ΑΣΔΙ ΘΔΑΛΙΑ ΥΟΛΗ ΣΔΥΝΟΛΟΓΙΚΧΝ ΔΦΑΡΜΟΓΧΝ Σκήκα Μεραληθώλ Πιεξνθνξηθήο ΣΔ ΣΙΣΛΟ ΔΡΓΑΙΑ «Αλάιπζε απαηηήζεωλ θαη ζρεδηαζκόο ελζύξκαηνπ δηθηύνπ θνξκνύ βαζηζκέλν ζε ηερλνινγία Cisco IPv4/IPv6. Παξακεηξνπνίεζε ηερληθώλ αζθάιεηαο, πξωηνθόιιωλ δξνκνιόγεζεο θαη αζύξκαηεο πξόζβαζεο» ΠΣΤΥΙΑΚΗ ΔΡΓΑΙΑ Λεσλίδαο-ηέθαλνο Βεξεληδηώηεο (ΑΜ: Σ 1047) Δπηβιέπσλ: Κωνσταντίνος Τσοσκάτος, Επίκοσρος Καθηγητής ΛΑΡΙΑ 2014
«Εγώ ν Βεξεληδηώηεο Λεωλίδαο Σηέθαλνο, δειώλω ππεύζπλα όηη ε παξνύζα Πηπρηαθή Εξγαζία κε ηίηιν Αλάιπζε απαηηήζεωλ θαη ζρεδηαζκόο ελζύξκαηνπ δηθηύνπ θνξκνύ βαζηζκέλν ζε ηερλνινγία Cisco IPv4/IPv6. Παξακεηξνπνίεζε ηερληθώλ αζθάιεηαο, πξωηνθόιιωλ δξνκνιόγεζεο θαη αζύξκαηεο πξόζβαζεο είλαη δηθή κνπ θαη βεβαηώλω όηη: Σε όζεο πεξηπηώζεηο έρω ζπκβνπιεπηεί δεκνζηεπκέλε εξγαζία ηξίηωλ, απηό επηζεκαίλεηαη κε ζρεηηθή αλαθνξά ζηα επίκαρα ζεκεία. Σε όζεο πεξηπηώζεηο κεηαθέξω ιόγηα ηξίηωλ, απηό επηζεκαίλεηαη κε ζρεηηθή αλαθνξά ζηα επίκαρα ζεκεία. Με εμαίξεζε ηέηνηεο πεξηπηώζεηο, ην ππόινηπν θείκελν ηεο πηπρηαθήο απνηειεί δηθή κνπ δνπιεηά. Αλαθέξω ξεηά όιεο ηηο πεγέο βνήζεηαο πνπ ρξεζηκνπνίεζα. Σε πεξηπηώζεηο πνπ ηκήκαηα ηεο παξνύζαο πηπρηαθήο έγηλαλ από θνηλνύ κε ηξίηνπο, α- λαθέξω ξεηά πνηα είλαη ε δηθή κνπ ζπλεηζθνξά θαη πνηα ηωλ ηξίηωλ. Γλωξίδω πωο ε ινγνθινπή απνηειεί ζνβαξόηαην παξάπηωκα θαη είκαη ελήκεξνο(-ε) γηα ηελ επέιεπζε ηωλ λνκίκωλ ζπλεπεηώλ» Βεξεληδηώηεο Λεσλίδαο ηέθαλνο
Δγθξίζεθε από ηελ ηξηκειή εμεηαζηηθή επηηξνπή Σόπνο: ΛΑΡΙΑ Ηκεξνκελία: ΔΠΙΣΡΟΠΗ ΑΞΙΟΛΟΓΗΗ 1. Γξ. Κσλζηαληίλνο Σζνπθάηνο 2. 3.
Πεξίιεςε ηόρνο ηεο δηπισκαηηθήο εξγαζίαο είλαη ε αλάιπζε ησλ απαηηήζεσλ ζρεδηαζκνύ δηθηύνπ θνξκνύ θαη απνκαθξπζκέλεο πξόζβαζεο ρξεζηώλ ζε πόξνπο ηνπ δηθηύνπ. Σα κέξε πνπ ζα απνηειείηαη είλαη: 1) Πξνηάζεηο ζρεηηθά κε ηνλ εμνπιηζκό (ζε hardware) ησλ δηαδηθηπαθώλ ζπζθεπώλ θαζώο θαη νη ιεηηνπξγηθόηεηά ηνπο 2) Καηάιιειε δηεπζπλζηνδόηεζε θαη παξακεηξνπνίεζε πξσηνθόιισλ δξνκνιόγεζεο ζην δίθηπν θνξκνύ γηα εμππεξέηεζε ησλ αλαγθώλ ησλ ρξεζηώλ. 3) Σερληθέο αζθάιεηαο ζην αζύξκαην κέζν 4) Τινπνίεζε VLANs γηα θαηεγνξηνπνίεζε ησλ ρξεζηώλ ζε εηθνληθέο δηθηπαθέο νκάδεο 5) Τινπνίεζε ΝΑΣ ηερληθήο γηα ζύλδεζε ζε πάξνρν internet. Σέινο, εθόζνλ ζηα δίθηπα Η/Τ ε ηερλνινγία IPv6 έρεη αξρίζεη θαη εδξαηώλεηαη, ε εξγαζία απηή ζα α- λαιύεη ηελ ηερλνινγία απηή θαη ζα πξνηείλεη ηξόπνπο επηθνηλσλίαο κεηαμύ δηθηύνπ IPv4 θαη IPv6. ABSTRACT The target of this thesis is to analyze the design requirements of a backbone network and remote user access rights to network resources. The subtasks of this thesis are the following: 1) Hardware and network equipment functionality analysis 2) Analysis and design of ip addressing scheme and routing protocol configuration to serve the user needs for data transfer. 3) Security issues concerning the wireless connectivity 4) Virtual LANS implementation for user categorization and data segmentation 5) NAT implementation technique for internet connection. Finally, the network design includes IPv6 addressing and several use cases for data transfer. -i-
Δπραξηζηίεο ην ζεκείν απηό είλαη ρξένο κνπ λα επραξηζηήζσ όινπο όζνπο ζπλέβαιαλ γηα ηελ πξαγκαηνπνίεζε ηεο πηπρηαθήο απηήο εξγαζίαο θαη ζπγθεθξηκέλα: Σνλ επηβιέπνληα θαζεγεηή κνπ Γξ. Κσλζηαληίλν Σζνπθάην γηα ηηο πνιύηηκεο ζπκβνπιέο ηνπ θαη ηα ζρόιηά ηνπ πνπ ππήξμαλ επηθνδνκεηηθά ζε όιε ηελ δηάξθεηα αλάπηπμεο ηεο εξγαζίαο. Δπραξηζηώ επίζεο όινπο ηνπο θαζεγεηέο ηνπ ηκήκαηνο Μεραληθώλ Πιεξνθνξηθήο Σ.Δ. γηα ηηο γλώζεηο πνπ κνπ πξόζθεξαλ ζε όιε ηελ δηάξθεηα ησλ πξνπηπρηαθώλ ζπνπδώλ κνπ. Σέινο ζα ήζεια λα επραξηζηήζσ ζεξκά ηελ νηθνγέλεηά κνπ γηα ηελ εκπηζηνζύλε πνπ κνπ παξείρε θαζώο θαη όινπο ηνπο θίινπο θαη ζπλαδέιθνπο γηα ηελ ζηήξημή ηνπο. Λεσλίδαο ηέθαλνο Βεξεληδηώηεο ------------------ -iii-
Πεξηερόκελα ΠΔΡΙΛΗΦΗ... I ABSTRACT... I ΔΤΥΑΡΙΣΙΔ... III ΠΔΡΙΔΥΟΜΔΝΑ... V 1 ΔΙΑΓΧΓΗ... 7 2 ΣΔΥΝΟΛΟΓΙΔ ΠΡΟΒΑΗ ΚΑΙ ΔΠΙΚΟΙΝΧΝΙΑ... 8 2.1 VIRTUAL LANS (VLANS)... 8 2.2 ΟΦΔΛΗ ΣΩΝ VLAN... 9 2.3 ΣΤΠΟΙ VLAN... 10 2.4 ΠΡΩΣΟΚΟΛΛΑ ΓΡΟΜΟΛΟΓΗΗ (ΣΑΣΙΚΗ, ΓΤΝΑΜΙΚΗ, ΑΝΑΚΑΣΔΤΘΤΝΗ)... 12 2.5 NETWORK ADDRESS TRANSLATION (NAT) / ΜΔΣΑΦΡΑΗ ΓΙΔΤΘΤΝΗ ΓΙΚΣΤΟΤ (DYNAMIC NAT, STATIC NAT, PAT)... 25 2.6 ΑΤΡΜΑΣΔ ΣΔΥΝΟΛΟΓΙΔ... 31 2.7 ΑΤΡΜΑΣΗ ΑΦΑΛΔΙΑ... 40 3 ΑΦΑΛΔΙΑ ΔΠΙΚΟΙΝΧΝΙΧΝ... 43 3.1 ACCESS CONTROL LISTS (ACLS) / ΛΙΣΔ ΔΛΔΓΥΟΤ ΠΡΟΒΑΗ... 43 3.2 ΣΤΠΟΙ ACLS... 45 3.3 ΥΔΓΙΑΜΟ ΚΑΙ ΑΦΑΛΔΙΑ VLAN... 47 3.4 ΑΦΑΛΔΙΑ ΣΟ ΑΤΡΜΑΣΟ ΜΔΟ... 50 4 ΜΔΛΔΣΗ ΚΑΙ ΥΔΓΙΑΜΟ ΓΙΚΣΤΟΤ... 57 4.1 ΔΣΑΙΡΙΚΟ ΣΟΠΙΚΟ ΓΙΚΣΤΟ ΜΔ ΣΡΙΑ ΑΠΟΜΑΚΡΤΜΔΝΑ ΤΠΟΚΑΣΑΣΗΜΑΣΑ... 61 4.2 ΣΟΠΟΛΟΓΙΑ ΓΙΚΣΤΟΤ ΚΑΙ ΑΝΑΛΤΗ ΑΝΑ ΣΟΜΔΑ... 61 5 ΤΜΠΔΡΑΜΑΣΑ... 73 ΒΙΒΛΙΟΓΡΑΦΙΑ... 75 -v-
ΠΑΡΑΡΣΗΜΑ Α... 77 -vi-
1 Δηζαγσγή ηελ επνρή ηεο ξαγδαίαο αλάπηπμεο ηεο ηερλνινγίαο επηθνηλσληώλ, ν ηνκέαο ησλ δηθηύσλ Η/Τ είλαη ζπλερόκελα εμειηζζόκελνο. Ο ζρεδηαζκόο ησλ ζύγρξνλσλ δηθηύσλ θαζνδεγείηαη από ηηο επηρεηξεκαηηθέο θαη επηρεηξεζηαθέο αλάγθεο ησλ κεγάισλ πνιπεζκηθώλ εηαηξηώλ θαη ηξαπεδώλ, νη νπνίεο δηαρεηξίδνληαη θαη δηαθηλνύλ κεγάιν όγθν δεδνκέλσλ ζε κεγάιεο απνζηάζεηο θαη απνθεληξώλνπλ ηα θέληξα ιήςεο απνθάζεώλ ηνπο. Δίλαη πνιύ ζεκαληηθό ην δίθηπν κηαο εηαηξείαο λα είλαη εύρξεζην, λα έρεη ηελ δπλαηόηεηα επέθηαζεο αιιά θαη λα είλαη όζν ην δπλαηόλ αζθαιέζηεξν. Δίλαη εύινγν θαη αλακελόκελν θάζε εηαηξεία λα ζέιεη λα ιεηηνπξγεί έλα αμηόπηζην θαη απνδνηηθό δίθηπν, ην νπνίν λα παξέρεη ην κέγηζην ησλ δπλαηνηήησλ ηνπ γηα λα θαιύπηεη ηαπηόρξνλα ηηο αλάγθεο αιιά θαη ηηο απαηηήζεηο ηόζν ησλ πειαηώλ ηεο αιιά θαη ησλ ππαιιήισλ ηεο έηζη ώζηε λα κπνξνύλ λα θέξνπλ εηο πέξαο ην δύζθνιν θαη κεγάιν έξγν ηεο. Η παξνύζα κειέηε αθνξά έλα εηαηξηθό δίθηπν κε ηξία απνκαθξπζκέλα θαηαζηήκαηα. πγθεθξηκέλα: Σν θεληξηθό ηνπηθό δίθηπν ηεο εηαηξίαο απνηειείηαη από ηξία θηίξηα εληόο ηεο ίδηαο γεσγξαθηθήο πεξηνρήο ηα νπνία ζπλδένληαη κε ηα ππόινηπα ηξία απνκαθξπζκέλα ππνθαηαζηήκαηα ηεο εηαηξίαο κέζσ WAN. Σερλνινγίεο Frame relay θαη GRE αληίζηνηρα εθαξκόδνληαη γηα ηελ ζύλδεζε ησλ απνκαθξπζκέλσλ πεξηνρώλ. Γπλαόηεηα πξόζβαζεο αζύξκαηα ππάξρεη γηα ηνπο εηαηξηθνύο ρξήζηεο, αιιά θαη γηα ηνπο επηζθέπηεο (guest users) θαη ηνπο παξέρεηαη ε πξόζβαζε ηόζν ζην δηαδίθηπν, όζν θαη ζην εηαηξηθό δίθηπν, αλάινγα κε ηελ θαηεγνξία ρξήζηε ζηελ νπνία αλήθνπλ. Σέινο, ηo ζύζηεκα δηεπζπλζηνδόηεζεο είλαη IPV4 θαη απνηειείηαη από ην θπξίσο δίθηπν (192.168.0.0/16) θαη ηα απνκαθξπζκέλα (172.30.0.0/16) θαη (172.31.0.0/16). ε αξθεηέο δηεπαθέο (interfaces) θπξίσο δξνκνινγεηώλ, έρνπκε εηζάγεη θαη IPv6 δηεπζύλζεηο. -7-
2 Σερλνινγίεο Πξόζβαζεο θαη Δπηθνηλσλίαο 2.1 Virtual LANS (VLANS) Η πξόζβαζε ζε έλα LAN δίθηπν ζπλήζσο γίλεηαη κέζσ ελόο κεηαγσγέα (switch). λα εηθνληθό ηνπηθό δίθηπν (VLAN) κπνξεί λα δεκηνπξγεζεί ζε έλαλ κεηαγσγέα επηπέδνπ 2 γηα λα κεηώζεη ην κέγεζνο ησλ νλνκάησλ ηνκέα γηα ηελ εθπνκπή, νκνίσο κε ζπζθεπή επηπέδνπ 3. Σα VLANs είλαη θπξίσο ελζσκαησκέλα ζηνλ ζρεδηαζκό ελόο δηθηύνπ δηεπθνιύλνληαο έηζη ην δίθηπν λα κπνξεί λα ππνζηεξίμεη ηνπο ζηόρνπο ελόο νξγαληζκνύ. Δλώ ηα VLANs ρξεζηκνπνηνύληαη θπξίσο κέζα ζε ηνπηθά δίθηπα κεηαγσγήο, παξόια απηά ζύγρξνλεο εθαξκνγέο ησλ VLANs ηνπο επηηξέπνπλ λα γεθπξώλνπλ ηα MANs θαη WANs. Σα VLANs επηηξέπνπλ ζε έλαλ δηαρεηξηζηή λα ηεκαρίδεη δίθηπα βάζεη θξηηεξίσλ όπσο ε ιεηηνπξγία, ε νκάδα εξγαζίαο ή ε εθαξκνγή, ρσξίο λα ιακβάλεηαη ππόςε ε θπζηθή ηνπνζεζία ηνπ ρξήζηε ή ηεο ζπζθεπήο. πζθεπέο κέζα ζε έλα VLAN ιεηηνπξγνύλ ζαλ λα βξίζθνληαη ζην δηθό ηνπο αλεμάξηεην δίθηπν, αθόκα θη αλ κνηξάδνληαη θνηλή ππνδνκή κε άιια VLANs. Κάζε ζύξα ηνπ κεηαγώγεα κπνξεί λα αλήθεη ζε έλα VLAN θαη unicast, broadcast αιιά θαη multicast παθέηα κπνξνύλ λα πξνσζνύληαη θαη λα θηάλνπλ ζηνπο ηειηθνύο ρξήζηεο πνπ αλήθνπλ ζην ίδην VLANκε ην VLANησλ παθέησλ πνπ πξνσζνύληαη. Κάζε VLAN ζεσξείηαη έλα μερσξηζηό αλαιπηηθό δίθηπν θαη ηα παθέηα πνπ έρνπλ πξννξηζκό ρξήζηεο δηαθνξεηηθώλ VLANsζα πξέπεη λα πξνσζνύληαη ζε ζπζθεπή πνπ ππνζηεξίδεη δξνκνιόγεζε, όπσο ζε έλαλ δξνκνινγεηή (router). λα VLAN δεκηνπξγεί έλα ινγηθό όλνκα ηνκέα εθπνκπήο (logical broadcast domain) πνπ κπνξεί λα γεθπξώζεη πνιιαπιά θπζηθά LAN ηκήκαηα. Σα VLANs βειηηώλνπλ ηελ απόδνζε δηθηύνπ δηαρσξίδνληαο κεγάια νλόκαηα ηνκέα ζε κηθξόηεξα. Δάλ κηα ζπζθεπή ζε έλα VLAN ζηέιλεη έλα πιαίζην εθπνκπήο πξσηνθόιινπ Ethernet (Ethernet frame), ηόηε όιεο νη ζπζθεπέο ζε απηό ην VLAN ιακβάλνπλ ην πιαίζην, ελώ ζπζθεπέο ζε δηαθνξεηηθό VLAN όρη. -8-
Σα VLANs δηεπθνιύλνπλ ηελ πινπνίεζε πνιηηηθώλ πξόζβαζεο θαη αζθάιεηαο ζύκθσλα κε ζπγθεθξηκέλεο νκαδνπνηήζεηο ρξεζηώλ. Κάζε ζύξα ηνπ κεηαγσγέα κπνξεί λα αλαηεζεί ζε έλα κόλν VLAN (κε εμαίξεζε κηα ζύξα πνπ ζπλδέεηαη ζε έλα ηειέθσλν κε IP ε ζε θάπνην άιιν κεηαγσγέα). 2.2 Οθέιε ησλ VLAN Σα βαζηθά νθέιε γηα ηελ ρξήζε ησλ VLAN είλαη ηα αθόινπζα: Αζθάιεηα - νκάδεο πνπ έρνπλ επαίζζεηα δεδνκέλα δηαρσξίδνληαη από ην ππόινηπν δίθηπν, κεηώλνληαο έηζη ηηο πηζαλόηεηεο παξάλνκεο πξόζβαζεο ζε εκπηζηεπηηθέο πιεξνθνξίεο. Οη ππνινγηζηέο γηα παξάδεηγκα ζην παλεπηζηήκην Θεζζαιίαο ησλ ζρνιώλ βξίζθνληαη ζε VLAN θαη είλαη απόιπηα δηαρσξηζκέλνη από ηελ θπθινθνξία δεδνκέλσλ ησλ ζπνπδαζηώλ θαη ησλ επηζθεπηώλ. Μείσζε θόζηνπο - ε εμνηθνλόκεζε θόζηνπο απνξξέεη από ηελ αλάγθε γηα α- θξηβνπιεξσκέλε αλαβάζκηζε δηθηύσλ θαη από ηελ πην απνηειεζκαηηθή ρξήζε ησλ ήδε ππάξρνληνο εύξνπο. Καιύηεξε απόδνζε - κε ηνλ δηαρσξηζκό ησλ δηθηύσλ επηπέδνπ 2 ζε πνιιαπιά νλόκαηα ηνκέα κεηώλεηαη ε πιενλάδνπζα θπθινθνξία ζην δίθηπν θαη εληζρύεηαη ε απόδνζε ηνπ. πξξίθλσζε πεδίσλ αλακεηάδνζεο- Γηαρσξίδνληαο έλα δίθηπν ζε VLANs, κεηώλεηαη ν αξηζκόο ησλ ζπζθεπώλ παξαιεπηώλ παθέησλ broadcastζην VLANαπηό. Βειηησκέλε απόδνζε ηνπ ΙΣ πξνζσπηθνύ- ηα VLANs δηεπθνιύλνπλ ηελ νξγάλσζε ηνπ δηθηύνπ, επεηδή ρξεζηέο κε παξόκνηεο αλάγθεο / απαηηήζεηο δηθηύνπ κνηξάδνληαη ην ίδην VLAN. Όηαλ ηίζεηαη ζε ιεηηνπξγία έλαο θαηλνύξηνο κεηαγσγέαο, όιεο νη πνιηηηθέο θαη νη δηαδηθαζίεο πνπ έρνπλ ήδε ξπζκηζηεί γηα ην ζπγθεθξηκέλν VLAN εθαξκόδνληαη πάλσ ζηηο ζύξεο. Δίλαη επίζεο εύθνιν γηα ην -9-
πξνζσπηθό ΙΣ λα αλαγλσξίζεη ηελ ιεηηνπξγηά ελόο VLAN δίλνληαο ηνπ έλα θαηάιιειν όλνκα. Απινπζηέξα project θαη νξγάλσζε εθαξκνγώλ- ηα VLAN ζπλαζξνίδνπλ ηνπο ρξήζηεο θαη ηηο ζπζθεπέο δηθηύνπ γηα λα ππνζηεξίμνπλ επηρεηξεζηαθέο ή γεσγξαθηθέο αλάγθεο. Οη μερσξηζηέο ιεηηνπξγηέο πνπ έρνπλ θάλνπλ κε ηελ επθνιόηεξε νξγάλσζε ελόο project ή ηελ εξγαζία πάλσ ζε κηα εμεηδηθεπκέλε ε- θαξκνγή. λα παξάδεηγκα γηα απηήλ ηελ εθαξκνγή απνηειεί κηα πιαηθόξκα απνκαθξπζκέλεο εθκάζεζεο γηα κηα ζρνιή. 2.3 Σύπνη VLAN VLANΓεδνκέλσλ (datavlan) λα VLAN δεδνκέλσλ είλαη έλα VLAN πνπ έρεη ξπζκηζηεί γηα λα εθηειεί θπθινθνξία πνπ παξάγεηαη από ηνπο ρξήζηεο. Μεηαθνξά θσλήο ή θπθινθνξία δηαρείξηζεο κέζσ VLAN δελ ζα απνηεινύζε θνκκάηη ελόο VLAN δεδνκέλσλ. Δίλαη θνηλή πξαθηηθή λα δηαρσξίδεηαη ε θπθινθνξία θσλήο (voicedata) θαη δηαρείξηζεο (managementdata) από ηελ θπθινθνξία δεδνκέλσλ (data). λα VLAN δεδνκέλσλ κεξηθέο θνξέο αλαθέξεηαη θαη σο ην VLAN ρξήζηε. Σα VLANs δεδνκέλσλ ρξεζηκνπνηνύληαη γηα λα μερσξίζνπλ ην δίθηπν ζε νκάδεο ρξεζηώλ ή ζπζθεπώλ. ΠξνθαζνξηζκέλνVLAN (defaultvlan) Όιεο νη ζύξεο ηνπ κεηαγσγέα, αλήθνπλ απηόκαηα ζην πξνεπηιεγκέλνvlan κεηά από ηελ εθθίλεζή ηνπ κε ηηο αξρηθέο ξπζκίζεηο. Οη ζύξεο κεηαγσγέα πνπ ζπκκεηέρνπλ ζην πξνεπηιεγκέλν VLAN απνηεινύλ θνκκάηη ηνπ ίδηνπ νλόκαηνο ηνκέα εθπνκπήο. Απηό πξαθηηθά ζεκαίλεη όηη όιεο νη ζπζθεπέο πνπ ζα ζπλδεζνύλ γηα πξώηε θνξά ζηνλ κεηαγσγέα, ζα κπνξνύλ λα επηθνηλσλνύλ κε όιεο ηηο ππόινηπεο πνπ ζπλδένληαη ήδε ρσξίο λα ρξεηαζηεί ε παξνπζία δξνκνινγεηή. Σνπηθό VLAN(localVLAN) -10-
Γύν κεηαγσγείο κπνξνύλ λα ζπλδεζνύλ θαη λα αληαιιάμνπλ δεδνκέλα κέζσ ζπξώλ πνπ ππνζηεξίδνπλ ην πξσηόθνιιν IEEE 802.1Q. Οη ζπλδέζεηο απηέο ππνζηεξίδνπλ θίλεζε ηνπ ηδίνπ ή θαη δηαθνξεηηθώλ VLANs. Γηα λα ζπκβεί όκσο απηό, ζα πξέπεη θαη νη δύν κεηαγσγείο λα έρνπλ νξίζεη θαη λα αλαγλσξίδνπλ ηα VLANs απηά. Δάλ ππάξμεη ε πεξίπησζε πνπ ηα δεδνκέλα ελόο ρξήζηε δελ αλήθνπλ ζε θάπνην γλσζηό VLAN, ηόηε ν θάζε κεηαγσγέαο κέζσ ηνπ 802.1Q πξσηνθόιινπ, γηα λα ηα κεηαθηλήζεη, ηα εηζάγεη ζηελ θαηεγνξία VLAN, πνπ είλαη θαη ην πξνεπηιεγκέλν VLAN. Η ιεηηνπξγία ησλ ηνπηθώλ VLANs ππνζηεξίδεηαη από ηηο πξνδηαγξαθέο ηνπ IEEE 802.1Q, βάζε ηνπ νπνίνπ κπνξεί έλαο ηερλνινγηθά εμειηγκέλνο κεηαγσγέαο λα επηθνηλσλήζεη κε έλαλ παιαηόηεξν, ν νπνίνο δελ ππνζηεξίδεη VLANs. πλήζεο πξαθηηθή είλαη λα παξακέλεη ην VLAN 1 σο ην πξνεπηιεγκέλν VLAN θαη λα ξπζκίδνληαη εθ λένπ ηα ππόινηπα. VLAN Γηαρεηξηζεο (ManagementVLAN) λα VLAN δηαρείξηζεο είλαη έλα νπνηνδήπνηε VLAN πνπ έρεη ξπζκηζηεί γηα λα έρεη πξόζβαζε ζηηο ηθαλόηεηεο δηαρείξηζεο ελόο κεηαγσγέα. Σν VLAN 1 απνηειεί ην VLAN δηαρείξηζεο σο πξνεπηινγή. Γηα λα δεκηνπξγήζεηο έλα VLAN δηαρείξηζεο, ε δηεπαθή ηνπ κεηαγσγέα (SVI) εθείλνπ ηνπ VLAN παίξλεη κηα ΙΡ δηεύζπλζε θαη κάζθα ππνδηθηύνπ, πνπ επηηξέπεη ζηνλ κεηαγσγέα λα είλαη δηαρεηξίζηκνο κέζσ HTTP, Telnet, SSH, ή SNMP. πλήζεο πξαθηηθή σζηόζν είλαη ν δηαρεηξηζηήο ηνπ δηθηύνπ λα κελ ρξεζηκνπνηεί ην VLAN1 γηα δηαρείξηζε, αιιά λα ξπζκίδεη εθ λένπ έλα άιιν. Τπάξρεη έλαο κεγάινο αξηζκόο από δηαθνξεηηθνύο ηύπνπο VLAN επηζέζεσλ ζε ζύγρξνλα δίθηπα κεηαγσγέα. Η αξρηηεθηνληθή ηνπ VLAN απινπνηεί ηελ δηαηήξεζε δηθηύνπ θαη βειηηώλεη ηελ απόδνζε, αιιά επίζεο δεκηνπξγεί δπλαηόηεηεο γηα επηζέζεηο από θαθόβνπινπο ρξήζηεο. Δίλαη ζεκαληηθό λα θαηαλνήζνπκε ηελ γεληθή κεζνδνινγία πίζσ από απηέο ηηο επηζέζεηο θαη ηηο πξσηαξρηθέο πξνζεγγίζεηο γηα λα ηηο κεηξηάζνπκε. πγθεθξηκέλα: VLAN hopping: Δίλαη κία ηερληθή πνπ επηηξέπεη ε θίλεζε από έλα VLAN λα είλαη νξαηή θαη ζε θάπνην άιιν VLAN. Δπηπξνζζέησο ε ηερληθή switch spoofing είλαη έλαο ηύπνο VLAN hopping επίζεζεο πνπ ιεηηνπξγεί εθκεηαιιεπόκελε -11-
ηελ ιαλζαζκέλε παξακεηξνπνίεζε θάπνηνπ trunk port. Η πξνεπηινγή (default configuration) ηα trunk ports έρνπλ πξόζβαζε ζηελ θίλεζε όισλ ησλ VLANs θαη πεξλνύλ δεδνκέλα γηα πνιιά θαη δηαθνξεηηθά VLANs ρξεζηκνπνηώληαο ην ίδην θπζηθό κέζν (θαιώδην). Απηή είλαη κία ζύλεζεο ζύλδεζε κεηαμύ κεηαγσγώλ (switches). Double-tagging: Απνηειεί κία αθόκε επηθίλδπλε επίζεζε πνπ αθνξά ηα VLANs. Απηνύ ηνπ είδνπο ε επίζεζε εθκεηαιιεύεηαη ηνλ ηξόπν πνπ ιεηηνπξγεί ην πιηθό ζε πνιιά από ηα switches. Σα πεξηζζόηεξα εθηεινύλ κόλν έλα επίπεδν ηνπ 802.1Q απνελζπιιάθσζεο (de-encapsulation), πνπ επηηξέπεη ηνλ εηζβαιιόκελν λα ελζσκαηώζεη έλα θξπθό 802.1Q tag εληόο ηνπ αξρηθνύ frame. Απηό ην tag επηηξέπεη ην frame λα πξνσζεζεί ζε VLAN πνπ θαλνληθά δελ επηηξεπόηαλ αξρηθά. λα ζεκαληηθό πιενλέθηεκα απηήο ηεο ηερληθήο επίζεζεο είλαη όηη ε δηπιή ελζπιιάθσζε (double-encapsulation) κπνξεί λα ιεηηνπξγήζεη αθόκε θαη όηαλ ηα trunk ports είλαη απελεξγνπνηεκέλα, δηόηη έλαο απιόο ρξήζηεο ζηέιλεη πάληα έλα frame ηνπ ζε ζύλδεζε πνπ δελ είλαη trunk. 2.4 Πξσηόθνιια Γξνκνιόγεζεο (ηαηηθή, Γπλακηθή, Αλαθαηεύζπλζε) Σα πξσηόθνιια δξνκνιόγεζεο κπνξνύλ λα ηαμηλνκεζνύλ ζε δηαθνξεηηθέο νκάδεο α- λάινγα κε ηα ραξαθηεξηζηηθά ηνπο. Δηδηθόηεξα, ηα πξσηόθνιια δξνκνιόγεζεο κπνξνύλ λα ηαμηλνκεζνύλ ζύκθσλα κε: θνπό - Πξσηόθνιιν Δζσηεξηθώλ Ππιώλ (Interior Gateway Protocol / IGP) ή Πξσηόθνιιν Δμσηεξηθώλ Ππιώλ (Exterior Gateway Protocol / EGP). Λεηηνπξγία - Γηαλύζκαηα Απνζηάζεσλ (distance vector protocols), πξσηόθνιιν θαηάζηαζεο ζύλδεζεο (link state protocols) ή πξσηόθνιιν path-vector / δηαλύζκαηνο-κνλνπαηηνύ. πκπεξηθνξά Classful ή classless, δειαδή ην αλ ππνζηεξίδνπλ ζρήκα δηεπζπλζηνδόηεζεο (ip addressing scheme) πνπ λα βαζίδεηαη ζε θιάζεηο δηεπζύλζεσλ ή όρη. -12-
Σν Γηαδίθηπν βαζίδεηαη ζηε γεληθή ηδέα ηνπ AS (απηόλνκνπ ζπζηήκαηνο), γηα απηό ην ιόγν απαηηνύληαη δύν είδε πξσηνθόιισλ δξνκνιόγεζεο, ηα εμήο: Πξσηόθνιια Δζσηεξηθώλ Ππιώλ - Υξεζηκνπνηνύληαη γηα δξνκνιόγεζε ε- ληόο ηνπ AS (απηόλνκνπ ζπζηήκαηνο). Δπίζεο αλαθέξεηαη θαη σο δξνκνιόγεζε intra-as. Δηαηξείεο, νξγαληζκνί αθόκε θαη θνξείο παξνρήο ππεξεζηώλ ρξεζηκνπνηνύλ Πξσηόθνιιν Δζσηεξηθώλ Ππιώλ ζηα εζσηεξηθά ηνπο δίθηπα. Σν Πξσηόθνιιν Δζσηεξηθώλ Ππιώλ πεξηιακβάλεη ηα RIP, EIGRP, OSPF θαη IS-IS. Πξσηόθνιια Δμσηεξηθώλ Ππιώλ - Υξεζηκνπνηνύληαη γηα δξνκνιόγεζε αλάκεζα ζε AS (απηόλνκα ζπζηήκαηα). Αλαθέξεηαη επίζεο θαη σο δξνκνιόγεζε inter-as. Φνξείο παξνρήο ππεξεζηώλ θαη εηαηξείεο κεγάινπ κεγέζνπο δύλαληαη λα ελδνεπηθνηλσλνύλ ρξεζηκνπνηώληαο Πξσηόθνιιν Δμσηεξηθώλ Ππιώλ. Σν Border Gateway Protocol (BGP) απηή ηε ζηηγκή είλαη ην κνλαδηθό βηώζηκν Πξσηόθνιιν Δμσηεξηθώλ Ππιώλ θαη είλαη ην επίζεκν πξσηόθνιιν δξνκνιόγεζεο πνπ ρξεζηκν-πνηείηαη από ην Γηαδίθηπν. Τπάξρνπλ πεξηπηώζεηο όπνπ ην πξσηόθνιιν δξνκνιόγεζεο καζαίλεη/εθηειεί πεξηζζόηεξεο από κηα δηαδξνκέο γηα ηνλ ίδην πξννξηζκό. Γηα ηελ επηινγή ηεο θαιύηεξεο δηαδξνκήο ην πξσηόθνιιν δξνκνιόγεζεο πξέπεη λα είλαη ζε ζέζε λα αμηνινγεί θαη λα δηαθνξνπνηεί κεηαμύ ησλ δηαζέζηκσλ δηαδξνκώλ. Απηό επηηπγράλεηαη κέζσ ηεο ρξήζεο ησλ κεηξηθώλ δξνκνιόγεζεο. Η κεηξηθή είλαη κηα κεηξίζηκε ηηκή πνπ αλαηίζεηαη από ην πξσηόθνιιν δξνκνιόγεζεο ζε δηαθνξεηηθέο δηαδξνκέο κε βάζε ηελ ρξεζηκόηεηα απηήο ηεο δηαδξνκήο. ε πεξηπηώζεηο όπνπ ππάξρνπλ πνιιαπιά κνλνπάηηα γηα ην ίδην απνκαθξπζκέλν δίθηπν, ηόηε νη κεηξηθέο δξνκνιόγεζεο ρξεζηκνπνηνύληαη γηα λα απνζαθελίζνπλ ην ζπλνιηθό «θόζηνο» ελόο κνλνπαηηνύ από ηελ πεγή κέρξη ηνλ πξννξηζκό. Σα πξσηόθνιια δξνκνιόγεζεο πξνζδηνξίδνπλ ην θαιύηεξν κνλνπάηη κε βάζε ηελ δηαδξνκή πνπ έρεη ην κηθξόηεξν θόζηνο. Γηαθνξεηηθά πξσηόθνιια δξνκνιόγεζεο ρξεζηκνπνηνύλ δηαθνξεηηθέο κεηξηθέο. Η κεηξηθή πνπ ρξεζηκνπνηείηαη από έλα πξσηόθνιιν δξνκνιόγεζεο δελ είλαη ζπγθξίζηκε κε ηελ κεηξηθή πνπ ρξεζηκνπνηείηαη από έλα άιιν πξσηόθνιιν δξνκνιόγεζεο. Γπν δηα- -13-
θνξεηηθά πξσηόθνιια δξνκνιόγεζεο ελδέρεηαη λα επηιέμνπλ δηαθνξεηηθά κνλνπάηηα γηα ηνλ ίδην πξννξηζκό. Dynamic Routing Protocols (Πξσηόθνιια Γπλακηθήο Γξνκνιόγεζεο) Σα πξσηόθνιια δξνκνιόγεζεο ρξεζηκνπνηνύληαη γηα λα δηεπθνιύλνπλ ηελ αληαιιαγή πιεξνθνξηώλ δξνκνιόγεζεο κεηαμύ ησλ δξνκνινγεηώλ. λα πξσηόθνιιν δξνκνιόγεζεο είλαη έλα ζύλνιν από δηαδηθαζίεο, αιγόξηζκνπο θαη κελύκαηα πνπ ρξεζηκνπνηνύληαη γηα ηελ αληαιιαγή πιεξνθνξηώλ δξνκνιόγεζεο θαη ηελ ζπκπιήξσζε ηνπ πίλαθα δξνκνιόγεζεο κε ηελ επηινγή ηνπ πξσηνθόιινπ δξνκνιόγεζεο ησλ θαιύηεξσλ κνλνπαηηώλ. Ο ζθνπόο ησλ Γπλακηθώλ Πξσηνθόιισλ Γξνκνιόγεζεο πεξηιακβάλεη: Αλαθάιπςε απόκαθξσλ δηθηύσλ, Δπηινγή ηνπ θαιύηεξνπ κνλνπαηηνύ πξνο ηνλ πξννξηζκό ησλ δηθηύσλ, Ιθαλόηεηα γηα ηελ εύξεζε ηνπ θαιύηεξνπ κνλνπαηηνύ εάλ ην πξόζθαην κνλνπάηη δελ είλαη πιένλ δηαζέζηκν. Οη θύξηεο ζπληζηώζεο ηνπ Γπλακηθνύ Πξσηνθόιινπ Γξνκνιόγεζεο πεξηιακβάλνπλ: Γνκέο Γεδνκέλσλ - ηα Πξσηόθνιια Γξνκνιόγεζεο ζπλήζσο ρξεζηκνπνηνύλ πίλαθεο ή βάζεηο δεδνκέλσλ γηα ηηο πξάμεηο ηνπο. Η πιεξνθνξία απηή απνζεθεύεηαη ζηε κλήκε RAM. Μελύκαηα Πξσηνθόιινπ Γξνκνιόγεζεο - Σα Πξσηόθνιια Γξνκνιόγεζεο ρξεζηκνπνηνύλ πνηθίια είδε κελπκάησλ γηα λα εληνπίζνπλ γεηηνληθνύο δξνκνινγεηέο, αληαιιάζζνπλ πιεξνθνξίεο δξνκνιόγεζεο θαη άιιεο εξγαζίεο γηα λα κάζνπλ θαη λα δηαηεξήζνπλ αθξηβείο πιεξνθνξίεο ζρεηηθά κε ην δίθηπν. Αιγόξηζκνο - λαο αιγόξηζκνο είλαη κηα πεπεξαζκέλε ιίζηα κε ζηάδηα πνπ ρξεζηκνπνηνύληαη γηα ηελ νινθιήξσζε κηαο εξγαζίαο. Σα Πξσηόθνιια Γξνκνιόγεζεο ρξεζηκνπνηνύλ ηνπο αιγόξηζκνύο γηα ηε δηεπθόιπλζε ησλ πιεξνθνξηώλ δξνκνιόγεζεο θαη γηα ηνλ θαζνξηζκό ηνπ θαιύηεξνπ κνλνπαηηνύ / δηαδξνκήο. -14-
Σα πξσηόθνιια δξνκνιόγεζεο επηηξέπνπλ ζηνπο δξνκνινγεηέο λα κνηξάδνληαη δπλακηθά πιεξνθνξίεο γηα απνκαθξπζκέλα δίθηπα θαη απηόκαηα λα πξνζζέηνπλ απηέο ηηο πιεξνθνξίεο ζηνπο δηθνύο ηνπο πίλαθεο δξνκνιόγεζεο. Σα πξσηόθνιια δξνκνιόγεζεο θαζνξίδνπλ ην θαιύηεξν κνλνπάηη ή δηαδξνκή γηα θάζε δίθηπν. Η δηαδξνκή απηή έπεηηα πξνζηίζεηαη ζηνλ πίλαθα δξνκνιόγε-ζεο. Σν θύξην πιενλέθηεκα ησλ δπλακηθώλ πξσηνθόιισλ δξνκνιόγεζεο είλαη όηη νη δξνκνινγεηέο αληαιιάζζνπλ πιεξνθνξίεο δξνκνιόγεζεο όηαλ ππάξρεη αιιαγή ηνπνινγίαο. Η αληαιιαγή απηή επηηξέπεη ζηνπο δξνκνιν-γεηέο λα καζαίλνπλ απηόκαηα γηα λέα δίθηπα, ό- πσο επίζεο λα εληνπίδνπλ ελαιιαθηηθά κνλνπάηηα όηαλ ππάξρεη δηαθνπή ζύλδεζεο ζε πθηζηάκελν δίθηπν. Γξνκνιόγεζε Γηαλύζκαηνο Απόζηαζεο (Distance Vector Routing) Γηαλύζκαηα απόζηαζεο ζεκαίλεη όηη νη δξνκνινγεηέο εηζάγνληαη κε ηελ παξν-ρή δύν ραξαθηεξηζηηθώλ: Απόζηαζε - Πξνζδηνξίδεη πόζν καθξηά είλαη ην δίθηπν πξννξηζκνύ θαη βαζίδεηαη ζε έλα κεηξηθό όπσο είλαη ε θαηακέηξεζε βεκάησλ, ηνπ θόζηνπο, ηνπ εύξνπο δώλεο, ηεο θαζπζηέξεζεο θαη άιισλ. Γηάλπζκα - Καζνξίδεη ηελ θαηεύζπλζε ηνπ επόκελνπ βήκαηνο ηνπ δξνκνινγεηή ή βγαίλεη από ηελ δηαζύλδεζε γηα λα θηάζεη ζηνλ πξννξηζκό. Τπάξρνπλ ηέζζεξα είδε δηαλύζκαηνο απόζηαζεο IPv4 IGPs: RIPv1 - πξσηόθνιιν πξώηεο γεληάο. RIPv2 - απιά δηαλύζκαηα απόζηαζεο πξσηνθόιινπ δξνκνινγεηή. IGRP - πξώηεο γεληάο ηδηόθηεην πξσηόθνιιν Cisco (παξσρεκέλν θαη αληηθαηεζηεκέλν από ην EIGRP). EIGRP - πξνεγκέλε έθδνζε ησλ δηαλπζκάησλ απόζηαζεο δξνκνιν-γεηή. Link State Routing ε αληίζεζε κε ηελ ιεηηνπξγία ηνπ πξσηνθόιινπ δηαλύζκαηνο απόζηαζεο, ν δξνκνινγεηήο πνπ έρεη ξπζκηζηεί κε πξσηόθνιιν θαηάζηαζεο ζύλδεζεο κπνξεί λα δεκηνπξγή- -15-
ζεη κηα πιήξε εηθόλα ηεο ηνπνινγίαο ηνπ δηθηύνπ ζπγθεληξώλνληαο πιεξνθνξίεο από όινπο ηνπο γύξσ δξνκνινγεηέο. πλερίδνληαο ην παξάδεηγκα ησλ κελπκάησλ / sign posts, ρξεζηκνπνηώληαο πξσηόθνιιν δξνκνινγεηή θαηάζηαζεο ζύλδεζεο παξνκνηάδεηαη κε ηελ νινθιήξσζε ελόο ράξηε ζην δίθηπν ηεο ηνπνινγίαο. Σα sign posts θαηά ηελ δηαδξνκή από ηελ πξνέιεπζε ζηνλ πξννξηζκό δελ είλαη απαξαίηεηα, επεηδή όινη νη δξνκνινγεηέο θαηάζηαζεο ζύλδεζεο ρξεζηκνπνηνύλ παλνκνηόηππν ράξηε ηνπ δηθηύνπ. Ο δξνκνινγεηήο θαηάζηαζεο ζύλδεζεο ρξεζηκνπνηεί ηηο πιεξνθνξίεο θαηάζηαζεο ζύλδεζεο γηα λα δεκηνπξγήζεη ράξηε ηνπνινγίαο θαη λα δηαιέμεη ην θαιύηεξν κνλνπάηη πξνο όια ηα δίθηπα πξννξηζκνύ κέζα ζηελ ηνπνινγία. Σα πξσηόθνιια θαηάζηαζεο ζύλδεζεο ιεηηνπξγνύλ θαιύηεξα ζε θαηαζηάζεηο όπνπ: Σν δίθηπν είλαη ζρεδηαζκέλν ηεξαξρηθά, ζπλήζσο ζπκβαίλεη ζε κεγάια δίθηπα. Η γξήγνξε ζύγθιηζε ηνπ δηθηύνπ είλαη δσηηθήο ζεκαζίαο. Οη δηαρεηξηζηέο έρνπλ θαιή γλώζε / γλσξίδνπλ ηνπ εθαξκνδόκελνπ πξσηνθόιινπ δξνκνιόγεζεο θαηάζηαζεο ζύλδεζεο. Τπάξρνπλ δπν είδε θαηάζηαζεο ζύλδεζεο IPv4 IGPs: OSPF - Γεκνθηιή πξόηππα βαζηζκέλα ζην πξσηόθνιιν δξνκνιόγε-ζεο. IS-IS - Γεκνθηιή ζε παξνρνύο δηθηύσλ. Γπλακηθή Γξνκνιόγεζε έλαληη ηαηηθήο Γξνκνιόγεζεο (Dynamic versus Static Routing) Η Γπλακηθή Γξνκνιόγεζε έρεη αξθεηά πιενλεθηήκαηα ζπγθξηηηθά κε ηελ ηαηηθή Γξνκνιόγεζε, σζηόζν ε ζηαηηθή δξνκνιόγεζε εμαθνινπζεί λα ρξεζηκνπνηείηαη ζηε ζεκεξηλή επνρή από ηα δίθηπα. ηελ πξαγκαηηθόηεηα ηα δίθηπα είζηζηαη λα ρξεζηκνπνηνύλ έλαλ ζπλδπαζκό θαη ησλ δύν, ηεο ζηαηηθήο θαη δπλακηθήο δξνκνιόγεζεο. Η ζηαηηθή δξνκνιόγεζε έρεη αξθεηέο θύξηεο ρξήζεηο, ζπκπεξηιακβάλνληαο: Παξέρεη επθνιία ζηελ ζπληήξεζε ηνπ πίλαθα δξνκνιόγεζεο ζε κηθξόηεξα δίθηπα, ηα νπνία δελ αλακέλεηαη λα απμεζνύλ ζεκαληηθά. -16-
Γξνκνινγνύλ από θαη πξνο ην δίθηπν ζηειέρνπο, ην νπνίν είλαη έλα δίθηπν κε κηα κόλν πξνεπηινγή δηαδξνκήο εμόδνπ θαη δελ έρεη θακία γλώζε από νπνηνδήπνηε απνκαθξπζκέλν δίθηπν. ρεη πξόζβαζε ζε κηα κνλαδηθή πξνεπηιεγκέλε δηαδξνκή (ε νπνία ρξεζηκνπνηείηαη γηα ηελ εθπξνζώπεζε ελόο κνλνπαηηνύ ζε νπνηνδή-πνηε δίθηπν πνπ δελ έρεη πην ζπγθεθξηκέλε αληηζηνηρία κε άιιε δηαδξνκή ζηνλ πίλαθα δξνκνιόγεζεο). Σα πξσηόθνιια δπλακηθήο δξνκνιόγεζεο ιεηηνπξγνύλ νξζά ζε νπνηνδήπνηε δίθηπν πνπ πεξηέρεη αξθεηνύο δξνκνινγεηέο. Δίλαη επεθηεηλόκελα θαη απηόκα-ηα πξνζδηνξίδνπλ θαιύηεξεο δηαδξνκέο έλα ππάξρεη σο επηινγή ζηελ ηνπνινγία. Αλ θαη ππάξρνπλ πεξηζζόηεξα ζηε δηακόξθσζε ησλ πξσηνθόι-ισλ δπλακηθήο δξνκνιόγεζεο, είλαη πνιύ πην απιά ζηε ξύζκηζε κεγάινπ δηθηύνπ. Σα κεηνλεθηήκαηα ηεο δπλακηθήο δξνκνιόγεζεο πεξηιακβάλνπλ: Η δπλακηθή δξνκνιόγεζε απαηηεί γλώζε επηπξόζζεησλ εληνιώλ. Αθόκε είλαη ιηγόηεξν αζθαιήο από όηη ε ζηαηηθή δξνκνιόγεζε, επεηδή νη δηαζπλδέζεηο πνπ εληνπίδνληαη από ην πξσηόθνιιν δξνκνιόγεζεο ζηέιλνπλ ελεκεξώζεηο δξνκνιόγεζεο πξνο ηα έμσ. Οη δηαδξνκέο πνπ αθνινπζνύληαη ελδέρεηαη λα δηαθέξνπλ κεηαμύ ησλ παθέησλ. Ο αιγόξηζκνο δξνκνιόγεζεο ρξεζηκνπνηεί επηπιένλ CPU, RAM θαη ζύλδεζε εύξνπο δώλεο. OSPF Functionality Description (Πεξηγξαθή Λεηηνπξγίαο OSPF) Σν Open Shortest Path First (OSPF) είλαη έλα πξσηόθνιιν δξνκνιόγεζεο κε βάζε ηελ θαηάζηαζε ηεο ζύλδεζεο πνπ αλαπηύρζεθε γηα λα αληηθαηαζηήζεη ην πξσηόθνιιν δξνκνιόγεζεο δηαλπζκάησλ απόζηαζεο ην RIP. Σν RIP ήηαλ έλα απνδεθηό πξσηόθνιιν δξνκνιόγεζεο θαηά ηνλ πξώην θαηξό ηεο δηθηύσζεο θαη ηνπ δηαδηθηύνπ. Ωζηόζν, ε εμάξηεζε ηνπ RIP ζηελ αξίζκεζε βεκαηηζκνύ, σο ηε κόλε κεηξηθή γηα ηνλ θαζνξηζκό ηεο θαιύηεξεο δηαδξνκήο, ζύληνκα έγηλε πξνβιεκαηηθή. Η ρξήζε αξίζκεζεο βεκαηηζκνύ δελ θιηκαθώ-λεηαη θαιά/ζσζηά/νξζά ζε κεγαιύηεξα δίθηπα κε πνιιαπιά κνλνπάηηα δηαθνξεηηθώλ ηαρπηήησλ. Σν OSPF έρεη ζεκαληηθά πιενλεθηήκαηα ζε ζρέζε κε ην RIP, δεδνκέλνπ όηη πξνζθέξεη ηαρύηεξε ζύγθιηζε θαη θιηκαθώλεηαη ζε πνιύ κεγαιύηεξεο δηθηπαθέο εθαξκνγέο. -17-
Σν OSPF είλαη έλα αηαμηθό πξσηόθνιιν δξνκνιόγεζεο πνπ ρξεζηκνπνηεί ηελ έλλνηα ησλ πεξηνρώλ γηα επεθηαζηκόηεηα. Σν θεθάιαην απηό θαιύπηεη βαζηθέο, κνλαδηθήο πεξηνρήο OSPF γηα ηελ εθαξκνγή ηνπ OSPF. Σα ραξαθηεξηζηηθά ηνπ OSPF πεξηιακβάλνπλ: Classless - Δίλαη αηαμηθό κε βάζε ην ζρεδηαζκό ηνπ, έηζη ππνζηεξίδεη VLSM θαη CIDR. Απνηειεζκαηηθό - Οη αιιαγέο δξνκνιόγεζεο ελεξγνπνηνύλ ελεκεξώ-ζεηο δξνκνιόγεζεο (όρη πεξηνδηθέο ελεκεξώζεηο). Υξεζηκνπνηεί ηνλ αιγόξηζκν SPF γηα λα επηιέμεη ην θαιύηεξν κνλνπάηη. Γξήγνξε ζύγθιηζε - Γηαδίδεη γξήγνξα αιιαγέο ηνπ δηθηύνπ. Scalable - Λεηηνπξγεί θαιά ζε κηθξνύ θαη κεγάινπ κεγέζνπο δίθηπα. Οη δξνκνινγεηέο κπνξνύλ νκαδνπνηεζνύλ ζε ηνκείο/πεξηνρέο γηα λα ππνζηεξίμνπλ έλα ηεξαξρηθό ζύζηεκα. Αζθαιέο - Τπνζηεξίδεη Message Digest 5 (MD5) ηαπηόηεηαο / ηαπηνπνίεζεο. Όηαλ ελεξγνπνηείηαη νη δξνκνινγεηέο OSPF δέρνληαη κόλν θξππηνγξαθεκέλα ελεκεξώζεηο δξνκνιόγεζεο από ίδηνπο / ίζνπο / νκόηηκνπο/ κε ηνλ ίδην από πξηλ θνηλόρξεζην θσδηθό. Σα ηξία βαζηθά ζπζηαηηθά ηνπ πξσηνθόιινπ δξνκνιόγεζεο OSPF πεξηιακβάλνπλ: Γνκέο Γεδνκέλσλ Σν OSPF δεκηνπξγεί θαη δηαηεξεί ηξεηο βάζεηο δεδνκέλσλ: (βιέπε 1 ν ρήκα) Βάζε δεδνκέλσλ γεηηλίαζεο / Adjacency database - Γεκηνπξγεί ηνλ γείηνλα πίλαθα. Βάζε δεδνκέλσλ θαηάζηαζεο ζύλδεζεο (Link-state Database LSBD) - Γεκηνπξγεί ηνλ πίλαθα ηνπνινγίαο. Βάζε δεδνκέλσλ πξνώζεζεο - Γεκηνπξγεί ηνλ πίλαθα δξνκνιόγεζεο. Μελύκαηα Πξσηνθόιινπ Γξνκνιόγεζεο / Routing Protocol Messages Σν OSPF αληαιιάζζεη κελύκαηα γηα λα κεηαθέξεη πιεξνθνξίεο δξνκνιόγε-ζεο, ρξεζηκνπνηώληαο πέληε ηύπνπο παθέησλ. Σα παθέηα απηά, όπσο παξνπζηάδνληαη θαη ζην 2 ν ρήκα, είλαη: Σν παθέην Hello / Hello packet. -18-
Σν παθέην πεξηγξαθήο βάζεο δεδνκέλσλ / Database description packet. Σν παθέην αηηήκαηνο θαηάζηαζεο ζύλδεζεο / Link-state request packet. Σν παθέην ελεκέξσζεο θαηάζηαζεο ζύλδεζεο / Link-state update packet. Σν παθέην επηβεβαίσζεο/αλαγλώξηζεο θαηάζηαζεο ζύλδεζεο / Link-state acknowledgement packet. Οη δξνκνινγεηέο OSPF νινθιεξώλνπλ ηελ παξαθάησ γεληθή δηαδηθαζία δξνκνιόγεζεο θαηάζηαζεο ζύλδεζεο γηα λα θηάζνπλ ζε κηα θαηάζηαζε ζύγθιηζεο: 1. Καζηεξώλνπλ Γεηηνληθή πλάθεηα (Neighbor Adjacencies) - Οη ελεξγνπνηεκέλνη δξνκνινγεηέο OSPF πξέπεη λα αλαγλσξίδνπλ ν έλαο ηνλ άιινλ ζην δίθηπν πξηλ λα είλαη ζε ζέζε λα κνηξαζηνύλ πιεξνθνξίεο. λαο ελεξγνπνηεκέλνο δξνκνινγεηήο OSPF ζηέιλεη ηα παθέηα Hello έμσ πξνο όιεο ηηο ελεξγνπνηεκέλεο δηεπαθέο OSPF γηα λα πξνζδηνξίζεη εάλ ππάξρνπλ γείηνλεο ζε απηέο ηηο ζπλδέζεηο. Δάλ είλαη γείηνλαο παξώλ, ν ελεξγνπνηεκέλνο δξνκνινγεηήο OSPF επηρεηξεί λα δεκηνπξγήζεη γεηηνληθή ζπλάθεηα κε απηή ηνπ γείηνλα. 2. Αληαιιάζεη Γηαθεκίζεηο Καηάζηαζεο ύλδεζεο (Link-State Advertisements) (ρήκα 2) - Αθνύ νη ζπλάθεηεο έρνπλ θαζηεξσζεί, νη δξνκνινγεηέο ηόηε αληαιιάζζνπλ δηαθεκίζεηο θαηάζηαζεο ζύλδεζεο (LSAs). Σα LSAs πεξηέρνπλ ηελ θαηάζηαζε θαη ην θόζηνο ηνπ θάζε άκεζα ζπλδεδεκέλνπ ζπλδέζκνπ. Οη δξνκνινγεηέο πιεκκπξίδνπλ κε ηα δηθά ηνπο LSAs ηνπο παξαθείκελνπο γείηνλεο. Οη παξαθείκελνη γείηνλεο πνπ ιακβάλνπλ ηα LSAs άκεζα πιεκκπξίδνπλ ην LSA ζε άιινπο άκεζα ζπλδεδεκέλνπο γείηνλεο, κέρξη όινη νη δξνκνινγεηέο ηεο πεξηνρήο έρνπλ όια ηα LSAs. 3. Υηίδνπλ / θηηάρλνπλ ηνλ πίλαθα ηνπνινγίαο (build topology table) (ρήκα 3) - Μεηά ηελ ιήςε ησλ LSAs, νη ελεξγνπνηεκέλνη δξνκνινγεηέο OSPF θαηαζθεπάδνπλ ηνλ πίλαθα ηνπνινγίαο (LSDB) βαζηδόκελν ζηα ιεθζέληα LSAs. Απηή ε βάζε δεδνκέλσλ ελ ηέιεη πεξηέρεη όιεο ηηο πιεξνθνξίεο ηνπνινγίαο ηνπ δηθηύνπ. 4. Δθηεινύλ ηνλ αιγόξηζκν SPF (ρήκαηα 4 θαη 5) - Οη δξνκνινγεηέο ηόηε εθηεινύλ ηνλ αιγόξηζκν SPF. Οη κεραληζκνί (gears) ζην ζρήκα ρξεζηκνπνηνύληαη γηα λα ππνδείμνπλ ηελ εθηέιεζε ηνπ αιγόξηζκνπ SPF. Ο αιγόξηζκνο SPF δεκηνπξγεί ην δέληξν SPF. -19-
Σν OSPF κπνξεί λα εθαξκνζηεί κε έλαλ από ηνπο δύν ηξόπνπο: Μνλαδηθή πεξηνρή OSPF (Single-Area OSPF) - ην ρήκα 1, όινη νη δξνκνινγεηέο είλαη ζε κηα πεξηνρή θαη απνθαινύληαη πεξηνρή θνξκνύ (backbone area) (πεξηνρή 0). Πνιιαπιή πεξηνρή OSPF (Multiarea OSPF) - ην 2 ν ζρήκα, ν OSPF εθαξκόδεηαη ρξεζηκνπνηώληαο πνιιαπιέο πεξηνρέο, κε ηξόπν ηεξαξρηθό. Όιεο νη πεξηνρέο πξέπεη λα ζπλδεζνύλ ζηελ πεξηνρή θνξκνύ (πεξηνρή 0). Οη δξνκνινγεηέο πνπ δηαζύλδενπλ ηηο πεξηνρέο αλαθέξνληαη σο Γξνκνινγεηέο Οξίσλ Πεξηνρήο (Area Border Routers /ABR). Με πνιιαπιήο πεξηνρήο OSPF, ην OSPF κπνξεί λα δηαηξέζεη έλα κεγάιν απηόλνκν ζύζηεκα (AS) ζε κηθξόηεξεο πεξηνρέο, γηα λα ππνζηεξίμεη ηεξαξρηθή δξνκνιόγεζε. Με ηεξαξρηθή δξνκνιόγεζε, ε δξνκνιόγεζε εμαθνινπζεί λα ζπκβαίλεη κεηαμύ ησλ πεξηνρώλ (δηα-πεξηνρηαθή δξνκνιόγεζε / inter-area routing), ελώ πνιιέο από ηηο εληαηηθέο ιεηηνπξγίεο δξνκνιόγεζεο ηνπ επεμεξγαζηή, όπσο επαλππνινγηζκόο ηεο βάζεο δεδνκέλσλ, δηαηεξνύληαη κέζα ζε κηα πεξηνρή. Σν OSPF ρξεζηκνπνηεί παθέηα θαηάζηαζεο ζύλδεζεο (link-state packets / LSPs) γηα ηελ δεκηνπξγία θαη δηαηήξεζε παξαθείκελσλ γεηηόλσλ θαη αληαιιάζζεη ελεκεξώζεηο δξνκνιόγεζεο. Κάζε παθέην εμππεξεηεί έλαλ ζπγθεθξηκέλν ζθνπό θαηά ηελ δηαδηθαζία δξνκνιόγεζεο OSPF: Σύπνο 1: παθέην Hello (Hello packet) - Υξεζηκνπνηείηαη γηα λα θαζηεξώζεη θαη λα δηαηεξήζεη γεηηλίαζε κε ηνπο άιινπο δξνκνινγεηέο OSPF. Σύπνο 2: παθέην πεξηγξαθήο βάζεο δεδνκέλσλ (Database Description packet / DBD)- πεξηέρεη κηα ζπληεηκεκέλε ιίζηα ηα LSDB ηνπ δξνκνινγεηή απνζηνιέα θαη ρξεζηκνπνηείηαη από ηνπο δξνκνινγεηέο πνπ ιακβάλνπλ γηα λα ειέγμνπλ θαηά ηελ ηνπηθή LSDB. Σν LSDB πξέπεη λα είλαη παλνκνηόηππν ζε όινπο ηνπο δξνκνινγεηέο θαηάζηαζεο ζπλδέζεσλ κέζα ζε κηα πεξηνρή γηα λα θαηαζθεπαζηεί έλα αθξηβέο δέληξν SPF. Σύπνο 3: Παθέην αηηήκαηνο θαηάζηαζεο ζύλδεζεο (Link-State Request packet / LSR) - Οη δξνκνινγεηέο πνπ ιακβάλνπλ κπνξνύλ λα αηηεζνύλ πεξηζ- -20-
ζόηεξεο πιεξνθνξίεο ζρεηηθά κε νπνηαδήπνηε θαηαρώξεζε ζηε DBD (βάζε δεδνκέλσλ πεξηγξαθήο) ζηέιλνληαο έλα LSR (αίηεκα θαηάζηαζεο ζύλδεζεο). Σύπνο 4: Παθέην ελεκέξσζεο θαηάζηαζεο ζύλδεζεο (Link-State Update packet / LSU) - Υξεζηκνπνηείηαη γηα λα απαληήζεη ζε αηηήκαηα θαηάζηαζεο ζύλδεζεο (LSRs) θαη γηα λα αλαθνηλώλεη λέεο πιεξνθν-ξίεο. Οη ελεκεξώζεηο θαηάζηαζεο ζύλδεζεο (LSUs) πεξηέρνπλ επηά δηαθνξεηηθνύο ηύπνπο από επηβεβαηώζεηο θαηάζηαζεο ζύλδεζεο (LSAs). Σύπνο 5: Παθέην αλαγλώξηζεο / επηβεβαίσζεο θαηάζηαζεο ζύλδεζεο (Link-State Acknowledgment packet / LSAck) - Όηαλ κηα ελεκέξσζε θαηάζηαζεο ζύλδεζεο (LSU) ιακβάλεηαη, ν δξνκνινγεηήο ζηέιλεη έλα παθέην αλαγλώξηζεο θαηάζηαζεο ζύλδεζεο (LSAck) γηα λα επηβεβαηώζεη ηελ ελεκέξσζε θαηάζηαζεο ζύλδεζεο (LSU). Σν πεδίν δεδνκέλσλ ηεο LSAck είλαη άδεην. Όηαλ έλαο δξνκνινγεηήο OSPF ζπλδέεηαη αξρηθά ζε έλα δίθηπν, ηόηε επηρεηξεί λα: Να δεκηνπξγήζεη ζπλάθεηεο κε ηνπο γείηνλεο. Να αληαιιάμεη πιεξνθνξίεο δξνκνιόγεζεο. Να ππνινγίζεη ηηο θαιύηεξεο δηαδξνκέο. Να επηηύρεη ζύγθιηζε. Σν OSPF εμειίζζεηαη κέζα από δηάθνξεο θαηαζηάζεηο θαζώο επηρεηξεί λα επηηύρεη ζύγθιηζε: Κάησ Καηάζηαζε / Down state Αξρηθή Καηάζηαζε / Init state Ακθίδξνκε Καηάζηαζε / Two-Way state Καηάζηαζε ExStart Καηάζηαζε Αληαιιαγήο / Exchange state Καηάζηαζε Φόξησζεο / Loading state Πιήξεο θαηάζηαζε / Full state Γίθηπα κε πνιιαπιή πξόζβαζε κπνξνύλ λα δεκηνπξγήζνπλ δύν πξνθιήζεηο γηα έλα OSPF ζρεηηθά κε θαηαηγηζκό / πιεκκύξεο από LSAs. -21-
Γεκηνπξγία πνιιαπιώλ ζπλαθεηώλ (multiple adjacencies) - ηα δίθηπα Ethernet ζα κπνξνύζαλ ελδερνκέλσο λα δηαζύλδενπλ πνιινύο δξνκνινγεηέο OSPF ζε έλα θνηλό ζύλδεζκν. Η δεκηνπξγία ζπλαθεηώλ κε θάζε δξνκνινγεηή είλαη πεξηηηή θαη αλεπηζύκεηε. Καζώο ζα δεκηνπξγήζεη έλα ππεξβνιηθό αξηζκό LSAs πνπ αληαιιάζζνληαη κεηαμύ δξνκνινγεηώλ ηνπ ίδηνπ δηθηύνπ. Δθηελήο θαηαηγηζκόο κε LSAs - νη δξνκνινγεηέο θαηάζηαζεο ζύλδεζεο θαηαηγίδνπλ κε LSAs θάζε θνξά πνπ έλα OSPF πξνεηνηκάδεηαη, ή όηαλ ππάξρεη αιιαγή ζηελ ηνπνινγία. Ο θαηαηγηζκόο κπνξεί λα γίλεη ππεξβνιηθόο. Η ιύζε γηα ηε δηαρείξηζε ηνπ αξηζκνύ ησλ ζπλαθεηώλ θαη ηνπ θαηαηγηζκνύ LSAs ζε δίθηπα πνιιαπιήο πξόζβαζεο είλαη ν DR (Designated Router / Οξηζκέλνο Γξνκνινγεηήο). ε δίθηπα πνιιαπιήο πξόζβαζεο, ην OSPF δηαιέγεη έλαλ DR γηα λα είλαη ην ζεκείν δηαινγήο θαη δηαλνκήο ησλ LSAs πνπ απνζηέιινληαη θαη ιακβάλνληαη. λαο BDR (Backup Designated Router / Δθεδξηθόο Οξηζκέλνο Γξνκνινγεηήο) επηιέγεηαη επίζεο ζε πεξίπησζε πνπ ν DR απνηύρεη. Όινη νη άιιν δξνκνινγεηέο γίλνληαη DROTHERs. Ο Drother είλαη έλαο δξνκνινγεηήο πνπ δελ είλαη νύηε DR νύηε BDR. Σν θόζηνο κηαο δηεπαθήο είλαη αληηζηξόθσο αλάινγνο κε ην εύξνο δώλεο ηεο δηεπαθήο. ηζη, πςειόηεξν εύξνο δώλεο ππνδεηθλύεη ρακειόηεξν θόζηνο. Γηα απηό ην ιόγν κηα γξακκή Ethernet 10-Mb/s έρεη πςειόηεξν θόζηνο από όηη κηα γξακκή Ethernet 100-Mb/s. Ο ηύπνο πνπ ρξεζηκνπνηείηαη γηα ηνλ ππνινγηζκό θόζηνπο ηνπ OSPF είλαη: Κόζηνο = εύξνο δώλεο αλαθνξάο / δηεπαθή εύξνπο δώλεο Η πξνεπηινγή αλαθνξάο ηνπ εύξνπο δώλεο είλαη 10 ^ 8 (100.000.000). Ωο εθ ηνύηνπ, ν ηύπνο είλαη: Κόζηνο = 100.000.000 bps / δηεπαθή εύξνπο δώλεο ζε bps Πεξηγξαθή ιεηηνπξγίαο ηνπ EIGRP / EIGRP Functionality Description -22-
Σν πξσηόθνιιν δξνκνιόγεζεο ελίζρπζεο εζσηεξηθήο πύιεο / Enhanced Interior Gateway Routing Protocol (EIGRP) είλαη έλα πξνεγκέλν πξσηόθνιιν δξνκνιόγεζεο δηαλπζκάησλ απόζηαζεο πνπ αλαπηύρζεθε από ηελ Cisco Systems. Όπσο ππνδειώλεη θαη ε νλνκαζία ηνπ, ην EIGRP είλαη βαζηζκέλν ζε έλα πξσηόθνιιν δξνκνιόγεζεο ηεο Cisco ην IGRP (Interior Gateway Routing Protocol / Πξσηόθνιιν Γξνκνιόγεζεο Δζσηεξηθήο Πύιεο). Σν IGRP είλαη έλα παιαηόηεξν, αηαμηθό πξσηόθνιιν δξνκνιόγεζεο δηαλύζκαηνο απόζηαζεο. Σν EIGRP είλαη έλα πξσηόθνιιν δξνκνιόγεζεο δηαλύζκαηνο απόζηαζεο πνπ πεξηιακβάλεη ραξαθηεξηζηηθά πνπ εληνπίδνληαη ζε πξσηόθνιια δξνκνιόγεζεο θαηάζηαζεο ζύλδεζεο. Σν EIGRP είλαη θαηάιιειν γηα πνιιέο δηαθνξεηηθέο ηνπνινγίεο θαη κέζα ελεκέξσζεο. ε έλα θαιό-ζρεδηαζκέλν δίθηπν, ην EIGRP κπνξεί λα επεθηαζεί θαη λα ζπκπεξηιάβεη πνιιαπιέο ηνπνινγίεο θαη κπνξεί λα παξέρεη εμαηξεηηθά ηαρείο ρξόλνπο ζύγθιηζεο κε ειάρηζηε δηθηπαθή θπθινθνξία. Σν EIGRP είλαη έλα πξνεγκέλν πξσηόθνιιν δξνκνιόγεζεο απόζηαζεο δηαλύζκαηνο θαη πεξηιακβάλεη ραξαθηεξηζηηθά πνπ δελ εληνπίδνληαη ζε άιια πξσηόθνιια δξνκνιόγεζεο απόζηαζεο δηαλύζκαηνο όπσο ην RIP θαη ην IGRP. Γηαρένληαο Αιγόξηζκν Δλεκέξσζεο / Diffusing Update Algorithm Καζώο ε ππνινγηζηηθή κεραλή θηλεί ην EIGRP, ε Γηάρπζε Δλεκέξσζεο Αιγνξίζκνπ / Diffusing Update Algorithm (DUAL) βξίζθεηαη ζην θέληξν ηνπ πξσηνθόιινπ δξνκνιόγεζεο. Η DUAL εγγπάηαη loop-free θαη κνλνπάηηα κε αληίγξαθα θαζ όιε ηελ δηεύζπλζε (domain) δξνκνιόγεζεο. Υξεζηκν-πνηώληαο ηελ DUAL, ην EIGRP απνζεθεύεη όιεο ηα δηαζέζηκα αληίγξαθα ησλ δηαδξνκώλ γηα πξννξηζκνύο έηζη ώζηε λα πξνζαξκόδεηαη ηαρύηεξα ζε ελαιιαθηηθέο δηαδξνκέο όηαλ είλαη απαξαίηεην. Καζηεξώλνληαο Γεηηνληθέο πλάθεηεο / Establishing Neighbor Adjacencies Σν EIGRP θαζνξίδεη ηηο ζρέζεηο κε άκεζα ζπλδεδεκέλνπο δξνκνινγεηέο πνπ έρνπλ ε- πίζεο ελεξγνπνηεκέλν ην EIGRP. Οη γεηηνληθέο ζπλάθεηεο ρξεζηκνπνηνύληαη γηα λα α- ληρλεύζνπλ ηελ θαηάζηαζε απηώλ ησλ γεηηόλσλ. -23-
Αμηόπηζην Πξσηόθνιιν Μεηαθνξώλ / Reliable Transport Protocol Σν Αμηόπηζην Πξσηόθνιιν Μεηαθνξώλ (RTP) είλαη κνλαδηθό ζην EIGRP θαη παξέρεη δηαλνκή παθέησλ EIGRP ζηνπο γείηνλεο. Σν RTP θαη ν εληνπηζκόο γεηηνληθώλ ζπλαθεηώλ πξνθαινύλ ην ζηάδην γηα ηελ DUAL. Όπσο θαη ζε άιια πξσηόθνιια δξνκνιόγεζεο ην EIGRP κπνξεί λα ξπζκηζηεί γηα ηνλ έιεγρν ηαπηόηεηαο. Σν RIPv2, ην EIGRP, ην OSPF,ην IS-IS θαη ην BGP είλαη δπλαηόλ ην θαζέλα από απηά λα ξπζκηζηεί γηα λα ειεγρζνύλ / πηζηνπνηεζνύλ ε πιεξνθνξίεο δξνκνιόγεζεο πνπ θέξνπλ. Δίλαη κηα νξζή πξαθηηθή ν έιεγρνο ηαπηόηεηαο ησλ κεηαθεξόκελσλ πιεξνθνξηώλ δξνκνιόγεζεο. Με απηό ηνλ ηξόπν δηαζθαιίδεηαη όηη νη δξνκνινγεηέο κπνξνύλ λα ιάβνπλ πιεξνθνξίεο δξνκνιόγεζεο από άιινπο δξνκνινγεηέο πνπ έρνπλ ξπζκηζηεί κε ηνλ ίδην θσδηθό πξόζβαζεο ή πιεξνθνξίεο πηζηνπνίεζεο / ειέγρνπ πηζηνπνηεκέλεο (απζεληηθήο) ηαπηόηεηαο. Σν EIGRP ρξεζηκνπνηεί πέληε δηαθνξεηηθνύο ηύπνπο παθέησλ, θάπνηα ζε δεύγε. Σα παθέηα EIGRP απνζηέιινληαη ρξεζηκνπνηώληαο είηε αμηόπηζηα RTP είηε αλαμηόπηζηε δηαλνκή κπνξεί λα απνζηαιεί σο unicast, multicast ή κεξηθέο θνξέο θαη νη δπν. Οη ηύπνη παθέηνπ EIGRP νλνκάδνληαη επίζεο EIGRP παθέηα κνξθνπνίεζεο ή κελύκαηα EIGRP. Οη πέληε ηύπνη παθέησλ ηνπ EIGRP πεξηιακβάλνπλ: Hello packets - Υξεζηκνπνηνύληαη γηα ηνλ εληνπηζκό γεηηόλσλ θαη γηα ηελ δηαηήξεζε γεηηνληθώλ ζπλαθεηώλ. Απνζηέιινληαη κε αλαμηόπηζηε εθπνκπή/δηαλνκή. Multicast (ζηνπο πεξηζζόηεξνπο ηύπνπο δηθηύσλ). Update packets / Παθέηα Δλεκέξσζεο - Γηαδίδνπλ πιεξνθνξίεο δξνκνιόγεζεο ζε EIGRP γείηνλεο. Απνζηέιινληαη κε αμηόπηζηε εθπνκπή/δηαλνκή. -24-
Unicast or multicast. Acknowledgment packets / Παθέηα Αλαγλώξηζεο - Υξεζηκνπνηνύληαη γηα ηελ αλαγλώξηζε ιήςεο ελόο EIGRP κελύκαηνο πνπ ζηάιζεθε κέζσ αμηόπηζηεο απνζηνιήο. Απνζηέιινληαη κε αλαμηόπηζηε απνζηνιή/ εθπνκπή. Query packets / Παθέηα Δξσηεκάησλ - Υξεζηκνπνηνύληαη γηα ηελ αλαδήηεζε δηαδξνκώλ από ηνπο γείηνλεο. Απνζηέιινληαη κε αμηόπηζηε εθπνκπή/δηαλνκή. Unicast or multicast. Reply packets / Παθέηα Απαληήζεσλ - Απνζηέιινληαη ζε απάληεζε εξσηήκαηνο EIGRP. Απνζηέιινληαη κε αμηόπηζηε εθπνκπή/δηαλνκή. Unicast. Σα παθέηα Hello EIGRP απνζηέιινληαη ζε IPv4 ή IPv6 multicasts θαη ρξεζηκνπνηνύλ RTP αλαμηόπηζηε παξάδνζε. Απηό ζεκαίλεη όηη ν ιήπηεο δελ απαληά κε παθέην αλαγλώξηζεο. Η ιεθζείζα muticast δηεύζπλζε ηνπ EIGRP γηα IPv4 είλαη 240.0.0.10. Η ιεθζείζα muticast δηεύζπλζε ηνπ EIGRP γηα IPv6 είλαη FF02::A. 2.5 Network Address Translation (NAT) / Μεηάθξαζε Γηεύζπλζεο Γηθηύνπ (Dynamic NAT, Static NAT, PAT) Η NΑΣ έρεη πνιιέο ρξήζεηο, αιιά ε θύξηα ρξήζε ηεο είλαη λα δηαηεξεί ηηο δεκόζηεο IPv4 δηεπζύλζεηο. Απηό επηηπγράλεηαη επηηξέπνληαο ζηα δίθηπα λα ρξεζηκνπνηνύλ εζσηεξηθά ηδησηηθέο IPv4 δηεπζύλζεηο θαη παξέρνληαο κεηάθξαζε ζε κηα δεκόζηα δηεύζπλζε κόλν όηαλ απαηηείηαη. Η ΝΑΣ έρεη έλα επηπιένλ πιενλέθηεκα πξνζζέηνληαο έλα βαζκό ηδησηηθόηεηαο θαη αζθάιεηαο ζε έλα δίθηπν, δηόηη θξύβεη εζσηεξηθέο δηεπζύλζεηο IPv4 από εμσηεξηθά δίθηπα. -25-
Οη ελεξγνπνηεκέλνη δξνκνινγεηέο κε ΝΑΣ κπνξνύλ λα ξπζκηζηνύλ κε κηα ή πεξηζζόηεξεο έγθπξεο δεκόζηεο IPv4 δηεπζύλζεηο. Απηέο νη δεκόζηεο δηεπζύλζεηο είλαη γλσζηέο σο Nat pool. Όηαλ κηα εζσηεξηθή ζπζθεπή ζηέιλεη θπθινθνξία έμσ από ην δίθηπν, ν ελεξγνπνηεκέλνο δξνκνινγεηήο κε NAT κεηαθξάδεη ηελ εζσηεξηθή IPv4 δηεύζπλζε ηεο ζπζθεπήο ζε κηα δεκόζηα δηεύζπλζε από ηελ NAT pool. ε εμσηεξηθέο ζπζθεπέο, όιε ε εηζεξρόκελε θαη εμεξρόκελε θπθινθνξία (traffic) ηνπ δηθηύνπ εκθαλίδεηαη λα δηαζέηεη κηα δεκόζηα δηεύζπλζε IPv4 από ηελ παξερόκελε δεμακελή (pool) δηεπζύλζεσλ. Όηαλ ρξεζηκνπνηείηαη ε ΝΑΣ, νη IPv4 δηεπζύλζεηο έρνπλ δηαθνξεηηθνύο πξννξηζκνύο βαζηδόκελεο ζην αλ είλαη ζε έλα ηδησηηθό δίθηπν ή ζε έλα δεκόζην δίθηπν (Γηαδίθηπν), θαη ζην εάλ ε θπθινθνξία (traffic) είλαη εηζεξρόκελε ή εμεξρόκελε. Η ΝΑΣ πεξηιακβάλεη ηέζζεξηο ηύπνπο δηεπζύλζεσλ: Δζσηεξηθέο ηνπηθέο δηεπζύλζεηο. Δζσηεξηθέο παγθόζκηεο δηεπζύλζεηο. Δμσηεξηθέο ηνπηθέο δηεπζύλζεηο. Δμσηεξηθέο παγθόζκηεο δηεπζύλζεηο. Όηαλ θαζνξίδεηαη πνηνο ηύπνο δηεύζπλζεο ρξεζηκνπνηείηαη, είλαη ζεκαληηθό λα ππελζπκίδεηαη όηη ε νξνινγία ηεο ΝΑΣ πάληνηε εθαξκόδεηαη από ηελ ζθνπηά ηεο ζπζθεπήο κε ηε κεηαθξαδόκελε δηεύζπλζε: Δζσηεξηθή δηεύζπλζε - Η δηεύζπλζε ηεο ζπζθεπήο, ε νπνία κεηαθξάδεηαη από ηελ ΝΑΣ. Δμσηεξηθή δηεύζπλζε - Η δηεύζπλζε ηεο ζπζθεπήο πξννξηζκνύ. Η ΝΑΣ ρξεζηκνπνηεί αθόκε θαη ηελ έλλνηα ηνπ ηνπηθνύ ή παγθόζκηνπ εθηηκώληαο ηηο δηεπζύλζεηο: Σνπηθή δηεύζπλζε - Μηα ηνπηθή δηεύζπλζε είλαη νπνηαδήπνηε δηεύζπλζε πνπ εκθαλίδεηαη εληόο ηκήκαηνο ηνπ δηθηύνπ. -26-
Παγθόζκηα δηεύζπλζε - Μηα παγθόζκηα δηεύζπλζε είλαη νπνηαδήπνηε δηεύζπλζε πνπ εκθαλίδεηαη εθηόο ηκήκαηνο ηνπ δηθηύνπ. Static Nat / ηαηηθή ΝAT Τπάξρνπλ ηξία είδε κεηάθξαζεο ΝΑΣ: Static address translation / ηαηηθή κεηάθξαζε δηεύζπλζεο - λαο πξνο έ- λαλ θαζνξηζκόο δηεύζπλζεο κεηαμύ ηνπηθώλ θαη παγθόζκησλ δηεπζύλζεσλ. Dynamic address translation / Γπλακηθή κεηάθξαζε δηεύζπλζεο - Πνιινί πξνο πνιινύο θαζνξηζκνί δηεύζπλζεο αλάκεζα ζε ηνπηθέο θαη παγθόζκηεο δηεπζύλζεηο. Port Address Translation / Μεηάθξαζε Γηεύζπλζεο Θύξαο - Πνιινί πξνο έλαλ θαζνξηζκόο δηεύζπλζεο κεηαμύ ηνπηθώλ θαη παγθόζκησλ δηεπζύλζεσλ. Η κέζνδνο απηή είλαη γλσζηή θαη σο ππεξθόξησζε (NAT overloading). Static Nat / ηαηηθή ΝAT Η ηαηηθή ΝΑΣ ρξεζηκνπνηεί έλαλ πξνο έλα θαζνξηζκό ησλ ηνπηθώλ θαη παγθόζκησλ δηεπζύλζεσλ. Οη θαζνξηζκνί απηνί ξπζκίδνληαη από ηνλ δηαρεηξηζηή δηθηύνπ θαη παξακέλνπλ ζηαζεξνί. ην ζρήκα, ην R2 έρεη ξπζκηζηεί κε ζηαηηθνύο θαζνξηζκνύο/αληηζηνηρίζεηο γηα ην εζσηεξηθό ησλ ηνπηθώλ δηεπζύλζεσλ ησλ Svr1, PC2 θαη PC3. Όηαλ νη ζπζθεπέο απηέο ζηέιλνπλ δεδνκέλα (data) ζην Γηαδίθηπν, νη εζσηεξηθέο ηνπηθέο ηνπο δηεπζύλζεηο κεηαθξάδνληαη ζηηο ξπζκηδόκελεο εζσηεξηθέο παγθόζκηεο δηεπζύλζεηο. Γηα εμσηεξηθά δίθηπα νη ζπζθεπέο απηέο έρνπλ δεκόζηεο δηεπζύλζεηο IPv4. Γπλακηθή ΝΑΣ / Dynamic NAT Η Γπλακηθή ΝΑΣ ρξεζηκνπνηεί κηα δεμακελή ιίζηα (pool - list) από δεκόζηεο δηεπζύλεηο θαη ηηο εθρσξεί ζε πξσηνεξρόκελε θαη πξσην-εμππεξεηνύκελε βάζε. Όηαλ κηα ε- ζσηεξηθή ζπζθεπή αηηείηαη πξόζβαζε ζε λα εμσηεξηθό δίθηπν, ηόηε ε δπλακηθή NAT εθρσξεί κηα δηαζέζηκε δεκόζηα δηεύζπλζε IPv4 από ηελ δεμακελή. Μεηάθξαζε Γηεύζπλζεο Θύξαο / Port Address Translation -27-
Η Μεηάθξαζε Γηεύζπλζεο Θύξαο / Port Address Translation (PAT), γλσζηή θαη σο π- πεξθόξησζε ΝΑΣ, ραξηνγξαθεί/θαζνξίδεη πνιιαπιέο ηδησηηθέο δηεπζύλζεηο IPv4 ζε κηα εληαία δεκόζηα δηεύζπλζε IPv4 ή ζε ιίγεο δηεπζύλζεηο. Απηό πξαγκαηνπνηνύλ νη πεξηζζόηεξνη νηθηαθνί δξνκνινγεηέο. Σν ISP εθρσξεί κηα δηεύζπλζε ζην δξνκνινγεηή, αιιά παξάιιεια πνιιά κέιε ηεο νηθίαο κπνξνύλ λα έρνπλ πξόζβαζε ζην Γηαδίθηπν ηαπηόρξνλα. Απηή είλαη ε πην δηαδνκέλε κνξθή ηεο ΝΑΣ. Με ηελ ΡΑΣ, πνιιαπιέο δηεπζύλζεηο κπνξνύλ λα θαζνξηζηνύλ ζε κηα ή ιηγόηεξεο δηεπζύλζεηο, επεηδή ε θάζε ηδησηηθή δηεύζπλζε είλαη επίζεο εληνπηδόκελε κε αξηζκό ζύξαο. Όηαλ κηα ζπζθεπή εθθηλεί κηα ζύλνδν TCP/IΡ, απηό δεκηνπξγεί κηα ζύλνδν TCP ή κηα UDP ζύξα πεγήο κε ηθαλόηεηα λα πξνζδηνξίζεη επαθξηβώο ηε ζπλεδξία/ζύλνδν. Όηαλ ν δξνκνινγεηήο ΝΑΣ ιακβάλεη έλα παθέην από ηνλ πειάηε, ρξεζηκνπνηεί ηνλ αξηζκό ηεο ζύξαο πεγήο (source port number) γηα λα πξνζδηνξίζεη κνλαδηθά ηελ ζπγθεθξηκέλε κεηάθξαζε NAT. Η ΡΑΣ εμαζθαιίδεη όηη νη ζπζθεπέο ρξεζηκνπνηνύλ έλαλ δηαθνξεηηθό TCP αξηζκό ζύξαο γηα θάζε ζύλνδν κε έλαλ εμππεξεηεηή ζην δηαδίθηπν. Όηαλ ε απάληεζε ιακβάλεηαη πίζσ από ηνλ εμππεξεηεηή, ν αξηζκόο ηεο ζύξαο πεγήο (source port number), ν νπνίνο γίλεηαη αξηζκόο ζύξαο πξννξηζκνύ από ην ηαμίδη επηζηξνθήο, θαζνξίδεη ζε πνηα ζπζθεπή ν δξνκνινγεηήο πξνσζεί ηα παθέηα. Η δηαδηθαζία ΡΑΣ επηθπξώλεη αθόκε όηη ηα εηζεξρόκελα παθέηα ήηαλ έπεηηα από αίηεκα, πξνζζέηνληαο κε απηό ηνλ ηξόπν έλα βαζκό αζθάιεηαο ζηε ζύλνδν. Η ΝΑΣ παξέρεη πνιιά νθέιε, ζπκπεξηιακβαλνκέλσλ: Η ΝΑΣ δηαηεξεί ην λόκηκα θαηνρπξσκέλν ζύζηεκα δηεπζύλζεσλ επηηξέπνληαο ηελ ηδησηηθόηεηα ησλ intranets. Με ηελ ΝΑΣ ζε ππεξθόξησζε (NAT overload), νη εζσηεξηθνί δέθηεο κπνξνύλ λα κνηξαζηνύλ κηα εληαία δεκόζηα δηεύζπλζε IPv4 γηα όιεο ηηο εμσηεξηθέο επηθνηλσλίεο. ε απηνύ ηνπ είδνπο ην ζρεκαηηζκό, πνιύ ιίγεο εμσηεξηθέο δηεπζύλζεηο είλαη απαξαίηεηεο γηα λα ππνζηεξίμνπλ πνιινύο εζσηεξηθνύο δέθηεο. Η NAT απμάλεη ηελ επειημία ησλ ζπλδέζεσλ κε ην δεκόζην δίθηπν. Πνιιαπιέο δεμακελέο (pools), δεμακελέο αληηγξάθσλ αζθαιείαο θαη δεμακελέο θόξησζεοεμηζνξξόπεζεο κπνξνύλ λα εθαξκνζηνύλ γηα λα εμαζθαιίζνπλ αμηόπηζηεο ζπλδέζεηο δεκόζην δίθηπν. -28-
Η NAT παξέρεη ζπλεθηηθόηεηα γηα ηα ζπζηήκαηα εζσηεξηθνύ δηθηύνπ δηεύζπλζεο. ε έλα δίθηπν πνπ δελ ρξεζηκνπνηεί ηδησηηθέο δηεπζύλζεηο IPv4 θαη NAT, αιιάδνληαο ην ζύζηεκα δεκόζηαο δηεύζπλζεο IPv4 απαηηείηαη ε αλαθαηεύζπλζε όισλ δεθηώλ ζην ήδε ππάξρνλ δίθηπν. Σν θόζηνο ηεο αλαθαηεύζπλζεο ησλ δεθηώλ κπνξεί λα είλαη ζεκαληηθό. Η NAT επηηξέπεη ζην ππάξρνλ ηδησηηθό ζύζηεκα δηεύζπλζεο IPv4 λα παξακείλεη, ελώ επηηξέπεη ηελ εύθνιε αιιαγή ζε έλα λέν θνηλό ζύζηεκα δηεύζπλζεο. Απηό ζεκαίλεη όηη έλαο νξγαληζκόο ζα κπνξνύζε λα αιιάμεη ISPs θαη δελ ρξεηάδεηαη λα αιιάμεη θαλέλαο από ηνπο εζσηεξηθνύο πειάηεο ηνπ. Η ΝΑΣ παξέρεη αζθάιεηα ζην δίθηπν. Γηόηη ηα ηδησηηθά δίθηπα δελ δηαθεκίδνπλ ηηο δηεπζύλζεηο ηνπο ή ηελ εζσηεξηθή ηνπο ηνπνινγία, παξακέλνπλ αξθεηά α- ζθαιή, όηαλ ρξεζηκνπνηνύληαη ζε ζπλδπαζκό κε ηε NAT γηα λα απνθηήζνπλ ειεγρόκελε εμσηεξηθή πξόζβαζε. Ωζηόζν, ε NAT δελ αληηθαζηζηά ηα ηείρε πξνζηαζίαο (firewalls). Μεηνλεθηήκαηα ηεο ΝΑΣ Η NAT έρεη θαη θάπνηα κεηνλεθηήκαηα. Σν γεγνλόο όηη θηινμελείηαη ζην Γηαδίθηπν θαίλεηαη λα επηθνηλσλεί απεπζείαο κε ηελ ελεξγνπνηεκέλε ζπζθεπή κέζσ NAT, παξά κε ηνλ πξαγκαηηθό δέθηε κέζα ζην ηδησηηθό δίθηπν, δεκηνπξγεί κηα ζεηξά από δεηήκαηα. λα κεηνλέθηεκα ηεο ρξήζεο NAT ζπλδέεηαη κε ηελ απόδνζε ηνπ δηθηύνπ, ηδηαίηεξα γηα πξσηόθνιια ζε πξαγκαηηθό ρξόλν, όπσο ην VoIP. Η NAT απμάλεη ηηο θαζπζηεξήζεηο ησλ κεηαγσγέσλ, επεηδή ε κεηάθξαζε ηεο θάζε δηεύζπλζεο IPv4 εληόο ησλ παθέησλ θεθαιίδσλ απαηηεί ρξόλν. Σν πξώην παθέην είλαη ε δηαδηθαζία κεηαγσγήο, πεγαίλεη πάληα από ην πην αξγό κνλνπάηη. Ο δξνκνινγεηήο πξέπεη λα εμεηάζεη ην θάζε παθέην γηα λα απνθαζίζεη αλ ρξεηάδεηαη κεηάθξαζε. Ο δξνκνινγεηήο πξέπεη λα αιιάμεη ηελ επηθεθαιίδα ηνπ IPv4, θαη, ελδερνκέλσο λα ηξνπνπνηήζεη ηηο επηθεθαιίδεο ησλ TCP ή UDP. Η επηθεθαιίδα IPv4 νινθιεξσηηθνύ ειέγρνπ παθέηνπ (checksum), καδί κε ηνλ νινθιεξσηηθό έιεγρν TCP ή UDP πξέπεη λα ππνινγίδνληαη εθ λένπ θάζε θνξά πνπ γίλεηαη κεηάθξαζε. Σα ελαπνκείλαληα παθέηα πεξλνύλ από κηα ζύληνκε δηαδξνκή κεηαγσγέα εάλ ππάξρεη θαηαρώξεζε κλήκεο cache, αιιηώο θαη απηά επίζεο θαζπζηεξνύλ. -29-
λα άιιν κεηνλέθηεκα ηεο ρξήζεο ΝΑΣ είλαη όηη ε αληηκεηώπηζε ηέινο πξνο άθξν ράλεηαη. Πνιιά πξσηόθνιια ηνπ Γηαδηθηύνπ θαη εθαξκνγέο εμαξηώληαη από ηελ αληηκεηώπηζε ηέινπο πξνο άθξα από ηελ πεγή κέρξη ηνλ πξννξηζκό. Μεξηθέο εθαξκνγέο δελ ιεηηνπξγνύ κε ΝΑΣ. Γηα παξάδεηγκα θάπνηεο εθαξκνγέο αζθαιείαο, όπσο νη ςεθηαθέο ππνγξαθέο, απνηπγράλνπλ επεηδή ε πεγή ηεο δηεύζπλζεο IPv4 αιιάδεη πξνηνύ θηάζεη ζηνλ πξννξηζκό. Οη εθαξκνγέο πνπ ρξεζηκνπνηνύλ θπζηθέο δηεπζύλζεηο, αληί ελόο αλαγλσξηζκέ-λνπ νλόκαηνο ηνκέα, δελ θηάζνπλ ζηνλ πξννξηζκό ηνπο πνπ έρνπλ κεηαθξαζηεί κέζσ δξνκνινγεηή κε ΝΑΣ. Μεξηθέο θνξέο ην πξόβιεκα απηό κπνξεί λα απνθεπρζεί κε ηελ εθαξκνγή θαζνξηζκώλ ζηαηηθήο ΝΑΣ. Υαξαθηεξηζηηθά Πξσηνθόιινπ αζύξκαηεο πξόζβαζεο IEEE 802.11 b/g/n Πιενλεθηήκαηα Αζύξκαηεο Πξόζβαζεο. Τπάξρνπλ πνιιά νθέιε γηα ηελ ππνζηήξημε αζύξκαηεο δηθηύσζεο, ηόζν ζην επηρεηξεκαηηθό πεξηβάιινλ όζν θαη ζην ζπίηη. Μεξηθά από ηα νθέιε πεξηιακβάλνπλ ηελ αύμεζε ηεο επειημίαο, ηελ αύμεζε ηεο παξαγσγηθόηεηαο, ηελ κείσζε ηνπ θόζηνπο, θαη ηελ ηθαλόηεηα λα αλαπηπρζνύλ θαη λα πξνζαξκνζηνύλ ζε κεηαβαιιόκελεο απαηηήζεηο. Οη πεξηζζόηεξεο επηρεηξήζεηο βαζίδνληαη ζε ηνπηθά δίθηπα κεηαγσγώλ LANs γηα ηελ θαζεκεξηλή ιεηηνπξγίαο εληόο γξαθείνπ. Ωζηόζν, νη εξγαδόκελνη γίλνληαη όιν θαη πην θηλεηηθνί θαη ζέινπλ λα δηαηεξήζνπλ πξόζβαζε ζηνπο επηρεηξεκαηηθνύο πόξνπο/πεγέο ηνπ LAN από ζέζεηο/ηνπνζεζίεο εθηόο ησλ γξαθείσλ ηνπο. Οη εξγαδόκελνη ζέινπλ λα παίξλνπλ ηηο αζύξκαηεο ζπζθεπέο ηνπο ζε ζπλεδξηάζεηο, ζε γξαθεία ζπλαδέιθσλ, ζε αίζνπζεο ζπλεδξηάζεσλ, αθόκε θαη ζε εγθαηαζηάζεηο πειαηώλ, ελώ παξάιιεια λα δηαηεξνύλ ηελ πξόζβαζε ζε πόξνπο/πεγέο ηνπ γξαθείνπ. Η αζύξκαηε δηθηύσζε πξνζθέξεη απηνύ ηνπ είδνπο επειημία. Αληί λα δαπαλνύλ ζεκαληηθό ρξόλν ζηελ κεηαθνξά α- παξαίηεηνπ πιηθνύ ηεο εηαηξείαο ή ζηνλ εληνπηζκό ελζύξκαησλ ζπλδέζεσλ γηα λα έ- ρνπλ πξόζβαζε ζε πόξνπο ηνπ δηθηύνπ, ρξεζηκνπνηώληαο ην αζύξκαην δίθηπν, νη πόξνη LAN κπνξνύλ εύθνια λα δηαηίζεληαη ζε αλαξίζκεηεο αζύξκαηεο ζπζθεπέο. -30-
Αλ θαη είλαη δύζθνιν λα κεηξεζεί, ε αζύξκαηε πξόζβαζε κπνξεί λα νδεγήζεη ζε αύμεζε ηεο παξαγσγηθόηεηαο θαη ζε πην ραιαξνύο/ήξεκνπο εξγαδόκελνπο. Με ηελ αζύξκαηε δηθηύσζε, νη εξγαδόκελνη έρνπλ ηε δπλαηόηεηα λα εξγαζηνύλ όηαλ θαη όπνπ ην επηζπκνύλ. Μπνξνύλ λα απαληήζνπλ ζε αηηήκαηα πειαηώλ είηε ζην γξαθείν ή έμσ όηαλ είλαη γηα δείπλν. Μπνξνύλ λα έρνπλ πξόζβαζε ζην ειεθηξνληθό ηαρπδξνκείν θαη ζε άιινπο πόξνπο εξγαζηαθνύ ελδηαθέξνληνο άιιεο γξήγνξα θαη εύθνια, παξέρνληαο έηζη θαιύηεξε δηαρείξηζε, θαιύηεξα θαη ηαρύηεξα απνηειέζκαηα γηα ηνπο πειάηεο θαη αύμεζε ησλ θεξδώλ. Η αζύξκαηε δηθηύσζε κπνξεί επίζεο λα κεηώζεη ηα θόζηε. ε επηρεηξήζεηο πνπ έρνπλ ήδε αζύξκαηε ππνδνκή, πξνθύπηνπλ θέξδε θάζε θνξά πνπ γίλνληαη αιιαγέο εμνπιηζκνύ ή απαηηνύληαη κεηαθηλήζεηο, όπσο όηαλ πξαγκαηνπνηείηαη κεηεγθαηάζηαζε ελόο εξγαδόκελνπ κέζα ζην θηίξην, ή γίλεηαη αλαδηνξγάλσζε εμνπιηζκνύ ή ελόο εξγαζηήξηνπ, ή εάλ κεηαθηλεζνύλ ζε πξνζσξηλέο ζέζεηο ή πεξηνρέο έξγνπ. λα άιιν ζεκαληηθό πιενλέθηεκα ηεο αζύξκαηεο δηθηύσζεο είλαη ε ηθαλόηεηα λα πξνζαξκόδεηαη ζηηο κεηαβαιιόκελεο αλάγθεο θαη ηερλνινγίεο. Η πξνζζήθε λένπ εμνπιηζκνύ ζε έλα δίθηπν είλαη αξθεηά απξόζθνπηε κε αζύξκαηε δηθηύσζε. Δμεηάζηε ηελ αζύξκαηε ζπλδεζηκόηεηα ζε έλα ζπίηη. Οη ρξήζηεο κπνξνύλ λα ζεξθάξνπλ ζην δηαδίθηπν από ην ηξαπέδη ηεο θνπδίλαο ηνπο, ηα ζαιόληα ηνπο, ή αθόκα θαη ζε εμσηεξηθνύο ρώξνπο. Οη νηθηαθνί ρξήζηεο ζπλδένληαη κε λέεο ζπζθεπέο, όπσο ηα smart phones, ηα smart pads, νη θνξεηνί ππνινγηζηέο θαη νη έμππλεο ηειενξάζεηο. 2.6 Αζύξκαηεο Σερλνινγίεο Οη αζύξκαηεο επηθνηλσλίεο ρξεζηκνπνηνύληαη ζε πιεζώξα επαγγεικάησλ. Αλ θαη ν ζπλδπαζκόο ησλ αζύξκαησλ ηερλνινγηώλ ζπλερώο επεθηείλεηαη, ην επίθεληξν απηήο ηεο ζπδήηεζεο βξίζθεηαη ζηα αζύξκαηα δίθηπα πνπ επηηξέπνπλ ζηνπο ρξήζηεο λα κεηαθηλνύληαη. Σα αζύξκαηα δίθηπα κπνξνύλ λα ηαμηλνκεζνύλ σο εμήο: Γίθηπα Αζύξκαηεο Πξνζσπηθήο Πεξηνρήο / Wireless Personal Area- (WPAN) - Λεηηνπξγεί ζην εύξνο ησλ ιίγσλ πόδηα. Bluetooth ή Wi-Fi κε άκεζεο ελεξγνπνίεζεο ζπζθεπέο ρξεζηκνπνηνύληαη ζε WPANs. -31-
Αζύξκαηα LANs / Wireless LAN (WLAN) - Λεηηνπξγεί ζην εύξνο κεξηθώλ εθαηνληάδσλ κέηξσλ, όπσο ζε έλα δσκάηην, ζην ζπίηη, ζην γξαθείν, αθόκα θαη ζε πεξηβάιινλ παλεπηζηεκηνύπνιεο. Αζύξκαηα Γίθηπα Δπξείαο Πεξηνρήο / Wireless Wide-Area Networks (WWANs) - Λεηηνπξγεί ζην εύξνο κηιίσλ, όπσο κηα κεηξνπνιηηηθή πεξηνρή, κηα θπηηαξηθή ηεξαξρία, ή αθόκα θαη γηα ζπλδέζεηο κεηαμύ πόιεσλ κέζσ κηθξνθπκάησλ relays. Κάληε θιηθ ζε θάζε ζηνηρείν ηεο εηθόλαο γηα λα εκθαλίζεηε πεξηζζόηεξεο πιεξνθνξίεο ζρεηηθά κε ηηο δηάθνξεο αζύξκαηεο ηερλνινγίεο πνπ είλαη δηαζέζηκεο, γηα λα ζπλδέζεηε ζπζθεπέο κε απηά ηα αζύξκαηα δίθηπα: Bluetooth - Αξρηθά έλα πξόηππν IEEE 802.15 WPAN πνπ ρξεζηκνπνηεί ηελ δηαδηθαζία ζπζθεπήο-αληηζηνίρηζεο γηα λα επηθνηλσλήζεη ζε απνζηάζεηο έσο 0,5 κίιηα (100 κέηξα). Οη λεόηεξεο εθδόζεηο Bluetooth πηζηνπνηνύληαη από ην Special Interest Group Bluetooth (https://www.bluetooth.org/). Wi-Fi (Wireless Fidelity) - λα πξόηππν IEEE 802.11 WLAN πνπ ζπλήζσο αλαπηύζζεηαη γηα ηελ παξνρή πξόζβαζεο ζην δίθηπν από νηθηαθνύο θαη εηαηξηθνύο ρξήζηεο, λα πεξηιακβάλεη δεδνκέλα, θσλή θαη βίληεν θίλεζε, ζε απνζηάζεηο κέρξη 300 κέηξα (0,18 κίιηα). WiMax (Worldwide Interoperability for Microwave Access / Παγθόζκηα Γηαιεηηνπξγηθόηεηα γηα Πξόζβαζε Μηθξνθπκάησλ) - λα πξόηππν IEEE 802.16 WWAN πνπ παξέρεη αζύξκαηε επξνδσληθή πξόζβαζε έσο θαη 30 κίιηα (50 ρηιηόκεηξα). Σν WiMAX είλαη κηα ελαιιαθηηθή ιύζε γηα ηελ θαισδηαθή θαη ηηο επξνδσληθέο ζπλδέζεηο DSL. Η θηλεηηθόηεηα πνπ πξνζηέζεθε ζην WiMAX ην 2005 θαη κπνξεί ηώξα λα ρξεζηκνπνηεζεί από ηνπο παξόρνπο ππεξεζηώλ γηα ηελ παξνρή θηλεηήο επξνδσληθόηεηαο. Cellular επξνδσληθόηεηα - Απνηειείηαη από δηάθνξεο εηαηξείεο, εζληθέο θαη δηεζλείο νξγαλώζεηο πνπ ρξεζηκνπνηνύλ ηνλ παξνρέα ππεξεζηώλ θηλεηήο πξόζβαζεο γηα ηελ παξνρή θηλεηώλ επξπδσληθώλ δηθηύσλ ζπλδεζηκόηεηα. Η πξώηε δηαηέζεθε κε ηα 2εο γεληάο ηειεθώλα θπηηάξσλ ην 1991 (2G), κε πςειόηεξεο ηαρύηεηεο θαηαζηάζεθε δηαζέζηκε ην 2001 θαη ην 2006 ζην πιαίζην ηεο ηξίηεο (3G) θαη ηέηαξηεο (4G) γεληάο ηερλνινγίαο ησλ θηλεηώλ επηθνηλσληώλ. -32-
Γνξπθνξηθή επξνδσληθόηεηα - Παξέρεη πξόζβαζε δίθηπνπ ζε απνκαθξπζκέλεο ηνπνζεζίεο κέζσ ηεο ρξήζεο θαηεπζπλόκελνπ δνξπθνξηθνύ πηάηνπ, πνπ επζπγξακκίδεηαη δνξπθνξηθά ζε κηα ζπγθεθξηκέλε γεσζηαηηθή ηξνρηά ηεο Γεο (GEO). Δίλαη ζπλήζσο πην αθξηβό θαη απαηηεί κηα ζαθή γξακκή νξαηόηεηαο. Οη αζύξκαηεο ζπζθεπέο LAN έρνπλ αλακεηαδόηεο θαη δέθηεο ζπληνληζκέλνπο ζε ζπγθεθξηκέλεο ζπρλόηεηεο ηεο θιίκαθαο ησλ ξαδηνθσληθώλ θπκάησλ. Δηδηθόηεξα, ε αθόινπζε ζπρλόηεηα εύξνπο θαηαλέκνληαη ζε 201.11 αζύξκαηα LANs: 2.4 GHz (UHF) - 802.11b/g/n/ad 5 GHz (SHF) - 802.11a/n/ac/ad 60 GHz(EHF) - 802.11ad Γηαθνξέο εθαξκνγέο ηνπ πξνηύπνπ IEEE 802.11 έρνπλ αλαπηπρζεί κε ηελ πάξνδν ηνπ ρξόλνπ. Σα παξαθάησ ππνγξακκίδνπλ ηα πξόηππα απηά: 802.11 - Κπθινθόξεζε ην 1997 θαη ζήκεξα είλαη παξσρεκέλν, απηή είλαη ε αξρηθή πξνδηαγξαθή WLAN πνπ ιεηηνύξγεζε ζηε δώλε ησλ 2.4 GHz θαη πξόζθεξε ηαρύηεηεο έσο θαη 2 Mb/s. Όηαλ δηαλεκήζεθε, ην ελζύξκαην LAN ιεηηνπξγνύζε κε 10 Mb/s θαη έηζη ε λέα αζύξκαηε ηερλνινγία δελ πηνζεηήζεθε κε ελζνπζηαζκό. Οη αζύξκαηεο ζπζθεπέο δηέζεηαλ κηα θεξαία γηα λα κεηαδώζνπλ θαη λα ιάβνπλ αζύξκαηα ζήκαηα. IEEE 802.11a - Κπθινθόξεζε ην 1999, δξαζηεξηνπνηείηαη ζε ιηγόηεξν πνιπζύρλαζηε δώλε ζπρλνηήησλ ησλ 5 GHz θαη πξνζθέξεη ηαρύηεηεο έσο θαη 54 Mb/s. Δπεηδή απηό ην πξόηππν ιεηηνπξγεί ζε πςειόηεξεο ζπρλόηεηεο, θαιύπηεη κηθξόηεξε πεξηνρή θαη είλαη ιηγόηεξν απνηειεζκαηηθό ζηε δηείζδπζε νηθνδνκηθώλ θαηαζθεπώλ. Οη αζύξκαηεο ζπζθεπέο δηαζέηνπλ κηα θεξαία γηα λα κεηαδώζνπλ θαη λα ιάβνπλ αζύξκαηα. Οη ζπζθεπέο πνπ ιεηηνπξγνύλ ζύκθσλα κε απηό ην πξόηππν δελ είλαη ζπκβαηέο κε ηα πξόηππα 802.11b θαη 802.11g. IEEE 802.11b - Κπθινθόξεζε ην 1999, ιεηηνπξγεί ζηε δώλε ζπρλνηήησλ ησλ 2,4 GHz θαη πξνζθέξεη ηαρύηεηεο έσο θαη 11 Mb/s. Οη ζπζθεπέο πνπ εθαξκόδνπλ ην πξόηππν απηό έρνπλ κεγαιύηεξν εύξνο θαη είλαη ζε θαιύηεξε ζέζε ζηνλ λα δηεηζδύζνπλ ζε δνκηθέο θαηαζθεπέο, από όηη νη ζπζθεπέο πνπ βαζίδνληαη ζε -33-
802.11a. Οη αζύξκαηεο ζπζθεπέο δηαζέηνπλ κηα θεξαία γηα λα κεηαδίδνπλ θαη λα ιακβάλνπλ αζύξκαηα ζήκαηα. IEEE 802.11g - Κπθινθόξεζε ην 2003, ιεηηνπξγεί ζηε δώλε ζπρλνηήησλ ησλ 2,4 GHz θαη πξνζθέξεη ηαρύηεηεο έσο θαη 54 Mb/s. Οη ζπζθεπέο πνπ εθαξκόδνπλ ην πξόηππν απηό ιεηηνπξγνύλ ζηελ ίδηα ξαδηνζπρλόηεηα θαη θπκαίλνληαη σο 802.11b, αιιά κε ην εύξνο δώλεο ηνπ 802.11a. Οη αζύξκαηεο ζπζθεπέο δηαζέηνπλ κηα θεξαία γηα λα κεηαδίδνπλ θαη λα ιακβάλνπλ αζύξκαηα ζήκαηα. Δίλαη ζπκβαηό κε ην 802.11b. Ωζηόζν όηαλ ππνζηεξίδνπλ έλα 802.11b πειάηε, ην ζπλνιηθό εύξνο δώλεο κεηώλεηαη. IEEE 802.11n - Κπθινθόξεζε ην 2009, ιεηηνπξγεί ζηηο δώλεο ζπρλνηήησλ 2,4 GHz θαη 5 GHz θαη αλαθέξεηαη σο κηα ζπζθεπή dual-band. Σα ηππηθά πνζνζηά ησλ δεδνκέλσλ θπκαίλνληαη από 150 Mb/s έσο 600 Mb/s κε κηα απόζηαζε κέρξη θαη 70m (0,5 κίιηα). Ωζηόζν, πξνθεηκέλνπ λα επηηεπρζνύλ πςειόηεξεο ηαρύηεηεο, νη APs θαη αζύξκαηνη πειάηεο απαηηνύλ πνιιαπιέο θεξαίεο ρξεζηκνπνηώληαο ηελ ηερλνινγία πνιιαπιήο εηζόδνπ θαη πνιιαπιήο εμόδνπ (MIMO). Οη ΜΙΜΟ ρξεζηκνπνηνύλ πνιιαπιέο θεξαίεο ηόζν σο πνκπόο θαη σο δέθηεο γηα λα βειηησζεί ε απόδνζε ηεο επηθνηλσλίαο. σο θαη ηέζζεξηο θεξαίεο κπνξνύλ λα ππνζηεξηρζνύλ. Σν πξόηππν 802.11n είλαη ζπκβαηό κε ζπζθεπέο 802.11a / b / g. Ωζηόζν, ππνζηεξίδνληαο έλα κεηθηό πεξηβάιινλ πεξηνξίδεη ηα αλακελόκελα πνζνζηά δεδνκέλσλ. Σα αζύξκαηα ηνπηθά δίθηπα (LANs) κπνξνύλ λα θηινμελήζνπλ δηάθνξεο ηνπνινγίεο δηθηύνπ. Σν πξόηππν 802.11 θαζνξίδεη δύν βαζηθέο ιεηηνπξγίεο αζύξκαηεο ηνπνινγίαο: Ad hoc ιεηηνπξγία - Όηαλ δύν ζπζθεπέο ζπλδένληαη αζύξκαηα, ρσξίο ηε βνήζεηα κηαο ζπζθεπήο ππνδνκώλ, όπσο έλαο αζύξκαηνο δξνκνινγεηήο ή έλα AP. Παξαδείγκαηα πεξηιακβάλνπλ ηα Bluetooth θαη ηα Wifi-Fi Direct. Λεηηνπξγία ππνδνκήο - Όηαλ πειάηεο αζύξκαηνπ δηθηύνπ δηαζπλδένληαη κέζσ ελόο αζύξκαηνπ δξνκνινγεηή ή ελόο AP, όπσο ζε δίθηπα WLAN. Οη APs ζπλδένληαη κε ηελ ππνδνκή ηνπ δηθηύνπ ρξεζηκνπνηώληαο ην ελζύξκαην ζύζηεκα δηαλνκήο (DS), όπσο είλαη ην Ethernet. -34-
Η αξρηηεθηνληθή ηνπ IEEE 802.11 απνηειείηαη από δηάθνξα ζπζηαηηθά πνπ αιιειεπηδξνύλ γηα λα παξέρνπλ έλα WLAN πνπ ππνζηεξίδεη πειάηεο. Οξίδεη ηελ ηνπνινγία δύν ιεηηνπξγηώλ ππνδνκήο: κηα εηξά Βαζηθώλ Τπεξεζηώλ / Basic Service Set (BSS) θαη έλα Δθηεηακέλν ύλνιν Τπεξεζηώλ / Extended Service Set (ESS). εηξά Βαζηθώλ Τπεξεζηώλ / Basic Service Set Μηα BSS απνηειείηαη από έλα κόλν AP πνπ δηαζπλδέεηαη κε όινπο ηνπο πειάηεο ηνπ αζύξκαηνπ δηθηύνπ. ην ρήκα 1, εκθαλίδνληαη δύν BSSs. Οη θύθινη απεηθνλίδνπλ ηελ πεξηνρή θάιπςεο, εληόο ηεο νπνίαο νη πειάηεο αζύξκαηνπ δηθηύνπ ηνπ BSS κπνξνύλ λα παξακείλεη ζε επηθνηλσλία. Η πεξηνρή απηή νλνκάδεηαη ε Βαζηθή Πεξηνρή Τπεξεζίαο / Basic Service Area (BSA). Δάλ έλαο ππνινγηζηήο-πειάηεο θηλείηαη από εθηόο ηνπ ηδίνπ BSA, δελ κπνξεί πιένλ λα επηθνηλσλεί απεπζείαο κε άιινπο αζύξκαηνπο πειάηεο ζην πιαίζην ηεο BSA. Η BSS είλαη ην δνκηθό ζηνηρείν ηεο ηνπνινγίαο, ελώ ε BSA είλαη ε πξαγκαηηθή πεξηνρή θάιπςεο (νη όξνη BSA θαη BSS ρξεζηκνπνηνύληαη ζπρλά ελαιιαθηηθά). Η Layer 2 MAC απεπζύλεηαη ζην AP πνπ ρξεζηκνπνηείηαη γηα λα πξνζδηνξίζεη κνλαδηθά θάζε BSS, ην νπνίν νλνκάδεηαη Basic Service Set Identifier (BSSID). Ωο εθ ηνύηνπ, ε BSSID είλαη ε επίζεκε νλνκαζία ηνπ BSS θαη ζπλδέεηαη πάληνηε κε έλα κόλν AP. Δθηεηακέλν ύλνιν Τπεξεζηώλ / Extended Service Set (ESS) Όηαλ έλα εληαίν BSS δελ παξέρεη επαξθή θάιπςε RF, δύν ή πεξηζζόηεξεο BSS κπνξνύλ λα ζπλδένληαη κέζσ ελόο θνηλνύ ζπζηήκαηνο δηαλνκήο (DS) ζε έλα ESS. Όπσο θαίλεηαη ζην ρήκα 2, έλα ESS είλαη ε έλσζε δύν ή πεξηζζόηεξσλ BSSs πνπ αιιεινζπλδένληαη κε έλα ελζύξκαην DS. Οη αζύξκαηνη πειάηεο ζε έλα BSA κπνξεί πιένλ λα επηθνηλσλνύλ κε ηνπο πειάηεο αζύξκαηνπ δηθηύνπ ζε έλα άιιν BSA εληόο ηεο ίδηαο ESS. Οη πειάηεο αζύξκαηεο θηλεηήο πεξηαγσγήο κπνξνύλ λα κεηαθηλνύληαη από ην έλα ζην άιιν BSA (εληόο ηεο ίδηαο ESS) θαη λα ζπλδένληαη απξόζθνπηα. λα αζύξκαην πιαίζην κπνξεί λα είλαη έλαο από ηνπο ηξεηο ηύπνπο πιαηζίσλ: Πιαίζην Γηαρείξηζεο / Management Frame - Υξεζηκνπνηείηαη γηα ηελ δηαηήξεζε ηεο επηθνηλσλίαο, όπσο ηελ εύξεζε, ηελ επηθύξσζε, θαη ηελ ζύλδεζε κε έλα AP. -35-
Πιαίζην Διέγρνπ / Control Frame - Υξεζηκνπνηνύληαη γηα ηελ δηεπθόιπλζε ηεο αληαιιαγήο ησλ πιαηζίσλ δεδνκέλσλ κεηαμύ ησλ αζύξκαησλ πειαηώλ. Πιαίζην Γεδνκέλσλ / Data Frame - Υξεζηκνπνηείηαη γηα λα κεηαθέξεη ηηο πιεξνθνξίεο θνξηίνπ, όπσο ηζηνζειίδεο θαη αξρεία. Κνηλόηππα πιαίζηα ειέγρνπ πεξηιακβάλνπλ: Πιαίζην Αηηήκαηνο Απνζηνιήο / Request to Send (RTS) frame - Σα πιαίζηα RTS θαη CTS παξέρνπλ έλα πξναηξεηηθό θαζεζηώο κείσζεο ηεο ζύγθξνπζεο γηα APs κε θξπκκέλνπο πειάηεο αζύξκαηνπ δηθηύνπ. λαο αζύξκαηνο πειάηεο ζηέιλεη έλα πιαίζην RTS σο ην πξώην βήκα γηα ηo ακθίδξνκν θνύκπσκα / ρεηξαςία (handshake), ην νπνίν απαηηείηαη πξηλ από ηελ απνζηνιή πιαηζίσλ δεδνκέλσλ. Πιαίζην Καζαξήο Απνζηνιήο / Clear to Send (CTS) frame - λα αζύξκαην AP αληαπνθξίλεηαη ζε έλα πιαίζην RTS κε έλα πιαίζην CTS. Παξέρεη θάζαξζε ηνπ αηηνύληνο αζύξκαηνπ πειάηε λα ζηείιεη έλα πιαίζην δεδνκέλσλ. Η CTS ζπκβάιιεη ζηε δηαρείξηζε ηνπ ειέγρνπ ζύγθξνπζεο, ζπκπεξηιακβάλνληαο ηεο αμίαο ηνπ ρξόλνπ. Απηή ε ρξνληθή θαζπζηέξεζε ειαρηζηνπνηεί ηελ πηζαλόηεηα όηη άιινη πειάηεο αζύξκαηνπ δηθηύνπ ζα εθπέκςνπλ, ελώ κεηαδίδεη ν αηηώλ πειάηεο. Πιαίζην Αλαγλώξηζεο / Acknowledgement (ACK) frame - Μεηά ηε ιήςε ελόο πιαηζίνπ δεδνκέλσλ, ν ιακβάλσλ αζύξκαηνο πειάηεο ζηέιλεη έλα πιαίζην ACK ζηνλ απνζηνιέα πειάηε, εάλ δελ ππάξρνπλ ζθάικαηα. Αλ ν απνζηνιέαο πειάηεο δελ ιάβεη έλα πιαίζην ACK κέζα ζε έλα πξνθαζνξηζκέλν ρξνληθό δηάζηεκα, ν απνζηνιέαο πειάηεο ζηέιλεη εθ λένπ ην πιαίζην. CSMA/CA Tν IEEE 802.11 WLANs ρξεζηκνπνηνύλ ην πξσηόθνιιν MAC CSMA / CA. Δλώ ην όλνκα είλαη παξόκνην κε ην Ethernet CSMA / CD, ε έλλνηα ιεηηνπξγίαο είλαη ηειείσο δηαθνξεηηθή. Σα ζπζηήκαηα Wi-Fi είλαη θαηά ην ήκηζπ δηπιά, κε θνηλέο δηακνξθώζεηο ησλ κέζσλ ελεκέξσζεο, έηζη νη αζύξκαηνη πειάηεο κπνξνύλ λα κεηαδίδνπλ θαη λα ιακβάλνπλ ζηνλ ίδην ξαδηνθσληθό θαλάιη. Απηό δεκηνπξγεί έλα πξόβιεκα, δηόηη έλαο αζύξκαηνο -36-
πειάηεο δελ κπνξεί λα αθνύζεη, θαηά ηε δηάξθεηα απνζηνιήο, θαη κε απηό ηνλ ηξόπν θαζίζηαηαη αδύλαηε ε αλίρλεπζε κηαο ζύγθξνπζεο. Γηα ηελ αληηκεηώπηζε απηνύ ηνπ πξνβιήκαηνο, ην ΙΔΔΔ αλέπηπμε έλα πξόζζεην κεραληζκό απνθπγήο ζπγθξνύζεσλ, πνπ νλνκάδεηαη ε Καηαλεκεκέλε Λεηηνπξγία πληνληζκνύ / Distributed Coordination Function (DCF). Υξεζηκνπνηώληαο ηελ DCF, έλαο ππνινγηζηήο-πειάηεο κεηαδίδεη κόλν εάλ ην θαλάιη είλαη ζαθέο/θαζαξό. Όιεο νη κεηαδόζεηο αλαγλσξίδνληαη θαη σο εθ ηνύηνπ, εάλ έλα αζύξκαηνο πειάηεο δελ ιάβεη επηβεβαίσζε, ππνζέηεη όηη κηα ζύγθξνπζε ζπλέβε θαη πξνζπαζεί μαλά κεηά από έλα ηπραίν δηάζηεκα αλακνλήο. Οη πειάηεο αζύξκαηνπ δηθηύνπ θαη APs ρξεζηκνπνηνύλ ηα RTS θαη CTS πιαίζηα ειέγρνπ γηα λα δηεπθνιύλνπλ ηελ πξαγκαηηθή κεηαθνξά δεδνκέλσλ. Όηαλ έλαο ππνινγηζηήο-πειάηεο ζηέιλεη δεδνκέλα, πξώηα ειέγρεη ηα κέζα ελεκέξσζεο γηα λα θαζνξηζηεί εάλ άιιεο ζπζθεπέο κεηαδίδνπλ. Αλ όρη, ηόηε ζηέιλεη έλα πιαίζην RTS ζην AP. Απηό ην πιαίζην ρξεζηκνπνηείηαη γηα λα δεηεζεί απνθιεηζηηθή πξόζβαζε ζην κέζν RF γηα έλα ζπγθεθξηκέλν ρξνληθό δηάζηεκα. Σν AP ιακβάλεη ην πιαίζην θαη εάλ ππάξρεη, παξέρεη ηελ πξόζβαζε ζηνλ αζύξκαην πειάηε κε ην κέζν RF ζηέιλνληαο έλα πιαίζην CTS ηεο ίδηαο ρξνληθήο δηάξθεηαο. Όιεο νη άιιεο αζύξκαηεο ζπζθεπέο, παξαηεξώληαο ην πιαίζην CTS, παξαηηνύληαη από ηα κέζα καδηθήο ελεκέξσζεο ηνπ θόκβνπ κεηάδνζεο γηα ηελ εθπνκπή. Σν πιαίζην ειέγρνπ CTS πεξηιακβάλεη θαη ηελ ρξνληθή δηάξθεηα πνπ επηηξέπεηαη λα έρεη ν θόκβνο κεηάδνζεο γηα λα κεηαδώζεη. Άιινη αζύξκαηνη πειάηεο παξαθξαηνύλ ηηο κεηαδόζεηο ηνπιάρηζηνλ γηα ηελ θαζνξηζκέλε δηάξθεηα. Κνηλνί παξάκεηξνη δηακόξθσζεο αζύξκαηνπ δηθηύνπ πεξηιακβάλνπλ: SSID - Σν SSID είλαη έλα κνλαδηθό αλαγλσξηζηηθό πνπ νη πειάηεο αζύξκαηνπ δηθηύνπ ρξεζηκνπνηνύλ γηα λα δηαθξίλνπλ κεηαμύ πνιιαπιώλ αζύξκαησλ δηθηύσλ ζηελ ίδηα πεξηνρή. Σν όλνκα SSID εκθαλίδεηαη ζηε ιίζηα ησλ δηαζέζηκσλ αζύξκαησλ δηθηύσλ ζε έλα πειάηε. Αλάινγα κε ηε δηακόξθσζε ηνπ δηθηύνπ, αξθεηά APs ζε έλα δίθηπν κπνξνύλ λα κνηξαζηνύλ έλα SSID. Σα νλόκαηα είλαη κήθνπο ζπλήζσο 2 έσο 32 ραξαθηήξσλ. Κσδηθόο πξόζβαζεο - Απαηηείηαη από ηνλ αζύξκαην ππνινγηζηή-πειάηε γηα ηνλ έιεγρν ηαπηόηεηαο κε ην AP. Ο θσδηθόο πξόζβαζεο νλνκάδεηαη κεξηθέο -37-
θνξέο θιεηδί αζθαιείαο. Απνηξέπεη εηζβνιείο θαη άιινπο αλεπηζύκεηνπο ρξήζηεο λα έρνπλ πξόζβαζε ζην αζύξκαην δίθηπν. Λεηηνπξγία δηθηύνπ - Αλαθέξεηαη ζηα πξόηππα 802.11a / b / g / n / ac / WLAN. Σα APs θαη νη αζύξκαηνη δξνκνινγεηέο κπνξνύλ λα ιεηηνπξγήζνπλ ζε κηα κηθηή θαηάζηαζε ιεηηνπξγίαο πνπ ζεκαίλεη όηη κπνξνύλ λα ρξεζηκνπνηήζνπλ ηαπηόρξνλα πνιιαπιά πξόηππα. Λεηηνπξγία Αζθαιείαο - Αλαθέξεηαη ζηηο ξπζκίζεηο ησλ παξακέηξσλ αζθαιείαο, όπσο WEP, WPA, ή WPA2. Πάληα επηηξέπεη ην πςειόηεξν επίπεδν α- ζθαιείαο πνπ ππνζηεξίδεηαη. Ρπζκίζεηο θαλαιηώλ - Αλαθέξεηαη ζηηο δώλεο ζπρλνηήησλ πνπ ρξεζηκνπνηνύληαη γηα ηε κεηάδνζε αζύξκαησλ δεδνκέλσλ. Οη αζύξκαηνη δξνκνινγεηέο θαη νη AP κπνξνύλ λα επηιέμνπλ ηε ξύζκηζε θαλαιηνύ ή κπνξεί λα ξπζκηζηεί κε ην ρέξη, αλ ππάξρεη παξεκβνιή κε έλαλ άιινλ AP ή αζύξκαηε ζπζθεπή. Σν πξόηππν 802.11 είρε αξρηθά αλαπηπρζεί κε δπν κεραληζκνύο πηζηνπνίεζεο / αλαγλώξηζεο: Αλνηρηόο έιεγρνο ηαπηόηεηαο / Open authentication - Οπζηαζηηθά κηα πηζηνπνίεζε NULL είλαη όπνπ ν αζύξκαηνο πειάηεο ιέεη «πηζηνπνίεζε κε» θαη ην AP απαληά κε «λαη». Ο αλνηρηόο έιεγρνο ηαπηόηεηαο παξέρεη αζύξκαηε ζπλδεζηκόηεηα κε νπνηαδήπνηε αζύξκαηε ζπζθεπή θαη πξέπεη λα ρξεζηκνπνηείηαη κόλν ζε πεξηπηώζεηο όπνπ αίξνληαη δεηήκαηα αζθάιεηαο. Κνηλόρξεζην θιεηδί ηαπηόηεηαο / Shared Key authentication - Η ηερληθή βαζίδεηαη ζε έλα θιεηδί πνπ είλαη πξν-θνηλόρξεζην κεηαμύ ηνπ πειάηε θαη ηνπ AP. Μηα θνηλή πξαθηηθή είλαη γηα ηηο ζπρλόηεηεο λα δηαηίζεληαη σο ζεηξέο. Σέηνηεο ζεηξέο κεηά ρσξίδνληαη ζε κηθξόηεξεο ζεηξέο πνπ νλνκάδνληαη θαλάιηα. Δάλ ε δήηεζε γηα έλα ζπγθεθξηκέλν θαλάιη είλαη πνιύ πςειή, ηόηε ην θαλάιη απηό είλαη πηζαλό λα ππνζηεί ππεξθνξεζκό. Ο θνξεζκόο ηνπ αζύξκαηνπ κέζνπ ππνβαζκίδεη ηελ πνηόηεηα ηεο επηθνηλσλίαο. Καηά ηε δηάξθεηα ησλ ρξόλσλ έλαο αξηζκόο ηερληθώλ έρνπλ δεκηνπξγεζεί γηα λα βειηηώζνπλ ηελ αζύξκαηε επηθνηλσλία θαη λα αλαθνπθίζνπλ ηνλ θνξεζκό. Οη ηερληθέο πνπ αλαθέξνληαη παξαθάησ κεηξηάδνπλ ηνλ θνξεζκό θαλαιηνύ, ρξεζηκνπνηώληαο ηα θαλάιηα κε πην απνηειεζκαηηθό ηξόπν: -38-
Απεπζείαο Αθνινπζία εμάπισζεο θάζκαηνο / Direct-sequence spread spectrum (DSSS) - Η DSSS είλαη κηα ηερληθή δηακόξθσζεο εμάπισζεο θάζκαηνο. Σν Δθηεηακέλν θάζκα έρεη ζρεδηαζηεί γηα λα εμαπιώλεη έλα ζήκα ζε κηα επξύηεξε δώλε ζπρλνηήησλ θαζηζηώληαο ην πην αλζεθηηθό ζηηο παξεκβνιέο. Με DSSS ην ζήκα πνιιαπια-ζηάδεηαη κε έλα "δεκηνπξγεκέλν ζόξπβν" γλσζηό σο θώδηθα πνπ εμαπιώλεηαη. Δπεηδή ν δέθηεο γλσξίδεη ηνλ θώδηθα εμάπισζεο από όηαλ πξνζηέζεθε, κπνξεί λα ην αθαηξέζεη καζεκαηηθά θαη λα αλαθαηαζθεπάζεη ην ζήκα. ηελ πξαγκαηηθόηεηα, απηό δεκηνπξγεί πιενλαζκό ζην κεηαδηδόκελν ζήκα θαηά ηελ πξνζπάζεηα λα αληηκεησπηζηεί ε απώιεηα πνηόηεηαο ζην αζύξκαην κέζν. Η DSSS ρξεζηκνπνηείηαη από ην 802.11b. Δπίζεο ρξεζηκνπνηείηαη από αζύξκα-ηα ηειέθσλα πνπ ιεηηνπξγνύλ ζηε δώλε ησλ 900 MHz, 2.4 GHz, ζε δώλεο 5.8 GHz, ζε CDMA θπςεινεηδή δίθηπα θαη δίθηπα GPS. Η ζπρλόηεηα βεκαηηζκνύ θάζκαηνο εμάπισζεο / Frequency-hopping spread spectrum (FHSS) - Η FHSS βαζίδεηαη επίζεο ζηηο κεζόδνπο θαηαλνκήο θάζκαηνο γηα λα επηθνηλσλνύλ. Δίλαη παξόκνηα κε ηελ DSSS, αιιά εθπέκπεη ξάδην ζήκαηα από ηελ ηαρεία κεηαγσγή ελόο ζήκαηνο θνξέα κεηαμύ πνιιώλ θαλαιηώλ ζπρλόηεηαο. Με ηε FHSS, ν απνζηνιέαο θαη ν παξαιήπηεο ζα πξέπεη λα ζπγρξνληζηνύλ γηα λα «γλσξίδνπλ» ζε πνην θαλάιη λα πεδήμνπλ. Απηή ε δηαδηθαζία βεκαηηζκνύ επηηξέπεη ηελ πην απνηειεζκαηηθή ρξήζε ησλ θαλαιηώλ, κεηώλνληαο ηελ θπθινθνξηαθή ζπκθόξεζε ηνπ θαλαιηνύ. Σα Walkietalkies/ξαδηνηειέθσλα θαη αζύξκαηα ηειέθσλα ησλ 900 MHz ρξεζηκνπνηνύλ επίζεο FHSS, θαη ην Bluetooth ρξεζηκνπνηεί κηα παξαιιαγή ηεο FHSS. Η FHSS ρξεζηκνπνηείηαη επίζεο από ην αξρηθό πξόηππν 802.11. Οξζνγώληα πνιππιεμία δηαίξεζεο ζπρλόηεηαο / Orthogonal frequencydivision multiplexing (OFDM) - Η OFDM είλαη έλα ππνζύλνιν ηεο πνιππιεθηηθήο δηαίξεζεο ζπρλόηεηαο ζηελ νπνία έλα κόλν θαλάιη ρξεζηκνπνηεί πνιιαπιά ππό-θαλάιηα ζηηο παξαθείκελεο ζπρλόηεηεο. Σα ππό-θαλάιηα ζε έλα ζύζηεκα OFDM είλαη αθξηβώο νξζνγώληα ην έλα ζην άιιν, γεγνλόο πνπ επηηξέπεη ζηα ππό-θαλάιηα λα επηθαιύπηνπλ ρσξίο λα παξεκβαίλνπλ. Ωο απνηέιεζκα, ηα ζπζηήκαηα OFDM είλαη ζε ζέζε λα κεγηζηνπνηήζνπλ ηε θαζκαηηθή απόδνζε ρσξίο λα πξνθαινύλ παξεκβνιή ησλ γεηηνληθώλ θαλαιηώλ. ηελ πξαγκαηηθόηεηα, απηό ην θαζηζηά επθνιόηεξν γηα έλαλ ζηαζκό ππνδνρήο ζην λα «αθνύζεη» έλα ζήκα. Δπεηδή ε OFDM ρξεζηκνπνηεί ππό-θαλάιηα, ε ρξήζε ηνπ θαλαιηνύ είλαη -39-
πνιύ απνδνηηθή. Η OFDM ρξεζηκνπνηείηαη από έλαλ αξηζκό ζπζηεκάησλ επηθνηλσλίαο ζπκπεξηιακβαλνκέλσλ ησλ 802.11a / g / n / ac. Σα αζύξκαηα δίθηπα είλαη ηδηαίηεξα επαίζζεηα ζε δηάθνξεο απεηιέο, όπσο είλαη νη εμήο: Αζύξκαηνη εηζβνιείο Δθαξκνγέο Rogue Τπνθινπή δεδνκέλσλ Δπηζέζεηο DoS Γύν ζπλήζεηο επηζέζεηο πιαηζίνπ δηαρείξηζεο πεξηιακβάλνπλ: Μηα πιαζηνγξαθεκέλε επίζεζε απνζύλδεζεο - Απηό ζπκβαίλεη όηαλ έλαο εηζβνιέαο ζηέιλεη κηα ζεηξά από «απνκαθξπζκέλεο» εληνιέο ζε όινπο ηνπο α- ζύξκαηνπο πειάηεο εληόο ηεο BSS. Οη εληνιέο απηέο πξνθαινύλ ζε όινπο ηνπο πειάηεο απνζύλδεζε. Όηαλ απνζπλδεζνύλ νη πειάηεο αζύξκαηνπ δηθηύνπ πξνζπαζνύλ ακέζσο λα επαλαζπλ-δεζνύλ, πνπ δεκηνπξγεί κηα έθξεμε ηεο θπθινθνξίαο. Ο επηηηζέκελνο ζπλερίδεη ηελ απνζηνιή δηαρσξηζηηθώλ πιαηζίσλ θαη ν θύθινο επαλαιακβάλεηαη. Μηα πιεκκύξα CTS - Απηό ζπκβαίλεη όηαλ έλαο εηζβνιέαο εθκεηαιιεύεηαη ηελ κέζνδν επαθήο CSMA / CA γηα λα κνλνπσιήζεη ην εύξνο δώλεο θαη λα αξλεζεί ζε όινπο ηνπο άιινπο αζύξκαηνπο πειάηεο πξόζβαζε ζην AP. Γηα λα επηηεπρζεί απηό, ν εηζβνιέαο θαηαηγίδεη επαλεηιεκκέλα ηελ BSS κε CTS πιαίζηα κέζσ ελόο ςεύηηθνπ STA. Όινη νη άιινη πειάηεο αζύξκαηνπ δηθηύνπ πνπ κνηξάδνληαη ην κέζν RF ιακβάλνπλ ην CTS θαη παξαθξαηνύλ ηηο κεηαδόζεηο ηνπο, κέρξη λα ζηακαηήζεη ν εηζβνιέαο λα κεηαδίδεη πιαίζηα CTS. 2.7 Αζύξκαηε Αζθάιεηα Γηα ηελ αληηκεηώπηζε ησλ απεηιώλ από αζύξκαηνπο εηζβνιείο θαη ηελ πξνζηαζία ησλ δεδνκέλσλ, δύν πξώηκα ραξαθηεξηζηηθά αζθαιείαο ρξεζηκν-πνηήζεθαλ: SSID απόθξπςεο - Σα APs θαη νξηζκέλνη αζύξκαηνη δξνκνινγεηέο επηηξέπνπλ ζην πιαίζην SSID νξόζεκν λα είλαη απελεξγνπνηεκέλν. Οη αζύξκαηνη πειάηεο πξέπεη λα πξνζδηνξίζνπλ ρεηξνθίλεηα ην SSID γηα ηε ζύλδεζε κε ην δίθηπν. -40-
MAC addresses filtering - λαο δηαρεηξηζηήο κπνξεί ρεηξνθίλεηα λα επηηξέςεη ή λα αξλεζεί ζηνπο πειάηεο αζύξκαηε πξόζβαζε κε βάζε ηε θπζηθή MAC ηνπο δηεύζπλζε πιηθνύ. Τπάξρνπλ ηξεηο θνηλέο βαζηθέο ηερληθέο πηζηνπνίεζεο δηαζέζηκεο: Δλζύξκαηε Ιζνδύλακε Πξνζηαζία Πξνζσπηθώλ Γεδνκέλσλ / Wired Equivalent Privacy (WEP) - Η αξρηθή / πξσηόηππε πξνδηαγξαθή 802.11 είρε ζρεδηαζηεί γηα λα παξέρεη πξνζηαζία ησλ πξνζσπηθώλ δεδνκέλσλ παξόκνηα κε ηε ζύλδεζε ζε έλα δίθηπν ρξε-ζηκνπνηώληαο κηα ελζύξκαηε ζύλδεζε. Σα δεδνκέλα είλαη εμαζθαιη-ζκέλα κε ηε ρξήζε ηεο κεζόδνπ θξππηνγξάθεζεο RC4 κε έλα ζηαηηθό θιεηδί. Ωζηόζν, ην θιεηδί δελ αιιάδεη θαηά ηελ αληαιιαγή παθέησλ θαη είλαη εύθνιν λα παξαβηαζηεί. Πξνζηαηεπκέλε Πξόζβαζε Wi-Fi / Wi-Fi Protected Access (WPA) - λα πξόηππν Wi-Fi Alliance, πνπ ρξεζηκνπνηεί WEP, αιιά εμαζθαιίδεη ηα δεδνκέλα κε ην θαηά πνιύ ηζρπξόηεξν πξσηόθνιιν Temporal Key Integrity Protocol (TKIP) αιγόξηζκν θξππηνγξάθεζεο. To TKIP αιιάδεη ην θιεηδί γηα θάζε παθέην θαη ην θαζηζηά πνιύ πην δύζθνιν λα παξαβηαζηεί. IEEE 802.11i / WPA2 - Σν IEEE 802.11i είλαη ην βηνκεραληθό πξόηππν γηα ηελ πξνζηαζία ησλ αζύξκαησλ δηθηύσλ. Η έθδνζε Wi-Fi alliance νλνκάδεηαη WPA2. To 802.11i θαη WPA2, ρξεζηκνπνηνύλ θαη ηα δπν ην Advanced Encryption Standard (AES) γηα ηελ θξππηνγξάθεζε. Σν AES ζεσξείηαη ζήκεξα ην ηζρπξόηεξν πξσηόθνιιν θξππηνγξάθεζεο. Σα πξόηππα ΙEEE 802.11i, Wi-Fi Alliance WPA θαη WPA2 ρξεζηκνπνηνύλ ηα αθόινπζα πξσηόθνιια θξππηνγξάθεζεο: Temporal Key Integrity Protocol (TKIP) - H κέζνδνο θξππηνγξάθεζεο TKIP ρξεζηκνπνηείηαη από ηελ WPA. Παξέρεη ππνζηήξημε γηα ηνλ legacy εμνπιηζκό WLAN αληηκεησπίδνληαο ηηο αξρηθέο αηέιεηεο πνπ ζρεηίδνληαη κε ηε κέζνδν θξππηνγξάθεζεο 802.11 WEP. Κάλεη ρξήζε ηνπ WEP, αιιά θξππηνγξαθεί ην Layer 2 payload ρξεζηκνπνηώληαο TKIP θαη ζηέιλεη έμσ έλα κήλπκα ειέγρνπ αθεξαηόηεηαο / Message Integrity Check (MIC) ζην θξππηνγξαθεκέλν παθέην γηα λα δηαζθαιηζηεί όηη ην κήλπκα δελ έρεη αιινησζεί. -41-
Advanced Encryption Standard (AES) - Η κέζνδνο θξππηνγξάθεζεο AES ρξεζηκνπνηείηαη από ην WPA2. Δίλαη ε πξνηηκώκελε κέζνδνο επεηδή επζπγξακκίδεηαη κε ην βηνκεραληθό πξόηππν IEEE 802.11i. Η AES εθηειεί ηηο ίδηεο ιεηηνπξγίεο όπσο TKIP, αιιά είλαη κηα πνιύ ηζρπξόηεξε κέζνδνο θξππηνγξάθεζεο. Υξεζηκνπνηεί ηε ιεηηνπξγία Counter Cipher Block κε Chaining Message Authentication Protocol (CCMP) πνπ επηηξέπεη ζηνπο ππνινγηζηέο πξννξηζκνύ λα αλαγλσξί-ζνπλ εάλ ηα θξππηνγξαθεκέλα θαη κε θξππηνγξαθεκέλα bits έ- ρνπλ παξαπνηεζεί. -42-
3 Αζθάιεηα Δπηθνηλσληώλ 3.1 ACCESS CONTROL LISTS (ACLs) / Λίζηεο Διέγρνπ Πξόζβαζεο Η αζθάιεηα ησλ δηθηύσλ είλαη έλα ηεξάζηην δήηεκα, θαη πνιιά από απηά είλαη πέξα από ην πεδίν εθαξκνγήο απηνύ ηνπ καζήκαηνο. Ωζηόζν, κία από ηηο ζεκαληηθόηεξεο δεμηόηεηεο πνπ έλαο δηαρεηξηζηήο δηθηύνπ πξέπεη λα θαηέρεη είλαη ε γλώζε ησλ ιηζηώλ ειέγρνπ πξόζβαζεο (ACL). Οη ζρεδηαζηέο δηθηύνπ ρξεζηκνπνηνύλ ηα ηείρε πξνζηαζίαο γηα λα πξνζηαηεύζνπλ ηα δίθηπα από κε εμνπζηνδνηεκέλε ρξήζε. Σα ηείρε πξνζηαζίαο είλαη ιύζεηο πιηθνύ (hardware) ή ινγηζκηθνύ πνπ επηβάιινπλ νη πνιηηηθέο αζθάιεηαο ηνπ δηθηύνπ. θεθηείηε κηα θιεηδαξηά ζηελ πόξηα ελόο δσκαηίνπ κέζα ζε έλα θηίξην. Η θιεηδαξηά επηηξέπεη κόλν ζε πηζηνπνηεκέλνπο ηνπο ρξήζηεο θιεηδί ή θάξηα πξόζβαζεο λα ηελ πεξάζνπλ. Οκνίσο, έλα ηείρνο πξνζηαζίαο θηιηξάξεη ηελ κε εμνπζηνδνηεκέλε ή δπλεηηθά επηθίλδπλα παθέηα από ηελ είζνδν ζην δίθηπν. ε έλα δξνκνινγεηή Cisco, κπνξεί λα ξπζκηζηεί έλα απιό ηείρνο πξνζηαζίαο πνπ παξέρεη βαζηθέο δπλαηόηεηεο θηιηξαξίζκαηνο θπθινθνξίαο ρξεζηκνπνηώληαο ACLs. Οη δηαρεηξηζηέο ρξεζηκνπνηνύλ ACL γηα λα ζηακαηήζεη ε θπθινθνξία ή λα επηηξέςνπλ θαζνξηζκέλε θπθινθνξία ζηα δίθηπά ηνπο. Μηα ACL είλαη κηα δηαδνρηθή ιίζηα κε άδεηα ή απόξξηςε δειώζεσλ πνπ εθαξκόδνληαη ζε δηεπζύλζεηο ή πξσηόθνιια αλώηεξνπ ζηξώκαηνο. Οη ACLs παξέρνπλ έλα ηζρπξό κέζν γηα ηνλ έιεγρν ηεο θπθινθνξίαο εληόο θαη εθηόο δηθηύνπ. Οη ACLs κπνξνύλ λα ξπζκηζηνύλ γηα όια ηα δξνκνινγεκέλα πξσηόθνιια δηθηύνπ. Ο πην ζεκαληηθόο ιόγνο γηα λα ξπζκίζεηε ηηο ACLs, είλαη γηα λα εμαζθαιίζηεη ε αζθάιεηα ηνπ δηθηύνπ. Απηό ην θεθάιαην εμεγεί πώο λα ρξεζηκνπνηήζεηε ηελ πξόηππε θαη εθηεηακέλε ACL ζε έλα δξνκνινγεηή Cisco, σο κέξνο ηεο ιύζεο αζθάιεηαο. Πεξηιακβάλνληαη ζπκβνπιέο, εθηηκήζεηο, πξνηάζεηο θαη ηηο γεληθέο θαηεπζπληήξηεο γξακκέο γηα ην πώο λα ρξεζηκνπνηήζεηε ην ACLs. Οη ACLs πξαγκαηνπνηνύλ ηηο αθόινπζεο εξγαζίεο: -43-
Πεξηνξίδνπλ ηελ θπθινθνξία ηνπ δηθηύνπ γηα λα απμήζεηε ηελ απόδνζε ηνπ δηθηύνπ. Γηα παξάδεηγκα, αλ ε εηαηξηθή πνιηηηθή δελ επηηξέπεη ηελ θπθινθνξία βίληεν ζην δίθηπν, ε ACL πνπ κπινθάξεη ηελ θπθινθνξία βίληεν ζα κπνξνύζε λα δηακνξθσζεί θαη λα εθαξκνζηεί. Απηό ζα κείσλε ζεκαληηθά ην θνξηίν ηνπ δηθηύνπ θαη ζα αύμαλε ηελ απόδνζε ηνπ. Παξέρεη έιεγρν ηεο ξνήο θπθινθνξίαο. Οη ACLs κπνξνύλ λα πεξηνξίζνπλ ηελ παξάδνζε ελεκεξώζεσλ δξνκνιόγεζεο. Δάλ ελεκεξώζεηο δελ απαηηνύληαη ιόγσ ησλ ζπλζεθώλ ηνπ δηθηύνπ, ην εύξνο δώλεο ηόηε δηαηεξείηαη. Γίλνπλ έλα βαζηθό επίπεδν αζθάιεηαο γηα ηελ πξόζβαζε ζην δίθηπν. Οη ACLs κπνξνύλ λα επηηξέςνπλ ζε έλαλ θεληξηθό ππνινγηζηή λα απνθηήζεη πξόζβαζε ζε έλα ηκήκα ηνπ δηθηύνπ θαη λα απνηξέςεη κηα άιιε ππνδνρή από ηελ πξόζβαζε ζηελ ίδηα πεξηνρή. Γηα παξάδεηγκα, ε πξόζβαζε ζην δίθηπν Αλζξσπίλσλ Πόξσλ κπνξεί λα πεξηνξίδεηαη ζε εμνπζηνδνηεκέλνπο ρξήζηεο. Σν θίιηξν θπθινθνξίαο βαζίδεηαη ζηνλ ηύπν θπθινθνξίαο. Γηα παξάδεηγκα, κηα ACL κπνξεί λα επηηξέςεη e-mail θπθινθνξίαο, αιιά κπινθάξεη ην ζύλνιν ηεο θίλεζεο Telnet. Οη ρεηξηζηέο νζόλεο λα επηηξέςνπλ ή λα απαγνξεύζνπλ ηελ πξόζβαζε ζε ππεξεζίεο δηθηύνπ. Οη ACLs επηηξέπνπλ ή αξλνύληαη ζε έλα ρξήζηε λα έρεη πξόζβαζε ζε ηύπνπο αξρείσλ, όπσο FTP ή HTTP. Οη ACLs επηηξέπνπλ ζηνπο δηαρεηξηζηέο λα ειέγρνπλ ηελ θπθινθνξία εληόο θαη ε- θηόο ηνπ δηθηύνπ. Ο έιεγρνο απηόο κπνξεί λα είλαη ηόζν απιόο όζν ην λα επηηξέπεη ή λα απαγνξεύεη ηελ θπθινθνξία κε βάζε ηηο δηεπζύλζεηο δηθηύνπ ή ηόζν πεξίπινθνο, όπσο ν έιεγρνο θίλεζεο ηνπ δηθηύνπ κε βάζε ηεο νπνίαο δεηείηαη ε ζύξα TCP. Δίλαη εύθνιν λα θαηαιάβεη θαλείο πώο κηα ACL θηιηξάξεη ηελ θπθινθνξία εμεηάδνληαο ην δηάινγν πνπ εκθαλίδεηαη θαηά ηε δηάξθεηα κηαο ζπλνκηιίαο TCP, όπσο όηαλ δεηνύλ/αλαδεηνύλ κηα ηζηνζειίδα. Οη ιίζηεο ACL έρνπλ ξπζκηζηεί ώζηε λα ηζρύνπλ ζε εηζεξρόκελε θίλεζε ή λα εθαξκόδνληαη ζε εμεξρόκελε θπθινθνξία, όπσο θαίλεηαη ζηελ εηθόλα. Δηζεξρόκελεο ACLs - Σα εηζεξρόκελα παθέηα έρνπλ ππνζηεί επεμεξγαζία πξηλ δηνρεηεπηνύλ ζηελ εμεξρόκελε δηεπαθή. Μηα εηζεξρόκελε ACL είλαη απνηειεζκαηηθή, δηόηη ζώδεη ηελ επηβάξπλζε ησλ αλαδεηήζεσλ δξνκνιόγεζεο αλ ην -44-
παθέην απνξξίπηεηαη. Αλ ην παθέην επηηξέπεηαη από ηηο δνθηκέο, ηόηε ππόθεηηαη επεμεξγαζία γηα ηε δξνκνιόγεζε. Οη εηζεξρόκελνο ACLs είλαη θαιύηεξα λα ρξεζηκνπνηνύληαη γηα ην θηιηξάξηζκα παθέησλ, όηαλ ην δίθηπν ζπλδέεηαη κε κηα εηζεξρόκελε δηεπαθή θαη απηή είλαη ε κόλε πεγή ησλ παθέησλ πνπ ρξεηάδεηαη γηα λα εμεηαζηνύλ. Δμεξρόκελεο ACLs - Σα εηζεξρόκελα παθέηα δξνκνινγνύληαη ζην εμεξρόκελν interface, θαη ζηε ζπλέρεηα ππνβάιινληαη ζε επεμεξγαζία κέζσ ηνπ εμεξρόκελνπ ACL. Οη εμεξρόκελεο ACLs ρξεζηκνπνηνύληαη θαιύηεξα όηαλ ην ίδην ην θίιηξν εθαξκόδεηαη ζε παθέηα πνπ πξνέξρνληαη από πνιιαπιέο εηζεξρόκελεο δηεπαθέο πξηλ ηελ έμνδν από ηνλ ίδην εμεξρόκελν interface. 3.2 Σύπνη ACLs Standard ACLs Οη πξόηππεο/ηππηθέο ACLs κπνξνύλ λα ρξεζηκνπνηεζνύλ γηα λα επηηξέςνπλ ιε λα απαγνξεύζνπλ ηελ θπθινθνξία κόλν από ηελ πεγή δηεπζύλζεσλ IPv4. Ο πξννξηζκόο ηνπ παθέηνπ θαη νη ζύξεο (ports) πνπ εκπιέθνληαη δελ αμηνινγνύληαη. Λόγσ ηνπ όηη ζπλεπάγεηαη «άξλεζε ζε θάζε» ζην ηέινο, όιε ε ππόινηπε θπθινθνξία κπινθάξεηαη κε απηή ηελ ACL. Οη πξόηππεο/ηππηθέο ACLs δεκηνπξγνύληαη κε βάζε ηε ξύζκηζε ηεο παγθόζκηαο ιεηηνπξγίαο. Extended ACLs Οη εθηεηακέλεο ACLs θηιηξάξνπλ παθέηα IPv4 βαζηδόκελα ζε δηάθνξα ραξαθηεξηζηηθά: Σύπνο πξσηόθνιινπ Πεγή δηεύζπλζεο IPv4 Πξννξηζκόο δηεύζπλζεο IPv4 Θύξεο TCP ή Πεγέο UDP Πξννξηζκόο TCP ή Πεγέο UDP Πξναηξεηηθέο πιεξνθνξίεο ηύπνπ πξσηνθόιινπ γηα θαιύηεξν έιεγρν Δδώ είλαη κεξηθέο νδεγίεο γηα ηε ρξήζε ησλ ACLs: -45-
Υξεζηκνπνηήζηε ηηο ACLs ζε δξνκνινγεηέο ηείρνπο πξνζηαζίαο πνπ ηνπνζεηνύληαη κεηαμύ ηνπ εζσηεξηθνύ δηθηύνπ ζαο θαη ελόο εμσηεξηθνύ δηθηύνπ, όπσο είλαη ην Γηαδίθηπν. Υξεζηκνπνηήζηε ηηο ACLs ζε έλαλ δξνκνινγεηή πνπ ηνπνζεηείηαη αλάκεζα ζε δύν ηκήκαηα ηνπ δηθηύνπ ζαο γηα ηνλ έιεγρν ηεο θπθινθνξίαο πνπ εηζέξρεηαη ή εμέξρεηαη από έλα ζπγθεθξηκέλν ηκήκα ηνπ εζσηεξηθνύ δηθηύνπ ζαο. Ρπζκίζηε ηηο ACLs ζε ζπλνξηαθνύο δξνκνινγεηέο, δειαδή, δξνκνιν-γεηέο πνπ βξίζθνληαη ζηηο άθξεο ησλ δηθηύσλ ζαο. Απηό παξέρεη έλα πνιύ βαζηθό ξπζκηζηηθό από ην εμσηεξηθό δίθηπν, ή κεηαμύ κηαο ιηγόηεξν ειεγρόκελεο πεξηνρήο ηνπ δηθνύ ζαο δηθηύνπ θαη κηαο πην επαίζζεηεο πεξηνρήο ηνπ δηθηύνπ ζαο. Ρπζκίζηε ηηο ACLs γηα θάζε πξσηόθνιιν δηθηύνπ πνπ έρεη ξπζκηζηεί ζηνλ δξνκνινγεηή νξίσλ δηαζύλδεζεο. Κάζε ACL πξέπεη λα ηνπνζεηείηαη ζε κέξε όπνπ ππάξρεη ν κεγαιύηεξνο αληίθηππνο ζηελ απόδνζε. Όπσο θαίλεηαη ζην ζρήκα, νη βαζηθνί θαλόλεο είλαη: Extended ACLs / Δθηεηακέλεο ACLs - Δληνπίζηε ηηο εθηεηακέλεο ACLs όζν ην δπλαηόλ πιεζηέζηεξα ζηελ πεγή ηεο θίλεζεο πνπ πξέπεη λα θηιηξαξηζηεί. Με απηό ηνλ ηξόπν, ε αλεπηζύκεηε θπθινθνξία απνκαθξύλεηαη / αξλείηαη θνληά από πεγή ηνπ δηθηύνπ, ρσξίο λα δηέξρεηαη από ηελ ππνδνκή ηνπ. Standard ACLs / Πξόηππεο ACLs - Δπεηδή νη πξόηππεο ACLs, δελ δηεπθξηλίδνπλ ηηο δηεπζύλζεηο πξννξηζκνύ, ηνπνζεηήζηε απηέο όζν πην θνληά ζηνλ πξννξηζκό είλαη δπλαηόλ. Σνπνζεηώληαο κηα πξόηππε ACL ζηελ πεγή ηεο θπθινθνξίαο ζα απνηξέςεη απνηειεζκαηηθά απηήλ ηελ θπθινθνξία λα θηάζεη άιια δίθηπα κέζσ ηεο δηεπαθήο, όπνπ εθαξκόδεηαη ε ACL. Μηα πξόηππε ACL κπνξεί λα θηιηξάξεη κόλν ηελ θίλεζε πνπ βαζίδεηαη ζε κηα δηεύζπλζε πεγήο. Ο βαζηθόο θαλόλαο γηα ηελ ηνπνζέηεζε κηαο πξόηππεο ACL είλαη λα ηνπνζεηεζεί ε ACL όζν ην δπλαηόλ πιεζηέζηεξα ζην δίθηπν πξννξηζκνύ. Απηό επηηξέπεη ζηελ θπθινθνξία λα θηάζεη ζε όια ηα άιια δίθηπα εθηόο από ην δίθηπν όπνπ ζα θηιηξαξηζηνύλ ηα παθέηα. Όπσο κηα πξόηππε ACL, κηα εθηεηακέλε ACL κπνξεί λα θηιηξάξεη ηελ θπθινθνξία κε βάζε ηε δηεύζπλζε πεγήο. Ωζηόζν, κηα εθηεηακέλε ACL κπνξεί επίζεο λα θηιηξάξεη ηελ θπθινθνξία κε βάζε ηε δηεύζπλζε πξννξηζκνύ, ην πξσηόθνιιν θαη ηνλ αξηζκό -46-
ζύξαο. Απηό επηηξέπεη ζηνπο δηαρεηξηζηέο ηνπ δηθηύνπ κεγαιύηεξε επειημία ζην είδνο ηεο θίλεζεο πνπ κπνξεί λα θηιηξαξηζηεί θαη πνπ λα ηνπνζεηεζεί ε ACL. Ο βαζηθόο θαλόλαο γηα ηελ ηνπνζέηεζε κηαο εθηεηακέλεο ACL είλαη λα ηνπνζεηεζεί όζν ην δπλαηόλ πην θνληά ζηελ πεγή. Απηό απνηξέπεη ηελ αλεπηζύκεηε θίλεζε από ην λα απνζηέιιεη ζε πνιιαπιά δίθηπα, κόλν γηα λα απνξξηθζεί όηαλ θζάζεη ζηνλ πξννξηζκό ηεο. 3.3 ρεδηαζκόο θαη Αζθάιεηα VLAN Τπάξρνπλ δηαθνξεηηθνί ηύπνη επηζέζεσλ VLAN ζηα ζύγρξνλα δίθηπα κεηαγσγήο. Η αξρηηεθηνληθή VLAN απινπνηεί ηε δηθηπαθή ζπληήξεζε θαη βειηηώλεη ηελ απόδνζε, αιιά είλαη εθηεζεηκέλε ζε παξαβίαζε. Δίλαη ζεκαληηθό λα θαηαλνεζεί ε γεληθή κεζνδνινγία πίζσ από απηέο ηηο επηζέζεηο θαη ηηο θύξηεο πξνζεγγίζεηο γηα ην κεηξηαζκό ηνπο. Η ηερληθή VLAN hopping επηηξέπεη θαηά ηελ θπθινθνξία ελόο VLAN λα γίλεηαη νξαηό/αληηιεπηό από έλα άιιν VLAN. Η ηερληθή switch spoofing είλαη έλαο ηύπνο VLAN hopping επίζεζεο πνπ ιεηηνπξγεί κε ην λα εθκεηαιεύεηαη κία ιάζνο ξύζκηζε κίαο trunk ζύξαο ηνπ switch. Από πξνεπηινγή (default), νη trunk ζύξεο έρνπλ ππνζηεξίδνπλ όια ηα VLANs θαη επηηξέπνπλ λα πεξάζεη πιεξνθνξία πνιιαπιώλ VLANs δηακέζνπ ηνπ θπζηθνύ θαλαιηνύ, δειαδή κεηαμύ ησλ ζπλδεδεκέλσλ switches. ε κηα βαζηθή επίζεζε απάηεο switch spoofing, ν εηζβνιέαο εθκεηαιιεύεηαη ην γεγνλόο όηη ε πξνεπηιεγκέλε ξύζκηζε ηεο ζύξαο ηνπ κεηαγσγέα είλαη απηόκαηα δπλακηθή. Ο εηζβνιέαο δηθηύνπ δηακνξθώλεη έλα ζύζηεκα κε ην νπνίν εμαπαηά ηνλ κεηαγσγέα. Η εμαπάηεζε απηή απαηηεί ν δηθηπαθόο εηζβνιέαο λα είλαη ζε ζέζε λα κηκεζεί κελύκαηα 802.1Q θαη DTP. Ξεγειώληαο έλα κεηαγσγέα όηη έλαο άιινο κεηαγσγέαο πξνζπαζεί λα ζρεκαηίζεη κηα trunk ζύξα, ηόηε ν εηζβνιέαο κπνξεί λα απνθηήζεη πξόζβαζε ζε όιεο ηα VLANs πνπ επηηξέπνληαη από απηή ηελ ζύξα. λα άιιν είδνο επίζεζεο VLAN είλαη ηνπ double-tagging (ή δηπιήο ελζπιάθσζεο double encapsulated) επίζεζεο VLAN hopping. Απηνύ ηνπ είδνπο ε επίζεζεο εθκεηαιιεύεηαη ηνλ ηξόπν ιεηηνπξγίαο ηνπ πιηθνύ κε ηνλ νπνίν νη πεξηζζόηεξνη κεηαγσγείο ιεηηνπξγνύλ. Οη πεξηζζόηεξνη κεηαγσγείο εθηεινύλ ελζπιάθσζε ελόο επηπέδνπ 802.1Q, ε -47-
νπνία επηηξέπεη ζε έλαλ εηζβνιέα λα ελζέζεη έλα θξπθό tag 802.1Q κέζα ζην πιαίζην. Σν tag απηό επηηξέπεη ζην πιαίζην λα είλαη κέζα ην VLAN, ην νπνίν δελ νξίζηεθε από ην απζεληηθό tag 802.1Q. λα ζεκαληηθό ραξαθηεξηζηηθό ηεο επίζεζεο βεκαηηζκνύ VLAN δηπιήο ελζπιάθσζεο είλαη όηη ιεηηνπξγεί αθόκε θαη αλ ηα trunk ports είλαη απελεξγνπνηεκέλα, επεηδή έλαο δέθηεο ζπλήζσο ζηέιλεη έλα πιαίζην ζην ηκήκα πνπ δελ είλαη ην ε ζύλδεζε θαλαιηνύ / trunk link. Κάπνηεο εθαξκνγέο απαηηνύλ θακία θίλεζε λα κελ δηαβηβάδεηαη ζε Layer 2 κεηαμύ ζύξσλ ηνπ ίδηνπ κεηαγσγέα, έηζη ώζηε έλαο γείηνλαο λα κελ βιέπεη ηελ θίλεζε πνπ παξάγεηαη από έλαλ άιιν γείηνλα. ε έλα ηέηνην πεξηβάιινλ, ε ρξήζε ηεο Private VLAN (PVLAN) Edge πξνεμέρεη/ είλαη ζεκαληηθήο ζεκαζίαο, επίζεο γλσζηή σο πξνζηαηεπόκελεο ζύξεο, εμαζθαιίδεη όηη δελ ππάξρεη αληαιιαγή unicast, broadcast ή multicast θίλεζεο/θπθινθνξίαο κεηαμύ απηώλ ησλ ζπξώλ ηνπ κεηαγσγέα. Σα ραξαθηεξηζηηθά ηεο πξνεμέρνπζαο PVLAN Edge είλαη ηα αθόινπζα: Μηα πξνζηαηεπκέλε ζύξα δελ πξνσζεί θακία θπθινθνξία (unicast, broadcast ή multicast) ζε νπνηαδήπνηε άιιε ζύξα, ε νπνία επίζεο είλαη πξνζηαηεπόκελε ζύξα, εθηόο από ηνλ έιεγρν θπθινθνξίαο. Γεδνκέλα θπθινθνξίαο δελ κπνξνύλ λα πξνσζεζνύλ κεηαμύ πξνζηαηεπόκελσλ ζπξώλ ζην Layer 2. Πξνσζεηηθή ζπκπεξηθνξά αλάκεζα ζε πξνζηαηεπόκελε ζύξα θαη κε πξνζηαηεπόκελε ζύξα πξνρσξεί σο ζπλήζσο. Οη πξνζηαηεπόκελεο ζύξεο πξέπεη λα ξπζκηζηνύλ ρεηξνθίλεηα. Οη κεηαγσγείο Cisco έρνπλ εξγνζηαζηαθή δηακόξθσζε, ζηελ νπνία νη πξνεπηιεγκέλεο VLANs έρνπλ παξακεηξνπνηεζεί από πξηλ γηα λα ππνζηεξίδνπλ πνηθηιία κέζσ ελεκέξσζεο θαη ηύπνπο πξσηνθόιισλ. Η πξνεπηιεγκέλε Ethernet VLAN είλαη VLAN 1. Δίλαη κηα βέιηηζηε πξαθηηθή ζηε ξύζκηζε όισλ ησλ ζπξώλ κε όινπο ηνπο κεηαγσγείο πνπ ζπλδένληαη κε VLAN εθηόο από VLAN 1. Απηό ζπλήζσο επηηπγράλεηαη κέζσ ξύζκηζεο όισλ ησλ αρξεζηκνπνίεησλ ζπξώλ ζε κηα καύξε ηξύπα VLAN πνπ δελ έρεη θακία ρξεζηκόηεηα ζην δίθηπν. Όιεο νη ρξεζηκνπνηνύκελεο ζύξεο πνπ ζπλδένληαη κε VLAN δηαθέξνπλ από ηελ VLAN 1 θαη αθόκε δηαθέξνπλ από ηελ καύξε ηξύπα VLAN. Δπηπιένλ είλαη κηα θαιή πξαθηηθή λα θιείλνπλ νη αρξεζηκνπνίεηεο ζύξεο κεηαγσγέσλ γηα ηελ πξόιεςε πξόζβαζεο δίρσο εμνπζηνδόηεζε. -48-
Μηα θαιή πξαθηηθή αζθαιείαο είλαη λα δηαρσξίδεηαη ε δηαρείξηζε θαη ε θπθινθνξία δεδνκέλσλ ρξήζηε. Η δηαρείξηζε VLAN, ε νπνία είλαη πξνεπηιεγκέλε VLAN 1. Θα πξέπεη λα αιιάδεηαη ζε κηα δηαθνξεηηθή θαη μερσξηζηή VLAN. Η εμ απνζηάζεσο επηθνηλσλία κε κεηαγσγέα Cisco γηα ιόγνπο δηαρείξηζεο γηα λα επηηεπρζεί πξέπεη ν κεηαγσγέαο λα έρεη δηεύζπλζε IP ξπζκηζκέλε κε βάζε ηελ δηαρείξηζε VLAN. Οη ρξήζηεο ζε άιιεο VLAN δελ ζα είλαη ζε ζέζε λα πξαγκαηνπνηήζνπλ απνκαθξπζκέλεο ζπλεδξίεο κε πξόζβαζε κε ηνλ κεηαγσγέα, εθηόο θαη αλ έρνπλ δξνκνινγεζεί κέζσ ηνπ VLAN δηαρείξηζεο, πξνζζέηνληαο έλα επηπιένλ επίπεδν αζθάιεηαο. Δπίζεο ν κεηαγσγέαο πξέπεη λα ξπζκηζηεί ώζηε λα δέρεηαη κόλν θξππηνγξαθεκέλεο ζπλεδξίεο SSH γηα απνκαθξπζκέλε δηαρείξηζε. Όιε ε θπθινθνξία απνζηέιιεηαη ζηελ VLAN 1. Ούησο ώζηε όηαλ ε κεηξηθή VLAN αιιάδεη ζε θάηη άιιν εθηόο ηεο VLAN 1, όιε ε θπθινθνξία ειέγρνπ λα πξαγκαηνπνηείηαη κε εηηθέηα IEEE 802.1Q VLAN (εηηθέηα VLAN ID 1). Μηα πξνηεηλνκέλε πξαθηηθή αζθαιείαο είλαη λα αιιάδεη ε κεηξηθή VLAN ζε δηαθνξεηηθή VLAN, από όηη ζε VLAN 1. Αθόκε ε κεηξηθή VLAN πξέπεη λα δηαθξίλεηαη από όινπο ηνπο ρξήζηεο VLANs. λα επηβεβαηώλεηαη όηη ε κεηξηθή VLAN γηα 802.1Q είλαη ε ίδηα θαη ζηα δύν άθξα ηεο. Η DTP πξνζθέξεη ηέζζεξηο ηξόπνπο κεηαγσγέσλ ζύξαο: πξόζβαζε, trunk, απηόκαηε δπλακηθή θαη επηζπκεηή δπλακηθή. Μηα γεληθή θαηεπζπληήξηα γξακκή είλαη ε απελεξγνπνίεζε ηεο απηόκαηεο δηαπξαγκάηεπζεο / autonegosiation. Όζν αθνξά ηελ θαιύηεξε πξαθηηθή αζθαιείαο γηα ζύξεο λα κελ ρξεζηκνπνηνύληαη νη ηύπνη ηεο απηόκαηεο δπλακηθήο ή ηεο επηζπκεηήο δπλακηθήο ζηνπο κεηαγσγείο ζύξαο. Σέινο ε θσλεηηθή θπθινθνξία έρεη απζηεξέο απαηηήζεηο QoS. Δάλ νη ρξήζηεο ειεθηξνληθώλ ππνινγηζηώλ θαη IP ηειεθώλσλ είλαη ζηελ ίδηα VLAN, θάζε έλα πξνζπαζεί λα ρξεζηκνπνηήζεη ην δηαζέζηκν εύξνο δώλεο ρσξίο λα ιακβάλεη ππόςε ηελ άιιε ζπζθεπή. Γηα ηελ απνθπγή ηέηνηνπ είδνπο ζύγθξνπζεο πξνηείλεηαη ε ρξήζε μερσξηζηώλ VLANs γηα ηειεθσλία IP θαη ηελ θπθινθνξία δεδνκέλσλ. -49-
3.4 Αζθάιεηα ζην Αζύξκαην Μέζν Σα αζύξκαηα δίθηπα κπνξνύλ λα παξέρνπλ ζηνπο πειάηεο θηλεηηθόηεηα, ε δπλαηόηεηα λα ζύλδεζεο από νπνηνδήπνηε ζεκείν θαη νπνηαδήπνηε ζηηγκή, θαη ηελ ηθαλόηεηα πεξηαγσγήο ελώ παξακέλνπλ ζπλδεδεκέλνη. λα αζύξκαην LAN (WLAN) είλαη ηαμηλόκεζε ηνπ αζύξκαηνπ δηθηύνπ πνπ ρξεζηκνπνηείηαη επξέσο ζε ζπίηηα, γξαθεία θαη ζε πεξηβάιινληα παλεπηζηεκηνύπνιεο. Παξόιν πνπ ρξεζηκνπνηεί ξαδηνζπρλόηεηεο αληί ησλ θαισδίσλ, εθαξκόδεηαη ζπλήζσο ζε έλα ελεξγνπνηεκέλν πεξηβάιινλ δηθηύνπ θαη ε κνξθή ηνπ πιαηζίνπ ηνπ είλαη παξόκνηα κε ηνπ Ethernet. Απεηιέο WLAN Οη δπζθνιίεο ζηε δηαηήξεζε ελόο ελζύξκαηνπ αζθαινύο δηθηύνπ εληζρύεηαη από έλα αζύξκαην δίθηπν. Η αζθάιεηα πξέπεη λα απνηειεί πξνηεξαηόηεηα γηα νπνηνδήπνηε ρξεζηκνπνηεί ή δηαρεηξίδεηαη δίθηπα. λα WLAN είλαη αλνηρηό/πξνζβάζηκν ζε νπνηνλδήπνηε εληόο ηεο εκβέιεηαο ελόο AP θαη κπνξεί κε ηηο θαηάιιειεο πηζηνπνηήζεηο λα ζπλδεζεί κε απηό. Με έλα αζύξκαην NIC θαη γλώζε ησλ ηερληθώλ ζπαζίκαηνο θσδηθώλ, έλαο εηζβνιέαο κπνξεί λα κελ ρξεηαζηεί λα βξίζθεηαη πξνζσπηθά ν ίδηνο ζην ρώξν εξγαζίαο γηα λα απνθηήζεη πξόζβαζε ζε έλα WLAN. Οη αλεζπρίεο γηα ηελ αζθάιεηα είλαη αθόκα πην ζεκαληηθέο/πην βαξύλνπζαο ζεκαζίαο όηαλ πξόθεηηαη γηα δίθηπα επηρεηξήζεσλ, θαζώο ή ε βησζηκόηεηα κηαο επηρείξεζεο εμαξηάηαη από ηελ πξνζηαζία ησλ πιεξνθνξηώλ ηεο. Οη παξαβηάζεηο αζθάιεηαο γηα κηα επηρείξεζε κπνξεί λα έρνπλ ζεκαληηθέο επηπηώζεηο, εηδηθά αλ ε επηρείξεζε δηαηεξεί νηθνλνκηθέο πιεξνθνξίεο πνπ ζρεηίδνληαη κε ηνπο πειάηεο ηεο. Σα αζύξκαηα δίθηπα αλαπηύζζνληαη όιν θαη πεξηζζόηεξν ζε επηρεηξήζεηο θαη ζε πνιιέο πεξηπηώζεηο έρνπλ εμειηρζεί από κηα επθνιία/δηεπθόιπλζε ζε κηα απνζηνιή θξίζηκεο ζεκαζίαο γηα ην δίθηπν. Αλ θαη νη WLANs απνηεινύζαλ πάληα ζηόρν επηζέζεσλ κεηά ηελ αύμεζε ηεο δεκνηηθόηεηαο ηνπο είλαη πιένλ ζεκαληηθνί ζηόρνη. Οη επηζέζεηο κπνξεί λα δεκηνπξγνύληαη από μέλνπο, δπζαξεζηεκέλνπο ππαιιήινπο, αθόκα θαη αθνύζηα από ηνπο ίδηνπο ηνπο εξγαδόκελνπο. Σα αζύξκαηα δίθηπα είλαη η- δηαίηεξα εππαζή ζε δηάθνξεο απεηιέο, όπσο είλαη νη εμήο: Αζύξκαηνη εηζβνιείαο Δθαξκνγέο Rogue -50-
Τπνθινπή δεδνκέλσλ Δπηζέζεηο DoS Αζύξκαηεο Δπηζέζεηο Dos Οη αζύξκαηεο επηζέζεηο Dos κπνξεί λα είλαη απνηέιεζκα ησλ: Αθαηάιιεια δηακνξθσκέλεο ζπζθεπέο - ζθάικαηα ξύζκηζεο παξακέηξσλ κπνξνύλ λα απελεξγνπνηήζνπλ ην WLAN. Γηα παξάδεηγκα, έλαο δηαρεηξηζηήο κπνξεί λα αιιάμεη θαηά ιάζνο ηε δηακόξθσζε θαη λα απελεξγνπνηήζεη ην δίθηπν, ή έλαο εηζβνιέαο κε δηθαηώκαηα δηαρεηξηζηή ζα κπνξνύζε ζθόπηκα λα α- πελεξγνπνηήζεη έλα WLAN. Έλαο θαθόβνπινο ρξήζηεο ζθόπηκα λα παξεκβαίλεη κε ηελ αζύξκαηε επηθνηλσλία - Ο ζηόρνο ηνπο είλαη λα απελεξγνπνηήζνπλ εληειώο ην αζύξκαην δίθηπν ή ζε ζεκείν όπνπ θακία λόκηκε ζπζθεπή λα κπνξεί λα έρεη πξόζβαζε ζην κέζν. Σπραίεο παξεκβνιέο - ηα WLANs ιεηηνπξγνύλ ζε κε αδεηνδνηεκέλεο δώλεο ζπρλνηήησλ θαη σο εθ ηνύηνπ όια ηα αζύξκαηα δίθηπα, αλεμάξηεηα από ηα ραξαθηεξηζηηθά αζθαιείαο, είλαη επηξξεπή ζε παξεκβνιέο από άιιεο αζύξκαηεο ζπζθεπέο. Η ηπραία παξεκβνιή πνπ κπνξεί λα πξνθύςεη από απηέο ηηο ζπζθεπέο είλαη όπσο π.ρ. νη θνύξλνη κηθξνθπκάησλ, ηα αζύξκαηα ηειέθσλα, νη ζπζθεπέο παξαθνινύζεζεο κσξνύ θαη άιια. Η δώλε ησλ 2,4 GHz είλαη πην επηξξεπήο ζε παξεκβνιέο από όηη ε δώλε ησλ 5 GHz. Αλ θαη είλαη απίζαλν έλαο θαθόβνπινο ρξήζηεο ζα κπνξνύζε ζθόπηκα λα μεθηλήζεη κηα επίζεζε DoS κε ηε ρξήζε ζπζθεπώλ παξεκβνιώλ RF, πνπ παξάγνπλ ηπραίεο παξεκβνιέο. Σν πηζαλόηεξν είλαη όηη ζα πξνζπαζήζεη λα ρεηξαγσγήζεη ηα πιαίζηα δηαρείξηζεο γηα λα θαηαλαιώζεη ηνπο πόξνπο AP θαη λα θξαηήζεη ηα θαλάιηα πάξα πνιύ απαζρνιεκέλα ώζηε λα εμππεξεηήζνπλ ηε λόκηκε θίλεζε ηνπ ρξήζηε. Σα πιαίζηα δηαρείξηζεο κπνξνύλ λα επεξεαζηνύλ γηα ηε δεκηνπξγία δηαθόξσλ ηύπσλ επηζέζεσλ DoS. Γύν θνηλέο επηζέζεηο πιαηζίνπ δηαρείξηζεο πεξηιακβάλνπλ: Μηα πιαζηνγξαθεκέλε επίζεζε απνζύλδεζεο - Απηό ζπκβαίλεη όηαλ έλαο εηζβνιέαο ζηέιλεη κηα ζεηξά από «δηαρσξηζηηθέο» εληνιέο ζε όινπο ηνπο αζύξκαηνπο πειάηεο κέζα ζε έλα BSS. Οη εληνιέο απηέο πξνθαινύλ όινπο ηνπο πειά- -51-
ηεο λα απνζπλδεζνύλ. Όηαλ απνζπλδεζνύλ, νη πειάηεο αζύξκαηνπ δηθηύνπ πξνζπαζνύλ ακέζσο λα μαλά-ζπλδεζνύλ, κε απνηέιεζκα λα δεκηνπξγεί έθξεμε ηεο θπθινθνξίαο. Ο επηηηζέκελνο ζπλερίδεη ηελ απνζηνιή δηαρσξηζηηθώλ πιαηζίσλ θαη ν θύθινο επαλαιακβάλεηαη. Έλαο θαηαηγηζκόο CTS - Απηό ζπκβαίλεη όηαλ έλαο εηζβνιέαο εθκεηαιιεύεηαη ηελ κέζνδν δηακάρεο CSMA / CA γηα λα κνλνπσιήζεη ην εύξνο δώλεο θαη λα αξλεζεί όιεο ζε όινπο ηνπο άιινπο αζύξκαηεο πειάηεο πξόζβαζε ζην AP. Γηα λα επηηεπρζεί απηό, ν εηζβνιέαο θαηαηγίδεη επαλεηιεκκέλα ην BSS κε πιαίζηα Clear γηα Απνζηνιή (CTS) ζε έλα ςεύηηθν STA. Όινη νη άιινη πειάηεο αζύξκαηνπ δηθηύνπ πνπ κνηξάδνληαη ην κέζν RF ιακβάλνπλ ην CTS θαη παξαθξαηνύλ ηηο κεηαδόζεηο ηνπο, κέρξη ν εηζβνιέαο λα ζηακαηήζεη κεηαδίδεη ηα πιαίζηα CTS. εκείν Πξόζβαζεο Δμαπάηεζεο (Rogue) / Rogue Access Point Η εμαπάηεζε ΑΡ είλαη κηα ΑΡ ή έλαο αζύξκαηνο δξνκνινγεηήο πνπ είηε ήηαλ: ύλδεζε ζε εηαηξηθό δίθηπν ρσξίο ξεηή εμνπζηνδόηεζε θαη θαηά/ελαληίνλ ηεο εηαηξηθήο πνιηηηθήο. Οπνηνζδήπνηε κε πξόζβαζε ζηνπο ρώξνπο κπνξεί λα εγθαηαζηήζεη (θαθόβνπια ή κε θαθόβνπια) έλα θζελό αζύξκαην δξνκνινγεηή πνπ κπνξεί δπλεηηθά λα επηηξέςεη ηελ πξόζβαζε ζε αζθαιείο δηθηπαθνύο πόξνπο. ύλδεζε ή ελεξγνπνίεζε από έλαλ εηζβνιέα ζηνλ λα ζπιιέμεη δεδνκέλα πειαηώλ, όπσο είλαη νη δηεπζύλζεηο MAC ησλ πειαηώλ (ηόζν αζύξκαηεο όζν θαη ελζύξκαηεο), ή γηα λα ζπιιέμεη θαη λα αιιηώζεη παθέηα δεδνκέλσλ γηα λα απνθηήζεη πξόζβαζε ζε πόξνπο ηνπ δηθηύνπ, ή γηα λα μεθηλήζεη επίζεζε κε ελδηάκεζν / man-in-the-middle. Man in the Middle Μία από ηηο πην εμειηγκέλεο επηζέζεηο πνπ έλαο θαθόβνπινο ρξήζηεο κπνξεί λα ρξεζηκνπνηήζεη απνθαιείηαη επίζεζε man-in-the-middle (MITM). Τπάξρνπλ πνιινί ηξόπνη γηα λα δεκηνπξγεζεί κηα επίζεζε MITM. Μηα δεκνθηιήο αζύξκαηε επίζεζε MITM νλνκάδεηαη ε επίζεζε «θαθό δίδπκν AP», όπνπ ν επηηηζέκελνο εηζάγεη κηα ΑΡ θάιπηθε/rogue θαη ηελ ξπζκίδεη κε ηνλ ίδην SSID σο λόκηκε AP. Οη ηνπνζεζίεο πνπ πξνζθέξνπλ δσξεάλ Wi-Fi όπσο είλαη ηα αεξνδξόκη- -52-
α, νη θαθεηέξηεο θαη ηα εζηηαηόξηα απνηεινύλ εζηίεο γηα απηνύ ηνπ είδνπο επίζεζεο ιόγσ ηεο αλνηθηήο ηαπηόηεηαο/πηζηνπνίεζεο. Η ζύλδεζε πειαηώλ αζύξκαηνπ δηθηύνπ γίλεηαη κε ηελ νξαηόηεηα δύν APs λα πξνζθέξνπλ αζύξκαηε πξόζβαζε. Δθείλνη νη νπνίνη βξίζθνληαη θνληά ζε κηα ΑΡ πνπ έρεη πιαζηνγξαθεζεί / rogue εληνπίδνπλ ην ηζρπξόηεξν ζήκα θαη ην πην πηζαλό ζπλδένληαη ην θαθό δίδπκν AP. ηζη ε επηζθεςηκόηεηα ηνπ ρξήζηε απνζηέιιεηαη ζηελ πιαζηή ΑΡ, ε νπνία κε ηε ζεηξά ηεο ζπιιέγεη ηα δεδνκέλα θαη ηα δηαβηβάδεη ζην λόκηκν AP. Η επηζηξεθόκελε θπθινθνξία από ην λόκηκν AP απνζηέιιεηαη ζην πιαζηό AP, πνπ ζπιιακβάλεη θαη ζηε ζπλέρεηα δηαβηβάδεη ζην αλππνςίαζην STA. Ο εηζβνιέαο κπνξεί λα θιέςεη ηνλ θσδηθό πξόζβαζεο ηνπ ρξήζηε, ηηο πξνζσπηθέο ηνπ πιεξνθνξίεο, λα απνθηήζεη πξόζβαζε ζην δίθηπν θαη λα ζέζεη ζε θίλδπλν ην ζύζηεκα ηνπ ρξήζηε. Αζθαιίδνληαο ηα WLANs Η αζθάιεηα απνηεινύζε πάληα δήηεκα αλεζπρίαο ζηα δίθηπα κε Wi-Fi, δηόηη ην όξην ηνπ δηθηύνπ έρεη κεηαθηλεζεί. Σα αζύξκαηα ζήκαηα κπνξνύλ λα δηαπεξάζνπλ ζηεξεά πιηθά, όπσο είλαη νη νξνθέο, ηα δάπεδα, νη ηνίρνη, έμσ από ην ζπίηη, ή ρώξνπο γξαθείσλ. Υσξίο απζηεξά κέηξα αζθαιείαο ε εγθαηάζηαζε ελόο WLAN κπνξεί λα είλαη ηζνδύλακε κε ηελ ηνπνζέηεζε ζπξώλ Ethernet παληνύ, αθόκε θαη έμσ. Γηα ηελ αληηκεηώπηζε απεηιώλ από ηεο δηαηήξεζεο ησλ αζύξκαησλ εηζβνιέσλ εθηόο θαη γηα ηελ πξνζηαζία ησλ δεδνκέλσλ, δύν πξώηκα ραξαθηεξηζηηθά αζθαιείαο ρξεζηκνπνηήζεθαλ: Η απόθξπςε SSID - νη APs θαη νξηζκέλνη αζύξκαηνη δξνκνινγεηέο επηηξέπνπλ ην πιαίζην ηνπ θάξνπ SSID λα είλαη απελεξγνπνηεκέλν. Οη αζύξκαηνη πειάηεο πξέπεη λα πξνζδηνξίζνπλ ρεηξνθίλεηα ην SSID γηα λα ζπλδεζνύλ ζην δίθηπν. Σν θηιηξάξηζκα δηεπζύλζεσλ MAC - λαο δηαρεηξηζηήο κπνξεί ρεηξνθίλεηα λα επηηξέςεη ή λα αξλεζεί ζηνπο πειάηεο αζύξκαηε πξόζβαζε κε βάζε ηε θπζηθή δηεύζπλζε πιηθνύ ηνπο MAC. Τπάξρνπλ ηξεηο θνηλέο ηερληθέο πηζηνπνίεζεο θιεηδηνύ δηαζέζηκεο: Wired Equivalent Privacy (WEP) / Δλζύξκαηε Ιζνδπλακία ηεο Ιδησηηθόηεηαο - Η απζεληηθή πξνδηαγξαθή 802.11 ζρεδηάζηεθε γηα λα παξέρεη πξνζηαζία ηεο ηδησηηθήο δσήο παξόκνηα κε ηε ζύλδεζε ζε έλα δίθηπν ρξεζηκνπνηώληαο κηα -53-
ελζύξκαηε ζύλδεζε. Σα δεδνκέλα είλαη εμαζθαιηζκέλα κε ηε ρξήζε ηεο κεζόδνπ θξππηνγξάθεζεο RC4 κε έλα ζηαηηθό θιεηδί. Ωζηόζν, ην θιεηδί δελ αιιάδεη θαηά ηελ αληαιιαγή παθέησλ θαζηζηώληαο ην επάισην γηα λα παξαβηαζηεί. Wi-Fi Protected Access (WPA) / Πξνζηαηεπόκελε Πξόζβαζε Wi-Fi - λα πξόηππν Wi-Fi Alliance πνπ ρξεζηκνπνηεί WEP, αιιά εμαζθαιίδεη ηα δεδνκέλα κε ηνλ πνιύ ηζρπξόηεξν αιγόξηζκν θξππηνγξάθεζεο Temporal Key Integrity Protocol (TKIP). Σν TKIP αιιάδεη ην θιεηδί γηα θάζε παθέην θαη έηζη ην θαζηζηά πνιύ πην δύζθνιν ζην λα παξαβηαζηεί. IEEE 802.11i / WPA2 - Σν IEEE 802.11i είλαη ην βηνκεραληθό πξόηππν γηα ηελ πξνζηαζία ησλ αζύξκαησλ δηθηύσλ. Η έθδνζε Wi-Fi Alliance νλνκάδεηαη WPA2. To 802.11i θαη ην WPA2 ρξεζηκνπνηνύλ γηα ηελ θξππηνγξάθεζε θαη νη δύν ην Advanced Encryption Standard (AES). Σν AES ζεσξείηαη ζήκεξα ην η- ζρπξόηεξν πξσηόθνιιν θξππηνγξάθεζεο. Η θξππηνγξάθεζε ρξεζηκνπνηείηαη γηα ηελ πξνζηαζία ησλ δεδνκέλσλ. Δάλ έλαο εηζβνιέαο έρεη ζπιιέμεη θξππηνγξαθεκέλα δεδνκέλα δελ ζα είλαη ζε ζέζε λα ηα απνθσδηθνπνηήζεη κέζα ζε εύινγν ρξνληθό δηάζηεκα. Σα πξόηππα IEEE 802.11i, Wi-Fi Alliance WPA θαη WPA2 ρξεζηκνπνηνύλ ηα αθόινπζα πξσηόθνιια θξππηνγξάθεζεο: Temporal Key Integrity Protocol (TKIP) / Πξσηόθνιια Αθεξαηόηεηαο Πξνζσξηλνύ Κιεηδηνύ - Σα TKIP είλαη ε κέζνδνο θξππηνγξάθεζεο πνπ ρξεζηκνπνηείηαη από ην WPA. Παξέρεη ππνζηήξημε γηα ηνλ εμνπιηζκό ηνπ WLAN legacy αληηκεησπίδνληαο ηηο αξρηθέο αηέιεηεο πνπ ζρεηίδνληαη κε ηε κέζνδν θξππηνγξάθεζεο 802.11 WEP. Κάλεη ρξήζε ηνπ WEP, αιιά θξππηνγξαθεί ην Layer 2 σθέιηκεο θόξησζεο ρξεζηκνπνηώληαο TKIP θαη πξαγκαηνπνηεί ιεγρν Αθεξαηόηεηαο Μελύκαηνο / Message Integrity Check (MIC) ζην θξππηνγξαθεκέλν παθέην γηα λα δηαζθαιηζηεί όηη ην κήλπκα δελ έρεη αιινησζεί. Advanced Encryption Standard (AES) / Πξόηππν Πξνεγκέλεο Κξππηνγξάθεζεο - Σν AES είλαη κέζνδνο θξππηνγξάθεζεο πνπ ρξεζηκνπνηείηαη από ην WPA2. Δίλαη ε πξνηηκώκελε κέζνδνο, επεηδή επζπγξακκίδεηαη κε ην βηνκεραληθό πξόηππν IEEE 802.11i. Σν AES εθηειεί ηηο ίδηεο ιεηηνπξγίεο όπσο ην TKIP, αιιά απηό είλαη πνιύ ηζρπξόηεξε κέζνδνο θξππηνγξάθεζεο. Υξεζηκν- -54-
πνηεί ηε ιεηηνπξγία Counter Cipher Block κε Chaining Message Authentication Protocol Code (CCMP) πνπ επηηξέπεη ζηνπο ππνινγηζηέο πξννξηζκνύ λα αλαγλσξίζνπλ εάλ ηα θξππηνγξαθεκέλα θαη κε θξππηνγξαθεκέλα bits / θνκκάηηα έρνπλ παξαπνηεζεί. Σα WPA θαη WPA2 ππνζηεξίδνπλ δύν ηύπνπο πηζηνπνίεζεο: Πξνζσπηθή / Personal - Πξννξηδόκελε γηα νηθίεο ή κηθξά δίθηπα ζε γξαθεία, νη ρξήζηεο πηζηνπνηνύληαη κε ηελ ρξήζε ελόο πξνθαζνξηζκέλνπ θιεηδηνύ / preshared key (PSK). Οη αζύξκαηνη πειάηεο πηζηνπνηνύληαη γηα ηελ ρξήζε AP κέζσ ηνπ πξνθαζνξηζκέλνπ θσδηθνύ. Γελ είλαη απαξαίηεηε εηδηθή πηζηνπνίεζε δηαθνκηζηή. Δπηρεηξεκαηηθό / Enterprise - Πξννξίδεηαη γηα εηαηξηθά δίθηπα, αιιά απαηηεί δηαθνκηζηή ειέγρνπ ηαπηόηεηαο κηα Remote Authentication Dial-In User Service (RADIUS). Αλ θαη πην πεξίπινθε ζηε δεκηνπξγία ηεο σζηόζν, παξέρεη πξόζζεηε αζθάιεηα. Η ζπζθεπή πξέπεη λα επηθπξώλεηαη από ην δηαθνκηζηή RADIUS θαη ζηε ζπλέρεηα, νη ρξήζηεο πξέπεη λα πηζηνπνηνύληαη ρξεζηκνπνηώληαο ην πξόηππν 802.1X πνπ ρξεζηκνπνηεί ην Extensible Authentication Protocol (EAP) γηα ηνλ έιεγρν ηαπηόηεηαο. -55-
4 Μειέηε θαη ρεδηαζκόο Γηθηύνπ ην θεθάιαην απηό γίλεηαη ε κειέηε ηνπ δηθηύνπ θνξκνύ, ην νπνίν εκπεξηέρεη όιεο ηηο παξαπέλσ ηερλνινγίεο πνπ αλαιύζεθαλ ζηα πξνεγνύκελα θεθάιαηα. -57-
ΣΟΠΟΛΟΓΙΑ ΓΙΚΣΤΟΤ -59-
4.1 ΔΣΑΙΡΙΚΟ ΣΟΠΙΚΟ ΓΙΚΣΤΟ ΜΔ ΣΡΙΑ ΑΠΟΜΑΚΡΤΜΔΝΑ ΤΠΟΚΑΣΑΣΗΜΑΣΑ Σν θεληξηθό ηνπηθό δίθηπν ηεο εηαηξίαο απνηειείηαη από ηξία θηίξηα εληόο ηεο ίδηαο γεσγξαθηθήο πεξηνρήο ηα νπνία ζπλδένληαη κε ηα ππόινηπα ηξία απνκαθξπζκέλα ππνθαηαζηήκαηα ηεο εηαηξίαο κέζσ WAN. Frame relay θαη GRE αληίζηνηρα ρξεζηκνπνηείηαη γηα ηελ ζύλδεζε ησλ απνκαθξπζκέλσλ πεξηνρώλ. Wireless AP γηα ηνπο εηαηξηθνύο ρξήζηεο αιιά θαη ηνπο επηζθέπηεο παξέρνπλ πξόζβαζε ζην δηαδίθηπν αιιά θαη ζην π- πόινηπν εηαηξηθό δίθηπν ηεο εηαηξίαο. To ζύζηεκα δηεπζπλζηνδόηεζεο είλαη IPV4 θαη απνηειείηαη από ην θπξίσο δίθηπν (192.168.0.0/16) θαη ηα απνκαθξπζκέλα (172.30.0.0/16) θαη (172.31.0.0/16).(ε απηήλ ηελ ηνπνινγία έρνπλ αθαηξεζεί όια ηα default routes από θαη πξνο ηνλ ISP θαη ρξεζηκνπνηείηαη δπλακηθό πξσηόθνιιν OSPF γηα λα εμνκνηώζεη ηε ιεηηνπξγεία ηνπ EGP). Ο ζηόρνο ηνπ θεθαιαίνπ είλαη λα παξνπζηάζεη ηερλνινγίεο θαη ηερληθέο όπσο redistribution (5 ζε όιε ηελ ηνπνινγία), Frame Relay, IPSec over GRE, summary routes, OSPF Authentication, ACLs, NAT, 802.1Q, 802.1W, LACP, Single area OSPF, Multi area OSPF, EIGRP θαη IPV6. Παξνρέο Υξεζηώλ. Δπηθνηλσλία όισλ ησλ VLANS κεηαμύ ησλ ρξεζηώλ ηνπ δηθηύνπ (εθηόο αλ νξίδεηαη ην αληίζεην από ACLs) Πξόζβαζε ζην δηαδίθηπν Ηιεθηξνληθό ηαρπδξνκείν FTP Wireless access 4.2 Σνπνινγία Γηθηύνπ θαη Αλάιπζε αλά ηνκέα 1. Οη θύξηεο εγθαηαζηάζεηο ηνπ δηθηύνπ ηεο εηαηξίαο πεξηιακβάλνπλ ηνλ Main δξνκνινγεηή θαη ηνπο Bldg 1 θαη Bldg 2 δξνκνινγεηέο ζε μερσξηζηέο ζπλδέ- -61-
ζεηο P2P, ρξεζηκνπνηώληαο EIGRP σο δπλακηθό πξσηόθνιιν δξνκνιόγεζεο. Ο Main δξνκνινγεηήο επηθνηλσλεί κε όια ηα άγλσζηα δίθηπα κέζσ ελόο default route πξνο ηνλ ISP θαη ηαπηόρξνλα δηαθεκίδεη απηό ην default route ζηνλ ππόινηπν ηνκέα ηνπ EIGRP. Απηόο ν δξνκνινγεηήο ελεξγεί επίζεο θαη σο δηαθνκηζηήο DHCP γηα ηα VLANS 2, 4, 8 θαη 15. 2. Ο Building 1 (Bldg 1 - router), καδί κε άιινπο 2 δξνκνινγεηέο (R1 θαη R2), θπξίσο ππνζηεξίδνπλ ηνπο αζύξκαηεο εηαηξηθνύο ρξήζηεο ηεο Δηαηξείαο θαη ηνπο επηζθέπηεο, ρξεζηκνπνηώληαο 2 δηαθνξεηηθά AP γηα ιόγνπο αζθαιείαο. Ο δηαρσξηζκόο ηεο θπθινθνξίαο ησλ δεδνκέλσλ γίλεηαη ρξεζηκνπνηώληαο δηαθνξεηηθά VLANs (subnets). Η DHCP ιεηηνπξγεία είλαη ελεξγνπνηεκέλε θαη γηα δύν APs, αιιά βξίζθεηαη ζε δηαθνξεηηθό Broadcast Domain, έηζη ε ρξήζε ηεο ε- ληνιήο IP Helper-address ηέζεθε ζε εθαξκνγή ζηηο δηαζπλδέζεηο ησλ LANs ηόζν ζηνλ R1 όζν θαη ζηνλ R2 ζηα G0/1 interfaces ηνπο. Απηόο ν δξνκνινγεηήο είλαη επίζεο ππεύζπλνο γηα ην redistribution ησλ EIGRP routes εληόο ηνπ OSPF ηνκέα θαη αληίζηξνθα θαζώο απηόο ν δξνκνινγεηήο εθηειεί θαη ηα δύν πξσηόθνιια δξνκνιόγεζεο. 3. Απζηεξέο ξπζκίζεηο αζθαιείαο (WPA2-PSK) γηα ηελ αζύξκαηε επηθνηλσλία αλαπηύρζεθε κόλν γηα ηνπο hosts ηνπ AP USERS εθόζνλ ην δίθηπν απηό αλήθεη ζην εηαηξηθό ηκήκα ηεο εηαηξείαο θαη παξέρεη πξόζβαζε ζε επαίζζεηα δεδνκέλα, ελώ νη ξπζκίζεηο αζθαιείαο ηεο αζύξκαηεο επηθνηλσλίαο γηα ηνπο hosts ηνπ AP GUESTS έκεηλα αλνηρηέο θαζώο παξέρεη πξόζβαζε ζην INTERNET θαη κόλν. 4. Σν Κηίξην 2 (Bldg 2 - router) είλαη ν δξνκνινγεηήο ππεύζπλνο γηα Σελ επηθνηλσλία κε ηα άιια 2 απνκαθξπζκέλα ππνθαηαζηήκαηα (Branches) ηεο Δ- ηαηξείαο κέζσ FRAME RELAY Redistribution ησλ δύν δηαθνξεηηθώλ EIGRP Domains (EIGRP 100, EIGRP 1) Γξνκνιόγεζε κεηαμύ ησλ Vlans (InterVlan-Routing). Γηα ιόγνπο αζθαιείαο θαη best practice, όζνλ αθνξά ζηα Vlans, έρεη δεκηνπξγεζεί έλα μερσξηζηό Native Vlan, έλα Management Vlan θαη έλα ηξίην Vlan (black hole) ζην νπνίν θαηαρσξνύληαη όια ηα unused ports ησλ switches. -62-
EIGRP route Summarization ζε όιν ην δίθηπν, πξνθεηκέλνπ λα κεησζεί απνηειεζκαηηθά ν αξηζκόο ησλ θαηαρσξίζεσλ ζηα routing updates, θαη λα πεξηνξηζηεί ν αξηζκόο ησλ routing advertisements. 5. Σν θεληξηθό Access Layer ηεο εηαηξείαο (θάησζελ ηνπ Bldg2 - router) παξέρεη Link Redundancy θαη Link Aggregation, ρξεζηκνπνηώληαο ηηο αθόινπζεο ηερλνινγίεο. LACP γηα Link aggregation, δειαδή αύμεζε ηνπ Bandwidth ζην Back Bone ηνπ Layer 2 ζπλδπάδνληαο πνιιέο θπζηθέο ζπλδέζεηο ζε κία ινγηθή. STP γηα εθεδξεία θαη άλεπ βξόγρσλ Layer 2 δηαδξνκέο (Redundancy and Loop free Layer 2 paths). πγθεθξηκέλα έρεη ελεξγνπνηεζεί ην Rapid PVST + γηα ηελ ηαρύηεξε ζύγθιηζε ηνπ δηθηύνπ (convergence) θαη γηα ηα επηπιένλ ραξαθηεξηζηηθά πνπ δηαζέηεη. Σν Spanning Tree πξσηόθνιιν έρεη δηακνξθσζεί λα ιεηηνπξγεί αλά VLAN (per Vlan Spanning Tree). Κάζε Host απνθηά ηε δηθή ηνπ κνλαδηθή δηεύζπλζε IP απηόκαηα από ην δηαθνκηζηή DHCP. Cisco proprietary ραξαθηεξηζηηθά, όπσο ην Port Fast είλαη ελεξγνπνηεκέλα ζε όια ηα access ports γηα ηελ ηαρύηεξε ζύγθιηζε θαη BPDU Guard γηα ηελ πξνζηαζία ησλ Trunk Links. Η Telnet πξόζβαζε ζηα Switches κέζσ ησλ γξακκώλ VTY είλαη ελεξγνπνηεκέλε θαη ζηα 3 Switches, αιιά ειέγρεηαη από ACLs, γηα ιόγνπο αζθαιείαο. 6. FRAME RELAY πινπνηήζεθε σο πξσηόθνιιν δηαζύλδεζεο (WAN) θαη ελζπιάθσζεο κεηαμύ ηνπ Area Border Router (Bldg2) θαη όισλ ησλ Branch sites. To EIGRP ρξεζηκνπνηήζεθε σο δπλακηθό πξσηόθνιιν δξνκνιόγεζεο ησλ δξνκνινγεηώλ πνπ ε- πηθνηλσλνύλ κέζσ ηνπ FRAME RELAY δηθηύνπ. 7. Multi Area OSPF κεηαμύ ησλ ηξηώλ δξνκνινγεηώλ (Local 1, Local 2, Local 3) έρεη εθαξκνζηεί γηα λα παξνπζηάζεη ηνλ ηξόπν ιεηηνπξγείαο ησλ route summarization ζηνπο ABRs θαη πσο ηα summary Type 3 θαη summary external Type 5 LSAs α- ληαιιάζζνληαη κεηαμύ ησλ ABRS πξνθεηκέλνπ λα απνθεπρζνύλ πξνβιήκαηα flooding θαηά ηελ δηαδηθαζία ησλ route advertisements από πεξηνρή ζε πεξηνρή. -63-
8. Ο δξνκνινγεηήο Local 1 είλαη ππεύζπλνο γηα ην redistribution κεηαμύ ησλ EIGRP θαη OSPF Domains. 9. Όιεο νη ζπζθεπέο ηεο ηνπνινγίαο ζα πξέπεη λα είλαη ζε ζέζε λα επηθνηλσλήζνπλ κεηαμύ ηνπο, εθηόο αλ έρεη νξηζηεί ξεηά ην αληίζεην. 4.3 Λίζηεο ειέγρνπ πξόζβαζεο θαη ξπζκίζεηο NAT ΜΟΝΟ Ο ADMIN HOST ΔΥΔΙ ΠΡΟΒΑΗ ΣΙ ΓΡΑΜΜΔ VTY 1. Η πξόζβαζε ζηηο γξακκέο VTY ηνπ Main δξνκνινγεηή έρεη πεξηνξηζηεί. Μόλν ν ADMIN host κπνξεί λα έρεη πξόζβαζε ζηηο γξακκέο VTY ηνπ Main. Οπνηνδήπνηε άιινο host από ην εμσηεξηθό δίθηπν δελ έρεη πξόζβαζε ζηηο γξακκέο VTY ηνπ Main δξνκνινγεηή. Η εθαξκνγή απηνύ ηνπ θαλόλα απνηειείηαη κόλν από κία standard named ACL (TELNET-BLOCK), θαη πεξηέρεη κόλν κία δήισζε. Η εγθαηάζηαζή ηεο έγηλε εληόο ησλ γξακκώλ VTY ηνπ Main δξνκνινγεηή ρξεζηκνπνηώληαο ηελ εληνιή accessclass. ΜΟΝΟ ADMIN HOST ΜΠΟΡΔΙ PING ΣΟ ΔΧΣΔΡΙΚΟ ΓΙΚΣΤΟ 2. Σα Pings από ην εμσηεξηθό δίθηπν έρνπλ απελεξγνπνηεζεί θαη κόλν ν ADMIN Host κπνξεί λα θάλεη ping ζην δίθηπν MAIN FACILITIES. Γηα απηό, κία extended (101) ACL έρεη ρξεζηκνπνηεζεί γηα λα επηηξέςεη ηελ πξόζβαζε κόλν ζε έλαλ Host, ελώ ηαπηόρξνλα απαγνξεύεη ηελ πξόζβαζε ζε νπνηνλδήπνηε άιιν host πνπ βξίζθεηαη εθηόο ηνπ δηθηύνπ ηεο εηαηξείαο. Η εθαξκνγή απηνύ ηνπ θαλόλα απνηειείηαη κόλν από 3 δειώζεηο θαη ε ACL έρεη εγθαηαζηαζεί ζηε ζύλδεζε ηνπ δηθηύνπ ηεο εηαηξείαο κε ηνλ ISP (κε θαηεύζπλζε έζσζελ). Μόλν ηα pings ειέγρνληαη, νπνηαδήπνηε άιιε θίλεζε IP επηηξέπεηαη. Απηή ε extended ACL έρεη ρξεζηκνπνηεζεί γηα λα παξνπζηάζεη ην δηαρσξηζκό θαη ην ρεηξηζκό ησλ statements ησλ ACLs κε βάζε ηε ζεηξά εθηέιεζεο αιιά θαη ην πξσηόθνιιν πνπ επηιέγεηαη γηα θηιηξάξηζκα. ΑΠΟΚΡΤΦΗ ΔΧΣΔΡΙΚΧΝ ΓΙΔΤΘΤΝΔΧΝ ΓΙΚΣΤΟΤ -64-
3. Σερληθέο NAT έρνπλ ρξεζηκνπνηεζεί ζηνλ δξνκνινγεηή Main κε ζθνπό λα κελ απνθαιύπηνληαη νη δηεπζύλζεηο ηνπ εζσηεξηθνύ δηθηύνπ ζηα εμσηεξηθά δίθηπα. Σα δίθηπα ηα νπνία ζέινπκε λα κελ απνθαιύπηνληαη νη εζσηεξηθέο ηνπ δηεπζύλζεηο είλαη ηα δίθηπα Vlan2, Vlan4, Vlan8, Vlan15. λα Nat Pool έρεη δεκηνπξγεζεί ην νπνίν απνηειείηαη από 4 Public IPv4 δηεπζύλζεηο (203.0.113.19-203.0.113.22) θαη επηπιένλ εθηειείηαη PAT έηζη ώζηε λα κπνξνύλ λα εμππεξεηεζνύλ ηαπηόρξνλα όινη νη ρξήζηεο ησλ VLANS νη νπνίνη είλαη πεξηζζόηεξνη από ηηο 4 δηαζέζηκεο Public IPv4 δηεπζύλζεηο. Γηα λα δνύκε πώο ιεηηνπξγεί απηό, αξθεί λα θάλνπκε ping ζε κία νπνηαδήπνηε εζσηεξηθή δηεύζπλζε ζην εύξνο ηνπ 192.168.0.0-255.255.252.0, πνπ είλαη ζηελ πξαγκαηηθόηεηα έλα summary ησλ δηθηύσλ Vlan2, Vlan4, Vlan8, Vlan15. Οη απαληήζεηο ησλ pings έξρνληαη πίζσ από ηελ πξώηε public IPV4 δηεύζπλζε ηνπ POOL NAT. ΜΟΝΟ ΠΡΟΒΑΗ ΣΟ ΙΝΣΔΡΝΔΣ ΓΙΑ ΣΟΤ GUESTS 4. ηνλ R1 πνπ είλαη ν δξνκνινγεηήο ν νπνίνο ζπλδέεηαη κε ην AP GUESTS, κηα extended named ACL «ONLY_INTERNET-ACCESS» έρεη εγθαηαζηαζεί ζην G0 / 1 interface ηνπ. Απηή ε ACL έρεη σο ζηόρν λα επηηξέςεη ζε όινπο ηνπο guest ρξήζηεο λα έρνπλ πξόζβαζε ζην δηαδίθηπν, ελώ ηαπηόρξνλα ηνπο απαγνξεύεη ηελ πξόζβαζε ζην εζσηεξηθό δίθηπν ηεο εηαηξείαο (Vlan2, Vlan4, Vlan8, αιιά θαη ζηα δύν (/16) απνκαθξπζκέλα δίθηπα ηεο εηαηξίαο 172.30.0.0 θαη 172.31.0.0. ΔΛΔΓΥΟΜΔΝΗ ΠΡΟΒΑΗ ΣΙ ΓΡΑΜΜΔ VTY 5. ηνλ δξνκνινγεηή Bldg2 κία ACL ρξεζηκνπνηείηαη γηα ηνλ έιεγρν ηεο πξόζβαζεο TELNET ζηα SVIs. Πην ζπγθεθξηκέλα κόλν ην VLAN 15 (manage) κπνξεί θαη έρεη πξόζβαζε ζηηο γξακκέο VTY θαη ησλ 3 SVIs ζην management VLAN (VLan25-192.168.3.128). Σα 3 SVIs αλήθνπλ ζηα switches FL-Α,-Β FL, FL-C. Μηα extended numbered ACL (101) ρξεζηκνπνηείηαη γηα απηόλ ηνλ ιόγν θαη απνηειείηαη από 3 statements. Αθξηβώο όπσο θαη ζηηο πξνεγνύκελεο πινπνηήζεηο ησλ ACL, έηζη θαη εδώ δίλεηαη έκθαζε ζηνλ δηαρσξηζκό θαη ην ρεηξηζκό ησλ ACL statements κε βάζε ηε ζεηξά εθηέιεζεο αιιά θαη ην πξσηόθνιιν πνπ επηιέγεηαη γηα θηιηξάξηζκα. ΑΠΑΓΟΡΔΤΗ ΠΡΟΒΑΗ ΣΟ HTTP (80/TCP) -65-
6. Δπίζεο ζηνλ ίδην δξνκνινγεηή Bldg2 κε κηα αθόκα extended ACL (102) απαγνξεύεηαη ε πξόζβαζε ζηνλ web server www.cisco.com γηα ην δίθηπν ηνπ Vlan 8. Απηό ζεκαίλεη όηη νπνηαδήπνηε άιιε ξνή δεδνκέλσλ εληόο ηνπ IP πξσηνθόιινπ κεηαμύ ηνπ web server θαη ηνπ Vlan 8 επηηξέπεηαη θαζώο έρεη νξηζηεί ξεηά εληόο ησλ statements ηεο access list θαη πξηλ από ην Implicit deny any. EMAIL 1. ε έλα απνκαθξπζκέλν ππνθαηάζηεκα ηεο εηαηξίαο βξίζθεηαη εγθαηεζηεκέλνο ν company mail server. Ο ζθνπόο είλαη λα παξαηεξεζεί πσο ε πιεξνθνξία ξέεη από θαη πξνο ηνλ εηαηξηθό mail server ρξεζηκνπνηώληαο ηνλ DNS server (192.0.2.100) γηα λα πξαγκαηνπνηήζεη name resolving ζηελ IPV4 δηεύζπλζε ηνπ mail server. (ν mail client θαη νη ξπζκίζεηο ηνπ έρνπλ γίλεη ζηνπο user1, user2 ηνπ FL-A switch). 2. Η εηαηξία έρεη θαη έλα δεύηεξν mail server ηνλ vpnmail.com, ζε άιιν ππνθαηάζηεκα (Branch3) ν νπνίνο βξίζθεηαη πίζσ από ην VPN. 3. λαο ηξίηνο mail server ν AnyDomain server εθηόο ηνπ δηθηύνπ ηεο εηαηξίαο αλαπαξηζηά ηνλ νπνηνδήπνηε SMTP server ζην internet Όινη νη mail servers κπνξνύλ λα αληαιιάμνπλ κεηαμύ ηνπο κπλήκαηα ε ιεθηξνληθνύ ηαρπδξνκίνπ. FTP 1 O Ftp server είλαη ελεξγνπνηεκέλνο γηα ηνπο ρξήζηεο ηνπ δηθηύνπ. TFTP 1 ηνλ TFTP Server έρνπλ απνζεθεπηεί γηα ιόγνπο αζθαιείαο ηα running config αξρεία από routers & switches. VPN 1 Mε ηελ ηερλνινγία GRE Tunneling γίλεηαη ε ζύλδεζε ηνπ ηξίηνπ ππνθαηαζηήκαηνο ηεο εηαηξίαο. Ωο VPN δίθηπν έρεη νξηζηεί ην 10.10.10.0/24. Ωο interesting traffic πνπ ελεξγνπνηεί ην VPN path έρεη νξηζηεί από ηελ πιεπξά ηνπ Branch3 tην 172.31.0.0/16 θαη από ηελ πιεπξά ηνπ MAIN ην summary ησλ vlan2, vlan4, vlan8, δειαδή ην εύξνο 192.168.0.0/22. IPsec πινπνηείηαη επηπιένλ γηα ιόγνπο θξππηνγξάθεζεο ηεο πιεξνθνξίαο. -66-
Λόγσ ηνπ Specific interesting traffic πνπ έρεη νξηζηεί ζηελ ACL ηνπ IPSec, κπνξνύκε λα παξαηεξήζνπκε ηελ δηαθνξεηηθή ξνή δεδνκέλσλ (δηαδξνκή) πνπ αθνινπζνύλ ηα παθέηα κε ηελ εληνιή tracert από ηνπο hosts πνπ βξίζθνληαη εληόο ηνπ interesting traffic θαη από ηνπο hosts πνπ βξίζθνληαη εθηόο απηνύ. Δληόο ηνπ interesting traffic Δθηόο ηνπ interesting traffic -67-