbkldsre is egy meghatrozott kiszolglra. A parancs hatsra a forgalomirnyt egyedi cmekre cserli a szrsos clcmeket a csomagban: Router(config-if)# ip helper-address x.x.x.x A parancs kiadsa utn az sszes szrsos zenet (kztk a DHCP krsek is) a parancsban megadott IP-cmmel rendelkez kiszolglhoz kerlnek. Amikor a forgalomirnyt tovbbkldi a cmkrseket, DHCP kzvett gynkknt mkdik. A DHCP kzvett szolgltats nlkl az llomsok nem jutnnak IP-cmhez. Amikor egyik lloms sem kap IPcmet a msik hlzaton tallhat DHCP kiszolgltl, ellenrizni kell az ip helper-address bellts helyessgt a forgalomirnytn.
243
9. Hibaelhrts
244
9. Hibaelhrts
Ha a bels hlzat llomsai privt cmmel rendelkeznek, az llomsok csak NAT segtsgvel tudnak kommuniklni a nyilvnos hlzattal. A NAT problmk legjellemzbb tnete, hogy az llomsok nem rik el az internetes oldalakat. Hromfle cmfordtst klnbztetnk meg: statikus, dinamikus s PAT (port address translation - port alap cmfordts) A kt legjellemzbb belltsi hiba mindhrom fajtt rinti. A bels s kls interfszek hibs kijellse A NAT mkdse szempontjbl alapvet fontossg, hogy a megfelel interfszek legyenek bels s kls interfszknt kijellve. A legtbb NAT megvalstsban a bels interfsz kapcsoldik a privt cmteret hasznl helyi hlzathoz. A kls interfsz kapcsoldik a nyilvnos hlzathoz, ami rendszerint egy internetszolgltat hlzata. Ezek a belltsok a show running-config interface paranccsal ellenrizhetk. Helytelen IP-cmbellts az interfszen vagy rossz NAT cmtartomny A legtbb NAT megvalstsban a NAT cmtartomnynak s a statikus cmfordtsnak ugyanabbl a tartomnybl szrmaz IP-cmeket kell hasznlnia, mint amibe a kls interfsz IP-cme esik. Ellenkez esetben a cmfordts megtrtnik, de a rendszer nem tall tvonalat a lefordtott cmhez. Az sszes lefordtott cm elrhetsgt ellenrizni kell. Amikor a cmfordts a kls interfsz cmt hasznlja PAT esetn, ellenrizni kell, hogy az interfsz cme a megfelel hlzathoz tartozik, s helyes alhlzati maszkkal rendelkezik. Tovbbi problmt jelenthet, ha dinamikus NAT vagy PAT hasznlata esetn a kls felhasznlk nem rik el a bels erforrsokat. Ha kls felhasznlknak el kell rnik bizonyos kiszolglkat a bels hlzaton, akkor ezekhez statikus fordtst kell alkalmazni.
245
9. Hibaelhrts
A NAT mkdsnek ellenrzst akkor is el kell vgezni, ha a NAT belltsok helyessge bizonyos. A NAT mkds ellenrzsben az egyik leghasznosabb parancs a show ip nat translations. Az rvnyben lev fordtsok megtekintse utn a lista a clear ip nat translation * paranccsal trlhet. Megjegyzend, hogy az rvnyben lev IP cmfordtsok trlse fennakadsokat okozhat a felhasznli szolgltatsokban. A trlst kveten jbl alkalmazni kell a show ip nat translations parancsot! Ha j cmfordtsok jelennek meg a listban, elkpzelhet, hogy valami ms hiba miatt nem rhet el az internet. Ebben az esetben ellenrizni kell, hogy van-e rvnyes tvonalbejegyzs az internet fel a lefordtott cmekhez! A traceroute paranccsal megjelenthet a lefordtott csomagok tvonala. Ellenrizni kell az tvonal helyessgt. Ha van r md, ellenrizni kell az tvonalat az egyik lefordtott cmre egy kls hlzaton tallhat tvoli szmtgprl. Ez segthet kivlasztani azt az eszkzt, amely a hibt okozhatja. Elkpzelhet, hogy forgalomirnytsi problma van azon a forgalomirnytn, ahol az tvonalkvets elakadt.
246
9. Hibaelhrts
A legtbb hlzatban klnbz tpus tvonalak vannak egyszerre jelen: statikus, dinamikus s alaprtelmezett tvonalak. Az irnytsi folyamat hibi hlzati lellst okozhatnak, s igen kedveztlenl rintik a hlzat teljestmnyt. A hibk forrsa sokfle lehet: rossz kzi tvonalbejegyzsek, irnytprotokollok belltsi s mkdsi hibi, valamint az OSI alsbb rtegeinek hibi. A 3. rtegbeli problmk megoldsa megkveteli az irnytsi folyamatok, a klnbz tvonaltpusok s azok mkdsnek alapos ismerett. A folytats eltt rdemes lehet tismtelni a CCNA Discovery: Otthoni s kisvllalati hlzatok s CCNA Discovery: Hlzati feladatok kis- s kzpvllalatoknl vagy internetszolgltatknl tananyagok forgalomirnytssal, irnytprotokollokkal foglalkoz rszeit.
247
9. Hibaelhrts
Szmos tnyeznek ksznheten a hlzat llapota gyakran vltozhat: Egy interfsz meghibsodik. A szolgltat megszaktja az sszekttetst. A rendelkezsre ll svszlessg tlterheltt vlik. Egy rendszergazda helytelen konfigurcit kszt.
Minden egyes hlzati vltozsnl elfordulhat, hogy tvonalak vesznek el, vagy tves tvonalak kerlnek az irnyttblba. A 3. rtegbeli problmk feltrsnak legfontosabb eszkze a show ip route parancs, amely kilistzza az sszes olyan tvonalat, amelyet a forgalomirnyt felhasznl a csomagok tovbbtsra. A forgalomirnyt-tbla az albbi forrsokbl szrmaz bejegyzseket tartalmaz: Kzvetlenl kapcsold hlzatok Statikus tvonalak Dinamikus forgalomirnyt protokollok
Az irnytprotokollok az irnytsi mrtk alapjn vlasztjk ki az elnyben rszestett tvonalakat. A kzvetlenl kapcsold hlzatok mrtke 0, csakgy mint a statikus tvonalak alaprtelmezett mrtke. A dinamikus tvonalak irnytsi mrtke irnytprotokollonknt vltoz. Ha egy clhlzat fel tbb tvonal is ltezik, a legkisebb adminisztratv tvolsg (administrative distance - AD) tvonal kerl be az irnyttblba. Ha irnytsi problma gyanja merl fel, a show ip route paranccsal ellenrizhet, hogy a remlt tvonal szerepel-e az irnyttblban.
248
9. Hibaelhrts
Kzvetlenl kapcsold hlzatok problmi A kzvetlenl kapcsold hlzatok automatikusan bekerlnek az irnyttblba, mihelyt az interfsz IP-cmet kap, s a no shutdown parancs vgrehajtdik. Ha egy kzvetlenl kapcsold hlzat nem jelenik meg az irnyttblban, a show interfaces vagy a show ip interface brief paranccsal ellenrizhet, hogy rendben van-e az interfsz IP-cme, illetve up/up llapotban van-e. Statikus s alaprtelmezett tvonalak problmi Szinte mindig belltsi problma van a httrben, ha egy statikus vagy egy alaprtelmezett tvonal nem jelenik meg az irnyttblban. Statikus s alaprtelmezett tvonalak megadhatk a kimen interfsz vagy a kvetkez ugrs IP-cmnek megnevezsvel. A statikus tvonalak hibja gyakran abbl ered, hogy a megadott kvetkez ugrs IP-cme nem esik egyik kzvetlenl kapcsold hlzat tartomnyba sem. Mindig ellenrizni kell a konfigurcis parancsok helyessgt s hogy a hasznlt kimen interfszek up/up llapotban vannak-e. Dinamikus tvonalak problmi Tbb, klnbz problma okozhatja, hogy a dinamikus tvonalak nem plnek be az irnyttblba. Mivel a dinamikus irnytprotokollok irnytsi informcikat cserlnek a hlzat tbbi forgalomirnytjval, a clhoz vezet tvonalon lv brmelyik forgalomirnyt hibs belltsa eredmnyezheti egy-egy tvonal kiesst.
249
9. Hibaelhrts
A hinyz, vagy hibs network utasts, teht hibs irnytsi frisstseket generlhat, illetve megakadlyozhatja, hogy a forgalomirnyt adott interfszn frisstseket kldjn s fogadjon.
250
9. Hibaelhrts
A dinamikus irnyts hibinak feltrsban sok eszkz segthet. A TCP/IP ping s traceroute segdprogramja hasznlhat a kapcsolat ellenrzshez. A telnet segtsgvel egyrszt ellenrizhet a kapcsolat, msrszt tvoli eszkzk is konfigurlhatk. A Cisco IOS show parancsai pillanatkpet mutatnak a forgalomirnyt belltsairl s az egyes sszetevk llapotrl. A Cisco IOS parancskszlete szmos debug parancsot is tartalmaz. A debug parancsok dinamikus mkdsek, vals idej informcit szolgltatnak a hlzati forgalomrl s a protokollok kommunikcijrl. Pldul a debug ip rip parancs a RIP irnytprotokoll zenetvltsait mutatja meg. A debug parancsok komoly CPU erforrsokat ktnek le, gy lassthatjk, vagy akr meg is llthatjk a forgalomirnyt norml mkdst. ppen ezrt a debug parancsokat csak a hibafeltrsban szabad hasznlni, a forgalomirnyt norml mkdsnek monitorozsra nem ajnlott.
251
9. Hibaelhrts
252
9. Hibaelhrts
protokolloknak is nevezni, mivel a TCP/IP modell alkalmazsi rtege az OSI modell fels 3 rtegt egyesti. Az albbi listban lthatk a legismertebb, leggyakrabban megvalstott TCP/IP alkalmazsi rtegbeli protokollok: Telnet - lehetv teszi terminlkapcsolat kialaktst egy tvoli llomssal. HTTP - webes felleten trtn adatcsert (szvegek, kpek, hangok, videk s ms multimdis tartalmak) tesz lehetv. FTP - TCP alap, interaktv fjltvitelt tesz lehetv az llomsok kztt. TFTP - egyszer, de interaktv fjltvitelt tesz lehetv UDP fltt, jellemzen llomsok s hlzati eszkzk kztt. SMTP - alapvet levltovbbtsi szolgltatst nyjt. POP3 - kapcsolatot teremt a levelez-kiszolglval s letlti a leveleket a levelezprogramba. IMAP4 - lehetv teszi, hogy a levelezprogramok letltsk a leveleket kiszolglrl, s kldjenek leveleket a kiszolglra. SNMP - a felgyelt eszkzkrl gyjt informcit. NTP - pontos id szolgltatst nyjt a hlzati eszkzknek s llomsoknak. DNS - a hlzati neveket s az IP-cmeket trstja. SSL - a HTTP tranzakcik titkostst s biztonsgt garantlja. SSH - kiszolglk s hlzati eszkzk biztonsgos tvoli elrst teszi lehetv.
A felsbb rtegek problmit sokszor nem knny behatrolni, klnsen, ha az gyfl belltsai nem utalnak semmi hibra. A felsbb rtegek hibaelhrtst is az alapvet kapcsolati hibk kiszrsvel rdemes kezdeni. Az "oszd meg s uralkodj" elv alapjn clszer a 3. rtegbeli kapcsolat ellenrzsvel kezdeni a hibaelhrtst. 1. lps Ping zenet kldse az lloms alaprtelmezett tjrjhoz. 2. lps A vgpontl-vgpontig tart kapcsolat ellenrzse. 3. lps Az irnytsi belltsok ellenrzse.
253
Ha a problma egy tvoli hlzatban jelentkezik, a vgponttl-vgpontig tart kapcsolat nem ellenrizhet, hiszen bizonyos kapcsolatok ms felgyelet al tartoznak. Ebbl kvetkezen elfordulhat, hogy br a helyi eszkzkn minden rendben van, mgis problmk vannak a tvoli hlzat elrsvel. Ebben az esetben az internetszolgltatval kell ellenriztetni, hogy a hlzati kapcsolatuk mkdkpes-e. Ha mindez megtrtnt, s a vgponttl-vgpontig tart kapcsolat mkdkpes, mikzben a vgberendezs mg mindig nem mkdik megfelelen, akkor a hibt a felsbb rtegekben kell keresni.
254
9. Hibaelhrts
A felsbb rtegek hibi miatt ltalban nem mkdhetnek az alkalmazi programok fel nyjtott szolgltatsok. Elrhetetlenn, vagy mkdskptelenn tehetik az erforrsokat, annak ellenre, hogy az alsbb rtegek zemkpesek. Elfordulhat, hogy a hlzati kapcsolattal minden rendben van, az alkalmazs mgsem szolgltat adatokat. A felsbb rtegek hibi sokszor csak nhny vagy csak egyetlen alkalmazst rintenek. Nem ritka, hogy olyan hvs fut be az gyflszolglatra, hogy a felhasznl nem ri el a leveleit, mikzben a tbbi hlzati szolgltats zemszeren mkdik. A felsbb rtegbeli hibkrt legtbbszr a rossz gyflprogram-belltsok a felelsek. Az gyfl nem jut hozz a szksges informcihoz, ha rossz levelez- vagy az FTP kiszolgl van megadva. Ha tbb alkalmazst is rintett, a felsbb rteg hibjt a DNS szolgltats krnykn rdemes kereseni. A Windows nslookup segdprogramjval ellenrizhet, hogy a DNS szolgltats hibtlanul mkdik-e, s fel tudja-e oldani a kiszolglk IP-cmeit. Ha a DNS szolgltats nem az elvrsoknak megfelelen mkdik, ellenrizni kell az llomson a DNS kiszolgl cmnek belltst. Ha az lloms a DNS kiszolgl cmt egy DHCP kiszolgltl kapja, ellenrizni kell a DHCP kiszolgln a DNS kiszolgl IPcmnek belltst. Ha a DNS kiszolgl zemel s elrhet, ellenrizni kell a DNS znabelltsok hibit. A hibt gyakran a cmek s a tartomnynevek elrsa okozza a konfigurcis fjlokban.
A felsbb rtegek a felelsek a titkostsrt s a tmrtsrt is. Alkalmazsi hibkhoz vezethet, ha az gyfl ill. a kiszolgl nem ugyangy titkostja s tmrti az adatokat, mint ahogyan a msik fl elvrja. Ha a problma egyetlen llomsra korltozdik, valszn, hogy az adott szmtgpen fut alkalmazs belltsaiban van a hiba. A bngszk klnbz bepl moduljai, mint pldul az Adobe Reader, gyakran felsbb rtegbeli hlzati funkcikat is megvalstanak. A weboldalak helyes megjelentse rdekben ezeket a modulokat rendszeresen frissteni kell. Az adat lekrsekor hasznlt nem megfelel protokoll okozhatja, hogy a weboldal nem elrhet. Pldul elfordulhat, hogy az SSL-lel titkostott oldalak megtekintshez a https:// kezdet cmet kell a bngsz cmsorba rni a szoksos http:// helyett.
255
9. Hibaelhrts
256
9. Hibaelhrts
A Cisco vizsgra val felkszls komoly kihvs. A Cisco klns figyelmet fordt a CCNA vizsgk sznvonalnak megtartsra, ezrt rendszeresen frissti az elvrsokat. Egyes jelltek elsre leteszik a vizsgt, msok tbbszr nekifutnak, s olyanok is akadnak, akiknek nem sikerl megszereznik a kpestst. Az alapos felkszls a legjobb mdszer ahhoz, hogy az els csoportba tartozzon valaki.
257
9. Hibaelhrts
Mindig rdemes azzal kezdeni a vizsgafelkszlst, hogy az ember megrti a vizsga cljt. A Cisco vizsgarendszerek clja, hogy egy adott szakterleten mrjk a jellt tudst, szakrtelmt s kpessgt. A vizsga tbbfle mrsi technikt alkalmaz annak rdekben, hogy a jellt bizonythassa rtermettsgt, s a klnbz hlzati feladatok megvalstsban szerzett jrtassgt. A vizsga tartalmaz feleletvlaszts feladatokat, klnbz gyakorlatokat s szimullt hlzatkonfigurcis feladatokat is. Minden krdsnek, feladatfajtnak clja van. A Cisco kpestsek honlapjn megtallhatk az ICND1 vizsga cljai.
258
9. Hibaelhrts
A hlzati feladatok megoldsa sokrt szakrtelmet ignyel. Egyes kszsgek roppant egyszerek, mint pldul a keresztkts kbel ksztse. Msok jval sszetettebbek, pldul az IP-alhlzatok kialaktsa. A hlzattervezsi feladatok elsajttsa sok gyakorlst ignyel. A laborgyakorlatok s a Packet Tracer feladatok hivatottak a sokrt tapasztalatszerzs lehetsgt biztostani a hallgatk szmra. A Cisco vizsgk az alapjn mrik a jellt felkszltsgt a szmtgpes hlzatok trgykrben, hogy miknt tud a Cisco hlzati eszkzkkel dolgozni. Ezrt elengedhetetlenl fontos, hogy kell tapasztalatot szerezzenek a hallgatk a Cisco IOS hasznlatban. A vizsgafeladatok jelents rsznek megoldshoz szksg van a klnbz IOS parancsok, elssorban a show parancsok kimenetnek rtelmezsre.
A belp szint technikus szmra a legfontosabb, hogy rendelkezzk a tervezs, a szervezs, a kivitelezs s a problmamegolds kpessgvel. Vizsgahelyzetben ezek megltt leginkbb konfigurcis s hibaelhrtsi feladatokon keresztl lehet ellenrizni. A vizsgafeladatok sszelltsakor az a cl, hogy a vizsgahelyzetek minl jobban kzeltsk a vals lethelyzetekben elfordul szitucikat. Ezek a krlmnyek szimulcikkal s esetlersokkal kzelthetk legjobban. Az esetlerson alapul s a szimulcis feladatokra nehezebb felkszlni, mint nhny adatot megjegyezni, vagy egy adott kpessget begyakorolni. A kitztt clok teljestse s a problma megoldsa egyszerre kveteli meg az ismeretek s a kszsgek mozgstst. A hibaelhrtsi kpessgek fejlesztsnek egyik legjobb mdja, ha elsknt az adott hlzati problma megoldshoz szksges ismeretek s kpessgek elemzsre kerl sor. A szksges ismeretek feltrst kveten rdemes eljtszani a gondolattal, hogy mi trtnne, ha azok nem lennnek ismertek. Ajnlott egy lista ksztse a lehetsges kimenetelekrl, majd annak eldntse, milyen kszsgeket ignyelne egy-egy problma felismerse s kijavtsa, ha az bekvetkezne. Elsre bonyolultnak hangozhat mindez, de az albbi pldk segthetik az ttekintst:
259
9. Hibaelhrts
Mi trtnne, ha a technikus nem lenne tisztban az alhlzatban kioszthat llomscmek szmval adott alhlzati maszk hasznlata esetn? Hogyan ismerhet fel a problma, s mit lehet tenni a megoldsa rdekben? Milyen problmk szrmazhatnak abbl, ha egy RIPv2 hlzatban van olyan tvonal a forrs s a cl kztt, amely hosszabb 15 ugrsnl? Milyen tnetek tapasztalhatk ilyen esetben? Hogyan oldhat meg a problma?
9.6.3 Elhatrozs
Minst vizsgt tenni komoly elszntsgot kvn. Rengeteg anyagot kell tismtelni s feladatot kell megoldani. A vizsgra kszls is sikeresebb lesz csakgy, mint egy gyfl hlzatnak a kialaktsa ha kisebb rszfeladatokra bontjuk: 1. Elhatrozs 2. Tervkszts 3. Vizsgarutin megszerzse Ezutn a pr lps utn megkezddhet a tnyleges felkszls.
260
9. Hibaelhrts
A Cisco kpests megszerzshez vezet t els lpse az elhatrozs, a kell id s energia rfordtsa rdekben. Az elhatrozsnak egytt kell jrnia azzal, hogy a felkszlsnek maximlis prioritst adunk, hiszen nyilvn ms tevkenysgektl kell elvonni a rfordtand idt. A rfordtott id nmagban nem elegend: megfelel figyelmet is kell szentelni a felkszlsnek. Meg kell keresni azt a helyet otthon vagy az iskolban, ahol a zavartalan tanuls hosszabb ideig biztostott. A hlzati ismereteket s kszsgeket nem lehet gy elsajttani, ha folyton mindenfle zavar tnyezk htrltatjk a felkszlst. Ugyanilyen fontos, hogy rendelkezsre lljanak a megfelel kszlkek s erforrsok. Gondoskodni kell rla, hogy elrhet legyen egy szmtgp on-line tananyag hozzfrssel s a Packet Tracer alkalmazssal. Oktati egyeztets utn a labor hasznlata is ajnlott, valdi eszkzkn szerzett tapasztalatok elsajttsa cljbl. rdemes utna nzni, hogy van-e a krnyezetben internetes labor hozzfrs. Segthet a csald s a bartok tjkoztatsa is a CCENT bizonytvny megszerzsre irnyul elhatrozsrl. Tmogatsuk s segtsgk fontos lehet a felkszlsi idszakban. Emlkeztetkrtykkal vagy gyakorlkrdsekkel akkor is segthetnek a felkszlsben, ha k nem jratosak a szmtgp-hlzatokban. Az is knnyebbsget jelethet, ha tiszteletben tartjk a nyugodt felkszlsi idre val ignyt. rdemes lehet tanulcsoportokat alaktani az osztly tbbi, szintn a vizsgra kszl tagjval.
9.6.4 Tervkszts
Az elhatrozs, majd az ICND1 vizsgra trtn felkszls megfelel krlmnyeinek megteremtse s kialaktsa utn, kvetkezhet a tervkszts. A felkszlsi terv tartalmazza a felkszls tervezett menett, az temezst s a szksges erforrsok listjt. Alapveten ktflekpp lehet felkszlni egy vizsgra: egynileg vagy csoportosan. Sokan elnyben rszestik a csoportos felkszlst, mert az segthet a tananyag alaposabb feldolgozsban s a hatridk betartsban. A csoportos felkszls szempontjbl lnyeges tbbek kztt, hogy minden rsztvev tisztban legyen a kapcsolattarts mdjval, a tallkozsok idpontjaival s helysznvel. rdemes lehet az egyes feladatokra felelst kijellni a csoportbl: Tananyagok sszegyjtse s kiosztsa Laborid beosztsa Fogyeszkzk biztostsa Csoport elmenetelnek kvetse Felmerlt problmk megoldsa
Az egyni felkszls megknnytheti az erforrsokkal val gazdlkodst, ami nem jelenti azt, hogy felesleges tervet kszteni. A heti felkszlsre sznhat idmennyisg alapjn relis idpontot kell kitzni a vizsga lettelre.
261
9. Hibaelhrts
A rvidebb rendelkezsre ll idszeletek hasznlhatk az elmleti felkszlsre, az egybefgg, hosszabb idegysgek pedig a gyakorlati tevkenysgekre. Roppant bosszant, ha egy laborfeladat vagy ms gyakorlati tevkenysg elkezdse utn nem marad elg id a befejezsre. A Cisco Press gondozsban megjelent "31 Days to the CCENT" (31 nap alatt CCENT vizsgt) felkszlsi tmutat kiadvny segthet az idrend sszelltsban (angol nyelven elrhet csak). A knyv vizsgaclok mentn haladva emeli ki a legfontosabb tanulnivalkat. Rendre megjelli a CCNA Discovery: Otthoni s kisvllalati hlzatok s CCNA Discovery: Hlzati feladatok kis- s kzpvllalatoknl vagy internetszolgltatknl tananyag vonatkoz fejezeteit, melyek alapjn fel lehet kszlni. Az temterv ksztsnek els lpseknt rgztsk a rendelkezsre ll idszakokat a naptrba. Ezutn a rendelkezsre ll idblokkok rgtn konkrt feladatokhoz rendelhetk, pldul "az OSI modell rtegeinek s feladataiknak ttekintse" vagy "IP-alhlzatok kialaktsnak gyakorlsa". Amikor sikerlt minden feladathoz idpontot rendelni, a vizsga idpontjnak kitzse kvetkezhet. Vizsgljuk meg a felkszlshez rendelkezsre ll eszkzket s erforrsokat. Az ICND1 vizsgn a jelen kurzus, s a CCNA Discovery: Otthoni s kisvllalati hlzatok kurzus sorn elsajtthat ismereteket s kszsgeket ellenrzik. A sikeres felkszls elfelttele, hozzfrs az on-line tananyaghoz, a laborgyakorlatokhoz s a Packet Tracer alkalmazshoz. A Cisco CCNA minsts weboldaln rengeteg tovbbi segdanyag tallhat (jellemzen angol nyelven). A CCNA felkszlsi kzpont weboldala: CCNA Prep Center A Cisco Press gondozsban szmos kiadvny jelent mr meg, mely feldolgozza a CCENT vizsga tartalmt. Ezek a kiadvnyok megvsrolhatk (angol nyelven) a Cisco Marketplace Bookstore elektronikus knyvruhzban. Cisco Marketplace Bookstore Kvetkez lps az sszegyjttt anyagok rendszerezse. A CCENT vizsghoz szksges ismeretek s kpessgek mennyisge tl nagy ahhoz, hogy csapongva, kapkodva t lehessen ket tekinteni s kellkppen be lehessen ket gyakorolni. Sokkal knnyebb olyan dolgokra emlkezni, melyeket rendszerezetten sajttott el az ember.
262
A kpestvizsgkat ugyangy on-line kell letenni, mint a Hlzati Akadmia szmonkrseit. Van azonban nhny eltrs: Kzvlemny-kutat krdsek elzhetik meg a tnyleges vizsga megkezdst. Fontos az szinte vlasz. A kzvlemny-kutat krdsek nincsenek kapcsolatban a tnyleges vizsgval, s nem befolysoljk annak eredmnyt. A vizsga idre megy. A htralev id a kperny fels rszn lthat, gy eldnthet, hogy egy-egy krdsre mennyi id sznhat. A vizsgn bell sokfle krds s feladat fordulhat el. Tovbblps utn mr nem lehet a korbbi krdsekre visszatrni.
Nincs md egy krds kihagysra, vagy megjellsre ksbbi ellenrzs cljbl. Bizonytalansg esetn legjobb tippelni, s tovbblpni a kvetkez krdsre. A Cisco vizsgaformk az albbi krdstpusokat tartalmazzk: feleletvlaszts krds, egy j vlasszal feleletvlaszts krds, tbb j vlasszal fogd s vidd feladat res mezk kitltse krdscsoport szimulcis egysg szimulci
A vizsga eltt mindenkppen ajnlott megismerkedni az egyes feladatfajtk mkdsvel, klnsen a krdscsoport (testlet), szimulcis egysg (simlet) s a szimulci (simulation tool) megismerse izgalmas. Ez a gyakorlat segthet a vizsgn a tnyleges feladatra sszpontostani a feladatfajta mkdse helyett. A Cisco CCNA felkszlsi weboldalon tallhat vizsgafelkszt eszkzk segtsget nyjtanak a gyakorlsban, s az sszes feladatfajta megoldsrl szerzett pontos ismeretek kialaktsban. Br semmi sem helyettestheti igazn a tnyleges vizsgarutint, mgis rdemes megoldani a gyakorlvizsgt. A CCNA felkszlsi weboldalon tallhatk feladatvlaszts krdseket tartalmaz minta-feladatsorok is az ICND1 vizsghoz. A csoportos felkszls sorn gyakorlkrdsek nll kidolgozsa is clszer, melyek megoszthk a csoporttrsakkal. Az interneten kereskedelmi forgalomban lev vizsgakrdssorok is megvsrolhatk vagy letlthetk. A Cisco kpestvizsgk mindig tartalmaznak forgalomirnytk s kapcsolk mkdst szimull feladatokat is. rdemes lehet jra vgigcsinlni a laborgyakorlatokat s a Packet Tracer feladatokat a felkszls sorn. A kpestvizsga sszetett feladataira roppant nehz pusztn a tananyagot olvasgatva s a laborokat kiprblva felkszlni. Fontos prblgatni, hogy mi trtnne, ha hiba lpne fel az adott eszkz teleptse vagy konfigurlsa sorn. Sokat lehet tanulni szndkosan elidzett hibkbl, melyek sorn megfigyelhetk az eszkz mkdsben s a parancsok kimenetben megjelen vltozsok. Az ICND1 vizsga esetlerson alapul feladatai tlnyom tbbsgben hlzati hibaelhrtsi feladatok.
263
9. Hibaelhrts
264
9. Hibaelhrts
265
9. Hibaelhrts
266
Tartalomjegyzk
1. Az internet s hasznlata .................................................................................................................... 0 1.1 Mi az internet? .............................................................................................................................. 1 1.1.1 Az internet s a szablyok ...................................................................................................... 1 1.1.2 ISP s ISP szolgltatsok ......................................................................................................... 3 1.2 ISP-k ............................................................................................................................................... 4 1.2.1 Az internet-szolgltatsok eljuttatsa a vgfelhasznlkhoz................................................. 4 1.2.2 Internet hierarchia.................................................................................................................. 7 1.2.3 Az internet feltrkpezshez hasznlhat eszkzk ............................................................ 9 1.3 ISP kapcsolat ................................................................................................................................ 10 1.3.1 ISP kvetelmnyek ............................................................................................................... 10 1.3.2 Az ISP feladatai s ktelezettsgei ....................................................................................... 12 1.4 A fejezet sszefoglalsa ............................................................................................................... 12 2. gyflszolglat .................................................................................................................................. 14 2.1 gyflszolglati szakemberek ..................................................................................................... 14 2.1.1 Az internetszolgltat gyflszolglati szervezete............................................................... 14 2.1.2 Az gyflszolglati szakemberek feladatai ........................................................................... 15 2.1.3 Trgyals az gyfllel ............................................................................................................ 16 2.2 Az OSI modell............................................................................................................................... 18 2.2.1 Az OSI modell hasznlata ..................................................................................................... 18 2.2.2 OSI modell protokollok s technolgik............................................................................... 20 2.2.3 Hibakeress az OSI modellel................................................................................................. 22 2.3 ISP hibaelhrts .......................................................................................................................... 25 2.3.1 gyflszolglati hibaelhrtsi forgatknyv ....................................................................... 25 2.3.2 gyflszolglati feljegyzsek ksztse s alkalmazsa ....................................................... 27 2.3.3 A helyszni eljrs ................................................................................................................. 28 2.4 A fejezet sszefoglalsa ............................................................................................................... 30 3. Egy hlzat tovbbfejlesztsnek tervezse ..................................................................................... 31 3.1 A ltez hlzat dokumentlsa ................................................................................................. 31 3.1.1 A helyszn felmrse ............................................................................................................. 31 3.1.2 Fizikai s logika topolgik ................................................................................................... 33 3.1.3 Hlzati kvetelmnyek dokumentlsa ............................................................................. 35 3.2 Tervezs ....................................................................................................................................... 36 3.2.1 Hlzati korszersts tervezsi fzisai ................................................................................ 36 3.2.2 Fizikai krnyezet ................................................................................................................... 38
267
10. Tartalomjegyzk
3.2.3 Kbelezsi megfontolsok .................................................................................................... 39 3.2.4 Strukturlt kbelezs ............................................................................................................ 40 3.3 Eszkzk beszerzse s karbantartsa ........................................................................................ 41 3.3.1 Eszkzk beszerzse ............................................................................................................. 41 3.3.2 Hlzati eszkzk kivlasztsa ............................................................................................. 43 3.3.3 LAN eszkzk kivlasztsa .................................................................................................... 44 3.3.4 Hlzati eszkzk kivlasztsa ............................................................................................. 45 3.3.6 Hlzati berendezsek fejlesztse ....................................................................................... 47 3.3.6 Tervezsi megfontolsok ...................................................................................................... 48 3.4 A fejezet sszefoglalsa ............................................................................................................... 50 4. A cmezsi struktra tervezse.......................................................................................................... 51 4.1 IP-cmzs LAN-okba ..................................................................................................................... 51 4.1.1 IP-cmek ttekintse ............................................................................................................. 51 4.1.2 Alhlzatok a hlzatban ..................................................................................................... 54 4.1.3 Egyedi alhlzati maszkok .................................................................................................... 58 4.1.4 VLSM s osztlyok nlkli tartomnykzi forgalomirnyts (CIDR) .................................... 60 4.1.5 Az alhlzatok kztti kommunikci .................................................................................. 61 4.2 NAT s PAT .................................................................................................................................. 62 4.2.1 A hlzati cmfordts alapjai (NAT) ..................................................................................... 62 4.2.2 IP NAT alapfogalmak............................................................................................................. 63 4.2.3 Statikus s dinamikus NAT ................................................................................................... 64 4.2.4 Port alap hlzati cmfordts (PAT) ................................................................................... 65 4.2.5 Tovbbi IP NAT krdsek ...................................................................................................... 67 4.3 A fejezet sszefoglalsa ............................................................................................................... 69 5. Hlzati eszkzk konfigurlsa ........................................................................................................ 71 5.1 Az ISR forgalomirnyt els konfigurlsa ................................................................................. 71 5.1.1 ISR ......................................................................................................................................... 71 5.1.2 Az ISR zembehelyezse ...................................................................................................... 75 5.1.3 Az indtsi folyamat .............................................................................................................. 78 5.1.4 A Cisco IOS segdprogramok ................................................................................................ 82 5.2 A Cisco SDM Express s az SDM hasznlata ................................................................................ 84 5.2.1 A Cisco SMD Express............................................................................................................. 84 5.2.2 Az SDM Express belltsi lehetsgei ................................................................................. 85 5.2.3 A WAN kapcsolatok belltsa az SDM Express hasznlatval .............................................. 87
268
Tartalomjegyzk
5.2.4 A NAT belltsa a Cisco SDM hasznlatval ........................................................................ 89 5.3 A forgalomirnyt IOS parancssori (CLI) konfigurlsa .............................................................. 91 5.3.1 A parancssoros fellet zemmdjai ..................................................................................... 91 5.3.2 A Cisco IOS parancsoros felletnek hasznlata .................................................................. 93 5.3.3 A Show parancsok hasznlata .............................................................................................. 96 5.3.4 Az alapkonfigurci .............................................................................................................. 96 5.3.5 Az interfszek belltsa ....................................................................................................... 99 5.3.6 Az alaprtelmezett tvonal belltsa ................................................................................ 101 5.3.7 A DHCP-szolgltats belltsa ........................................................................................... 102 5.3.8 Statikus NAT belltsa a Cisco IOS parancssoros felletn ............................................... 104 5.3.9 A Cisco forgalomirnytk konfigurcijnak biztonsgi mentse..................................... 107 5.4 A CPE csatlakoztatsa az ISP-hez ............................................................................................... 111 5.4.1 A CPE teleptse.................................................................................................................. 111 5.4.2 WAN-on keresztli elfizeti kapcsolatok.......................................................................... 113 5.4.3 A WAN-sszekttets kivlasztsa ..................................................................................... 115 5.4.4 A WAN-sszekttets belltsa......................................................................................... 117 5.5 A Cisco 2960 kapcsol els konfigurlsa ................................................................................. 118 5.5.1 nll kapcsolk ................................................................................................................ 118 5.5.2 A Cisco 2960 tpus kapcsol zembehelyezse................................................................ 122 5.5.3 A kapcsol kezdeti konfigurcija ...................................................................................... 124 5.5.4 A LAN kapcsol sszektse a forgalomirnytval ........................................................... 126 5.5.5 A Cisco Discovery Protocol ................................................................................................. 129 5.6 A fejezet sszefoglalsa ............................................................................................................. 132 6. Forgalomirnyts ............................................................................................................................ 134 6.1 Az irnyt protokollok konfigurlsa ....................................................................................... 134 6.1.1 A forgalomirnyts alapjai ................................................................................................. 134 6.1.2 Forgalomirnyt protokollok............................................................................................. 138 6.1.3 A leggyakoribb bels forgalomirnyt protokollok ........................................................... 140 6.1.4 Szervezeten belli forgalomirnyts ................................................................................. 144 6.1.5 A RIP konfigurlsa s ellenrzse ..................................................................................... 147 6.2 Kls forgalomirnyt rendszerek ........................................................................................... 151 6.2.1 Autonm rendszerek .......................................................................................................... 151 6.2.2 Interneten keresztli forgalomirnyts.............................................................................. 152 6.2.3 Kls forgalomirnyt protokollok s az ISP ..................................................................... 154
269
10. Tartalomjegyzk
6.2.4 BGP konfigurlsa s ellenrzse ....................................................................................... 155 6.3 A fejezet sszefoglalsa ............................................................................................................. 156 7. ISP szolgltatsok ............................................................................................................................ 158 7.1 Az ISP szolgltatsok bevezetse .............................................................................................. 158 7.1.1 Felhasznli kvetelmnyek .............................................................................................. 158 7.1.2 Megbzhatsg s elrhetsg ........................................................................................... 159 7.2 Az ISP szolgltatsokat tmogat protokollok .......................................................................... 161 7.2.1 A TCP/IP protokollkszlet ttekintse ................................................................................ 161 7.2.2 Szllts rteg protokollok .................................................................................................. 163 7.2.3 Klnbsgek a TCP s UDP kztt ...................................................................................... 165 7.2.4 Tbb szolgltats tmogatsa ............................................................................................ 166 7.3 Tartomnynv rendszer (DNS) .................................................................................................. 167 7.3.1 TCP/IP lloms nv ............................................................................................................. 167 7.3.2 DNS hierarchia .................................................................................................................... 169 7.3.3 DNS nvfelolds.................................................................................................................. 171 7.3.4 DNS implementlsa .......................................................................................................... 176 7.4 Szolgltatsok s protokollok .................................................................................................... 178 7.4.1 Szolgltatsok ..................................................................................................................... 178 7.4.2 HTTP s HTTPS .................................................................................................................... 178 7.4.3 FTP ...................................................................................................................................... 180 7.4.4 SMTP, POP3 s IMAP4 ........................................................................................................ 182 7.5 A fejezet sszefoglalsa ............................................................................................................. 184 8. ISP felelssg ................................................................................................................................... 186 8.1 ISP biztonsgi megfontolsok.................................................................................................... 186 8.1.1 ISP biztonsgi szolgltatsok .............................................................................................. 186 8.1.2 Biztonsgi intzkedsek ..................................................................................................... 188 8.1.3 Adattitkosts...................................................................................................................... 189 8.2 Biztonsgi eszkzk ................................................................................................................... 191 8.2.1 Hozzfrsi listk s portszrs ......................................................................................... 191 8.2.2 Tzfalak............................................................................................................................... 193 8.2.3 IDS s IPS ............................................................................................................................ 195 4.2.4 Vezetk nlkli hlzatok biztonsga ................................................................................ 196 8.2.5 A munkallomsok biztonsga ........................................................................................... 197 8.3 Az ISP megfigyelse s felgyelete............................................................................................ 201
270
Tartalomjegyzk
8.3.1 Szolgltati szerzds......................................................................................................... 201 8.3.2 A hlzati sszekttetsek teljestmnynek megfigyelse .............................................. 202 8.3.3 Eszkzfelgyelet svon belli eszkzkkel ......................................................................... 202 8.3.4 SNMP s Syslog hasznlata................................................................................................. 203 8.4 Biztonsgi mentsek s katasztrfahelyzet helyrellts .......................................................... 205 8.4.1 Archivlsi hordozk .......................................................................................................... 205 8.4.2 Az llomnyments mdszerei........................................................................................... 207 8.4.3 Cisco IOS mentse s helyrelltsa ................................................................................... 209 8.4.4 Katasztrfa-helyrelltsi terv ............................................................................................ 211 8.5 A fejezet sszefoglalsa ............................................................................................................. 214 9. Hibaelhrts.................................................................................................................................... 216 9.1 Hibaelhrtsi mdszerek s eszkzk ...................................................................................... 216 9.1.2 Hibaelhrtsi mdszerek ................................................................................................... 217 9.1.3 Hibaelhrtsi eszkzk ...................................................................................................... 218 9.2. 1. s 2. rtegbeli problmk hibaelhrtsa ............................................................................. 223 9.2.2 Hardware-s eszkzhibk s rendszerindtsi problmk hibaelhrtsa ........................... 225 9.2.3 Kbelezsi s interfszproblmk hibaelhrtsa .............................................................. 228 9.2.4 LAN kapcsolati hibk elhrtsa .......................................................................................... 229 9.2.5 WAN kapcsolati hibk elhrtsa ........................................................................................ 231 9.3 3. rtegbeli mkds s IP-cmzs - ismtls ............................................................................ 235 9.3.2 IP-cmtr megtervezsnek s belltsnak krdsei....................................................... 238 9.3.2 IP-cmtr megtervezsnek s kiosztsnak krdsei ....................................................... 242 9.3.4 DHCP s NAT problmk .................................................................................................... 242 9.4 3. rtegbeli irnytsi problmk .............................................................................................. 247 9.4.2 A dinamikus forgalomirnyts hibi .................................................................................. 250 9.5 A 4. s a felsbb rtegek hibaelhrtsa ................................................................................... 252 9.5.1 4. rtegbeli forgalomszrsi hibk ..................................................................................... 252 9.5.2 Felsbb rtegek hibinak elhrtsa................................................................................... 252 9.5.3 Felsbb rtegbeli kapcsolat ellenrzse Telnettel ............................................................. 256 9.6 Felkszls a Cisco kpests megszerzsre............................................................................ 257 9.6.1 Tuds, kszsg s kpessg ................................................................................................ 257 9.6.1 Hlzati tuds, kszsg s kpessg .................................................................................. 258 9.6.3 Elhatrozs ......................................................................................................................... 260 9.6.4 Tervkszts ........................................................................................................................ 261
271
10. Tartalomjegyzk
9.6.5 Vizsgarutin megszerzse .................................................................................................... 262 9.7 A fejezet sszefoglalsa ............................................................................................................. 264
272
Jegyzetek
273
Jegyzetek
274