Drepturile de autor apart¸in subsemnatului, Radu-Lucian Lup¸sa.
Subsemnatul, Radu-Lucian Lup¸sa, acord oricui dore¸ste dreptul de a copia cont¸inutul acestei c˘art¸i, integral sau part¸ial, cu condit¸ia atribuirii corecte autorului ¸si a p˘astr˘arii acestei notit¸e.
Cartea, integral˘a, poate fi desc˘arcat˘a gratuit de la adresa http://www.cs.ubbcluj.ro/~rlupsa/works/retele.pdf
Capitolul 9
Ret ¸ele IEEE 802
Vom studia ˆın continuare standardul utilizat de cele mai multe ret¸ele locale. IEEE 802 define¸ste de fapt o familie de tipuri de ret¸ele locale, dintre care cele mai des ˆıntˆalnite sunt:
• ret¸ele Ethernet (de 10, 100 sau 1000 Mbit/s), construite conform stan- dardului IEEE 802.3;
• ret¸ele numite Wireless Ethernet, conform standardului IEEE 802.11.
9.1. Ret ¸ele IEEE 802.3 (Ethernet)
Cele mai multe ret¸ele locale (ret¸ele cu ˆıntinderi geografice reduse, de pˆan˘a la cˆat¸iva kilometri) sunt construite pe baza standardului IEEE 802.3 [IEEE 802.3, 2005]. Astfel de ret¸ele mai sunt numite, ˆın mod curent, ret¸ele Ethernet (denumirea standardului original, din care a fost dezvoltat standar- dul IEEE 802.3) sau ret¸ele UTP 10/100/1000 (UTP vine de la unshielded twisted pairs — perechi torsadate neecranate — ¸si desemneaz˘a tipul de ca- blu utilizat cel mai frecvent ˆın instalat¸iile actuale, iar 10/100/1000 sunt ca- pacit˘at¸ile posibile ale leg˘aturilor, m˘asurate ˆın megabit¸i pe secund˘a).
Standardul este complex (are peste 1500 de pagini) ¸si a rezultat ˆın urma unei evolut¸ii ˆıntinse pe mai mult de 20 de ani. ˆIn cele ce urmeaz˘a vom trece ˆın revist˘a aspectele mai importante.
Componentele din care se realizeaz˘a o ret¸ea Ethernet sunt:
Interfat¸a de ret¸ea sau placa de ret¸ea (engl. Network Interface Card — NIC) este dispozitivul prin care se conecteaz˘a un calculator la ret¸ea.
Cablul magistral˘a. O ret¸ea constrit˘a cu cablu magistral˘a consta ˆıntr- un cablu, format din dou˘a conductoare izolate ˆıntre ele, la care sunt
conectate, ˆın paralel, interfet¸ele de ret¸ea ale calculatoarelor (fig. 9.1). ˆIn acest sistem, semnalul emis de orice interfat¸˘a de ret¸ea este recept¸ionat de toate celelalte interfet¸e de ret¸ea conectate la acel cablu.
stat¸ie
cablu magistral˘a
terminator terminator
stat¸ie stat¸ie stat¸ie
Figura 9.1: O ret¸ea Ethernet construit˘a cu un cablu magistral˘a Comunicat¸ia se face prin pachete de dimensiune variabil˘a.
Dou˘a interfet¸e care emit simultan ˆı¸si bruiaz˘a reciproc semnalele emise; este necesar deci un mecanism de control al accesului la mediu (vezi § 4.2). IEEE 802.3 alege solut¸ia cu detectarea coliziunilor ¸si re- transmiterea pachetelor distruse de coliziuni.
Deoarece fiecare interfat¸˘a de ret¸ea ,,aude“ toate pachetele emise ˆın ret¸ea, este prev˘azut un mecanism prin care interfat¸a s˘a identifice ¸si s˘a livreze sistemului de operare numai pachetele ce ˆıi sunt destinate.
Anume, fiecare interfat¸˘a de ret¸ea are o adres˘a unic˘a, numit˘a adres˘a fizic˘a sau adres˘a MAC ¸si fiecare pachet poart˘a adresa sursei ¸si adresa destinat¸iei.
Repetorul (engl. repeater) este un dispozitiv care este conectat la mai multe cabluri de ret¸ea ¸si copiaz˘a pachetele de date de pe fiecare cablu pe celelalte.
Repetorul este conectat la fiecare cablu de ret¸ea ˆıntocmai ca o interfat¸˘a de ret¸ea a unui calculator. Interfat¸a repetorului c˘atre cablul de ret¸ea se nume¸steport.
Oridecˆateori repetorul recept¸ioneaz˘a un pachet printr-unul dintre porturile sale (printr-unul din cablurile de ret¸ea conectate la repetor), ˆıl retransmite (repet˘a) pe toate celelalte cabluri de ret¸ea conectate (toate cu except¸ia celui prin care a intrat pachetul). Retransmiterea se face cu ˆıntˆarziere de ordinul duratei cˆatorva bit¸i, ˆın orice caz mai put¸in decˆat durata unui pachet. Dac˘a repetorul recept¸ioneaz˘a simultan pachete prin dou˘a sau mai multe porturi, consider˘a c˘a are loc o coliziune ¸si semnal- izeaz˘a acest lucru emit¸ˆand, prin toate porturile, un semnal special de anunt¸are a coliziunii. Acest semnal de coliziune se propag˘a ˆın toat˘a ret¸eaua.
repetor
repetor
Figura 9.2: O ret¸ea construit˘a din mai multe cabluri magistral˘a interconectate prin repetoare.
Repetoarele permit construirea unei ret¸ele ˆıntinse pe o distant¸˘a mai mare decˆat lungimea maxim˘a a unui singur cablu (lungime limitat˘a de atenuarea semnalului pe cablu). O ret¸ea construit˘a cu repetoare este desenat˘a ˆın figura 9.2.
Odat˘a cu ieftinirea repetoarelor, a devenit curent˘a utilizarea cˆate unui cablu pentru conectarea fiec˘arui calculator la un repetor. ˆIn acest fel, un cablu de ret¸ea va avea legate la el doar dou˘a echipamente: fie o interfat¸˘a de ret¸ea ¸si un repetor, fie dou˘a repetoare, fie dou˘a interfet¸e de ret¸ea (ˆın acest din urm˘a caz rezult˘a o ret¸ea format˘a doar din dou˘a calculatoare). De regul˘a, cablul de leg˘atur˘a folosit ˆın aceste cazuri este o leg˘atur˘a duplex (vezi mai jos) ¸si poate conecta doar dou˘a echipamente.
Repetoarele utilizate ˆın aceast˘a situat¸ie se mai numesc hub-uri (engl.
hub = butuc de roat˘a).
Comutatoarele. Un comutator (eng. switch) este un dispozitiv asem˘a- n˘ator cu un repetor, dar cu urm˘atoarele modific˘ari:
-este capabil s˘a memoreze cˆate un pachet ˆıntreg pentru fiecare port;
-dac˘a prime¸ste simultan dou˘a sau mai multe pachete, le memoreaz˘a
¸si le retransmite pe rˆand;
-dac˘a este posibil, ˆın loc s˘a retransmit˘a un pachet prin toate porturile comutatorului, ˆıl retrimite doar pe calea c˘atre interfat¸a de ret¸ea
c˘areia ˆıi este destinat pachetul (a se vedea § 9.1.5 pentru detalii).
Leg˘aturile duplex. Cablurile de leg˘atur˘a ˆıntre dou˘a echipamente pot fi f˘acute cu c˘ai independente pentru cele dou˘a sensuri. Dac˘a ¸si echipa- mentele conectate sunt capabile s˘a emit˘a ¸si s˘a recept¸ioneze simultan, este posibil˘a realizarea unei comunicat¸ii duplex ˆıntre cele dou˘a echipamente.
Exist˘a ˆın cadrul IEEE 802.3 mai multe sub-standarde legate de nivelul fizic, privitoare la cablurile de leg˘atur˘a ˆıntre echipamente. Cu except¸ia debitu- lui de comunicat¸ie ¸si a existent¸ei sau absent¸ei posibilit˘at¸ii comunicat¸iei duplex, tipul cablului de leg˘atur˘a ales nu afecteaz˘a restul ret¸elei.
Pentru echipamente capabile s˘a funct¸ioneze dup˘a mai multe stan- darde privind nivelul fizic (debite diferite ¸si mod semi-duplex sau duplex), exist˘a un protocol de negociere al modului de transmisie la nivel fizic folosit;
acesta va fi studiat ˆın §9.1.1 cu ocazia prezent˘arii standardului 10 Base T.
9.1.1. Leg˘aturi punct la punct prin perechi de conductoare Grup˘am la un loc studiul leg˘aturilor punct la punct prin perechi de conductoare datorit˘a multiplelor aspecte comune ˆıntre toate tipurile de astfel de leg˘aturi admise de standard.
Toate aceste variante de leg˘aturi sunt gˆandite pentru a realiza un cablaj ieftin ¸si fiabil ˆın interiorul unei singure cl˘adiri.
ˆIn toate cazurile, mediul de transmisie este format din dou˘a sau patru perechi de conductoare torsadate. Cu cablurile recomandate de standard, lungimea maxim˘a a unei leg˘aturi este de 100 m.
Condit¸iile de izolare electric˘a ¸si de p˘amˆantare nu permit utilizarea sigur˘a pentru leg˘aturi aeriene prin exteriorul cl˘adirilor. Pentru astfel de scop- uri standardul recomand˘a utilizarea fibrelor optice.
Descriem ˆın continuare particularit˘at¸ile tuturor standardelor privi- toare la nivelul fizic construit pe perechi torsadate.
10 Base T . Este o leg˘atur˘a duplex la 10 Mbit/s utilizˆand dou˘a perechi de conductoare torsadate, cˆate o perechie pentru fiecare sens (4 conductoare ˆın total). Denumirea standardului vine de la viteza de comunicat¸ie (10 Mbit/s), codificarea (ˆın banda de baz˘a) ¸si tipul mediului (Twisted pairs — perechi torsadate).
Cablul de leg˘atur˘a const˘a, a¸sa cum am v˘azut, din 4 conductoare izolate. Conductoarele sunt ˆımperecheate 2 cˆate 2 (formˆand deci 2 perechi).
ˆIn cadrul fiec˘arei perechi, conductoarele sunt r˘asucite unul ˆın jurul celuilalt
pentru reducerea interferent¸elor cu cˆampurile electromagnetice din jur. Car- acteristicile electrice ale cablurilor, specificate prin standard, sunt ˆın general ˆındeplinite de c˘atre tronsoanele de pˆan˘a la 100 m construite din cablurile folosite ˆın mod curent pentru ret¸eaua telefonic˘a ¸si clasificate, ˆın sistemul amer- ican de telefonie, UTP Cat 3(UTP de la Unshielded Twisted Pairs — perechi torsadate neecranate, iar Cat 3, de laCategory 3).
D˘am ˆın continuare, cu titlu informativ, cˆateva caracteristici:
• impedant¸a caracteristic˘a: 100 Ω;
• atenuare: maxim 11,5 dB pentru tot tronsonul de cablu (de fapt acesta este parametrul care limiteaz˘a lungimea unui tronson de cablu; dac˘a folosim un cablu cu atenuarea pe 200 m mai mic˘a de 11,5 dB, putem cabla un tronson de 200 m cu astfel de cablu f˘ar˘a probleme);
• timpul de propagare al semnalului: maxim 1000 ns. Standardul cere, ˆın plus, ca viteza de propagare s˘a fie cel put¸in 0,585·c (adic˘a cel put¸in de 0,585 de ori viteza luminii ˆın vid).
Conectarea cablului la interfat¸a de ret¸ea sau la repetoare se real- izeaz˘a prin intermediul unui conector cu 8 pini, asem˘an˘ator cu cel de telefon, standardizat sub numele RJ45.
Utilizarea pinilor este urm˘atoarea: emisia ˆıntre pinii 1 ¸si 2 ¸si recept¸ia ˆıntre pinii 3 ¸si 6. Pinii 4, 5, 7 ¸si 8 sunt neutilizat¸i.
Conductoarele legate la emit¸˘ator la un cap˘at trebuie legate la receptor la cel˘alalt cap˘at (fig. 9.3). Acest lucru se poate realiza ˆın dou˘a moduri:
1. Legarea cablului la conectoare se face ,,ˆın X“: pinul 1 de pe un conector se leag˘a la pinul 3 de pe cel˘alalt conector, 2 cu 6, 3 cu 1 ¸si respectiv 6 cu 2, conform fig. 9.3(a)). Un astfel de cablu se nume¸stecablu inversor saucablu X.
2. Cablul este ,,unu-la-unu“(adic˘a pinul 1 de pe un conector este legat cu pinul 1 de pe cel˘alalt conector, 2 cu 2, 3 cu 3 ¸si 6 cu 6), iar inversarea se face ˆın dispozitivul de la un cap˘at al cablului, prin legarea inversat˘a a conectorului la circuite: pinii 1 ¸si 2 la receptor ¸si 3 ¸si 6 la emit¸˘ator, ca ˆın fig. 9.3(b).
Standardul recomand˘a inversarea leg˘aturilor ˆın conectoarele repetoarelor
¸si cere marcarea conectoarelor cu inversare printr-un simbol ,,X“.
Conectarea a dou˘a echipamente prev˘azute cu inversare ˆın conector se face cu ajutorul unui cablu inversor, ca ˆın figura 9.3(c).
Exist˘a ¸si dispozitive care detecteaz˘a automat pinii folosit¸i la emisie
¸si recept¸ie. Aceste dispozitive sunt desemnateauto MDI/MDIX. Dac˘a la unul
1 2 3 4 5 6 7 8
1 2 3 4 5 6 7 8 alb-portocaliu
portocaliu alb-verde
verde
emit¸˘ator
receptor receptor
emit¸˘ator
portocaliu alb-portocaliu verde alb-verde
(a) Inversare realizat˘a ˆın cablul de leg˘atur˘a
1 2 3 4 5 6 7 8
1 2 3 4 5 6 7 8 alb-portocaliu
portocaliu alb-verde
verde
conector normal
conector cu inversare
emit¸˘ator
receptor emit¸˘ator
receptor
alb-portocaliu portocaliu alb-verde
verde
(b) Inversare realizat˘a de unul dintre dispozitivele de la capete
1 2 3 4 5 6 7 8
1 2 3 4 5 6 7 8 alb-portocaliu
portocaliu alb-verde
verde
conector cu inversare
conector cu inversare
receptor
emit¸˘ator emit¸˘ator
receptor
alb-verde verde alb-portocaliu
portocaliu
(c) Conectarea a dou˘a echipamente prev˘azute cu inversare ˆın conector
Figura 9.3: Conectarea a dou˘a echipamente 10 Base T. Sunt date ¸si culorile standard pentru izolat¸iile conductoarelor din cablu.
dintre capete se g˘ase¸ste un astfel de dispozitiv, se poate utiliza atˆat cablu unu-la-unu cˆat ¸si cablu inversor, f˘ar˘a nici un fel de restrict¸ii. Mecanismul de detectare a pinilor utilizat¸i se bazeaz˘a pe pulsurile pentru verificarea mediului, descrise mai jos.
Transmiterea bit¸ilor se face ˆın codificare Manchester. Cele dou˘a nivele de tensiune, la emit¸˘ator, sunt unul ˆıntre 2,2 V ¸si 2,8 V ¸si cel˘alalt ˆıntre
−2,2 V ¸si −2,8 V.
Pe lˆang˘a transmiterea informat¸iei utile, standardul prevede emiterea periodic˘a, de c˘atre fiecare echipament, a unui puls de testare a cablului. O interfat¸˘a de ret¸ea sau un repetor care nu prime¸ste periodic pulsuri de test de la cel˘alalt cap˘at va ,,deduce“ c˘a leg˘atura nu este valid˘a. Starea leg˘aturii este semnalat˘a printr-un led; de asemenea, pl˘acile de ret¸ea semnaleaz˘a starea leg˘aturii printr-un bit de control ce poate fi citit de driver-ul pl˘acii de ret¸ea.
O ad˘augire ulterioar˘a la standard prevede ca ˆın secvent¸a de pulsuri de testare a cablului s˘a se codifice disponibilitatea echipamentului ce le emite de a funct¸iona ˆın regim duplex sau la o vitez˘a mai mare de 10 Mbit/s (adic˘a conform unuia din standardele descrise mai jos). Un echipament capabil de comunicat¸ie duplex ¸si care este informat c˘a echipamentul de la cel˘alalt cap˘at este capabil de asemenea de comunicat¸ie duplex va intra automat ˆın mod duplex.
Un echipament vechi, datˆand dinaintea acestei ad˘augiri la standard, va funct¸iona numai ˆın regim semiduplex. P˘astrarea compatibilit˘at¸ii este asig- urat˘a de faptul c˘a echipamentul vechi va ˆınt¸elege pulsurile doar ca testarea liniei, iar pulsurile generate de el este put¸in probabil s˘a coincid˘a ˆıntˆampl˘ator cu pulsurile de negociere a modului de transmisie.
100 Base Tx. Este foarte asem˘an˘ator cu 10 Base T, dar obt¸ine o vitez˘a de transmisie de 100 Mbit/s.
Cablul const˘a tot din dou˘a perechi de conductoare torsadate, ˆıns˘a cu propriet˘at¸i mai bune de transmitere a semnalului (obt¸ine acelea¸si caracteristici de atenuare pˆan˘a la frecvent¸e de 10 ori mai mari). Cablurile utilizate sunt cele desemnateUTP Cat 5. Lungimea maxim˘a a unui tronson este de 100 m.
Conectoarele ¸si utilizarea pinilor sunt identice cu 10 Base T. Din acest motiv un cablu pentru 100 Base Tx poate fi ˆıntotdeauna utilizat la o leg˘atur˘a 10 Base T.
ˆIn general, echipamentele capabile s˘a opereze conform standardului 100 Base Tx sunt capabile s˘a lucreze ¸si cu 10 Base T. Stabilirea vitezei se face printr-un mecanism similar cu cel utilizat la 10 Base T pentru negocierea modului semiduplex sau duplex. Trebuie ˆıns˘a spus c˘a mecanismul de negociere
nu testeaz˘a ¸si calitatea cablului; din acest motiv, dac˘a leg˘am o plac˘a de ret¸ea de 100 Mbit/s la un hub sau switch de 100 Mbit/s printr-un cablu ce nu permite 100 Mbit/s (de exemplu Cat 3 ˆın loc de Cat 5), este necesar s˘a configur˘am manual viteza de 10 Mbit/s.
100 Base T4. Transmite 100 Mbit/s semi-duplex, utilizˆand cabluri Cat 3.
Sunt necesare 4 perechi de conductoare (8 conductoare ˆın total).
Cˆate o pereche de conductoare este rezervat˘a pentru fiecare sens.
Celelalte dou˘a perechi se utilizeaz˘a ˆın sensul ˆın care are loc efectiv transmiterea informat¸iei (adic˘a, ˆıntotdeauna trei perechi sunt utilizate pentru transmiterea informat¸iei ¸si a patra este temporar nefolosit˘a).
Codificarea informat¸iei este mai special˘a, utilizˆand 3 nivele de sem- nalizare ˆın loc de obi¸snuitele 2 ¸si transmit¸ˆand simultan pe trei canale, pentru a obt¸ine un semnal ce se ˆıncadreaz˘a ˆın banda de trecere a unui cablu Cat 3.
1 2 3 4 5 6 7 8 1
2 3 4 5 6 7 8
albastru alb-albastru alb-maro maro alb-portocaliu portocaliu alb-verde
verde
emit¸˘ator receptor bidirect¸ional 1
bidirect¸ional 2 bidirect¸ional 2
bidirect¸ional 1 receptor emit¸˘ator
alb-verde verde alb-portocaliu alb-maro maro portocaliu albastru alb-albastru
Figura 9.4: Utilizarea pinilor ¸si conectarea ˆıntre echipamente la 100 Base T4.
Conectoarele sunt tot RJ45, cu urm˘atoarea utilizare a pinilor: emisie:
pinii 1 ¸si 2; recept¸ie: 3 ¸si 6, bidirect¸ional 1: pinii 4 ¸si 5; bidirect¸ional 2: pinii 7
¸si 8. Ca ¸si la celelalte cabluri, descrise mai sus, este necesar˘a o ˆıncruci¸sare, re- alizat˘a fie ˆın cablu, fie ˆın conectorul unuia dintre echipamente. Standardul cere inversarea atˆat a emisiei cu recept¸ia cˆat ¸si a celor dou˘a leg˘aturi bidirect¸ionale (fig. 9.4).
ˆIntrucˆat ˆın majoritatea instalat¸iilor sunt disponibile cabluri Cat 5, utilizarea standardului 100 Base T4 este extrem de rar˘a.
100 Base T2. Transmite 100 Mbit/s duplex, utilizˆand dou˘a perechi Cat 3.
Ca ¸si la 100 Base T4, se utilizeaz˘a o codificare complicat˘a, ˆıns˘a obt¸ine perfor- mant¸ele lui 100 Base Tx pe cabluri identice cu cele folosite de 10 Base T.
Utilizarea lui este rar˘a, datorit˘a r˘aspˆandirii cablului Cat 5.
1000 Base T. Transmite 1 Gbit/s duplex, utilizˆand 4 perechi Cat 5.
Leg˘atura const˘a ˆın patru perechi torsadate (8 conductoare) conforme Cat 5, de lungime maxim 100 m.
Se utilizeaz˘a o schem˘a de codificare mai complicat˘a, ce utilizeaz˘a fiecare pereche de conductoare ˆın regim duplex.
Conectoarele folosite sunt tot RJ45. Din rat¸iuni de compatibilitate, leg˘aturile trebuie s˘a realizeze aceea¸si inversare a unor perechi de fire ca ¸si la 100 Base T4 (fig. 9.4).
Majoritatea pl˘acilor de ret¸ea ¸si celorlalte echipamente pentru ret¸ele IEEE 802.3, produse recent ¸si desemnate Ethernet gigabit, implementeaz˘a standardele 10 Base T, 100 Base Tx ¸si 1000 Base T.
1000 Base Cx. Transmite 1 Gbit/s duplex utilizˆand 2 perechi de conductoare de construct¸ie specal˘a.
Se utilizeaz˘a cˆate o pereche pentru fiecare sens.
Standardul permite dou˘a tipuri de conectoare: conectoare trape- zoidale cu 9 pini (identice cu cele utilizate pentru porturile seriale) sau ni¸ste conectoare cu 8 pini asem˘an˘atoare, dar incompatibile, cu RJ45.
Datorit˘a incompatibilit˘at¸ii cu 10 Base T ¸si 100 Base Tx, put¸ine echipamente utilizeaz˘a 1000 Base Cx.
Realizarea practic˘a a cablajelor
CablurileUTP Cat 5 folosite au de obicei 4 perechi de fire torsadate (8 fire ˆın total), invelite toate ˆıntr-o teac˘a protectoare. Doar 2 perechi (4 fire) sunt utilizate efectiv de leg˘aturile 10 Base T ¸si 100 Base Tx.
ˆIn cadrul fiec˘arei perechi, unul din fire are izolat¸ia ˆıntr-o culoare plin˘a iar cel˘alalt este combinat, alb alternˆand cu culoarea firului pereche. Culorile folosite pentru perechi sunt portocaliu, verde, albastru ¸si maro. Ment¸ion˘am c˘a se comercializeaz˘a, din p˘acate, ¸si cabluri ˆın care firele ce ar trebui s˘a fie colorate cu alb plus o culoare sunt doar albe ¸si, ca urmare, pentru a le identifica este necesar s˘a se desfac˘a teaca protectoare pe o lungime suficient de mare pentru a vedea cum sunt torsadate firele (care cu care este ˆımperecheat prin r˘asucire).
Schema de conectare standardizat˘a este dat˘a ˆın tabela 9.1. Varianta ,,normal“ este utilizat˘a la cablurile unu-la unu, precum ¸si la unul din capetele cablurilor inversoare. Varianta ,,inversat“ este utilizat˘a la cel˘alalt cap˘at al cablurilor inversoare. Varianta ,,semi-inversat“ a fost utilizat˘a frecvent pen- tru al doilea cap˘at al cablurilor inversoare, dar nu funct¸ioneaz˘a decˆat pentru ret¸ele 10 Base T ¸si 100 Base Tx, care nu utilizeaz˘a deloc perechile albastru
¸si maro. Pentru 1000 Base T, varianta ,,semi-inversat“ nu este prev˘azut˘a de standard; ca urmare unele echipamente funct¸ioneaz˘a cu astfel de cabluri, iar alte echipamente nu funct¸ioneaz˘a.
Nr. Culoare
pin normal inversat semi-inversat
1 alb-portocaliu alb-verde alb-verde
2 portocaliu verde verde
3 alb-verde alb-portocaliu alb-portocaliu
4 albastru alb-maro albastru
5 alb-albastru maro alb-albastru
6 verde portocaliu portocaliu
7 alb-maro albastru alb-maro
8 maro alb-albastru maro
Tabelul 9.1: Ata¸sarea conectoarelor RJ45
Atragem atent¸ia c˘a este foarte important s˘a se respecte schema de conectare din urm˘atoarele motive:
• R˘asucirea firelor afecteaz˘a transmiterea semnalului ¸si sensibilitatea la parazit¸i. Nerespectarea perechilor, adic˘a utilizarea pentru un circuit a dou˘a fire care nu sunt ˆımperecheate prin r˘asucire, duce la pierderi aleatoare de pachete, cu atˆat mai multe cu cˆat cablul este mai lung.
•Este necesar un efort inutil de mare pentru ata¸sarea corect˘a a conectorului la al doilea cap˘at, dac˘a ata¸sarea primului s-a f˘acut nestandard. Amatorii s˘a se gˆandeasc˘a la cazul cˆand cap˘atul cablat nestandard se g˘ase¸ste ˆıntr- un dulap ˆınghesuit, iar cap˘atul unde trebuie ata¸sat cel˘alalt conector este cˆateva etaje mai sus sau mai jos. . .
Toate sistemele IEEE 802.3 ce utilizeaz˘a perechi torsadate sunt proiec- tate pentru leg˘aturi ˆın interiorul unei singure cl˘adiri. La cablurile trase prin exterior, desc˘arc˘arile electrice din atmosfer˘a risc˘a s˘a induc˘a ˆın cablul de ret¸ea tensiuni suficient de mari pentru a distruge pl˘acile de ret¸ea sau hub-urile sau switch-urile ata¸sate. Pentru leg˘aturi exterioare se recomand˘a utilizarea fibrelor optice.
9.1.2. Leg˘aturi prin fibre optice
IEEE 802.3 standardizeaz˘a mai multe tipuri de leg˘aturi prin fibre optice. Toate acestea sunt foarte similare din punctul de vedere al logicii funct¸ion˘arii; diferent¸ele sunt aproape ˆın totalitate aspecte minore legate de realizarea nivelului fizic.
Toate leg˘aturile pe fibr˘a optic˘a sunt punct-la-punct (nu magistral˘a).
Exist˘a totu¸si un echipament, numit stea pasiv˘a, la care se pot conecta mai
multe pl˘aci de ret¸ea ¸si care distribuie semnalul transmis de o plac˘a spre toate celelalte. Astfel, o stea pasiv˘a se comport˘a ˆıntrucˆatva similar cu un cablu magistral˘a.
O leg˘atur˘a punct la punct const˘a din dou˘a fibre optice, cˆate una pentru fiecare sens; astfel, fiecare leg˘atur˘a este capabile de transmisie duplex.
10 Base F: standardizeaz˘a transmisia prin fibr˘a optic˘a la un debit de trans- misie de 10 Mbit/s. Rata erorilor, obt¸inut˘a cu o astfel de leg˘atur˘a, este ˆın jur de 10−9 (1 bit eronat la 109 bit¸i transmi¸si).
Grupeaz˘a trei variante, cu diferent¸e foarte mici ˆıntre ele (ˆın general, echipamentele corespunz˘atoare pot fi interconectate f˘ar˘a probleme):
• 10 Base FP, destinat utiliz˘arii ˆın configurat¸ii cu stea pasiv˘a, ca atare funct¸ionˆand ˆın mod semi-duplex.
•10 Base FB, destinat utiliz˘arii ˆın conjunct¸ie cu multe repetoare ˆın cascad˘a
¸si funct¸ionˆand ˆın mod semi-duplex.
• 10 Base FL, funct¸ionˆand ˆın mod duplex.
Se utilizeaz˘a o fibr˘a optic˘a cu diametrul miezului de 62,5µm (¸si di- ametrul exterior, al ˆınveli¸sului, de 125µm), avˆand o vitez˘a de propagare de minim 0,67c, o atenuare de 3,75 dB/km (dac˘a atenuarea fibrei utilizate este mai mare, lungimea maxim˘a a unei leg˘aturi trebuie mic¸sorat˘a corespunz˘ator)
¸si o band˘a de 160 MHzkm. Lungimea unui tronson de cablu este maxim 2 km (pentru 10 Base FP, lungimea fiec˘arei conexiuni dintre placa de ret¸ea ¸si steaua pasiv˘a este de cel mult 1 km).
Conectarea cablului la echipamente se face cu ajutorul a dou˘a conec- toare (cˆate unul pentru fiecare fibr˘a; reamintim c˘a se utilizeaz˘a o fibr˘a pentru fiecare sens). Conectoarele sunt descrise de standardul IEC 60874-10:1992 sub numele BFOC/2.5. Atenuarea introdus˘a de conector nu trebuie s˘a dep˘a¸seasc˘a 1 dB, iar puterea undei reflectate nu trebuie s˘a dep˘a¸seasc˘a−25 dB din puterea undei incidente.
Pentru semnalizare se folosesc unde infraro¸sii cu lungimea de und˘a cuprins˘a ˆıntre 800 nm ¸si 910 nm. Nivelul semnalului emit¸˘atorului este ˆıntre
−15 dBm ¸si−11 dBm pentru 10 Base FP ¸si ˆıntre−12 dBm ¸si−11 dBm pentru 10 Base FB ¸si 10 Base FL. Nivelul acceptabil pentru semnalul recept¸ionat este ˆıntre−41 dBm ¸si−27 dBm pentru 10 Base FP ¸si ˆıntre−32,5 dBm ¸si−12 dBm
pentru 10 Base FB ¸si 10 Base FL.
Semnalizarea utilizeaz˘a codificarea Manchester, ˆıntocmai ca ˆın cazul lui 10 Base T.
Spre deosebire de 10 Base T, nu se utilizeaz˘a pulsuri de testare a leg˘aturii care s˘a permit˘a negocierea modului semiduplex sau duplex sau a vitezei de transmisie; ca urmare, ace¸sti parametri trebuie configurat¸i manual.
100 Base FX: ofer˘a o vitez˘a de transfer de 100 Mbit/s. Pe lˆang˘a viteza mai mare, 100 Base FX aduce cˆateva modific˘ari fat¸˘a de 10 Base F, ¸si anume uti- lizarea unor conectoare duble (conectˆand ambele fibre simultan) ¸si un mecan- ism de negociere a vitezei de transfer.
1000 Base SX ¸si 1000 Base LX.Aceste standarde ofer˘a vitez˘a de transfer de 1 Gbit/s.
Varianta 1000 Base SX transmite pe lungimea de und˘a de 850 nm, prin fibre cu diametrul miezului de 62,5µm sau de 50µm. Lungimea maxim˘a de cablu ˆıntre dou˘a echipamente este cuprins˘a ˆıntre 220 m pentru fibr˘a cu dispersie intermodal˘a de 160 MHzkm ¸si 550 m pentru fibr˘a cu dispersie inter- modal˘a de 500 MHzkm.
Varianta 1000 Base LX transmite pe lungimea de und˘a de 1310 nm, prin fibre multimod de 62,5µm sau de 50µm sau monomod de 10µm. Lungimea maxim˘a de cablu ˆıntre dou˘a echipamente este de 550 m pentru fibra multimod
¸si 5 km pentru fibra monomod.
9.1.3. Leg˘aturi prin cablu magistral˘a
Exist˘a dou˘a variante de leg˘aturi prin cablu magistral˘a standard- izate prin IEEE 802.3; ambele variante realizeaz˘a o vitez˘a de transmisie de 10 Mbit/s.
Cele dou˘a variante sunt foarte asem˘an˘atoare, motiv pentru care le vom studia ˆımpreun˘a.
Mediul de comunicat¸ie este un cablu format dintr-o pereche de con- ductoare coaxiale. Impedant¸a caractersitic˘a a cablului este de 50 Ω (este deci incompatibil cu cablul utilizat pentru televiziune, care are impedant¸a de 75 Ω).
Cablul nu are voie s˘a aib˘a ramificat¸ii ¸si trebuie ˆıncheiat la ambele capete prin terminatoare. Ramificat¸iile sau lipsa terminatoarelor duc la reflexia semnalu- lui la ramificat¸ie sau la cap˘atul f˘ar˘a terminator, rezultˆand bruierea semnalului de c˘atre reflexia lui.
Pe cablu se leag˘a, ˆın paralel, interfet¸ele de ret¸ea ¸si eventual repetoarele.
Derivat¸ia pentru leg˘atura la interfat¸a de ret¸ea este construit˘a special pentru a reduce la minim reflexiile produse (impedant¸a emit¸˘atorului ¸si receptorului este mult mai mare decˆat impedant¸a cablului, anume de cel put¸in 100 kΩ); din acest motiv circuitele emit¸˘atorului ¸si receptorului trebuie plasate la cel mult cˆat¸iva centimetri de cablu.
Semnalul este produs ˆın codificare Manchester, cu durata unui bit de 100 ns; de aici viteza brut˘a de transmisie de 10 Mbit/s.
Ca modificare fat¸˘a de codificarea Manchester clasic˘a, peste semnal este suprapus˘a o component˘a continu˘a, ˆın scopul simplific˘arii detect˘arii col- iziunilor. Pe cablul ˆın repaus, tensiunea ˆıntre conductoare este 0 V. Dac˘a o interfat¸˘a emite date, apare o tensiune continu˘a ˆıntre conductorul central ¸si tres˘a. Dac˘a dou˘a sau mai multe interfet¸e emit simultan, tensiunea continu˘a cre¸ste peste un anumit prag la care se declar˘a coliziune. La detectarea unei coliziuni, interfet¸ele de ret¸ea conectate la cablu opresc transmisia, conform metodei CSMA/CD (§ 4.2.2).
Exist˘a dou˘a sub-standarde privitoare la caracteristicile mecanice ¸si electrice ale cablului de conectare: 10 Base 5 ¸si 10 Base 2.
10 Base 5,numit ¸sicablu galben saucablu gros, prevede utilizarea unui cablu coaxial avˆand aproximativ 10 mm grosime total˘a, preferabil colorat ˆın galben pentru o mai bun˘a vizibilitate. Lungimea total˘a maxim˘a a unui cablu este de 500 m. Standardul este gˆandit pentru cablare prin exteriorul cl˘adirilor.
Denumirea sub-standardului vine de la viteza (10Mbit/s), codificarea (ˆın banda de baz˘a —Base) ¸si lungimea maxim˘a a cablului, ˆın sute de metri.
Cu titlu informativ, d˘am cˆateva detalii, specificate prin standard, cu privire la caracteristicile cablului:
• impedant¸a caracteristic˘a: 50 Ω±2 Ω;
• viteza de propagare a semnalului: minim 0,77·c;
•atenuarea: maxim 17 dB/km (8,5 dB pe tot tronsonul de cablu) la 10 MHz
¸si maxim 12 dB/km (6 dB pe tot cablul) la 5 MHz;
• se accept˘a maxim 100 interfet¸e de ret¸ea pe un tronson de cablu.
Cablul trebuie conectat la p˘amˆant (la instalat¸ia de p˘amˆantare a cl˘adirii)ˆıntr-un singur punct. Se specific˘a explicit prin standard c˘a atˆat cablul cˆat ¸si elementele legate de el trebuie s˘a fie izolate fat¸˘a de p˘amˆant sau fat¸˘a de alte conductoare (cu except¸ia sus-ment¸ionatei unice leg˘aturi de p˘amˆantare).
De asemenea, interfet¸ele de ret¸ea trebuie s˘a realizeze o izolare electric˘a ˆıntre ca- blul de ret¸ea ¸si circuitele calculatorului care s˘a reziste la o tensiune de 1500 V.
La efectuarea lucr˘arilor asupra ret¸elei, persoanele care lucreaz˘a trebuie s˘a aib˘a grij˘a s˘a nu ating˘a simultan cablul de ret¸ea ¸si un conductor legat la p˘amˆant, iar ˆın cazul ˆın care conecteaz˘a sau deconecteaz˘a dou˘a tronsoane de ret¸ea s˘a aib˘a grij˘a s˘a nu ˆınchid˘a contactul electric ˆıntre cele dou˘a tronsoane prin corpul lor.
Toate aceste m˘asuri sunt luate deoarece este posibil s˘a apar˘a tensiuni electrice ˆıntre leg˘aturile de p˘amˆantarea ale instalat¸iilor electrice ˆın cl˘adiri diferite. De
asemenea, este posibil ca ˆıntr-un cablu, ˆın special dac˘a este dus prin exterior, s˘a se induc˘a, inductiv sau capacitiv, tensiuni parazite importante din cauza ret¸elelor de alimentare electric˘a din apropiere sau din cauza fulgerelor.
Circuitele electronice ale interfet¸elor de ret¸ea sunt ˆımp˘art¸ite ˆın dou˘a module: un modul, cont¸inˆand emit¸˘atorul ¸si receptorul propriu-zise, se ata¸seaz˘a direct pe cablu; al doilea modul cuprinde logic˘a de comand˘a ¸si este construit sub forma unei pl˘aci ce se introduce ˆın calculator.
Ata¸sarea modulului de semnal la cablul de ret¸ea se poate realiza ˆın dou˘a moduri:
• prin conectarea celor dou˘a segmente de cablu de-o parte ¸si de alta prin conectoare standardizate (conectoare coaxiale, numiteconectoare N, cu prindere cu filet);
•prin realizara uneiprize vampir: se d˘a o gaur˘a ˆın cablu f˘ar˘a a-i intrerupe conductoarele, prin gaur˘a se introduce o clem˘a ce va face contact cu firul central, iar leg˘atura cu tresa se face printr-o alt˘a clem˘a ce se strˆange pe o zon˘a de pe care s-a ˆındep˘artat mantaua exterioar˘a a cablului.
Leg˘atura dintre modulul emit¸˘ator-receptor (engl. transceiver) ¸si mod- ulul de logic˘a al pl˘acii de ret¸ea sau al repetorului este de asemenea standard- izat˘a, sub numele de interfat¸˘aAUI. Cablul de leg˘atur˘a dintre cele dou˘a module const˘a din 5 perechi de conductoare torsadate ¸si ecranate individual, utilizeaz˘a conectoare trapezoidale cu 15 pini ¸si poate avea lungime maxim˘a de aproxi- mativ 50m.
10 Base 2se mai nume¸stecablu subt¸ire,cablu negru saucablu BNC (oarecum incorect, BNC fiind numele conectoarelor prev˘azute a fi utilizate pentru acest tip de leg˘atur˘a). Este foarte asem˘an˘ator cu 10 Base 5, ˆıns˘a folose¸ste un cablu mai potrivit pentru cablaje ˆın interior. Lungimea maxim˘a a unui tronson este de 185 m.
Cablul este tot coaxial, dar este mai subt¸ire (≈5 mm) pentru a putea fi ˆındoit mai u¸sor (standardul cere s˘a poat˘a fi ˆındoit la raza de 5 cm), ˆın schimb este admis s˘a aib˘a atenuare mai mare ¸si, ca urmare, tronsoanele sunt limitate la lungime mai mic˘a.
D˘am din nou cˆateva caracteristici ale cablului:
• viteza de propagare: 0,65·c;
• atenuarea, pentru 185 m: maxim 8,5 dB la 10 MHz ¸si maxim 6 dB la 5 MHz;
• maxim 30 interfet¸e ata¸sate pe un tronson.
Conectarea interfet¸elor de ret¸ea ¸si a terminatoarelor se face prin conectori standardizat¸i sub numele BNC(conectorii BNC sunt standardizat¸i pentru aparatur˘a electronic˘a ˆın general, nu se folosesc doar la ret¸ele Ethernet), astfel (fig. 9.5): Fiecare bucat˘a de cablu trebuie s˘a aib˘a montate pe capete conectoare BNC mam˘a. Exist˘a elemente numite jonct¸iuni T care cont¸in o ramificat¸ie ¸si sunt prev˘azute cu un conector BNC mam˘a (pe mijlocul T-ului) ¸si dou˘a conectoare BNC tat˘a. La conectoarele tat˘a se ata¸seaz˘a buc˘at¸ile de cablu de-o parte ¸si de alta, iar la conectorul mam˘a al T-ului se ata¸seaz˘a conectorul tat˘a de pe placa de ret¸ea. Terminatoarele sunt prev˘azute cu conector BNC mam˘a ¸si se ata¸seaz˘a pe T-urile de la pl˘acile de ret¸ea extreme.
conectori BNC
cablu coaxial terminator
jonct¸iuni T
Figura 9.5: Conectarea unei ret¸ele 10 Base 2
Pana cea mai frecvent˘a ce apare la o ret¸ea, afectˆand conexiunile di- recte, este ˆıntreruperea unui fir (de obicei o pan˘a de contact ˆıntre sˆarm˘a ¸si conector sau ˆıntre contactele unui conector). O ˆıntrerupere a cablului magis- tral˘a duce de regul˘a la oprirea funct¸ion˘arii ˆıntregii ret¸ele, nu doar ,,ruperea“
ˆın dou˘a a ret¸elei. Aceasta se ˆıntˆampl˘a deoarece cap˘atul de cablu unde s-a produs ˆıntreruperea reflect˘a semnalul (este ca un cablu f˘ar˘a terminator) ¸si, ca urmare, orice pachet emis pe acel cablu se ciocne¸ste cu reflexia lui. Solut¸ia cea mai eficient˘a de g˘asire a penei este o c˘autare binar˘a prin izolarea — neap˘arat cu terminatoare — a unor port¸iuni din ce ˆın ce mai lungi din cablul ret¸elei.
9.1.4. Repetoarele ¸si comutatoarele
Ca funct¸ie ˆın cadrul unei ret¸ele, atˆat repetorul cˆat ¸si comutatorul este un dispozitiv la care sunt conectate mai multe cabluri de ret¸ea ¸si care, la primirea unui pachet pe un cablu, retransmite pachetul pe toate celelalte cabluri conectate. Interfat¸a repetorului sau comutatorului c˘atre fiecare dintre cabluri se nume¸ste port.
Except¸ie f˘acˆand cazul comutatoarelor mai evoluate (vezi § 9.1.6.4), o ret¸ea construit˘a cu repetoare sau comutatoare trebuie s˘a aib˘a o topologie
arborescent˘a, adic˘a ˆıntre orice dou˘a interfet¸e de ret¸ea trebuie s˘a existe un drum ¸si numai unul format din cabluri directe ¸si repetoare sau comutatoare.
ˆIntr-o ret¸ea construit˘a corect, arborescent, un pachet emis de o plac˘a de ret¸ea se propag˘a prin cabluri ¸si repetoare sau comutatoare din ce ˆın ce mai departe de interfat¸a de origine, sfˆar¸sind prin a ajunge la toate pl˘acile din ret¸ea.
ˆIn cazul ˆın care ret¸eaua, ˆın loc s˘a fie arborescent˘a, cont¸ine circuite, se va ˆıntˆampla ca dou˘a copii ale aceluia¸si pachet s˘a ajung˘a pe dou˘a c˘ai distincte la un anumit repetor sau comutator. Dac˘a este un repetor, cele dou˘a copii, ajungˆand aproximativ simultan, vor produce o coliziune. Cum acest lucru se ˆıntˆampl˘a cu orice pachet trimis ˆın ret¸ea, fiecare pachet va suferi o coliziune cu el ˆınsu¸si ¸si va fi repetat la infinit cu acela¸si insucces, rezultˆand astfel trafic util nul. ˆIn cazul comutatoarelor, dac˘a dou˘a copii ale unui pachet ajung pe dou˘a c˘ai diferite la un comutator, acesta le va considera ca fiind pachete distincte.
ˆIn consecint¸˘a, le va memora ¸si retransmite, fiecare copie fiind retransmis˘a inclusiv pe calea prin care a intrat cealalt˘a copie. ˆIn acest fel, copiile cicleaz˘a la infinit prin ret¸ea, rezultˆand o ,,furtun˘a de pachete“, adic˘a o multiplicare incontrolabil˘a a pachetelor.
ˆIn cazul utiliz˘arii repetoarelor, pe lˆang˘a topologia ˆın arbore mai tre- buie respectate ni¸ste condit¸ii, ¸si anume:
•toate componentele legate la repetoare trebuie s˘a lucreze la aceea¸si vitez˘a (fie 10 Mbit/s, fie 100 Mbit/s, fie 1 Gbit/s). Aceasta deoarece un repetor nu memoreaz˘a pachetul de retransmis ¸si, ca urmare, nu-l poate retrans- mite la alt˘a cadent¸˘a a bit¸ilor decˆat cea cu care ˆıl recept¸ioneaz˘a.
•s˘a nu existe mai mult de 4 repetoare de-a lungul nici unui drum ˆıntre dou˘a interfet¸e de ret¸ea. Aceast˘a restrict¸ie este impus˘a pentru ca diferent¸ele de vitez˘a de transmisie a repetoarelor ¸si variat¸ia ˆıntˆarzierii introduse de repetoare s˘a nu duc˘a la mic¸sorarea sub o anumit˘a limit˘a a timpului dintre dou˘a pachete consecutive.
•ˆıntˆarzierea cea mai mare a transmisiei ˆıntre dou˘a interfet¸e de ret¸ea (ˆın- tˆarzierea pe cablu plus ˆıntˆarzierea introdus˘a de repetoare) s˘a nu fie mai mare decˆat jum˘atate din durata necesar˘a emiterii unui pachet. Pentru o ret¸ea de 10 Mbit/s, aceasta ˆınseamn˘a o lungime maxim˘a total˘a de 2500 m ˆıntre oricare dou˘a interfet¸e de ret¸ea.
ˆIn cazul switch-urilor, nu apare nici una din limit˘arile expuse mai sus, cu except¸ia faptului c˘a pe eventualele leg˘aturi semi-duplex ˆıntˆarzierea trebuie s˘a fie de cel mult jum˘atate din durata minim˘a a pachatului.
La ret¸ele ce utilizeaz˘a atˆat switch-uri cˆat ¸si repetoare, restrict¸iile de la repetoare se aplic˘a, separat, pe fiecare subret¸ea format˘a din repetoare
interconectate ¸si leg˘aturile acestora spre interfet¸ele de ret¸ea ¸si switch-uri.
9.1.5. Dirijarea efectuat˘a de comutatoare (switch-uri)
Comutatoarele (switch-urile) sunt capabile s˘a realizeze o dirijare prim- itiv˘a a pachetelor primite. Anume, un comutator t¸ine o tabel˘a cu asocierea ˆıntre adresa fizic˘a (adresa MAC) a unei interfet¸e de ret¸ea ¸siportul (conectorul)
la care este conectat˘a, direct sau indirect, acea interfat¸˘a.
Dac˘a un comutator prime¸ste un pachet cu o anumit˘a adres˘a MAC surs˘a, comutatorul va asocia acea adres˘a cu portul prin care a intrat pachetul.
Ulterior, dac˘a comutatorul prime¸ste un pachet avˆand ca destinat¸ie acea adres˘a MAC, ˆıl va trimite doar prin portul asociat acelei adrese.
Asocierea ˆıntre adresa MAC ¸si port este ment¸inut˘a doar un timp scurt (de ordinul secundei) pentru ca s˘a se asigure actualizarea asocierii ˆın cazul mut˘arii interfet¸ei de ret¸ea de la un port la altul (prin mutarea fizic˘a a cablului).
Mai multe adrese MAC pot avea asociat acela¸si port; aceast˘a situat¸ie apare dac˘a la acel port este conectat un repetor sau un alt comutator. Unei adrese ˆıi poate fi asociat cel mult un port.
La primirea unui pachet, comutatorul caut˘a portul asociat adresei.
Dac˘a exist˘a, va trimite pachetul doar prin acel port. Dac˘a nu exist˘a asociere, pachetul este trimis prin toate porturile cu except¸ia celui prin care a intrat.
Evident, pachetele de broadcast se ˆıncadreaz˘a ˆın aceast˘a din urm˘a categorie.
9.1.6. Facilit˘at¸i avansate ale switch-urilor
9.1.6.1. Switch-uri configurabile
ˆIn mod obi¸snuit, switch-urile nu au parametri configurabili ¸si nu au adres˘a; ele sunt transparente fat¸˘a de traficul ce trece prin ele.
Switch-urile mai avansate au parametri configurabili. Pentru config- urare, este necesar s˘a poat˘a fi accesate de pe un calculator. Accesul se poate realiza ˆın urm˘atoarele moduri:
• Prin intermediul unui cablu serial: La switch se conecteaz˘a, prin inter- mediul unui cablu serial, un teleterminal (sau un calculator care exe- cut˘a un simulator de terminal, de genul HyperTerm). Switch-ul ofer˘a o interfat¸˘a text — ofer˘a cˆateva comenzi de configurare. De cele mai multe ori, exist˘a o comand˘ahelp sau? care listeaz˘a comenzile disponibile.
•Prin telnet: Switch-ul se prezint˘a ca ¸si cum ar mai avea intern o interfat¸˘a de ret¸ea conectat˘a la el ˆınsu¸si. Aceast˘a interfat¸˘a de ret¸ea are o adres˘a MAC (adesea scris˘a pe eticheta aplicat˘a pe carcas˘a) ¸si o adres˘a IP
configurabil˘a (adresa IP init¸ial˘a se configureaz˘a prin intermediul cone- xiunii seriale descrise mai sus). Conectarea prin telnet la adresa IP a switch-ului (pe portul standard al protocolului telnet, anume 23) ofer˘a acces la interfat¸a de configurare prezentat˘a mai sus. Evident, pen- tru ˆımpiedicarea configur˘arii switch-ului de c˘atre persoane neautorizate, switch-ul permite configurarea unei parole, care este cerut˘a la conectare.
• Prin interfat¸˘a web: Ca ¸si la conectarea prin telnet, switch-ul prezint˘a o adres˘a IP. Administratorul se poate conecta cu orice navigator web la aceast˘a adres˘a ¸si va primi pagini ce cont¸in parametrii actuali ¸si formulare pentru modificarea parametrilor. Ca ¸si ˆın cazul configur˘arii prin telnet, accesul poate ¸si este recomandabil s˘a fie restrict¸ionat prin parol˘a.
Pentru cazul uit˘arii parolei, exist˘a o procedur˘a de revenire la config- urarea implicit˘a. Aceasta const˘a de obicei ˆın ap˘asarea unui buton de reset timp de 10–15 secunde sau punerea sub tensiune a switch-ului ˆın timp ce se t¸ine ap˘asat butonul de reset.
9.1.6.2. Filtrare pe baz˘a de adrese MAC
Unele switch-uri pot fi configurate s˘a nu accepte, pe un anumit port, decˆat pachete ce provin de la o anumit˘a adres˘a MAC sau de la o adres˘a dintr- o anumit˘a list˘a. De asemenea, un pachet destinat unei adrese MAC dintr-o astfel de list˘a nu va fi trimis decˆat prin portul pe a c˘arui list˘a se g˘ase¸ste adresa.
Aceast˘a facilitate este introdus˘a pentru a ˆımpiedica eventuali intru¸si s˘a intre ˆın ret¸ea racordˆandu-se pur ¸si simplu la prizele de ret¸ea accesibile.
De¸si ˆımbun˘at˘at¸e¸ste securitatea unei ret¸ele, solut¸ia are cˆateva limit˘ari:
• lista adreselor asociabile unui port este limitat˘a (de multe ori la 8 sau 16 adrese);
• multe pl˘aci de ret¸ea permit schimbarea (prin soft) a adresei MAC.
9.1.6.3. Trunking
Prin trunking se ˆınt¸elege utilizarea mai multor cabluri ˆın paralel ca leg˘atur˘a ˆıntre dou˘a switch-uri. ˆIn acest fel, traficul ce se poate stabili ˆıntre acele dou˘a switch-uri este suma capacit˘at¸ilor leg˘aturilor configurate ˆın trunk- ing.
Porturile utilizate ˆın regim trunking trebuie configurate pe ambele switch-uri. Este de asemenea posibil ca legarea ˆın trunking s˘a utilizeze o extensie a protocolului IEEE 802.3 care este proprietatea firmei produc˘atoare a switch-ului; ˆın acest caz este posibil ca dou˘a swithc-uri realizate de firme diferite s˘a nu se poat˘a lega ˆın trunking.
9.1.6.4. Leg˘aturi redundante
IEEE 802.1D [IEEE 802.1D, 2004] prevede un protocol pentru de- scoperirea ¸si dezactivarea ciclurilor (ˆın sensul teoriei grafelor) formate de leg˘aturile dintre switch-uri.
Majoritatea switch-urilor nu implementeaz˘a ˆıns˘a acest algoritm ¸si, ca urmare, ˆın majoritatea cazurilor existent¸a ciclurilor duce la ,,furtuni de pachete“ (multiplicarea incontrolabil˘a a pachetelor ˆın ret¸ea).
Dac˘a toate swicth-urile de pe traseul unui ciclu implementeaz˘a proto- colul de descoperire a ciclurilor, ele colaboreaz˘a automat pentru dezactivarea uneia dintre leg˘aturi ¸si utilizarea doar a unui arbore part¸ial al grafului init¸ial al leg˘aturilor. La c˘aderea unei leg˘aturi, switch-urile vor colabora pentru reac- tivarea unei leg˘aturi dezactivate, ˆın vederea p˘astr˘arii conexit˘at¸ii ret¸elei.
Ment¸ion˘am c˘a, ˆın cazul existent¸ei unui ciclu, nu este posibil˘a ˆımp˘ar- t¸irea traficului ˆıntre drumurile alternative. Unul din drumuri va fi obligatoriu dezactivat complet, cˆat timp cel˘alalt este funct¸ional.
9.1.6.5. Ret¸ele virtuale (VLAN)
Mecanismul de ret¸ele virtuale (Virtual Local Area Network) const˘a ˆın ˆımp˘art¸irea unei ret¸ele fizice ˆın mai multe ret¸ele virtuale disjuncte. Fiecare ret¸ea virtual˘a se comport˘a exact ca o ret¸ea IEEE 802.3 independent˘a. Con- structiv, ret¸elele virtuale partajeaz˘a acelea¸si echipamente (comutatoare, ca- bluri sau chiar pl˘aci de ret¸ea).
A nu se confunda VLAN cuVPN (Virtual Private Network — ret¸ea privat˘a virtual˘a — descris˘a ˆın § 10.7.4).
Partit¸ionarea ˆın VLAN-uri poate fi dezirabil˘a din mai multe motive, cum ar fi: limitarea traficului de broadcast sau separarea traficului din motive de securitate.
Exist˘a dou˘a posibilit˘at¸i de construct¸ie a VLAN-urilor.
O prim˘a posibilitate const˘a ˆın partit¸ionarea porturilor unui switch.
ˆIn acest fel, un switch se comport˘a ca mai multe switch-uri (virtuale) inde- pendente, fiecare avˆand doar o parte a porturilor switch-ului fizic. Un port al unui switch poate s˘a apart¸in˘a doar unui singur VLAN.
O a doua posibilitate este cea definit˘a ˆın [IEEE 802.1Q, 2003]. Fiecare VLAN const˘a dintr-o parte din echipamentele (interfet¸e de ret¸ea, cabluri ¸si switch-uri) ret¸elei fizice; VLAN-uri distincte pot partaja ˆın voie echipamente fizice. Astfel, fiecare interfat¸˘a de ret¸ea apart¸ine unuia sau mai multor VLAN- uri, fiecare cablu apart¸ine unuia sau mai multor VLAN-uri ¸si fiecare port al fiec˘arui switch apart¸ine unuia sau mai multor VLAN-uri. Fiecare switch, la primirea unui pachet de broadcast sau pentru a c˘arui destinat¸ie nu are asociere,
va trimite pachetul prin toate porturile apart¸inˆand VLAN-ului pachetului, cu except¸ia portului prin care a intrat pachetul.
Pentru ca mecanismul descris mai sus s˘a poat˘a funct¸iona, este necesar ca, pe cablurile ce apart¸in mai multor VLAN-uri, pentru fiecare pachet s˘a se poat˘a deduce c˘arui VLAN apart¸ine. Pentru aceasta, fiecare pachet este etichetat cu un identificator de VLAN (VLAN-ID); acest VLAN-ID este un num˘ar reprezentabil pe 12 bit¸i.
Pentru p˘astrarea compatibilit˘at¸ii cu echipamentele ce nu suport˘a VLAN-uri 802.1Q, un segment de ret¸ea care apart¸ine doar unui singur VLAN poate fi configurat s˘a utilizeze pachete neetichetate; switch-ul ce realizeaz˘a leg˘atura dintre un astfel de segment ¸si restul ret¸elei fizice realizeaz˘a ad˘augarea
¸si eliminarea etichetei de VLAN pe pachetele ce tranziteaz˘a spre, respectiv din- spre, restul ret¸elei. Echipamentele incompatibile 802.1Q pot fi montate doar pe cabluri prin care trac pachete neetichetate.
O plac˘a de ret¸ea compatibil˘a 802.1Q poate fi configurat˘a s˘a fac˘a parte din mai multe VLAN-uri. Pentru aceasta, ea se monteaz˘a pe un cablu prin care trec pachete etichetate. Placa de ret¸ea se comport˘a ca ¸si cˆand ar fi de fapt mai multe pl˘aci de ret¸ea, virtuale, cˆate una ˆın fiecare VLAN. Fiecare plac˘a virtual˘a are asociat un VLAN-ID, prime¸ste doar pachetele ce poart˘a acel VLAN-ID ¸si marcheaz˘a cu VLAN-ID-ul s˘au toate pachetele emise.
Pe fiecare switch trebuie configurate porturile care apart¸in fiec˘arui VLAN. De asemenea, pentru fiecare port trebuie stabilit dac˘a utilizeaz˘a pa- chete etichetate (cu VLAN ID-ul) sau pachete neetichetate. Un port ce uti- lizeaz˘a pachete neetichetate poate apart¸ine unui singur VLAN.
9.1.7. Considerente privind proiectarea unei ret¸ele
Proiectarea ¸si construct¸ia unei ret¸ele Ethernet este ˆın general extrem de u¸soar˘a; acesta este ¸si unul din motivele popularit˘at¸ii Ethernet-ului.
De obicei este necesar s˘a se construiasc˘a o ret¸ea ˆın care toate calcu- latoarele s˘a se ,,vad˘a“ ˆıntre ele (la nivel de ret¸ea Ethernet; controlul accesului la diversele resurse oferite de sisteme se face prin soft, la nivel superior). Tot ce este necesar ˆın acest caz este s˘a se amplaseze un num˘ar de switch-uri ¸si cabluri astfel ˆıncˆat fiecare calculator s˘a fie legat la un switch ¸si switch-urile s˘a fie legate ˆıntre ele ˆıntr-o ret¸a conex˘a ¸si f˘ar˘a ,,bucle“.
Se utilizeaz˘a de obicei o structurare ierarhic˘a a leg˘aturilor (a¸sa-numita cablare structurat˘a): de la calculatoarele dintr-o ˆınc˘apere sau eventual 2–3 ˆınc˘aperi vecine se adun˘a cablurile ˆıntr-un switch, iar de la aceste switch-uri se adun˘a cabluri c˘atre un switch central. Pentru ret¸elele mai mari, ˆıntre switch-ul central ¸si switch-urile asociate ˆınc˘aperilor se mai adaug˘a un nivel.
ˆIn instalat¸iile mici ¸si f˘ar˘a pretent¸ii, cablurile se duc aparent ¸si se fix- eaz˘a de peret¸i sau pe mobil˘a numai acolo unde este strict necesar. U¸surint¸a re- aliz˘arii ¸si reconfigur˘arii este pl˘atit˘a prin faptul c˘a apar dificult˘at¸i la cur˘at¸enie, cablurile se degradeaz˘a u¸sor dac˘a se calc˘a pe ele ¸si, ˆın sfˆar¸sit, se mai ˆıntˆampl˘a ca cineva s˘a se ˆımpiedice de un cablu, rezultˆand echipamente trase pe jos sau cabluri smulse din conectoare.
Pentru evitatarea neajunsurilor expuse mai sus, se prefer˘a s˘a se trag˘a cablurile prin paturi de cablu, tuburi ˆıngropate (ca la instalat¸iile electrice) sau prin tavane false. Deoarece astfel de cablaje se modific˘a mai dificil, este bine s˘a se aib˘a ˆın vedere posibilele modific˘ari ce ar putea fi de dorit ˆın viitor. Asta ˆınseamn˘a:
• S˘a se prevad˘a mai multe cabluri de la posibile amplasamente de calcu- latoare la amplasamentul switch-ului asociat ˆınc˘aperii. Cablurile neu- tilizate nu e necesar s˘a aib˘a toate loc ˆın switch; se vor conecta sau deconecta dup˘a necesit˘at¸i.
•S˘a se prevad˘a 2–3 cabluri de la switch-urile corespunz˘atoare unei ˆınc˘aperi la switch-ul central. Astfel, dac˘a va fi nevoie s˘a se construiasc˘a dou˘a ret¸ele distincte, o parte din calculatoarele din ˆınc˘apere conectˆandu-se la o ret¸ea ¸si altele la alt˘a ret¸ea, se vor pune dou˘a switch-uri ˆın ˆınc˘apere, fiecare conectat prin cˆate un cablu la switch-ul central.
9.2. Ret ¸ele IEEE 802.11 (Wireless)
9.2.1. Arhitectura ret¸elei
Elementul de baz˘a ˆıntr-o ret¸ea wireless [IEEE 802.11, 1999] estecelula wireless (termenul original conform standardului este Basic Service Set — BSS). O celul˘a wireless este format˘a din mai multe stat¸ii (STA) situate ˆıntr-o zon˘a geografic˘a destul de restrˆans˘a (de ordinul cˆatorva zeci de metri) pentru ca semnalul emis de fiecare stat¸ie s˘a fie recept¸ionat de toate stat¸iile din celul˘a.
Fiecare celul˘a are asociat un identificator de 48 de bit¸i, unic, numit Basic Service Set ID— BSSID. Acest identificator este ˆınscris ˆın fiecare pachet de date vehiculat ˆın ret¸ea, astfel ˆıncˆat pentru orice pachet de date recept¸ionat prin anten˘a se poate determina celula wireless c˘areia ˆıi apart¸ine. Mai multe celule wireless pot coexista ˆın aceea¸si zon˘a, traficul din cadrul fiec˘arei celule putˆand fi distins pe baza BSSID-ului de traficul celorlalte celule.
Fiecare stat¸ie apart¸ine (este asociat˘a) la un anumit moment cel mult unei celule. Asocierile sunt dinamice — o stat¸ie poate s˘a intre sau s˘a ias˘a
oricˆand dintr-o celul˘a. Fiecare stat¸ie se identific˘a printr-oadres˘a unic˘a de 48 de bit¸i, numit˘a ˆın mod curentadresa MAC a stat¸iei.
Accesul la mediu este controlat ˆın principal prin metode bazate pe urm˘arirea traficului pe mediu, detectarea coliziunilor ¸si, ˆıntr-o anumit˘a m˘a- sur˘a, metode de rezervare ˆın prealabil a accesului la mediu. Acestea vor fi descrise ˆın detaliu ˆın§ 9.2.2.
Prezent¸a unei celule wireless organizate ˆıntr-o anumit˘a zon˘a este man- ifestat˘a prin emiterea periodic˘a de c˘atre una dintre stat¸ii a unui pachet special, numitbeacon. Pe lˆang˘a BSSID-ul celulei, pachetelebeacon mai cont¸in un ¸sir de caractere numit SSID sau uneori numele ret¸elei (engl. network name). Acest
¸sir este fixat de administratorul ret¸elei ¸si serve¸ste la identificarea ret¸elei pentru utilizatorii umani.
O stat¸ie poate obt¸ine lista celulelor active ˆın zona sa ascultˆand pa- chetelebeacon. Lista afi¸sat˘a utilizatorului va cont¸ine SSID-urile ret¸elelor.
Exist˘a dou˘a moduri de lucru ˆın care poate funct¸iona o ret¸ea 802.11:
• Ret¸ea format˘a dintr-o singur˘a celul˘a independent˘a, neconectat˘a prin mi- jloace IEEE 802 de alte echipamente. ˆIn terminologia standardului, o astfel de celul˘a se nume¸ste Independent BSS — IBSS; ˆın mod curent ret¸eaua astfel format˘a se nume¸stead-hoc.
•Ret¸ea format˘a din una sau mai multe celule, operˆand ˆımpreun˘a ¸si posibil conectate la o infrastructur˘a IEEE 802 (de exemplu la o ret¸ea Ethernet
— 802.3). Un astfel de mod de lucru se nume¸stemod infrastructur˘a sau managed.
ˆIn mod infrastructur˘a, ˆın cadrul fiec˘arei celule exist˘a o stat¸ie care are rolul leg˘arii celulei la infrastructur˘a (altfel spus, la restul ret¸elei IEEE 802.11). O astfel de stat¸ie poart˘a denumirea de Access Point — AP. Un AP este o stat¸ie, ¸si ca atare are o adres˘a MAC. ˆIntr-o celul˘a a unei ret¸ele de tip infrastructur˘a, o stat¸ie ce intr˘a sau iese dintr-o celul˘a trebuie s˘a anunt¸e AP-ul responsabil de celula respectiv˘a.
AP-ul este responsabil de generarea pachetelor beacon ¸si BSSID-ul celulei este adresa MAC a AP-ului.
AP-urile unei aceleia¸si ret¸ele 802.11 trebuie s˘a fie interconectate, formˆand a¸sa-numitul Distribution System (DS). DS-ul poate fi conectat la alte ret¸ele din familia IEEE 802 prin intermediul unor dispozitive numitepor- tal-uri. Celulele din aceea¸si ret¸ea vor avea acela¸si SSID.
Standardul original nu prevede nimic ˆın leg˘atur˘a cu modul de conectare a AP-urilor ¸si deci de realizare a DS-ului. Ca urmare, fiecare fabricant de AP- uri ¸si-a construit propriul protocol de comunicare inter-AP. Ulterior IEEE a
emis un standard, [IEEE 802.11F, 2003], care fixeaz˘a un protocol de comuni- care ˆıntre AP-uri.
De obicei un dispozitiv vˆandut sub numele de access point cont¸ine un AP ¸si un portal c˘atre ret¸ele Ethernet. Un astfel de dispozitiv prezint˘a un modul radio prin intermediul c˘aruia se comport˘a ca o stat¸ie cu rol de AP ¸si un conector Ethernet. ˆIntr-o prim˘a aproximat¸ie, un astfel de dispozitiv poate fi privit ca unswitch conectat pe de o parte la fiecare dintre stat¸iile membre ale celulei ¸si pe de alt˘a parte la un dispozitiv Ethernet.
Unele access point-uri ce se g˘asesc ˆın comert¸ ofer˘a funct¸ionalit˘at¸i suplimentare fat¸˘a de un AP combinat cu un portal. Aceste funct¸ii sunt oferite prin extensii ale protocolului ¸si ca urmare pot fi utilizate de regul˘a doar ˆımpreun˘a cu echipamente produse de aceea¸si firm˘a. Funct¸ionalit˘at¸ile sunt:
•funct¸ie deswitch (punte) ˆıntre o ret¸ea Ethernet (fix˘a) ¸si o celul˘awireless, act¸ionˆand ˆıns˘a ca ¸si stat¸ie oarecare (nu AP). Aceast˘a funct¸ie se nume¸ste wireless bridge sauAP client (uneori exist˘a funct¸ii cu ambele nume, cu diferent¸e minore ˆıntre ele);
• funct¸ie de AP, dar utilizˆand tot ret¸eaua wireless pentru partea de infra- structur˘a. ˆIn acest mod, dispozitivul este ˆın acela¸si timp AP pentru o celul˘a ¸si stat¸ie oarecare ˆın alt˘a celul˘a, iar a dou˘a leg˘atur˘a este utilizat˘a pentru dirijarea spre ret¸eaua fix˘a a datelor din celula ˆın care dispozitivul este AP.
9.2.2. Accesul la mediu
Deoarece ˆıntr-o ret¸ea 802.11 avem un mediu partajat ˆıntre mai mult¸i emit¸˘atori, este necesar s˘a avem un mecanism de control al accesului la mediu.
Metoda de control al accesului la mediu ˆın IEEE 802.11 se nume¸ste Carrier- Sense Multiple Access with Collision Avoidance (CSMA/CA; rom: acces mul- tiplu cu detectarea semnalului purt˘ator ¸si evitarea coliziunilor).
ˆIn principal, strategia de control al accesului la mediu se bazeaz˘a pe detectarea coliziunilor ¸si repetarea pachetelor ce au suferit coliziuni, adic˘a aceea¸si strategie ca ¸si pentruEthernet-ul pe cablu coaxial.
Datorit˘a condit¸iilor specifice ret¸elelor f˘ar˘a fir, sunt aduse cˆateva modific˘ari.
ˆIn principal, la transmisia radio nu exist˘a o delimitare comun˘a ˆıntre zonele de act¸iune pentru diverse stat¸ii din aceea¸si celul˘a: este posibil ca o stat¸ie B s˘a recept¸ioneze bine transmisia stat¸iei A, stat¸ia C s˘a recept¸ioneze transmisia lui B, dar stat¸ia C s˘a nu recept¸ioneze transmisia lui A. ˆIntr-un astfel de caz, dac˘a A ¸si C transmit simultan, pachetele emise se ciocnesc la B, dar deoarece nici
una din stat¸iile A ¸si C nu recept¸ioneaz˘a transmisia celeilalte ele nu au cum s˘a detecteze coliziunea.
ˆIn ret¸elele IEEE 802.11, o stat¸ie care dore¸ste s˘a trimit˘a un pachet va trimite ˆıntˆai un pachet de control, numit Request To Send (RTS; rom:
cerere de transmisie), ˆın care specific˘a destinatarul ¸si durata de timp necesar˘a transmiterii pachetului. Dac˘a destinatarul a primit pachetul RTS ¸si este liber, va trimite ˆınapoi un pachet de control Clear To Send (CTS; rom: accept transmisia). La primirea pachetului CTS, emit¸˘atorul trimite pachetul de date.
O stat¸ie care recept¸ioneaz˘a un pachet CTS destinat altei stat¸ii nu are voie s˘a trimit˘a nimic pe durata rezervat˘a de pachetul CTS, pentru a nu interfera cu transmisia acceptat˘a prin acel CTS. Aceast˘a restrict¸ie trebuie respectat˘a ¸si ˆın cazul recept¸iei unui pachet CTS destinat altei ret¸ele din aceea¸si zon˘a (adic˘a purtˆand un BSS-ID diferit).
Utilizarea pachetelor RTS ¸si CTS nu este obligatorie. Pentru pa- chetele mici este preferabil˘a trimiterea direct a pachetului de date ¸si repetarea acestuia ˆın cazul unei coliziuni. Pentru pachetele debroadcast, utilizarea RTS
¸si CTS este imposibil˘a; ca urmare un pachet de broadcast este trimis direct.
9.2.3. Generarea pachetelor beacon
ˆIn modul infrastructur˘a, pachetelebeacon ale unei celule sunt gener- ate exclusiv de c˘atre AP-ul celulei.
ˆIn modul ad-hoc, generarea pachetelorbeacon este f˘acut˘a distribuit, de c˘atre toate stat¸iile membre ale celulei IBSS. Simplificat, o stat¸ie care nu recept¸ioneaz˘a un beaconˆıntr-un anumit interval de timp predefinit genereaz˘a ea ˆıns˘a¸si pachetul beacon.
9.2.4. Securitatea ret¸elelor 802.11
Deoarece la ret¸elele 802.11 comunicat¸ia este prin unde radio, a c˘aror domeniu de act¸iune nu poate fi net limitat, utilizarea unor metode care s˘a asigure confident¸ialitatea ¸si integritatea datelor transportate este esent¸ial˘a.
Exist˘a mai multe mecanisme de securitate ce pot fi utilizate. ˆIn cadrul unei celule se poate utiliza, la alegere, unul singur dintre acestea:
• Open system: ˆınseamn˘a, de fapt, lipsa oric˘arui mecanism de securitate.
Se utilizeaz˘a acolo unde se dore¸ste s˘a se ofere acces public la Internet. De remarcat ˆıns˘a c˘a, datorit˘a lipsei oric˘arui mecanism de confident¸ialitate sau asigurarea integrit˘at¸ii mesajelor, oricine poate asculta sau modifica comunicat¸ia oricui ˆın cadrul celulei.
•Wired Equivalent Privacy — WEP (rom.securitate echivalent˘a cu ret¸eaua cablat˘a): ofer˘a confident¸ialitate ¸si autentificarea ¸si verificarea integrit˘at¸ii
mesajelor. ˆIn acest scop, tot¸i membrii celulei trebuie s˘a cunoasc˘a o an- umit˘a cheie de lung˘a durat˘a, numit˘a pre-shared key (rom. cheie par- tajat˘a ˆın prealabil); aceast˘a cheie trebuie dat˘a de utilizator la init¸ierea celulei sau, dup˘a caz, la introducerea stat¸iei ˆın celul˘a. Criptarea se face utilizˆand cifrul RC4, cu o cheie construit˘a din secretul partajat
¸si dintr-un vector de init¸ializare ales aleator, pentru fiecare pachet, de c˘atre emit¸˘ator ¸si transmis ˆın antetul pachetului. Controlul integrit˘at¸ii pachetului este f˘acut tot pe baza secretului partajat. WEP are dou˘a sl˘abiciuni: pe de o parte, datorit˘a existent¸ei unei sl˘abiciuni a cifrului RC4 (exist˘a cˆateva chei slabe, foarte u¸sor de spart), WEP poate fi spart destul de u¸sor; pe de alt˘a parte, modelul de securitate oferit este destul de neflexibil.
• WiFi Protected Access — WPA: corecteaz˘a problemele WEP, p˘astrˆand compatibilitatea cu pl˘acile de ret¸ea existente. ˆIn privint¸a cript˘arii, WPA p˘astreaz˘a cifrul RC4 din motive de compatibilitate, dar vine cu o schem˘a diferit˘a de gestiune a cheilor de criptare, capabil˘a s˘a evite cheile slabe.
ˆIn privint¸a obt¸inerii unui model de securitate mai flexibil, WPA are dou˘a moduri de lucru:
- WPA-Personal, numit ¸si WPA-PSK (de la Pre-Shared Key), ˆın care se utilizeaz˘a un secret partajat ˆıntre tot¸i membrii celulei, fiind similar cu WEP (dar mult mai sigur).
- WPA-Entreprise, ˆın care cheile se obt¸in pe baza unor chei individ- uale ale utilizatorilor. Controlul accesului ¸si obt¸inerea cheilor se face printr-un mecanism numitExtensible Authentication Protocol (EAP), descris mai jos.
• IEEE 802.11i [IEEE 802.11i, 2004], numit ¸si WPA2, extinde WPA a- d˘augˆand, ˆıntre altele, posibilitatea utiliz˘arii cifrului AES. Ca ¸si ˆın cazul WPA, exist˘a dou˘a moduri de lucru, cu cheie partajat˘a ˆın prealabil sau utilizˆand EAP.
Protocolul de autentificare extensibil, EAP [RFC 3748, 2004], este un protocol generic, ce permite utilizarea mai multor scheme de autentifi- care. EAP este utilizat ¸si de alte protocoale ˆın afar˘a de WPA ¸si WPA2, ¸si anume poate fi utilizat ˆın cadrul leg˘aturilorPPP [RFC 1661, 1994], precum
¸si pentru autentificarea conect˘arilor la o ret¸ea cablat˘a IEEE 802.3, conform [IEEE 802.1X, 2001].
Arhitectura EAP cont¸ine urm˘atoarele componente:
•clientulce trebuie s˘a-¸si dovedeasc˘a identitatea ˆın scopul obt¸inerii accesului
la ret¸ea. Rolul clientului ˆıl are placa de ret¸ea 802.11 (sau placa de ret¸ea 802.3 sau clientul PPP). ˆIn terminologiaEAP, acesta este numit supplicant.
• punctul de acces este entitatea care trebuie s˘a autentifice clientul pentru a-i oferi acces la serviciile ret¸elei. Rolul de punct de acces ˆıl are AP-ul 802.11 (sau switch-ul 802.3 sau serverul PPP). ˆIn terminologia EAP, acesta se nume¸steauthenticator.
• serverul de autentificare este entitatea care det¸ine baza de date cu cheile client¸ilor ¸si realizeaz˘a efectiv autentificarea.
ProtocolulEAP prevede un schimb de mesaje ˆıntre client ¸si serverul de auten- tificare. Dac˘a serverul de autentificare este distinct fat¸˘a de punctul de acces, comunicat¸ia dintre client ¸si serverul de autentificare trece prin punctul de ac- ces, iar port¸iunea din calea de comunicat¸ie dintre punctul de acces ¸si serverul de autentificare este protejat˘a criptografic pe baza unui secret partajat ˆıntre punctul de acces ¸si serverul de autentificare. Serverul de autentificare este de obicei un server RADIUS.
Unele dintre mecanismele efective de autentificare utilizabile ˆın cadrul EAP sunt:
•EAP-MD5 prevede c˘a serverul de autentificare trimite clientului un num˘ar aleator, iar clientul r˘aspunde cu dispersia MD5 a concaten˘arii num˘arului aleator cu parola clientului. Funct¸ionarea mecanismului necesit˘a ca serverul s˘a aib˘a ˆın baza de date, ˆın clar, parola clientului. EAP-MD5 permite doar autentificarea clientului, nu ¸si stabilirea unor chei pentru criptarea sau autentificarea mesajelor.
•EAP-TLS necesit˘a ca atˆat clientul cˆat ¸si serverul de autentificare s˘a aib˘a prestabilite chei secrete SSL/TLS, iar fiecare dintre ei s˘a aib˘a certificatul TLS al celuilalt (vezi ¸si§ 11.3.2.5). Se stabile¸ste o conexiune TLS ˆıntre client ¸si serverul de autentificare, utilizˆand certificatele acestora, iar ˆın cadrul acestei conexiuni stabilesc cheile pentru comunicat¸ia ulterioar˘a ˆıntre client ¸si punctul de acces.
• PEAP (de laProtected EAP) prevede utilizarea TLS pentru deschiderea unei conexiuni securizate ˆıntre client ¸si serverul de autentificare, ˆıns˘a doar serverul are o cheie TLS, clientul autentificˆand serverul pe baza certificatului corespunz˘ator. Dup˘a deschiderea conexiunii TLS, urmeaz˘a autentificarea clientului de c˘atre server, iar ˆın caz de succes are loc ne- gocierea cheilor pentru securizarea comunicat¸iei ˆıntre client ¸si punctul de acces. ˆIn terminologia PEAP, conexiuneaTLS se nume¸ste mecanis- mul exterior de autentificare, iar mecanismul de autentificare a clientului
se nume¸stemecanismul interior. Mecanismul interior cel mai r˘aspˆandit esteMSCHAP, care este un mecanism similar cu EAP-MD5.
