Intersieć składa się z wielu sieci komputerowych najczęściej połączonych routerami lub bridżami. W intersieci każda siec musi mieć swój unikatowy adres, a w ramach 1 sieci każda stacja robocza.

Sieć lokalna ( Local Area Network)– najmniej rozległa postać sieci komputerowej, większa jednak od sieci osobistej PAN ( Personal Area Network). Zazwyczaj ogranicza się do jednego lub kilku pobliskich budynków. Techniki stosowane w sieciach lokalnych można podzielić na rozwiązanie oparte najczęściej na przewodach (kable miedziane) lub komunikacji radiowej (bezprzewodowe). Sieci lokalne mogą być budowane w oparciu o różne topologie, takie jak gwiazda (najczęściej stosowana), magistrala, pierścień, drzewo czy siatka. Znikoma integralność usług. Nie wymaga zezwoleń na budowę.

Sieć miejska, MAN ( Metropolitan Area Network) – duża sieć komputerowa, której zasięg obejmuje aglomerację lub miasto. Tego typu sieci używają najczęściej połączeń światłowodowych do komunikacji pomiędzy wchodzącymi w jej skład rozrzuconymi sieciami LAN. Są budowane przede wszystkim przez duże organizacje rządowe, edukacyjne lub prywatne, które potrzebują szybkiej i pewnej wymiany danych pomiędzy punktami w ramach miejscowości. Do technologii używanych przy budowaniu takich sieci należą ATM, FDDI, SMDS oraz Gigabit Ethernet. Wymagana wysoka niezawodność. Konieczność uzyskania pozwoleń na budowę. Istotna kwestia bezpieczeństwa.

Sieć WAN ( Wide Area Network) – sieć komputerowa znajdująca się na obszarze wykraczającym poza jedno miasto (bądź kompleks miejski). Łączą ze sobą urządzenia rozmieszczone na dużych obszarach geograficznych. Łączy ona ze sobą sieci lokalne, które są zazwyczaj rozproszone na dużych obszarach geograficznych. Do technologii używanych przy budowaniu takich sieci należą ATM, FDDI, SMDS oraz Gigabit Ethernet. Wymagana wysoka niezawodność. Konieczność uzyskania pozwoleń na budowę. Istotna kwestia bezpieczeństwa. Połączenie z siecią WAN może zostać utworzone w oparciu o następujące protokoły: ADSL, ATM, DSL, Frame Relay, HDLC, ISDN, PPP, SMDS.

Siec GAN (Global Area Network)

Sieć komputerowa o zasięgu światowym wykorzystująca wiele protokołów i łącząca mniejsze sieci. Takimi sieciami są m.in. BITNET, EARN, Internet.

Protokół komunikacyjny- zespól reguł służących do komunikowania sie jednostek lub systemów w sieci komputerowej. Musi być określony w sposób jednoznaczny, wykluczający możliwość jakichkolwiek niejasności i nieporozumień Każdy protokół posiada:

-syntax-składnia- format wiadomości, poziom sygnału

-semantic-semantyka- informacje kontrolne do sterowania przepływem

-timing-dopasowanie szybkości transmisji danych

Wśród ogromnej liczby protokołów wykorzystywanych do komunikacji w sieciach, na szczególną uwagę zasługują protokoły z rodziny TCP/IP. W skład tej rodziny wchodzą między innymi protokoły:

IP (Internet Protocol)

ARP (Address Resolution Protocol)

ICMP (Internet Control Message Protocol)

UDP (User Datagram Protocol)

TCP (Transmission Control Protocol)

Schemat przepływu danych

(Ap,Pre,Ses)->Trans+(TCP)->Sie(IP)->(Epw)LLC->(Epw)MAC->Fiz

Topologia sieci-zbiór reguł fizycznego łączenia i reguł komunikacji poprzez dane medium transmisyjne. W zależności od topologii sieci istnieją konkretne specyfikacje dotyczące kabli, złączy i standardów komunikacji.

Topologia fizyczna – sposób okablowania sieci przedstawiający sposób łączenia hostów medium transmisyjnym



Topologia logiczna-opis reguł komunikacji, których powinna korzystać każda stacja przy komunikowaniu się w sieci. Topologie logiczne definiowane są przez IEEE (Institute of Electrical and Eletronic Engineers). 

OSI

Aplikacji -Stanowi interfejs pomiędzy aplikacjami a usługami sieci. (POP3,TELNET,IMAP)

Prezentacji -Określenie sposobu wymiany danych

-Zarządzanie składnią informacji przekazywanej

-obejmuje to co wiąże się z formatem danych

-Obejmuje szyfrowanie i kompresje

-Zarządza sposobem kodowania danych multimedialnych

Sesji -Nawiązywanie komunikacji

-Synchronizacja systemów

-Wymiana danych

-obejmuje wszystko co wiąże się z ustanawianiem, zarządzaniem i kończeniem sesji komunikacyjnej miedzy aplikacjami

Transportu -Dostarcza usługi umożliwiające kompleksowy nadzór nad przesyłaniem danych

-Dzielenie ramek

-Odnajdowanie i naprawianie błędów

-Kontrola przesyłu danych i poziomu jego zatłoczenia

Sieci -Zarządza trasowaniem pakietów

-Wykorzystuje tablice routingu w celu optymalizacji ruchu sieciowego

Łącza danych -Służy do bezpiecznego przesyłania ramek

-Zarządza adresowaniem

-Zarządza korekcją błędów i retransmisją

-Dodaje kody kontrolne CRC do ramek

-Przyjmuje ramki jako dane wejściowe i przesyła oktety

Fizyczna Przesyła/Odbiera strumień bitów

Specyfikuje:

-interfejsy fizyczne

-stany dla 0 i 1

-własności łącza

-rodzaje wejść/wyjść

Nośniki warstwy fizycznej

1.Kable Miedziane

-Koncentryk(CC) –do 10Mbps

a)10base2 – 30 PC – 185m

b)10base5 – 100 PC – 500m

-Skrętka(TP) – topologia drzewa, do 1Gbps, 100 miedzy aktywami

a)UTP – nieekranowany, tylko izolacja

b)STP – oplot metaliczny + izolacja

c)FTP- foliaALU+izolacja

d)S-FTP- oplot+FoliaALU+izolacja

e)S-STP- folia dla każdej pary+oplot metaliczny+izolacja

Kat 5 (D) 100m 100 Mbps

Kat 5e (De) 60m 1000 Mbps

Kat 6 (E) 100m 1000 Mbps

b-poma b-ziel

poma ziel

b-ziel b-poma

nieb Nieb

b-nieb b-nieb

ziel Poma

b-braz b-braz

braz Braz

2.Kable Światłowodowe(FO)(2 kanały RX i TX)

(odległość, odporność na zakłócenia, większe prędkości, brak emisji do zewnątrz)

-Wielomodowe(MM)

-125 um, 62.5/50 gruby szklany rdzeń, cienki szklany płaszcz

-odbicie wewnętrzne, rozmycie wraz z odległością

-2km dla 100Mbps

-500m dla 1Gbps

-bardziej giętki niż SM

-Jednomodowe(SM)

-125um, rdzeń 9

-do 100km

-droższe elementy aktywne

3.Fale Elektromagnetyczne

-fale radiowe

-światło podczerwone

-światło laserowe

Strumień danych

a)szorstkość(szorstki-krótkie aktywności, długie milczenia)

-mało efektywne wykorzystanie łącza ->dążenie do multipleksacji ruchu

b)asymetryczność

-Ruch w zależności od kierunku może przenosić bardzo różniące się między sobą ilości informacji

d)wrażliwość

-ruch jest wrażliwy na błędy(przekłamania). Stosowanie kodów nadmiarowych.

Sieć rozgłoszeniowa – typ sieci, w której każda maszyna widzi wszystkie transmitowane pakiety, niezależnie od ich miejsca przeznaczenia.

W danej chwili najwyżej jeden komputer ma możliwość korzystania z medium transmisyjnego.

Sieci Ethernetowe korzystają z adresów MAC w celu utoczenia transmisji w obrębie sieci. MAC to sprzętowy adres(należący do warstwy 2) karty sieciowej.

Topologia magistrali to komputery sieci podłączone do jednej magistrali. Zazwyczaj magistralę tę stanowi kabel koncentryczny. Zaczyna wychodzić z użycia. Używane kable koncentryczne. Dane wysyłane przez jeden z podłączonych do niej komputerów, pomimo że adresowane do jednego konkretnego, odbierane są przez wszystkie komputery podłączone do sieci. Powoduje to dość niskie bezpieczeństwo z uwagi na możliwość łatwego przechwycenia danych. Maksymalna przepustowość takiej sieci nie przekroczy 10 Mb/s. Bardzo niskie koszty montażu, łatwość w tworzeniu takiej sieci, oraz niewielka ilość zużywanego przewodu. Trudność w znajdowaniu usterek, tylko jedna transmisja danych w danym momencie oraz bardzo niska skalowalność.



Segment sieci w topologii szyny

-oba Konce koncentryka powinny być zakończone terminatorami o oporności 50 Ohm

-minimalna odległość miedzy punktami wpięcia wynosi 0,5 m

-każda stacja wpięta do koncentryka za pomocą trójnika BNC

-maksymalna długość segmentu wynosi 185m

W wypadku topologii gwiazdy, komputery nie są już bezpośrednio połączone ze sobą. Od każdego z komputerów (urządzeń) wychodzi kabel sieciowy. Kable sieciowe wszystkich urządzeń w sieci krzyżują się w jednym miejscu. W sieci tej, sygnały nie wędrują z komputera do komputera aby w końcu dostać się do komputera adresata. Tutaj dane wysyłane są bezpośrednio do koncentratora, który wysyła je dalej, ale bezpośrednio do odbiorcy. Dzięki temu sieć ma dość dużą przepustowość i osiąga wysokie transfery. Nie ma tu również problemu z awariami poszczególnych terminami. Awaria jednego komputera nie zakłóca pracy sieci. Podstawową wadą tego typu sieci jest dość duża ilość przewodów potrzebna do podłączenia wszystkich terminali.

W topologii pierścienia komputery połączone są w swego rodzaju pierścień, okrąg. Połączenie to odbywa się za pomocą jednego kabla (np. kabel koncentryczny lub światłowód), który nie ma swojego końca, tworzy zamknięty obieg. Sygnał wysłany w takiej pętli wędruje z jednego komputera na drugi. W ten sposób sieć ta gwarantuje praktycznie nieograniczony zasięg swojego działania. Cała transmisja danych w takiej sieci nazywana jest “przekazywaniem żetonu dostępu”. Komputer źródłowy, wysyła do innego komputera w sieci żeton będący pewną sekwencją bitów, która stanowi informację kontrolną. Żeton ten jest przekazywany z komputera na komputer w sieci. W momencie, gdy w końcu trafi on do komputera docelowego (odbiorcy) ten wysyła żeton do komputera źródłowego (adresata) z informacją o odebraniu danych. Sieć taka cechuje się dość dużymi osiągami w prędkościach oraz nie wymaga ogromnych ilości przewodów. Niestety jednak awaria jednego komputera z takiej sieci przerywa jej ciągłość co prowadzi do jej całkowitego przerwania pracy. W celach zapobiegawczych stosuje się pierścień dublujący, który przejmuje zadanie głównego w razie awarii.

Reguły dostępu do medium

a)deterministyczne

-TokenRing

-FDDI

b)Niedeterministyczne

-Ethernet

Błędy transmisji

-Kolizja lub runt

-Późna kolizja

-Jabber, długa ramka, błędy zakresu

-Krótka ramka, fragment kolizji

-Błąd FCS

-Błąd wyrównania

-Błąd zakresu

-Ghost lub jaber

HalfDuplex- tryb pracy, w którym urządzenie może w danej chwili albo nadawać, albo odbierać sygnały.

FullDuplex- tryb pracy, w którym urządzenie może w danej chwili nadawać oraz odbierać sygnały.

CSMA/CD (Carrier Sense Multiple Acces/Collision Detection) –algorytm wykonujący określone kroki w celu umożliwienia bezkolizyjnej komunikacji we współdzielonym kanale. Obejmuje:

-nasłuchiwanie przed rozpoczęciem komunikacji

-nasłuchiwanie w trakcie komunikacji

-wycofywanie

CSMA/CD wymaga od każdego urządzenia wykrywania możliwości wystąpienia kolizji przed zakończeniem transmisji.

Przykładowy przebieg algorytmu z wystąpieniem kolizji:

H(A)->Sprawdzenie zajętości sieci w celu wykrycia innych transmisji.

Jeżeli kanał jest wolny H(A) zaczyna transmisje.

H(A) nasłuchuje na szynie transmisyjnej.

H(B) sprawdza sieć w celu wykrycia zajętości i nie wykrywa żadnej transmisji.

H(B) rozpoczyna transmisje i nasłuchuje na szynie transmisyjnej.

Następuje kolizja pakietów z H(A) oraz H(B) .

H(A) oraz H(B) wykrywają kolizję i przesyłają sygnał zagłuszenia.

Oba H wycofują się i każdy po losowo wybranym czasie ponawia próbę.

Losowy czas na każdym z H zapobiegnie powtarzaniu się czynności w nieskończoność.

Ramka-struktura umożliwiająca przesyłanie danych w obszarze sieci. Jest nośnikiem na poziomie warstwy łącza. Ramka składa się z pól zawierających dane dzięki, którym możliwa jest wymiana danych pomiędzy stacjami w sieci, których długość wyrażana jest w oktetach (8bit).

Preambuła

(synchronizowanie transmisji) Ogranicznik ramki

(wskazuje początek ramki) Adres odbiorcy Adres nadawcy Pole długości

(określają ilość o w polu danych) Pole danych CRC

(do weryfikacji)

7o 1o 6o 6o 2o 46-1500 4o

Kolizja lub runt: równoczesna transmisja występująca przed upływem szczeliny czasowej.

Kolizja spóźniona: równoczesna transmisja występująca po upływie szczeliny czasowej.

Jabber, długa ramka i błędy zakresu: nadmiernie lub niedopuszczalnie długa transmisja.

Krótka ramka, fragment kolizyjny lub runt: niedopuszczalnie krótka transmisja.

Błąd FCS: uszkodzona transmisja.

Błąd wyrównania: niewystarczająca lub nadmierna liczba wysyłanych bitów (nie przekraczająca 8 bitów).

Błąd zakresu: niezgodność rzeczywistej i zgłoszonej liczby oktetów w ramce.

Ghost lub jabber: nadzwyczaj długa preambuła lub zdarzenie zakłócania.

MAC (Media Access Control) – adres w zapisie HEX umieszczany w ramce wskazuje nadawcę oraz odbiorcę. Składa się z 48b z czego pierwsze 24 to ID producenta, a pozostałe to SN.

Urządzenia warstwy 2

-Karty sieciowe

-Bridge

-Switche

Karta sieciowa – urządzenie będące interfejsem pomiędzy medium transmisyjnym sieci a komputerem.

Switch(Przełącznik)-urządzenie sieciowe działające funkcjonalnie jak koncentrator-urządzenie, w którym zbiegają się kable od stacji roboczych i innych elementów aktywnych sieci. Pełni on funkcje regeneratora i repetera sygnału oraz dodatkowo, wykorzystując dane zawarte w warstwie danych optymalizuje prace sieci i pozwala wykozystac pełną szybkość jaką oferuje medium transmisyjne.

Tryby pracy przełącznika

Cut-trouch – po otrzymaniu adresu MAC miejsca docelowego ramki już rozpoczyna się jej nadawanie. Jest to najszybsza metoda, ale nie sprawdza się wystąpienia kolizji ani niepoprawności ramki.

Store-and-forward – przełącznik pobiera całą ramkę, analizuje jej poprawność i przesyła dalej. Wprowadza to największe opóźnienie.

Fragment-free- ramka jest przesyłana do portu docelowego dopiero po otrzymaniu 64bajtów, zapewniając brak kolizji z inną ramką.

Protokół TCP/IP –oparty na modelu składającym się z 4 warstw protokół używany do oznaczania dwóch rożnych protokołów, które działają na dwóch różnych warstwach modelu OSI. Jest protokołem rutowanym w sieci.

TCP – strumieniowy protokół komunikacji między dwoma komputerami. W przeciwieństwie do UDP, gwarantuje wyższym warstwom komunikacyjnym dostarczenie wszystkich pakietów w całości, z zachowaniem kolejności i bez duplikatów. Zapewnia to wiarygodne połączenie kosztem większego narzutu w postaci nagłówka i większej liczby przesyłanych pakietów. W modelu OSI TCP odpowiada warstwie transportowej. Wykorzystywany jest przez aplikacje wymagające niezawodności transmisji.

Pomiędzy warstwami TCP dwóch komunikujących się węzłów tworzony jest wirtualny kanał połączeniowy powiązany z protokołem transportowym. Używanie wiąże się z większym wykorzystaniem łącza oraz zasobów hosta.

Funkcje protokołu TCP:

-sprawdzanie błędów

-kontrola przepływu danych

-sprawdzanie stanu oraz synchronizacji przesyłania pakietów

UDP- jeden z podstawowych protokołów internetowych. Umieszcza się go w warstwie czwartej modelu OSI. Jest to protokół bezpołączeniowy, więc nie ma narzutu na nawiązywanie połączenia i śledzenie sesji (w przeciwieństwie do TCP). Nie ma też mechanizmów kontroli przepływu i retransmisji. Korzyścią płynącą z takiego uproszczenia budowy jest większa szybkość transmisji danych i brak dodatkowych zadań, którymi musi zajmować się host posługujący się tym protokołem. Z tych względów UDP jest często używany w takich zastosowaniach jak wideokonferencje, strumienie dźwięku w Internecie i gry sieciowe, gdzie dane muszą być przesyłane możliwie szybko, a poprawianiem błędów zajmują się inne warstwy modelu OSI. Przykładem może być VoIP lub protokół DNS. Kolejną cechą odróżniającą UDP od TCP jest możliwość transmisji do kilku adresów docelowych na raz (tzw. multicast).

Port – pojęcie związane z protokołami używanymi w Internecie do identyfikowania procesów działających na odległych systemach. Numery portów reprezentowane są przez liczby naturalne. Niektóre numery portów (od 0 do 1023) są określone jako ogólnie znane, (ang.) well known ports, i zarezerwowane na standardowo przypisane do nich usługi, takie jak np. WWW czy poczta elektroniczna. Dzięki temu można identyfikować nie tylko procesy, ale ogólnie znane usługi działające na odległych systemach. Różne usługi mogą używać tego samego numeru portów, pod warunkiem że korzystają z innego protokołu (TCP lub UDP), chociaż istnieją także usługi korzystające jednocześnie z jednego numeru portu i obu protokołów. Przykładem takiej usługi jest DNS - korzysta z portu 53 za pomocą TCP i UDP jednocześnie. Zdarza się także, że jedna usługa może korzystać z dwóch różnych portów używanych do innych zadań, jak to jest w przypadku FTP czy SNMP.

FTP – 21 / HTTP – 80 / HTTPS – 443 / IMAP – 143 / POP3 – 110 / Telnet – 23

Gniazdo- Kombinacja adresu IP i numeru portu pozwalająca jednoznacznie identyfikować proces w całym Internecie.

Warstwa internetowa – obejmuje wszystkie protokoły i procedury niezbędne do przesyłania danych pomiędzy systemami końcowymi w wielu sieciach.

Router (ruter, trasownik) – urządzenie sieciowe pracujące w trzeciej warstwie modelu OSI. Służy do łączenia różnych sieci komputerowych (o różnych klasach, maskach itd.), pełni więc rolę węzła komunikacyjnego. Na podstawie informacji zawartych w pakietach TCP/IP jest w stanie przekazać pakiety z dołączonej do siebie sieci źródłowej do docelowej, rozróżniając ją spośród wielu dołączonych do siebie sieci. Proces kierowania ruchem nosi nazwę trasowania, routingu lub rutowania.

Datagram IP

Protokoły kontrolne - protokoły zaprojektowane w celu dostarczania odpowiednich narzędzi służących do kontroli podsieci IP.

Address Resolution Protocol (ARP) - protokół sieciowy umożliwiający konwersję logicznych adresów warstwy sieciowej na fizyczne adresy warstwy łącza danych(2). Protokół ten nie ogranicza się tylko do konwersji adresów IP na adres MAC stosowany w sieciach Ethernet, lecz jest także wykorzystywany do odpytywania o adresy fizyczne stosowane w technologiach Token Ring czy FDDI. Protokół ARP opisuje także zachowanie systemu operacyjnego, który zarządza tzw. tablicą ARP. Znajdują się w niej pary: adres warstwy sieciowej i przypisany do niego adres fizyczny. Zapobiega to wysyłaniu zapytania ARP przy próbie wysłania każdego pakietu do hosta znajdującego się w tej samej sieci.

Protokół ARP nie jest niezbędny do działania sieci komputerowych, może zostać zastąpiony przez statyczne wpisy w tablicy ARP, przyporządkowujące adresom warstwy sieciowej adresy fizyczne na stałe.

Algorytm ARP

W celu ustalenia adresu fizycznego hosta docelowego wysyłane jest żądanie ARP do wszystkich hostów znajdujących się w tej samej sieci. Zapytanie zawiera adres logiczny hosta docelowego oraz adres fizyczny hosta wysyłającego zapytanie. Na zapytanie odpowiada tylko ten host, którego adres logiczny jest identyczny z adresem logicznym umieszczonym w zapytaniu. Odpowiedź zawiera adres logiczny i fizyczny hosta docelowego.

Odebrany adres fizyczny zapisywany jest w tablicy ARP i parowany z adresem logicznym hosta docelowego, dzięki czemu nie będzie wymagane ponowne odkrywanie adresu fizycznego do momentu wyczyszczenia tablicy. Często po podłączeniu do sieci host rozsyła zapytanie ARP o własny adres. Ma to na celu dwie rzeczy: ustalenie czy w sieci jest już podpięty system dysponującym identycznym adresem. Po drugie: każdy host obecny w danej sieci może zapisać w pamięci podręcznej dane o nowym hoście przyłączonym do sieci.

RARP (ang. Reverse Address Resolution Protocol) - protokół komunikacyjny przekształcania 48-bitowych fizycznych adresów MAC na 32-bitowe adresy IP w komputerowych sieciach typu Ethernet.

Protokół ten stosowany jako najprostszy możliwy sposób statycznego przydzielania adresów IP. Zwykle komputer wysyłający zapytanie nie ma jeszcze swojego adresu, a komputer odpowiadający udziela mu informacji, którego adresu powinien zacząć używać. Obecnie częściej stosowane są protokoły oparte na UDP, czyli BOOTP i jego następca DHCP.

Jego istota polega na tym, że pytający wysyła do sieci zapytanie:

Jaki jest adres IP dla danego adresu MAC aa:bb:cc:dd:ee:ff ?

Inny komputer odpowiada:

Komputer mający adres MAC aa:bb:cc:dd:ee:ff ma adres IP 1.2.3.4

ICMP (ang. Internet Control Message Protocol) – protokół warstwy sieciowej OSI/TCP/IP wykorzystywany w diagnostyce sieci oraz trasowaniu. Pełni przede wszystkim funkcję kontroli transmisji w sieci. Gdy coś dzieje się nie tak w warstwie internetowej, role narzędzia do rozwiązywania problemów odgrywa protokół komunikacyjny zarządzania siecią Internet. Protokół ICMP jest zestawem komunikatów, przesyłanych w datagramach IP i zdolnych do zgłaszania błędów w dostarczaniu innych datagramów IP.

Sytuacje, z powodu których bramy lub hosty mogą wysyłać komunikaty ICMP:

Gdy router lub host jest zbyt obciążony, by móc przyjąć do buforów kolejne data gramy.

Gdy router lub host znajduje lepsza trasę do miejsca przeznaczenia.

Gdy host docelowy jest nieosiągalny.

Gdy host lub brama przetwarza pakiet o TTL równym 0 hopów.

Adres IP – liczba nadawana interfejsowi sieciowemu, grupie interfejsów (broadcast, multicast), bądź całej sieci komputerowej opartej na protokole IP, służąca identyfikacji elementów warstwy trzeciej modelu OSI – w obrębie sieci oraz poza nią (tzw. adres publiczny).

Adres IP nie identyfikuje jednoznacznie fizycznego urządzenia (może się dowolnie często zmieniać, również kilka urządzeń może dzielić jeden publiczny adres IP). W najpopularniejszej wersji czwartej (IPv4) jest zapisywany zwykle w podziale na oktety w systemie dziesiętnym oddzielane kropkami)lub rzadziej szesnastkowym bądź dwójkowym oddzielane dwukropkami bądź spacjami.

Klasy adresów IP

Klasa A - S.H.H.H - 1.0.0.0 - 127.0.0.0

Do identyfikacji sieci wykorzystany jest wyłącznie pierwszy oktet, pozostałe trzy stanowią adres hosta. Liczby 0 i 127 są zarezerwowane, dlatego ostatecznie dostępnych jest 126 adresów sieci i ponad 16 milionów (2^24) numerów hostów.

Uwaga! Należące do klasy A adresy sieciowe 127.0.0.1 – 127.255.255.254 są zarezerwowane na potrzeby testowania pętli zwrotnej. Urządzenia sieciowe korzystają z nich, aby wysłać pakiet do samych siebie.

Klasa B - S.S.H.H - 128.0.0.0 - 191.255.0.0

Pierwsze dwa oktety opisują adres sieci tej klasy, pozostałe określają adres hosta. Daje tym samym do dyspozycji ponad 16 tysięcy (2^14) adresów sieci i ponad 65 tysięcy (2^16) hostów.

Klasa C - S.S.S.H - 192.0.0.0 - 223.255.255.0

Trzy pierwsze bajty opisują adres sieci, dając ostatecznie ponad 2 miliony (2^21) adresów sieci. Ostatni oktet przeznaczony jest do określenia adresu hosta w sieci. Maksymalnie może być ich 254.

Klasa D - 224.0.0.0 - 239.255.255.255

Ta przestrzeń adresowa została utworzona w celu umożliwienia rozsyłania grupowego przy użyciu adresów IP.

Klasa E - 240.0.0.0 - 248.255.255.255

Adresy tej klasy zostały zarezerwowane przez Internet Engineering Task Force (IETF) do potrzeb badawczych i nie są dostępne do publicznego użytku.

Podział adresów na klasy jest przestarzały. Obecnie stosowana jest technologia Classless Inter-Domain Routing (CIDR).

Adresy IP identyfikują:

-adres sieci (zera w części na hosty)

-adres hosta

Jeżeli hosty posiadają różne adresy sieci, maski to musimy w celu połączenia 2 segmentów sieci wykorzystać router.

Adres rozgłoszeniowy -W adresowaniu IP w sieciach lokalnych zarezerwowano jeden adres jako rozgłoszeniowy w celu przesyłania wiadomości do wszystkich hostów danej sieci. Aby wyznaczyć adres broadcast dla danej sieci, trzeba znać adres IP hosta oraz maskę podsieci. Załóżmy, że adres IP to 212.51.219.32, zaś maska podsieci to 255.255.255.192.

Używając logicznych wyrażeń bitowych operację tę możemy zapisać jako:

broadcast = adresIP Alternatywa ( ! maska )

Zatem adres broadcast to 212.51.219.63.

Maska podsieci(ang. subnetwork mask) – liczba służąca do wyodrębnienia w adresie IP części sieciowej od części hosta. Po wykonaniu iloczynu bitowego maski i adresu IP komputera otrzymujemy adres IP całej sieci, do której należy ten komputer. Model adresowania w oparciu o maski adresów wprowadzono w odpowiedzi na niewystarczający, sztywny podział adresów na klasy A, B i C. Pozwala on w elastyczny sposób dzielić duże dowolne sieci (zwłaszcza te o ograniczonej puli adresów IP) na mniejsze podsieci. Maska adresu jest liczbą o długości adresu (32 bity dla IPv4 lub 128 bitów dla IPv6), składającą się z ciągu bitów o wartości 1, po których następuje ciąg zer. Wartość maski musi być znana wszystkim routerom i komputerom znajdującym się w danej podsieci. W wyniku porównywania maski adresu (np. 255.255.255.0) z konkretnym adresem IP (np. 192.180.5.22) router otrzymuje informację o tym, która część identyfikuje podsieć (w tym przypadku 192.180.5), a która dane urządzenie (.22). Często można spotkać się ze skróconym zapisem maski, polegającym na podaniu liczby bitów mających wartość 1. Najczęściej spotykany jest zapis, w którym podawany jest adres sieci, a następnie po oddzielającym ukośniku skrócony zapis maski. Dla powyższego przykładu byłoby to: 192.180.5.0/24. Zapis ten jest także zapisem stosowanym w IPv6 (nie stosuje się tutaj pełnego zapisu maski).

Maski standardowe

Klasa A – 255.0.0.0

Klasa B – 255.255.0.0

Klasa C- 255.255.255.0

Przeliczanie masek

Liczba dostępnych adresów hostów jest o 2 mniejsza (odpadają na adres sieci i broadcast) od unikalnych liczb określonych maską: n(l hostow)=2^(32-CIDR)-2

Dzielenie na podsieci

.0 -> 1 siec (.1-.254)

.128 -> 2 sieci (.1-.126,.129-.254)

.192 -> 4 sieci (.1-.62,.65-.126,.129-.190,.193-.254)

.224 -> 8 sieci

.240 ->16 sieci

.248 -> 32 sieci

.252 -> 64 sieci



Trasowanie (ang. routing, pol. ruting, routowanie) – wyznaczanie trasy i wysłanie nią pakietu danych w sieci komputerowej. Urządzenie węzłowe, w którym kształtowany jest ruch sieciowy, nazywane jest routerem. Zadaniem routerów jako węzłów pośrednich między nadawcą a odbiorcą jest przesłanie pakietów do celu po jak najlepszej ścieżce. Typowy router bierze pod uwagę tylko informacje z nagłówka IP, czyli sprawdza tylko informacje z warstwy sieci (trzeciej) modelu OSI. Obowiązkiem routera IP przy przekazywaniu pakietu dalej do celu jest obniżenie o jeden wartości TTL (czas życia). Datagram IP, który trafia do routera z wartością 0 w polu TTL zostanie utracony, a do źródła router odsyła datagram ICMP z kodem TTL Exceeded. Routery utrzymują tablice trasowania, na podstawie których kierują pakiety od określonych nadawców do odbiorców, bądź kolejnych routerów. Tablica może być budowana statycznie (trasowanie statyczne) lub dynamicznie (protokoły trasowania dynamicznego, takie jak RIP, IGRP). Trasowanie ma na celu możliwie najlepiej (optymalnie) dostarczyć pakiet do celu. Pierwotnie jedynym kryterium wyboru było posiadanie jak najdokładniejszej trasy do celu, ale obecnie protokoły trasowania mogą uwzględniać podczas wyboru trasy również takie parametry jak priorytet pakietu, natężenie ruchu w poszczególnych segmentach sieci itp. W przypadku trasowania brzegowego w Internecie wybór trasy jest silnie związany z polityką poszczególnych dostawców (i zawartymi między nimi umowami o wymianie ruchu) i bywa daleki od optymalnego.

CIDR Maska Liczba dostępnych adresów hostów

/1 128.0.0.0 2147483646

/2 192.0.0.0 1073741822

/3 224.0.0.0 536870910

/4 240.0.0.0 268435454

/5 248.0.0.0 134217726

/6 252.0.0.0 67108862

/7 254.0.0.0 33554430

/8 255.0.0.0 16777214

/9 255.128.0.0 8388606

/10 255.192.0.0 4194302

/11 255.224.0.0 2097150

/12 255.240.0.0 1048574

/13 255.248.0.0 524286

/14 255.252.0.0 262142

/15 255.254.0.0 131070

/16 255.255.0.0 65534

/17 255.255.128.0 32766

/18 255.255.192.0 16382

/19 255.255.224.0 8190

/20 255.255.240.0 4094

/21 255.255.248.0 2046

/22 255.255.252.0 1022

/23 255.255.254.0 510

/24 255.255.255.0 254

/25 255.255.255.128 126

/26 255.255.255.192 62

/27 255.255.255.224 30

/28 255.255.255.240 14

/29 255.255.255.248 6

/30 255.255.255.252 2



Przesył danych za pomocą routerów.

-enkapsulacja danych w warstwie 3

-transmisja po LAN do routera sieci adresata

-router odczytuje z datagramu adres W3 i na podstawie tabeli routingu umieszcza pakiet w kolejce do wysłania

-przesył pakietu do routera sieci docelowej

-odczytanie adresu W3 i umieszczenie w kolejce do wysłania do docelowego hosta

-host otrzymuje pakiet

Procesy routingu:

a)dostarczenie datagramu

-transmisja datagramu IP pomiędzy 2 hostami tej samej sieci nie wykorzystuje mechanizmu routerów

-nadawca inkapsuluje datagram w ramce W1, wiąże docelowe IP z adresem MAC, przesyła bezpośrednio do odbiorcy.

-każdy z hostów znajdujących się w 1 sieci może osiągnąć wszystkie inne bez wykorzystania routingu.

b)routing bezpośredni

Hosty LAN’u 1 są wstanie komunikować się z Hostami LAN’u 2 bez wykorzystania routingu jeśli obsługuje je jeden router. Ustawiamy dla każdego lanu interfejs oraz konfigurujemy hosty za pomocą adresu IP i gateway’a

c)routing pośredni

Nadawca musi identyfikować router do którego data gram zostanie wysłany. Datagram przesyłany jest miedzy routerami dopóki nie trafi do routera, który może dostarczyć go do odbiorcy. Niezbędne jest dodanie instrukcji routingu na routerach aby znały trasę przesyłu.

Protokoly routingu IP

a)statyczne ścieżki

-ręczne wprowadzanie ścieżek dla każdej z sieci na routerach

-ogromne nakłady pracy dla rozbudowanych sieci

b) IP RIP

Routing Information Protocol

-poszukuje routerów co 30s przy pomocy komunikatu rozgłoszeniowego.

-jeżeli nie ma odpowiedz w ciągu 180s trasa oznaczana jest jako nieosiągalna

-po 300s ścieżka jest usuwana z bazy

-Routery wymieniają się swoimi tablicami routingu co określone odstępy czasu (standardowo co 30 sekund)

-Metryką trasy w protokole RIP jest ilość hopów, jaką musi pokonać pakiet, by dotrzeć do sieci/hosta (15 = trasa nieosiągalna)

-„Głośny” protokół - co 30 sekund wymieniamy pełne tablice

-nie przesyła informacji o masce podsieci

-może zarządzać maksymalnie 16 węzłami w danej sekwencji

c)OSPF

-trasowanie oparte jest na informacji o stanie polaczenia (o jego koszcie)

-pozwala na grupowanie sieci w zbiory, pozwalając na zminimalizowanie ruchu trasowania

-każdy z routerów posiada identyczna bazę danych

- Metryką jest koszt trasy

100Mbit/s = 10

1Gbit/s = 1

- Szybka konwergencja i relatywnie małe wymagania

- Hierarchiczny podział na obszary

d) IP RIP v2

-to samo co V1 +

-umożliwia wymianę maski podsieci oraz informacji o następnym skoku

NAT ( Network Address Translation)– technika przesyłania ruchu sieciowego poprzez router, która wiąże się ze zmianą źródłowych lub docelowych adresów IP, zwykle również numerów portów TCP/UDP pakietów IP podczas ich przepływu. Zmieniane są także sumy kontrolne (tak IP jak i TCP/UDP), aby potwierdzić wprowadzone zmiany. Większość systemów korzystających z NAT ma na celu umożliwienie dostępu wielu hostom w sieci prywatnej do internetu przy wykorzystaniu pojedynczego publicznego adresu IP. Niemniej NAT może spowodować komplikacje w komunikacji między hostami i może mieć pewien wpływ na osiągi.

Wraz ze wzrostem liczby komputerów w Internecie, zaczęła zbliżać się groźba wyczerpania puli dostępnych adresów internetowych IPv4. Aby temu zaradzić, lokalne sieci komputerowe, korzystające z tzw. adresów prywatnych, mogą zostać podłączone do Internetu przez jeden komputer (lub router), posiadający mniej adresów internetowych niż komputerów w tej sieci.

Router ten, gdy komputery z sieci lokalnej komunikują się ze światem, dynamicznie tłumaczy adresy prywatne na adresy zewnętrzne, umożliwiając użytkowanie Internetu przez większą liczbę komputerów niż posiadana liczba adresów zewnętrznych.

Korzystanie z Internetu poprzez NAT ma pewne wady:

-nie można na własnym komputerze uruchomić serwera dostępnego w Internecie bez zmian wymagających interwencji administratora,

-utrudnione korzystanie z sieci P2P i bezpośrednie wysyłanie plików,

-utrudnione korzystanie z gier sieciowych z osobami spoza sieci,

Do zalet należą:

-większa anonimowość, gdyż serwery, z którymi nastąpiło połączenie nie mogą zidentyfikować konkretnego hosta po samym adresie IP,

-możliwość dostępu do Internetu dla większej ilości komputerów niż ilość dostępnych publicznych adresów IP.

Rodzaje NAT:

a)statyczny NAT

-jedno prywatne IP – jedno publiczne IP

-wszystkie możliwe sesje do hosta mogą pochodzić z globalnego Internetu

b)dynamiczny NAT

-wiele prywatnych IP – wiele publicznych IP

c)statyczny ENAT

-1 priv IP +nr portu – 1 glob IP +nr portu

-pozwala serwerowi sieci prywatnej na bycie dostępnym z globalnego Internetu.

d)dynamiczny ENAT

-all priv IP – 1 glob IP

-sesje oraz strumienie mogą pochodzić tylko od prywatnej sieci

e)interfejsowy ENAT

-all priv IP – 1 glob DYNAMIC IP

-publiczne IP dynamicznie uzyskiwane od ISP poprzez dostępny interface

DHCP (ang. Dynamic Host Configuration Protocol) – protokół dynamicznego konfigurowania węzłów – protokół komunikacyjny umożliwiający komputerom uzyskanie od serwera danych konfiguracyjnych, np. adresu IP hosta, adresu IP bramy sieciowej, adresu serwera DNS, maski podsieci. W kolejnej generacji protokołu IP, czyli IPv6, jako integralną część dodano nową wersję DHCP, czyli DHCPv6.



Protokół DHCP opisuje trzy techniki przydzielania adresów IP:

-przydzielanie ręczne oparte na tablicy adresów MAC oraz odpowiednich dla nich adresów IP. Jest ona tworzona przez administratora serwera DHCP. W takiej sytuacji prawo do pracy w sieci mają tylko komputery zarejestrowane wcześniej przez obsługę systemu.

-przydzielanie automatyczne, gdzie wolne adresy IP z zakresu ustalonego przez administratora są przydzielane kolejnym zgłaszającym się po nie klientom.

-przydzielanie dynamiczne, pozwalające na ponowne użycie adresów IP. Administrator sieci nadaje zakres adresów IP do rozdzielenia. Wszyscy klienci mają tak skonfigurowane interfejsy sieciowe, że po starcie systemu automatycznie pobierają swoje adresy. Każdy adres przydzielany jest na pewien czas. Taka konfiguracja powoduje, że zwykły użytkownik ma ułatwioną pracę z siecią.

Parametry zarządzane przez DHCP

-adres IP

-maska podsieci

-MTU

-Adres IP gateway’a

-adresy IP DNS’ow

-czas dzierżawy adresu

-statyczne trasy routingu

Unicast - to rodzaj transmisji, w której dokładnie jeden punkt wysyła pakiety do dokładnie jednego punktu - istnieje tylko jeden nadawca i tylko jeden odbiorca. Wszystkie karty Ethernet posiadają zaimplementowany ten rodzaj transmisji. Oparte na nim są podstawowe protokoły takie jak TCP, HTTP, SMTP, FTP i telnet i częściowo ARP, który pierwsze żądanie wysyła zawsze korzystając z transmisji broadcast.

Multicast to sposób dystrybucji informacji, dla którego liczba odbiorców może być dowolna. Odbiorcy są widziani dla nadawcy jako pojedynczy grupowy odbiorca (host group) dostępny pod jednym adresem dla danej grupy multikastowej. W transmisji multicastowej po każdym łączu sieciowym dystrybuowana informacja jest przekazywana jednokrotnie, podczas gdy w unicastowej dystrybucji informacji do n odbiorców po niektórych łączach biorących udział w transmisji komunikat może być w najgorszym razie przesyłany nawet n razy. W transmisji multicastowej unika się wielokrotnego wysyłania tego samego komunikatu do wielu odbiorców. Największe oszczędności łącza multicast oferuje tam gdzie rozmiary komunikatów są największe, czyli na przykład w transmisjach telekonferencyjnych, przesyłaniu sygnału radiowego i telewizyjnego.

Cechy sesji:

a)Sposób prowadzenia komunikacji

-two way alternate communication – 2 kierunkowa naprzemienna

-rwo way simultaneous communications – 2 kierunkowa równoczesna

b)Separacja dialogu

-obejmuje rozpoczęcie, zarządzanie oraz zakończenie komunikacji

c) Uwierzytelnianie

Do warstwy sesji zaliczamy:

-RPC- Remote Procedures Call

-X-Window

-ASP – Appe Talk Session Protocol

-DNA SCP – Digital Network Architecture Session Control

1 MiB = 1024 KiB = 1024*1024 B = 1 048 576 B

1 megabit = 1000 kilobit = 1000000 bitów

1 B = 8b



SWITCHE

Poziomy uprawnień

-User –odczyt niektórych informacji

-Manager – może konfigurować urządzenie jeśli poziom SecurityMode jest wyłączony

-SecurityOfficer – ma dostęp do wszystkich poleceń jeśli poziom SecurityMode jest włączony

Architektura pamięci

-FLASH- system plików, OS, config files, help files, system files

-DRAM – pamięć używana przez CPU, aktualna konfiguracja urządzenia, tracona przy braku zasilania

-EPROM – oprogramowanie fabryczne – tylko do odczytu

Polecenia wprowadzane przez CLI SA od razu wykonywane i zapisywane w Dynamic Configuration

Rodzaje restartu urządzeń

-RESTART ROUTER / RESTART SWITCH – przeładowuje konfiguracje i czyści DRAM

-RESTART REBOOT – przeładowuje oprogramowanie, łaty i konfiguracje (ponowne uruchomienie urzadzenia)

Switch – urządzenie W2, umożliwią polaczenie wieku segmentów fizycznych w jedną duża sieć rozgłoszeniową. Realizują transmisje ramek miedzy przyłączonymi sieciami. Obsługują też mechanizmy filtrowania i sprawdzania poprawności.

Używane do:

-zwiększenia fizycznego rozmiaru sieci i ilości hostów do niej przyłączonych

-podłączanie sieci lokalnych bazujących na rożnych mediach fizycznych

-poprawienia wykorzystania przepustowości oraz filtrowania

Port przełącznika- unikalnie identyfikowany port powiązany z fizycznym interfejsem, dostępny dla transmisji i odbioru ramek. Reset portu porzuca wszystkie kolejkowane ramki i powoduje restart autonegocjacji prędkości oraz trybu duplex

Port mirroring – funkcjonalność pozwalająca aby transmisja przechodząca(RX, TX, BOTH) przez określony port przełącznika była dodatkowo powielona na inny port. Port (mirror port), do którego przychodzą skopiowane dane nie może znajdować się w żadnym VLAN’ie, gdyż nie uczestniczy w normalnej pracy przełącznika.

Port security – funkcjonalność pozwalająca kontrolować stacje podłączone do każdego portu przełącznika przez analizę uprawnień na podstawie adresu MAC. Jeżeli funkcja ta jest włączona to switch uczy się dla każdego portu adresu MAC hosta i nie zezwala na polaczenie do portu stacjom z innym adresem MAC.

Filtrowanie warstwy 2 – przełącznik przechowuje tablice Forwarding Database, w której poszczególne wpisy określają czy ramki mogą zostać przekazane na podstawie nr portu, adresów MAC nadawcy/odbiorcy.

Port trunking – funkcjonalność, w której grupy portów połączonych ze sobą umożliwiają uzyskanie jednego polaczenia logicznego przy użyciu 2 lub więcej portów fizycznych w celu zwiększenia przepustowości i bezpieczeństwa polaczenia.



Virtualna sieć lokalna (VLAN) – sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej. Do tworzenia VLAN-ów wykorzystuje się konfigurowalne lub zarządzalne przełączniki, umożliwiające podział jednego fizycznego urządzenia na większą liczbę urządzeń logicznych, poprzez separację ruchu pomiędzy określonymi grupami portów. Komunikacja między VLAN-ami jest możliwa, gdy w VLAN-ach tych partycypuje port należący do routera lub z wykorzystaniem przełączników warstwy trzeciej.

W przełącznikach konfigurowalnych zwykle spotyka się tylko najprostszą formę VLAN-ów, wykorzystującą separację grup portów. W przełącznikach zarządzalnych zgodnych z IEEE 802.1Q możliwe jest znakowanie ramek (tagowanie) poprzez doklejenie do nich informacji o VLAN-ie, do którego należą. Dzięki temu możliwe jest transmitowanie ramek należących do wielu różnych VLAN-ów poprzez jedno fizyczne połączenie (trunking). VLAN’y rozdzielają domeny rozgłoszeniowe, pozwalają na podział sieci na segmenty poprawiając wydajność i bezpieczeństwo. Występują ograniczenia we współdzieleniu zasobów sieciowych.

Znakowanie portów w VLAN

a) port nieznakowany (untagged) –może należeć tylko do jednego VLAN’u, urządzenia podłączone do takiego portu nie mogą komunikować się z urządzeniami spoza tego VLAN’u.

b) port znakowany (tagged) – może przenoscic ruch dla wielu VLAN’’ow, uzywane przy połączeniu point-2-point miedzy dwoma Switchami, R-S, S-Serv

RUCH JEST PRZELACZANY NA W2 WEWNATRZ VLAN’U

RUCH JEST PRZELACZANY NA W3 MIEDZY VLAN’AMI

Prywatny VLAN (port protected VLAN) –VLAN, który zawiera porty zabezpieczające komunikację pomiędzy wszystkimi na W2. Żaden z hostów nie ma dostępu do innych użytkowników, ale każdy użytkownik ma dostęp do innej sieci (np. Internetu). Porty, które należą do PVLAN mogą być oznaczone jako private lub uplink. Porty prywatne nie mogą komunikować się z innymi portami prywatnymi, ale mogą komunikować się z portem uplink.

Jeżeli w sieci nie ma routera to jest ona pozornie aktywna –nie jest możliwy routing do innych sieci IP.

Każdy z komputerów znajdujących się w sieci może osiągnąć wszystkie inne komputery z tej sieci bez wykorzystywania routingu.

Przełącznik L3 routują IP pomiędzy VLAN’ami tak jak pomiędzy interfejsami fizycznymi.

VLAN’y na tym samym switchu L3 nie wymagają dodatkowych wpisów statycznych do tablicy routingu – nazywamy to direct routing.

Tablica trasowania – w protokołach trasowania sieci komputerowych spis wskazujący, przez które sąsiadujące z routerem węzły sieci prowadzi trasa do węzłów oddalonych. Tablica trasowania jest utrzymywana niezależnie przez każdy router. W sieciach rozległych dane przesyłane są z jednego węzła do konkretnego drugiego, a nie do wszystkich. Po drodze napotykają na wiele węzłów pośredniczących, mogą też być transmitowane wieloma różnymi trasami. Router jest jednym z tych węzłów, który ma za zadanie przesłać dane najlepszą (najszybszą) trasą. Do kierowania danych routery używają tzw. tablicę trasowania, zawierającą informacje o sąsiadujących routerach i sieciach lokalnych. Służy ona do wyszukania optymalnej drogi od obecnego położenia pakietu do innego miejsca w sieci. Tablica trasowania może być statyczna lub dynamiczna, zależy to od postawionych wymagań. Statyczna tablica trasowania musi być aktualizowana ręcznie przez administratora sieci, dynamiczna natomiast jest aktualizowana automatycznie przez oprogramowanie sieciowe. Trasowanie polega na wyszukiwaniu w tablicy odpowiedniej informacji dot. miejsca docelowego pakietu, tzn. trasy jaką ma przebyć dany pakiet, aby dotrzeć do celu. Każdy wpis trasy musi zawierać dwie informacje:

adres docelowy – to jest adres sieci, z jaką router jest bezpośrednio połączony; czasem może się zdarzyć, ze urządzenie zna kilka tras dojścia do danej sieci (w takim przypadku wyboru tej najwłaściwszej dokonuje się za pomocą metryk, ale to już temat dotyczący protokołów trasowania);

wskaźnik do celu – informacja, czy router jest bezpośrednio podłączony do sieci docelowej, lub adres innego routera bezpośrednio połączonego z szukaną siecią (tzw. "next-hop router");

Istnieją dwa sposoby dobierania trasy: klasowy (protokół RIP) oraz bezklasowy (protokoły: RIPv2, RIPng, Classless Routing).

Kryteria wyboru trasy

a) metryka – opiera się na pomiarze prędkości tras

b) preferencje

c) maska sieci

d) strategia

Zapora sieciowa (ang. firewall) – jeden ze sposobów zabezpieczania sieci i systemów przed intruzami.

Termin ten może odnosić się zarówno do dedykowanego sprzętu komputerowego wraz ze specjalnym oprogramowaniem, jak i do samego oprogramowania blokującego niepowołany dostęp do komputera, na którego straży stoi. Pełni rolę połączenia ochrony sprzętowej i programowej sieci wewnętrznej LAN przed dostępem z zewnątrz tzn. sieci publicznych, Internetu, chroni też przed nieuprawnionym wypływem danych z sieci lokalnej na zewnątrz. Często jest to komputer wyposażony w system operacyjny (np. Linux, BSD) z odpowiednim oprogramowaniem. Do jego podstawowych zadań należy filtrowanie połączeń wchodzących i wychodzących oraz tym samym odmawianie żądań dostępu uznanych za niebezpieczne.

Najczęściej używanymi technikami obrony są:

-Filtrowanie pakietów, czyli sprawdzanie pochodzenia pakietów i akceptowanie pożądanych (np. SPI).

-Stosowanie algorytmów identyfikacji użytkownika (hasła, cyfrowe certyfikaty).

-Zabezpieczanie programów obsługujących niektóre protokoły (np. FTP, TELNET).



Bardzo ważną funkcją zapory ogniowej jest monitorowanie ruchu sieciowego i zapisywanie najważniejszych zdarzeń do dziennika (logu). Umożliwia to administratorowi wczesne dokonywanie zmian konfiguracji. Poprawnie skonfigurowany firewall powinien odeprzeć wszelkie znane typy ataków. Na zaporze można zdefiniować strefę ograniczonego zaufania – podsieć, która izoluje od wewnętrznej sieci lokalne serwery

Demilitarized zone (DMZ), strefa zdemilitaryzowana bądź ograniczonego zaufania – jest to wydzielany na zaporze sieciowej (ang. firewall) obszar sieci komputerowej nie należący ani do sieci wewnętrznej (tj. tej chronionej przez zaporę), ani do sieci zewnętrznej (tej przed zaporą; na ogół jest to Internet). W strefie zdemilitaryzowanej umieszczane są serwery "zwiększonego ryzyka włamania", przede wszystkim serwery świadczące usługi użytkownikom sieci zewnętrznej, którym ze względów bezpieczeństwa nie umożliwia się dostępu do sieci wewnętrznej (najczęściej są to serwery WWW i FTP). W strefie zdemilitaryzowanej umieszczane są także te serwery usług świadczonych użytkownikom sieci wewnętrznej, które muszą kontaktować się z obszarem sieci zewnętrznej (serwery DNS, proxy, poczty i inne), oraz serwery monitorujące i reagujące na próby włamań IDS. W przypadku włamania na serwer znajdujący się w strefie DMZ intruz nadal nie ma możliwości dostania się do chronionego obszaru sieci wewnętrznej.

Public IP Address Range

Class A(Netid.hostid.hostid.hostid) : 1.0.0.0 to 126.0.0.0

Class B(Netid.Netid.hostid.hostid) : 128.0.0.0 to 191.0.0.0

Class C(Netid.Netid.Netid.hostid) : 192.0.0.0 to 223.0.0.0

Class D(Multicast) : 224.0.0.0 to 239.0.0.0

Class E(For Research) : 240.0.0.0 to 255.0.0.0

Private IP Address Range:

Class A(/8) : 10.0.0.0 to 10.255.255.255

Class B(/12) : 172.16.0.0 to 172.31.255.255

Class C(/16) : 192.168.0.0 to 192.168.255.255

Note:

/8 = First 8 Bits are used for Network ID

/12 = First 12 Bits are used for Network ID

/16 = First 16 Bits are used for Network ID 

Polecenia

login:manager

pass:friend

#sprawdzic wersje systemu

SHOW SYSTEM

#ustawic nazwe systemu

SET SYSTEM NAME=SW_A

#ustawic date

SET DATE=10-DEC-2006

#ustawic czas

SET TIME=14:35:12

#wyswietlenie konfigu daty i czasu

SHOW TIME

#wlaczyc ip

ENABLE IP

#wylaczyc ip

DISABLE IP

#dodanie ip do vlan

ADD IP interface=VLAN1 IP=10.1.1.1 mask=255.255.255.0

#wyswietlenie konfigu ip

SHOW CONFIG DYNAMIC=IP

#wyswietlenie konfiguracji portu

SHOW SWITCH PORT=1

SHOW SWITCH PORT=1,12

SHOW SWITCH PORT=1-12

#wylaczanie portow

DISABLE SWITCH PORT=3

#ustawianie predkosci portu

SET SWITCH PORT=1 SPEED=10MFULL

#wyswietlenie konfigu portow

SHOW SWITCH PORT 1,2,3

#agregacja portow-trunking

#wyswietlenie konfigu trunk

SHOW SWITCH TRUNK

#tworzenie polaczenia trunk

CREATE SWITCH TRUNK=SWA_SWB

#dodanie portow do trunka

ADD SWITCH TRUNK=SWA_SWB PORT=23,24

#ustawienia trunk

SET SWITCH TRUNK=SWA_SWB SPEED=10M SELECT=IPSRC

#podsluchiwanie portow

#ustawienie portu nasluchujacego

SET SWITCH MIRROR=12

#ustawienie portow nasluchiwanych

SET SWITCH PORT=2 MIRROR=RX /TX /BOTH

#wlaczanie mirroringu

ENABLE SWITCH MIRROR

#zaprzestanie nasluchu

SET SWITCH PORT=1 MIRROR=NONE

#zabezpieczanie portow

#nauczenie mac'u zaufanego

SET SWITCH PORT=1 LEARN=1 INTRUSIONACTION=DISABLE

#VLAN'y

#tworzenie vlan

CREATE VLAN=SIEC2 VID=20

#usuwanie vlan

DELETE VLAN=SIEC2 VID=20

#dodawanie portu do vlan

ADD VLAN=20 PORT=1-10

#wyswietlenie configu vlan

SHOW CONFIG DYNAMIC+VLAN

#PORTY ZNAKOWANE/TAGOWANE

#ustawianie istniejacego w vlan portu jako tagged

SET VLAN=SIEC2 PORT=24 FRAME=TAGGED

#dodawanie jako tagowany

ADD VLAN=SIEC2 PORT=24 FRAME=TAGGED

#wyswietlenie vlanow

SHOW VLAN

#wyswietlenie interfejsow ip

SHOW IP INTERFACE

#wyswitlenie routingu

SHOW IP ROUTE

#dodawanie wpisow do routingu

ADD IP ROUTE=192.168.3.0 MASK=255.255.255.0 INT=VLAN4 NEXT=192.168.5.2

//DODAWANIE VLANU ISTNIEJACEGO NA INNYM sw

ROUTE=//ADRES SIECI

MASK=/MASKA

INT=/DO JAKIEGO VLANU

NEXT=/ADRES IP URZADZENIA

#ROUTER

#wlaczanie dhcp

ADD IP INT=VLAN10 IP=DHCP

#routing statyczny

ADD IP ROUTE=10.0.0 MASK=255.255.255.0 NEXTHOP=192.168.0.2

ENABLE IP REMOTE

#nat

ADD IP NAT IP=10.1.1.1 MASK=255.0.0.0 GBLIP=192.168.1.1

ENABLE IP NAT

#firewall

CREATE FIREWALL POLI=sec1

#DODANIE FW DO INT

ADD FIRE POLI=SEC1 INT=VLAN10 TYPE=PRIV/PUB

#WLACZENIE FW

ENABLE FIREWALL

#DODAWANIE REGUL

ADD FIRE POLI=SEC1 RULE=1 ACTION=ALLOW INT=VLAN10 PROT=TCP

PORT=80 AFTER=8:00 BEFORE=16:00 day=weekday

#zdalne zarzadzanie

remoteip=172.203.190.5

ENABLE IP REMOTE