Podstawy sieci według Konsorcjum Fen

Transkrypt

1 Podstawy sieci według Konsorcjum Fen Materiał uzupełniający do warsztatów przeprowadzonych na VI Ogólnopolskim Zjeździe Opiekunów Szkolnych Pracowni Internetowych Mrozy 2007 Autorzy: Bartek Boczkaja Łukasz Naumowicz Poznao

2 Spis treści Wstęp Router WRT 54GC Specyfikacja urządzenia Konfiguracja routera Podłączenie Internetu i konfiguracja sieci lokalnej Sied bezprzewodowa Konfiguracja punktu dostępowego przykazania bezprzewodowego bezpieczeostwa Ustawienia Firewalla Tworzenie polityk dostępu Funkcje administracyjne Funkcje podstawowe Przywracanie ustawieo fabrycznych Przełącznik zarządzalny SRW224G Specyfikacja przełącznika Konfiguracja przełącznika przez Konfiguracja podstawowa Zarządzanie portami Ustawienia podstawowe Agregacja łączy Wirtualne sieci lokalne - VLAN Tworzenie VLANów i łączy typu trunk Statystyki Listy dostępu Tworzenie list dostępu Powiązanie listy dostępu z portem przełącznika Funkcje bezpieczeostwa Autentykacja na podstawie adresu MAC Quality of Service

3 Zarządzanie kolejkami Zarządzanie pasmem Administracja Przypisywanie stałych adresów MAC do interfejsów Funkcja port mirroring Testowanie okablowania Tworzenie zapasowej konfiguracji Upgrade oprogramowania Przywracanie ustawieo fabrycznych Logi systemowe Konfiguracja przełącznika przez port konsoli Konfiguracja podstawowych funkcji Tryb awaryjny Podsumowanie

4 Wstęp Niniejszy dokument porusza zagadnienia związane z podstawami sieci komputerowych oraz konfiguracją urządzeo sieciowych. Podstawy sieci według Konsorcjum Fen, to materiał uzupełniający do warsztatów przeprowadzonych podczas VI Ogólnopolskiego Zjazdu Opiekunów Szkolnych Pracowni Internetowych Mrozy W prosty i przyjazny użytkownikowi sposób, pokazane zostały elementy ważne przy konfiguracji sieci domowej, lub szkolnej pracowni internetowej. Niniejszy przewodnik nie jest kompletnym źródłem informacji na temat poszczególnych urządzeo, w celu zapoznania się z konfiguracją zaawansowanych funkcji prosimy o zapoznanie się z podręcznikiem użytkownika właściwym dla konkretnego urządzenia. Wszystkie podręczniki użytkownika dostępne są na stronie producenta Pierwsza częśd dokumentu poświęcona została routerowi Linksys WRT54GC. Na bazie tego urządzenia zaprezentowano: konfigurację połączenia internetowego, sieci lokalnej oraz punktu dostępowego. Szczególny nacisk położono w tym wypadku na właściwe zabezpieczenie sieci bezprzewodowej. Dodatkowo zamieszczono opis jak krok po kroku skonfigurowad polityki dostępu. Na koocu rozdziału zamieszczono istotne informacje dotyczące funkcji administracyjnych urządzenia. Rozdział drugi dedykowany jest szczególnie do opiekunów szkolnych pracowni internetowych. Poświęcony został konfiguracji zarządzalnego przełącznika SRW224G4. Pierwsza częśd rozdziału poświęcona została specyfikacji urządzenia. Kolejny element to zapoznanie użytkownika z konfiguracją poszczególnych funkcji switcha przy wykorzystaniu przeglądarki internetowej. Poruszono takie zagadnienia jak zarządzanie portami, tworzenie wirtualnych sieci lokalnych, funkcje bezpieczeostwa, a także szeroko pojęta administracja urządzeniem. Ostatnia częśd zawiera wskazówki dotyczące konfiguracji urządzenia przez port konsoli, wgrywania nowego oprogramowania, a także procedury odzyskiwania utraconego hasła. Ostatni rozdział to podsumowanie tematów poruszanych w całym przewodniku. 4

5 1. Router WRT 54GC Linksys WRT54GC to kompaktowy router, pozwalający użytkownikowi na podzielenie dostępu do Internetu pomiędzy kilka komputerów. Wbudowany switch Fast Ethernetowy pozwala na podłączenie do 4 komputerów, lub innych elementów infrastruktury sieciowej. Dodatkowo urządzenie ma wbudowany punkt dostępowy w standardzie g, dzięki czemu może zostad wykorzystane do stworzenia domowej sieci bezprzewodowej. 1.1 Specyfikacja urządzenia Cechy punktu dostępowego: zgodny z g pracujący z częstotliwością 2.4GHz, przepustowośd do 54 Mbps, kompatybilnośd z klientami b chipset radiowy: Marvel, WPA (Wi-Fi Protected Access) i WPA2 Personal (AES), uwierzytelnianie użytkowników i szyfrowanie danych 128-bitowe szyfrowanie WEP (Wireless Equivalent Privacy), tablica dostępu / odmowy dostępu definiowana po adresach MAC kart klienckich, zarządzanie i konfiguracja przez WWW, zintegrowana antena, Cechy routera: port WAN w postaci gniazda RJ-45 (Ethernet 10/100) do podpięcia do modemu xdsl, modemu kablowego bądź szkieletu Ethernetowego, 4-portowy switch FE, Firewall NAT (Network Address Translation), 5

6 konfiguracja przez przeglądarkę WWW - lokalna oraz zdalna, wsparcie dla IPSec Pass-Thru, PPTP oraz PPPoE, serwer / klient DHCP, filtrowanie dostępu do Internetu poprzez filtry adresów IP, MAC oraz poszczególnych portów protokołu TCP/IP, Forwarding - przypisywanie poszczególnym usługom statycznych adresów IP w sieci LAN, Logging - tworzenie logów wywołao z i do sieci LAN, routing statyczny / dynamiczny (RIP-1 i RIP-2), DMZ Hosting - strefa zdemilitaryzowana dla jednego adresu IP w LAN, MAC address cloning - możliwośd zdefiniowania dowolnego adresu MAC dla portu WAN. Wymiary urządzenia: 98 x 98 x 25mm. Wraz z urządzeniem dostarczany jest zasilacz, kabel sieciowy Cat. 5e, instrukcja obsługi oraz CD-ROM z oprogramowaniem. 1.2 Konfiguracja routera Domyślnie router ma włączony serwer DHCP, więc po podłączeniu do routera zasilania i podłączenia komputera do jednego z portów Ethernet(sieci lokalnej, oznaczonych na żółto), komputer uzyska adres z routera i będzie można się na niego zalogowad. Ważne aby komputer miał włączoną funkcję automatycznego przypisywania adresu DHCP. Standardowo router przydziela adres z puli , przy masce Panel konfiguracyjny jest dostępny po wpisaniu w przeglądarce internetowej adresu: 6

7 Pole nazwy użytkownika pozostawiamy puste, natomiast jako hasło wpisujemy admin. W ten sposób uzyskaliśmy dostęp do panelu konfiguracyjnego routera. W zakładce Status możemy sprawdzid aktualny stan poszczególnych interfejsów: Router Informacje o systemie: wersja oprogramowania, aktualny czas, adres MAC, nazwa hosta i domeny Informacje o połączeniu Internetowym: Tryb połączenia, adres IP, maska, brama domyślna, serwery DNS 7

8 Local Network Informacje o sieci lokalnej: MAC adres, adres IP routera po stronie LAN, maska sieci lokalnej Informacje o stanie serwera DHCP: Włączony/Wyłączony(Enabled/Disabled), zakres przypisywanych adresów. Możliwośd wyświetlenia aktualnej tablicy użytkowników podłączonych do routera i pobierających adres z jego serwera DHCP. Wireless Network (więcej informacji o sieciach wireless w podrozdziale ) Informacje o stanie sieci bezprzewodowej: MAC adres, tryb pracy, SSID, kanał transmisji, Włączone/Wyłączone rozgłaszanie SSID Podłączenie Internetu i konfiguracja sieci lokalnej Jeżeli router ma nam służyd jako wyjście na świat, konieczne jest poprawne skonfigurowanie interfejsu WAN (Wide Area Network). Do portu routera oznaczonego jako INTERNET (kolor niebieski) podłączamy kabel sieciowy na którym mamy dostęp do Internetu, może byd to np. kabel wychodzący z modemu, który otrzymaliśmy od dostawcy usług internetowych. W zależności od tego z jakiego rodzaju usługi korzystamy, musimy poinformowad router w jaki sposób będzie komunikował się z Internetem. Domyślnie router po stronie interfejsu WAN ustawiony jest w tryb klienta DHCP, czyli jeżeli podłączymy go do innego routera(na którym będzie włączony serwer DHCP), pobierze adres i konfiguracja będzie automatyczna. To czy będziemy musieli konfigurowad router 8

9 zależy od dostawcy usług Internetowych, którego zadaniem jest dostarczenie nam danych niezbędnych do połączenia się z Internetem. Aby poprawnie skonfigurowad połączenie routera z Internetem należy otworzyd zakładkę Setup(pierwsza od lewej strony). UWAGA! Każda zmiana ustawieo musi zostad zatwierdzona przez użytkownika poprzez kliknięcie przycisku zapisywania zmian -> Save Settings. Jeżeli wprowadziliśmy błędne dane możemy anulowad zmiany poprzez kliknięcie -> Cancel Changes. W części Internet Setup użytkownik ma do wyboru 4 tryby połączenia Internetowego: Automatic Configuration DHCP (ustawienie domyślne), w tym trybie router sam pobiera adres dla interfejsu WAN. Jako ustawienia dodatkowe możemy przypisad nazwę hosta i nazwę domenową (pola wymagane przez niektórych dostawców usług Internetowych). Static IP uzytkownik sam wypełnia pola związane z adresem IP przypisanym mu statycznie przez dostawcę usług Internetowych: obowiązkowe pola do wypełnienia to: adres IP, maska podsieci, brama domyślna, adresy serwerów DNS 9

10 PPPoE protokół stsosowany np. przy łączach ADSL. Dzięki temu rozwiązaniu użytkownik ma możliwośd automatycznego wywołania połączenia. Po wpisaniu właściwych ustawieo router poinformuje modem, że w danym momencie ma się połączyd z dostawcą usług internetowych przy wykorzystaniu wpisanych do routera ustawieo. PPTP protokół używany do zestawiania połączenia typu punkt-punkt, przy wykorzystaniu istniejącej infrastruktury sieciowej. Znajduje zastosowanie jeżeli nasz dostawca usług, udostepnia nam Internet właśnie przy użyciu tej metody. Konfiguracja sieci lokalnej Konfiguracja sieci lokalnej jest dostępna w zakładce Setup->Basic Setup Ustawienia dozwolone do modyfikacji przez użytkownika: Zmiana lokalnego adresu IP routera, maski podsieci UWAGA! Zmiana adresu IP routera powoduje zmianę zakresu adresacji sieci, konieczne jest więc odnowienie adresu IP na komputerze zarządzającym. Zmiana puli adresów, przypisywanych w ramach serwera DHCP routera, dodatkowo możliwośd określenia czasu wypożyczenia adresu(po jego upływie wszystkie komputery są zobowiązane do odnowienia adresu IP). Domyślnie czas wypożyczenia jest ustalony na 0 co oznacza jedną dobę. 10

11 Pozostałe funkcje dostepne z poziomu zakładki Setup: DDNS (Dynamic DNS). Jeżeli zasoby z naszej sieci chcemy udostepnid w Internecie, a dostawca usług Internetowych nie gwarantuje nam stałego zewnętrznego adresu IP, skorzystajmy z zakładki DDNS. Dynamic DNS to usługa przypiswyania do zmiennego adresu IP, stałego adresu domenowego. DDNS jest usługą darmową, aby z niej korzystad wystarczy zarejestrowad się na stronie usługodawcy(router obsługuje aktualnie dwóch usługodwaców DDNS: DynDNS.org oraz TZO.com), a następnie wpisad uzyskane ustawienia: nazwę użytkownika, hasło oraz adres domenowy w zakładce routera. Dzięki temu router gdy tylko zmieni się jego IP, poinformuje o tym usługodawcę, przez co nasza sied będzie ciągle dostępna pod określonym adresem domenowym. MAC Address Clone kolejna funkcja to rozwiązanie problemu związanego z przypisywaniem przez dostawców internetowych, adresu IP do konkretnego adresu MAC(np. karty sieciowej komputera). Dzięki MAC Address Clone, mamy możliwośd przypisania adresu karty sieciowej komputera do routera. W ten sposób, router będzie na zewnątrz przedstawiał się jako nasza karta sieciowa, a my będziemy mogli podłączyd do niego większą ilośd komputerów. Aby skorzystad z funkcji należy wybrad z listy rozwijalnej funkcję enable, a nastepnie wpisad właściwy adres MAC(w przypadku zalogowania z komputera którego adres MAC chcemy skopiowad wystarczy kliknąd opcję MAC Address Clone). Advanced Routing zakładka poświęcona ustawieniom zaawansowanym, więcej informacji w podręczniku obsługi urządzenia. 11

12 1.2.2 Sieć bezprzewodowa Router WRT54GC wyposażony został w punkt dostępowy, który umożliwia stworzenie sieci bezprzewodowej. Sieci bezprzewodowe jako kanał transmisyjny pomiędzy urządzeniem dostępowym (określanym również jako Access Point), a użytkownikami (sieciowymi kartami bezprzewodowymi) wykorzystują powietrze. Tryby pracy Wyróżniamy dwa główne tryby pracy sieci bezprzewodowych: Ad-hoc co oznacza połączenie typu punkt-punkt, np. pomiędzy dwoma kartami bezprzewodowymi, Infrastructure w tym trybie punkt dostępowy, staje się centralnym węzłem sieci i pośredniczy w wymianie informacji pomiędzy podłączonymi do niej użytkownikami Każda sied bezprzewodowa w celu odróżnienia jej od innych rozgłasza swój unikalny identyfikator sieciowy określany jako SSID. Jeżeli chcemy się połączyd z daną siecią bezprzewodową musimy znad jej unikalny identyfikator. Standardy Istnieje kilka standardów związanych z sieciami bezprzewodwymi, pomiędzy poszczególnymi z nich istnieje wiele różnic, włączając w to stosowane do transmisji danych metody modulacji, czy kodowania sygnału. W poniższej tabelce zebrano najistotniejsze (z punktu widzenia użytkownika) funkcje dotyczące kilku najpopularniejszych standardów. Nazwa standardu Częstotliwośd Prędkośd transmisji b 2,4 2,5 GHz 11 Mb/s g 2,4 2,5 GHz 54Mb/s Draft n 2,4 2,5 GHz 300 Mb/s a 5,15 5,25 GHz 54Mb/s 12

13 Dlaczego n? Analizując tabelkę można zauważyd, że standard n znacznie wyróżnia się wśród pozostałych pod względem prędkości transmisji. Nie jest to jednak jedyna zaleta tego standardu. Standard n wykorzystuje do transmisji sygnał pochodzący z 3 różnych anten. Na poniższym rysunku zamieszczono router z punktem dostępowym w standardzie n. Router gigabitowy z punktem dostępowym w standardzie n. Korzyści wypływające z zastsowania 3 anten są następujące: Zwiększenie predkości transmisji do 12 razy większe w porównaniu z g Zwiększenie zasięgu punktu dostępowego do 4 razy w porównaniu z g Lepsze pokrycie, likwidacja martwej strefy nie możliwej do pokrycia przy stosowaniu g Mniejsza interferencja między poszczególnymi kanałami Możliwośd współpracy ze starszymi standardami, przy zachowaniu prędkości transmisji właściwej dla każdego ze standardów Ostatnia z wymienionych zalet jest jedną z najistotniejszych. W przypadku stosowania punktów dostępowych w standardzie g, gdy w zasięgu punktu dostępowego pojawia się karta kliencka b, AP przełącza się w tryb b i wszyscy użytkownicy zmuszeni są do korzystania z trybu b (jedna prędkośd transferu dla wszystkich). Standard n pozwala na działanie kart różnych standardów w tym samym momencie. Punkt dostępowy będzie rozmawiał z poszeczególnymi kartami w ich językach, tzn. klienci n uzyskają transfer rzędu 300 Mb/s, klienci g 54 Mb/s, klienci b 11 Mb/s. Ponadto wszyscy zauważą znaczną poprawę jakości sygnału(karta bezprzewodowa typu n jest potrzebna, aby uzyskad lepszą prędkośd, poprawę zasięgu zauważymy stosując również karty g i b). 13

14 Kanały transmisji Jak można zauważyd, pomiedzy poszczególnymi standardami występują istotne różnice dotyczące nie tylko prędkości transmisji, ale również częstotliwości na których dany standard pracuje. W obrębie wybranego zakresu częstotliwości wyodrębnionych jest kilkanaście kanałów (w Polsce jest to 13 kanałów), wydzielanie kanałów ma za zadanie umożliwienie współistnienia na jednym obszarze kilku sieci bezprzewodowych działających na jednym zakresie częstotliwości. Istotnym elementem przy tworzeniu sieci bezprzewodowej jest mądre zagospodarowanie najmniej obciążonych kanałów. Poszczególne kanały nie są niestety niezależne i częściowo zachodzą na siebie. Aby sied działała prawidłowo należy zachowad odstęp co najmniej 3 kanałów (a najlepiej 5) pomiędzy sieciami isteniejącymi na jednym obszarze. Przykładowa konfiguracja, umożliwiająca pracę 3 sieci bezprzewodowych na jednym obszarze bez zakłóceo: Sied 1 kanał 1, Sied 2 kanał 6, Sied 3 kanał 11 Sied 1 kanał 2, Sied 2 kanał 7, Sied 3 kanał 12 Więcej informacji o sieciach bezprzewodowych w dalszej części rozdziału, poświęconej konfiguracji punktu dostępowego routera WRT54GC. 14

15 Konfiguracja punktu dostępowego Punkt dostępowy routera WRT54GC domyślnie jest włączony. Po pierwszym podłączeniu do prądu, router włączy sied bezprzewodową nadając jej standardowy identyfikator SSID linksys. Nie polecamy korzystania z ustawieo domyślnych, gdyż są one bardzo łatwe do odgadnięcia i nie zapewniają żadnej ochorny przed nieautoryzowanymi użytkownikami. W celu zmiany ustawieo fabrycznych należy zalogowad się na router(opis w poprzednim podrozdziale). Uwaga! Nie poleca się logowania i zmiany ustawieo punktu dostępowego, korzystając z połączenia bezprzewodowego (nalepiej zalogowad się podłączając komputer kablem sieciowym do interfejsu LAN). Zmiany niektórych ustawieo mogą uniemożliwid późniejszy dostęp do routera tą drogą. Po zalogowaniu się do routera przechodzimy do zakładki Wireless. Podstawowa zakładka, umożliwa nam konfigurację następujących funkcji: Mode - tryb pracy: dostepne opcje praca w standardzie b, g, tryb mixed czyli mieszany, umożliwia pracę kart zarówno w standardzie b i g Wirelless Network Name (SSID) unikalny identyfikator naszej sieci bezprzewodowej(dowlony ciąg znaków i cyfr) Wireless Channel wybór kanału pracy naszego punktu dostępowego(domyślnie praca na kanale 6), mądra gospodarka kanałami pozwoli uniknąd niepotrzebnych zakłóceo pomiędzy poszczególnymi sieciami bezprzewodowymi. Zanim ustawimy kanał, sprawdźmy przy użyciu karty sieciowej(oprogamowainie wbudowane w kartę, lub darmowe oprogramowanie z Internetu) czy na naszym obszarze są już jakieś sieci bezprzewodowe i wybierzmy kanał zgodnie ze wskazówkami z poczatku niniejszego rozdziału) Wirelless SSID Broadcast funkcja wyłączania rozgłaszania SSID, wyłączanie rozgłaszania id sieci to dobra praktyka pozwalająca zwiększyd bezpieczeostwo naszej sieci bezprzewodowej, więcej informacji w części poświeconej bezpieczeostwu sieci bezprzewodowych 15

16 przykazania bezprzewodowego bezpieczeństwa Wypełnienie pól opisanych w poprzednim rozdziale pozwala na stworzenie w pełni funkcjonującego punktu dostępowego. Niestety niezabezpieczona sied bezprzewodowa, to jak otwarte drzwi dla potencjalnego włamywacza. Warto zwrócid uwagę, że pozostawiając sied niezabezpieczoną pozwalamy nie tylko ingerowad, w jej ustawienia(zmiana parametrów konfiguracyjnych punktu dostepowego), ale także dajemy przyzwolenie na czytanie naszej poczty, śledzenie zawartości pobieranych z Internetu. Problem narasta w przypadku korzystania przez nas z bardziej zaawansowanych usług oferowanych dzisiaj przez globalną sied jak chociażby bankowośd elektroniczna. Żadne zabezpieczenia nie dają nam sieci w 100% bezpiecznej, jednak zastosowanie się do proponowanych przez nas procedur, pozwoli na stworzenie sieci dobrze zabezpieczonej. Przykazania bezprzewodowego bezpieczeostwa: 1. SSID (konfiguracja w zakładce wireless opisanej na poprzedniej stronie): Identyfikator sieci bezprzewodowej, czyli SSID powinno byd ciągiem pseudolosowych znaków i cyfr(po wpisaniu SSID zapiszmy je sobie na kartce, aby można było je podad w nastepnej kolejności w ustawieniach kart sieciowych, które będą chciały się do naszej sieci podłączyd) Wyłączmy rozgłaszanie SSID(funkcja Wireless SSID Broadcast opisana na poprzedniej stronie, ustawiamy na Disable) W ten sposób potencjalny włamywacz nie zna nazwy naszej sieci. Widzi, że jakaś sied istnieje, jednak nie znając nazwy nie może się do niej podłączyd. Zastosowanie jako nazwy sieci pseudolosowego ciagu znaków i cyfr, sprawia, ze SSID jest mniej podatne na ataki słownikowe(algorytmy wyszukujące nazwę sieci przy użyciu słownika, o bardzo dużym zasobie słów). 2. Szyfrowanie danych (konfiguracja w zakladce Wireless->Wireless Security, opisanej poniżej) Jest to najważniejsze z przykazao. Nawet jeżeli nie zastosuje się pozostałych dwóch wskazówek wspomagających bezpieczeostwo, nalegamy na stosowanie szyfrowania danych. Pozostałe kroki mają na celu zablokowanie nieautoryzowanym użytkownikom dostępu do naszej sieci. Szyfrowanie danych nie pozwala na uzyskanie dostępu do przesyłanych przez nas informacji, nawet jeżeli wysyłane pakiety zostaną przechwycone. Istnieje wiele algorytmów szyfrujących mniej, lub bardziej bezpiecznych. 16

17 Router WRT54GC oraz prawie wszystkie urządzenia do tworzenia infrastruktury bezprzewodowej firmy LINKSYS wspierają następujące z nich: WEP (Wireless Equivalent Privacy) 64 oraz 128 bitowy, jeden z pierwszych algorytmów stosowanych do zabepieczenia sieci bezprzewodowych. Nie polecany do stosowania ze względu na stały klucz szyfrowania(raz ustalony klucz nie zmienia się podczas całej transmisji), powoduje to, iż klucz jest łatwy do podsłuchania, po poznaniu klucza rozszyfrowanie danych nie stanowi problemu. Lepsze jednak jakiekolwiek szyfrowanie niż żadne, więc jeżeli jesteśmy smuszeni do używania WEPu(np. z powodu posiadania starych kart bezprzewodowych obsługującyh tylko ten algorytm) to włączmy chociaż WEP. Poleca się stosowanie klucza w postaci pseudolosowego ciągu cyfr i liczb, powód taki sam jak przy ustalaniu identyfikatora SSID. Aby włączyd WEP, wybieramy ten tryb z listy rozwijalnej, następnie wybieramy tryb 64 lub 128 bitowy i wpisujemy klucz szyfrowania. Wbieramy który nr klucza ma byd stosowany. WPA i WPA2 (Wireless Protected Access) głowną zaletą tego algorytmu jest zmienny klucz szyfrowania. Użytkownik podaje klucz tylko raz przy konfiguracji zabezpieczeo. Następnie kontrolę nad procesem zabezpieczania sieci przejmuje router, decyduje w jaki sposób klucz ma byd zmieniany. W celu zwiększenia bezpieczeostwa nowy klucz oraz dane wymieniane między routerem a kartami są szyfrowane wyjątkowo silnym algorytmem AES o efektywności 256 bitów(algorytm ten nie został dotychczas złamany). Dzięki takiemu rozwiązaniu, nawet jeżeli nieautoryzowany użytkownik, zbierze wystarczającą ilośd danych aby odszyfrowad nasze informacje, po upływie godziny klucz się zmieni i cały proces będzie musiał przeprowadzid od początku. 17

18 Aby skonfigurowad szyfrowanie WPA/WPA2 wybieramy algorytm z listy rozwijalnej. Wpisujemy początkowy klucz szyfrowania parametr Passphrase. Opcjonalnie możemy zmienid czas po którym nastąpi zmiana klucza szyfrowania(domyślnie jest to 1 godzina). Zapiszmy klucz, aby można go było później wpisad w ustawieniach kart klienckich podłączanych do naszej sieci bezprzewodowej. 3. Filtracja Adresów MAC (konfiguracja w zakladce Wireless->Wireless MAC Filter) W tym miejscu mamy możliwośd określenia które karty klienckie(na podstawie adresu MAC) będą miały dostęp do naszej sieci. Niestety bardziej zaawansowane karty sieciowe mają funkcje fałszowania adresu MAC. Więc po poznaniu jednego z adresów MAC, kart dopuszczonych do sieci użytkownik ma możliwośd podszycia się pod naszą kartę. Stosowanie filtrowania adresów MAC używajmy jako zabezpieczenia dodatkowego. W celu uruchomienia funkcji wybieramy opcję Enabled. Nastepnie wybieramy czy określone adresy MAC mają mied dostęp(opcja Permit) lub brak dostępu(opcja Prevent). Po wybraniu rodzaju listy pozostaje wpisad adresy MAC kart klienckich. Można określid maksymalnie 40 adresów MAC. Jeżeli urządzenia które mają mied dostęp są w zasięgu sieci możemy dodad je klikając na przycisk Wireless Client List i wybierając kolejne urządzenie z listy. Ostatnia zakładka w części Wireless->Advanced Wireless Settings, poświęcona jest ustawieniom zaawansowanym i dokładniej opisana w podręczniku użytkownika. 18

19 1.2.3 Ustawienia Firewalla Firewall, czyli zapora ogniowa, pozwala na zabezpieczenie naszej lokalnej sieci od strony Internetu. Konfiguracja ustawieo zapory ogniowej dostępna jest w zakładce Secutiy->Firewall. W tym miejscu użytkownik ma możliwośd blokowania określonych zawartości przychodzących do naszej sieci z z Internetu. W celu uruchomienia odpowieniej funkcji należy wybrad Enable z listy rozwijalnej obok każdej z nich. Dostępne funkcje: SPI Firewall Protection uruchomienie tej opcji pozwala routerowi na śledzenie informacji wychodzących z naszej sieci, dzięki temu, router dopuszcza do naszej sieci tylko dane, które są odpowiedzią na nasze wywołania. Block Anonymus Internet Request po włączeniu, router staje się niewidzialny z zewnątrz(a skoro nie widad naszej sieci to nie warto jej atakowad). Dokładniej rzecz biorąc - router nie odpowiada na pingi, a skanowanie portów nie pokazuje otwartych portów. Filter Multicast włączenie funkcji powoduje filtrację ruchu typu multicast przychodzącego z Internetu Web Filters pozwala na filtrowanie określonej zawartości na stronach www: serwerów Proxy, apletów Java, formantów Active X, plików Cookies Więcej informacji na temat ustawieo w zakładce Firewall w podręczniku obsługi użytkownika. 19

20 1.2.4 Tworzenie polityk dostępu Polityki dostępu umożliwiają administratorowi sieci określid, usługi i serwisy, które mają byd dostępne dla poszczególnych użytkowników. Jest to bardzo elastyczne, a jednocześnie potężne narzędzie do zarządzania uprawnieniami dostępu do sieci Internet. Polityki dostępu pozwalają na blokowanie określonych witryn internetowych, a także blokowanie wyników wyświetlanych w wyszukiwarkach internetowych(po słowach kluczowych). Użytkownik ma możliwośd utworzenia maksymalnie 10 polityk dostępu. Aby utworzyd politykę dostepu należy przejśd do zakładki Access Restrictions. Kolejne kroki w celu stworzenia polityki dostępu: Wybierz z listy rozwijalnej nr polityki którą chcesz swtorzyd(access Policy) Wpisz nazwę polityki(enter Policy Name) Włącz politykę(status zmieo na Enable), zapisz zmiany Kliknij Edit List i wybierz komputery, których polityka ma dotyczyd (po adresach IP, zakresach adresów IP lub adresach MAC), zapisz zmiany 20

21 Określ regułę obowiązywania, całkowite blokowanie dostępu do Internetu(opcja Deny) lub dostęp pełny(opcja Allow, po wybraniu Allow można określid blokowanie określonych usług, witryn internetowych) Określ czas obowiązywania polityki, codziennie, lub w dane dni tygodnia, w konkretnych godzinach Określ blokowane serwisy(z listy rozwijalnej), lub własną usługę po nr portów Określ adresy domenowe stron internetowych, które mają byd blokowane, poniżej przykładowo zablokowano witrynę a jako słowo kluczowe do blokowania w wyszukiwarkach internetowych wpisano fen. W ten sposób stworzyliśmy w pełni działającą politykę dostępu, blokującą dostęp, w tym konkretnym wypadku z komputerów w naszej lokalnej sieci o adresach od do Polityka będzie obowiązywała codziennie, a jej zadaniem jest blokowanie serwerów pocztowych POP3, strony internetowej oraz wyników wyszukiwania słowa fen w wyszukiwarkach internetowych. 21

22 1.2.5 Funkcje administracyjne Funkcje administracyjne routera dostępne są w zakładce Administration. Ponieważ niniejszy przewodnik, porusza tylko najważniejsze funkcje, opis pozostałych elementów można znaleźd w przewodniku użytkownika dedykowanym do urządzenia Funkcje podstawowe Najważniejszym elementem, w zakładce administracyjnej, jest zmiana domyślnego hasła routera(domyślnie hasło to admin). W celu uniemozliwienia niepowołanym osobom dostępu do routera należy zmienid hasło. Aby to zrobid wpisujemu w pole Password nowe hasło, ponownie wpisujemy je w pole Re-enter to Confirm i zapisujemy zmiany. Kolejny ważny element to umożliwienie, lub zablokowanie zarządzanie routerem z zewnątrz, czyli przez interfejs WAN. Aby umożliwid dostęp z Internetu do panela zarządzania routerem należy opcję Remote Management zmienid na Enabled. Użytkownik ma możliwośd określenia dla jakiego zewnętrznego adresu router ma byd dostępny. Użytkownik ma również możliwośd utworzenia zapasowego pliku konfiguracyjnego. Tworzenie zapasowego pliku konfiguracji jest dobrą praktyką, ponieważ konfiguracja niektórych funkcji(np. polityki dostępu), może zająd trochę czasu. Po stworzeniu pliku zapasowego mamy możliwośd przywrócenia wcześniej utworzonej konfiguracji. Aby utworzyd zapasowy plik konfiguracyjny należy wybrad opcję Backup Settings, a następnie wybrad katalog w którym ma zostad zapisana zapasowa konfiguracja(będzie to katalog na komputerze z którego użytkownik zalogował się na router). 22

23 Przywracanie ustawień fabrycznych W przypadku wprowadzenia błędnych ustawieo, a przez to utracenia możliwości konfiguracji routera, lub zagubienia hasła należy przywrócid urządzenie do ustawieo fabrycznych. Przewidziano dwie możliwości przywrócenia ustawieo fabrycznych w urządzeniu: Reset urządzenia przyciskiem znajdującym się na spodzie urządzenia. Należy wcisnad przycisk spinaczem biurowym i przytrzymad przez około 15 sekund(urządzenie musi byd w tym czasie podłączone do źródła zasilania). Reset urządzenia przez zakładkę Administration->Factory Default i wciśnięcie w niej przycisku Restore Factory Defaults. Koniec rozdziału pierwszego poświęconego konfiguracji routera LINKSYS WRT54GC. Pozostałe informacje dotyczące urządzenia można znaleźd w dedykowanym do niego podręczniku użtkownika. 23

24 2. Przełącznik zarządzalny SRW224G4 Głównym zadaniem przełączników, jest segmentowanie sieci lokalnych na poziomie warstwy drugiej. Przełącznik poznaje użytkowników podłączonych do niego, a następnie kieruje pakiety zgodnie z adresem przeznaczenia. Zaletą przełączników (w porównaniu do hubów), jest dzielenie sieci na domeny kolizyjne. Zjawisko kolizji wynika bezpośrednio z metody dostepu do medium transmisyjnego. Jako metodę dostępu do medium transmisyjnego w Ethernecie wykorzystuje się mechanizm CSMA/CD (Carrier Sense Multiple Access with Colision Detection). Komputer chcąc uzyskad dostęp do medium transmisyjnego nasłuchuje, kiedy wykryje ciszę(brak transmisji) zaczyna wysyład swoje dane. Jeżeli dwa komputery zaczną nadawad w tym samym czasie występuje kolizja i transmisja musi zostad powtórzona. Switch to urządzenie inteligentne wysyła dane tylko do portu do którego podłączony jest odbiorca informacji, śledząc adres odbiorcy MAC zawarty w ramce. Inaczej sprawa wygląda w przypadku(mniej popularnego już dzisiaj, ale jeszcze spotykanego) huba. Hub działa jak regenerator sygnału, informacje poznane na jednym porcie wysyła na wszystkie porty z wyjątkiem tego na którym dotarła. Powoduje to zablokowanie całej sieci, przez informacje wysyłane z jednego komputera. Poniższy rysunek prezentuje graficznie efekt zastosowania do budowy infrastruktury sieciowej przełącznika i huba. W obu przypadkach dane chcemy przesład w tym samym czasie z komputera B do D oraz komputera C do A. W przypadku huba, dane zostają rozgłoszone po całej sieci, następuje kolizja, a następnie wznowienie transmisji po określonym czasie. Przy użyciu przełącznika dane trafiają tylko do hosta docelowego, czyli dane generowane przez B trafiają tylko do D, a dane generowane przez C trafiają tylko do A. Jest to jedna z zalet zastosowania przełączników do rozbudowy infrastruktury sieciowej, jak zaprezentowano w dalszej części rozdziału przełączniki zarządzalne dają użytkownikowi o wiele więcej możliwości. 24

25 Wśród gamy przełączników LINKSYSA możemy wyróżnid kilka rodzajów: Niezarządzalne, typu podłącz i korzystaj, nie oferują użytkownikowi zaawansowanych funkcji, ich zadaniem jest natychmiastowe przełączanie pakietów Zarządzalne, przełączniki pozwalające na zwiększenie wydajności i bezpieczeostwa naszej sieci. Szczegółowo funkcje przełączników zarządzalnych zostaną opisane w tym rozdziale, na podstawie przełącznika LINKSYS SRW224G4 Warstwy 2+, urządzenia bardzo zaawansowane technicznie, oprócz funkcji przełączników zarządzalnych pozwalają na tworzenie statycznych dróg w zakresie warstwy 3, a także stackowanie(czyli łączenie urządzeo w stos, po podłączeniu 8 urządzeo otrzymujemy jeden integralny 192 portowy przełącznik) W dalszej części rozdziału opisano funkcje przełącznika zarządzalnego SRW224G4. Należy zauważyd, że prezentowane funkcje są aktualne nie tylko w wypadku tego modelu, ale także w odniesieniu do innych przełączników zarządzalnych. W zależności od potrzeb użytkownika przełączniki występują w wielu wersjach, zarówno Fast jak i Giga Ethernetowych. Ponadto przy wyborze przełączników z portami mini Gbic użytkownik ma możliwośd wykorzystania do tworzenia infrastruktury łączy światłowodowych. Niniejszy przewodnik nie opisuje wszystkich dostępnych funkcji przełącznika SRW224G4. Elementy poświęcone konfiguracji protokołów z rodziny STP nie zostały poruszone, nie zamieszczono również opisu metod zarządzania przełącznikiem przy wykorzystaniu protokołu SNMP. Przewodnik należy traktowad jako uzupełnienie materiału przedstawionego podczas warsztatów FEN W1 przeprowadzonych na VI Ogólnopolskim Zjeździe Opiekunów Szkolnych Pracowni Internetowych Mrozy Pozostałe funkcje opisane zostały w podręczniku użytkownika dedykowanym dla tego urządzenia. 2.1 Specyfikacja przełącznika 24 porty RJ-45 10/100 Fast Ethernet, 4 porty RJ-45 10/100/1000 Gigabit Ethernet, 2 gniazda mini-gbic (współdzielone z portami GE), autonegocjacja dupleksu i prędkości, samokrosujące się porty (Auto-MDI/MDIX), obsługa VLAN q (do 256 grup), tryby przyporządkowania portu do VLANu: o statyczny, 25

26 o dynamiczny, obsługa ramek jumbo: mini jumbo (do 1600 bajtów), tablica adresów MAC 8kB, przepustowośd wewnętrzna 12.8Gbps, QoS - przyporządkowywanie wag WRR (Weight Round Robin) / CoS (Class of Service) dla 4 kolejek na każdym porcie przełącznika, port mirroring - przekierowywanie ruchu z fizycznego portu na inny port, konfiguracja z poziomu przeglądarki WWW (http / https), telnet, spanning tree - IEEE 802.1d Spanning Tree, IEEE 802.1s Multiple Spanning Tree*, IEEE 802.1w Rapid Spanning Tree*, Fast Linkover*, agregacja portów: do 8 portów w 8 grupach, obsługa LCAP, bezpieczeostwo: uwierzytelnianie użytkowników za pomocą protokołu 802.1x - Radius Authentication, MD5 Encryption, storm control: możliwośd ograniczenia rozsyłania ramek broadcast / multicast / unknown unicast, testy okablowania miedzianego z poziomu przełącznika, ping, traceroute, możliwośd aktualizaji firmware'u (TFTP, przeglądarka internetowa), zasilanie wewnętrzne, uchwyty do racka 19 cali, wymiary: 430 x x 202.5mm, 2.2 Konfiguracja przełącznika przez www Wszystkie przełączniki zarządzalne firmy LINKSYS oferują użytkownikowi konfigurację urządzenia przy wykorzystaniu dwóch trybów: Konfiguracja z poziomu przeglądarki www, pozwala na zmianę praktycznie wszystkich parametrów i daje dostęp do zaawansowanych funkcji, szczegółowy opis w niniejszym rozdziale Konfiguracja przy użyciu portu konsoli, dostęp do podstawowych funkcji, tryb bardzo ważny przy aktualizacjach oprogramowania, odzyskiwaniu utraconych haseł, przywracania urządzenia do ustawieo fabrycznych, szczegółowy opis tego trybu w rozdziale 2.3. Może się zdarzyd, że nigdy nie użyjemy trybu dostepu do przełącznika przez port konsoli. Mimo to nie lekceważmy tego trybu, gdyż w pewnych sytuacjach może okazad się niedocenionym. 26

27 2.2.1 Konfiguracja podstawowa Aby skonfigurowad przełącznik przy użyciu przeglądarki www należy wpisad w polu adresu (jest to domyślny adres konfiguracyjny switcha). UWAGA! Komputer zarządzający musi mied adres z podsieci, w której jest domyślny adres switcha czyli z podsieci , z maską Jeżeli korzystamy z dynamicznego adresu, należy zmienid schemat adresacji na routerze(patrz rozdział 1.2.1). Jako rozwiązanie alternatywne należy przypisad do komputera statyczny adres IP. Zmiana domyślnego adresu możliwa jest dopiero po zalogowaniu na przełącznik lub przy użyciu konfiguracji przez port konsoli. Po wpisaniu adresu i zatwierdzenia klawiszem Enter pojawi się ekran logowania: W polach użytkownik(username) i hasło(password) należy wpisad admin(domyślna nazwa użytkownika i hasło do routera). Po kliknięciu OK. uzyskujemy dostęp do interfejsu zarządzania urządzeniem. Zakładka Setup umożliwia monitorowanie podstawowych funkcji związanych z urządzeniem: 27

28 Graficzna prezentacja stanu poszczególnych portów, port może znajdowad się w jednym z 3 trybów: Link Down port nieaktywny, nic nie zostalo do niego podłączone, lub nie ma łączności z podłączonym urządzeniem(np. urządzenie sieciowe ma odłączone zasilanie) porty oznaczone na szaro Link Up port aktywny, do portu podłączono urządzenie, które jest aktywne, porty oznaczone na zielono Administratively Down administracyjnie wyłączony, na port nie jest podawane napięcie, nawet po podłączeniu aktywnego urządzenia port pozostanie nieaktywny porty oznaczone na pomaraoczowo Informacje dotyczące ustawieo sieiciowych: Adres IP, maska, adres serwera DNS, bramy domyślnej Tryb przypisania adresu, DHCP, Static IP Adres MAC przełącznika Informacje dotyczące systemu: Nazwa modelu Wersja sprzętowa Wersja pliku startowego Wersja oprogramowania Informacje dodatkowe: Nazwa systemu Czas od włączenia urządzenia Czas systemowy W zakładce Network Settings istnieje możliwośd nadania systemowi nazwy, określenie jego lokalizacji, a także kontaktu do administratora (opisywanie urządzeo ułatwia zarządzanie bardzie rozbudowanymi sieciami). Dodatkowo użytkownik ma możliwośd zmiany ustawieo dotyczących adresu IP interfejsu zarządzającego. Tryby są analogiczne do trybów kofiguracji adresów IP w komputerze, przypisanie adresu przez DHCP(dynamiczne przypisanie adresu, switch staje się klientem serwera DHCP znajdującego się w naszej sieci, wybranie tego trybu 28

29 wymaga od nas wiedzy jaki adres zostanie przypisany do switcha), lub statyczne przypisanie adresu(praktyka lepsza od przypisywania adresu przez DHCP, należy uważad, aby nie przypisad do urządzenia adresu, który jest już przypisany w naszej sieci do innego urządzenia). Podobnie jak w przypadku routera: UWAGA! Każda zmiana ustawieo musi zostad zatwierdzona przez użytkownika poprzez kliknięcie przycisku zapisywania zmian -> Save Settings. Jeżeli wprowadziliśmy błędne dane możemy anulowad zmiany poprzez kliknięcie -> Cancel Changes. Zakładka Time pozwala na konfigurację czasu. Użytkownik może ustalid czas systemowy statycznie, lub przy użyciu serwerów NTP. Więcej informacji na temat konfiguracji czasu systemowego w podręczniku obsługi użytkownika Zarządzanie portami W zakładce Port Management, użytkownik ma możliwośd zarządzania poszczególnymi portami przełącznika. Powyższa tabelka prezentuje właściwości poszczególnych portów. Po kliknięciu przycisku Detail użytkownik może modyfikowac poszczególne funkcje. Dokładny opis poszczególnych funkcji w rozdziale Ustawienia podstawowe. 29

30 Ustawienia podstawowe Funkcje modyfikowane przez użytkownika, dostępne po kliknięciu Detail: Opis portu(description), dzięki opisywaniu portów, mamy możliwośd określenia który z komputerów jest podłączony do którego portu switcha, dzieki temu łatwiej dotrzemy do komputera generującego szkodliwy ruch, lub zlokalizujemy uszkodzenie w naszej sieci Typ portu(port Type) w tym wypadku port e1 to port 100Mb/s, miedziany(cooper), Status administracyjny(admin Status) aktywny / nieaktywny - port odłączony administracyjnie), Status łącza(current Port Status) jeżeli urządzenie podłączone do portu jest aktywne, port ma status Up, Wymuszenie określonej prędkości, trybu(half/full duplex) na porcie(admin Advertisement) Auto-krosowanie portów(mdi/mdix) w trybie auto, switch sam rozponaje jaki kabel jest podłączony i czy należy dokonad krosowania. Zastosowanie autokrosowania portów zdejmuje z użytkownika koniecznośd stosowania rodzaju okablowania odpowiedniego dla danego typu połączenia(możliwośd stosowania zarówno kabli prostych, jak i krosowanych). Pozostałe funkcje opisane w podręczniku obsługi użytkownika. 30

31 Agregacja łączy Agregacja łączy ma na celu łączenie kilku interfejsów fizycznych przełącznika w jeden logiczny kanał. Użytkownik ma możliwośd utworzenia do 8 grup łączy agregowanych, w każdym łączu agregowanym może się znajdowad maksymalnie 8 portów fizycznych. Na poniższym rysunku zaprezentowano ideę tworzenia grup łączy agregowanych. Z punktu widzenia switcha nie jest ważne gdzie znajdują się poszczególne interfejsy, ważne, aby wszystkie interfejsy włączone do grupy łączy agregowanych miały tą samą prędkośd, tzn. w grupie łączy może się znajdowad maksymalnie 8 portów FE lub 4 porty GE(ponieważ tyloma dyspouje opisywany przełącznik). Na powyższym rysunku na switchu środkowym stworzono dwie grupy łączy agregowanych: LAG 1 do tej grupy włączono 4 porty FastEth uzyskując łączną przepływnośd rzędu 800 Mb/s(ruch obustronny), w celu połączenia ze switchem dolnym LAG 2 do tej grupy włączono 2 port GigabitEth, uzyskując łączną przepływnośd rzędu 4 Gb/s(ruch obustronny), w celu połączenia ze switchem górnym. Tworzenie grup łączy agregowanych ma dwie główne zalety: Zwiększanie przepływności pomiędzy poszczególnymi segmentami sieci (np. pomiędzy dwoma switchami, maksymalna przepływnośd jaką można uzyskad agregując 4 porty typu Gigabit to 8 Gb/s biorąc pod uwagę ruch w obie strony). 31

32 Nadmiarowośd łączy, w przypadku uszkodzenia przewodu, lub awarii jednego z portów urządzenia są nadal połączone przez pozostałe porty należące do grupy łączy agregowanych. Połączenie dwóch switchy przez kilka interfejsów nie przydzielonych do grupy łączy agregowanych, lub przez dwie grupy łączy agregowanych może skutkowad w błędnym przesyłaniu pakietów. Switch nie będzie wiedział na który interfejs wysład pakiet, ponieważ na każdym z nich będzie znal ten sam adres. Aby stworzyd grupę łączy agregowanych należy: Przejśd do zakładki Port Management->Link Aggregation Kliknąd Detail, przy wybranym numerze grupy łączy agregowanych(1-8) Pojawi się okno konfiguracji grupy łączy agregowanych 32

33 Przypisad wybrane interfejsy do grupy łączy agregowanych(należy pamiętad, że do jednej grupy można przypisad tylko interfejsy o tej samej prędkości). Opcjonalnie można wprowadzid opis grupy łączy agregowanych(np. switch A - switch B). Dodatkowo użytkownik ma możliwośd określenia statusu administracyjnego łącza(aktywne/nieaktywne). Przykład zamieszczony na rysunku na poprzedniej stronie utworzył grupę łączy agregowanych o nazwie łącze A-B, status łącza został ustawiony na aktywny Up, a do grupy przypisano interfejsy e4, e5, e6, e7, zyskując łączną przepływnośd rzędu 400 Mb/s w jedną stronę Wirtualne sieci lokalne - VLAN VLAN czyli wirtualna sied lokalna (Virtual Local Area Network) to najprościej mówiąc sied w sieci. Przełączniki zarządzalne pozwalają nie tylko w łatwy sposób rozbudowywad istniejącą infrastrukturę, za ich pomocą możemy logicznie wydzielid poszczególne segmenty sieci tak aby ich użytkownicy się nie widzieli. Dzięki takiej segmentacji, uzyskujemy 3 podsieci w obrębie jednej sieci lokalnej. Pomimo, że wszyscy użytkownicy podłączeni są do jednego switcha logicznie znajdują się w innych sieciach i nie widzą się nawzajem. W ten sposób użytkownicy z działu handlowego nie mają dostępu do działu księgowości, czy komputera prezesa. 33

34 Przenosząc powyższą sytuację na realia szkolnych pracowni internetowych, mamy mozliwośd rodzielenia od siebie dwóch pracowni, komputera dyrektora lub sekretariatu pomimo wykorzystania do utworzenia infrastruktury jednego przełącznika. Przełącznik daje nam możliwośd utworzenia dwóch rodzajów VLANów: VLANy nietagowane ten rodzaj wirtualnych sieci lokalnych, to rozdzielenie poszczególnych portów fizycznie na switchu, polega na przypisaniu konkretnych portów do wybranych wirtualnych sieci lokalnych. VLANy tagowane dzięki VLANom tagowanym użytkownik ma możliwośd ropowszechniania informacji o istniejących na danym przełączniku wirtualnych sieciach lokalnych, każdy pakiet przypisany do VLANu tagowanego niesie ze sobą znacznik informujący urządzenia o jego przynależności do konkretnej podsieci. W celu współpracy pomiędzy urządzeniami sieciowymi świadomymi istnienia VLANów stworzono protokół q. Dzięki standaryzacji znaczników, możemy wykorzystad nasz przełącznik do łączności z innymi urządzeniami obsługującymi protokół 802.1q. Tagowanie ma jeszcze jedną istotną przewagę nad VLANami nie tagowanymi, pozwala na wykorzystanie do komunikacji między urządzeniami obsługującymi standard 802.1q łączy trunkingowych. Łącze typu trunk przenosi informacje pochodzące z VLANów do których należy. Przykładowym zastosowaniem łączy trunkingowych jest połączenie ze sobą dwóch switchy, pomimo, iż informacje między switchami będą wymieniane przy użyciu jednego łącza to każdy ze switchy będzie wiedział do której wirtualnej podsieci należy konkretny pakiet Tworzenie VLANów i łączy typu trunk Tworzenie VLANów może wydawad się procesem skomplikowanym, jednak jak pokazano poniżej aby stworzyd VLAN i przypisad do niego konkretne porty wystarczą 3 proste kroki. W niniejszym przewodniku pokazano najprostszy sposób, w jaki można stworzyd VLANy tagowane. KROK 1 Przejdź do zakładki VLAN Management - > Create VLAN W polu VLAN ID wpisujemy nr VLANu(zakres od ), VLAN nr 1 jest domyślnym VLANem, do którego należą wszystkie porty. Zarządzanie switchem możliwe jest tylko z portu należącego do VLANu 1. Po wpisaniu nazwy możemy określid nazwę VLANu, na powyższym rysunku stworzono VLAN 3 o nazwie pracownia B. Po kliknięcu 34

35 Update nowy VLAN trafi na listę istniejących sieci wirtualnych. Ostatnim elementem jest zapisanie zmian, czyli klikamy Save Settings. W polu VLAN Table znajdują się wszystkie utworzone VLANy wraz z nazwami i Statusem( domyślny - wbudowany w przełącznik VLAN zarządzający, statyczne utworzone przez użytkownika na przełączniku, dynamiczne rozpowszechnione przez protokół GVRP, nie opisywany w tym przewodniku). Jak można zaobserwowd na powyższym rysunku oprócz VLANu domyślnego utworzono dwa VLANy statyczne o nr 2 pracownia_a, oraz o nr 3 pracownia_b. KROK 2 Zakladka VLAN Management -> Port Setting. W tej zakładce użytkownik definiuje w jakim trybie ma pracowad dany port. W zależności od trybu pracy porty mogą byd przypisywane do VLANów tagowanych, nietagowaych, lub wystepowad jako łącza typu trunk pomiędzy dwoma switchami. Tryby pracy portów: Access, domyślnie wszystkie porty są w tym właśnie trybie, pozwala on na przypisanie poszczególnych portów tylko do 1 VLANu nietagowanego. General, ten tryb pozwala na przypisanie portu do VLANu zarówno nietagowanego jak i tagowanego, przy czym przy oznaczeniu VLANów jao nietagowanych, pakiety będą znacznikowane przy użyciu specjalnego pola określanego dla danego portu PVID. W przykładzie użyjemy właśnie trybu General oraz pola PVID, tak aby przynależnośd pakietu do konkretnego VLANu definiował nam statyczny znacznik. Trunk, tryb ten został omówniony na początku rozdziału, pozwala na przesyłanie informacji z VLANów tagowanych, pomiędzy urządzeniami obsługującymi protokół 802.1q. W naszym przykładzie skorzystamy z dwóch utworzonych poprzednio VLANów, do VLANu 2 oznaczonego jako pracownia B, będziemy chcieli przypisad 3 porty FastEthernetowe, natomiast do VLANu 3 oznaczonego jako pracownia_b przypiszemy 2 porty Fast Ethernetowe. Dodatkowo przyjmiemy, że jeden z portów gigabitowych będzie łączem typu trunk, aby wymieniad informację pomiędzy dwoma switchami. 35

36 Aby przypisad porty do VLANów zostały ustawione w tryb General. Ponadto określono PVID, zgodnie z nr do którego VLANu mają zostad przypisane. W ten sposób pakiet przychodzący na konkretnym porcie otrzyma indywidulany znacznik na podstawie PVID. Jak można zauważyd 5 portów ustawiono w tryb General, 3 z nich(e1, e2, e3) przypisano PVID=2 (zostaną przypisane do VLANu 2), 2 z nich(e5, e6) przypisano PVID=3(zostaną przypisane do VLANu 3). Dodatkowo jak na poniższym rysunku port g1 został ustawiony w tryb Trunk. Po zapisaniu ustawieo mamy 2 kroki w tworzeniu VLANów za sobą. KROK 3 Ostatnim elementem w tworzeniu wirtualnych sieci lokalnych, jest przypisanie portu do konkretnego VLANu. Aby przypisad port do VLANu należy przejśd do zakladki VLAN Management -> Ports to VLAN. Z listy rozwijalej należy wybrad nr VLANu, do którego chemy przypisad dany port, czyli najpierw VLAN 2: Po wybraniu konkretnego VLANu zaznaczamy, które z portów mają byd w tym VLANie. 36

37 Porty e1, e2, e3 zostały przypisane do VLANu 2 jako nietagowane. Nietagowane,ponieważ pakiety wchodzące na port nie posiadają znaczników. Znacznik jest przypisywany do VLANu dopiero w porcie, przez wcześniej określony parametr PVID. Po przejściu przez port pakiet staje się tagowanym. Analogicznie przypisujemy porty e5 oraz e6 do VLANu nr 3 pracownia_b: W ten sposób zakooczyliśmy tworzenie VLANów. Pozostaje nam tylko przypisanie portu Trunk do VLANów, z których informacje nasze łącze trunkingowe ma przesyład. W naszym wypadku jako łącze trunkingowe przypisaliśmy g1, więc musimy je dodad zarówno do VLANu 2 oraz 3. W dokładnie ten sam sposób w który przypisaliśmy poprzednie porty do VLANów przypisujemy łącze g1. W tym momencie użytkownik ma do wyboru jedynie tryb tagowany, ponieważ pakiety które przeszły przez porty należące do któregoś z VLANów są tagowane znacznikiem wpisanym przez nas w polu PVID. Zakooczyliśmy tworzenie wirtualnych sieci lokalnych na naszym switchu. Jeżeli powyższe kroki zostały przeprowadzone zgodnie z przedstawioną procedurą uzyskaliśmy 3 sieci wirtualne w obrębie jednego switcha(pamiętajmy, że porty nie przypisane do żadnego z VLANów ciągle należą do VLANu domyślnego czyli VLANu o nr 1). Aby ułatwid zrozumienie uzyskanego efektu przedstawiono je na przykładzie zestawienia takiej samej konfiguracji na dwóch switchach SRW224G4 połączonych ze sobą łączem typu trunk. Jak pokazano w dalszej części tego przewodnika, wystarczy skonfigurowanie jednego urządzenia, a następnie eksport pliku konfiguracyjnego na lokalnie podłączony komputer (Roz ), w kolejnym kroku stworzoną 37

38 konfigurację improtujemy do drugiego urządzenia, uzyskując dwa przełączniki o tej samej konfiguracji. Na powyższym rysunku przedstawiono efekt skonfigurowanych przez nas VLANów. Co uzyskujemu dzięki takiej konfiguracji: Komputery widzą się wzajemnie w ramach jednego VLANu(niezależnie od tego do którego switcha zostały podłączone, łącze typu TRUNK oznaczone kolorem zielonym przenosi ruch należący do VLANów 2 i 3 pomiędzy switchami ). Komputery nie widzą się wzajemnie jeżeli znajdują się w jednym VLANie, komputery z pracowni_b nie widzą komputerów z pracowni_a (zarówno w obrębie jednego przełącznika, jak i na oddzielnych przełącznikach Statystyki W zakładce Statistics użytkownik ma możliwośd monitorowania zarówno podstawowych parametrów związanych z transmisją, jak przepływnośd na poszczególnych portach, aż po śledzenie błędnych ramek i uszkodzonych pakietów. Dzięki właściwemu wykorzystaniu funkcji pozwalających śledzid statystyki możemy zarządzad naszą siecią mądrzej i uczynid ją bardziej wydajną. 38

39 Zakładka Statistics-> RMON Statistics pozwala na śledzenie szczegółowych statystyk dla poszczególnych interfejsów. Oprócz śledzenia statytyk na poszczególnych portach, uzytkownik, ma możliwośd ustatalania zdarzeo, a co za tym idzie generowania przy ich pomocy alarmów systemowych, w zależności od wybranego typu. Do ustawiania zdarzeo i alarmów systemowych, służa kolejne podzakładki, znajdujące się w głównej zakładce Statistics. Dokładniejszy opis poszczególnych z nich w podręczniku obsługi użytkownika. Graficzna reprezentacja wykorzystania poszczególnych z portów jest dostepna w zakładce Statistics->Port Utilization. 39

40 Użytkownik ma możliwośc wyboru szybkości odświeżania(15, 30 lub 60 sekund) i graficznego śledzenia wykorzystania poszczególnych portów. Na rysunku na poprzedniej stronie można zauważyc, że porty e19 i e20 były wykorzystywane w danym momencie. Zasadniczo, jeżeli nie generujemy większego ruchu, nie przesyłamy plików przez ktoryś z interfejsów na switchu, wykorzystanie portów będzie się utrzymywad na poziomie 0 %. Jeżeli dany z portów będzie przeciążony, generowany ruch będzie większy niż mozliwości transferu na porcie, zostanie on oznaczony na czerwono jako Overloaded. Poza statytykami związanymi ściśle z wykorzystaniem poszczególnych interfejsow switcha, użytkownik może sprawdzid statystyki związane z protokolem 802.1x(zakładka Statistics->802.1x Statistics), a także protokołem dynamicznego rozpowszechniania VLANów GVRP(zakładka Statistics-> GVRP Statistics) Listy dostępu Listy dostępu to narzędzie administracyjne pozwalające okreslid administratorowi sieci dostęp poszczególnych użytkowników do określonych usług sieciowych. Listy dostępu przypominają funkcjonalnością polityki dostępu, opisane dokładniej w rozdziale Na różnice pomiędzy politykami dostępu i listami dostępu składa się kilka elementów: Brak możliwości określenia czasu obowiązywania listy dostępu; Brak możliwości blokowania nazw domenowych, lub słów kluczowych w listach dostępu; Możliwośd powiązania listy dostępu z określonym portem fizycznym, lub grupą łaczy agregowanych przełącznika; Możliwośd określenia nie tylko adresu źródłowego, ale i adresów docelowych dla których ma obowiązaywad dana lista, czyli blokowanie ruchu już w obrębie danego segmentu sieci kontrolowanego przez switch; Możliwośd określenia czynności która ma zostad wykonana w przypadku złamania polityki dostępu: o Pozwolenie na ruch o Zablokowanie ruchu o Zablokowanie ruchu i administracyjne wyłączenie portu(od tej chwili port będzie administracyjnie wyłączony, aż do czasu ponownego odblokowania przez administratora). 40

41 Tworzenie list dostępu Aby utworzyd listę dostępu należy przejśd do zakładki ACL. Kolejnym krokiem jest wybór typu listy dostępu z jakiej mamy korzystad. Użytkownik ma możliwośd wyboru dwóch rodzajów list dostępu: IP bardziej zaawansowana, pozwala na blokowanie konkretnych serwisów sieciowych po numerach portu, określono nastepujące rodzaje ruchu TCP/UDP/IGMP/ICMP/OSPF/EIGRP, dodatkowo użytkownik ma mozliwośd blokowania ruchu po określonych przez siebie portach MAC mniej zaawansowane pozwalają na blokowanie całego ruchu z danych adresów MAC na inne adresy MAC Ponieważ tworzenie list dostępu IP daje użytkownikowi więcej funkcjonalności i jest bardziej elastyczne dlatego na tym typie list skupiono się w dalszej części tego przewodnika. W celu utworzenia listy dostępu IP należy przejśd do zakładaki ACL->IP Based ACL. Kolejno należy okreslid: Nazwę polityki dostępu Rodzaj akcji jaka ma zostad wykona w przypadku złamania reguły polityki dostępu: Permit(dopuśd ruch), Deny(zablokuj ruch), Shutdown(zablokuj ruch i administracyjnie wyłącz port) Protokół transportowy który ma zostad zablokowany: z listy rozwijalnej, dla określonego nr portu, lub dla transmisji z określonego portu źródłowego do portu docelowego(tylko dla protokołów TCP/UDP). Dodatkowo użytkownik ma możliwośd decyzji(dla protokołu TCP) jakie flagi w pakiecie mają byd brane pod uwagę przy filtrowaniu Adres źródłowy/adres docelowy, przy określaniu adresu docelowego oraz adresu źródłowgo, użytkownik ma możliwośd określenia grupy adresów, przy użyciu parametru Wild Card Mask. Zadaniem parametru Wild card Mask jest maskowanie adresu IP. Aby polityka dotyczyła konkretnego adresu IP maska musi zostad ustawiona na , aby dotyczyła dowolnego adresu IP maska musi zostad ustawiona na Przyjmijmy, że chcemy aby polityka dotyczyła wszystkich adresów z podsieci /24. Jako adres IP wpisujemy a jako maskę

42 Aby zrozumied dokladniej funkcje maskowania adresu należy zastosowad zapis binarny : : Powyższy zapis oznacza, że polityka będzie dotyczyła adresów z zakresu Miejsca w których w Wild Card Mask występują jedynki nie są porównywane ze wzorcem adresu, powoduje to że w ostatnim oktecie może wystąpid dowolna wartośd. Miejsca w których występuje 0 oznaczają że ta częśd adresu IP musi się dokładnie zgadzad z podanym wzorcem. Ostatni element odnosi się do usługi związanej z zapewnianiem właściwego priorytetu ruchu na podstawie wartości pola w pakiecie określanego jako DSCP, wykorzystanie tego pola wymaga przypiswyania pakietów do właściwych klas ruchowych w sieciach z zaimplementowaną architekturą DiffServ. W ten sposób stworzona została lista dostępu, śledząc powyższe dane można zauważyd, że polityka blokuje ruch po protokole UDP, z adresu na adres Ostatnim elementem związanym z tworzeniem listy dostępu jest przypisanie jej do konkretnego interfejsu fizycznego na przełączniku, któremu poświęcony jest kolejny rozdział. Po dodaniu okreslonej utworznej listy do tabeli list istniejących poprzez kliknięcie Add to List i zapisanie ustawieo mamy pierwszy krok w tworzeniu list dostępu za sobą. 42

43 Przyjmując, że dana lista została już przypisana do interfejsu, do którego podłączono hosta o adresie , poniżej zaprezentowano wartości uzyskane w wyniku testowania łączności pomiędzy adresami , a Test został przeprowadzony przy użyciu podstawowego narzędzia wbudowanego w system Windows, wysyłania wiadomości ping. Strona lewa przezentuje test przed utworzeniem listy, a strona prawa po utworzeniu listy dostępu Powiązanie listy dostępu z portem przełącznika Aby lista dostępu działała, nie wystarczy jej utworzenie, drugim krokiem w procesie tworzenia list jest ich przypiswyanie do określonych portów na przełączniku. Aby przypisad określoną listę dostępu do danego portu przełącznika należy przejśd do zakładki Security -> ACL Binding Listę dostępu przypisujemy do konkretnego interfejsu, lub grupy łączy agregowanych. Po wybraniu interfesju decydujemy do jakiego typu Access listy ma zostad przypisany interfejs: IP/MAC. Następnie decydujemy, do której listy przypisad dany interfejs. Interfejs może zostad przypisany jednoczesnie do kilku list dostępu. Po kliknięciu Add to List i zapisaniu ustawieo, w tabeli pojawia się lista, do których list dostepu przypisane zostały poszczególne interfejsy Funkcje bezpieczeństwa Przełącznik oferuje użytkownikowi szeroki zakres funkcji bezpieczeostwa. W zależności od zastosowanego sprzętu sieciowego dysponujemy bardziej, lub mniej zaawansowanymi funkcjami bezpieczeostwa. Zaawanowane funkcje bezpieczeostwa opierają się na wykorzystaniu protokołów bezpieczeostwa i serwerów uwierzytelniajacych. Po podłączeniu do przełącznika systemu pracującego jako serwer RADIUS, lub TACACS uzyskujemy scentralizwoaną bazę autoryzacji klientów naszego przełącznika. Dane wszystkich hostów zapisane są w jednym miejscu, autoryzacja może odbywad się na podstawie sprawdzenia nazwy użykownika, hasła, lub chociażby adresu MAC poszczególnych urządzeo. Po 43

44 podłączeniu użytkownika do przełącznika, urządzenie skontaktuje się z serwerm czy taki użytkownik istnieje i czy ma prawo dostępu do naszej sieci. Oprócz typowych serwerów RADIUS istnieje możliwośc autentykacji typu host/mac based pzy wykorzystaniu protokołu 802.1x. Podstawowe funkcje bezpieczeostwa, nie wymagają podłączania do przełącznika zewnętrznych serwerów uwierzytelniających, dlatego w niniejszym podręczniku skupimy się na funkcjach dostępnych przy użyciu funkcji wbudowanych w przełącznik Autentykacja na podstawie adresu MAC Przełącznik daje administratorowi mozliwośd autentykacji uzytkowników na podstawie adresów MAC poszczególnych urządzeo. Ten rodzaj uwierzytelniania pozwala na zapisanie w konfiguracji przełącznika, który host podłączony jest do którego portu na naszym przełączniku. Switch oferuje dwa tryby przypisywania adresów MAC do poszczególnych portów: Zamek klasyczny(classic Lock) pozwala na przypisanie pojedynczego adresu MAC do interfejsu fizycznego przełącznika Zamek dynamiczny(dynamic Lock) administrator ma możliwośd określenia, ilu użytkowników może zostad poznanych na danym porcie, funkcję tą wykorzystujemy, gdy do danego portu na przełączniku podłączają się różni uzytkownicy, lub gdy dany port wykorzytywany jest do rozszerzania naszej sieci o kolejne elementy( np. o kolejny przełącznik) W momencie zamknięcia danego interfejsu, pojawienie się na nim nieznanego adresu MAC spowoduje akcję zaplanowaną na takie zdarzenie, administrator ma do wyboru 3 rodzaje czynności, jakie mogą zostad w tym wypadku wykonane: Normalne przekazywanie ruchu(forward Normal) Blokowanie ruchu pochodzącego od nieznanego hosta(discard) Blokowanie ruchu oraz administracyjne wyłączenie portu(discard Disable) Trzeci tryb oferuje najsliniejszy mechanizm zabezpieczeo, po podłączeniu do portu przełącznika nowego urządzenia, ruch od niego nie tylko nie zostanie przekazany, ale także nastąpi wyłączenie portu. Dopóki administrator nie włączy portu cały ruch na tym porcie będzie zablokowany. Aby włączyd przypisywanie adresów MAC do portów przełącznika, należy przejśd do zakładki Security -> Multiple Host i uruchomid funkcję Enable przy portach do których mają zostad przypisane konkretne adresy MAC. Kolejnym krokiem jest określenie rodzaju zamka i zablokowanie poszczególnych portów. W tym celu przenosimy się do zakladki Security -> Port Security. Wybieramy właściwy dla naszego rozwiązania tryb 44

45 zamknięcia interfejsu czyli Classic Lock lub Dynamic Lock. W trybie Dynamic Lock w polu Max Entries określamy ile adresów może zostad poznanych na danym interfejsie. Następnie określamy rodzaj akcji przy złamaniu zamka czyli Access on Violation, zamykamy interfejs przez zaznaczenie pola Lock Interface, klikamy na Update i zapisujemy zmiany. Poniżej zamieszczono graficzną prezentację włączania blokady Classic Lock na porcie e1. W ten sposób do interfejsu e1 został przypisany MAC adres komputera, który jest podłączony do tego interfejsu Quality of Service Quality of Service, czyli zapewnianie jakości obsługi na określonym poziomie. Mechanizmy QoS pozwalają na priorytetyzację jednego rodzaju ruchu ponad innym, a także przypisywanie dostępnego pasma do konkretnych portów switcha. Dzięki zastosowaniu mechanizmów QoS już na poziomie przełącznika, nasze połączenie internetowe nie będzie obciążone przez niechciany, lub mniej ważny ruch. Dobrą praktyką jest ograniczanie pasma w większym stopniu dla normalnych użytkowników, oraz nie ograniczanie dla użytkowników wymagającyh stałej przepływności, lub wrażliwych na opóźnienia, takich jak ruch VoIP lub wideokonferencje Zarządzanie kolejkami Przełącznik oferuje użytkownikowi szereg funkcji związanych z mechanizmami QoS. Cześd z funkcji związana jest z architekturai stosowanym w sieciach IP do zapewniania jakości usług na określonym poziomie dla danych klas ruchowych. Aktualnie w sieciach IP wdraża się głównie dwa rodzaje architektur: Architektura usług zintegowanych InfServ, pozwala na wyróżnianie strumieni ruchu dla poszczególnych protokołów sieciowych, od punktu źródłowego do docelowego, rozpoznanie danego strumienia odbywa się przy użyciu nadawania poszczególnym klasom ruchowym etykiet właściwych dla danej klasy. 45

46 Architektura usług zróżnicowanych DiffServ, w tym rozwiązaniu pakiety należące do różnych klas ruchu są rozróżniane przy wykorzystaniu zmodyfikowanego pola ToS(Type of Service) w nagłówku pakietów sieci IP. Na podstawie ToS stworzono pole DSCP(Differentiated Service Code Point), dzięki temu każdy z pakietów może zostad przypisany do jednej z 64 klas. Ruch który należy do klasy o wyższym priorytecie będzie przesyłany jako pierwszy. Poszczególne z ustawieo pozwalają na klasyfikacje poszeczgólnych z pakietów, zarządzanie kolejkami na przełączniku, a także przypisywanie wag do poszczególnych klas ruchowych. W zakładce QoS-> CoS Settings mamy możliwośd przypisywania do którejś z klas ruchowych(0-7) ruchu generowanego na poszczególnych portach przełącznika. Klasa 0 to klasa o najmniejszym priorytecie, a klasa 7 to ruch o najwyższym priorytecie. Oprócz przypisywania ruchu z konkretnego portu do klasy, możemy zarządzad kolejkami. Przełącznik obsługuje 4 kolejki, do których możemy przypisad konkretne klasy ruchowe. Ustawienie Class of Service definujemy w zakładce CoS Settings a ustawienie klas na podstawie parametru DSCP w zakładce DSCP Settings Zarządzanie pasmem Podstawowe funkcje zarządzania pasmem nie wymagają od użytkownika wiedzy na temat architektur usług IntServ lub DiffServ. Zarządzanie pasmem odbywa się w zakładce QoS -> Bandwidth Management. W tej zakładce administrator ma możliwośd przypisania konkretnego pasma dla poszczególnych portów fizycznych na przełączniku. Sterowanie pasmem odbywa się w zakresie od Kb/s dla ruchu wchodzącego do interfesju, oraz w zakresie Kb/s dla ruchu wychodzacego z interfejsu. Powyższy rysunek przedstawia konfigurację zarządzania pasmem na interfejsie e1, dla ruchu wchodzącego przypisano 128 Kb/s, a dla ruchu wychodzacego 256 Kb/s. 46

47 2.2.8 Administracja Przełącznik oferuje administratorowi dużo funkcji wspomagających i pozwalających na łatwe zarządzanie urządzeniem. Pierwsza i jedna z najważniejszych zakładek w części Admin pozwala na dodawanie kont dla nowych użytkowników(mających dostęp do panelu zarządzania switchem). W zależności od stopnia zaawansowania naszej sieci mamy do wyboru różne tryby uwierzytelniania, podstawowym i jednocześnie najprostszym z trybów jest uwierzytelnianie lokalne. Po wpisaniu w przeglądarce adresu przełącznika, wyskoczy monit pytający użytkownika o jego nazwę oraz hasło. Bardziej zaawansowane systemy pozwalają na wykorzystanie do tego celu zewnętrznych serwerów RADIUS lu TACACS, które w tym wypadku będą zawierały dane użytkowników mających dostęp do urządzenia. UWAGA! W celu zwiększenia bezpieczeostwa należy zmienid domyślną nazwę użytkownika i hasło. Nieautoryzowany użytkownik może łatwo zgadnąd domyślne hasło oraz nazwę. Aby zmienid domyślne hasło, lub dodad nowego użytkownika należy przejśd do zakładki Admin -> User Authentication. Należy wybrad typ uwierzytelniania, w podstawowej i domyślnej wersji jako Local. Nastepnie wpisujemy nazwę użytkownika i hasło nastepnie klikamy Add to List i zapisujemy zmiany. Po dopisaniu użytkownika mamy możliwośd skasowania konta domyślnego. W tym celu klikamy na konto w tabeli, domyślna nazwa konta to admin, a nastepnie klikamy delete i zapisujemy ustawienia. W ten sposób uzyskujemy pewnośd, że do konfiguracji naszego przełącznika nie będą miały dostępu postronne osoby Przypisywanie stałych adresów MAC do interfejsów Automatycznie, switch uczy się, poprzez dodawanie adresów MAC, podłączonych do niego urządzeo sieciowych do swojej tablicy adresacyjnej. W ten sposób w momencie nadejścia ramki skierowanej do komputera o określonym adresie MAC, przełącznik sprawdza, na którym porcie podłączony jest komputer o takim adresie. Administrator ma możliwośd wymuszenia na przełączniku konieczności wysyłania ramki o określonym adresie docelowym na konkretny interfejs fizyczny. Aby przypisad adres MAC na stale do konkretnego interfejsu należy wybrad interfejs do którego ma zostad przypisany MAC, wpisad adres MAC, określid VLAN do którego 47

48 należy dany interfejs, wybrad typ przypisania: na stałe(permanent), do pierwszego Resetu urządzenia(delete on Reset), do upłynięcia określonego czasu(delete on Timeout) lub do portu który wcześniej został ustawiony w tryb Locked(Secure). Dodatkowo użytkownik ma możliwośd śledzenia aktualnej tablicy hostów, które poznał switch w trybie automatycznym. Tablice poznanych adresów MAC możemy wyświetlid w zakładce Admin - > Dynamic Address Funkcja port mirroring W celu monitorowania i likwidacji uszkodzeo sieci niezbędne może okazad się śledzenie zawartości przesyłanej na poszczególnych portach. W momencie zauważenia zwiększonego ruchu na jednym z portów w dłuższym okresie czasu, istnieje możliwośd podejrzenia jaka zawartośd przechodzi przez dany port. Wykorzystuję się do tego celu funkcję Port Mirroring. Umożliwia ona przesłanie zawartości z konkretnego portu na zupełnie inny port, do którego jest na przykład podłączony komputer zarządzający. W ten sposób po uruchomieniu na komputerze zarządzającym programu do analizy pakietów i ramek np. EtheReal, mamy możliwośd śledzenia zawartości przekazywanej przez poszczególne porty. Aby uruchomid funkcję Port Mirroring należy przejśd do zakładki Admin -> Port Mirroring. Wybrad port, z którego ruch ma byd przekazywany(source port), wybrad kierunek transmisji: Rx dane odbierane, Tx dane wysyłane, Both przekazanie ruchu przesyłanego w obu kierunkach oraz nr portu na który ma zostad przekazana zawartośd. Na powyższym rysunku przedstawiono sytuację, gdy ruch, zarówno wchodzący jak i wychodzący na port e1, jest przekazywany na port e2. 48

49 Testowanie okablowania Oprogramowanie przełącznika pozwala na podstawowe testowanie okablowania strukturalnego podłączonego do urządzenia. Dzięki takiemu rozwiązaniu, administrator w pierwszej fazie poszukiwania uszkodzeo ma możliwośd stwierdzenia na którym kablu ethernetowym występuje błąd, typu uszkodzenia oraz przybliżonej odległości do miejsca uszkodzenia. Aby przetestowad kabel sieciowy, należy kliknąd przycisk TEST umieszczony obok interesującego nas interfejsu. Dodatkowo dla interfejsów typu gigabit użytkownik dysponuje jeszcze dokładniejszym narzędziem testującym pozwalającym na sprawdzenie szczegółowych parametrów badanego kabla sieciowego (jak na przykład polaryzacja kabla, lub odległośd do uszkodzenia na poszczególnych parach w skrętce) Tworzenie zapasowej konfiguracji Stworzenie działającej konfiguracji na przełączniku, włączając w to VLANy, lub chociażby przypisanie do konkretnych interfejsów fizycznych adresów MAC może zająd nawet wprawnemu administratorowi dosyd dużo czasu. W celu uniknięcia konieczności ponownej konfiguracji, przełącznik daje możliwośd utworzenia zapasowej kopii konfiguracji. Aby wykonad kopię zapasową pliku konfiguracyjnego należy przejśd do zakładki Admin -> Save Configuration. Konfigurację możemy zapisad przy użyciu dwóch trybów poprzez protokół TFTP oraz przy użyciu http (drugi sposób jest znacznie prostszy, wystarczy wskazad docelowy katalog na komputerze z którego łączymy się ze przełącznikiem). Zadaniem użytkownika jest wybór trybu: upgrade pliku konfiguracyjnego, lub zapis konfiguracji jako backup. 49

50 Upgrade oprogramowania Linksys cały czas udoskonala swoje produkty, najprostszym sposobem uzyskania dostępu do nowych funkcjonalności jest aktualizacja oprogramowania. Przełącznik oferuje użytkownikowi kilka trybów aktualizacji oprogramowania, dwa tryby dostępne są z poziomu przeglądarki WWW i analogiczne do trybu tworzenia i importu plików konfiguracyjnych. Użytkownik ma więc dostępne tryby upgradu przez protokół tftp oraz http. Czasami aktualizacja oprogramowania, przy wykorzystaniu narzędzi dostępnych z poziomu przeglądarki WWW nie udaje się(przyczyną mogą byd błędy w transmisji lub przerwania połączenia w trakcie aktualizacji), przełącznik wyposażony jest w tryb awaryjny, dostępny poprzez port konsoli(konfiguracja przełącznika poprzez port konsoli opisana została w rozdziale 2.3). UWAGA! Należy używad tylko oprogramowania dostarczonego przez firmę LINKSYS na stronach lub Wgranie do urządzenia nie właściwego firmwaru może spowodowad błędne działanie, a nawet uszkodzenie przełącznika. Przed wgraniem oprogramowania należy sprawdzid wersję sprzętową urządzenia(jeżeli na obudowie nie ma dodatkowego opisu np. v1.1 mamy do czynienia z wersją 1.0). Nie należy odłączad przełącznika od zasilania w trakcie aktualizacji oprogramowania, może to spowodowad niewłaściwe działanie przełącznika. Aby dokonad aktualizacji oprogramowania należy ściągnąd firmware ze strony producenta. Po zapisaniu pliku na komputerze zarządzającym, możemy przystąpid do aktualizacji. Upgrade przez interfejs www został opisany przy okazji tworzenia kopii zapasowej pliku konfiguracyjnego Przywracanie ustawień fabrycznych Czasami błędna konfiguracja może powodowad niewłaściwe działanie przełącznika, konieczne może okazad się przywrócenie przełącznika do ustawieo fabrycznych. Aby przywrócid przełącznik do ustawieo fabrycznych należy przejśd do zakładki Admin -> Factory Reset. Po kliknięciu przycisku Restore Default należy po chwili wyłączyd i ponownie włączyd przełącznik, możemy to zrobid wyciągając wtyczkę z gniazdka elektrycznego, lub przechodząc do zakładki Admin -> Reboot i klikając przycisk Reebot. 50

51 Logi systemowe Administrator ma możliwośd śledzenia poszczególnych wydarzeo systemowych(logów). Zdarzenia systemowe mogą byd wyświetlane w czasie rzeczywistym, przesyłane na zewnętrzny serwer syslog, lub zapisywane w jednej z pamięci przełącznika(użytkownik może zdecydowad, w której pamięci mają byd zapisywane wydarzenia: RAM pamięd ulotna, po ponownym uruchomieniu logi są tracone, Flash pamięd stała logi są zapisane nawet w przypadku odłączenia zasilania). Można wyróżnid kilka rodzajów logów, użytkownik decyduje które z nich mają zostad zapisane w pamięci przełącznika. Po zdecydowaniu, które z logów mają byd zapisywane do pamięci mamy możliwośd śledzenia zdarzeo w zakładce Admin -> Memory Logs, lub Admin -> Flash Logs w zależności od tego które logi chcemy wyświetlad. Dodatkowo w zakładce Admin - > Server Logs możemy ustawid zrzucanie logów. Na poniższym rysunku zamieszczono przykładowe zdarzenia systemowe. Jak można zauważyd, przy normalnej pracy systemu informowani jesteśmy o podstawowych sprawach jak logowanie się użytkownika do urządzenia, włączenie lub wyłączenie interfejsu. 51

52 2.3 Konfiguracja przełącznika przez port konsoli Zarządzanie przez port konsoli wykorzystuje do komunikacji z przełącznikiem połączenie szeregowe, w które standardowo wyposażone są komputery klasy PC. Ten tryb połączenia może okazad się koniecznym w przypadku wgrania do urządzenia uszkodzonego oprogramowania, lub utraty haseł do interfejsu zarządzania. Każdy z przełączników zarządzalnych wyposażony jest w port RS-232 przeznaczony do połączenia konsolowego. Wraz z przełącznikiem, Linksys dostarcza kabel dedykowany do zestawienia takiego połączenia. Dodatkowo w celu zestawienia połączenia należy wykorzystad program wbudowany w system operacyjny Windows XP. Jeżeli system na którym pracujemy nie ma wbudowanego oprogramowania, możemy ściągnąd oprogramowanie ze strony Oprogramowanie HyperTerminal jest darmowe dla użytkowników nie komercyjnych. Aby właściwe zestawić połączenie między przełącznikiem a komputerem, należy wybrać nr portu do którego podłączony jest przełącznik(domyślnie to COM1), a następnie wprowadzić w programie poniższe ustawienia: Po wprowadzeniu ustawieo i kliknięciu ok zobaczymy ekran połączenia, po wciśnięciu Enter pojawi się ekran uwierzytelniania. 52

53 Po wybraniu Edit wpisujemy domyślne(lub ustawione przez siebie) nazwę użytkownika i hasło, wciskamy klawisz Esc, wybieramy Execute i wciskamy Enter. Jeżeli nazwa użytkownika i hasło zgadzają się z zamieszczonymi w konfiguracji przełącznika, uzyskamy dostęp do panelu konfiguracyjnego. Główny panel konfiguracyjny daje możliwośd przejścia do bardziej zaawansowanej konfiguracji urządzenia, wyświetlenia statusu poszczególnych portów, podstawowej konfiguracji poszczególnych portów, wyświetlenia pomocy, a także zakooczenia sesji konfiguracyjnej Konfiguracja podstawowych funkcji Podstawowe ustawienia dostępne są w System Configuration Menu. Użytkownik ma możliwośd wyświetlenia: Informacji o systemie(wersja oprogramowania, MAC, nazwa) Informacji zarządzających(konfiguracja połączenia szeregowego, protokołu Telnet) Ustawienia użytkowników i haseł 53

54 Ustawieo bezpieczeostwa Konfiguracji adresu IP(statyczna, dynamiczna) Zarządzanie plikami konfiguracyjnymi i upgrade oprogramowania Przywrócenie ustawieo fabrycznych Reset urządzenia Tryb awaryjny W przypadku wgrania do urządzenia błędnego oprogramowania, utraty nazwy użytkownika lub haseł konieczne może byd skorzystanie z trybu awaryjnego. Aby wywoład tryb awaryjny należy podczas trwającego połączenia odłączyd a następnie podłączyd przełącznik z powrotem do zasilania. Na ekranie pojawi się monit pozwalający na przejście w tryb awaryjny: Jeżeli użytkownik w ciągu 2 sekund wciśnie klawisz Esc, pojawi się menu: W zależności od potrzeb mamy możliwośd: [1] aktualizacji oprogramowania [2] wymazania pamięci flash [3] uruchomienia procedury odzyskiwania haseł 54

55 *4+ wejścia do trybu diagnostycznego *5+ ustawienie prędkości połączenia szeregowego Aby wgrad nowy firmware przy użyciu trybu awaryjnego należy wybrad opcję 1. Po wybraniu opcji pojawi się komunikat: Urządzenie oczekuje teraz na wgranie nowego oprogramowania. Wgrywanie nowego oprogramowania z wykorzystaniem połączenia konsolowego odbywa się przez protokół xmodem wbudowany w program HyperTerminal. Aby przesład oprogramowanie do przełącznika poprzez xmodem należy wybrad z zakładki programu HyperTerminal Transfer-> Wyślij plik(send File): Następnie wybrad w polu Protocol -> Xmodem, wskazad plik który ma zostad wysłany(oprogramowanie dostępne na stronie producenta), a następnie kliknąd wyślij(send). 55