SPŠ a VOŠ Písek, Písek, K. Čapka 402. Učební texty. Datové sítě IV. Vypracovala: Ing. Daniela Krupičková

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402

Učební texty

Datové sítě IV Vypracovala: Ing. Daniela Krupičková

CZ.1.07/2.1.00/32.0045

ICT moderně a prakticky

1


Obsah 1.

Sítě LAN ............................................................................................................................. 4 Architektura sítí LAN............................................................................................................. 4 Logická a fyzická struktura sítě ............................................................................................. 5 Výhody hierarchického uspořádání sítě ................................................................................. 5 Konvergované a nekonvergované sítě .................................................................................... 5

2.

Přepínače ............................................................................................................................. 6 Obecná charakteristika ........................................................................................................... 6 Základní funkce přepínačů ..................................................................................................... 8

3.

Protokol STP (Spanning Tree Protocol) ........................................................................... 15 Základní pojmy .................................................................................................................... 15 Druhy STP ............................................................................................................................ 17 Činnost STP.......................................................................................................................... 18 Stavy portů protokolu STP ................................................................................................... 19 Konvergence......................................................................................................................... 20 Funkce PortFast protokolu STP ........................................................................................... 21 Funkce UplinkFast protokolu STP ....................................................................................... 22 Funkce BackboneFast protokolu STP .................................................................................. 22 Protokol RSTP (Rapid Spanning Tree Protocol) ................................................................. 22

4.

Virtuální sítě LAN (VLAN) .............................................................................................. 24 Úvod do problematiky VLAN.............................................................................................. 24 Druhy VLAN........................................................................................................................ 26 Konfigurace statické VLAN................................................................................................. 27 Druhy portů .......................................................................................................................... 29 Značkování rámců (Frame Tagging) .................................................................................... 32 Metody identifikace VLAN.................................................................................................. 32 Změny nebo úpravy nativní trunkové sítě VLAN ................................................................ 34

5.

Protokol VTP (VLAN Trunking Protocol) ....................................................................... 35 Režimy činnosti VTP ........................................................................................................... 35 VTP domény ........................................................................................................................ 36 Redukce VTP (Pruning) ....................................................................................................... 36 Konfigurace protokolu VTP ................................................................................................. 37

CZ.1.07/2.1.00/32.0045


2


6.

Směrování mezi VLANy (Inter-VLAN Routing) ............................................................. 40 Konfigurace směrování mezi různými VLANy ................................................................... 41

7.

Bezdrátové technologie – WiFi ........................................................................................ 45 Technologie WiFi ................................................................................................................. 45 Komponenty bezdrátových sítí ............................................................................................. 48 Druhy útoků na WiFi síť ...................................................................................................... 48 Zabezpečení WiFi sítí........................................................................................................... 48 Komunikace klient – AP ...................................................................................................... 49 Přístupová metoda CSMA/CA ............................................................................................. 50 Konfigurace bezdrátové datové sítě – příklad ...................................................................... 51

8.

Otázky k procvičení .......................................................................................................... 55

Výukové cíle Orientovat se v problematice sítí LAN (hierarchická struktura, síťové komponenty), vysvětlit funkci a vlastnosti přepínačů, ovládat jejich základní konfiguraci. Chápat princip, vlastnosti, účel a použití protokolů VTP a STP. Vysvětlit a používat nastavení virtuálních sítí VLAN, rozumět důvodům použití směrovače při konfiguraci sítě s VLANy, orientovat se v základní problematice bezdrátových sítí WiFi.

Předpokládané vstupní znalosti a dovednosti Úspěšné zakončení modulu: DASI, DASII a DASIII

CZ.1.07/2.1.00/32.0045


3


1. Sítě LAN Architektura sítí LAN Hierarchický síťový model  Umožňuje snadnou administraci, rozšiřitelnost a odstraňování problémů  Rozděluje síť na oddělené vrstvy - každá vrstva plní svou specifickou funkci  Nejčastěji se síť rozděluje do tří vrstev – přístupová, distribuční a páteřní Páteřní

Distribuční

Přístupová

Přístupová vrstva  Zajišťuje propojení vyšších vrstev sítě s koncovými zařízeními (IP telefony, PC, tiskárny, notebooky, ...)  Může zahrnovat také směrovače, přepínače, mosty, rozbočovače nebo přístupové body bezdrátové sítě  Hlavním účelem této vrstvy je zajistit propojení koncových zařízení s vyššími vrstvami sítě Distribuční vrstva  Sdružuje data přijatá z přepínačů na přístupové vrstvě  Data jsou předává dále páteřní vrstvě, kde jsou směrována do cílových sítí

CZ.1.07/2.1.00/32.0045


4

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402  Řídí síťový provoz, vymezuje broadcast domény, zajišťuje směrování mezi VLANy  VLAN – rozděluje sítě LAN na podsítě podle účelu (fakulta, studenti, hosté)  Obsahuje výkonné přepínače Páteřní vrstva  Představuje vysokorychlostní páteř pro přeposílání dat mezi sítěmi

Logická a fyzická struktura sítě  Logická struktura - schéma propojení jednotlivých síťových komponent  Fyzická struktura - rozmístění síťových komponent v rámci budovy (kampusu)

Výhody hierarchického uspořádání sítě  Hierarchicky strukturované sítě lze snadno rozšiřovat  Distribuční a páteřní úroveň sítě je obvykle naddimenzovaná a zálohovaná, což zajišťuje její snadnou dostupnost z nižších úrovní sítě  Výkonnost sítě se zajišťuje použitím vysokorychlostních přepínačů na distribuční a páteřní úrovni a nízkou agregací  Bezpečnost je zajištěna na úrovni přístupové sítě (přístupová hesla apod.) i na úrovni distribuční sítě (komunikační protokoly)  Snadná ovladatelnost - každá vrstva tohoto uspořádání plní své specifické funkce  Modulární a hierarchická struktura umožňuje snadnou rozšiřitelnost sítě, aniž by se výrazně zvýšily nároky na její údržbu

Konvergované a nekonvergované sítě  Nekonvergované sítě - oddělené hlasové, video a datové služby  Konvergence je proces spojující hlas a video v datových sítích - přenos v reálném čase = náročné na rychlost datového toku a síťová zařízení, tyto sítě vyžadují vysokou QoS (Quality of Service)

CZ.1.07/2.1.00/32.0045


5


2. Přepínače

Obecná charakteristika  Pracují na 2.vrstvě OSI (v LAN)  Segmentují sítě – zmenšují a tříští kolizní domény  Neprovádějí fragmentaci rámců (předpoklad stejných síťových segmentů)  Používají se v prostředí lokálních sítí, nepřipojují se k rozlehlým sítím  Realizují dedikované propojení - každá stanice dostane jen rámce jí určené a rámce posílané na všeobecnou adresu  Rámec, který přepínač nezpracuje, zahazuje a zdrojová stanice se o zničení rámce nedozví

Režimy zpracování rámců Režim „ulož a pošli“ (store and forward)  Rámce se nejprve celé načtou a uloží

Zdrojová MAC

Cílová MAC

CZ.1.07/2.1.00/32.0045

DATA

CRC


6

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402  Poté se zjišťuje, na který výstupní port se má rámec poslat, a to na základě porovnání cílové MAC v rámci a tabulce MAC adres

Přepínací tabulka (Switching Table)

 Podle kontrolního součtu CRC se provede kontrola rámců (zničení chybných rámců)

CRC 435869123 435869123

Vlastnosti a použití  Nižší výkon vnitřního přepínání  Vhodné v sítích s vysokou chybovostí

CZ.1.07/2.1.00/32.0045


7

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Režim „průběžného zpracování“ (cut-through, on the fly)  Ihned po zjištění cílové MAC a výstupního portu začne přepínač vysílat rámec na výstupní port, aniž by dokončil jeho příjem  Neprovádí kontrolní součet ani jinou kontrolu rámce Vlastnosti a použití  Efektivní – je využit maximální výkon přepínače  Používá se ve spolehlivých sítích s minimálním počtem chybných rámců Přepínání na 3. vrstvě OSI  Přepínače 3.úrovně mohou směrovat data na základě IP adresy

 Mohou směrovat pakety mezi různými LAN segmenty podobně jako routery, ale nemohou je ve všech funkcích zcela nahradit

Základní funkce přepínačů  Zjišťování adresy – pamatují si zdrojovou HW adresu (MAC) každého přijatého rámce a ukládají ji do tabulky MAC adres  Rozhodování o předávání a filtrování – pokud je na rozhraní přijat rámec, přepínač zjistí jeho cílovou MAC adresu, v tabulce MAC adres vyhledá výstupní rozhraní a vyšle ho na cílový port  Prevence vzniku smyček – síťové smyčky vznikají v případě použití redundantních spojení (nadbytečná spojení pro zajištění vyšší spolehlivosti), k odstranění smyček při zachování redundance se používá protokol STP

CZ.1.07/2.1.00/32.0045


8

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Zjišťování adresy  Při prvním zapnutí přepínače je jeho MAC tabulka prázdná

Linkový rámec Zdrojová MAC1

Cílová MAC2

Port 1

Port 2

PC1 (MAC1)

PC2 (MAC2)

Port 3

Tabulka MAC adres Port 1 Port 2 Port 3

PC3 (MAC3)

 Po přijetí rámce od koncového zařízení (PC1) si přepínač uloží zdrojovou adresu (MAC1) do tabulky MAC adres (přepínací tabulky)  Protože nemá informace o tom, na kterém portu je připojen cílový počítač (PC2) s cílovou adresou (MAC2), rozešle rámec na všechny své porty s výjimkou portu, ze kterého rámec přišel (chová se jako rozbočovač)


Port 1

Cílová MAC2

Port 2

PC1 (MAC1)


PC2 (MAC2)

Port 3 Tabulka MAC adres

Cílová MAC2

Port 1

MAC1

Port 2 Port 3

PC3 (MAC3)

CZ.1.07/2.1.00/32.0045


9

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402  Koncové zařízení PC2 obdrží rámec od PC1 a odpoví  Přepínač si uloží MAC adresu PC2 (MAC2) do své tabulky MAC adres a rámec pošle pouze na Port 1, protože jeho tabulka MAC adres už potřebnou informaci obsahuje (portu 1 je přiřazena MAC adresa MAC1)


Cílová MAC1

Port 1

Port 2

PC1 (MAC1)

PC2 (MAC2)

Port 3 Tabulka MAC adres Port 1

MAC1

Port 2

MAC2

Port 3

PC3 (MAC3)

Rozhodování o předávání a filtrování

Filtrování rámců (Frame Filtering)  Cílová HW adresa rámce je porovnána s databází MAC adres (tabulka MAC adres)  Jestliže je cílová MAC adresa známa a uvedena v databázi, je rámec odeslán z odpovídajícího výstupního rozhraní (tento způsob rozesílání rámců šetří šířku pásma v jiných síťových segmentech)  Pokud cílová MAC adresa není uvedena v tabulce MAC adres, je rámec hromadně rozeslán na všechna aktivní rozhraní (s výjimkou rozhraní odkud byl rámec doručen)

CZ.1.07/2.1.00/32.0045


10


Tabulka MAC adres  Přepínač si vytváří tabulku MAC adres, ve které jsou obsaženy všechny uzly připojené na jeho porty  Tabulku MAC adres můžeme zobrazit příkazem

Switch#show mac address-table Mac Address Table ------------------------------------------Vlan

1 1 1 1 1 1

Mac Address ---- -----------

0001.637a.b5e2 0001.c9bd.ee33 0030.a330.8a2b 0060.472a.8d85 0060.4790.5d3e 00d0.58a4.752e

Type Ports -------- ----DYNAMIC DYNAMIC DYNAMIC DYNAMIC DYNAMIC DYNAMIC

Fa0/3 Fa0/1 Fa0/6 Fa0/4 Fa0/5 Fa0/2

 Informace v tabulce se uchovávají po dobu 300s.  Pokud na danou adresu nepřijde po tuto dobu žádný rámec, jsou z tabulky vymazány  Pokud jsou informace v MAC tabulce neplatné (například z důvodu přepojení sítě) můžeme ji smazat příkazem

Switch#clear mac address-table Switch#show mac address-table Mac Address Table ------------------------------------------Vlan

Mac Address ---- -----------

Type Ports -------- -----

Switch#

CZ.1.07/2.1.00/32.0045


11

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Zabezpečení portů  Slouží k zabránění neoprávněného připojení koncového zařízení nebo rozbočovače na port přepínače Switch(config)#interface fa0/7 Switch(config-if)#switchport port-security ? mac-address Secure mac address maximum Max secure addresses violation Security violation mode

 Každému portu lze přiřazovat koncové zařízení s konkrétní MAC adresou, to je časově velmi náročné Switch(config-if)#switchport port-security mac-address 0030.A330.8A2B

 Port lze nastavit tak, aby umožňoval připojení pouze jediného koncového zařízení (toho, které se připojí jako první) – maximum 1  V případě pokusu o připojení jiného zařízení se port vypne – violation shutdown Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#switchport port-security violation shutdown

 K danému portu můžeme „přilepit“ (sticky) první MAC adresu  Tato MAC adresa se bude v tabulce MAC adres jevit jako static. Switch(config)#int fa0/5 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security maximum 2 Switch(config-if)#switchport port-security violation shutdown

CZ.1.07/2.1.00/32.0045


12

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Prevence vzniku smyček Výhody redundantních spojení  Redundantní spojení - nadbytečná spojení mezi přepínači  Redundance v sítích LAN slouží jako prevence ztráty spojení při selhání síťových prvků

Propojení přepínačů bez redundance

Propojení přepínačů s redundantními spoji, vznik smyček

Nevýhody redundantních spojení  Díky redundantním spojům mohou vznikat v sítích LAN smyčky  Ethernetovské rámce nemají počítadla TTL, která by je po určité době zlikvidovala, proto rámce mohou ve smyčkách obíhat donekonečna a stále se množit  Rámce se mohou šířit po všech redundantních smyčkách současně

CZ.1.07/2.1.00/32.0045


13

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402  Zálohování (redundance) může mít za následek až odstavení sítě  Přepínače rozesílají všesměrová vysílání po celé datové síti, ve smyčce dochází k všesměrové bouři (broadcast storm)  Zařízení může přijmout více kopií téhož rámce, který dorazí z různých směrů (zvýšení zátěže sítě)  Přepínač může přijmout rámec z různých míst v síti – neustále aktualizuje svou tabulku MAC adres, což omezuje jeho činnost  Vícenásobné smyčky – smyčky v rámci jiných smyček

CZ.1.07/2.1.00/32.0045


14


3. Protokol STP (Spanning Tree Protocol)  STP (Spanning Tree protocol) - protokol přemosťovacího stromu  STA (Spanning Tree Algorithm) - nejprve vytvoří topologickou databázi a poté vyhledá a zablokuje redundantní linky, aby vznikla stromová (bezsmyčková) topologie  Rámce jsou předávány pouze po vybraných nejlepších spojích, které byly zvoleny na základě protokolu STP

Základní pojmy

Root Bridge  Kořenový most  Most s nejlepší (nejnižší) hodnotou ID  Je zvolen ostatními přepínači v síti  Slouží jako ústřední bod sítě

BPDU (Bridge Protocol Data Unit)  Datová jednotka přemosťovacího protokolu  Slouží k výměně informací mezi přepínači (volba Root Bridge, následná konfigurace sítě)

Bridge ID  ID mostu  Pomocí ID sleduje STP všechny přepínače v síti  Jeho hodnota závisí na kombinaci priority mostu (Cisco standardně 32 768) a základní MAC adresy

CZ.1.07/2.1.00/32.0045


15

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Jiné než kořenové mosty  Všechny ostatní mosty vyjma kořenových  Vyměňují si BPDU se všemi ostatními mosty a aktualizují databázi STP  Zabraňují vzniku smyček a zajišťují ochranu před výpadkem linek

Cena portu  Určuje optimální trasu, když žádná z linek nevede ke kořenovému portu  Cena portu je odvozena od šířky pásma linky Kořenový port (Root Port)  Označuje linky připojené ke kořenovému mostu (nejkratší trasu ke kořenovému mostu)

Designated Port  Určený port  Port, u kterého byly zjištěny nejnižší náklady (cena)  Je určen pro přeposílání rámců

Non-designated Port  Neurčený port  Má vyšší náklady než určený port  Není určen pro přeposílání rámců

Forwarding Port  Předávací port, přeposílá rámce

Blocking Port  Blokovaný port, nepřeposílá rámce

CZ.1.07/2.1.00/32.0045


16


Root Bridge Designated Port

F0/2

Trunk 3

S2

S3

F0/1 Root Port

F0/2

F0/1 Designated Port

Non - Designated Port Trunk 2

Trunk 1

F0/1 Root Port

F0/2 Designated Port

S1

Druhy STP

CST

Common Spanning Tree

IEEE 802.1d pro všechny VLANy jediná instance STP

PVST

Per-VLAN Spanning Tree

IEEE 802.1d

PVST+ Per-VLAN Spanning Tree + RSTP

IEEE 802.1d používá 802.1q trunk rychlá konvergence (cca 1s), revizí 2004 sloučen do 802.1d

Rapid Spanning Tree Protocol

IEEE 802.1w

Rapid Per-VLAN Spanning Tree

IEEE 802.1w RST běží pro každou VLANu zvlášť

RPVST+ +

MSTP

pro každou VLANu samostatná instance STP, používá ISL trunk

rychlé jako RST, umožňuje mapovat několik Multiple Spanning Tree Protocol IEEE 802.1s VLAN do jedné STP instance, běží nad RSTP, revizí 2003 sloučen do 802.1q

CZ.1.07/2.1.00/32.0045


17


Činnost STP Výběr kořenového mostu (Root Bridge)  K výběru slouží hodnota ID  ID má délku 8 bajtů, obsahuje prioritu (defaultně 32 768) + MAC adresu  Pokud mají dva přepínače stejnou prioritu, pro volbu kořenové ho mostu se používá MAC adresa  Kořenovým mostem se stává ten přepínač, jehož MAC adresa je nižší

ID 32 769 MAC 0090.2BDC.5D83

S2

ID 32 769 MAC 0007.ECD6.68C7

S3

S3#show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 32769 Address 0007.ECD6.68C7 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) Address 0007.ECD6.68C7 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20

CZ.1.07/2.1.00/32.0045


18


S2#show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 32769 Address 0007.ECD6.68C7 Cost 19 Port 2(FastEthernet0/2) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) Address 0090.2BDC.5D83 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20

 Změny kořenového mostu lze dosáhnout změnou priority zvoleného přepínače S2(config)#spanning-tree vlan 1 priority 4096

S2#show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 4097 Address 0090.2BDC.5D83 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 4097 (priority 4096 sys-id-ext 1) Address 0090.2BDC.5D83 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20

Stavy portů protokolu STP Blocking (Blokování)  Blokování portu zabraňuje vzniku smyček  Blokovaný port nepředává rámce  Naslouchá datovým jednotkám přemosťovacího protokolu (BPDU)  V tomto stavu jsou defaultně všechny porty po zapnutí přepínače

CZ.1.07/2.1.00/32.0045


19

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Listening (Naslouchání)  Naslouchá datovým jednotkám přemosťovacího protokolu (BPDU)  Je připraven k předání datových rámců bez zaplnění tabulky MAC adres Learning (Zjišťování)  Naslouchá datovým jednotkám přemosťovacího protokolu (BPDU)  Zjišťuje všechny trasy v přepínané síti  Vyplňuje tabulku MAC adres  Nepředává datové rámce  Přechod z režimu Listening do režimu Learning = zpoždění předávání (Forward Delay), standardně je nastaveno na 15 s Forwarding (Předávání)  Port odesílá a přijímá všechny datové rámce na přemostěném portu Disabled (Zakázán)  Port v tomto stavu nefunguje  Byl administrativně odstaven

Konvergence  Stav konvergence nastává, když jsou všechny porty přepínačů v režimu předávání nebo blokování  Během dosahování stavu konvergence nedochází k přenosu hostitelských dat (nepřenášejí se datové rámce)  V tomto stavu mají všechna zařízení stejnou databázi

CZ.1.07/2.1.00/32.0045


20


Funkce PortFast protokolu STP  Přechod z režimu blokování do režimu předávání trvá 50 sekund  To může způsobit například problémy při získávání IP adres z DHCP serveru (konvergence STP může trvat za běžných podmínek tak dlouho, že mezitím vyprší časový limit požadavku DHCP)  Použití této funkce urychlí STP konvergenci, ale vyžaduje zvýšenou opatrnost (musíme si být jistí, že při vypnutí STP na daném portu nemůže vzniknout smyčka)  Na trunk portech mezi přepínači se obvykle funkce PortFast nepoužívá S2(config)#interface fa0/1 S2(config-if)#spanning-tree portfast %Warning: portfast should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc... to this interface when portfast is enabled, can cause temporary bridging loops. Use with CAUTION %Portfast has been configured on FastEthernet0/1 but will only have effect when the interface is in a non-trunking mode.

 Konfigurace více portů současně (porty fa0/1 až fa0/12) S2(config)#interface range fa0/1 - 12 S2(config-if-range)#spanning-tree portfast

BPDUGuard  Používá se v kombinaci s příkazem PortFast  Ochraňuje port, který je určen pro koncovou stanici nebo server  Pokud na tento port přijde BPDU, port se vypne (error-disable)

BPDUFilter  Slouží k filtrování STP provozu na portech určených pro koncovou stanici nebo server  Zabrání přijímání a odesílání BPDU paketů

CZ.1.07/2.1.00/32.0045


21


Switch(config)#int f0/1 Switch(config-if)#spanning-tree bpduguard enable Switch(config-if)#%SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/1 with BPDU Guard enabled. Disabling port. Switch(config-if)#spanning-tree bpdufilter enable

Funkce UplinkFast protokolu STP  Zkracuje čas konvergence STP v případě selhání linky (přepínač může najít alternativní trasy před výpadkem primárního spojení)  Lze použít tehdy, pokud má přepínač alespoň jeden alternativní nebo záložní kořenový port (ve stavu blokování)  Používá se u přepínačů přístupové vrstvy Switch(config)#spanning-tree uplinkfast

Funkce BackboneFast protokolu STP  Používá se k urychlení konvergence v případě, že dojde k selhání linky, jež není přímo připojená k přepínači  Umožňuje detekci nepřímých výpadků linky  Urychluje začátek rekonfigurace protokolu STP až o 20 sekund Switch(config)#spanning-tree backbonefast

Protokol RSTP (Rapid Spanning Tree Protocol)  Původní protokol STP podle standardu IEEE 802.1d je proprietárním protokolem firmy Cisco  Protokol RSTP podle standardu IEEE802.1w je kompatibilní pro přepínače i od jiných výrobců

CZ.1.07/2.1.00/32.0045


22


 Pro správnou funkci musí být nastaven na všech přepínačích v dané síti  Řeší problémy původního STP protokolu s rychlostí konvergence

Switch(config)#spanning-tree mode rapid-pvst Switch(config)#do show spanning-tree VLAN0001 Spanning tree enabled protocol rstp Root ID Priority 32769 Address 0007.ECD6.68C7 Cost 19 Port 1(FastEthernet0/1) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) Address 00D0.BCC9.7D3C Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20 Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- -------------------------------Fa0/1 Root FWD 19 128.1 P2p Fa0/2 Altn BLK 19 128.2 P2p

CZ.1.07/2.1.00/32.0045


23


4. Virtuální sítě LAN (VLAN)

Úvod do problematiky VLAN Bez použití VLAN  Do jedné skupiny počítačů patří ty, které jsou připojené na jeden přepínač (například na jednom patře budovy)  Počítače dané skupiny připojené na daný přepínač tvoří jednu broadcast doménu  Každé oddělení má svou síť s jinou adresou  Jednotlivé sítě jsou spojeny přes směrovač

Studenti

Učitelé

Administrativa

CZ.1.07/2.1.00/32.0045


24

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 S použitím VLAN  Skupiny lze vytvářet libovolně bez vazby na přepínač (na témže přepínači lze použít různé porty pro různé VLANy)  Vytvoření VLAN umožňuje dělit síť logicky podle funkce, druhu uživatelů nebo používaných aplikací, nejen podle fyzického a prostorového uspořádání Výhody  Změny v síti (přidávání, přesuny stanic) lze provést pouze konfigurací portu do příslušné VLAN  Sítě VLAN značně posilují zabezpečení sítě (skupinu uživatelů, kteří vyžadují mimořádnou úroveň zabezpečení, lze přesunout do vlastní VLAN)  VLANy zvyšují počet všesměrových domén a snižují jejich velikost (každý broadcast se šíří pouze v rámci dané VLANy)

Studenti

Učitelé

Administrativa

CZ.1.07/2.1.00/32.0045


25


Druhy VLAN Statická VLAN  Porty se ručně přiřadí do VLAN  Nejobvyklejší a nejbezpečnější způsob konfigurace  Statické VLAN se konfigurují pomocí příkazového řádku nebo pomocí grafického rozhraní Dynamická VLAN  Porty se přiřazují automaticky podle MAC adresy  Porty přiřazuje VLAN server (VMPS – VLAN Membership Policy Server)  Když se stanice přestěhuje na jiný port nebo dokonce switch, server automaticky přiřadí port správné VLAN Hlasová VLAN  Port se konfiguruje tak, aby podporoval IP telefon  Nejdřív musíme vytvořit jednu VLAN pro hlas a druhou pro data  Síť musí být konfigurována tak, aby hlasový provoz přenášela přednostně  Když poprvé připojíme VoIP telefon k portu v hlasovém módu, přepínač poskytne telefonu VLAN ID a konfiguraci  Telefon pak označuje svoje rámce tímto přiděleným ID a síť hlasové rámce přenáší po hlasové VLAN VLAN 1  Defaultní VLAN, patří do ní všechny porty přepínače, pokud nejsou nakonfigurovány jiné VLAN  Nelze ji změnit ani odstranit  Slouží jako nativní síť všech přepínačů  Cisco doporučuje, aby byla tato síť používána pro administrativní účely

CZ.1.07/2.1.00/32.0045


26


Konfigurace statické VLAN  Pokud nejsou VLAN nakonfigurovány, všechny porty patří do VLAN1 Switch#show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gig1/1, Gig1/2

 Vytvoření tří samostatných sítí VLAN (VLAN s identifikátorem 2 a se jménem Ucitele, VLAN s identifikátorem 3 a se jménem Studenti a VLAN s identifikátorem 4 a se jménem Administrativa) Switch(config)#vlan 2 Switch(config-vlan)#name Ucitele Switch(config-vlan)#vlan 3 Switch(config-vlan)#name Studenti Switch(config-vlan)#vlan 4 Switch(config-vlan)#name Administrativa

CZ.1.07/2.1.00/32.0045


27


Switch#show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gig1/1, Gig1/2 2 Ucitele active 3 Studenti active 4 Administrativa active

 Přiřazení portů přepínače do sítí VLAN  Pro přiřazení více portů najednou lze použít příkaz interface range Switch(config)#interface fastethernet0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 2 Switch(config-if)#int fa0/2 Switch(config-if)#sw mode access Switch(config-if)#sw access vlan 2 . . . Switch(config-if)#int fa0/12 Switch(config-if)#sw mode access Switch(config-if)#sw access vlan 4

CZ.1.07/2.1.00/32.0045


28


Switch#show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gig1/1, Gig1/2 2 Ucitele active Fa0/1, Fa0/2, Fa0/3, Fa0/4 3 Studenti active Fa0/5, Fa0/6, Fa0/7, Fa0/8 4 Administrativa active Fa0/9, Fa0/10, Fa0/11, Fa0/12

Druhy portů Přístupové porty (Access Ports)  Patří do jediné sítě VLAN, přenášejí provoz pouze této sítě  Provoz se přijímá a odesílá v nativním formátu (bez značkování) Trunkové porty  Dvoubodové spojení mezi přepínači, přepínačem a směrovačem nebo přepínačem a serverem, které přenáší provoz do více různých sítí VLAN

Bez trunků  Pro každou VLAN musí být mezi přepínači jeden fyzický spoj a na každém přepínači jeden port, protože běžné porty v módu access je možno přiřadit jen do jedné VLAN → na každém přepínači je třeba vyhradit port pro každou VLAN

CZ.1.07/2.1.00/32.0045


29


VLAN20 – Studenti 172.17.20.22/24

VLAN30 – Učitelé VLAN10 – Administrativa 172.17.30.23/24 172.17.10.25/24

S trunky  Pro všechny VLANy stačí jeden společný spoj ( = trunk)

VLAN20 – Studenti 172.17.20.22/24

VLAN30 – Učitelé VLAN10 – Administrativa 172.17.30.23/24 172.17.10.25/24

 Konfigurace trunkových portů Switch(config)#int fa0/16 Switch(config-if)#switchport mode trunk %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/16, changed state to up

CZ.1.07/2.1.00/32.0045


30


DTP (Dynamic Trunking Protocol)  Pro přepínače firmy Cisco

F0/1 switchport mode trunk

F0/3

S1

switchport mode dynamic auto

F0/1

F0/3

switchport mode trunk

switchport mode dynamic auto

S2

S3

Switchport mode trunk  Převede rozhraní do trvalého trunkového režimu a vyjedná převod sousední linky na trunkovou  Zůstává trvale v trunking módu Switchport mode dynamic auto  Dokáže převést linku na trunkovou  Rozhraní se změní na trunk, jestliže je sousední rozhraní nastaveno do režimu trunk nebo desirable  Výchozí režim u všech nových Cisco přepínačů

Switchport mode dynamic desirable  Rozhraní se aktivně pokusí převést linku na trunkovou, pokud je sousední rozhraní nastaveno do trunkového, desirable nebo dynamic auto režimu

Switchport negotiate  Zabrání generování rámců DTP rozhraním  Používá se, pokud je rozhraní nastaveno jako access nebo trunk

CZ.1.07/2.1.00/32.0045


31


Značkování rámců (Frame Tagging)  Tato metoda každému rámci přiřazuje jedinečnou uživatelsky definovanou hodnotu ID  Když PC z datové VLAN vyšle datový rámec, je tento rámec označen značkou VLAN ID  Tato značka určuje, do které VLAN rámec patří  Přepínač po doručení rámce zjistí ID sítě VLAN  Ve filtrovací tabulce určí, zda se rámec předá na další přepínač přes trunk nebo zda se pošle na přístupový port  Pokud má být rámec předán na přístupový port, odstraní přepínač identifikátor sítě VLAN  V případě, že by nebyl identifikátor odstraněn, rámec by byl zahozen

Metody identifikace VLAN Inter-Switch Link  Dovoluje explicitně značkovat informace sítě VLAN do rámce Ethernet  Externí metoda zapouzdření (ISL)  Zapouzdřuje datový rámec s novým záhlavím a kontrolním součtem CRC (Cyclic Redundancy Check)  Pouze u přepínačů Cisco u spojů FastEthernet a GigabitEthernet

IEEE 802.1Q  Standardní metoda značkování rámců  Do rámce vkládá pole identifikující VLAN  Postup - určíme všechny porty, které se budou používat jako trunk se zapouzdřením 802.1Q, ke konkrétnímu ID přiřadíme VLAN, takže slouží jako nativní síť VLAN  Porty, které patří do stejné trunkové linky, vytvářejí skupinu v rámci této nativní sítě VLAN  Každý port je pak označen odpovídajícím identifikačním číslem (jako výchozí se používá VLAN1)

CZ.1.07/2.1.00/32.0045


32

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402  Přepínače Cisco Catalyst řady 2960 jsou kompatibilní pouze s protokolem 802.1Q  Přepínače Cisco Catalyst 3560 poskytují služby vrstvy 3 a podporují metody zapouzdření ISL i 802.1Q Switch(config)#int fa0/16 Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk

 Definování povolených/zakázaných sítí VLAN u trunkové linky (na portu fa0/16 je nakonfigurována trunková linka, tento port zahodí veškerý odeslaný a přijatý provoz sítě VLAN 4) Switch(config-if)#switchport trunk allowed vlan remove 4

 Pokud chceme odstranit rozsah sítí VLAN Switch(config-if)#switchport trunk allowed vlan remove 2-4

 Obnovení výchozího nastavení – povolení všech VLAN Switch(config-if)#switchport trunk allowed vlan all

 Jiná varianta obnovení výchozího nastavení Switch(config-if)#no switchport trunk allowed vlan

CZ.1.07/2.1.00/32.0045


33


Změny nebo úpravy nativní trunkové sítě VLAN  Změna čísla nativní VLAN se někdy provádí z bezpečnostních důvodů Switch(config)#int fa0/16 Switch(config-if)#sw mode trunk Switch(config-if)#sw trunk native vlan 40

Switch#show running-config Building configuration... Current configuration : 1093 bytes ! . . . interface FastEthernet0/16 switchport trunk native vlan 40 switchport mode trunk

 Stejná nativní VLAN musí být nastavena na všech trunkových linkách, jinak se začne objevovat následující chyba %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on FastEthernet0/16 (40), with Switch FastEthernet0/1 (1).

CZ.1.07/2.1.00/32.0045


34


5. Protokol VTP (VLAN Trunking Protocol)  Umožňuje přidávat a odstraňovat sítě VLAN a měnit jejich názvy  Konfiguraci provedeme pouze na jednom přepínači (server)  Příslušné informace pak šíří ostatním přepínačům v doméně VTP

VTP server

VLAN30

F0/1

F0/3

VLAN30

VLAN30

F0/1

F0/3

S3

Režimy činnosti VTP Server  Na serveru můžeme tvořit, měnit a mazat VLAN  Všechny změny pak server přeposílá ostatním přepínačům  Když dostane odjinud zprávu o změně VLAN, vezme ji na vědomí, uloží si ji a zachová se podle ní  Informace ukládá do NVRAM  V každé doméně musí být alespoň jeden server  Defaultní nastavení přepínače je server

Klient  Řídí se konfigurací, kterou dostane od jiných přepínačů  Vhodné pro přepínače, které nemají dost paměti na uložení rozsáhlých informací o VLAN  Informace ukládá pouze do paměti do RAM

CZ.1.07/2.1.00/32.0045


35

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Transparent (průhledný)  Do sítě ostatních přepínačů a jejich VLAN vůbec nepatří, nečte jejich zprávy, neřídí se jimi, pouze přeposílá informace

VTP domény  VTP doména se skládá z několika přepínačů, kterým bylo přiděleno jméno stejné domény  Slouží k usnadnění správy sítě (případná chyba se šíří jen po hranice domény)  Nové VLAN na VTP serveru lze vytvářet až po přidělení jména domény

VTP doména 1

VTP doména 2

Redukce VTP (Pruning)  Zabrání odesílání zbytečných paketů (broadcast, multicast, neznámé) na přepínače, kde není žádný port v dané VLAN a ani přes něj nevede funkční cesta dál  Příklad - S2 neposílá pakety pro VLAN10 doprava, protože ví, že tam už žádné počítače připojené na VLAN10 nejsou

CZ.1.07/2.1.00/32.0045


36


VLAN10 F0/1

172.17.10.21

F0/18

VLAN20 172.17.20.22

VLAN20

S1

F0/1

F0/3

F0/3

172.17.20.24

F0/18

VLAN20

F0/11

F0/11

S2

S3

F0/6

172.17.20.25

F0/6

VLAN20

VLAN10

172.17.20.26

172.17.10.23

Konfigurace protokolu VTP  Všechny přepínače Cisco jsou ve výchozím nastavení nakonfigurovány jako servery VTP  Pokud chceme nastavit protokol VTP, nejprve musíme nakonfigurovat příslušný název domény (kromě názvu lze nastavit i heslo, provozní režim, funkce pruning) Switch1(config)#vtp mode server Device mode already VTP SERVER. Switch1(config)#vtp domain Skola Changing VTP domain name from NULL to Skola Switch1(config)#vtp password class Setting device VLAN database password to class

Switch1(config)#do show vtp status VTP Version :2 Configuration Revision :0 Maximum VLANs supported locally : 255 Number of existing VLANs :5 VTP Operating Mode : Server VTP Domain Name : Skola VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0x42 0x18 0x69 0x20 0x16 0xEB 0xD0 0x1B Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00 Local updater ID is 0.0.0.0 (no valid interface found)

CZ.1.07/2.1.00/32.0045


37

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402  V názvech domén protokolu VTP se rozlišují velká a malá písmena  Konfigurace druhého přepínače jako klienta Switch2(config)#vtp mode client Setting device to VTP CLIENT mode. Switch2(config)#vtp domain Skola Domain name already set to Skola. Switch2(config)#vtp password class Setting device VLAN database password to class

Switch2(config)#do show vtp status VTP Version :2 Configuration Revision :0 Maximum VLANs supported locally : 255 Number of existing VLANs :5 VTP Operating Mode : Client VTP Domain Name : Skola VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0x42 0x18 0x69 0x20 0x16 0xEB 0xD0 0x1B Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00

 VLAN byly nakonfigurovány na přepínači Switch1, který je nastaven jako server (kráceno) Switch1#sh vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/13, Fa0/14, Fa0/15, Fa0/17 Fa0/18, Fa0/19, Fa0/20, Fa0/21 Fa0/22, Fa0/23, Fa0/24, Gig1/1 Gig1/2 2 Ucitele active Fa0/1, Fa0/2, Fa0/3, Fa0/4 3 Studenti active Fa0/5, Fa0/6, Fa0/7, Fa0/8 4 Administrativa active Fa0/9, Fa0/10, Fa0/11, Fa0/12

CZ.1.07/2.1.00/32.0045


38

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402  Stejné VLAN se objeví i na druhém přepínači Switch2 (kráceno) Switch2#sh vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/14, Fa0/15, Fa0/16, Fa0/17 Fa0/18, Fa0/19, Fa0/20, Fa0/21 Fa0/22, Fa0/23, Fa0/24, Gig1/1 Gig1/2 2 Ucitele active 3 Studenti active 4 Administrativa active

 VTP je užitečný při udržování konzistentních názvů sítí VLAN v rámci přepínané sítě

CZ.1.07/2.1.00/32.0045


39


6. Směrování mezi VLANy (Inter-VLAN Routing)  Koncová zařízení mezi sebou mohou na úrovni 2.vrstvy komunikovat v rámci společné VLAN  Pokud chceme realizovat komunikaci mezi VLANy, je nutné do sítě zapojit směrovač a komunikaci uskutečňovat na úrovni 3. vrstvy Klasické připojení  Pro každou VLAN připojenou k routeru by musela být samostatná linka a samostatné rozhraní ( = fyzický konektor) na routeru  Router má obvykle velmi omezený počet ethernetových rozhraní (umožňuje připojit jen omezený počet VLAN)

Router-on-a-Stick  Všechny VLANy jsou k routeru připojené jedinou linkou přes jediné rozhraní  Toto rozhraní je virtuálně rozděleno na tolik podrozhraní (subinterfaces) kolik je VLANů. Jednotlivá podrozhraní se označují například fastethernet 0/0.1, fastethernet 0/0.2 ….

F0/0 F0/16

F0/5

VLAN 3 – Studenti

CZ.1.07/2.1.00/32.0045

F0/1 F0/17

F0/1

VLAN 2 – Učitelé

Trunk

F0/5

VLAN 3 – Studenti


F0/0 F0/16

F0/1

VLAN 2 – Učitelé

40


Konfigurace směrování mezi různými VLANy

Gig0/0

Subinterface: Gig0/0.2 172.16.2.1/24 Gig0/0.3 172.16.3.1/24 Gig0/0.4 172.16.4.1/24

Trunk

Gig1/1 VLAN 1 – default 172.16.1.2/24 Brána 172.16.12.1

F0/9

F0/1 F0/5

VLAN 2 – Učitelé 172.16.2.2/24 Brána 172.16.2.1

VLAN 3 – Studenti VLAN 4 – Administrativa 172.16.3.2/24 172.16.4.2/24 Brána 172.16.3.1 Brána 172.16.4.1

Konfigurace přepínače  Nastavíme IP adresu a bránu pro VLAN 1 Switch1(config)#int vlan 1 Switch1(config-if)#ip address 172.16.1.2 255.255.255.0 Switch1(config-if)#ip default-gateway 172.16.1.1 Switch1(config-if)#no shutdown

 Rozhraní Gig1/1 nastavíme jako trunk Switch1(config)#int gig1/1 Switch1(config-if)#sw mode trunk

CZ.1.07/2.1.00/32.0045


41

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402  Vytvoříme VLANy Ucitele, Studenti a Administrativa a do každé z nich přiřadíme čtyři po sobě následující porty Switch(config)#vlan 2 Switch(config-vlan)#name Ucitele Switch(config-vlan)#vlan 3 Switch(config-vlan)#name Studenti Switch(config-vlan)#vlan 4 Switch(config-vlan)#name Administrativa Switch(config-vlan)#exit Switch(config)#int range fa0/1 -4 Switch(config-if-range)#sw mode access Switch(config-if-range)#sw access vlan 2 Switch(config-if-range)#exit Switch(config)#int range fa0/5 - 8 Switch(config-if-range)#sw mode access Switch(config-if-range)#sw access vlan 3 Switch(config-if-range)#exit Switch(config)#int range fa0/9 - 12 Switch(config-if-range)#sw mode access Switch(config-if-range)#sw access vlan 4

 Ověříme konfiguraci přepínače (značně kráceno) Switch1#sh run Building configuration... ... interface FastEthernet0/1 switchport access vlan 2 switchport mode access ... interface FastEthernet0/9 switchport access vlan 4 switchport mode access ... interface GigabitEthernet1/1 switchport mode trunk ... interface Vlan1 ip address 172.16.1.2 255.255.255.0 ! ip default-gateway 172.16.1.1

CZ.1.07/2.1.00/32.0045


42

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Konfigurace směrovače  Každé z logických rozhraní musí mít takovou IP adresu, aby patřilo do stejné VLAN jako příslušné stanice  Danému rozhraní musíme definovat typ označování rámců (dot1q) a přidat popis, do které VLAN rozhraní patří  Nastavení rozhraní pro VLAN 1 Router(config)#interface GigabitEthernet0/0 Router(config-if)#ip address 172.16.1.1 255.255.255.0 Router(config-if)#no shutdown

 Rozhraní 0/0.2 bude směrovat tok dat do virtuální sítě VLAN 2, proto musí mít stejnou adresu sítě jako tato VLAN (Ucitele) Router(config)#int gig0/0.2 Router(config-subif)#encapsulation dot1q 2 Router(config-subif)#ip address 172.16.2.1 255.255.255.0

 Rozhraní 0/0.3 bude směrovat tok dat do virtuální sítě VLAN 3, proto musí mít stejnou adresu sítě jako tato VLAN (Studenti) Router(config)#int gig0/0.3 Router(config-subif)#encapsulation dot1q 3 Router(config-subif)#ip address 172.16.3.1 255.255.255.0

 Rozhraní 0/0.4 bude směrovat tok dat do virtuální sítě VLAN 4, proto musí mít stejnou adresu sítě jako tato VLAN (Administrativa) Router(config)#int gig0/0.4 Router(config-subif)#encapsulation dot1q 4 Router(config-subif)#ip address 172.16.4.1 255.255.255.0

CZ.1.07/2.1.00/32.0045


43

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402  Kontrola konfigurace routeru Router#sh run Building configuration... . interface GigabitEthernet0/0 ip address 172.16.1.1 255.255.255.0 duplex auto speed auto ! interface GigabitEthernet0/0.2 encapsulation dot1Q 2 ip address 172.16.2.1 255.255.255.0 ! interface GigabitEthernet0/0.3 encapsulation dot1Q 3 ip address 172.16.3.1 255.255.255.0 ! interface GigabitEthernet0/0.4 encapsulation dot1Q 4 ip address 172.16.4.1 255.255.255.0

 IP adresy, masky a brány jednotlivým počítačům nastavíme dle obrázku  Nastavení PC ve VLAN Ucitele

CZ.1.07/2.1.00/32.0045


44


7. Bezdrátové technologie – WiFi  WLAN (Wireless LAN) – bezdrátové LAN

Druhy  mikrovlnné spoje (Wi-Fi, Bluetooth)  IR spoje (300 – 428THz) Vlastnosti  Nevyžaduje kabeláž – prvky sítě spolu komunikují prostřednictvím rádiového signálu o určité frekvenci Výhody  Rychlá a snadná realizace datové sítě bez nutnosti pokládky kabelů  Mobilita účastníků, flexibilita a snadná rozšiřitelnost sítě

Technologie WiFi Frekvenční pásma  Použití rádiových frekvenčních pásem podléhá regulaci ČTU (Český telekomunikační úřad).  Nelicencované pásmo (ISM - Industrial Scientific and Medical). 2,4 až 2,4835 GHz 5 až 5,825 GHz  IEEE specifikovalo standard bezdrátové sítě pracující v pásmu ISM pod číslem 802.11 (definuje pouze dvě nejnižší vrstvy OSI modelu – fyzickou a spojovou)

CZ.1.07/2.1.00/32.0045


45

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Přehled základních standardů 802.11 pro bezdrátové sítě

Protokol

Maximální rychlost Frekvence Zveřejněn přenosu [GHz] dat [Mbps]

Modulace

Přibližný Přibližný dosah na dosah v volném budovách prostranství [m] [m]

802.11

1997

2,4

2

DSSS, FHSS

20

100

802.11a

1999

5

54

OFDM

35

120

802.11b

1999

2,4

11

DSSS

35

140

802.11g

2003

2,4

54

OFDM, DSSS

38

140

802.11n

2009

2,4 a 5

600

OFDM-MIMO

70

250

Vysílání v rozprostřeném spektru  Pomocí matematických funkcí se signál na vysílači rozptýlí do širokého frekvenčního bloku, přijímač opačnou operací převede signál zpět na úzkopásmový  Výhoda – eliminace interferencí úzkopásmových zdrojů Techniky rozprostřeného spektra  FHSS (Frequency Hopping Spread Spectrum) - systém s rozprostřeným spektrem a kmitočtovým skákáním  DSSS (Direct Sequence Spread Spectrum) - systém s rozprostřeným spektrem s přímou sekvencí  OFDM (Othogonal Frequency Division Multiplexing) – ortogonální multiplex s kmitočtovým dělením  OFDM - MIMO (Multiple Input, Multiple Output) – multianténní komunikační systém využívající techniku OFDM

CZ.1.07/2.1.00/32.0045


46

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Přehled všech standardů 802.11

Standard

Stručná charakteristika

IEEE 802.11a

standard 54 Mbps, 5GHz

IEEE 802.11b

rozšíření základního standardu 802.11 o podporu rychlosti 5,5 a 11Mbps

IEEE 802.11c

procedury fungování mostu, zahrnuto v IEEE 802.11d

IEEE 802.11d

rozšíření o mezinárodní roaming

IEEE 802.11e

technologie QoS (Quality of service)

IEEE 802.11F

protokol IAPP (Inter-Access Point Protocol)

IEEE 802.11g

standard 54 Mbps, 2,4GHz, zpětně kompatibilní s 802.11b

IEEE 802.11h

technologie DFS (Dynamic Frequency Selection) a TPC na frekvenci 5GHz

IEEE 802.11i

vylepšené zabezpečení

IEEE 802.11j

rozšíření pro veřejné zabezpečení v Japonsku a USA

IEEE 802.11k

rozšíření pro měření rádiových prostředků

IEEE 802.11m

údržba standardu, drobné dodatky

IEEE 802.11n

vyšší propustnost pomocí antén MIMO (Multiple Input, Multiple Output)

IEEE 802.11p

WAVE (Wireless Access for the Vehicular Enviroment)

IEEE 802.11r

rychlý roaming

IEEE 802.11s

topologické sítě typu ESS (Extended Service Set)

IEEE 802.11T

WPP (Wireless Performance Prediction)

IEEE 802.11u

propojení se sítěmi jiného typu než 802 (např. mobilními)

IEEE 802.11v

správa bezdrátové sítě

IEEE 802.11w

chráněné rámce pro správu

IEEE 802.11y

provoz 3650 - 3700 v USA

CZ.1.07/2.1.00/32.0045


47


Komponenty bezdrátových sítí Aktivní prvky  Access Point (AP) - přístupový bod, řídící stanice pro klienty, rádiový „server“  Wireless Bridge - bezdrátový most, spojuje dvě LAN  Wireless Router - oproti bridge umí spojit i různé sítě, mívá Ethernet Switch  Interní karty (PCI,PCMCIA) - umožňují klientské funkce (připojení k AP) Pasivní prvky  Kabely - propojení antény a WiFi zařízení, používají se kabely s impedancí 50Ω  Konektory - přechodová ztráta se udává v dB/jeden spoj (typy N, R-SMA, TNC, ….)  Antény – všesměrové (svislý dipól, malý zisk), sektorové (Quad, 4Quad, Trell, pokrytí 60-120°), směrové (parabolické, vysoký zisk)

Druhy útoků na WiFi síť  Volný přístup k Internetu přes nezabezpečenou síť  Zneužití soukromých informací  Neoprávněné AP v síti, které mohou zachycovat komunikaci klientů, jejich MAC adresy, stahovat soubory ze serveru  Útoky typu Man-in-the Middle  Odmítnutí služby (DoS, DDoS)

Zabezpečení WiFi sítí  SSID (Service Set IDentifier) – jedinečný identifikátor bezdrátové WiFi sítěFiltrování pomocí MAC adres  WEP (Wired Equivalent Privacy) - klíč dlouhý 40 (+ 24 = 64) nebo 104 (+ 24 = 128) nebo 232 (+ 24 = 256) bitů, 24b inicializační vektor (IV)  WPA (WiFi Protected Access) a 802.11-šifruje pomocí dynamického klíče TKIP CZ.1.07/2.1.00/32.0045


48


Komunikace klient – AP  AP (Access Point) – přístupový bod  AP vysílá pravidelně svůj identifikátor (SSID) v takzvaném majákovém rámci a klienti si tam mohou vybrat, ke které bezdrátové síti se připojí

AP

 Průzkum (Probing)

SSID Podporované rychlosti

AP

SSID Podporované rychlosti Zabezpečení

 Ověření komunikujících stran (Authentication)

Spojení (otevřené, šifrované) Sdílený klíč (pro šifrované)

AP

Typ spojení Klíč „Úspěšné/neúspěšné“

CZ.1.07/2.1.00/32.0045


49

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402  Připojení (Association)

MAC klienta BSSID (MAC AP) ESSID

AP

„Úspěšné/neúspěšné“ AID (Association IDentifier)

Přístupová metoda CSMA/CA  Protokol CSMA/CA (Carrier Sense, Multiple Access with Collision Avoidance) – metoda mnohonásobného přístupu se zamezením kolizí  Odesílatel pošle RTS (Request to Send) s adresou cíle a předpokládanou délkou vysílání  Na základě RTS se v každém uzlu vypočítá NAV (Network Allocation Vector) – počítadlo, jak dlouho bude médium obsazené  příjemce odpovídá vysláním CTS (Clear to Send) a potvrdí délku přenosu  vysílající posílá data  cílová stanice je potvrdí ACK (Acknowledge)  kolize nastávají jen u RTS, zbytek je časově plánován

AP

RTS CTS data

čas

čas

ACK

CZ.1.07/2.1.00/32.0045


50


Konfigurace bezdrátové datové sítě – příklad Konfigurace WiFi routeru přes webové rozhraní  Do vyhledávače zadáme pro daný WiFi router IP adresu 10.0.0.138 a vyplníme přihlašovací jméno a heslo  Základní nastavení

 Filtrování na základě MAC adres

CZ.1.07/2.1.00/32.0045


51

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402  Nastavení zabezpečení

CZ.1.07/2.1.00/32.0045


52

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402  Nastavení dalších parametrů

Připojení stanice do WiFi sítě  Nabídka Start → Ovládací panely → Centrum síťových připojení a sdílení  Připojit k síti – v novém okně se objeví všechny bezdrátové sítě v dosahu stanice (jejich SSID a síla signálu)  Po najetí myší na příslušný řádek se zobrazí rámeček s podrobnějšími informacemi

CZ.1.07/2.1.00/32.0045


53


CZ.1.07/2.1.00/32.0045


54


8. Otázky k procvičení Kapitola 1 1. Uveďte alespoň tři výhody hierarchického modelu sítí LAN 2. V čem spočívá redundance v sítích LAN? 3. Uveďte způsoby zabezpečení v sítích LAN (alespoň 2). 4. Co znamená při návrhu sítí LAN pojem Network Diameter? 5. Co znamenají zkratky PoE, SAN a QoS? 6. Vysvětlete rozdíl mezi symetrickým a asymetrickým přepínáním. Kapitola 2 7. Přepínače v režimu „ulož a pošli“ (U) a „průběžné zpracování“ (P). Uveďte, která charakteristika patří příslušnému režimu Chybné rámce jsou přepínačem zničeny …………. Přeposílá rámce na výstupní port aniž by dokončil jeho příjem …………… Rámce se celé načtou a uloží …………. 8. Uveďte konfigurační režimy přepínače podle začátku CLI Switch> Switch# Switch(config)# Switch(config-if)# 9. Popište, co udělá přepínač, když bdrží rámec s neznámou MAC adresou . 10. Popište, co udělá přepínač,kdyžobdrží rámec se známou MAC adresou 11. Popište, co udělá přepínač, kdyžbdrží rámec s MAC adresou, kterou nemá ve své přepínací tabulce 12. Vysvětlete, jaký je rozdíl mezi statickou, dynamickou a sticky MAC adresou. Kapitola 3 13. Zkratka VLAN znamená ………………………………… 14. Uveďte důvody, proč se zavádějí VLAN (alespoň 2). 15. Jaké znáte druhy VLAN? 16. Vysvětlete pojem statická a dynamická VLAN 17. K čemu slouží VMPS (VLAN Server)? 18. Co je to trunk? K čemu slouží VLAN ID? 19. Co je to DTP? 20. V jakých módech se mohou nacházet porty přepínače CZ.1.07/2.1.00/32.0045


55


Kapitola 4 21. Zkratka VTP znamená ………………………………………… 22. K čemu VTP slouží? 23. Co je to doména? 24. Jakým způsobem se při konfiguraci vytvoří doména? 25. Z jakého důvodu se domény vytvářejí? 26. Do jakých režimů může být nastaven přepínač? (uveďte 3) 27. V jakém režimu je přepínač v defaultním nastavení? 28. V jakém režimu ukládá svou konfiguraci do NVRAM? 29. V jakém režimu ukládá konfiguraci pouze do RAM? 30. K čemu slouží Configuration Revision? Jakým způsobem ho lze vynulovat? 31. Jaké znáte druhy oznámení? 32. Co je to pruning mode? Kapitola 5 33. Spanning tree protocol slouží k ……………………………………. 34. Co je to redundance sítě LAN? V čem spočívá její výhoda? 35. Jaké problémy v síti může redundance způsobit? (uveď 2) 36. Co je to Root Bridge? 37. V jakých režimech se může nacházet port přepínače? 38. Uveďte tři kroky STP konvervence a stručně je popište Kapitola 6 39. Pokud jsou všechny VLANy připojeny k routeru jedinou linkou přes jediné rozhraní, nazývá se toto propojení routeru do LAN ……… 40. Lze provádět směrování mezi VLANy pouze za použití switchů? 41. Co je subinterface? 42. Uveďte alespoň tři výhody vytvoření subinterface oproti fyzickému řešení (každá VLAN má vlastní fyzické rozhraní) Kapitola 7 43. Jaký standard definuje WiFi sítě a jeké jsou jego alternativy? 44. K čemu slouží access point? 45. Jaké druhy antén lze použít pro WiFi sítě? Která z nich má největší zisk? 46. Co je Fresnelova zóna? 47. Vysvětlete zkratku SSID 48. V jakých třech základních krocích probíhá navázání komunikace klient-AP? 49. Uveďte druhy útoků na WiFi síť (alespoň 2) 50. Jaké znáte způsoby zabezpečení WiFi sítí (alespoň 2)

CZ.1.07/2.1.00/32.0045


56

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Doporučená literatura a zdroje informací 1.

Rita Pužmanová: TCP/IP v kostce, 1. vydání, KOPP,České Budějovice, 2004

2.

Todd Lammle: CCNA Výukový průvodce přípravou na zkoušku 640-802, Computer Press, a.s., Brno, 2010

3.

http://www.samuraj-cz.com/clanek/cisco-ios-9-spanning-tree-protocol/

4.

http://www.samuraj-cz.com/clanek/cisco-ios-7-konfigurace-vlan-vtp/

5.

http://www.samuraj-cz.com/clanek/cisco-ios-18-inter-vlan-routing-a-acl-smerovanimezi-vlany/

6.

http://www.samuraj-cz.com/clanek/novinky-ve-switchich-rady-catalyst-3750x-a-2960s/

CZ.1.07/2.1.00/32.0045


57

SPŠ a VOŠ Písek, Písek, K. Čapka 402. Učební texty. Datové sítě IV. Vypracovala: Ing. Daniela Krupičková

Recommend Documents