Implementarea Si Monitorizarea Retelei Unei Organizatii
Implementarea și monitorizarea rețelei unei organizații
Cuprins
Introducere
Capitolul 1. Proiectarea rețelei
1.1 Topologia rețelei
1.2 Arhitectura TCP/IP
1.3 Rețele locale – LAN
1.4 Standardul Ethernet
1.5 Conectarea unui LAN la Internet
Capitolul 2. Implementarea rețelei
2.1 Achizițiile hardware și software
2.2 Implementarea VLAN-ului
2.3 Construirea rețelei – elementele de configurare hardware
2.4 Construirea rețelei – elementele de configurare software
2.5 Utilizarea comenzilor în verificarea conexiunii
2.6 Folosirea sistemelor de operare pentru servere
Capitolul 3. Securizarea rețelei
3.1 Definiția VPN-ului
3.2 Modul de funcționare al VPN-ului
3.3 Avantajele alegerii VPN-ului
3.4 Tipuri de VPN. Utilizări ale VPN-urilor
3.5 Cerințe de bază pentru VPN-uri
3.6 Soluții pentru implementarea VPN
3.7Metode de transmisie prin VPN
3.8 Componente VPN
3.9 Protocoalele de tunelare
3.10 Securitatea VPN
Capitolul 4. Partea aplicativă
Capitolul 5. Concluzii
Bibliografie
Introducere
Lucrarea de față își propune descrierea modului de implementare a unei rețele formate din 20 PC-uri. Termenul de „rețea de calculatoare” desemnează o colecție interconectată de calculatoare autonome. Se spune despre două calculatoare că sunt interconectate dacă sunt capabile să schimbe informații între ele, conectarea făcându-se prin diferite modalități. Rețelele de calculatoare au apărut în urmă cu 45 de ani și s-au dezvoltat foarte rapid ca infrastructură și aplicații. Societatea noastră de astăzi se bazează din ce în ce mai mult pe realizarea, prelucrare transmiterea și utilizarea informției prin sistemele informatice integrate și mai ales pe rețelele de calculatoare. Mult timp rețelele de calculatoare s-au dezvoltat independent de rețelele de comunicații pe o infrastructură proprie precum și pe protocoale aplicații și utilizatori proprii. Pe masură ce rețelele de calculatoare au început să-și extindă aria de acoperire, transmiterea datelor la distanță a necesitat utilizarea unei infrastructuri puternice de comunicații. De aceea, din ce în ce mai multe metode și tehnologii caracteristice rețelelor de calculatoare au început să fie integrate de celelalte rețele de comunicații.
În vederea realizării modelului de rețea pe care mi l-am dorit, a trebuit să țin cont de principiile generale ale rețelelor și anume:
– Funcționalitatea
– Scalabilitatea
– Adaptabilitatea
– Gestionarea
Pe baza acestor principii generale am proiectat o rețea cu ajutorul simulatorului soft Cisco Packet Tracer alcătuită dintr-un minim necesar implementării unei rețele.
Fig. 1 Rețea proiectată cu utilitarul Cisco Packet Tracer.
Astfel rețeaua proiectată conține un server ce ajută la deservirea resurselor hardware partajate, cum ar fi print-server, gazduire WEB, file server utilizat pentru stocarea sau partajarea anumitor documente cât și un serviciu de poștă electronică (e-mail). Partajarea permite un acces și o securitate avansată reducând în același timp cheltuielile pentru dispozitivele periferice sau cele ce ajută la alcătuirea rețelei: 10 calculatoare (desktop PC-uri), 2 routere echipate fiecare cu câte 2 porturi GigabitEthernet și 2 switch-uri de câte 24 porturi tip FastEthernet ce facilitează extinderea ulterioră a rețelei fără a necesita achiziționarea altor echipamente de rețea. Deci, această creștere ulterioară în dimensiuni nu afecteză în mare masură design-ul inițial, dar rețeaua va fi pregătită pentru orice dezvoltare ulterioară. Astfel se respectă principiul scalabilității. O rețea dezvoltată in așa fel incât să nu conțină elemente care să-i restricționeze posibilitatea unei dezvoltări ulterioare este o rețea care respectă principiul adaptabilității. Principiul adaptabilității presupune că rețeaua trebuie implementată astfel încât un ochi sa fie ațintit spre viitoarele tehnologii. Deci rețeaua nu trebuie sa includă elemente care ar putea să împiedice implementarea noilor tehnologii odată ce acestea devin disponibile. In acest sens trebuie respectate in detaliu standardele existente.
Rețeaua este divizată în două subrețele fiecărei fiindu-i atribuite o clasă de IP-uri: primei subrețele i-a fost alocată o plajă de 254 adrese valide din subnetul 192.168.10.0/24 alocate primului router, serverului și câtorva calculatoare. Celei de-a doua subrețele îi este distribuită o clasă mai mică, aceasta putând să se extindă doar pană la 126 hosturi 192.168.200.1 – 192.168.200.126/25.
In rețeaua proiectată vor fi simulate servicii uzuale întâlnite în activitățile de zi cu zi: accesul site-urilor web, poștă electronică sau download/upload de documente pe un server.
Există, totuși, diferențe între rețelele de calculatoare și sistemele de distribuție; prin acestea din urmă înțelegem faptul că existența a mai mult de un calculator este transparentă pentru utilizator, sistemul de operare alegând procesorul pe care să ruleze un anumit program, să transfere programele către procesorul respectiv și să depună rezultatele în locațiile necesare. Intr-o rețea de calculatoare, utilizatorii trebuie să se conecteze explicit la o anumită resursă (mașină), să comande explicit execuția proceselor de la distanță, să transfere explicit fișiere și, în general, să personalizeze toată administrarea rețelei. Cu toate acestea, între cei doi termeni există și o suprapunere, în sensul în care ambele sisteme trebuie să transfere fișiere, diferența fiind numai în cine invocă sau comandă acest transfer: sistemul sau utilizatorul.
Rețelele de calculatoare au devenit absolut necesare, permițând utilizatorilor accesul la o mai mare diversitatea de resurse (informații și aplicații), constituind un mediu rapid de comunicare.
Atunci când o rețea funcționează în mod optim, spunem că rețeaua îndeplinește unul din principiile generale ale rețelelor și anume funcționalitatea.
Funcționalitatea în contextul networking-ului înseamnă că rețeaua își îndeplinește funcția, iar utilizatorii își pot îndeplini cerințele muncii lor. Rețeaua trebuie să furnizeze atât conectivitatea utilizator-la-utilizator, cât și utilizator-la-aplicație ( în cazul aplicațiilor care operează pe un server ) la o viteză și siguranță rezonabile.
Când se vorbește despre așa numita gestionare sau despre crearea unor posibilități de management în cadrul rețelelor se referă în general la acele rețele care au fost proiectate în așa fel încât să permită monitorizarea.
Gestionarea/posibilitățile de management în ceea ce privește crearea lor există două lucruri de menționat : posibilitățile de monitorizare și posibilitatea de control al traficului, accesului.
Modalitățile prin care am realizat obiectivul lucrării de față au fost: maniera de analiză, cercetare și documentare. Documentarea am realizat-o prin studierea unor cărți de specialitate, analize comparative.
CAPITOLUL 1. PROIECTAREA REȚELEI
1.1 Topologia retelei
Topologia rețelelor este studiul de aranjament sau cartografierea elementelor (legături, noduri etc.) dintr-o rețea, în special interconexiunile fizice (reale) și logice (virtuale) dintre noduri. Topologiile de rețea pot fi:
Inel;
Stea;
Bus;
Arbore;
Plasa;
Neregulată.
Fig. 2 – Tipurile de topologii
Sursa Wikipedia, http://ro.wikipedia.org/wiki/Topologie_de_rețea
Datorită faptului că cel mai des utilizate dintre topologiile prezentate o reprezintă topologia de tip stea și stea extinsă, la nivelul fizic, am ales această topologie și în cazul proiectării rețelei, atât pentru implementarea facilă cât și pentru avantajele atribuite. O caracteristică a acestei topologii, care trebuie menționată, este ca în momentul în care un calculator din rețea se defectează, această problemă nu afectează restul calculatoarelor din rețea, rețeaua rămânând funcțională.
Topologia tip stea[star]
Într-o topologie stea, fiecare nod din rețea care acceptă și livrează informație este conectat la un singur nod central (central node), unde se află un regulator de rețea (network controller), prin care trebuie să treacă tot traficul. Nodul central trebuie să posede informații ce definesc topologia rețelei; fiecare nod destinatar este conecatat printr-o linie distinctă, iar tabela de dirijare a nodului central indică, pentru fiecare destinație, linia corespunzatoare.
Fig. 2 – Topologia stea; sursa Wikipedia, http://ro.wikipedia.org/wiki/Topologie_de_rețea#mediaviewer/Fișier:Startopology.png
Această configurație prezintă urmatoarele avantaje:
Degrevarea celorlalte noduri de problema gestionării rețelei (adică a accesului la canalele de comunicație și alegerii traseelor între interlocutori);
Simplitatea atașării unui nod la rețea.
Această configurație prezintă și o serie de dezavantaje:
O fiabilitate redusă (ieșirea din funcțiune a nodului central întrerupe toate legăturile din rețea, iar întreruperea unei linii izolează nodul periferic aferent);
Numărul nodurilor ce pot fi conectate la un nod central din rețea este limitat (de numărul de porturi ale acestuia din urmă) – deși numărul de noduri din rețea se poate extinde prin utilizarea unei viziuni complexe a acestei configurații, versiunea numită fulg de zăpadă (snowflake)
Fig.3 – Topologia stea extinsa; sursa Wikipedia, http://ro.wikipedia.org/wiki/Fișier:Extended_star_topology.png
1.2 Arhitectura TCP/IP
Cunoscută uneori și sub numele de “arhitectură Internet”, arhitectura TCP/IP, poartă denumirea celor două protocoale principale care o compun.
Arhitectura TCP/IP a evoluat prin experimente efectuate asupra unei rețele cu comutație de pachete, cunoscută sub numele de ARPANET. Atât TCP/IP cât și ARPANET-ul au fost fondate de Agenția pentru Proiecte de Cercetare Avansate (Advanced Research Project Agency – ARPA), una dintre agențiile de cercetare-dezvoltare ale Departamentului Apărării al Statelor Unite.
În comparație cu modelul OSI format pe 7 nivele, modelul TCP/IP este format din 4 nivele, unde nivelele Aplicație, Transport și Sesiune (din modelul OSI ) sunt încorporate într-un singur nivel numit Aplicație (în cadrul modelului TCP/IP), nivelul transport este păstrat (TCP/UDP), nivelul rețea este de asemenea păstrat, iar nivelele Legatură de Date și cel Fizic (din modelul OSI ) sunt încorporate în nivelul NAP ( din modelul TCP/IP, prescurtarea de la Nivelul de Acces Fizic sau Network Access ).
TCP (Transport Communication Protocol) – protocolul comunicație la nivelul transport, a fost proiectat explicit pentru a asigura un flux sigur de octeți de la un capăt la celălalt al conexiunii într-o inter-rețea nesigură. TCP a fost proiectat să se adapteze în mod dinamic la proprietățile inter-rețelei și să fie robust în ceea ce privește mai multe tipuri de defecte.
Initial s-a numit oficial “RFC 793”. Cu trecerea timpului au fost detectate o serie de erori și inconsistențe și au fost modificate cerințele în anumite subdomenii. Aceste clarificări, precum și corectarea câtorva erori sunt detaliate în “RFC 1122”, iar extensiile sunt furnizate în “RFC 1323”.
Fig.4 – Schema protocolului TCP/IP
sursa http://ebooks.unibuc.ro/informatica/Birotica/5.2_files/text.htm
La nivelul cel mai jos există o largă varietate de protocoale de rețea, denumite NET1, NET2, …, NETn. În practică aceste protocoale sunt implementate de o combinație hardware (ex. un adaptaor de rețea) și software (ex. un driver de dispozitiv pentru rețea). De exemplu, la acest strat pot apărea protocoale ca Ethernet sau Fiber Distributed Data Interface (FDDI). La rândul lor, aceste protocoale pot implica mai multe sub-straturi, dar arhitectura TCP/IP nu conține specificații referitoare la aceastea.
Al doilea strat este alcătuit dintr-un singur protocol IP (Internet Protocol). Acesta este suportul care suportă mai multe tehnologii de rețea într-o singură rețea logică.
Al treilea strat conține două protocoale principale:
Protocolul de Control al Transimisiei (TCP-Tranmission Control Protocol)
Protocolul Datagrama Utilizator (UDP-User Datagram Protocol)
TCP si UDP furnizează canale logice alternative //ebooks.unibuc.ro/informatica/Birotica/5.2_files/text.htm
La nivelul cel mai jos există o largă varietate de protocoale de rețea, denumite NET1, NET2, …, NETn. În practică aceste protocoale sunt implementate de o combinație hardware (ex. un adaptaor de rețea) și software (ex. un driver de dispozitiv pentru rețea). De exemplu, la acest strat pot apărea protocoale ca Ethernet sau Fiber Distributed Data Interface (FDDI). La rândul lor, aceste protocoale pot implica mai multe sub-straturi, dar arhitectura TCP/IP nu conține specificații referitoare la aceastea.
Al doilea strat este alcătuit dintr-un singur protocol IP (Internet Protocol). Acesta este suportul care suportă mai multe tehnologii de rețea într-o singură rețea logică.
Al treilea strat conține două protocoale principale:
Protocolul de Control al Transimisiei (TCP-Tranmission Control Protocol)
Protocolul Datagrama Utilizator (UDP-User Datagram Protocol)
TCP si UDP furnizează canale logice alternative la programele de aplicație :
TCP – asigură un canal de flux de bytes fiabil;
UDP – furnizează un canal de livrare a datagramelor nefiabil.
În limabajul Internetului, TCP și UDP sunt uneori denumite protocoale end-to-end, deși denumirea de protocol de transport este la fel de corectă.
Deasupra stratului transport rulează o serie de protocoale de aplicație, cum este FTP, TFTP, SMTP, DNS s.a., care permit interconectarea unor aplicații frecvent folosite.(4)
Serviciul TCP este obținut prin crearea, atât de către emițător, cât și de către receptor, a unor puncte finale numite socluri (sockets). Fiecare soclu are un numar de soclu (adresă) format din adresa IP a mașinii gazdă și un numar de 16 biți, local gazdei respective, numit port. Pentru a obține o conexiune TCP, trebuie stabilită explicit o conexiune între un soclu de pe masina emițătoare și un soclu de pe masina receptoare.
Un soclu poate fi folosit la un moment dat pentru mai multe conexiuni.
Numerele de port mai mici decat 256 se numesc porturi general cunoscute și sunt rezervate serviciilor standard. Câteva dintre cele mai cunoscute porturi sunt prezentate în continuare:
Fig. 5 Porturi general utilizate
1.3 Rețele locale – LAN-uri
Rețelele locale (Local Areal Network), denumite în general LAN-uri, sunt rețele private localizate într-o singură clădire sau într-un campus de cel mult câțiva kilometri. Ele sunt frecvent utilizate pentru a conecta calculatoarele personale și stațiile de lucru din birourile companiilor și fabricilor, în scopul de a partaja resurse (imprimante, de ex.) și de a schimba informații. LAN-urile se disting de alte tipuri de rețea prin 3 caracteristici:
Mărime;
Tehnologie de transmisie;
Topologie.
LAN-urile au dimensiuni restrânse, ceea ce înseamnă că timpul de transmisie în cazul cel mai defavorabil este limitat și cunoscut dinainte. Cunoscând această limită, este posibil să utilizăm anumite tehnici de proiectare care altfel nu ar fi posibile. Totodată, se simplifică administrarea rețelei.
LAN-urile utilizează frecvent o tehnologie de transmisie care constă dintr-un singur cablu la care sunt atașate toate mașinile, așa cum erau odată cablurile telefonice comune în zonele rurale.
LAN-urile tradiționale functionează la viteze cuprinse între 10 și 100Mbps, au întârzieri mici (microsecunde sau nanosecunde) și produc erori foarte puține. LAN-urile mai noi pot opera la viteze mai mari până la 10Gbps.(5)
Computerele dintr-un LAN pot fi PC-uri, Macintosh, mini-computere, mainframe-uri etc.
În general, computerele care se află într-un LAN sunt denumite noduri, care la rândul lor pot să fie stații sau servere. De asemenea mai pot fi întâlnite și alte tipuri de componente : imprimante de rețea, scanere, switchiuri etc. Calculatoarele dintr-un LAN sunt legate prin intremediul plăcii de rețea ( Network Interface Card – NIC) care se inserează în sloturi ca PCI . Serverele pot sa aibă mai multe NIC-uri.
În general, putem diferenția LAN-urile în două moduri :
în ceea ce privește relația administrativă între noduri: avem rețele client-server (server based) și rețele peer-to peer;
în ceea ce privește modul prin care se stabilește relația fizică și logică, adică modul prin care circulă informația între componente avem mai multe arhitecturi : Ehternet, Token Ring FDDI și avem mai multe topologii : bus, stea, inel, rețea extinsă, dispoziție ierarhică, mesh . (1)
Într-o rețea peer-to-peer nu există servere dedicate și nici o organizare ierarhică a calculatoarelor – toate calculatoarele sunt egale, de aceea se și numește rețea peer-to-peer (de la egal la egal). Fiecare calculator are atât rol de client cât și de server. Evident că acest lucru înseamnă că nu există un administrator care să se ocupe de rețea, ci fiecare utilizator trebuie să aibă grijă de propriul sistem (fiecare utilizator este atât administratorul propriei mașini cât și utilizatorul acesteia). Costul unei astfel de soluții este în general mic, nefiind nevoie de a achiziționa un sistem care să joace rolul de server. O rețea peer-to-peer poate fi formată din minim 2 calculatoare. De obicei, o rețea peer-to-peer este mai ieftină decât o rețea bazată pe server.
Un server este un calculator dedicat care nu este folosit pe post de client și care răspunde la cererile clienților. O rețea bazată pe server oferă o securitate mai bună decât o rețea peer-to-peer și de aceea, dacă securitatea este un factor important, este recomandat să se implementeze o rețea bazată pe server.
1.4 Standardul Ethernet
Standardul Ethernet curent, este cel mai utilizat din LAN-urile din lume, cunoscut sub numele de IEEE 802.3, este denumirea familiei de protocoale a rețelelor de calculatoare ce se bazează pe transmisia cadrelor (frames) si utilizat la realizarea rețelelor locale de tip LAN.
Ethernet este fără îndoială cea mai populară arhitectură de rețea în momentul de față. Această arhitectură folosește de obicei topologia bus și poate transmite datele la 10 Mbps, dar și la 100 Mbps, datorită standardului 100 BaseX Ethernet (sau mai uzual numit Fast Ethernet). În cadrul acestei arhitecturi cel mai des folosită topologie, este topologia stea. Pe lângă această topologie se poate folosi și topologia bus-star. Cablurile folosite în cadrul acestei arhitecturi sunt cablurile UTP.
Când vine vorba de vitezele de transfer ale datelor există patru standarde create de IEEE pentru viteze de 10 Mbps și două pentru transferuri de 100 Mbps (IEEE este abrevierea de la Institute of Electrical and Electronics Engineers – o organizație a inginerilor de profil electric și electronic):
10Base-5 – opera cu cablu coaxial gros cu o lungime de max. 500m. Se baza pe specificația Ethernet dezvoltată de către DEC, Intel ,Xerox; viteza de 10Mbps
10Base-2 – opera pe cablu subțire (Thin Ethernet), care era de fapt un cablu coaxial cu un diametru de 5mm și impedanța de 50 Ohmi. Se utiliza la transmisia în banda de bază (semnale modulate in amplitudine); viteza de 10Mbps;
10Base-T – Twisted Pair Ethernet operează cu cablu răsucit, prin intermediul căreia stațiile sunt legate de un Hub; conectorul cel mai utilizat este conectorul modular RJ-45; viteza de 10Mbps(peste 50% din LAN-uri utilizează această variantă);
100Base VG-AnyLAN Ethernet – tehnologie complet nouă ce utilizează un mecanism numit Protocol de Prioritate la Cerere (DPP); viteza de 100Mbps;
100BaseX Ethernet – operează cu cabluri formate din 2 perechi de fire răsucite de categoria 5 UTP sau cabluri formate din 2 perechi de tipul STP; viteza de 100Mbps.(3)
Probabil cel mai caracteristic termen relativ la Ethernet este tehnologia CSMA/CD (elaborată undeva în Hawai).
Aceasta constă în mare în următoarea secvență de pași :
o anumită stație dorește să transmită un pachet de informații;
se realizează asamblarea informației;
stația ascultă canalul de transmisie;
dacă detectează canalul ocupat își va programa o nouă dată de ascultare a canalului înainte de a transmite;
dacă detectează canalul liber va transmite automat;
există posibilitatea ca două stații să transmită deodată, caz în care apare coliziunea, moment în care pachetul este trunchiat în curs și se va retransmite pachetul folosind metoda “back-end”.
Cablul UTP conține 4 perechi de fire de cupru izolate și torsadate (răsucite), prinse într-un inveliș izolator. În fiecare pereche există un fir colorat portocaliu, verde, albastru, maro, iar perechea lui are aceeași culoare întreruptă de porțiuni albe. Pentru ethernet se folosesc doar două perechi, una "transmisie" și una "recepție". Cablurile UTP se termină cu conectori care seamănă cu conectorii telefonici, fiind mai late, incluzand 8 fire (față de 4 la conectorii de telefon). Cablul se sertizează cu un clește special ce înfige lamele metalice ale conectorului prin învelișul izolator al fiecarui fir. Dacă privesti conectorul cu aripioara de prindere în spate și cu lamelele metalice în sus, firele folosite la ethernet sunt 1-2 și 3-6. Pe aceste poziții trebuie să se sertizeze fire perechi, de obicei portocaliu și verde. Pentru conectarea a două calculatoare sertizarea se face astfel încât perechea de fire 1 cu 2 la primul capăt să aibă corespondent 3 cu 6 la capătul opus – legătura cross-over (transmisia unei plăci de rețea să fie conectată în recepția celeilalte). Într-o rețea de mai mult de două calculatoare se recomandă utilizarera unui "concentrator" în care se conectează cablurile, astfel realizâdu-se comunicarea între calculatoare (Hub/Switch). Conectorii sunt aceiași ca cei de rețea, dar au inversați pinii 1-3 și 2-6, iar pentru conectarea unui calculator către "concentrator" se folosesc cabluri ale căror conectori au aceeași ordine a sertizării. Ordinea uzuală este: alb-portocaliu, portocaliu, alb-verde, albastru, alb-albastru, verde, alb-maro, maro.
În cazul în care cablul este cross-over ordinea la unul din conectori este schimbată în alb-verde, verde, alb-portocaliu, albastru, alb-albastru, portocaliu, alb-maro, maro. Trebuie avut în vedere că o greșeală des întâlnită este aranjarea perechilor în conector după o ordine aleatoare. Dacă se respectă ordinea în ambele capete ale cablului, aparent poate funcționa, dar dacă perechile 1-2 și 3-6 nu sunt (răsucite) pot apare funcționări defectoase (pierderi, erori), mai însemnate la 100Mbps și/sau cabluri lungi.
Într-o rețea structurată, un calculator se conectează într-o priză Ethernet legată la concentrator (Hub/Switch). Astfel, conectarea se realizează prin legarea unui cablu UTP drept (straight) între priza Ethernet și placa de rețea din calculator. În general,vom avea la dispoziție o mufă utp "mamă" care face legatura fizică de un router conectat la Internet, care poate fi în aceeași clădire și conectat la un Hub/Switch sau poate fi conectat la Internet printr-un modem, prin mediu optic sau pe calea undelor radio. Este de dorit ca providerul să realizeze o trecere similară de la echipamentul de conectare catre un cablu UTP; făcând abstracție de viteză putem considera că există un cablu UTP de la calculatorul nostru până în switch-ul providerului, la care se conecteaza routerul acestuia.
1.5 Conectarea unui LAN la Internet
Conectarea unui calculator impune existența unei legaturi fizice între acesta și un nod al rețelei Internet. Conectarea se poate realiza prin fire de cupru (cablu UTP), fibră optică, unde radio, iar gestionarul nodului ce a fost deja legat la Internet (ISP – Internet Service Provider) furnizează o clasa de IP-uri noii gazde conectate.
Conceptul de Internet. În momentul în care o firmă/instituție a început să acumuleze dispozitive de calcul, a apărut și problema transmiterii de date între acestea și utilizatorii unor informații în comun. Transmiterea datelor pe dispozitivele de stocare cum ar fi (cd-uri, dvd-uri, vechile floppy disk-uri, hard-disk-uri) si-a dovedit ineficiența pentru accesările de date în timp real sau pentru transmiteri frecvente de fișiere. Această cerință s-a rezolvat prin interconectarea calculatoarelor și a diferitelor dispozitive adaptabile la rețea (imprimante) pe baza conexiunilor fizice stabile precum cablurile de cupru, fibrelor optice sau unde radio. În scurt timp însă a apărut și problema comunicării de date între sucursalele aceleiași companii din arii geografice diferite, si de aceea rețelele au fost interconectate (initial prin linii telefonice închiriate). Așa au apărut internet-urile (inter-rețele). La inceputul anilor 1960, Ministerul Apărării din SUA a dorit să conecteze bazele sale militare într-o singură rețea care să poata să funcționeze chiar și în cazul în care unele puncte din rețea ar fi distruse. Așa s-a creat reteaua ARPANET (Advanced Research Projects Agency" instituția guvernamentală care a coordonat și finanțat proiectul). In urma experimentelor făcute cu această rețea s-a ajuns la concluzia că este imperios necesară conceperea unui nou protocol special pe arhitectură de rețea. Astfel a aparut protocolul TCP/IP, conceput special pentru rularea peste o rețea de întindere foarte mare, pe o inter-rețea. ARPA și "Universitatea California din Berkeley" au aigurat finanțarea implementării acestui protocol cu ajutorul sistemului de operare UNIX, astfel ajungându-se la realizarea unei interfețe flexibile prin care programele pot comunica între ele prin rețea numită "socket" (soclu). În timpul realizării protocolului s-au interconectat rețelele mai multor universități, rezultând o rețea cu aproximativ 200 de noduri. În anul 1980 porțiunea militară a fost dată în exploatare (dar in afara rețelei) si cele 160 de noduri rămase au funcționat în continuare, noi rețele exprimându-și interesul față de conectarea la acestă mare inter-rețea. Când această inter-rețea a devenit atât de mare încât lumea a conștientizat-o ca Inter-rețeaua a apărut și conceptul de Internet.
Modul de funcționare a Internetului
Internetul este o rețea care interconectează calculatoare din întreaga lume, făcând posibil schimbul de informații de orice tip între două sau mai multe calculatoare din rețea. Protocolul de transmitere si recepție din această rețea se numește IP (Internet Protocol) și asigură transmiterea de datagrame (numite pachete IP) între oricare două puncte ale rețelei, pachetele avand de obicei o lungime limitată (1500 bytes), mesajele mai mari transmițându-se în cadrul mai multor pachete. În fiecare pachet există specificate sursa și destinația mesajului.
Fiecarui calculator conectat la Internet îi este alocat un idicator unic (un numar pe 32 de biți) prin care acesta poate fi identificat de alt calculator din Internet. Acest număr se numește "adresa IP", sau mai simplu "IP" și este reprezentat, în general, ca 4 grupe de catre 8 biți scrise în bază zece, mai exact ca 4 grupe de numere în intervalul 0-255 separate de punct (".") , de exemplu: "192.168.10.110". Unui calculator i se pot aloca mai multe adrese IP, însă fără o adresă niciun calculator nu poate ieși în Internet. Pe lângă calculatoare există și alte echipamente ce pot comunica în Internet (routere, switchuri, imprimante, telefoane IP). Orice agent căruia i s-a atribuit o adresă IP și care poate schimba mesaje cu ceilalți participanți prin IP Protocol poate fi conectat la Internet.
Transmiterea de mesaje scurte între oricare două puncte ale Internetului, se asigură prin protocolul IP, dar acestuia îi revine doar responsabilitatea de a controla traseul pe care pachetul trebuie să-l urmeze până la destinație prin multiplele hopuri ale rețelei. În responsabilitatea sa nu intră controlul pachetelor pierdute și nu garantează că pachetele ajung în ordinea în care au fost trimise. Singura obligație este de a transporta pachetele de informații intre gazde si intre clasele de IP-uri, pachetul conținând doar IP-ul sursă, IP-ul de destinație și câteva informații de control precum versiunea de protocol, dacă se dorește ca pachetul să ajungă rapid la destinație sau în cazul in care trebuie să ajungă neaparat, chiar și cu întârziere. De-a lungul drumului de la sursă la destinație, pachetul poate să treacă prin segmente de rețea al carui maxim de lungime este mai mic decât cel al sursei, ceea ce impune fragmentarea pachetului și atașarea unui ID și a unui număr de ordine fiecărui fragment, astfel încât un pachet IP conține și aceste câmpuri.
Pierderea unui frame într-o aplicație video nu este o problemă, retransmiterea ar fi inutilă, fapt pentru care acest sistem este acceptabil. O problemă majoră ar fi în cazul în care s-ar pierde un pachet sau pachetele ar fi primite în altă ordine prin transferul de fișiere. Așa a apărut necesitatea diferențierii claselor de servicii, a serviciilor nefiabile, orientate pe datagrame ce nu asigură retransmisia pachetelor pierdute, sau reordonarea lor și a serviciilor fiabile orientate pe tipuri de conexiuni, prin care retransmiterea pachetelor, ordonarea la destinație și controlul împotriva congestionării se realizează automat. În acest scop au fost gandite și alte protocoale de comunicare, mai exact a fost rezervat în antetul pachetului IP un câmp "tip de pachet", iar în funcție de acest câmp informația din pachetul IP este interpretată în mod diferit și este tratată de protocoale diferite.
Pachetele TCP, UDP și ICMP sunt cele mai cunoscute pachete IP. Protocolul UDP (User Datagram Protocol) este considerat unul simplu însă nesigur, deoarece aplicațiile ce îl folosesc trebuie să-și implementeze singure metode de detectare a pachetelor pierdute și să revină cu retransmiterea lor. Datorită complexității protocolului TCP, se asigură inițierea de conexiuni fiabile, cu retransmitere de pachete, reordonare și chiar controlul congestiei. Pachetele ICMP (Internet Control Mesage Protocol) sunt utilizate pentru a depana rețeaua și pentru a transmite informații despre evenimente speciale de-a lungul circuitului parcurs de un pachet (de ex. un pachet a traversat mai multe routere decât maximul specificat în pachet).
În consecință, există pachetele IP definite de IP-ul sursă și cel de destinație. Adresle IP identifică și diferențiază hosturile. Pentru a diferenția, în cadrul aceluiași host, diversele aplicații care comunică în rețea există un număr pe 16 biți între 0 și 65535, care se numește număr de port. O comunicație în rețea se face între două perechi IP-sursă-PORT-sursă și IP-destinație-PORT-destinație. Comunicația la nivel de pachet poate fi nefiabilă (prin UDP) dar la nivel de conexiune (prin TCP) este fiabilă.
Viteza de transfer. La început, conexiunea ethernet asigura o viteză de 10Mbps. Legătura putea fi realizată cu ajutorul unui cablu BNC (coaxial) care traversa toate calculatoarele și prin cablul UTP către un Hub sau Switch pentru conectarea mai multor calculatoare. Ulterior s-a proiectat un standard pe cablul UTP ce permite atingerea vitezelor de până la 100Mbps. Cele mai multe plăci de rețea de 100Mbps pot suporta și interconectări cu echipamente de generație mai veche compatibile cu transferuri de date la viteze de 10Mbps. Un avantaj al conectării cu UTP, față de BNC, este că se pot realiza transmisii full-duplex, adică 100Mbps într-un sens și 100Mbps în celălat sens simultan. Nu toate plăcile de rețea suportă această facilitate și ea nu se poate utiliza dacă se folosește un Hub, necesitând un Switch. Această viteză este asigurată între oricare două calculatoare care sunt în același Hub, dar, în cazul în care se face trafic între mai multe calculatoare conectate, atunci suma tuturor vitezelor de transmitere a datelor nu poate depăși această valoare. În cazul switch-ului, două calculatoare comunică reciproc cu viteze 100Mbps. Trebuie precizat faptul că unitatea de masură pentru lățimea de bandă este bitul (nu byte-ul ca în cazul fișierelor). Așadar, pe o conexiune de 100Mbps viteza cu care se transferă un fișier poate fi de maxim 100/8Mbps. Viteza de transfer în Internet este dată de minimul dintre lățimile de bandă disponibile pe diferitele tronsoane traversate de pachete între locații. De obicei viteza în Internet este mult mai mică decât viteza în rețeaua locală, care este de ordinul KB/s (kilobytes pe secundă), așadar upgrade-ul de la 10Mbps la 100Mbps în rețea este inutil, viteza se mărește doar in interiorul rețelei, nu si spre Internet, unde poate fi limitată de canalul de comunicație până la provider și în același timp de lungimea de bandă pe care providerul o alocă clientului.
Informații majore pentru conectarea la Internet. În momentul în care se face o conectare a calculatorului trebuie să se cunoască câteva date tehnice vitale pentru realizarea conexiunii. Aceste date tehnice sunt reprezentate de: Adresa IP, Masca de rețea, Gateway, Domain Name Server. Hostname-ul poate fi definit oricum, dar in cazul in care există o înregistrare DNS cu corespondența între un nume de host și IP-ul alocat, se recomandă să se aloce acel nume. Se poate aloca orice nume în lipsă urmat fiind de domeniul organizației careia îi aparține calculatorul sau chiar de un nume aleator.
Adresa IP reprezintă identificatorul unic cu ajutorul căruia calculatorul poate fi recunoscut în Internet. Este un număr de 32 de biți cu fiecare grupă de 8 biți scrisă în zecimal și separate prin punct ("."). Ex: 192.168.10.110
Netmask-ul este structurat in patru grupe de numere de câte 8 biți, dar are proprietatea că este format dintr-un șir de biți 1 urmat de un sir de biți 0. Valoarea cea mai des întâlnită este 255.255.255.0, valoare formată în sistem binar din 24 de biți 1 și 8 biți 0. Netmask-ul determină dacă destinația se află în aceeași rețea ethernet cu calculatorul care dorește să expedieze pachetul de date. În cazul în care IP-ul destinație corespunde cu IP-ul sursă in care Netmask-ul este 1, calculatorul va interoga rețeaua prin broadcast pentru a afla cui îi este alocat acel IP. Va raspunde placa pe care este setat IP-ul interogat și va trimite răspuns către placa de rețea ce a emis cererea. De exemplu, un calculator cu IP-ul 192.168.10.54 cu mask de rețea 255.255.255.0 se consideră în aceeași clasă cu toate calculatoarele care au IP-uri 192.168.10.x cu valori x între 0 și 255. Dacă netmask-ul este 255.255.255.128 (încă un bit 1 în plus), calculatorul se va considera în aceeași rețea numai cu IP-urile din plaja 0 la 127. Celelalte IP-uri au al 25-lea bit (primul bit din ultimul octet) egal cu 1 și nu mai corespund cu bit-ul 0 de pe poziția 25 al lui 192.168.10.54. În acest situație, acesta va transmite pachetul unui calculatoar care se regăsește în aceeași rețea dar care are o altă placă de rețea ce comunică cu Internet-ul. Această adresă poate fi declartă ca gateway. Folosirea netmask-urilor este extrem de utilă pentru constituirea algoritmilor de routare, pe baza operațiilor logice "bit cu bit", care necesită foarte puțin timp de procesare. La inițializarea configurației de rețea calculatorul calculează "adresa rețelei" făcând 'și logic bit cu bit' între IP și netmask (practic se obține adresa de IP în care s-au modificat în 0, biții care sunt 0 în netmask). De exemplu, pentru IP=193.168.50.130 netmask=255.255.255.0 (254 adrese valide) subnetul este 193.168.50.0, iar pentru IP=193.168.50.130 netmask=255.255.255.192 (62 adrese valide), subnetul este 193.168.50.128. În momentul în care calculatorul trebuie să afle dacă un ip este în aceeași plaja ca IP-ul său, acesta va calcula adresa de rețea a acelui IP dacă ar avea acel subnetmask. Dacă in urma calculului este aceeași adresa de rețea a IP-ului propriu, înseamnă că IP-ul este în aceeași rețea cu el. Se observă că punând în 2 IP-uri 0 pe biții pe care netmask-ul îi are 0, rezultatele vor fi egale dacă și numai dacă IP-urile corespundeau la început pe pozițiile pe care netmask-ul este 1. Există insă și o metoda mai simplă pentru calculul mental al unei configurații. Pentru a calcula clasele cu mai putin de 256 de adrese este afectată doar ultima grupa din cele 4 numere care reprezintă ip-ul. Netmask-ul își păstrează primii 3 octeți 255, ultimul obținându-se scăzând din 256 numarul de IP-uri din clasa. Invers, scăzând ultimul număr al netmask-ului din 256 se obține numărul de IP-uri din rețea (denumită subnet dacă are mai puțin de 256 adrese). Deci, un netmask 255.255.255.224 corespunde la un subnet de 8 IP-uri și invers. Adresa de rețea corespunde pe primele 3 poziții cu IP-ul, iar pe ultima poziție primul număr este mai mic decat cel al IP-ului și divizibil cu suma numerelor de IP-uri din subnet. Pentru exemplul anterior cu IP=193.168.50.130 netmask=255.255.255.192 (64 ip-uri), vom afla cel mai mare număr, mai mic decât 130, divizibil cu 64. Este 128 și atunci adresa de rețea este 193.168.50.128.
Unele sisteme cer adresa de brodcast care este folosită pentru desemnarea tuturor calculatoarelor dintr-un subnet. Ea se obține ca și adresa de rețea din IP și netmask și se calculează făcând 'sau bit cu bit' între IP și 'negatul bit cu bit' al netmask-ului. Mai simplu, în IP se fac 1, biții care în netmask sunt 0 așa cum pentru adresa de rețea ei sunt tot 0. Adresa de broadcast este ultima adresă din rețea, putându-se calcula pentru subneturi păstrând pe primele 3 poziții numerele din IP și pe a patra poziție alocând numărul corespunzător următorului subnet minus 1. Dacă pentru IP=193.168.50.130 netmask=255.255.255.192 avem 64 IP-uri, adresa de rețea este 193.168.50.128, adunăm 64 la ultimul număr și scădem 1, deci obținem 193.168.50.191. Majoritatea sistemelor își pot calcula automat broadcast-ul dar și adresa de rețea.
Gateway este acea adresă a calculatorului, poarta de iesire a pachetelor catre o grupă de destinații. Se declară o singură adresă gateway ca legatură spre exterior, denumită default gateway, adresa IP cu legătura spre Internet. Standardul cere ca acest IP să fie în aceeași clasă de adrese cu ip-ul calculatorului, de obicei se utilizează cea de-a doua adresă a clasei de adresare (prima adresă fiind cea a rețelei). Pentru IP-ul 193.168.50.130 cu netmask 255.255.255.0, subnetul este 193.168.50.0 iar gateway 193.168.50.1. Pentru IP=193.168.50.130 cu netmask 255.255.255.192, subnetul va fi 193.168.50.128 iar gateway va fi 193.168.50.129. Gateway-ul poate lua ca valoare oricare din IP-urile valide ale subnetului (în afară de adresa de rețea și cea de broadcast). Excepție de la regulă o fac situații speciale (de exemplu, pentru a schimba ieșirea către Internet a anumitor calculatoare printr-o legătură secundară).
DNS-ul este acronimul pentru Domain Name System și este baza de date distribuită (ierarhică) care conține corespondențe între nume de host (ex: www.google.com) și IP-uri (ex. 173.194.44.47). Tot această ierarhizare a datelor conține și adresarea serverului de e-mail pentru un anumit domeniu, ca și corespondențe între IP și nume de host. Pentru accesarea acestei baze de date se setează cel puțin o adresă de DNS, uzual două, pentru cazul în care primul nu funcționează. IP-ul in cauză este al calculatorului pe care este instalat serverul DNS și se recomandă o legatură cât mai bună până la el (pentru rețele de anvergură se recomandă instalarea unui server DNS local). Majoritatea serverelor DNS din lume răspund la interogari DNS, dar timpul de răspuns este direct proporțional cu calitatea conexiunii până la el, deci este bine să fie cât mai aproape. Având declarat serverul DNS valid, un calculator poate afla IP-ul asociat pentru numele de host declarat in Internet. Serverul web care este apelant poate interoga și alte servere, ordinea fiind predefinită de unul din serverele rădăcină (root). De ex. pentru domeniul www.google.com întreabă un server "root" care îi spune că știe name-serverele care se ocupă de domeniile terminate în ".com". Întreabă unul dintre aceste nameservere (virtual echivalente) și află că www.google.com are un anumit IP (în cazul www.google.com îi corespunde o listă cu IP-urile asociate, pentru distribuirea egală a cererilor între servere). Ca regulă un nume de host se echivalează într-un singur IP.
Testarea conexiunii: în primul rând trebuie verificată conexiunea până la gateway. În primul rând trebuie verificată conexiunea până la gateway prin lansarea comenzii ping către aceasta. Indiferent de tipul platformei de operare Linux sau Windows, o funcționare a conexiunii este ilustrată prin afișarea timpului în care pachetul de ping a făcut drumul "dus-întors". În caz contrar se afișează "time out" pe Windows sau nu se afișează nimic în cazul Linux-ului. Dacă acest test eșuează, în cvasitotalitatea cazurilor conexiunea este inutilizabilă. Există cazuri rare în care gateway-ul este preconfigurat, blocat insă de un firewall pentru a nu raspunde la ping și conexiunea să fie funcțională. Aceste cazuri sunt rare însă. O comandă mai puțin standard care există pe Linux și care poate trece și după firewall este arping. Aceasta permite verificarea conexiunii doar între host-ul local și alt host accesibil la nivel ethernet (cum este și gateway-ul). Se lansează o cerere ARP în rețea, întrebându-se pe ce placă de rețea este declarat acel IP. Acest protocol este indispensabil in comunicare, iar dacă un calculator ce deține acel IP este accesibil și pe nivel ethernet, el va răspunde. Verificarea tabelei de ARP după ping este o altă metodă de diagnostic. Chiar in cazul in care există un firewall, acel calculator spre care se dă ping va răspunde la cererea ARP, deci tabela ARP va conține corespondența între IP și adresa MAC a plăcii de rețea a calculatorului cu acel IP. Tabela ARP poate fi accesată în Linux prin "arp –na" iar în Windows cu "arp -a". O altă modalitate pentru depanarea rețelei este uilitarul din Linux tcpdump. La rularea "tcpdump –i eth0" va indica informații despre sursă, destinație sau port pentru fiecare pachet care trece prin prima interfață de rețea (eth0). In cazul in care se dorește filtrarea informațiilor se pot prezenta argumente complexe, care să specifice ce tipurile de pachete ce trebuie afișate. Dacă se rulează tcpdump de la un calculator care face trafic, dar legat la o alta rețea în care face trafic, se listează broadcast-urile celorlate calculatoare legate în rețea, cum ar fi cererile ARP. Se poate astfel constata dacă există o conexiune (cel puțin într-un sens, spre calculatorul de pe care se fac teste). Se poate identifica care dintre cele două interfețe este eth0 și care este eth1 (se va pune cablul de rețea în fiecare, pe rând, în timp ce se face "tcpdump –i eth0". În cazul în care se încearcă un ping, chiar dacă legătura între interfață și rețea nu este funcțională, se vor identifica cereri ARP ale calculatorului local, de genul "arp who has <gateway> tell <ip_local>" sau "arp who has <ip_rețea locală> tell <ip_local>". Acestea nu trebuie confundate cu traficul pe care placa îl observă din rețea.
În momentul în care legătura până la gateway este funcțională este foarte probabil ca legătura să funcționeze și în altă parte. Se poate încerca un ping către IP-urile serverelor de DNS. Prin verificare nu se pot da informații despre funcționarea serverului DNS, dar se pot obține informații pentru verificarea accesibilității serverului. Dacă și name-serverele răspund, se poate încerca ping la un nume de host. Se recomandă să se pornească ping la o adresă apropiată (ping www.google.ro). Ar trebui ca ping-ul măcar să translateze numele de host în IP (iar acesta să apară pe ecran), chiar in cazul in care hostul este inaccesibil. Dacă ping-ul se blochează fără să afișeze IP-ul destinație sau spune "invalid host name" înseamnă că rezolvarea de nume nu funcționează sau serverele DNS sunt nefuncționale, sau există o problemă in ceea ce privește configurarea DNS pe calculator.În această situație trebuie să se verifice dacă datele introduse sunt corecte, în cazul Linux-ului în fișierul /etc/resolv.conf, în cazul Windows-ului "Start/Settings/Control-Panel/Network/TCP-IP/Properties/DNS_configuration". În cazul în care rezolvarea numelor nu funcționează pentru primul host, merită încercat și alt host care să știe că funcționează în "foc continuu" (ex: www.google.com). S-ar putea ca rezolvarea de nume să nu funcționeze și din cauza faptului că accesul la serverele "root" nu sunt accesibile de către name-servere (ex. conexiunea Internet nu este funcțională). Se va încerca dacă este posibil și cu un host din domeniul responsabilității acelui name-server (multe name-servere nu sunt numai apelanți ai bazei de date distribuite, ci conțin chiar o porțiune din această bază de date – găzduiesc un domeniu internet, de exemplu "unibuc.ro", adică știe toate hosturile care se termină în "unibuc.ro"). Dacă rezolvarea de nume nu funcționează și se cunoaște un IP din exterior, se poate încerca ping la acel IP și dacă nu funcționeaza se lansează un "traceroute <IP>" pe Linux sau "tracert <IP>" pe Windows. Ultimul IP listat este chair ultimul ce poate fi accesibil de pe calculatorul local. Se poate întâmpla ca legătura între acel ultim host (router) atins și următorul să fie nefuncțională, sau hostul următor este nefuncțional. În funcție de numărul de routere prin care a reușit sa treacă pachetul se poate estima unde a apărut problema. Dacă o adresă primește raspuns la ping către numele său (ex. ping www.google.com) dar nu este accesibilă din browser (Internet Explore, Google Chrome, Safari) este posibil să fie o setare din proxy pe care browserul i se comunică să nu acceseze direct paginile, ci să le ceară unui server proxy. În Google Chrome, setarea de proxy se află în Settings/Show advanced Settings/Proxy Settings, iar în Internet Explorer in View/Internet Options/Connection.
Conectarea mai multor calculatoare la Internet
În cazul în care există un IP și o conexiune validă la Internet, și se dorește legarea mai multor calculatoare la Internet, nu trebuie decât să se realizeze conectarea acelor calculatoare la un router. În lipsa router-ului cea mai simplă soluție este folosirea unui PC echipat cu două plăci de rețea, una spre ieșire către Internet și cealaltă spre rețeaua locală. Routerul oferă o mulțime de oportunități precum găzduirea email-ului, a unui proxy, găzduirea unei pagini de web, al unui site ftp și protecția rețelei interne fără absolut nici un cost în afara costurilor hardware. Cu puțin mai multă memorie o mașina cât de cât decentă se poate folosi în același timp și ca stație de lucru, și chiar să se lucreze remote pe ea de către mai mulți utilizatori.
CAPITOLUL 2. IMPLEMENTAREA REȚELEI
2.1 Achizițiile hardware și software
După definirea tuturor conceptelor ce vor fi utilizate în cadrul acestui proiect, mai exact în cadrul realizării acestei rețele, vom trece la pasul următor și anume la achiziționarea echipamentelor necesare pentru a face posibil tot acest proiect. Trebuie menționat faptul că aplicarea în practică a proiectului ține, în mod vital, de cunoștințele teoretice prezentate mai sus deoarece fără teorie nu ar mai exista practica.
Achizițiile HARD:
Pentru a avea cu ce opera avem nevoie de componenete hardware. În cadrul rețelei pe care o vom proiecta sunt necesare următoarele echipamente:
un server ce ajuta la deservirea resurselor hardware partajate și comandate de către calculatoarele-client, cum ar fi imprimante (print server) sau sisteme de fișiere (file server). Partajarea permițând un acces și o securitate mai buna, in acelasi timp reducându-se cheltuielile pentru dispozitivele periferice.
20 desktop PC-uri;
un router;
un switch 24 porturi;
o multifuncțională (imprimantă, scanner, xerox)
20 telefoane VoIP;
cablu UTP cat5;
mufe RJ-45;
Deoarece toate calculatoarele vor avea aceeași configurație, vom prezenta configurația unui singur calculator.
*Configurația calculatorului:
Procesor
Model Procesor:Intel® CoreTM i3-4150 Frecventa procesor (MHz):3500FSB (MHz):1333
1600 Dimensiune Cache procesor (KB):3072 Tehnologii procesor:Intel InTru 3D
Intel Wireless Display
Intel Clear Video HD
Placa de bază
Rețea integrată, Sunet integrat
Memorie: Capacitate (MB):4096 Tip RAM:DDR3 Frecventa memorie (MHz):1333
Unități de stocare/optice: Capacitate HDD (GB):1 TB Viteza de rotație (rpm):7200
Video Tip memorie video:Integrată
Periferice Mouse + Tastatură
Monitor LED Samsung 21.5", Wide, Full HD, LS22D300NY
*Configurația server-ului:
Specificații: Server Dell PowerEdge T20 cu procesor Intel Pentium G3220 3.0GHz, 4GB, HDD 500GB
Model Procesor:Intel Pentium G3220Frecvența procesor (MHz):3000Socket:1150 Dimensiune Cache procesor (KB):3072Nucleu procesor:2 Număr procesoare instalate:1 Număr procesoare suportate:1Tehnologie:Execute Disable Bit Thermal Monitoring Technologies
Intel® 64
Intel® VT-x with Extended Page Tables (EPT)
Intel® Virtualization Technology (VT-x)
Placa de bază Chipset:Intel C226 Sloturi memorie:4
Sloturi:1 x PCI Express 3.0 x16, 1 x PCI Express 2.0 x16, 1 x PCI Express 2.0 x1
Procesoare suportate:Intel Pentium, Intel Xeon E3
Memorie: Capacitate memorie (GB):4 (1 x 4GB)Memorie maxima (GB):32
Unități de stocare
Capacitate HDD (GB):500 Tip Hard disk:3.5 inchiTehnologie HDD:SATACapacitate maximă HDD:13 TB Număr maxim HDD-uri:4 x 3.5 inci SATATip
Software
Compatibilitate sisteme de operare:Microsoft Windows Server 2012 R2
Red Hat Enterprise Linux 6.5 sau mai recent
Rețea Gigabit:10/100/1000 Mbps Model placă de rețea:Intel 82579Porturi rețea:1
Sursa de alimentare:1, Putere sursă (W):290
Configurație router:
SpecificațiiRouter wireless D-Link DWR-116, 3G/4G, 300MbpsCod: DWR-116
Standard Wi-Fi:802.11 nPorturi LAN:4 x RJ-45Porturi WAN:1 x RJ-45Rata de transfer Ethernet (Mbps): 10/100
Securitate: WEP 64/128 bit, WPA, WPA2, WPS, NAT / SPI Firewall
Filtrare adrese MAC, 2 antene externe, Frecvența (GHz): 2.4 Rata de transfer WI-FI (Mbps): 300, Port USB: 1 x USB 2.0 Compatibil 3G/4G Printserver: Nu Alimentare: 5V / 2A D Altele: Compatibil modem 3G / 4G
Configurație switch:
Specificații: Switch TP-LINK TL-SL2428, 24 x 10/100Mbps + 4 Port-uri Gigabit Cod: TL-SL2428
Porturi:24 x 10/100 Mbps (RJ-45), WAN 4 x 10/100/1000 Mbps (RJ-45) 2 x SFP slots Management:WEB
SNMP v1/v2c/v3
TP-LINK private MIBs
RMON 1, 2, 3, 9 groups
CPU Monitoring
Port MirroringMontare in rack:DaCablare (fire):Port Mirroring
Broadcast/Multicast/Unknown-unicast Storm ControlStandarde: 802.3.i, 802.3u, 802.3ab, 802.3z, 802.3x, 802.1d, 802.1s, 802.1w, 802.1Q, 802.1p
Alimentare:100 – 240 V AC, 50 – 60 Hz
Accesorii conectica: Cablu UTP CAT 5 ( 300m ), mufe RJ-45+ prize RJ45
Achizițiile SOFT:
Odată ce am achiziționat toate cele necesare lucrării din punct de vedere fizic (hard), avem nevoie mai întâi de toate să achiziționăm și elementele soft pentru a putea apoi să realizăm rețeaua de calculatoare propusă. Elementele soft pe care trebuie să le achiziționam sunt următoarele:
– Licență Microsoft Windows Server 2008 Editie:Standard R2 Arhitectura (biti):64;
– 20 Licențe Microsoft Windows 7 Professional 32 bit Engleza Editie: Professional Arhitectura (biti): 64 Utilizare: Business, Altele: Service Pack 1
– BitDefender Antivirus Plus Functii:Antivirus & Antispyware, Bitdefender Photon, Bitdefender Safepay, Fraud warnings, Secure browsing, Security Report, Wallet, Bitdefender Autopilot
– Microsoft Office Home and Business 2013, 32-bit/x64 Aplicatii incluse:Microsoft Outlook, Microsoft Word, Microsoft Excel, Microsoft OneNote, Microsoft PowerPoint Limba:Engleza
2.2 Implementarea VLAN-ului
*VLAN-ul – este o metodă de creare a unor rețele logice independente în cadrul unor rețele fizice. În cadrul aceleași rețele pot exista mai multe VLAN-uri. Acestea ajută la reducerea domeniului de broadcast precum și la administrarea corectă a separării segmentelor în cadrul unui LAN.
VLAN-ul constă într-o rețea de calculatoare care se comportă ca și cum ar fi conectate prin același fir, chiar dacă în realitate ele sunt conectate din punct de vedere fizic la diferite segmente ale LAN-ului. Administratorii de rețea conectează VLAN-ul mai degrabă prin partea software decât prin partea hardware, lucru care face rețeaua să fie extrem de flexibilă. Cel mai mare avantaj al VLAN-urilor este faptul că atunci când calculatoarele sunt mutate dintr-o locație în alta rămân conectate la același VLAN fără ca partea hardware să necesite o reconfigurare.(7)
În cazul implementării VLAN-ului trebuie ținut cont de locurile în care este necesar un trafic mare și coliziuni puține pentru ca acolo să alocam un switch, iar în cazul unui trafic mai redus se poate instala un hub (mai ieftin decât un switch).
Un alt factor de care trebuie să ținem cont este lărgimea de bandă de care avem nevoie în cadrul retelei. Cea mai utilizată structură în acest caz este, după cum am vazut mai sus, Ethernetul cu dezvoltările sale ulterioare ca FastEthernet (100Mbps) și GigabyteEthernet (1000Mbps sau 1Gbps). În cazul de față structura aleasă este de FastEthernet 10/100Mbps.
Un alt factor important de care trebuie să ținem cont este router-ul, el fiind nodul central care va face legătura între host-uri și de care de asemenea se vor lega și alte device-uri care vor aduce facilități utilizatorilor (ex. imprimante, telefoane, multifuncționale, etc.)
În imaginea de mai jos se poate observa o privire de ansamblu a clădirii în care funcționează această rețea structurată.
Fig. 6 Planul organizației unde va fi implementată rețeaua
În cadrul acestei organizatii, rețeaua pentru care am optat ca tipologie este o rețea de tip stea, în cadrul căreia avem un singur server la care sunt conectate cele 20 calculatoare. Structura folosită este, așa cum am mai amintit, structura Ethernet (cu viteza de 10 Mbps), în cadrul acestei structuri topologia aleasă fiind des întâlnită. Legatura între host-uri se realizează prin intermediul a unui switch și un router, utilizând un cablu UTP 5, la care se mai adaugă și device-uri ca telefoanele Voice over IP, print-serverul multifunctional.
Inseamnă că în cadrul rețelei sunt aproximativ 21 de noduri; la acestea adăugându-se un număr suplimentar de porturi în cazul în care se dorește o expansiune în cadrul rețelei, va rezulta în final un necesar de aproximativ 21 de porturi. Pentru aceasta este necesară introducerea unui switch cu 24 porturi. O imagine privind structurarea (împărțirea host-urilor) în cadrul rețelei este reprezentată în figură:
Fig. 7 Structurarea rețelei pe baza numărului de utilizatori
3.3. Construirea rețelei – elementele de configurare hardware
În cazul de față în construirea rețelei trebuie să ținem cont de numărul de host-uri pe care dorim să le legăm, precum și dispozitivele de legare necesare ca routere, switch-uri, hub-uri și cablul utilizat. Deoarece utilizăm Ethernet-ul, cablul folosit va fi cel UTP 5, iar pentru acesta avem nevoie de un conector RJ-45.
Deci vor fi necesare:
cele 20 de calculatoare, fiecare calculator având integrate câte o placă de rețea de tip Ethernet 10/100;
mufe/conectoare;
cablul necesar egal cu distanța dintre calculatoare;
un router;
serverul;
switch-ul,
Pentru a face legătura între calculatoare cablurile trebuie mufate.
Cablurile se mufeaza în două feluri:
dacă nu există hub sau switch se mufeaza cross
dacă există hub sau switch se mufează normal-drept.
Conectoarele sau mufele RJ-45 arată în felul următor:
Fig. 7 Conectorul R45 Cat5 sertizat
Avantajul switch-ului este că se pot conecta mai mulți utilizatori la rețea în funcție de numărul porturilor, spre deosebire de un cablu cross caz în care nu putem pune decât două calculatoare în rețea.
Drept pentru care am ales utilizarea switch-urilor, mai ales în cazul de față în care avem de realizat o rețea cu un număr mai mare de host-uri.
Astfel, precum se poate vedea și pe desen, la Etajul 2 sunt legate la același switch un număr de 5 host-uri, la Etajul 1 sunt legate un număr de 10 host-uri prin intermediul aceluiasi switch , tot la acest etaj aflându-se și serverul de care este switch-ul cu care face legătura router-ul, iar la parter se află un număr de 5 host-uri care de asemenea sunt legate prin intermediul switchului. Switch-ul din cadrul rețelei este cascadat la router apoi routerul este cuplat la server.
Pentru a verifica dacă conexiunea, din punct de vedere fizic a fost realizată, odată cu pornirea calculatoarelor putem urmări pe switch, sau pe router dacă există legatură/link prin intermediul led-urilor care există pe acestea. În cazul în care led-ul este verde, pentru porturile care sunt ocupate, legătura a fost realizată.
2.4. Construirea rețelei – elementele de configurare software.
Odată realizată rețeaua din punct de vedere hard, se trece la cealaltă etapă de realizare a ei și anume configurarea la nivel soft. Aceasta se realizează prin instalarea protocolului ales, în acest caz a protocolului TCP/IP.
Datorită faptului că toate calculatoarele din rețea folosesc Microsoft Windows 7 setarea calculatoarelor în rețea se va realiza astfel:
se merge la Start, în Control Panel, de unde se va selecta cu dublu click Network Connections, va apare Network pe care se va da un click dreapta selectându-se opțiunea Properties .
în cadrul ferestrei care va apărea se va selecta opțiunea Add care va avea ca și efect apariția unei noi ferestre din cadrul căreia se va selecta protocolul TCP/IP;
după instalarea protocolului se va face adresarea calculatoarealor ținându-se cont de câteva reguli esențiale precum: adresa fiecărui calculator trebuie să fie unică; se va alege o adresă din clasele de adrese existente, în cazul de față știind că, de obicei, se folosește adresa de clasă C, toate calculatoarele vor fi adresate cu adrese de clase C; Subnet Mask va fi identic pentru toate calculatoarele indicându-ne din ce clasă de adrese fac parte calculatoarele;
Adresele calculatoarelor:
Serverul:
Adresa IP: 192. 121.1.200
Subnet Mask: 255.255.255.0
Calc 1:
Adresa IP: 192.121.1.201
Subnet Mask: 255.255.255.0
Calc 2:
Adresa IP: 192.121.1.202
Subnet Mask: 255.255.255.0
……………………………………….
Calc 20:
Adresa IP: 192.121.1.220
Subnet Mask: 255.255.255.0
Este bine de știut că adresarea se poate face automat, însă este mult mai indicat ca ea să se facă manual de către administratorul de rețea.
după adresarea calculatorului se va alege din cadrul ferestrei Network accesând opțiunea Identification Workgroup-ul din care va face parte calculatorul, ținându-se cont de faptul că este bine ca fiecare calculator să faca parte din același grup (adică să se denumească același nume în cadrul acestei secții pentru fiecare din calculatoarele aflate în rețea), precum și numele calculatorului.
Odată cu terminarea acestei etape calculatorul este restartat. Pentru a verifica dacă într-adevăr conexiunea este bună și la nivelul soft este indicat a se folosi comenzile speciale pentru detectarea conexiunuii.
2.5 Utilizarea comenzilor în verificarea conexiunii
Așa cum am menționat și mai sus pentru a verifica dacă conexiunea între calculatoare este realizată vom folosi câteva dintre comenzile special utilizate în acest caz și anume: tracert, ping.
Pentru a vedea rezultatele oferite de aceste comenzi trebuie procedat astfel:
se intră la Start;
se alege opțiunea Run;
se tastează în caseta de dialog ce apare comanda “cmd”;
se alege butonul OK.
*Tracert
Este utilizată pentru a afla numărul de routere între noi și destinație. Rezultatul aplicării acestei comenzi este reprezentat de adresele IP sau numele router-elor tranzitate.
Sintaxa comenzii este:
tracert [-d][-h maximum hops][-j host_list][-w timeout] target_name
Pentru a vedea mai explicit rezultatul unei astfel de comenzi avem prezentat mai jos un exemplu în acest caz.
Fig. 8 Rezultat al executarii comenzii tracert
Ping
Este o prescurtare de la “Packet InterNet Groper”, comanda fiind folosită pentru a verifica dacă pachetele trimise ajung la destinație fără erori.
Sintaxa comenzii este:
ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS] [-r count] [-s count] [[-j host-list] | [-k host-list]] [-w timeout] destination-list
Pentru a putea vedea cum anume funcționează o astfel de comandă am prezentat mai jos un exemplu cu o astfel de comandă.
Fig. 9 Rezultat al comenzii ping către o altă destinație a rețelei
2.6 Folosirea sistemelor de operare pentru servere
Când se dorește alegerea celui mai bun sistem de operare al unui server pentru un centru de date avem la dispoziție diverse opțiuni Windows sau Linux. Compararea sistemului de operare al serverului justifică funcționarea acestuia, dificultatea instalării, configurație și întreținere, securitate și stabilitate și suportul oferit. Într-un fel, sistemele de operare ale serverului sunt mai simple decât cele pentru utilizatori. Acestea nu trebuie să susțină o mare varietate de accesorii și în general, nu trebuie să ruleze o mare varietate de aplicații. Pe de altă parte, aplicațiile pe care le rulează, cum ar fi bazele de date, serverele WEB, serverele e-mail, aplicațiile în cooperare și serverele aplicației pot congestiona atât sistemele de operare ale serverului cât și hard-ul. De aceea alegerea celui mai bun sistem de operare pentru server poate fi o provocare. Cu 15 ani în urmă existau două posibilități de alegere pentru sistemul de operare al serverului care funcționa pe un hardware: Novell Netware 4 și Microsoft Windows NT. Astăzi, Windows 2008/2012 reprezintă încă o alegere importantă și deși NetWare a dispărut, versiunea Novell a Linux-ului este și ea o bună alegere. Alegerea celui mai bun sistem de operare a serverului depinde în mare măsură de funcția serverului, alegerea cea mai potrivită pentru un server file&print care susține clienții Windows care folosesc Microsoft Office este Windows 2008 si 2012. Deși este posibil să se susțină partajarea fișierelor Windows și să se ruleze o aplicație de colaborare a serverului care susține Outlook pe un server Linux este mult mai complex să se instaleze și să ruleze mai bine. Pe de altă parte, un server care susține Linux pe un server WEB cu acces din exterior sau un server de aplicație nu este mai dificil să se instaleze pe Linux decât pe Windows și va fi probabil mai în siguranță în configurația de bază și se va putea întreține cu mare ușurință în timp.
Există avantaje și dezavantaje atât pentru Windows cât și pentru Linux. Windows-ul se poate instala cu ușurință și rulează în modul de bază, include o arie de drivere pentru aproape orice tip de hardware și are la dispoziție cea mai largă paletă de aplicații soft. Pe de altă parte întâmpină mari probleme de securitate și necesită variante critice care de obicei implică restartarea. Este de asemenea costisitoare de la prețul inițial de achiziționare a sistemului de operare și a aplicațiilor până la întreținerea permanentă necesară pentru a funcționa stabil și pentru updatare. Linux necesită o considerare atentă a driverelor disponibile care sunt adecvate părților hard proprii inclusiv placa de bază și trebuie de asemenea să se țină seama dacă se are în vedere un hard nou lansat cum ar fi plăcile de bază Intel i7. Acest sistem necesită o cunoaștere mai aprofundată a instalării și rulării sistemului de operare și a aplicațiilor. Dar în același timp Linux este în general mai stabil și mai sigur decât Windows, în special edițiile Enterprise disponibile de la RedHat și Novell care utilizează versiuni Kernell care au o durabilitate destul de lungă pentru a deveni complet stabile.
Atât Windows cât și Linux oferă uneori o varietate uluitoare de opțiuni. De partea Microsoft avem Server 2008 în verisunile Standard, Enterprise și Datacenter cu versiuni 32 și 64 biți fiecare în plus față de opțiunile specializate cum ar fi SMB pentru afaceri mici si mijlocii. Serverul Windows 2012 prezintă opțiuni similare. Prețul poate varia dramatic în funție de numărul de exemplare achiziționate și, dacă se semnează un contract pentru întreținerea anuală sau un plan de licențiere pentru corporații. Linux deține o varietate și mai mare de opțiuni. Versiunile Linux dedicate serverelor pot fi achiziționate de la RedHat si NovellSUSE cu suport 24/7 și alte opțiuni.
Alegerea celui mai adecvat sistem de operare pentru server trebuie discutată în contextul activităților care trebuie desfășurate. Avantajele folosirii Linux Open Source se referă în primul rând la flexibilitatea modificărilor de Kernell care nu se pot realiza în cazul sistemului Windows. Deși sistemul Windows nu este la fel de flexibil reprezintă totuși o platformă stabilă, fiind mai ușoară în cazul integrării aplicației.
Comenzile de nivel inferior pentru configurarea retelei
ifconfig reprezinta comanda pentru configurarea interfețelor de rețea. "ifconfig -a" afișează interfețele activate precum și configurarea lor. În cazul în care output-ul nu este afisat pe o singura pagina, se poate folosi comanda "filtru" "more" care afișează pagină cu pagină informatiile (ifconfig –a|more). O cale completă (/sbin/ifconfig) poate fi utilizata in cazul in care directorul /sbin nu se afla în lista de directoare în care sunt executabilele. Informațiile afișate conțin ip-ul alocat, adresa de retea, adresa broadcast, contori pentru pachetele primite/trimise, mai multe tipuri de erori, utile în depanare. O interfață recunoscută de kernel poate fi activata cu "ifconfig eth0 inet <ip> <netmask> <broadcast> (sau se înlocuiește eth0 cu eth1, eth2, etc). O interfață virtuală (alias) se poate face pe o interfață înlocuind eth0 cu eth0:1, eth0:2, etc). Interfețele virtuale nu folosesc decât în cazuri speciale când mai multe placi de retea sunt simulate printr-o placă de rețea fizic. Chiar daca nu sunt legate la retea se recomanda ca in toate sistemele sa existe interfața lo. Aceasta este o interfață virtuală, care are rolul de a returna pachetele ce sunt trimise spre ea. Rolul acesteia este de a simula conectarea de tip rețea spre propriul calculator.
route este comanda pentru configurarea routelor (controleaza directia spre care se trimit pachete). "route -n" afișează routele declarate, putandu-se folosi "/sbin/route -n|more" cu paginarea output-ului. Routele afiseaza pe linie adresa rețelei, gateway-ul, netmask-ul rețelei dar si interfața prin care se ajunge la subnet sau alte informatii mai puțin utile depanării. Se recomanda ca pentru fiecare pachet sa se parcurga fiecare linie de sus in jos, până când destinația făcută 'și bit cu bit' cu masca de rețea dă adresa rețelei din stânga. În acel moment se expediază pachetul pe interfața scrisă în dreapta, către placa de rețea care răspunde la ARP prin IP-ul de gateway. Ultima linie conține la netmask și adresa de rețea default "0.0.0.0", prin care orice IP are permisiune de trafic, iar un pachetul caruia nu ii este atribuita routa explicită se indreapta spre "default gateway". Routa ce are declarat gateway 0.0.0.0 este o routa "directly connected" ceea ce inseamna ca IP-urile din subnet sunt direct accesibile. O roută se adaugă prin comanda "route add –<subnet><netmask><gateway>". O roută spre un host se poate adaugă cu ajutorul comenzii "route add -host <host> gw <gateway> dev <ethx>" sau "direct pe interfața" cu "route add -host dev <ethx>". Routa pentru IP-urile ale aceluiași subnet se creeaza automat la ridicarea interfeței. În general, nu trebuie pusă decât routa default prin "route add default gw <gateway>". Spre <gateway> este necesara o roută direct conectata pentru un gateway standard (IP din același subnet cu IP-ul calculatorului). În caz contrar se poate pune o roută către acel host pe acea interfață, dar o asemenea necesitate este generată în general de proiectări defectuase ale rețelei sau stări de tranziție.
Recompilarea kernel-ului
În cazul în care distribuția care se instalează nu conține suport pentru un anume device (placă de rețea), este probabila rezolvarea problemei prin compilarea unui kernel cu suport pentru acel device. Sursele kernel-ului sunt conținute în distribuție sau se pot descarca sub forma de arhiva tar.gz și tar.bz de la un mirror apropiat de kernel (ex. ftp://ftp.linux.ro/pub/kernel). Arhivele sunt denumite linux-2.x.y.tar.gz (sau tgz=tar.gz sau tar.bz). tar reprezentand extensia ce desemnează o arhivă conținând într-un singur fișier mai multe fișiere și directoare. Arhiva se deschide prin decomprimare sau dezarhivare. Pentru arhive .tar.gz se poate folosi tar –xvzf linux-2.x.y.tar.gz care face în același timp și decomprimarea. Optiunea -v se foloseste pentru activarea modului "verbose" în care se afișează fiecare fișier extras din arhivă, -z semnificând faptul că se face întâi decomprimarea iar -x faptul că se face extragere din arhivă. Dupa -f se pune numele arhivei. Arhiva s-a realizat printr-o comandă de genul "tar –cvzf linux-2.x.y.tar.gz linux". În momentul în care se dezarhivează, se creează director numit "linux" in directorul în care se face dezarhivarea, in vederea compilarii se intră în acest director ("cd linux") parcurgand urmatoarele etape:
– make menuconfig –configurează continutul viitorului kernel. Configuratia de baza de la care se porneste se modifica in functie de necesitati. Se recomanda ca procesorul care a fost ales la configurare să nu fie mai puternic decât cel de pe mașina pe care se instalează. În plus, dacă există device-uri speciale (scsi, placi ethernet) acestea trebuie incluse în configurație. Există câteva facilități care se pot include în kernel în plus față de configurația default (de ex. support pentru partiția de Windows), nefiind absolut necesare pentru funcționarea sistemului. Pe de altă parte majoritatea opțiunilor incluse nu fac sistemul nefuncțional, cel mult măresc kernelul nejustificat. Trebuie evitata includerea opțiunii "Kernel autoreconfig" pentru că în acel moment viitorul kernel va încerca boot-area din rețea. Se recomanda o privire prin help-ul fiecarei optiuni. Este disponibila si versiune grafică a programului de configurare (make xconfig)
– make dep – reface dependințele între module
– make bzImage – compilează kernelul, care va fi depus în arch/boot/bzImage . Kernelul se comprima pentru micșorarea dimensiunii, trebuind să poata fi reprezentat pe disk într-un bloc contiguu. Dupa compilare el se mută în alt director (uzual /boot) și se introduce în /etc/lilo.conf. "label" reprezinta numele care ajuta la alegerea kernel-ului din lilo iar root fiind partiția pe care o va monta. read-only este mentionat deoarece sistemul trebuie să monteze partiția root read only si să porneasca programul /sbin/init, care trebuie sa verifice integritatea partiției și abia apoi face "remontarea" read-write". Mai multe opțiuni se pot trimite kernelului la bootare cu opțiunea append. Dacă înainte de montarea partiției este necesară inserarea unor module care să recunoască partiția, se folosește "initrd", montându-se un fișier ca partiție "/", din care se inserează modulul și se monteaza apoi partiția de pe disk.
– make modules – se compilează modulele în cazul în care s-au inclus ca module o serie de opțiuni. In acest fel se poate compila suportul pentru placile de rețea fără să mărească dimensiunea kernelului, urmând să fie încarcat cel necesar.
– make modules_install – se vor instala modulele într-un director și se realizează și o hartă a dependințelor
– make install – creaza noi setari pentru viitorul kernel
– lilo – reinstalează lilo cuprinzând și noul kernel
Bootare forțată
Lilo este aplicația demarata de BIOS cand se porneste calculatorul. Acesta este un program simplu în care se poate alege una din mai multe opțiuni. Fiecare opțiune reprezintă un kernel și anumite opțiuni (în afara cazurilor în care se startează sistemul de pe o partiție non-Linux). Lilo încarcă kernelul și îi transmite câteva opțiuni printre care partiția pe care să o monteze ca root ("/") și programul pe care să îl lanseze din acea partiție. In cazul unui kernel ce are eticheta "lin" se da în lilo "lin root=/dev/hda2 init=/bin/bash ro". În acest caz linuxul va porni de pe partiție programul de shell (/bin/bash) și pune la dispozitie o consolă pentru administrare. In cazul unei boot-ari normale se executa programul /sbin/init, care lansează toate celelalte programe inclusiv login sau serverele. Partiția montată permite doar drepturi de citire read-only, de pe aceasta putandu-se rula un program ce poate verifica și repara o partiție ajunsă inconsistenta datorita unei căderi de curent. Pentru realizarea unor modificari se trece in read-write prin "mount -n –o remount, rw /". Înainte de restartare este bine să se treacă partiția în read-only ("mount -n –o remount, ro /"). Se recomanda de asemenea rularea comenzii sync pentru a salva bufferele din memorie pe disk.
Obtinerea adreselor IP routabile
Adresele routabile le asignează administratorul de rețea al instituției, din spațiul de adrese pe care îl are la dispoziție deja sau pe care îl obține de la un "redistribuitor" local de adrese, numit LIR, sau de la RIPE, autoritatea europeană care alocă IP-uri participanților la Internet, evitandu-se astfel alocarea unui singur IP catre utilizatori diferiti. "Local Internet Registry" (LIR) primesc la randul lor din partea autoritatii RIPE adrese pe care aceștia le aloca tertilor. Spațiul adreselor IPV4 este alocat în proporție mare, astfel ca RIPE cere o argumentație solidă asupra lor, în cazul unei solutii de tip masquarade se evita alocarea IP-urilor routabile. Orice furnizor mare de Internet detine o serie de IP-uri din clasa C (de 256 IP-uri) pe care le utilizeaza în Internet prin protocolul BGP. Acestea sunt clasele pe care furnizorul și clienții săi le au alocate de către RIPE (în zona Euro). BGP (Border Gateway Protocol) este un protocol de rutare vector-cale care ia decizii pe baza cailor si politicilor de rutare ale sistemului autonom din care face parte. Astfel, după o scurta perioada, fiecarui router i se anunta fiecare roută din Internet. Routerele ce se afla la "periferia" Interetului (care separă câteva rețele de restul Internetului) agregă routele din Internet într-o routa default (0.0.0.0), ignorând spațiile libere (clasele de adrese nefolosite încă). De obicei exista o singură conexiune la Internet, iar routerul cu care se realizeaza conexiunea este "default gateway". Orice pachet este trimis către default gateway in cazul in care nu se afla pe lista retelelor pe care le separa de internet. Astfel un pachet spre o destinație inexistentă în Internet traverseaza câteva routere, până la router-ul de core care cunoaște exact ce clase de adrese sunt accesibile în Internet și abia în acel punct pachetul este dropat și faptul ca nu exista o destinatie pentru acel pachet este semnalat prin pachetul special ICMP.
Domenii DNS
Pentru a putea fi accesat din Internet printr-un anumit nume de host (nu numai prin IP) trebuie să existe o "intrare DNS" conținând acel nume și pointând către IP-ul tău. Această înregistrare se realizează pe un name-server responsabil cu un anumit domeniu, în care se dorește acel nume de host. De exemplu, dacă se dorește numele www.unibuc.ro trebuie realizată înregistrarea pe name-serverele care sunt responsabile pentru acest domeniu (standardul cere ca pentru fiecare domeniu să existe cel puțin două nameservere, pentru backup în cazul în care unul din ele devine nefuncțional). În cazul în care domeniul nu există (de exemplu se dorește numele www.ecuatii.ro) domeniul trebuie creat pe name-serverul care se ocupă de domeniile '.ro". Autoritatea care crează domenii ".ro" este tot RNC (cea care poate asigna și IP-uri). Pentru un preț modic, care îi asigură autofinanțarea, RNC poate delega către două name-servere un anumit domeniu. În acel moment orice modificare din acel domeniu se face pe cele două nameservere, eventual se pot face subdomenii. Dacă unul din name-servere poate fi ușor, Linux-ul folosit și ca router instalând un program din distribuția standard numit named, celălalt nameserver nu este întotdeauna disponibil. Se poate folosi un name-server al providerului sau chiar ambele name-servere ale providerului (orice provider care se respectă are măcar 2 name-servere). Se pot configura name-serverele providerului să încarce informațiile despre domeniu din name-serverul proprietarului domeniului. Informațiile despre un domeniu mai sunt numite și "zone", iar name-serverul configurat să încarce "zona" de la alt nameserver este numit "slave" față de cel de pe care se încarcă zona care este numit "master" pe respectiva zonă. Aceste denumiri sunt relative, un server "master" poate fi "slave" la rândul său altui nameserver. Rezolvarea unui domeniu se poate verifica cu comanda host. De exemplu: "host www.yahoo.com" rezolva adresa de host în IP, "host –t mx yahoo.com" afișează serverele de email care deservesc domaniul yahoo.com, "host –t ns yahoo.com" afișează name-serverele care sunt responsabile cu domeniul "yahoo.com". Aceste răspunsuri sunt cerute de la name-serverul setat default (în /etc/resolv.conf), în cazul în care se doresc informații de la un alt name-server se adaugă nume sau la sfarșitul comenzii, de exemplu "host –t ns unibuc.ro ns.rnc.ro" verifică la RNC pe ce name-servere sunt definite informațiile despre domeniul unibuc.ro. Acest lucru este util deoarece un nameserver în care este configurat un domeniu și este declarat master pe acesta răspunde din fișierul propriu de configurație pentru acest domeniu, chiar dacă el nu este înregistrat în Internet ca responsabil pentru domeniu. Restul Internetului (cei care nu îl folosesc ca nameserver direct) nu îl vor întreba despre domeniu și vor avea o altă viziune asupra domeniului (dată de realele name-servere responsabile).
Serverul de email
În momentul în care există un domeniu, se pot creea și căsuțe poștale de tip user@domeniu. Pentru a putea folosi aceste adrese de email trebuie să existe în zona care se referă la acest domeniu o înregistrare de tip "IN MX" (înregistrarile despre IP-ul unui host sunt de tip "IN A"). Ip-ul care este trecut în acestă înregistrare va fi accesat pe portul 25 pentru a i se livra emailul pentru acest domeniu. Se pot defini mai multe intrări MX, pentru cazul în care unul din servere nu este disponibil. Există priorități, numărul mic înseamnă prioritate mai mare. Serverul de email este și el în distribuțiile standard de Linux, există chiar mai multe (sendmail, qmail, postfix). Scopul serverului de email este să primească și să trimită mesaje email. Mesajele pot fi către domeniul pentru care are definite căsuțele poștale sau pot fi mesaje trimise de utilizatori (deținătorii casuțelor poștale) către alte servere de email din Internet. Acțiunea prin care un server de email primește un mesaj care nu îi este adresat pentru a-l forwarda mai departe se numeste "relay". Serverul de email trebuie să facă "relay" doar pentru utilizatorii care au căsuțe poștale acolo, altfel cineva poate trimite email nesolicitat ("spam") prin acel server email, pentru a-și ascunde identitatea față de destinatar. Primirea emailului și trimiterea lor sunt lucruri distincte, pe care le poate face un singur server de email sau două separate. Emailul primit se poate citi local de pe server cu un client de email ("mail", "pine") sau se poate citi remote cu un client special de email prin POP3 sau IMAP din Netscape Communicator, Outlook Express, etc. Trimiterea se face din acești clienți, specificând-use un server. De remarcat faptul că dacă în cazul citirii emailului se cere un username și o parolă, în cazul trimiterii nu se cere uzual vreo parolă, și chiar se pot trimite emailuri cu orice sursă, singura cerință fiind că domeniul adresei sursă să se poata "rezolva" – să existe pentru el o intrare "MX".
Proxy
De multe ori, mai mulți utilizatori accesează aceleași pagini, făcând același transfer de mai multe ori inutil. Pentru a se folosi mai eficient conexiunea la Internet s-a proiectat un server "proxy" care are rolul de a prelua cererile de la browser și de a intoarce pagina cerută, fie accesând Internet-ul, fie accesând "cache"-ul pe care îl face pe hard-disk cu paginile accesate anterior. Se fac verificări ale datei de modificare pentru paginile care au termen de expirare. Proxy-ul poate fi și o variantă la masquarade, dar are dezavantajul că poate fi folosit doar pentru anumite protocoale pentru care este proiectat (http, ftp, etc). Browser-ele au de obicei implementat protocolul de interogare a proxy-urilor, nu trebuie decât configurat IP-ul mașinii proxy și portul pe care "ascultă" serverul de proxy. Unele proxy-uri pot fi setate să ceară și o autentificare username/password. Există și o variantă mai specială de proxy numită "transparent proxy" prin care pachetele care au plecat spre Internet sunt redirectate de către routerul Linux spre portul pe care "ascultă" proxy-ul, iar acesta răspunde la cererea pe care browserul crede că o face serverului web din Internet. Avantajul ar fi că nu mai trebuie instruiți utilizatorii să seteze/deseteze proxy-ul din browser. Redirectarea către portul de proxy se face tot cu utilitarul care configurează firewall-ul ("ipchains" sau "iptables"), o linie de redirect ar arăta cam așa:
ipchains –I input –s 192.168.101.0/24 –d 0.0.0.0/0 80 –p tcp –j REDIRECT 3128
unde 3128 este portul pe care ascultă proxy-ul, 0.0.0.0/0 reprezintă rețeaua continuând orice IP, 80 reprezintă portul de http, tcp reprezintă tipul de protocol IP.
CAPITOLUL 3 – SECURIZAREA REȚELEI
3.1 Definirea VPN-ului
VPN-ul (VPN – Virtual Private Network) este rețeaua privată virtuală care face legătura dintre componentele și resursele unei rețele private, dar prin intermediul unei rețele publice. Deci rețeaua virtuală privată este rețeaua unei companii care este implementată pe o infrastructură comună. Aceasta utilizează aceleasi politici de management, securitate și performanță aplicabile, în general, într-o rețea privată. O firmă are astfel posibilitatea să-și extindă prin internet serviciile de rețea la distanță, pe care le ofera utilizatorilor reprezentanților, sau unor companii partenere. Acest lucru este permis, în condiții de maximă securitate, prin tehnologia rețelelor private virtuale. Avantajul evident permite crearea unei legături de comunicație nu numai rapidă, dar și sigură și mai ales convenabilă din punct de vedere material.
Tehnologia VPN asigură posibilitatea de a folosi infrastructurile rețelelor publice, de exemplu, internetul, permițând un acces securizat și privat la aplicațiile și resursele companiei pentru angajații din birourile îndepartate sau pentru cei ce lucrează de acasă, pentru parteneri de afaceri și clienți.
Fig 10. VPN (Rețea Privată Virtuală)
Diversele rețele de transport deja existente, cum ar fi internetul, rețeaua furnizorului de servicii IP, rețelele frame-relay și ATM, permit realizarea unei rețele VPN. Astfel, din ce în ce mai multe VPN-uri se bazează pe rețelele IP. Tehnologia acesteia utilizează o combinație de tunneling, criptare, autentificare, precum și mecanisme și servicii de control a accesului, pentru transportul traficului pe internet, o rețea IP administrate sau rețeau unui furnizor de servicii.
3.2 Functionarea VPN-ului
Prin intermediul VPN-ului utilizatorii pot comunica printr-un tunel prin Internet sau printr-o altă rețea publică, astfel încât toți participanții să aibă avantajul aceleiasi securități și acelorași posibilități puse la dispoziție numai prin rețelele private. Dar există două impedimente majore care trebuie depășite în cazul în care se dorește utilizarea internetului ca o rețea privată virtuală, de tipul WAN (Wide Area Network). Primul obstacol important care apare se datorează marii diversități de protocoale prin care comunică rețelele, de exemplu IPX sau NetBEUI, în timp ce, internetul este capabil să înțeleagă numai traficul de tip IP. Deci VPN-urile trebuie să găsească mijlocul prin care să poată transmite protocoalele non IP de la o rețea la alta. În cazul în care dispozitivul VPN primește o instrucțiune de transmitere a unui pachet prin internet, acesta negociază o schema de criptare cu un dispozitiv VPN similar din rețeaua de destinații. Astfel ,datele în format IPX/PPP sunt trecute în format IP, și așa pot fi transportate prin rețeaua globală. Al doilea impediment important se datorează faptului că pachetele de date prin internet sunt transportate în format text. Deci, oricine poate vedea traficul, poate citi și datele conținute în pachete. Aceasta reprezintă o adevărată problemă pentru firmele care doresc să comunice informații confidențiale și totodată să folosească internetul.
Soluția găsită pentru depășirea acestor impedimente majore este tunneling-ul, cel care a permis de fapt apariția VPN-ului. Și astfel, pachetele nu mai sunt lansate într-un mediu care nu asigură protecție. Datele sunt mai întâi criptate, apoi sunt încapsulate în pachete de tip IP și expediate printr-un tunel virtual prin internet. Astfel, VPN-ul din punctul de vedere al utilizatorului, este o conexiune punct la punct între calculatorul personal și serverul corporației.
Fig. 11 Echivalentul logic al rețelei private virtuale
Asadar, criptarea datelor asigură confidențialitatea informației de firmă, care circulă prin VPN. În trecutul apropiat, rețelele private se creau prin folosirea liniilor de comunicație închiriate între sedii. S-a propus apoi o serie de protocoale pentru crearea de tuneluri în vederea extinderii acestui concept la Internet deoarece traficul mai multor utilizatori trece prin aceeași conexiune. Aceste tuneluri permit expeditorului să încapsuleze expeditorului datele în pachete IP care ascund infrastructura de rutare și comutare a Internetului la ambele capete de comunicație. Totodată, aceste pachete încapsulate sunt protejate împotriva citirii sau alterării prin diversele tehnici de criptare. Tunelurile, la rândul lor, pot avea două tipuri de puncte terminale – un calculator individual sau o rețea LAN cu un Gateway de securitate, un router sau un Firewall. Când se proiectează o rețea VPN, se poate utiliza orice combinație a celor două tipuri de puncte terminale.
Dacă se realizează o tunelare LAN-to-LAN, Gateway-ul de securitate al fiecărui punct terminal reprezintă interfața dintre tunel și rețeaua privata LAN. În acest caz, utilizatorii fiecărui LAN se pot folosi de tunel într-un mod transparent pentru a comunica unii cu alții.
Tunelul Client-to-LAN este cel stabilit de obicei pentru utilizatorul mobil care dorește să se conecteze la rețeaua locală a firmei. În vederea comunicării cu rețeaua de firmă, clientul (utilizatorul mobil) inițiaza realizarea tunelului. În acest scop, clientul rulează un sofware client special, care comunică cu Gateway-ul de protecție al rețelei LAN.
3.3 Avantajele și limitările alegerii VPN-ului
Mediul de afaceri este într-o permanentă schimbare și, în prezent majoritatea companiilor își îndreaptă atenția spre piața mondială care câștigă teren. Acestea devin regionale, multinaționale și vor avea nevoie urgentă de o comunicație din ce în ce mai rapidă, sigură și fiabilă între sediul lor central, filiale, puncte de lucru, birouri, și anume de o rețea WAN (Wide Area Network / rețea de arie largă). Rețeaua tradițională WAN implica închirierea de linii de comunicație, începând cu cele ISDN ( viteze de 128 /256 Kbps ) până la cele de fibră optică OC-3 (se ating viteze de 150 Mbps) care ar putea acoperi o anumită arie geografică. Avantajele unei astfel de rețele sunt impresionante față de una publică, cum ar fi internetul, dacă ne referim la securitate, performanță sau fiabilitate. Dar este foarte costisitor să deții o rețea WAN cu linii închiriate, care este proporțională cu aria geografică acoperită. Popularitatea internetului a crescut din ce în ce mai mult și companiile au început să-și extindă rețelele proprii. Așa au apărut la început Intranet-urile, site-uri protejate prin parolă și destinate angajaților companiei. Dar, pentru a veni în întâmpinarea cerințelor de comunicații tot mai crescânde ale angajaților și oficiilor de la distanță, din ce în ce mai multe firme își dezvoltă propriile VPN-uri. Acestea pot aduce multe beneficii companiei. În primul rând se extinde aria geografică de conectivitate, se sporește securitatea, se reduc costurile operaționale, apoi crește productivitatea, se simplifică topologia rețelei, se oferă oportunități de lucru într-o rețea globală, se asigură suport pentru tendința crescută a afacerilor spre o operare la distanță, permite operații distribuite global, precum și alte operații de parteneriat foarte interdependente, operații pentru care lucrătorii au nevoie să se conecteze la resursele centrale să poata comunica unul cu celalat. Și nu în ultimul rând, companiile trebuie să își administreze eficient stocurile pentru un ciclu de producție scurt.
Să ne referim pe scurt la avantajele deja menționate anterior:
Reducerea costurilor.
Rețelele private virtuale nu sunt atât de costisitoare ca rețelele private proprietare ale companiilor deoarece se reduc costurile de operare a rețelei (linii închiriate, echipamente, administratori rețea). În cazul folosirii internetului în vederea distribuirii serviciilor de rețea la mare distanță, se poate evita atât achiziția de linii închiriate între reprezentanțe și firme, care este extrem de scumpă, cât și costul convorbirilor interurbane pe modemuri Dial-up sau ISDN. Pentru a ajunge în rețeaua firmei mamă, reprezentanța va trebui să se conecteze numai local, la un provider de internet. Economiile se fac și datorită faptului că nu mai sunt necesare investiții în echipament WAN adițional. Este necesară doar o îmbunătățire a capacităților de conectare la internet a serverului.
Integrare, simplitate, implementare ușoară.
Rețeaua virtuală privată nu necesită o infrastructură separată deoarece se poate realiza imediat peste conexiunea deja existentă la internet, simplificându-se topologia rețelei companiei private. Prin aceeași conexiune se pot integra mai multe aplicații – transfer de date, Voice over IP, Video-conferință.
Ușurița administrării.
Folosind internetul, fiecărei sucursale trebuie să i se asigure accesul la internet, pe când în cazul liniilor private trebuie instalate si administrate linii între fiecare două sucursale. În cazul accesului utilizatorilor de la distanță, problemele de administrare sunt transferate în totalitate providerului de Internet care suportă majoritatea costurilor schimbării tehnologiei.
Mobilitatea.
Indiferent de locul în care se află angajații mobili și partenerii de afaceri, fie ei distribuitori sau furnizori, aceștia se pot conecta în siguranță la rețeaua companiei.
Scalabilitate
Odată cu dezvoltarea afacerii companiei va apare o nevoie constantă de angajați mobili și conexiuni securizate cu distribuitorii și partenerii strategici. Creșterea cererii de acces la distanță nu va impune organizației să cumpere și să instaleze echipamente noi de comunicație. Va fi nevoie să comande doar un nou cont de acces la un furnizor de internet.
Securitate
Rețeaua virtuală privată poate asigura un nivel ridicat de securitate a informațiilor transmise prin utilizarea unor protocoale avansate de autentificare și criptare. Diversele tehnologii de securitate (criptarea, autentificare, IP Security) protejează informațiile care circulă prin VPN, astfel încât datele traficate nu pot fi compromise.
Oportunități, comerț electronic.
Noile modele de business (business-to-business, business-to-consumer, electronic commerce) care vor putea fi implementate vor putea aduce companiei venituri suplimentare.
Conectivitate globală.
Pe măsură ce economia se globalizează rețelele de firmă se vor dezvolta și în afara granițelor statale. Multe țări nu dispun de infrastructura cu fibră optică pentru linii private de calitate, dar Internetul este ideal pentru conectivitate internațională deoarece protocolul Internetului poate rula pe orice infrastructură de comunicații.
În ciuda popularității lor, VPN-urile nu sunt perfecte și există totuși și limitări, valabile în cazul oricărei tehnologii:
VPN-urile necesită o perfectă înțelegere a problemelor de securitate a rețelei și o instalare / configurare atentă în vederea asigurării unei protecții adecvate pe o rețea publică cum este internetul.
Fiabilitatea si performanța unui VPN pe baza Internetului nu se află sub controlul direct al unei organizații. În schimb, soluția se bazează pe ISP-uri și calitatea serviciilor lor.
Produsele și soluțiile VPN provenite de la diferiți comercianți nu au fost întotdeauna compatibile din cauza problemelor legate de standardele tehnologice ale VPN-urilor
Tipuri de VPN-uri și utilizarea lor
În prezent se pot distinge trei tipuri principale ale VPN-ului:
– VPN-ul accesat de la distanță, denumit și dial-VPN-uri care permite utilizatorilor conectarea la un site central printr-o rețea publică.
– VPN-ul Intranet denumit și VPN site-to-site sau LAN-to-LAN care permite extinderea rețelelor private prin internet sau un alt serviciu de rețea publică într-un mod securizat.
– VPN-ul Extranet permite conexiuni securizate între partenerii de afaceri, furnizori si clienți, cu scopul realizării comerțului electronic. Acest tip de VPN reprezintă o extensie a VPN-urilor Intranet la care se adaugă Firewall-uri pentru protecția rețelei interne.
Fig 12. Modele de VPN
Aceste trei tipuri de rețele private oferă fiabilitate , performanță și securitate mediilor WAN clasice la prețuri mai mici și conexiuni ISP cu mult mai flexibile. Asigurarea securității și controlului accesului la informație, resurse sau sisteme vitale prin Intranet poate folosi și tehnologia VPN. Astfel, aceasta poate să limiteze accesul anumitor utilizatori la sistemele financiare din companie sau poate trimite informații confidențiale securizate.
VPN-ul accesat distant asigură o conectare individuală (utilizatori mobili) sau a unor birouri la sediul central al unei societăți în condițiile cele mai sigure.
Fig 13. VPN accesat de la distanță
Se pot deosebi două tipuri de conexiuni Remote Access VPN:
– O conexiune inițiată de client; clienții ce doresc să se conecteze la site-ul companiei trebuie să aibă instalată o aplicație VPN, care asigură criptarea datelor între PC-ul lor și sediul furnizorului de Internet. Conexiunea cu sediul companiei se face tot criptat, în consecință, întregul circuit al informației este securizat. Acest tip de VPN utilizează o multitudine de clienți VPN, de exemplu, Cisco Secure VPN, dar și Windows in-built VPN (aplicație dedicată accesului VPN oferită de sistemele de operare Windows XP/Vista/7/8.1/Server 2008). Acest tip de Access VPN este prezentat schematic în figura următoare:
Fig. 14 Acces de la distanță inițiat de client
Al doilea tip de acces de la distanță VPN este cel inițiat de serverul de acces. Această conexiune este mai simplă deoarece nu implică utilizarea unui client de VPN, tunelul securizat realizându-se între serverul de acces al furnizorului de Internet și sediul companiei la care se dorește autentificarea. Între client și serverul de acces securitatea se bazează pe siguranța liniilor telefonice, ceea ce poate fi uneori un dezavantaj.
Fig 15. Acces bazat pe linii telefonice
Tipul Intranet VPN asigură conectarea diferitelor sedii ale unei companii pe baza legaturilor dedicate, permițând realizarea unor medii client-server foarte performante cu ajutorul conexiunilor dedicate care pot atinge rate foarte bune de transfer. Se asigură astfel o calitate foarte bună a transmisiei pe lângă securitate și banda mai largă.
Fig 16. Intranet VPN
Arhitectura Intranet folosește doua routere, câte unul pentru fiecare capăt al conexiunii, între ele realizându-se un tunel criptat cunoscut ca Layer3. De aceea nu mai este necesară folosirea unei aplicații client VPN, ci folosirea unui protocol standardizat IP Sec. Acesta este un protocol standardizat la nivel 3 asigurând autentificarea, confidențialitatea și integritatea transferului de date între o pereche de echipamente care comunică. Se folosește Internet Key Exchange ce impune în ambele capete chei de autentificare care vor realiza logarea reciprocă. În figura următoare este prezentată schematic această conexiune:
Fig 17. Arhitectura Intranet VPN
Tipul Extranet VPN se utilizează în vederea legării diferiților clienți sau parteneri de afaceri la sediul central al unei companii pe baza liniilor dedicate cu conexiuni comune și securitate maximă.
Fig 18. Extranet VPN
Tipul Extranet VPN este similar celui anterior, singura diferență fiind extinderea limitelor intranetului asigurând astfel conectarea unor parteneri de afaceri sau clienți la sediul companiei. Se permite astfel accesul unor utilizatori ce nu fac parte din structura companiei. Accesul este permis pe baza unor certificate digitale emise de o autoritate specializată. Aceste certificate vor permite realizarea unor tunele criptate
3.5 Cerințe de bază pentru VPN-uri
Când se proiectează o rețea virtuală prin internet trebuie să se țină cont de două impedimente majore: securitatea și performanța. Când s-a proiectat inițial protocolul de control al transmisiei (TCP/IP) și Internetul, nu s-a avut in vedere asigurarea securității și performanței, deoarece, pe atunci, utilizatorii și aplicațiile lor nu necesitau o securitate puternică și o performanță garantată. Standardele pentru securitatea datelor din rețelele IP au evoluat în timp și au permis crearea VPN-urilor utilizate de rețelele IP. Când o companie proiectează o soluție de acces de la distanță la o rețea se gândește să permită accesul controlat la resurse și informații. Solutia adoptata trebuie sa permita clientilor autorizati o conectare facila la LAN-ul companiei si de asemenea sa permita sucursalelor conectarea intre ele in vederea partajarii de date (LAN-to-LAN). Soluția adoptată trebuie să asigure și securitatea și integritatea datelor când acestea traversează Internetul. Aceleași preocupări trebuie avute în vedere și atunci când datele ce trebuie protejate traversează inter-rețeaua companiei. De aceea, adoptarea unei soluții VPN impune realizarea urmatoarelor funcții vitale:
– Autentificarea utilizatorului. Soluția adoptată impune verificarea identității utilizatorului și permiterea accesului prin VPN numai utilizatorilor autorizați. Aceasta trebuie să permită monitorizarea și raportarea tuturor activităților, astfel încât să se știe în permanență cine și când a accesat o anume informație.
– Gestionarea adreselor. Soluția adoptată trebuie să furnizeze unui client o adresă din rețeaua privată și să asigure secretizarea adreselor.
– Criptarea datelor. Clienților neautorizați nu trebuie să li se permită accesul la datele transferate prin rețeaua publică. Aceste date trebuie să fie ilizibile pentru clienții neautorizați
– Gestiunea cheilor. Soluția adoptată trebuie să aibă în vedere generarea și împrospătarea cheilor de criptare atât pentru client cât și pentru server
– Soport multiprotocol. Soluția aleasă trebuie să poată manevra protocoalele existente în rețelele publice, de exemplu Internet Protocol (IP), Internet Packet Exchange (IPX).
3.6 Soluții pentru implementarea VPN
După cum am afirmat în partea introductivă, implementarea unui VPN presupune crearea unui tunel printr-o rețea publică prin intermediul căruia să fie transferate datele. Ca o definiție, tunelarea (tunneling) este o metodă de folosire a infrastructurii unei inter-rețele pentru transferul datelor dintr-o rețea peste o altă rețea. Datele de transferat (încărcătura – payload) pot fi cadrele (sau pachetele) altui protocol. În loc de a transmite cadrul în forma în care a fost produs de nodul sursă, protocolul de tunelare încapsulează cadrul într-un antet adițional. Acesta conține informații de rutare astfel încât încărcătura încapsulată poate traversa inter-rețeaua intermediară. Pachetele încapsulate sunt apoi rutate între capetele tunelului prin inter-rețea. Calea logică pe care pachetele încapsulate o urmează în inter-rețea se numește tunel (fig 19). Odată ce cadrele încapsulate ajung la destinație prin inter-rețea, cadrul este decapsulat și trimis la destinația sa finală. De notat că tunelarea include întregul proces: încapsulare, transmitere și decapsularea pachetelor.
Fig 19. Tunelarea datelor
Tehnologiile de tunelare există de câtva timp, printre cele mai cunoscute numărându-se:
Tunelare SNA peste IP. Când traficul SNA este trimis peste o inter-rețea IP de corporație, cadrul SNA este încapsulat în UDP și antet IP.
Tunelare IPX pentru Novell NetWare peste IP. Când un pachet IPX este trimis unui server NetWare sau unui ruter IPX, serverul sau ruterul anvelopează pachetul IPX într-un UDP cu antet IP, și îl trimite apoi peste inter-rețeaua IP. Ruterul IP-IPX destinație dă la o parte UDP-ul și antetul IP, și trimite pachetul către destinația IPX.
În ultimii ani au apărut noi tehnologii de tunelare, tehnologii care stau la baza implementărilor de VPN existente, un sistem de rețele a fost împărțit în nivele (Layer). În cadrul fiecărui Layer unul sau mai multe entități îi implementează funcționalitatea. Fiecare entitate interacționează direct numai cu layer-ul care se află imediat sub acesta și asigură facilități de utilizare prin layer-ul de deasupra. Portocoalele au permis unei entități dintr-o gazdă să interacționeze cu entitatea corespunzătoare de la același nivel dintr-o altă gazdă.
Stiva OSI (Open Systems Interconnections Model) este un model conceptual care caracterizează și standardizează funcțiile interne ale unui sistem de comunicație prin divizarea acestuia pe mai multe nivele. Comunicarea grupelor funcționează prin 7 nivele logice:
Layer 1. Protocolul de tunelare punct la punct are urmatoarele funcții importante:
– definește specificațiile electrice și fizice ale conexiunii datelor precum și relațiile dintre un echipament și mediul fizic de transmitere (un cablu de cupru sau o fibră optică)
– definește protocolul pentru a stabili și încheia o conexiune dintre două noduri conectate direct într-un mediu de comunicație.
– poate defini protocolul pentru controlul transmiterii.
– definește un protocol pentru asigurarea unei legături dintre două noduri conectate direct și modulația sau conversia dintre reprezentarea datelor digitale din echipamentul utilizatorului și semnalele corespunzătoare transmise prin canalul fizic de comunicație. Implică legaturi fizice prin cablu, fibră sau legături radio (wireless)
Layer 2. Protocolul de tunelare pe nivel 2 – Data Link Layer asigură o legatură fiabilă între două noduri conectate punct la punct prin detectarea și corectarea probabilă a erorilor care pot apărea la nivelul 1. Este divizat în două sub-layere:
– MAC (Media Access Control) controlează modul prin care computerele din rețea dobândesc accesul la date și permisiunea de a le transmite.
– LLC (Logical Layer Control) controlează verificarea erorilor și sincronizarea pachetelor și permite traficului IP, IPX sau NetBEUI să fie criptat și transmis peste orice mediu care suportă transmisia punct-la-punct a datagramelor, cum ar fi: IP, X25, Frame Relay sau ATM.
Layer 3. Acest nivel asigură mijloacele de funcționare și procedurale de transfer al secvențelor de date cu lungimi diferite denumite datagrame de la un nod la altul conectate la aceeași rețea. O rețea este un mediu la care se pot conecta mai multe noduri pe care fiecare nod are o adresă și care permite nodurilor conectate la ea să transfere mesaje spre alte noduri conectate sau doar asigurând conținutul unui mesaj și adresa nodului de destinație, permițând rețelei să găsească modalitatea de rutare a mesajului la nodul destinație. Pe lângă rutarea mesajului, rețeaua poate sau nu să implementeze transmiterea mesajului prin împărțirea acestuia în mai multe fragmente, transmițând fiecare fragment pe o rută separată și reasamblând fragmentele la destinație și, în același timp, să raporteze erorile de transmitere.
Layer 4. Nivelul de transport asigură mijloacele funcționale și procedurale de transfer al secvențelor de date de lungimi diferite de la o sursă la o destinație gazdă printr-o rețea sau mai multe menținând în același timp calitatea funcțiilor de serviciu. Un exemplu de acest fel de protocol din cadrul stivei de protocol Internet este TCP bazat pe securitatea IP. Controlează fiabilitatea unei legături date prin controlul transmisiei, încapsularea, decapsularea și controlul erorilor.
Layer 5. Acest nivel controlează dialogurile, conexiunile dintre calculatoare. Stabilește, controlează și încheie conexiunile dintre aplicația locală și cea distantă. Asigură operații în ambele sensuri (full-duplex, half-duplex, simplex).
Layer 6. Nivelul prezentare are rolul de a transforma datele în formate înțelese de fiecare aplicație și de calculatoarele respective, compresia datelor și criptarea.
Layer 7. Realizează interfața cu utilizatorul și interfața cu aplicațiile, specifică interfața de lucru cu utilizatorul și gestionează comunicația între aplicații. Acest nivel nu reprezintă o aplicație de sine stătătoare ci doar interfața între aplicații și componentele sistemului de calcul.
3.7 Metodele de transmisie prin VPN
După cum s-a văzut, în vederea asigurării confidențialității datelor într-o transmisie pe canalele de comunicație nesigure, precum internetul, se pot utiliza diferite tehnici criptografice. Modul de transmisie utilizat de o soluție VPN determină ce părți ale unui mesaj sunt criptate. Există soluții prin care se criptează întregul mesaj (antetul IP și datele din mesaj), dar alte soluții criptează numai datele. Cele patru metode de transmisie întâlnite în soluțiile VPN sunt următoarele:
– metoda de transmisie in-place (In Place Transmission Mode) este soluția specifică unui anumit producător prin care se criptează doar datele. Nu este afectată dimensiunea pachetelor și, prin urmare, nu sunt afectate nici mecanismele de transport.
– metoda transport (Transport Mode), prin această metodă se criptează doar segmentul de date, și prin urmare va crește mărimea pachetului. Această metodă oferă o confidențialitate adecvată a datelor pentru rețelele VPN de tip nod-nod.
– metoda tunel criptat (Encrypted Tunnel Mode), prin această metodă se criptează informația din antetul IP precum și datele și se anexează o nouă adresă IP mapată pe punctele terminale ale VPN, asigurându-se astfel o confidențialitate globală a datelor.
– metoda tunel necriptat (Nonencrypted Tunnel Mode), nu se criptează nicio componentă și toate datele sunt transportate în text clar. Această metodă nu oferă niciun mijloc de asigurarea a confidențialității datelor.
Există totuși și soluții VPN care nu realizează nicio metodă de criptare, dar care, pentru a oferi un oarecare grad de confidenșialitate a datelor, se bazează pe tehnici de încapsulare a acestora, de exemplu protocoalele de tunelare sau forwarding. Nu toate aceste protocoale utilizează un sistem criptografic pentru confidențialitatea datelor, toate datele fiind transmise în clar ne putem întreba cum o astfel de soluție ar putea asigura protecția împotriva interceptării datelor, cerință majoră in cazul rețelelor VPN.
Astfel de confuzii pot apărea din cauza terminologiei utilizate în industria de profil. Dacă utilizatorul dorește clarificarea acestor confuzii el trebuie să identifice ce mod de transmisie s-a folosit. Modurile de transmisie trebuie să fie analizate să se constate dacă sunt criptate sau necriptate ca și în cazul autentificării datelor și a utilizatorilor. În cazul în care o soluție VPN nu furnizează nicio formă de criptare în scopul confidențialității datelor, această soluție poate fi denumită mai corect Virtual Network (rețea virtuală) deoarece nimic nu este privat în această rețea între sursă și destinație.
3.8 Componente VPN
In vederea implementării VPN-ului sunt necesare câteva componente în funcție de tipul acestuia, cu acces distant sau site-to-site:
– sofware client necesar fiecărui utilizator de la distanță;
– hardware specific, un concentrator VPN sau PIX Firewall de securitate;
– VPN Server pentru serviciile dial-up;
– un server de acces la rețea (NAS-Network Access Server) utilizat de furnizorul de servicii pentru accesul utilizatorilor de la distanță la VPN;
– un centru de administrare a politicilor din rețeaua VPN.
Fig. 20 WAN clasic vs. VPN site-to-site
Patru componente principale intră în alcătuirea unei soluții VPN care se bazează pe internet: Internetul, porțile de securitate (Gateways), politicile de securitate ale serverului și autoritățile de certificare. Internetul este cel care furnizează mediul de transmitere iar porțile de securitate se află între rețeaua publică și rețeaua privată, împiedicând intruziunile neautorizate în rețeaua privată.
Acestea dispun de asemenea de capacități de tunelare și criptare a datelor înainte ca acestea să fie transmise în rețeaua publică. O poartă de securitate se poate încadra, în general, în una din următoarele categorii: routere, firewall, dispozitive dedicate VPN, hardware și software.
Routerul: Deoarece routerele trebuie să examineze și să proceseze fiecare pachet care părăsește rețeaua este necesar ca în componența acestora să fie inclusă și funcția de criptare a pachetelor. Comercianții de routere dedicate VPN oferă, de obicei, două tipuri de produse: cu suport software pentru criptare sau cu un circuit adițional echipat cu un co-procesor care se ocupă strict de criptarea datelor. Această ultimă soluție este una din cele mai bune soluții pentru cazurile în care sunt necesare fluxuri mari de date. La adăugarea de noi sarcini pentru router (criptarea) trebuie avută mare atenție, deoarece în cazul în care routerul nu poate face fața și „pică”, atunci întregul VPN devine nefuncționabil.
Exemple:
Cisco Seria 3660 Cisco Seria 1700 Cisco Seria 3620
Fig. 21 Modele de routere ce suportă VPN
Soluția bazată pe routere este cea mai bună soluție din punctul de vedere al performanțelor, dar implică un consum foarte mare de resurse, atât financiare cât și din punctul de vedere al resurselor umane, deoarece este nevoie de specialiști în securitatea rețelelor pentru a configura și întreține aceste echipamente.
Aceasta este o soluție adecvată pentru companiile mari, care au nevoie de un volum foarte mare de trafic și de un grad sporit de securitate.
Fig. 22 – Soluție VPN bazată pe routere
Firewall: O serie de comercianți de firewall includ în produsele lor capacitatea de tunelare. Ca și routerele, firewall-urile trebuie să proceseze tot traficul IP, și de aceea nu reprezintă o soluție optimă pentru tunelare în cadrul rețelor mari cu trafic foarte mare.
Soluția cea mai potrivită pentru companii cu volum redus de trafic o reprezintă combinația dintre tunelare, criptare și firewall. Ca și în cazul routerelor, dacă firewall-ul este inactiv, întreg VPN-ul devine nefuncționabil.
În cazul companiilor mici și care transferă o cantitate relativ mică de date (de ordinul 1-2 MB pe rețeaua publică), folosirea firewall-urilor pentru crearea de VPN reprezintă o soluție viabilă.
Soluția unui firewall cu VPN integrat asigură o securitate sporită (Gateway-ul VPN-ului fiind protejat de filtrele alocate pe firewall) fiind de asemenea mult mai ușor de întreținut, managementul făcându-se practic simultan pentru ambele componente.
Fig. 23 Firewall cu VPN integrat
Echipamente hardware dedicate: Utilizarea echipamentelor special proiectate să îndeplinească sarcinile de tunelare, criptare și autentificarea utilizatorilor, reprezintă o altă soluție VPN. Aceste echipamente operează ca punți de criptare, fiind amplasate între routerele rețelei și legătura WAN (legătura cu rețeaua publică). Aceste echipamente sunt proiectate pentru configurațiile LAN-to-LAN, dar unele dintre ele suportă și tunelare pentru varianta client-to-LAN.
Fig. 24 Hardware VPN – client
O firmă care nu beneficiază de resursele necesare pentru a instala și intreține diverse echipamente de rețea poate fi atrasă să integreze diverse funcții în cadrul aceluiași produs. Pornirea unui astfel de echipament este cu mult mai simplă decât instalarea unui software pe un firewall, configurarea unui router și instalarea unui server RADIUS (Remote Authentication in Dial-In User Service)
Chiar dacă multe din aceste echipamente hardware par că oferă cele mai bune performanțe pentru un VPN, tot trebuie decis câte funcții dorești să integrezi într-un singur echipament. Companiile mici, care nu dispun de personal specializat în securitatea rețelelor vor beneficia de aceste produse care integrează toate funcțiile unui VPN. Cele mai scumpe produse includ surse duble de alimentare și au caracteristici deosebite care asigură fiabilitatea funcționarii.
Performanța acestor echipamente în capacitatea lor de a susține un volum de trafic mare și un număr impresionant de tuneluri simultane, se poate depăși cu greu, ceea ce reprezintă un lucru esențial pentru companiile mari.
Exemple:
Fig. 25 Cisco VPN Seria 3002 – Hardware Client
Soluții software dedicate: În vederea creării și întreținerii tunelurilor, fie între două porți de securitate sau între un client și o poartă de securitate sunt disponibile componente software VPN. Companiile mici sunt cele care agrează aceste sisteme datorită costurilor lor reduse și deoarece aceste companii nu au nevoie să proceseze o cantitate mare de date. Serverele existente pot rula aceste soluții împărțindu-se astfel resursele. Aceasta este soluția cea mai potrivită pentru conexiunile de tipul client-to-Lan. Pe calculatorul clientului se instalează o aplicație software și se stabilește conexiunea cu serverul VPN. Dintre multele firme producătoare de astfel de aplicații, Microsoft a integrat în cele mai recente sisteme de operare lansate astfel de soluții software. Sistemul de operare Windows 2008 Server încorporeaza un Server VPN, iar sistemele de operare Windows Vista, Windows 7, încorporează un client VPN. O aplicație VPN se poate astfel realiza fără a mai instala alte produse software sau hardware, fiind necesară numai configurarea celor existente.
O alta componentă importantă a unui VPN cu excepția Gateway-urilor este reprezentată de politica de securitate a serverului, care menține listele de control al accesului și alte informații legate de utilizatori. Aceste informații sunt utilizate de porțile de securitate pentru a determina traficul autorizat.
Autoritatea de certificare este necesară pentru a verifica cheile partajate între locații și pentru realizarea verificării individuale pe baza certificatelor digitale.
Companiile mari pot opta pentru un server propriu, pentru a-și menține baza de date cu certificate digitale, dar în cazul companiilor mici intervine o terță parte reprezentată de o autoritate de încredere.
3.9 Protocoale de tunelare
După cum am afirmat, o rețea privată virtuală (VPN) este inițiată în jurul unui protocol de securizare, cel care criptează sau decriptează datele la sursă și la destinație pentru transmisia prin IP. Pentru realizarea unui tunel, clientul și serverul de tunel trebuie să folosească același protocol de tunelare.
Tehnologia de tunelare poate fi bazată pe un protocol de tunelare pe nivel 2 sau 3. Aceste nivele corespund modelului de referință OSI. Protocoalele de nivel 2 corespund nivelului legătură de date, și folosesc cadre ca unitate de schimb. PPTP, L2TP și L2F (expediere pe nivel 2) sunt protocoale de tunelare pe nivel 2; ele încapsulează încărcătura într-un cadru PPP pentru a fi transmis peste inter-rețea. Protocoalele de nivel 3 corespund nivelului rețea, și folosesc pachete. IP peste IP și Tunel IPSec sunt exemple de protocoale care încapsulează pachete IP într-un antet IP adițional înainte de a le transmite peste o inter-rețea IP.
Pentru tehnologiile de nivel 2, cum ar fi PPTP sau L2TP, un tunel este asemănător cu o sesiune; ambele capete ale tunelului trebuie să cadă de acord asupra tunelului și să negocieze variabilele de configurare, cum ar fi atribuirea adreselor, criptarea, comprimarea. În cele mai multe cazuri, datele transferate prin tunel sunt trimise folosind un protocol bazat pe datagrame. Pentru gestionarea tunelului se folosește un protocol de menținere a tunelului.
Tehnologiile de tunelarea pe nivel 3 pleacă de la premiza că toate chestiunile de configurare au fost efectuate, de multe ori manual. Pentru aceste protocoale, poate să nu existe faza de menținere a tunelului. Pentru protocoalele de nivel 2, un tunel trebuie creat, menținut și distrus.
În prezent există o mare varietate de astfel de protocoale – de exemplu L2TP, IPSec, SOCKS5, FPSecure. Unele se suprapun în funcționalitate, altele oferă funcții similare dar complementare.
În cele ce urmează vom identifica pe scurt cele mai importante caracteristici ale acestor protocoale:
Point to point tunneling protocol (PPTP), reprezintă o extensie a Point-to-Point Protocol (PPP), care încapsulează datele, IPX sau NetBEUT în pachetele IP. Acest protocol este folosit în mod fundamental de echipamentele ISP, deoarece duce la un numitor comun participanții la sesiuni de comunicații. Este cea mai cunoscută dintre opțiunile pentru securitatea transferului de date în rețeaua VPN. Dezvoltat de Microsoft și inclus în Windows NT v 4.0 pentru a fi folosit cu serviciul de rutare și acces de la distanță (Routing & Remote Access Service). Este plasat la nivelul 2 OSI.
Layer 2 forwarding (L2F) este un protocol de tip forwarding, folosit pentru tunelarea protocoalelor de nivel înalt într-un protocol de nivel 2 (legătură de date – Data Link). De exemplu, se folosesc ca protocoale L2: HDLC, HDLC asincron sau cadre SLIP. Deși această soluție facilitează conectivitatea pe linii de acces în rețele cu comutație de circuite, informația din fluxul L2F nu este criptată. Acest protocol a fost creat de Cisco. Combinat cu PPTP, constituie componentă a L2TP.
Layer 2 Tunneling Protocol, sau L2TP, este o combinație dintre un protocol al firmei Cisco Systems (L2F) și cel al firmei Microsoft denumit Point-to-Point Tunneling Protocol (PPTP). Fiind conceput pentru a suporta orice alt protocol de rutare, incluzând IP, IPX și AppleTalk, acest L2TP poate fi rulat pe orice tip de rețea WAN, inclusiv ATM, X.25 sau SONET. Cea mai importantă trăsătură a L2TP este folosirea protocolului Point-to-Point, inclus de Microsoft ca o componentă a sistemelor de operare Windows 95, Windows 98 și Windows NT. Astfel că orice client PC care rulează Windows este echipat implicit cu o funcție de tunneling, iar Microsoft furnizează și o schemă de criptare denumită Point-to-Point Encryption. În afara capacității de creare a unei VPN, protocolul L2TP poate realiza mai multe tunele simultan, pornind de la același client, de exemplu spre o bază de date a firmei și spre intranetul aceleiași firme.
Internet Protocol Security sau IPSec, este o suită de protocoale care asigură securitatea unei rețele virtuale private prin Internet. IPSec este o funcție de layer 3 și de aceea nu poate interacționa cu alte protocoale de layer 3, cum ar fi IPX și SNA. Însă IPSec este poate cel mai autorizat protocol pentru păstrarea confidențialității și autenticității pachetelor trimise prin IP. Protocolul funcționează cu o largă varietate de scheme de criptare standard și negocieri ale proceselor, ca și pentru diverse sisteme de securitate, incluzând semnături digitale, certificate digitale, chei publice sau autorizații. Încapsulând pachetul original de date într-un pachet de tip IP, protocolul IPSec scrie în header toată informația cerută de terminalul de destinație. Deoarece nu există modalități de autentificare sau criptare licențiate, IPSec se detașează de celelalte protocoale prin interoperabilitate. El va lucra cu majoritatea sistemelor și standardelor, chiar și în paralel cu alte protocoale VPN. De exemplu, IPSec poate realiza negocierea și autentificarea criptării în timp ce o rețea virtuală de tip L2TP primește un pachet, inițiază tunelul și trimite pachetul încapsulat către celălalt terminal VPN.
SOCKS 5 constituie o altă abordare a rețelelor virtuale private. Inițial produs de Aventail, SOCKS 5 este puțin mai diferit de L2TP sau IPSec: el seamănă cu un server proxy și lucrează la nivelul de socket TCP. Pentru a utiliza SOCKS 5, sistemele trebuie încărcate cu un software client dedicat. În plus, firma trebuie să ruleze un server de tip SOCK.S 5.
Partea pozitivă a lui SOCKS 5 este aceea că permite administratorilor de rețea să aplice diverse limitări și controale traficului prin proxy. Deoarece lucrează la nivel TCP, SOCKS 5 vă permite să specificați care aplicații pot traversa prin firewall către Internet și care sunt restricționate.
Principalele dezavantaje rezidă în faptul că Socks 5 adaugă un nivel de securitate prin rutarea traficului printr-un sistem proxy, ceea ce duce la performanțe în general inferioare față de protocoalele de nivel inferior. În plus el prezintă o dependență față de modul de implementare a rețelelor VPN. Deși gradul de securitate este mai ridicat în comparație cu soluțiile plasate la nivelul OSI rețea sau transport, acest supliment de securitate pretinde o administrare mult mai sofisticată a politicilor. Mai mult, pentru construirea de conexiuni printr-un sistem firewall sunt necesare aplicații client, astfel încât toate datele TCP/IP să fie transmise prin serverul proxy.
3.10 Securitatea VPN
O rețea VPN care este bine proiectată utilizează câteva metode care mențin datele și conexiunea securizate: firewall-uri, criptarea, IPSec sau server AAA. În prezent securitatea rețelei este în principal asigurată de firewall-uri, produse care pun o barieră software între resursele companiei și Internet. Firewall-urile pot fi astfel configurate incat să restricționeze numărul de porturi deschise, pot limita pachetele să treacă sau nu, însă firewall-ul nu poate încheia sesiunile VPN.
Fig. 26 Firewall-ul
Două dintre cele mai renumite firme care vând soft de firewall pentru servere Unix situate în apropierea routerului de rețea sunt CheckPoint Software Technologies și Raptor Systems. Produsele de securitate la nivel de router sunt comercializate de Cisco Systems, D-Link Networks sau Ascend Communications.
Criptarea este un proces prin cate toate datele trimise de un calculator sunt codificate într-o formă care poate fi decodificată numai de calculatorul destinatar. Se cunosc două categorii de criptare cu ajutorul calculatorului pentru majoritatea sistemelor:
– criptarea cu cheie simetrică;
– criptarea cu cheie publică.
În cazul criptarii cu cheie simetrică, fiecare calculator deține cheia secretă și o poate folosi la criptarea unui pachet de informații înainte de a-l trimite către celalalt calculator prin rețea. Această cheie simetrică impune cunoașterea perechilor de calculatoare care vor comunica între ele și din această cauză este necesară câte o cheie pentru fiecare calculator.
Criptarea cu cheie publică utilizează o combinație de cheie privată și cheie publică. Cheia privată este cunoscută doar de calculatorul personal, iar cheia publică este oferită oricărui alt calculator care dorește să comunice în mod securizat. Dacă se dorește decodificarea unui mesaj criptat, calculatorul trebuie să utilizeze cheia publică oferită de cel ce a inițiat comunicația, dar și cheia sa privată. O aplicație capabilă să cripteze aproape orice este Pretty Good Privacy (PGP).
Anterior am discutat despre unul dintre cele mai bine cunoscute protocoale VPN, IPSec, un standard de securitate utilizat de cele mai mari companii, printre care IBM, Sun sau BayNetworks pentru stabilirea comunicațiilor directe, private prin Internet.
Pe lângă mecanismele de autentificare Internet Protocol Security (IPSec) asigură caracteristici de securitate extinsă, și algoritmii de criptare avansați. IPSec dispune de două moduri de criptare: tunel și transport. Modul de criptare tunel criptează numai antetul, în timp ce modul transport criptează și datele. IPSec criptează date între echipamentele: ruter-ruter, firewall-ruter, PC-ruter, PC-server. Acest protocol protejează datele prin trei moduri diferite folosind tehnici criptografice.
– Autentificare: prin care se verifică identitatea unui host (stație de lucru).
– Verificarea integrității: prin care se semnalează orice modificări ale datelor survenite în procesul de transport prin Internet, între sursă și destinație.
– Criptarea: prin care se codifică informația ce tranzitează rețeaua, pentru a asigura caracterul său privat.
Fig. 27 Remote Access VPN cu IP Security
Serverele AAA (authentication, authorization, and accounting) sunt utilizate pentru accesurile mult mai securizate de intervențiile de la distanță. Când un client VPN solicită stabilirea unei sesiuni, serverul AAA verifică:
Autentificarea, cine este utilizatorul
Autorizarea, permisiunile utilizatorului
Contabilizarea, ce activități desfășoară utilizatorul
Această funcție este utilă atunci când se urmărește ce face clientul, în scopul facturării. În vederea oferirii unei soluții complete pentru proiectarea unei rețele VPN trebuie să se îmbine trei componente tehnologice critice: securitatea, controlul traficului și administrarea la nivelul organizației.
– Securitatea: Dintre tehnologiile importante care acoperă componenta de securitate a unei rețele VPN mentionam: controlul accesului pentru garantarea securității conexiunilor din rețea, criptarea, pentru protejarea confidențialității datelor, autentificarea, pentru verificarea identității utilizatorului, cât și integritatea datelor.
– Controlul traficului: O altă componentă critică în cazul implementarii unei rețele VPN este dată de controlul traficului, realizat cu scopul de a garanta exploatarea în siguranță, calitatea serviciilor și performanțe optime privind ratele de transfer. Sunt inevitabile zonele congestionate în urma comunicațiilor în Internet, situații impropii unor aplicații în domenniul afacerilor. Problema se poate solutiona prin stabilirea unor priorități de rutare a traficului, astfel încât transferul datelor să fie fiabil.
– Administrarea la nivelul organizației: Ultima componentă critică se referă la garantarea unei intergrări complete a rețelei VPN în politica de securitate globală, unei administrări centralizate (fie de la o consolă locală, fie de la una la distanță) și unei scalabiltăți a soluției alese.
Deoarece în cazul rețelelor VPN nu există o rețetă unică, este necesară o combinație particulară a acestor trei componente, astfel încât rezultatul practic să întrunească criteriile de evaluare mai sus menționate.
CAPITOLUL 4. PARTEA APLICATIVĂ
În ceea ce privește rețelele o parte importantă a instruirii in domeniul lor este reprezentată de activitățile de laborator cu toate că echipamentul de laborator este o resursă cam rar întâlnită. Pentru a compensa lipsa de echipament Packet Tracer oferă o simulare vizuală atât echipamentelor cât și a proceselor de rețea. Există și alte produse de simulare a echipamentelor Cisco dar ele nu includ avantajele vizuale din Packet Tracer. Furnizează o multitudine de variante pentru demonstrarea conceptelor de proiectare și configurare a rețelelor. Aplicația nu este un substituent al echipamentelor dar el permite exersarea folosind o interfată cu linii de comandă.
În modul simulare si vizualizare se pot observa si controla intervalele de timp, procesele interne ale transferului de date precum și propagarea datelor prin rețea. Perspectiva fizică a aparetelor cum ar fi routere, switch-uri și hosturi prezintă reprezentarea grafică a cardurilor și identifică capacitățile fiecărui card. Această oferă de asemenea reprezentări geografice ce includ orașe, clădiri si camere tehnice. Aplicația mai include modele de protocoale precum HTTP, DNS, TFTP, TCP, UDP, OSPF. De asemenea s-au extins și modelele existente de IP, Ethernet, ARP, Wireless, CDP, frame-relay, PPP.
Fig. 28 Packet Tracer – modele de echipamente disponibile
La realizarea rețelei am inceput prin selectarea echipamentelor necesare scopului propus. Am adaugat pentru inceput nodurile importante din rețea:
– un server principal care ajută la deservirea resurselor partajate, cum ar fi print-server, WEB hosting, file server folosit pentru stocarea sau partajarea documentelor către utilizatorii rețelei, dar și un serviciu de poștă electronică.
– două routere (modele Cisco Seria 1941) echipate fiecare cu câte două porturi Gigabit Ethernet
– două switch-uri de câte 24 porturi tip FastEthernet ce facilitează extinderea ulterioară a rețelei fără a necesita achiziționarea altor echipamente de rețea
În rețea se vor regăsi și utilizatorii finali prin cele 10 stații de lucru (desktop PC-uri).
După ce am ales toate elementele rețelei, am trecut la realizarea cablajelor. Legăturile dintre dispozitive le-am realizat prin cablaj drept (copper-straight) intre switch-uri și stațiile de lucru. Pentru a identifica dacă legătura s-a realizat corect se pot observa indicatori verzi, in caz contrar suntem avertizați prin prezența unui led roșu in dreptul legăturii.
Fig. 29 Packet Tracer Realizarea conexiunilor fizice între echipamente
După ce au fost realizate conexiunile la nivel fizic trecem la configurarea IP-urilor si DNS-urilor, ceilalti parametrii fiind calculati automat de Packet Tracer. Rețeaua am divizat-o in două subrețele fiecăreia fiindu-i atribuită o clasă de IP-uri astfel: primei subrețele i-am alocat o plajă de 254 adrese valide din subnetul 192.168.10.0/24 distribuite in ordinea importanței echipamentelor (serverul, routerul si cateva PC-uri). Celei de-a doua subrețele i-am distribuit o clasă mai mică, aceasta putând să se extindă doar pâna la 126 hosturi: 192.168.200.1 – 192.168.200.126. Routerele au fost de asemenea interconectate fizic cu ajutorul unui cablu cross-over, in realitate legătura putând fi realizată si cu un patch-cord drept ca in cazul conexiunilor intre switch-uri și calculatoare. Interconectarea logică a routerelor presupune adaugarea unor rute statice pentru ca subrețelele să poată comunica intre ele. Fiecare rută statică adaugată necesită o adresă IP de rețea, masca de subnet si urmatoarea adresă de rutare. Se poate activa și versiunea RIP pe rețelele specificate introducându-se o adresă de rețea in câmpul de rețea.
Fig. 30 Packet Tracer Rute statice
Configurarea switch-urilor oferă trei nivele generale de configurare: global, switch-ing și interfată. Prin nivelul global se oferă aceleași setări ca și la routere, prin nivelul switch-ing configurandu-se Vlan. Nivelul de configurare pe interfețe prezintă o alternativă la configurarea linie cu linie a echipamentului numai pentru caracteristicile simple si comune.
CAPITOLUL 5. CONCLUZII
În proiectarea părții fizice a rețelei am ținut cont de o serie de parametrii de rețea care afectează funcționarea rețelei. Cei mai importanți parametrii sunt prezentați:
Utilizarea rețelei
Încărcarea rețelei
Capacitatea lățimii de bandă
Întârzierea rețelei
Întârzierea nodală totală
Modelarea performanței Ethernet. Măsurarea capacității Ethernet
Timpul de răspuns al rețelei suferă pe măsură ce crește încărcarea acesteia, iar la creșteri semnificative ale traficului (din punct de vedere al utilizatorului) performanța descrește foarte mult. Aceasta deoarece în Ethernet numărul de coliziuni crește odată cu creșterea încărcării
rețelei, cauzând retransmisii care încarcă și mai mult rețeaua, producând mai multe coliziuni, această supraîncărcare conducând considerabil la îngreunarea traficului.
Făcând o comparație din punct de vedere al costurilor mediilor de transmisie se poate observa așa cum este arătat și în figură, că, în timp, costul pentru comunicații radio devine similar și chiar mai mic cu costul pentru comunicațiile prin fire.
Cu toate acestea, deoarece beneficiarul este o companie cu un buget mare, acesta își permite să suporte aceste diferențe de cheltuieli.
Având în vedere că majoritatea echipamentelor de la ora actuală sunt conforme cu standardul 802.11, am ținut seama de următoarele recomandări:
• rețeaua nu trebuie considerată sigură nici dacă, din punct de vedere geografic, este amplasată într-o zonă sigură.
• toate opțiunile de securitate de pe AP și client trebuie activate;
• confidențialitatea comunicațiilor poate fi îmbunătățită prin folosirea unor măsuri suplimentare de criptare/decriptare;
• combinarea tuturor măsurilor de securitate (SSID, filtrarea adreselor MAC si WEP) în cazul 802.11 este binevenită;
• introducerea unui management al cheilor este, de asemenea, binevenită.
Dacă aceste măsuri se dovedesc insuficiente, trebuie luate în considerare și evoluțiile standardului 802.11, chiar dacă implementarea acestora presupune o creștere considerabilă a costurilor.
Factorii care contribuie la viteza rețelei și care afectează performanțele componentei fizice din rețele, presupunând că viteza din legături este optimă sunt:
• viteza de procesare a plăcii de bază
Placa de bază (și în particular procesorul) trebuie actualizată la 18 luni, deoarece viteza de lucru a plăcii de bază (motherboard) poate scădea performanțele rețelei.
• viteza de transfer a harddiscului
Performanța discului constând în cantitatea de informație citită sau scrisă de disc într-o
secundă constituie de obicei o gâtuire primară a performanței de rețea.
Putem spori performanțele discului prin folosirea unui disc mai rapid, care are o interfață
mai eficientă și care procesează la un moment dat o cantitate mai mare de informație și nu în
ultimul rând are o capacitate mai mare de stocare.
Ultimele generații de harddiscuri sunt mai rapide (peste 10k rotații per minut) și au interfețe de tip SCSI, IDE, Fibre Channel.
Actualizarea driver-ului de disc și a interfeței acestuia va crește cu siguranță performanța rețelei.
• adaptorul de rețea
Adaptorul de rețea este un dispozitiv care conectează fizic calculatorul la rețea.
Există posibilitatea în viitor,în funcție de cerințe de a crește viteza rețelei și prin cumpărerea unui adaptor de rețea mai rapid. Aceasta este o cale simplă de a spori viteza rețelei, presupunând de asemenea și achiziționarea unui hub sau comutator mai rapid.
• hubul sau comutatorul Ethernet
Acestea servesc drept puncte centrale de conectare precum și transport al datelor.
Comutatorul trebuie să suporte aceleași viteze cu adaptoarele de rețea folosite de acestea pentru rețea . Trebuie folosite huburi și comutatoare care suportă vitezele adaptoarelor de rețea, pentru a nu limita calculatoarele de mare viteză.
Comutatoarele sunt mai eficiente decât huburile în rețelele de mare viteză.
• serverul de rețea
În rețelele de la egal-la-egal am preferat ca serverul care le administrează să fie
dedicat acestui scop. De asemenea, e indicat la dezvoltarea în viitor a rețelei, ca serverul pentru aplicații să fie separat de serverul de poștă și de serverul de backup. În acest fel, prin împărțirea sarcinilor pe mai multe servere va crește lățimea de bandă disponibilă a rețelei.
• aplicația de rețea
Software-ul folosit pentru transferul datelor prin rețea trebuie periodic actualizat, astfel că au fost alese adaptoare ce se pot actualiza din când în când. Acest factor ține de managementul logic al rețelei.
• protocolul de transport folosit (TCP/IP sau altul)
În urma testelor din această lucrare se poate trage o concluzie cu privire la tipul protocolului de transport folosit, iar acesta trebuie să fie ales în funcție de ceea ce se dorește să se transporte.
• Internet partajat
Performanța rețelei este de asemenea limitată și de factori externi (din afara rețelei locale), precum conexiunea la Internet.
Performanța trebuie asigurată pe rețeaua locală și abia după ce am optimizat-o conectăm la Internet.
Avand în vedere că la proiectarea rețelei am ținut cont de toate cele de mai sus, am reușit încadrarea în buget.
Datorită proiectării și realizării acestei rețele cu o investiție care a putut fi suportată cu ușurință de beneficiar, precum și prin conectarea ei s-a creat posibilitatea de acces securizat la aceasta în timp real, minimizându-se astfel la maxim timpii de acces la informații.
BIBLIOGRAFIE
Iosif Praoveanu – „Rețele de calculatoare”, Editura universității Titu Maiorescu, 2009
Held G., Hundley K. – “CISCO – arhitecturi de securitate”, Editura Teora, 2000
Ogletree T.W. – “Firewalls. Protecția rețelelor conectate la Internet”, Editura Teora, 2002
Ziegler R.L. – “Firewalls. Protejarea sistemelor Linux”, Editura Teora, 2003
SamsNet – “Securitatea în internet”, Editura Teora, 2000
McClure S., Scambray J., Kurtz G. – “Securitatea rețelelor”, Editura Teora, 2001
Norton P., Kearns D., – “Rețele de calculatoare”, Editura Teora, 2000
Ogletree T. – “Rețele de calculatoare – depanare și modernizare”, Editura Teora, 1999
Kilmer W. – “Rețele de calculatoare și Internet pentru oameni de afaceri”, Editura Teora, 2003
Parker T., Sportack M. – “TCP/IP”, Editura Teora, 2002
Internet
BIBLIOGRAFIE
Iosif Praoveanu – „Rețele de calculatoare”, Editura universității Titu Maiorescu, 2009
Held G., Hundley K. – “CISCO – arhitecturi de securitate”, Editura Teora, 2000
Ogletree T.W. – “Firewalls. Protecția rețelelor conectate la Internet”, Editura Teora, 2002
Ziegler R.L. – “Firewalls. Protejarea sistemelor Linux”, Editura Teora, 2003
SamsNet – “Securitatea în internet”, Editura Teora, 2000
McClure S., Scambray J., Kurtz G. – “Securitatea rețelelor”, Editura Teora, 2001
Norton P., Kearns D., – “Rețele de calculatoare”, Editura Teora, 2000
Ogletree T. – “Rețele de calculatoare – depanare și modernizare”, Editura Teora, 1999
Kilmer W. – “Rețele de calculatoare și Internet pentru oameni de afaceri”, Editura Teora, 2003
Parker T., Sportack M. – “TCP/IP”, Editura Teora, 2002
Internet
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Implementarea Si Monitorizarea Retelei Unei Organizatii (ID: 141042)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.