SPŠ a VOŠ Písek, Písek, K. Čapka 402. Učební texty. Datové sítě IV. Vypracovala: Ing. Daniela Krupičková

Transkript

1 Učební texty Datové sítě IV Vypracovala: Ing. Daniela Krupičková CZ.1.07/2.1.00/ ICT moderně a prakticky 1

2 Obsah 1. Sítě LAN... 4 Architektura sítí LAN... 4 Logická a fyzická struktura sítě... 5 Výhody hierarchického uspořádání sítě... 5 Konvergované a nekonvergované sítě Přepínače... 6 Obecná charakteristika... 6 Základní funkce přepínačů Protokol STP (Spanning Tree Protocol) Základní pojmy Druhy STP Činnost STP Stavy portů protokolu STP Konvergence Funkce PortFast protokolu STP Funkce UplinkFast protokolu STP Funkce BackboneFast protokolu STP Protokol RSTP (Rapid Spanning Tree Protocol) Virtuální sítě LAN (VLAN) Úvod do problematiky VLAN Druhy VLAN Konfigurace statické VLAN Druhy portů Značkování rámců (Frame Tagging) Metody identifikace VLAN Změny nebo úpravy nativní trunkové sítě VLAN Protokol VTP (VLAN Trunking Protocol) Režimy činnosti VTP VTP domény Redukce VTP (Pruning) Konfigurace protokolu VTP CZ.1.07/2.1.00/ ICT moderně a prakticky 2

3 6. Směrování mezi VLANy (Inter-VLAN Routing) Konfigurace směrování mezi různými VLANy Bezdrátové technologie WiFi Technologie WiFi Komponenty bezdrátových sítí Druhy útoků na WiFi síť Zabezpečení WiFi sítí Komunikace klient AP Přístupová metoda CSMA/CA Konfigurace bezdrátové datové sítě příklad Otázky k procvičení Výukové cíle Orientovat se v problematice sítí LAN (hierarchická struktura, síťové komponenty), vysvětlit funkci a vlastnosti přepínačů, ovládat jejich základní konfiguraci. Chápat princip, vlastnosti, účel a použití protokolů VTP a STP. Vysvětlit a používat nastavení virtuálních sítí VLAN, rozumět důvodům použití směrovače při konfiguraci sítě s VLANy, orientovat se v základní problematice bezdrátových sítí WiFi. Předpokládané vstupní znalosti a dovednosti Úspěšné zakončení modulu: DASI, DASII a DASIII CZ.1.07/2.1.00/ ICT moderně a prakticky 3

4 1. Sítě LAN Architektura sítí LAN Hierarchický síťový model Umožňuje snadnou administraci, rozšiřitelnost a odstraňování problémů Rozděluje síť na oddělené vrstvy - každá vrstva plní svou specifickou funkci Nejčastěji se síť rozděluje do tří vrstev přístupová, distribuční a páteřní Páteřní Distribuční Přístupová Přístupová vrstva Zajišťuje propojení vyšších vrstev sítě s koncovými zařízeními (IP telefony, PC, tiskárny, notebooky,...) Může zahrnovat také směrovače, přepínače, mosty, rozbočovače nebo přístupové body bezdrátové sítě Hlavním účelem této vrstvy je zajistit propojení koncových zařízení s vyššími vrstvami sítě Distribuční vrstva Sdružuje data přijatá z přepínačů na přístupové vrstvě Data jsou předává dále páteřní vrstvě, kde jsou směrována do cílových sítí CZ.1.07/2.1.00/ ICT moderně a prakticky 4

5 Řídí síťový provoz, vymezuje broadcast domény, zajišťuje směrování mezi VLANy VLAN rozděluje sítě LAN na podsítě podle účelu (fakulta, studenti, hosté) Obsahuje výkonné přepínače Páteřní vrstva Představuje vysokorychlostní páteř pro přeposílání dat mezi sítěmi Logická a fyzická struktura sítě Logická struktura - schéma propojení jednotlivých síťových komponent Fyzická struktura - rozmístění síťových komponent v rámci budovy (kampusu) Výhody hierarchického uspořádání sítě Hierarchicky strukturované sítě lze snadno rozšiřovat Distribuční a páteřní úroveň sítě je obvykle naddimenzovaná a zálohovaná, což zajišťuje její snadnou dostupnost z nižších úrovní sítě Výkonnost sítě se zajišťuje použitím vysokorychlostních přepínačů na distribuční a páteřní úrovni a nízkou agregací Bezpečnost je zajištěna na úrovni přístupové sítě (přístupová hesla apod.) i na úrovni distribuční sítě (komunikační protokoly) Snadná ovladatelnost - každá vrstva tohoto uspořádání plní své specifické funkce Modulární a hierarchická struktura umožňuje snadnou rozšiřitelnost sítě, aniž by se výrazně zvýšily nároky na její údržbu Konvergované a nekonvergované sítě Nekonvergované sítě - oddělené hlasové, video a datové služby Konvergence je proces spojující hlas a video v datových sítích - přenos v reálném čase = náročné na rychlost datového toku a síťová zařízení, tyto sítě vyžadují vysokou QoS (Quality of Service) CZ.1.07/2.1.00/ ICT moderně a prakticky 5

6 2. Přepínače Obecná charakteristika Pracují na 2.vrstvě OSI (v LAN) Segmentují sítě zmenšují a tříští kolizní domény Neprovádějí fragmentaci rámců (předpoklad stejných síťových segmentů) Používají se v prostředí lokálních sítí, nepřipojují se k rozlehlým sítím Realizují dedikované propojení - každá stanice dostane jen rámce jí určené a rámce posílané na všeobecnou adresu Rámec, který přepínač nezpracuje, zahazuje a zdrojová stanice se o zničení rámce nedozví Režimy zpracování rámců Režim ulož a pošli (store and forward) Rámce se nejprve celé načtou a uloží Zdrojová MAC Cílová MAC DATA CRC CZ.1.07/2.1.00/ ICT moderně a prakticky 6

7 Poté se zjišťuje, na který výstupní port se má rámec poslat, a to na základě porovnání cílové MAC v rámci a tabulce MAC adres Přepínací tabulka (Switching Table) Podle kontrolního součtu CRC se provede kontrola rámců (zničení chybných rámců) CRC Vlastnosti a použití Nižší výkon vnitřního přepínání Vhodné v sítích s vysokou chybovostí CZ.1.07/2.1.00/ ICT moderně a prakticky 7

8 Režim průběžného zpracování (cut-through, on the fly) Ihned po zjištění cílové MAC a výstupního portu začne přepínač vysílat rámec na výstupní port, aniž by dokončil jeho příjem Neprovádí kontrolní součet ani jinou kontrolu rámce Vlastnosti a použití Efektivní je využit maximální výkon přepínače Používá se ve spolehlivých sítích s minimálním počtem chybných rámců Přepínání na 3. vrstvě OSI Přepínače 3.úrovně mohou směrovat data na základě IP adresy Mohou směrovat pakety mezi různými LAN segmenty podobně jako routery, ale nemohou je ve všech funkcích zcela nahradit Základní funkce přepínačů Zjišťování adresy pamatují si zdrojovou HW adresu (MAC) každého přijatého rámce a ukládají ji do tabulky MAC adres Rozhodování o předávání a filtrování pokud je na rozhraní přijat rámec, přepínač zjistí jeho cílovou MAC adresu, v tabulce MAC adres vyhledá výstupní rozhraní a vyšle ho na cílový port Prevence vzniku smyček síťové smyčky vznikají v případě použití redundantních spojení (nadbytečná spojení pro zajištění vyšší spolehlivosti), k odstranění smyček při zachování redundance se používá protokol STP CZ.1.07/2.1.00/ ICT moderně a prakticky 8

9 Zjišťování adresy Při prvním zapnutí přepínače je jeho MAC tabulka prázdná Linkový rámec Zdrojová MAC1 Cílová MAC2 Port 1 Port 2 PC1 (MAC1) PC2 (MAC2) Port 3 Tabulka MAC adres Port 1 Port 2 Port 3 PC3 (MAC3) Po přijetí rámce od koncového zařízení (PC1) si přepínač uloží zdrojovou adresu (MAC1) do tabulky MAC adres (přepínací tabulky) Protože nemá informace o tom, na kterém portu je připojen cílový počítač (PC2) s cílovou adresou (MAC2), rozešle rámec na všechny své porty s výjimkou portu, ze kterého rámec přišel (chová se jako rozbočovač) Linkový rámec Zdrojová MAC1 Cílová MAC2 Port 1 Port 2 Linkový rámec Zdrojová MAC1 PC1 (MAC1) Cílová MAC2 Port 3 PC2 (MAC2) Tabulka MAC adres Port 1 MAC1 Port 2 Port 3 PC3 (MAC3) CZ.1.07/2.1.00/ ICT moderně a prakticky 9

10 Koncové zařízení PC2 obdrží rámec od PC1 a odpoví Přepínač si uloží MAC adresu PC2 (MAC2) do své tabulky MAC adres a rámec pošle pouze na Port 1, protože jeho tabulka MAC adres už potřebnou informaci obsahuje (portu 1 je přiřazena MAC adresa MAC1) Linkový rámec Zdrojová MAC2 Cílová MAC1 Port 1 Port 2 PC1 (MAC1) Port 3 Tabulka MAC adres PC2 (MAC2) Port 1 Port 2 MAC1 MAC2 Port 3 PC3 (MAC3) Rozhodování o předávání a filtrování Filtrování rámců (Frame Filtering) Cílová HW adresa rámce je porovnána s databází MAC adres (tabulka MAC adres) Jestliže je cílová MAC adresa známa a uvedena v databázi, je rámec odeslán z odpovídajícího výstupního rozhraní (tento způsob rozesílání rámců šetří šířku pásma v jiných síťových segmentech) Pokud cílová MAC adresa není uvedena v tabulce MAC adres, je rámec hromadně rozeslán na všechna aktivní rozhraní (s výjimkou rozhraní odkud byl rámec doručen) CZ.1.07/2.1.00/ ICT moderně a prakticky 10

11 Tabulka MAC adres Přepínač si vytváří tabulku MAC adres, ve které jsou obsaženy všechny uzly připojené na jeho porty Tabulku MAC adres můžeme zobrazit příkazem Switch#show mac address-table Mac Address Table Vlan Mac Address Type Ports a.b5e2 DYNAMIC Fa0/ c9bd.ee33 DYNAMIC Fa0/ a330.8a2b DYNAMIC Fa0/ a.8d85 DYNAMIC Fa0/ d3e DYNAMIC Fa0/5 1 00d0.58a4.752e DYNAMIC Fa0/2 Informace v tabulce se uchovávají po dobu 300s. Pokud na danou adresu nepřijde po tuto dobu žádný rámec, jsou z tabulky vymazány Pokud jsou informace v MAC tabulce neplatné (například z důvodu přepojení sítě) můžeme ji smazat příkazem Switch#clear mac address-table Switch#show mac address-table Mac Address Table Switch# Vlan Mac Address Type Ports CZ.1.07/2.1.00/ ICT moderně a prakticky 11

12 Zabezpečení portů Slouží k zabránění neoprávněného připojení koncového zařízení nebo rozbočovače na port přepínače Switch(config)#interface fa0/7 Switch(config-if)#switchport port-security? mac-address Secure mac address maximum Max secure addresses violation Security violation mode Každému portu lze přiřazovat koncové zařízení s konkrétní MAC adresou, to je časově velmi náročné Switch(config-if)#switchport port-security mac-address 0030.A330.8A2B Port lze nastavit tak, aby umožňoval připojení pouze jediného koncového zařízení (toho, které se připojí jako první) maximum 1 V případě pokusu o připojení jiného zařízení se port vypne violation shutdown Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#switchport port-security violation shutdown K danému portu můžeme přilepit (sticky) první MAC adresu Tato MAC adresa se bude v tabulce MAC adres jevit jako static. Switch(config)#int fa0/5 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security maximum 2 Switch(config-if)#switchport port-security violation shutdown CZ.1.07/2.1.00/ ICT moderně a prakticky 12

13 Prevence vzniku smyček Výhody redundantních spojení Redundantní spojení - nadbytečná spojení mezi přepínači Redundance v sítích LAN slouží jako prevence ztráty spojení při selhání síťových prvků Propojení přepínačů bez redundance Propojení přepínačů s redundantními spoji, vznik smyček Nevýhody redundantních spojení Díky redundantním spojům mohou vznikat v sítích LAN smyčky Ethernetovské rámce nemají počítadla TTL, která by je po určité době zlikvidovala, proto rámce mohou ve smyčkách obíhat donekonečna a stále se množit Rámce se mohou šířit po všech redundantních smyčkách současně CZ.1.07/2.1.00/ ICT moderně a prakticky 13

14 Zálohování (redundance) může mít za následek až odstavení sítě Přepínače rozesílají všesměrová vysílání po celé datové síti, ve smyčce dochází k všesměrové bouři (broadcast storm) Zařízení může přijmout více kopií téhož rámce, který dorazí z různých směrů (zvýšení zátěže sítě) Přepínač může přijmout rámec z různých míst v síti neustále aktualizuje svou tabulku MAC adres, což omezuje jeho činnost Vícenásobné smyčky smyčky v rámci jiných smyček CZ.1.07/2.1.00/ ICT moderně a prakticky 14

15 3. Protokol STP (Spanning Tree Protocol) STP (Spanning Tree protocol) - protokol přemosťovacího stromu STA (Spanning Tree Algorithm) - nejprve vytvoří topologickou databázi a poté vyhledá a zablokuje redundantní linky, aby vznikla stromová (bezsmyčková) topologie Rámce jsou předávány pouze po vybraných nejlepších spojích, které byly zvoleny na základě protokolu STP Základní pojmy Root Bridge Kořenový most Most s nejlepší (nejnižší) hodnotou ID Je zvolen ostatními přepínači v síti Slouží jako ústřední bod sítě BPDU (Bridge Protocol Data Unit) Datová jednotka přemosťovacího protokolu Slouží k výměně informací mezi přepínači (volba Root Bridge, následná konfigurace sítě) Bridge ID ID mostu Pomocí ID sleduje STP všechny přepínače v síti Jeho hodnota závisí na kombinaci priority mostu (Cisco standardně ) a základní MAC adresy CZ.1.07/2.1.00/ ICT moderně a prakticky 15

16 Jiné než kořenové mosty Všechny ostatní mosty vyjma kořenových Vyměňují si BPDU se všemi ostatními mosty a aktualizují databázi STP Zabraňují vzniku smyček a zajišťují ochranu před výpadkem linek Cena portu Určuje optimální trasu, když žádná z linek nevede ke kořenovému portu Cena portu je odvozena od šířky pásma linky Kořenový port (Root Port) Označuje linky připojené ke kořenovému mostu (nejkratší trasu ke kořenovému mostu) Designated Port Určený port Port, u kterého byly zjištěny nejnižší náklady (cena) Je určen pro přeposílání rámců Non-designated Port Neurčený port Má vyšší náklady než určený port Není určen pro přeposílání rámců Forwarding Port Předávací port, přeposílá rámce Blocking Port Blokovaný port, nepřeposílá rámce CZ.1.07/2.1.00/ ICT moderně a prakticky 16

17 S2 F0/2 Non - Designated Port F0/1 Root Port Trunk 3 Root Bridge Designated Port F0/2 S3 F0/1 Designated Port Trunk 2 Trunk 1 F0/2 Designated Port S1 F0/1 Root Port Druhy STP CST Common Spanning Tree IEEE 802.1d pro všechny VLANy jediná instance STP PVST Per-VLAN Spanning Tree IEEE 802.1d pro každou VLANu samostatná instance STP, používá ISL trunk PVST+ Per-VLAN Spanning Tree + IEEE 802.1d používá 802.1q trunk RSTP Rapid Spanning Tree Protocol IEEE 802.1w rychlá konvergence (cca 1s), revizí 2004 sloučen do 802.1d RPVST+ Rapid Per-VLAN Spanning Tree + IEEE 802.1w RST běží pro každou VLANu zvlášť MSTP Multiple Spanning Tree Protocol IEEE 802.1s rychlé jako RST, umožňuje mapovat několik VLAN do jedné STP instance, běží nad RSTP, revizí 2003 sloučen do 802.1q CZ.1.07/2.1.00/ ICT moderně a prakticky 17

18 Činnost STP Výběr kořenového mostu (Root Bridge) K výběru slouží hodnota ID ID má délku 8 bajtů, obsahuje prioritu (defaultně ) + MAC adresu Pokud mají dva přepínače stejnou prioritu, pro volbu kořenové ho mostu se používá MAC adresa Kořenovým mostem se stává ten přepínač, jehož MAC adresa je nižší ID ID MAC BDC.5D83 MAC 0007.ECD6.68C7 S2 S3 S3#show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority Address 0007.ECD6.68C7 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority (priority sys-id-ext 1) Address 0007.ECD6.68C7 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20 CZ.1.07/2.1.00/ ICT moderně a prakticky 18

19 S2#show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority Address 0007.ECD6.68C7 Cost 19 Port 2(FastEthernet0/2) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority (priority sys-id-ext 1) Address BDC.5D83 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20 Změny kořenového mostu lze dosáhnout změnou priority zvoleného přepínače S2(config)#spanning-tree vlan 1 priority 4096 S2#show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 4097 Address BDC.5D83 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 4097 (priority 4096 sys-id-ext 1) Address BDC.5D83 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20 Stavy portů protokolu STP Blocking (Blokování) Blokování portu zabraňuje vzniku smyček Blokovaný port nepředává rámce Naslouchá datovým jednotkám přemosťovacího protokolu (BPDU) V tomto stavu jsou defaultně všechny porty po zapnutí přepínače CZ.1.07/2.1.00/ ICT moderně a prakticky 19

20 Listening (Naslouchání) Naslouchá datovým jednotkám přemosťovacího protokolu (BPDU) Je připraven k předání datových rámců bez zaplnění tabulky MAC adres Learning (Zjišťování) Naslouchá datovým jednotkám přemosťovacího protokolu (BPDU) Zjišťuje všechny trasy v přepínané síti Vyplňuje tabulku MAC adres Nepředává datové rámce Přechod z režimu Listening do režimu Learning = zpoždění předávání (Forward Delay), standardně je nastaveno na 15 s Forwarding (Předávání) Port odesílá a přijímá všechny datové rámce na přemostěném portu Disabled (Zakázán) Port v tomto stavu nefunguje Byl administrativně odstaven Konvergence Stav konvergence nastává, když jsou všechny porty přepínačů v režimu předávání nebo blokování Během dosahování stavu konvergence nedochází k přenosu hostitelských dat (nepřenášejí se datové rámce) V tomto stavu mají všechna zařízení stejnou databázi CZ.1.07/2.1.00/ ICT moderně a prakticky 20

21 Funkce PortFast protokolu STP Přechod z režimu blokování do režimu předávání trvá 50 sekund To může způsobit například problémy při získávání IP adres z DHCP serveru (konvergence STP může trvat za běžných podmínek tak dlouho, že mezitím vyprší časový limit požadavku DHCP) Použití této funkce urychlí STP konvergenci, ale vyžaduje zvýšenou opatrnost (musíme si být jistí, že při vypnutí STP na daném portu nemůže vzniknout smyčka) Na trunk portech mezi přepínači se obvykle funkce PortFast nepoužívá S2(config)#interface fa0/1 S2(config-if)#spanning-tree portfast %Warning: portfast should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc... to this interface when portfast is enabled, can cause temporary bridging loops. Use with CAUTION %Portfast has been configured on FastEthernet0/1 but will only have effect when the interface is in a non-trunking mode. Konfigurace více portů současně (porty fa0/1 až fa0/12) S2(config)#interface range fa0/1-12 S2(config-if-range)#spanning-tree portfast BPDUGuard Používá se v kombinaci s příkazem PortFast Ochraňuje port, který je určen pro koncovou stanici nebo server Pokud na tento port přijde BPDU, port se vypne (error-disable) BPDUFilter Slouží k filtrování STP provozu na portech určených pro koncovou stanici nebo server Zabrání přijímání a odesílání BPDU paketů CZ.1.07/2.1.00/ ICT moderně a prakticky 21

22 Switch(config)#int f0/1 Switch(config-if)#spanning-tree bpduguard enable Switch(config-if)#%SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/1 with BPDU Guard enabled. Disabling port. Switch(config-if)#spanning-tree bpdufilter enable Funkce UplinkFast protokolu STP Zkracuje čas konvergence STP v případě selhání linky (přepínač může najít alternativní trasy před výpadkem primárního spojení) Lze použít tehdy, pokud má přepínač alespoň jeden alternativní nebo záložní kořenový port (ve stavu blokování) Používá se u přepínačů přístupové vrstvy Switch(config)#spanning-tree uplinkfast Funkce BackboneFast protokolu STP Používá se k urychlení konvergence v případě, že dojde k selhání linky, jež není přímo připojená k přepínači Umožňuje detekci nepřímých výpadků linky Urychluje začátek rekonfigurace protokolu STP až o 20 sekund Switch(config)#spanning-tree backbonefast Protokol RSTP (Rapid Spanning Tree Protocol) Původní protokol STP podle standardu IEEE 802.1d je proprietárním protokolem firmy Cisco Protokol RSTP podle standardu IEEE802.1w je kompatibilní pro přepínače i od jiných výrobců CZ.1.07/2.1.00/ ICT moderně a prakticky 22

23 Pro správnou funkci musí být nastaven na všech přepínačích v dané síti Řeší problémy původního STP protokolu s rychlostí konvergence Switch(config)#spanning-tree mode rapid-pvst Switch(config)#do show spanning-tree VLAN0001 Spanning tree enabled protocol rstp Root ID Priority Address 0007.ECD6.68C7 Cost 19 Port 1(FastEthernet0/1) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority (priority sys-id-ext 1) Address 00D0.BCC9.7D3C Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20 Interface Role Sts Cost Prio.Nbr Type Fa0/1 Root FWD P2p Fa0/2 Altn BLK P2p CZ.1.07/2.1.00/ ICT moderně a prakticky 23

24 4. Virtuální sítě LAN (VLAN) Úvod do problematiky VLAN Bez použití VLAN Do jedné skupiny počítačů patří ty, které jsou připojené na jeden přepínač (například na jednom patře budovy) Počítače dané skupiny připojené na daný přepínač tvoří jednu broadcast doménu Každé oddělení má svou síť s jinou adresou Jednotlivé sítě jsou spojeny přes směrovač Studenti Učitelé Administrativa CZ.1.07/2.1.00/ ICT moderně a prakticky 24

25 S použitím VLAN Skupiny lze vytvářet libovolně bez vazby na přepínač (na témže přepínači lze použít různé porty pro různé VLANy) Vytvoření VLAN umožňuje dělit síť logicky podle funkce, druhu uživatelů nebo používaných aplikací, nejen podle fyzického a prostorového uspořádání Výhody Změny v síti (přidávání, přesuny stanic) lze provést pouze konfigurací portu do příslušné VLAN Sítě VLAN značně posilují zabezpečení sítě (skupinu uživatelů, kteří vyžadují mimořádnou úroveň zabezpečení, lze přesunout do vlastní VLAN) VLANy zvyšují počet všesměrových domén a snižují jejich velikost (každý broadcast se šíří pouze v rámci dané VLANy) Studenti Učitelé Administrativa CZ.1.07/2.1.00/ ICT moderně a prakticky 25

26 Druhy VLAN Statická VLAN Porty se ručně přiřadí do VLAN Nejobvyklejší a nejbezpečnější způsob konfigurace Statické VLAN se konfigurují pomocí příkazového řádku nebo pomocí grafického rozhraní Dynamická VLAN Porty se přiřazují automaticky podle MAC adresy Porty přiřazuje VLAN server (VMPS VLAN Membership Policy Server) Když se stanice přestěhuje na jiný port nebo dokonce switch, server automaticky přiřadí port správné VLAN Hlasová VLAN Port se konfiguruje tak, aby podporoval IP telefon Nejdřív musíme vytvořit jednu VLAN pro hlas a druhou pro data Síť musí být konfigurována tak, aby hlasový provoz přenášela přednostně Když poprvé připojíme VoIP telefon k portu v hlasovém módu, přepínač poskytne telefonu VLAN ID a konfiguraci Telefon pak označuje svoje rámce tímto přiděleným ID a síť hlasové rámce přenáší po hlasové VLAN VLAN 1 Defaultní VLAN, patří do ní všechny porty přepínače, pokud nejsou nakonfigurovány jiné VLAN Nelze ji změnit ani odstranit Slouží jako nativní síť všech přepínačů Cisco doporučuje, aby byla tato síť používána pro administrativní účely CZ.1.07/2.1.00/ ICT moderně a prakticky 26

27 Konfigurace statické VLAN Pokud nejsou VLAN nakonfigurovány, všechny porty patří do VLAN1 Switch#show vlan VLAN Name Status Ports default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gig1/1, Gig1/2 Vytvoření tří samostatných sítí VLAN (VLAN s identifikátorem 2 a se jménem Ucitele, VLAN s identifikátorem 3 a se jménem Studenti a VLAN s identifikátorem 4 a se jménem Administrativa) Switch(config)#vlan 2 Switch(config-vlan)#name Ucitele Switch(config-vlan)#vlan 3 Switch(config-vlan)#name Studenti Switch(config-vlan)#vlan 4 Switch(config-vlan)#name Administrativa CZ.1.07/2.1.00/ ICT moderně a prakticky 27

28 Switch#show vlan VLAN Name Status Ports default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gig1/1, Gig1/2 2 Ucitele active 3 Studenti active 4 Administrativa active Přiřazení portů přepínače do sítí VLAN Pro přiřazení více portů najednou lze použít příkaz interface range Switch(config)#interface fastethernet0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 2 Switch(config-if)#int fa0/2 Switch(config-if)#sw mode access Switch(config-if)#sw access vlan 2... Switch(config-if)#int fa0/12 Switch(config-if)#sw mode access Switch(config-if)#sw access vlan 4 CZ.1.07/2.1.00/ ICT moderně a prakticky 28

29 Switch#show vlan VLAN Name Status Ports default active Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gig1/1, Gig1/2 2 Ucitele active Fa0/1, Fa0/2, Fa0/3, Fa0/4 3 Studenti active Fa0/5, Fa0/6, Fa0/7, Fa0/8 4 Administrativa active Fa0/9, Fa0/10, Fa0/11, Fa0/12 Druhy portů Přístupové porty (Access Ports) Patří do jediné sítě VLAN, přenášejí provoz pouze této sítě Provoz se přijímá a odesílá v nativním formátu (bez značkování) Trunkové porty Dvoubodové spojení mezi přepínači, přepínačem a směrovačem nebo přepínačem a serverem, které přenáší provoz do více různých sítí VLAN Bez trunků Pro každou VLAN musí být mezi přepínači jeden fyzický spoj a na každém přepínači jeden port, protože běžné porty v módu access je možno přiřadit jen do jedné VLAN na každém přepínači je třeba vyhradit port pro každou VLAN CZ.1.07/2.1.00/ ICT moderně a prakticky 29

30 VLAN20 Studenti /24 VLAN30 Učitelé /24 VLAN10 Administrativa /24 S trunky Pro všechny VLANy stačí jeden společný spoj ( = trunk) VLAN20 Studenti /24 VLAN30 Učitelé /24 VLAN10 Administrativa /24 Konfigurace trunkových portů Switch(config)#int fa0/16 Switch(config-if)#switchport mode trunk %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/16, changed state to up CZ.1.07/2.1.00/ ICT moderně a prakticky 30

31 DTP (Dynamic Trunking Protocol) Pro přepínače firmy Cisco F0/1 switchport mode trunk F0/1 switchport mode trunk S1 F0/3 switchport mode dynamic auto F0/3 switchport mode dynamic auto S2 S3 Switchport mode trunk Převede rozhraní do trvalého trunkového režimu a vyjedná převod sousední linky na trunkovou Zůstává trvale v trunking módu Switchport mode dynamic auto Dokáže převést linku na trunkovou Rozhraní se změní na trunk, jestliže je sousední rozhraní nastaveno do režimu trunk nebo desirable Výchozí režim u všech nových Cisco přepínačů Switchport mode dynamic desirable Rozhraní se aktivně pokusí převést linku na trunkovou, pokud je sousední rozhraní nastaveno do trunkového, desirable nebo dynamic auto režimu Switchport negotiate Zabrání generování rámců DTP rozhraním Používá se, pokud je rozhraní nastaveno jako access nebo trunk CZ.1.07/2.1.00/ ICT moderně a prakticky 31

32 Značkování rámců (Frame Tagging) Tato metoda každému rámci přiřazuje jedinečnou uživatelsky definovanou hodnotu ID Když PC z datové VLAN vyšle datový rámec, je tento rámec označen značkou VLAN ID Tato značka určuje, do které VLAN rámec patří Přepínač po doručení rámce zjistí ID sítě VLAN Ve filtrovací tabulce určí, zda se rámec předá na další přepínač přes trunk nebo zda se pošle na přístupový port Pokud má být rámec předán na přístupový port, odstraní přepínač identifikátor sítě VLAN V případě, že by nebyl identifikátor odstraněn, rámec by byl zahozen Metody identifikace VLAN Inter-Switch Link Dovoluje explicitně značkovat informace sítě VLAN do rámce Ethernet Externí metoda zapouzdření (ISL) Zapouzdřuje datový rámec s novým záhlavím a kontrolním součtem CRC (Cyclic Redundancy Check) Pouze u přepínačů Cisco u spojů FastEthernet a GigabitEthernet IEEE 802.1Q Standardní metoda značkování rámců Do rámce vkládá pole identifikující VLAN Postup - určíme všechny porty, které se budou používat jako trunk se zapouzdřením 802.1Q, ke konkrétnímu ID přiřadíme VLAN, takže slouží jako nativní síť VLAN Porty, které patří do stejné trunkové linky, vytvářejí skupinu v rámci této nativní sítě VLAN Každý port je pak označen odpovídajícím identifikačním číslem (jako výchozí se používá VLAN1) CZ.1.07/2.1.00/ ICT moderně a prakticky 32

33 Přepínače Cisco Catalyst řady 2960 jsou kompatibilní pouze s protokolem 802.1Q Přepínače Cisco Catalyst 3560 poskytují služby vrstvy 3 a podporují metody zapouzdření ISL i 802.1Q Switch(config)#int fa0/16 Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk Definování povolených/zakázaných sítí VLAN u trunkové linky (na portu fa0/16 je nakonfigurována trunková linka, tento port zahodí veškerý odeslaný a přijatý provoz sítě VLAN 4) Switch(config-if)#switchport trunk allowed vlan remove 4 Pokud chceme odstranit rozsah sítí VLAN Switch(config-if)#switchport trunk allowed vlan remove 2-4 Obnovení výchozího nastavení povolení všech VLAN Switch(config-if)#switchport trunk allowed vlan all Jiná varianta obnovení výchozího nastavení Switch(config-if)#no switchport trunk allowed vlan CZ.1.07/2.1.00/ ICT moderně a prakticky 33

34 Změny nebo úpravy nativní trunkové sítě VLAN Změna čísla nativní VLAN se někdy provádí z bezpečnostních důvodů Switch(config)#int fa0/16 Switch(config-if)#sw mode trunk Switch(config-if)#sw trunk native vlan 40 Switch#show running-config Building configuration... Current configuration : 1093 bytes!... interface FastEthernet0/16 switchport trunk native vlan 40 switchport mode trunk Stejná nativní VLAN musí být nastavena na všech trunkových linkách, jinak se začne objevovat následující chyba %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on FastEthernet0/16 (40), with Switch FastEthernet0/1 (1). CZ.1.07/2.1.00/ ICT moderně a prakticky 34

35 5. Protokol VTP (VLAN Trunking Protocol) Umožňuje přidávat a odstraňovat sítě VLAN a měnit jejich názvy Konfiguraci provedeme pouze na jednom přepínači (server) Příslušné informace pak šíří ostatním přepínačům v doméně VTP VLAN30 VTP server VLAN30 F0/1 F0/3 VLAN30 F0/1 F0/3 S3 Režimy činnosti VTP Server Na serveru můžeme tvořit, měnit a mazat VLAN Všechny změny pak server přeposílá ostatním přepínačům Když dostane odjinud zprávu o změně VLAN, vezme ji na vědomí, uloží si ji a zachová se podle ní Informace ukládá do NVRAM V každé doméně musí být alespoň jeden server Defaultní nastavení přepínače je server Klient Řídí se konfigurací, kterou dostane od jiných přepínačů Vhodné pro přepínače, které nemají dost paměti na uložení rozsáhlých informací o VLAN Informace ukládá pouze do paměti do RAM CZ.1.07/2.1.00/ ICT moderně a prakticky 35

36 Transparent (průhledný) Do sítě ostatních přepínačů a jejich VLAN vůbec nepatří, nečte jejich zprávy, neřídí se jimi, pouze přeposílá informace VTP domény VTP doména se skládá z několika přepínačů, kterým bylo přiděleno jméno stejné domény Slouží k usnadnění správy sítě (případná chyba se šíří jen po hranice domény) Nové VLAN na VTP serveru lze vytvářet až po přidělení jména domény VTP doména 1 VTP doména 2 Redukce VTP (Pruning) Zabrání odesílání zbytečných paketů (broadcast, multicast, neznámé) na přepínače, kde není žádný port v dané VLAN a ani přes něj nevede funkční cesta dál Příklad - S2 neposílá pakety pro VLAN10 doprava, protože ví, že tam už žádné počítače připojené na VLAN10 nejsou CZ.1.07/2.1.00/ ICT moderně a prakticky 36

37 VLAN S1 F0/1 F0/ VLAN20 VLAN F0/11 F0/18 F0/1 F0/3 F0/18 S2 S3 F0/6 F0/6 F0/ VLAN20 VLAN10 VLAN Konfigurace protokolu VTP Všechny přepínače Cisco jsou ve výchozím nastavení nakonfigurovány jako servery VTP Pokud chceme nastavit protokol VTP, nejprve musíme nakonfigurovat příslušný název domény (kromě názvu lze nastavit i heslo, provozní režim, funkce pruning) Switch1(config)#vtp mode server Device mode already VTP SERVER. Switch1(config)#vtp domain Skola Changing VTP domain name from NULL to Skola Switch1(config)#vtp password class Setting device VLAN database password to class Switch1(config)#do show vtp status VTP Version : 2 Configuration Revision : 0 Maximum VLANs supported locally : 255 Number of existing VLANs : 5 VTP Operating Mode : Server VTP Domain Name : Skola VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0x42 0x18 0x69 0x20 0x16 0xEB 0xD0 0x1B Configuration last modified by at :00:00 Local updater ID is (no valid interface found) CZ.1.07/2.1.00/ ICT moderně a prakticky 37

38 V názvech domén protokolu VTP se rozlišují velká a malá písmena Konfigurace druhého přepínače jako klienta Switch2(config)#vtp mode client Setting device to VTP CLIENT mode. Switch2(config)#vtp domain Skola Domain name already set to Skola. Switch2(config)#vtp password class Setting device VLAN database password to class Switch2(config)#do show vtp status VTP Version : 2 Configuration Revision : 0 Maximum VLANs supported locally : 255 Number of existing VLANs : 5 VTP Operating Mode : Client VTP Domain Name : Skola VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0x42 0x18 0x69 0x20 0x16 0xEB 0xD0 0x1B Configuration last modified by at :00:00 VLAN byly nakonfigurovány na přepínači Switch1, který je nastaven jako server (kráceno) Switch1#sh vlan VLAN Name Status Ports default active Fa0/13, Fa0/14, Fa0/15, Fa0/17 Fa0/18, Fa0/19, Fa0/20, Fa0/21 Fa0/22, Fa0/23, Fa0/24, Gig1/1 Gig1/2 2 Ucitele active Fa0/1, Fa0/2, Fa0/3, Fa0/4 3 Studenti active Fa0/5, Fa0/6, Fa0/7, Fa0/8 4 Administrativa active Fa0/9, Fa0/10, Fa0/11, Fa0/12 CZ.1.07/2.1.00/ ICT moderně a prakticky 38

39 Stejné VLAN se objeví i na druhém přepínači Switch2 (kráceno) Switch2#sh vlan VLAN Name Status Ports default active Fa0/2, Fa0/3, Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/14, Fa0/15, Fa0/16, Fa0/17 Fa0/18, Fa0/19, Fa0/20, Fa0/21 Fa0/22, Fa0/23, Fa0/24, Gig1/1 Gig1/2 2 Ucitele active 3 Studenti active 4 Administrativa active VTP je užitečný při udržování konzistentních názvů sítí VLAN v rámci přepínané sítě CZ.1.07/2.1.00/ ICT moderně a prakticky 39

40 6. Směrování mezi VLANy (Inter-VLAN Routing) Koncová zařízení mezi sebou mohou na úrovni 2.vrstvy komunikovat v rámci společné VLAN Pokud chceme realizovat komunikaci mezi VLANy, je nutné do sítě zapojit směrovač a komunikaci uskutečňovat na úrovni 3. vrstvy Klasické připojení Pro každou VLAN připojenou k routeru by musela být samostatná linka a samostatné rozhraní ( = fyzický konektor) na routeru Router má obvykle velmi omezený počet ethernetových rozhraní (umožňuje připojit jen omezený počet VLAN) Router-on-a-Stick Všechny VLANy jsou k routeru připojené jedinou linkou přes jediné rozhraní Toto rozhraní je virtuálně rozděleno na tolik podrozhraní (subinterfaces) kolik je VLANů. Jednotlivá podrozhraní se označují například fastethernet 0/0.1, fastethernet 0/0.2. F0/0 F0/1 F0/16 F0/17 Trunk F0/0 F0/16 F0/5 F0/1 F0/5 F0/1 VLAN 3 Studenti VLAN 2 Učitelé VLAN 3 Studenti VLAN 2 Učitelé CZ.1.07/2.1.00/ ICT moderně a prakticky 40

41 Konfigurace směrování mezi různými VLANy F0/1 F0/5 Trunk Gig1/1 Gig0/0 F0/9 Subinterface: Gig0/ /24 Gig0/ /24 Gig0/ /24 VLAN 1 default /24 Brána VLAN 2 Učitelé /24 Brána VLAN 3 Studenti /24 Brána VLAN 4 Administrativa /24 Brána Konfigurace přepínače Nastavíme IP adresu a bránu pro VLAN 1 Switch1(config)#int vlan 1 Switch1(config-if)#ip address Switch1(config-if)#ip default-gateway Switch1(config-if)#no shutdown Rozhraní Gig1/1 nastavíme jako trunk Switch1(config)#int gig1/1 Switch1(config-if)#sw mode trunk CZ.1.07/2.1.00/ ICT moderně a prakticky 41

42 Vytvoříme VLANy Ucitele, Studenti a Administrativa a do každé z nich přiřadíme čtyři po sobě následující porty Switch(config)#vlan 2 Switch(config-vlan)#name Ucitele Switch(config-vlan)#vlan 3 Switch(config-vlan)#name Studenti Switch(config-vlan)#vlan 4 Switch(config-vlan)#name Administrativa Switch(config-vlan)#exit Switch(config)#int range fa0/1-4 Switch(config-if-range)#sw mode access Switch(config-if-range)#sw access vlan 2 Switch(config-if-range)#exit Switch(config)#int range fa0/5-8 Switch(config-if-range)#sw mode access Switch(config-if-range)#sw access vlan 3 Switch(config-if-range)#exit Switch(config)#int range fa0/9-12 Switch(config-if-range)#sw mode access Switch(config-if-range)#sw access vlan 4 Ověříme konfiguraci přepínače (značně kráceno) Switch1#sh run Building configuration interface FastEthernet0/1 switchport access vlan 2 switchport mode access... interface FastEthernet0/9 switchport access vlan 4 switchport mode access... interface GigabitEthernet1/1 switchport mode trunk... interface Vlan1 ip address ! ip default-gateway CZ.1.07/2.1.00/ ICT moderně a prakticky 42

43 Konfigurace směrovače Každé z logických rozhraní musí mít takovou IP adresu, aby patřilo do stejné VLAN jako příslušné stanice Danému rozhraní musíme definovat typ označování rámců (dot1q) a přidat popis, do které VLAN rozhraní patří Nastavení rozhraní pro VLAN 1 Router(config)#interface GigabitEthernet0/0 Router(config-if)#ip address Router(config-if)#no shutdown Rozhraní 0/0.2 bude směrovat tok dat do virtuální sítě VLAN 2, proto musí mít stejnou adresu sítě jako tato VLAN (Ucitele) Router(config)#int gig0/0.2 Router(config-subif)#encapsulation dot1q 2 Router(config-subif)#ip address Rozhraní 0/0.3 bude směrovat tok dat do virtuální sítě VLAN 3, proto musí mít stejnou adresu sítě jako tato VLAN (Studenti) Router(config)#int gig0/0.3 Router(config-subif)#encapsulation dot1q 3 Router(config-subif)#ip address Rozhraní 0/0.4 bude směrovat tok dat do virtuální sítě VLAN 4, proto musí mít stejnou adresu sítě jako tato VLAN (Administrativa) Router(config)#int gig0/0.4 Router(config-subif)#encapsulation dot1q 4 Router(config-subif)#ip address CZ.1.07/2.1.00/ ICT moderně a prakticky 43

44 Kontrola konfigurace routeru Router#sh run Building configuration.... interface GigabitEthernet0/0 ip address duplex auto speed auto! interface GigabitEthernet0/0.2 encapsulation dot1q 2 ip address ! interface GigabitEthernet0/0.3 encapsulation dot1q 3 ip address ! interface GigabitEthernet0/0.4 encapsulation dot1q 4 ip address IP adresy, masky a brány jednotlivým počítačům nastavíme dle obrázku Nastavení PC ve VLAN Ucitele CZ.1.07/2.1.00/ ICT moderně a prakticky 44

45 7. Bezdrátové technologie WiFi WLAN (Wireless LAN) bezdrátové LAN Druhy mikrovlnné spoje (Wi-Fi, Bluetooth) IR spoje ( THz) Vlastnosti Nevyžaduje kabeláž prvky sítě spolu komunikují prostřednictvím rádiového signálu o určité frekvenci Výhody Rychlá a snadná realizace datové sítě bez nutnosti pokládky kabelů Mobilita účastníků, flexibilita a snadná rozšiřitelnost sítě Technologie WiFi Frekvenční pásma Použití rádiových frekvenčních pásem podléhá regulaci ČTU (Český telekomunikační úřad). Nelicencované pásmo (ISM - Industrial Scientific and Medical). 2,4 až 2,4835 GHz 5 až 5,825 GHz IEEE specifikovalo standard bezdrátové sítě pracující v pásmu ISM pod číslem (definuje pouze dvě nejnižší vrstvy OSI modelu fyzickou a spojovou) CZ.1.07/2.1.00/ ICT moderně a prakticky 45

46 Přehled základních standardů pro bezdrátové sítě Protokol Zveřejněn Frekvence [GHz] Maximální rychlost přenosu dat [Mbps] Modulace Přibližný dosah v budovách [m] Přibližný dosah na volném prostranství [m] ,4 2 DSSS, FHSS a OFDM b ,4 11 DSSS g ,4 54 OFDM, DSSS n ,4 a OFDM-MIMO Vysílání v rozprostřeném spektru Pomocí matematických funkcí se signál na vysílači rozptýlí do širokého frekvenčního bloku, přijímač opačnou operací převede signál zpět na úzkopásmový Výhoda eliminace interferencí úzkopásmových zdrojů Techniky rozprostřeného spektra FHSS (Frequency Hopping Spread Spectrum) - systém s rozprostřeným spektrem a kmitočtovým skákáním DSSS (Direct Sequence Spread Spectrum) - systém s rozprostřeným spektrem s přímou sekvencí OFDM (Othogonal Frequency Division Multiplexing) ortogonální multiplex s kmitočtovým dělením OFDM - MIMO (Multiple Input, Multiple Output) multianténní komunikační systém využívající techniku OFDM CZ.1.07/2.1.00/ ICT moderně a prakticky 46

47 Přehled všech standardů Standard IEEE a IEEE b Stručná charakteristika standard 54 Mbps, 5GHz rozšíření základního standardu o podporu rychlosti 5,5 a 11Mbps IEEE c procedury fungování mostu, zahrnuto v IEEE d IEEE d IEEE e IEEE F rozšíření o mezinárodní roaming technologie QoS (Quality of service) protokol IAPP (Inter-Access Point Protocol) IEEE g standard 54 Mbps, 2,4GHz, zpětně kompatibilní s b IEEE h IEEE i IEEE j IEEE k IEEE m IEEE n IEEE p IEEE r IEEE s IEEE T IEEE u IEEE v IEEE w IEEE y technologie DFS (Dynamic Frequency Selection) a TPC na frekvenci 5GHz vylepšené zabezpečení rozšíření pro veřejné zabezpečení v Japonsku a USA rozšíření pro měření rádiových prostředků údržba standardu, drobné dodatky vyšší propustnost pomocí antén MIMO (Multiple Input, Multiple Output) WAVE (Wireless Access for the Vehicular Enviroment) rychlý roaming topologické sítě typu ESS (Extended Service Set) WPP (Wireless Performance Prediction) propojení se sítěmi jiného typu než 802 (např. mobilními) správa bezdrátové sítě chráněné rámce pro správu provoz v USA CZ.1.07/2.1.00/ ICT moderně a prakticky 47

48 Komponenty bezdrátových sítí Aktivní prvky Access Point (AP) - přístupový bod, řídící stanice pro klienty, rádiový server Wireless Bridge - bezdrátový most, spojuje dvě LAN Wireless Router - oproti bridge umí spojit i různé sítě, mívá Ethernet Switch Interní karty (PCI,PCMCIA) - umožňují klientské funkce (připojení k AP) Pasivní prvky Kabely - propojení antény a WiFi zařízení, používají se kabely s impedancí 50Ω Konektory - přechodová ztráta se udává v db/jeden spoj (typy N, R-SMA, TNC,.) Antény všesměrové (svislý dipól, malý zisk), sektorové (Quad, 4Quad, Trell, pokrytí ), směrové (parabolické, vysoký zisk) Druhy útoků na WiFi síť Volný přístup k Internetu přes nezabezpečenou síť Zneužití soukromých informací Neoprávněné AP v síti, které mohou zachycovat komunikaci klientů, jejich MAC adresy, stahovat soubory ze serveru Útoky typu Man-in-the Middle Odmítnutí služby (DoS, DDoS) Zabezpečení WiFi sítí SSID (Service Set IDentifier) jedinečný identifikátor bezdrátové WiFi sítěfiltrování pomocí MAC adres WEP (Wired Equivalent Privacy) - klíč dlouhý 40 (+ 24 = 64) nebo 104 (+ 24 = 128) nebo 232 (+ 24 = 256) bitů, 24b inicializační vektor (IV) WPA (WiFi Protected Access) a šifruje pomocí dynamického klíče TKIP CZ.1.07/2.1.00/ ICT moderně a prakticky 48

49 Komunikace klient AP AP (Access Point) přístupový bod AP vysílá pravidelně svůj identifikátor (SSID) v takzvaném majákovém rámci a klienti si tam mohou vybrat, ke které bezdrátové síti se připojí AP Průzkum (Probing) SSID Podporované rychlosti AP SSID Podporované rychlosti Zabezpečení Ověření komunikujících stran (Authentication) Spojení (otevřené, šifrované) Sdílený klíč (pro šifrované) AP Typ spojení Klíč Úspěšné/neúspěšné CZ.1.07/2.1.00/ ICT moderně a prakticky 49

50 Připojení (Association) MAC klienta BSSID (MAC AP) ESSID AP Úspěšné/neúspěšné AID (Association IDentifier) Přístupová metoda CSMA/CA Protokol CSMA/CA (Carrier Sense, Multiple Access with Collision Avoidance) metoda mnohonásobného přístupu se zamezením kolizí Odesílatel pošle RTS (Request to Send) s adresou cíle a předpokládanou délkou vysílání Na základě RTS se v každém uzlu vypočítá NAV (Network Allocation Vector) počítadlo, jak dlouho bude médium obsazené příjemce odpovídá vysláním CTS (Clear to Send) a potvrdí délku přenosu vysílající posílá data cílová stanice je potvrdí ACK (Acknowledge) kolize nastávají jen u RTS, zbytek je časově plánován AP RTS CTS data ACK čas čas CZ.1.07/2.1.00/ ICT moderně a prakticky 50

51 Konfigurace bezdrátové datové sítě příklad Konfigurace WiFi routeru přes webové rozhraní Do vyhledávače zadáme pro daný WiFi router IP adresu a vyplníme přihlašovací jméno a heslo Základní nastavení Filtrování na základě MAC adres CZ.1.07/2.1.00/ ICT moderně a prakticky 51

52 Nastavení zabezpečení CZ.1.07/2.1.00/ ICT moderně a prakticky 52

53 Nastavení dalších parametrů Připojení stanice do WiFi sítě Nabídka Start Ovládací panely Centrum síťových připojení a sdílení Připojit k síti v novém okně se objeví všechny bezdrátové sítě v dosahu stanice (jejich SSID a síla signálu) Po najetí myší na příslušný řádek se zobrazí rámeček s podrobnějšími informacemi CZ.1.07/2.1.00/ ICT moderně a prakticky 53

54 CZ.1.07/2.1.00/ ICT moderně a prakticky 54

55 8. Otázky k procvičení Kapitola 1 1. Uveďte alespoň tři výhody hierarchického modelu sítí LAN 2. V čem spočívá redundance v sítích LAN? 3. Uveďte způsoby zabezpečení v sítích LAN (alespoň 2). 4. Co znamená při návrhu sítí LAN pojem Network Diameter? 5. Co znamenají zkratky PoE, SAN a QoS? 6. Vysvětlete rozdíl mezi symetrickým a asymetrickým přepínáním. Kapitola 2 7. Přepínače v režimu ulož a pošli (U) a průběžné zpracování (P). Uveďte, která charakteristika patří příslušnému režimu Chybné rámce jsou přepínačem zničeny. Přeposílá rámce na výstupní port aniž by dokončil jeho příjem Rámce se celé načtou a uloží. 8. Uveďte konfigurační režimy přepínače podle začátku CLI Switch> Switch# Switch(config)# Switch(config-if)# 9. Popište, co udělá přepínač, když bdrží rámec s neznámou MAC adresou. 10. Popište, co udělá přepínač,kdyžobdrží rámec se známou MAC adresou 11. Popište, co udělá přepínač, kdyžbdrží rámec s MAC adresou, kterou nemá ve své přepínací tabulce 12. Vysvětlete, jaký je rozdíl mezi statickou, dynamickou a sticky MAC adresou. Kapitola Zkratka VLAN znamená 14. Uveďte důvody, proč se zavádějí VLAN (alespoň 2). 15. Jaké znáte druhy VLAN? 16. Vysvětlete pojem statická a dynamická VLAN 17. K čemu slouží VMPS (VLAN Server)? 18. Co je to trunk? K čemu slouží VLAN ID? 19. Co je to DTP? 20. V jakých módech se mohou nacházet porty přepínače CZ.1.07/2.1.00/ ICT moderně a prakticky 55

56 Kapitola Zkratka VTP znamená 22. K čemu VTP slouží? 23. Co je to doména? 24. Jakým způsobem se při konfiguraci vytvoří doména? 25. Z jakého důvodu se domény vytvářejí? 26. Do jakých režimů může být nastaven přepínač? (uveďte 3) 27. V jakém režimu je přepínač v defaultním nastavení? 28. V jakém režimu ukládá svou konfiguraci do NVRAM? 29. V jakém režimu ukládá konfiguraci pouze do RAM? 30. K čemu slouží Configuration Revision? Jakým způsobem ho lze vynulovat? 31. Jaké znáte druhy oznámení? 32. Co je to pruning mode? Kapitola Spanning tree protocol slouží k. 34. Co je to redundance sítě LAN? V čem spočívá její výhoda? 35. Jaké problémy v síti může redundance způsobit? (uveď 2) 36. Co je to Root Bridge? 37. V jakých režimech se může nacházet port přepínače? 38. Uveďte tři kroky STP konvervence a stručně je popište Kapitola Pokud jsou všechny VLANy připojeny k routeru jedinou linkou přes jediné rozhraní, nazývá se toto propojení routeru do LAN 40. Lze provádět směrování mezi VLANy pouze za použití switchů? 41. Co je subinterface? 42. Uveďte alespoň tři výhody vytvoření subinterface oproti fyzickému řešení (každá VLAN má vlastní fyzické rozhraní) Kapitola Jaký standard definuje WiFi sítě a jeké jsou jego alternativy? 44. K čemu slouží access point? 45. Jaké druhy antén lze použít pro WiFi sítě? Která z nich má největší zisk? 46. Co je Fresnelova zóna? 47. Vysvětlete zkratku SSID 48. V jakých třech základních krocích probíhá navázání komunikace klient-ap? 49. Uveďte druhy útoků na WiFi síť (alespoň 2) 50. Jaké znáte způsoby zabezpečení WiFi sítí (alespoň 2) CZ.1.07/2.1.00/ ICT moderně a prakticky 56

57 Doporučená literatura a zdroje informací 1. Rita Pužmanová: TCP/IP v kostce, 1. vydání, KOPP,České Budějovice, Todd Lammle: CCNA Výukový průvodce přípravou na zkoušku , Computer Press, a.s., Brno, CZ.1.07/2.1.00/ ICT moderně a prakticky 57