SUBNETAREA

CLASE DE ADRESE SI MASTI

MOTIVATIA SUBNETARII Management eficient al adreselor Cresterea performantei retelei Flexibilitatea adresarii Securitate

REALIZAREA SUBNETARII O parte din bitii rezervati pentru host sunt reasignati (imprumutati) pentru subretea Se imprumuta cei mai semnificativi biti Marcarea numarului de biti imprumutati se face prin setarea la valoarea 1 a bitilor corespunzatori din masca de retea Se pot imprumuta cel putin 2 biti Pentru host trebuiesc rezervati cel putin 2 biti Nu se folosesc adresele de subretea sau host avand toti bitii 1 sau 0 Adresa subretelei: bitii pentru host au valoarea 0 Adresa de broadcast: bitii pentru host au valoarea 1

NUMAR SUBRETELE SI HOSTURI Considerand n biti imprumutati pentru subretea si m biti ramasi pentru hosturi, numarul de subretele create si numarul de hosturi din fiecare subretea se poate calcula dupa formulele: SUBRETELE=2n-2 HOSTURI=2m-2

PROBLEMA Se considera adresa 195.200.15.0. Sa se imparta aceasta adresa intr-un numar maxim de subretele astfel incat in fiecare subretea sa poata fi adresate cel putin 15 calculatoare. Sa se precizeze: masca de retea numarul de subretele creat numarul de hosturi din fiecare subretea adresa primei subretele gama de adrese a hosturilor din prima subretea adresa de broadcast a primei subretele adresa ultimei subretele gama de adrese a hosturilor din ultima subretea adresa de broadcast a ultimei subretele

REZOLVARE (1) Pentru a adresa 15 hosturi sunt necesari 5 biti. Pentru subnetare se vor imprumuta 3 biti. Masca de retea: 255.255.255.224 Numarul de subretele creat: 6 Numarul de hosturi din fiecare subretea: 30

REZOLVARE (2) Adresa primei subretele: 195.200.15.32 Gama de adrese a hosturilor din prima subretea: 195.200.15.33 - 195.200.15.62 Adresa de broadcast a primei subretele: 195.200.15.63 Adresa ultimei subretele: 195.200.15.192 Gama de adrese a hosturilor din ultima subretea: 195.200.15.193 – 195.200.15.222 Adresa de broadcast a ultimei subretele: 195.200.15.223

PROBLEMA Pentru problema anterioara, se va realiza subnetare pe lungime variabila prin imprumutarea a 4 biti pentru a se recupera o parte din adresele pierdute datorita faptului ca adresele de subretea 000 si 111 nu pot fi folosite. Sa se precizeze: masca de retea numarul de subretele creat numarul de hosturi din fiecare subretea adresa primei subretele gama de adrese a hosturilor din prima subretea adresa de broadcast a primei subretele adresa ultimei subretele gama de adrese a hosturilor din ultima subretea adresa de broadcast a ultimei subretele

REZOLVARE (1) Masca de retea: 255.255.255.240 Numarul de subretele creat: 2 Numarul de hosturi din fiecare subretea: 14

REZOLVARE (2) Adresa primei subretele: 195.200.15.16 Gama de adrese a hosturilor din prima subretea: 195.200.15.17 - 195.200.15.30 Adresa de broadcast a primei subretele: 195.200.15.31 Adresa ultimei subretele: 195.200.15.224 Gama de adrese a hosturilor din ultima subretea: 195.200.15.225 – 195.200.15.238 Adresa de broadcast a ultimei subretele: 195.200.15.239

RUTAREA INTRE VLAN-URI

Router-on-a-Stick Inter-VLAN Routing Routerul este conectat la switch pe un port trunk Fiecare VLAN are asignata o adresa de retea distincta Pentru fiecare VLAN gateway-ul este reprezentat de cate o subinterfata a routerului

CONFIGURAREA INTERFETEI SWITCHULUI PENTRU RUTAREA INTRE VLAN-URI enable configure terminal interface fastethernet număr_interfaţă switchport mode trunk

CONFIGURAREA RUTERELOR Interfaţă de tip linie de comandă (command-line interface - CLI) este similara cu cea a switchurilor Pentru stergerea configurarilor nu se mai executa comanda delete flash:vlan.dat Adresele IP se configureaza la nivelul interfetelor fizice sau al subinterfetelor

CONFIGURAREA INTERFETEI ROUTERULUI PENTRU RUTAREA INTRE VLAN-URI enable configure terminal interface fastethernet număr_interfaţă no shutdown interface fastethernet număr_interfaţă.număr_subinterfaţă encapsulation dot1q număr_VLAN ip address adresa_ip netmask

RUTAREA

Consideratii teoretice Pentru fiecare segment de retea se va asigna cate o adresa de retea diferita Gateway: adresa interfetei ruterului la care este conectata subreteaua Tipuri de rutare Statica Dinamica

CONFIGURAREA INTERFETEI ROUTERULUI enable configure terminal interface fastethernet număr_interfaţă ip address adresa_ip netmask clock rate frecventa_ceas (daca este interfata seriala DCE) no shutdown

CONFIGURAREA RUTELOR STATICE enable configure terminal ip route numar_retea masca adresa_next-hop

CONFIGURAREA RIPv2 enable configure terminal router rip version 2 network numar_retea no auto-summary (optional)

VERIFICAREA RUTARII show ip route show ip protocols

LISTE DE CONTROL AL ACCESULUI Access Control Lists – ACLs

Definiţia listelor de control al accesului Liste secventiale de declaratii de permisiune sau refuzare care sunt aplicate tipurilor de trafic identificate pe baza campurilor pachetelor cum ar fi adrese, protocoale porturi sau tipuri La nivelul unui echipament de retea poate fi configurata o lista de control al accesului per protocol, per directie, per interfata Declaratiile ACL-urilor evalueaza pachetele in ordine secventiala ACL-urile introduc la sfarsitul listelor o declaratie implicita care refuza toate pachetele ce nu au o corespondenta cu declaratiile anterioare.

Avantajele ACL-urilor Implementarea unor optiuni de securitate prin filtrarea traficului. Limitarea traficului in vederea cresterii performantei retelei Clasificarea traficului pentru a permite prioritizarea acestuia

Clasificarea ACL-urilor Standard Permit identificarea traficului doar pe baza adresei IP sursa Se vor localiza cat mai aproape de destinatie Extinse permit filtrarea traficului pe baza mai multor atribute: identificatorul protocolului, adrese IP sursa si destinatie, porturi sursa si destinatie sau tipuri de protocol Se vor localiza cat mai aproape de sursa

Definirea si aplicarea ACL-urilor Listele de control al accesului se definesc în modul de configurare globală Router(config)#access-list access-list-number {deny | permit | remark} source [source-wildcard] [log] Router(config)#access-list access-list-number {deny | permit | remark} protocol source [source-wildcard] [source-port-operator operand] [source-port port-number sau name] destination [destination-wildcard] [destination-port-operator operand] [destination-port port-number sau name] [established] Listele de control al accesului se aplica în modul de configurare interfaţă Router(config-if)#ip access-group {access-list-number | access-list-name} {in | out}

Monitorizarea si verificarea ACL-urilor Se realizeaza în modul Privileged EXEC Router#show access-lists {access-list-number | access-list-name}

Network Address Translation (NAT)

Consideratii teoretice Translateaza adresele interne (de obicei private) la adrese externe (uzual publice) Beneficii: Permite folosirea adreselor private ceea ce are ca si efect reducerea numarului necesar de adrese publice Ascunde adresele private avand ca si urmare cresterea securitatii Tipuri: Static: Mapare unu-la-unu a adreselor locale si globale Maparile raman constante Dinamic: Foloseste o gama de adrese publice pe care le asigneaza in ordinea cererilor

NAT Overload Port Address Translation (PAT) Mapeaza mai multe adrese private la una sau la un numar mic de adrese publice Asigneaza porturi sursa diferite pentru sesiuni TCP/IP diferite ale clientilor

Configurare NAT static Router(config)#ip nat inside source static local-ip global-ip Router(config)#interface type number Router(config-if)#ip nat inside Router(config-if)# exit Router(config-if)#ip nat outside

Configurare NAT dinamic Router(config)#ip nat pool name start-ip end-ip {netmask netmask|prefix-length prefix-length} Router(config)#access-list access-list-number permit source [source-wildcard] Router(config)#ip nat inside source list access-list-number pool name Router(config)#interface type number Router(config-if)#ip nat inside Router(config-if)#ip nat outside

Configurare NAT Overload pentru o singura adresa IP publica Router(config)#access-list acl-number permit source [source-wildcard] Router(config)#ip nat inside source list acl-number interface interface overload Router(config)#interface type number Router(config-if)#ip nat inside Router(config-if)#interface type number Router(config-if)#ip nat outside

Configurare NAT Overload pentru o gama de adrese IP publice Router(config)#access-list acl-number permit source [source-wildcard] Router(config)#ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} Router {config}#ip nat inside source list acl-number pool name overload Router(config)#interface type number Router(config-if)#ip nat inside Router(config-if)#interface type number Router(config-if)#ip nat outside

Verificare NAT si NAT Overload show ip nat translations show ip nat statistics debug ip nat

Retea de test NAT si NAT Overload