a decentralizované pro magisterský stupeň studia Slezská univerzita v Opavě Ústav informatiky

Rozměr: px
Začít zobrazení ze stránky:

Download "a decentralizované pro magisterský stupeň studia Slezská univerzita v Opavě Ústav informatiky"

Transkript

1 Šárka Vavrečková očítačové sítě a decentralizované systémy pro magisterský stupeň studia Slezská univerzita v Opavě Filozoficko-přírodovědecká fakulta Ústav informatiky Opava, poslední aktualizace 4. června 2015

2 Anotace: Tato skripta jsou určena pro studenty předmětu očítačové sítě a decentralizované systémy. ředpokládají alespoň základní znalosti v oblasti počítačových sítí, navazujeme na předmět očítačová sít a Internet na bakalářském stupni studia. očítačové sítě a decentralizované systémy RNDr. Šárka Vavrečková, h.d. Dostupné na: Ústav informatiky Filozoficko-přírodovědecká fakulta Slezská univerzita v Opavě Bezručovo nám. 13, Opava Sázeno v systému L A TEX Tato inovace předmětu očítačové sítě a decentralizované systémy je spolufinancována Evropským sociálním fondem a Státním rozpočtem ČR, projekt č. CZ.1.07/2.3.00/ , osílení konkurenceschopnosti výzkumu a vývoje informačních technologií v Moravskoslezském kraji.

3 ředmluva Co najdeme v těchto skriptech Tato skripta jsou určena pro studenty informatických oborů na Ústavu informatiky Slezské univerzity v Opavě, a to na magisterském stupni. Záběr skript je velmi široký. řesto, že v předmětu máme pouze přednášky, najdeme zde i příklady, zejména v oblasti sít ových funkcí v operačních systémech Windows a Linux. Některé příklady jsou vloženy přímo do textu, ale většina je zařazena do příloh B a C. Některé oblasti jsou také navíc (jsou označeny ikonami fialové barvy), ty nejsou probírány a ani se neobjeví na testech jejich úkolem je motivovat k dalšímu samostatnému studiu nebo pomáhat v budoucnu při získávání dalších informací dle potřeby v zaměstnání. ředpokládáme, že studentům ještě zůstalo něco ze znalostí nabytých v bakalářském studiu (předmět očítačová sít a Internet). řesto se předměty částečně překrývají, protože pamět studentů je děravá a je to přece tak dávno :-). Značení Ve skriptech se používají následující barevné ikony: Nové pojmy, názvy souborů, obecné postupy, používané symboly, apod. jsou značeny modrým symbolem v poznámce na okraj, který vidíme také zde vpravo. Konkrétní postupy a nástroje (příkazy, programy, soubory, skripty), způsoby řešení různých situací, do kterých se může administrátor dostat, syntaxe příkazů atd. jsou značeny také modrou ikonou. Zvlášt je také vyznačen text, který je obvykle výstupem probíraných příkazů (včetně těch, jejichž spuštění vyžaduje vyšší přístupová oprávnění) nebo může jít o obsah některých souborů. Barva ikony je oranžová. M iii

4 iv V některých případech si lze vybrat určitý počet z několika možností, není třeba se učit vše. Například v první kapitole se studenti nemusí učit všechny standardizační instituce, ale vyberou si jen některé z nich. Některé části textu jsou označeny fialovou ikonou, což znamená, že jde o nepovinné úseky, které nejsou probírány (většinou; studenti si je mohou podle zájmu vyžádat nebo sami prostudovat). Jejich účelem je dobrovolné rozšíření znalostí studentů o pokročilá témata, na která obvykle při výuce nezbývá moc času. Žlutou ikonou jsou označeny odkazy, na kterých lze získat další informace o tématu. Může jít o způsoby získání nápovědy, nejčastěji však u této ikony najdeme odkazy na internet. Červená je ikona pro upozornění a poznámky. Opticky jsou odlišeny také řešené příklady a neřešené úlohy. J L říklad Takto vypadá prostředí s příkladem. Nejvíc příkladů najdeme v přílohách B (Windows) a C (Linux). Úkoly Otázky a úkoly, náměty na vyzkoušení, které se doporučuje při procvičování učiva provádět, jsou uzavřeny v tomto prostředí. okud je v prostředí více úkolů, jsou číslovány. Na stránkách předmětu je k dispozici orientační seznam otázek a úkolů, které se mohou objevit na zkouškové písemce, ovšem v písemce se mohou objevit mírné odlišnosti.

5 Obsah 1 Základní pojmy a nástroje Standardizační instituce Adresování Typy adres Mapování adres Model TC/I Vrstvy Vrstva sít ového rozhraní rotokoly sít ové vrstvy rotokoly transportní vrstvy rotokoly aplikační vrstvy Sady protokolů rotokol Iv Iv4 datagramy Adresy Iv řeklad adres Adresy podsítě Jak stanice může získat Iv4 adresu rotokol Iv Iv6 datagramy Adresy Iv Jak stanice může získat Iv6 adresu Zóny ICMv6 a ND Ethernet Základní pojmy Co je to Ethernet v

6 vi Sít ové prvky Linková vrstva řenosové techniky Zajištění přenosu pro poloviční duplex Zajištění přenosu pro plný duplex Zajištění přijetí dat VLAN Fyzická vrstva NIC Kódování signálu Fyzická vrstva v ISO/OSI modelu Standardy pro fyzickou vrstvu Mb Ethernet Fast Ethernet Gigabit Ethernet Gb Ethernet Technologie Křížení Auto-negotitation Multiple-Rate Ethernet oe EFM Metro Ethernet Další témata k lokálním sítím EtherChannel Vlastnosti Řízení toku rotokoly SAN sítě Fibre Channel iscsi Virtuální lokální sít VLAN Členství ve skupině Určení členství Zajištění komunikace mimo VLAN WAN sítě Spojové protokoly HDLC LA protokoly

7 vii SLI Rozšíření IEEE (LLC) X Zařízení v síti Adresy a navázání spojení Vrstvy a protokoly Frame Relay Zařízení v síti Garance informačního toku Spojová vrstva a adresace LMI Tabulky na zařízeních Řešení ATM Zařízení a cesty v síti Buňky Architektura QoS Adresace a navázání spojení ILMI Spolupráce s LAN MLS řepínání značek Směrování v MLS Vytváření cest Další možnosti Optické přenosové cesty SONET/SDH WDM a DWDM Data a telekomunikační sítě Dial-up technologie Shannonův teorém Telefonní sít řenos dat na telefonních linkách Modemy ISDN rincip ISDN

8 viii BRI Technologie xdsl ADSL Implementace ADSL ADSL na straně IS Další xdsl technologie Telefonní sítě a telefonní ústředny Slučování linek Telefonní ústředny VoI rincip rotokoly Videotelefonie a videokonference Bezdrátové a mobilní sítě Bezdrátové technologie Wi-Fi Základní princip Režimy Fyzická vrstva v ISO/OSI, frekvenční spektrum Struktura HY, modulace Antény a MIMO odvrstva MAC Úvod do šifrování AAA Zabezpečení Wi-Fi sítí Wi-fi čtvrté a páté generace WiMAX Vlastnosti Zařízení Mobilní technologie rvní generace (1G) Druhá generace (2G) řechodová generace (2.5G) Třetí generace (3G) Další generace Centralizovanost, decentralizovanost, distribuce ojmy Typy systémů Distribuované systémy

9 ix 7.2 Bridging Most ST Switching Routing Směrovač Směrování Směrovací algoritmy a protokoly RI IGR a EIGR OSF IS-IS EG a BG Softwarový směrovač CESNET Multimediální přenosy Metacentrum, výpočetní gridy CESNET CSIRT, CERTS QoS rincip QoS DiffServ Jmenné a adresářové služby rincip a struktura DNS Dotazy v DNS DNS záznamy a formát dotazu Bezpečnost v DNS Adresářové služby a Active Directory Bezpečnost a správa sítí Bezpečnost v sítích Typy útoků Zabezpečení na jednotlivých vrstvách ISO/OSI Sít ový analyzátor Firewall rincip firewallu Typy filtrování OpenWRT VN ISec VN na sít ové vrstvě GRE a L2T tunely SSL/TLS VN

10 x SSH MLS VN Správa sítě NMS ISO model řízení sítě Management v ISO/OSI Management v TC/I SNM MIB-II oužívání protokolu SNM Syslog Monitorování sítě rotokol RMON Snort NetFlow WBEM rincip WBEM WMI Dohledové systémy Nagios Zabbix OpenNMS Zenoss Cacti Seznam doporučené literatury 211 řílohy 213 A Co už bychom měli znát 215 A.1 Lokální sítě A.1.1 Vlastnosti spojů A.1.2 Vlastnosti služeb A.1.3 Multiplexování A.1.4 řístupové metody A.1.5 Řízení toku dat v síti A.2 WAN sítě A.2.1 Okruhy A.2.2 Komunikace v rozlehlé síti A.3 Model ISO/OSI A.3.1 rincip

11 xi A.3.2 ojmy A.3.3 Vrstvy A.3.4 DU A.4 IEEE A.4.1 Skupina standardů IEEE A.4.2 IEEE B ráce s adresami a sítěmi ve Windows 230 B.1 roblémy při používání příkazů ve Windows B.2 Soubory související se sítěmi B.3 ráce s adresami a sít ovými kartami B.3.1 Základní práce s I adresami ipconfig B.3.2 řeklad adres arp a nslookup B.3.3 Směrování route B.3.4 Malá sít a skupina (workgroup) B.4 Testování a statistiky B.4.1 Testování cesty a průchodnosti B.4.2 Statistiky v netstatu B.5 Služba WMI a program wmic B.6 Firewall ve Windows B.7 Další příkazy C ráce s adresami a sítěmi v Linuxu 249 C.1 Specializované distribuce C.2 Soubory související se sítěmi C.3 Starší příkazy pro práci s adresami C.4 Mechanismus iproute2 (příkaz ip) adresy, sít, směrování C.4.1 Konfigurace sít ového rozhraní a adres C.4.2 Směrování a filtrování C.4.3 Objevování sítě C.4.4 Tunely C.5 řeklad názvů C.5.1 Název počítače C.5.2 Resolver a soubor resolv.conf C.5.3 Testování DNS C.5.4 Zjistění informací o doméně C.6 Firewall v Linuxu C.6.1 rincip firewallu C.6.2 Základní vnitřní příkazy a parametry pro filtrování C.6.3 SI C.6.4 NAT a maškaráda

12 C.6.5 Označování paketů C.6.6 Skripty C.6.7 Uložení změn C.7 Testování a statistiky C.7.1 Základní nástroje C.7.2 okročilé testování C.8 Vzdálený přístup C.9 Další příkazy xii

13 Kapitola 1 Základní pojmy a nástroje robereme nejdůležitější standardizační instituce, které se angažují v oblasti počítačových sítí, a dále se podíváme na adresování, model TC/I a zejména se budeme věnovat protokolům Iv4 a Iv6. V této kapitole již předpokládáme, že studenti ovládají témata z přílohy A. 1.1 Standardizační instituce Slučitelnost produktů různých výrobců je důležitá především z důvodu možnosti spolupráce zařízení. Rozlišujeme tato řešení: 1. roprietální řešení (proprietary) výrobce si vytvoří zcela vlastní řešení neslučitelné s jinými, 2. Standard řešení se stává standardem (protokoly, konvence, parametry) z důvodu zajištění vzájemné kompatibility zařízení odpovídajících tomuto standardu; závisí na typu organizace, která standard vydává: doporučení standard vydán některou mezinárodní standardizační institucí, norma standard stanoven vládní institucí, povinný. odíváme se na několik nejznámějších standardizačních institucí. Není nutné znát úplně všechny, ale měli bychom alespoň vědět, že existují a čím se zabývají, v následujícím textu se na některé z nich budeme odvolávat. Mezinárodní telekomunikační unie (ITU International Telecommunications Union) je celosvětová organizace (pracuje v rámci OSN). Má tři části (reorganizace byla provedena v roce 1993): J radiokomunikační sektor (ITU-R), telekomunikační normalizační sektor (ITU-T), sektor rozvoje telekomunikací (ITU-D). ITU-T (původně CCITT Commité Consultatif International de Télegraphique et Téléphonique) je část ITU, jejíž činnost souvisí také s počítačovými sítěmi. Členy s hlasovacím právem jsou země 1

14 1.1 STANDARDIZAČNÍ INSTITUCE 2 zastoupené telekomunikačními organizacemi z jednotlivých zemí, členy bez hlasovacího práva mohou být i další organizace. Členství není bezplatné. Je to nevládní instituce, vydává doporučení. Nejznámější je doporučení X.25 pro veřejné datové sítě. ISO (International Organization for Standardization) je nevládní organizace, vydává doporučení (nazývají se normy, ale nejsou přímo závazné). Členy jsou národní standardizační organizace z jednotlivých zemí. ISO má hierarchickou strukturu: člení se na asi 200 technických komisí (TC Technical Committee), každá TC se člení na subkomise (SC Subcommittee), každá SC se člení na pracovní skupiny (WG). Návrhy jsou zespoda, od pracovních skupin vytvoří working paper (W, pracovní verze), dalším stupněm je committee draft (CD, koncept vytvořený komisí, dříve draft proposal), následuje draft international standard (DIS, koncept mezinárodní normy), posledním stupněm je international standard (IS, mezinárodní norma). Nejznámějším standardem této organizace je referenční model ISO/OSI. Text tohoto standardu také vydala organizace ITU-T jako své doporučení X.200. IEEE (Institute of Electrical and Electronics Engineers) je profesní sdružení amerických inženýrů elektroniky a elektřiny s vlastním standardizačním orgánem. Nejznámějším počinem tohoto sdružení je skupina standardů IEEE 802 pro (převážně) lokální sítě. IEC (International Electrotechnical Commission) je jakýsi doplněk ISO. IEC a ISO spolu hodně spolupracují, IEC má na starosti vše z počítačových sítí, co není v zaměření ISO (tj. hlavně specifikace elektrických a elektronických zařízení, fyzická vrstva). ETSI (European Telecommunications Standard Institute) vytváří evropské standardy v oblasti telekomunikací (například Euro-ISDN), hodně spolupracuje s ostatními podobnými organizacemi (například na GSM a jiných mobilních sítích). Český normalizační institut (ČNI) je česká organizace zajišt ující vytváření našich národních norem. Tato činnost však už není považována za prioritní, za důležitější se považuje harmonizace s mezinárodními (především evropskými) normami, tedy úkolem ČNI je také shromažd ování a poskytování informací o mezinárodních normách a účast na mezinárodní spolupráci v tomto směru. IAB (Internet Architecture Board) je rada pro architekturu Internetu. Vydává informace o konvencích a sít ových protokolech, tzv. RFC (Request for Comments), které jsou volně dostupné na Internetu. Například RFC 760 původní návrh adresace I, RFC 768 protokol UD, RFC 791 popis protokolu I, RFC 792 protokol ICM, RFC 793 protokol TC,

15 1.2 ADRESOVÁNÍ 3 RFC 826 protokol AR, RFC 959 protokol FT, RFC 1878 tabulky konverze adres pro podsítě v I a příklady adresování, RFC 2460 protokol Iv6, RFC 2462 autokonfigurace adres Iv6, atd. ANSI (American National Standards Institute) je nevládní organizace, reprezentuje USA v ISO, nejznámějším standardem je kód ASCII, v oblasti sítí například FDDI, ISDN, Frame Relay. EIA (Electronic Industries Assocation) sdružuje výrobce zařízení pro telekomunikace především z USA, nejznámějším standardem je RS-232-C. Obecně se zaměřuje na specifikaci fyzické úrovně zařízení. TIA (Telecommunication Industries Assocation) je sdružení firem z oblasti telekomunikačních technologií, spolupracuje s EIA a zaměřuje se na rozhraní a kabeláž v telekomunikačních sítích. Standardy vydané TIA (nebo EIA/TIA) bývaly původně označovány názvem začínajícím RS (Recommended Standard). 1.2 Adresování Typy adres Adresový prostor může být hierarchický adresy mají strukturu vycházející z hierarchie sítě, obvyklé u větších adresových prostorů, zařízení jsou členěna do skupin a příp. podskupin plochý (flat) adresy nemají vnitřní strukturu, adresový prostor není nijak členěn na podprostory (malé sítě) Adresy linkové vrstvy jsou typickým příkladem adres v plochém adresovém prostoru. Tento typ adres především jednoznačeně určuje zařízení v (lokální) síti. MAC adresy (Media Access Control) patří k adresám, které se používají na linkové vrstvě, tedy se jedná o plochý model adresování a musí (tedy měla by) jednoznačně identifikovat zařízení v síti. MAC adresa může vypadat například takto (hexadecimální číslice, oddělené pomlčkou nebo dvojtečkou): 00-0F-FE AB O MAC adresách v jedné z následujících sekcí (strana 8). Adresy sít ové vrstvy (také virtuální, logické adresy) využívají hierarchický adresový prostor. Narozdíl od předchozích nejsou fixovány na konkrétní zařízení, mohou být také dynamicky přidělovány. Typickým příkladem jsou I adresy. I adresy jsou definovány v protokolu I. V současné době se používají dvě verze starší Iv4 je dnes běžně dostupná prakticky na kterémkoliv sít ovém zařízení, novější Iv6 sice (teoreticky) je dostupná, ale tato verze protokolu ještě rozhodně není všude zprovozněna.

16 1.2 ADRESOVÁNÍ 4 I adresám se budeme podrobně věnovat později, ted jen stručně pro ilustraci I adresa protokolu Iv4 se skládá ze 4 částí, každá část je číslo zabírající 1 B. Obvykle se zapisuje jako čtveřice decimálních čísel oddělených tečkou. I adresy mají také všeobecnou adresu opět jsou všechny bity nastaveny na 1, tj. u Iv4 to je (toto platí v rámci lokální sítě). odrobnosti v této kapitole v sekci o protokolu I. Doménové adresy (názvy) se používají jako uživatelsky přívětivější obdoba I adres (například je jedna z doménových adres WWW serveru Googlu). Doménové adresy jsou také hierarchické (pozor, v opačném pořadí než I adresy zatímco u I adresy je nejširší oblast vlevo na začátku adresy, u doménové vpravo). ro překlad mezi doménovým názvem a I adresou se používají jmenné služby, na Internetu především DNS. Doménovým názvům se věnujeme v kapitole o jmenných službách (str. 163) Mapování adres Různé typy adres je třeba navzájem mapovat. To lze provést třemi způsoby: 1. oužívání mapovacích tabulek, například mezi vrstvami L2/L3 jde typicky o mapování sít ových adres na MAC adresy (tj. jejich vzájemné přiřazování) protokolem AR, reverzní mapování zajišt uje protokol RAR (Reverse AR). odobný princip funguje i v DNS. 2. oužívání protokolu typu Hello, vzájemné (pravidelné) sdělování adres. 3. Vnoření MAC adresy do sít ové adresy nebo jiná (algoritmizovatelná) závislost MAC adresy na sít ové adrese predictable MAC addresses. Zatímco protokol Iv4 používá dynamické mapování pomocí AR, Iv6 z důvodu zvýšení efektivity umožňuje také částečné statické mapování, kdy MAC adresa může být součástí Iv6 adresy. 1. Tabulky. řeklad sít ových Iv4 adres na MAC adresy (tj. mapování sít ové adresy na MAC adresu) pomocí protokolu AR, resp. ND pro Iv6: AR tabulky slouží k evidování mapování sít ových adres na MAC adresy (ke každému sít ovému adaptéru je vlastní AR tabulka), pokud AR protokol nenajde I adresu v AR tabulce, vyšle broadcast do LAN, každá stanice porovná svou I adresu s adresou ve zprávě, a pokud souhlasí, odpoví paketem se svou MAC adresou ( vyplní chybějící údaj), dotazující se stanice zařadí údaj do AR tabulky a použije ho, pokud se I adresa nenachází v LAN, ale ve vzdálené síti, odešle se dotaz na bránu, která ho pošle dále. AR je typický pro Iv4 adresy. ro Iv6 se používá mechanismus (protokol) ND, který funguje podobně (viz str ). odle předem uložených informací se překládá také v DNS (většinou jmenná adresa na I adresu). 2. rotokol Hello. Když se systém přihlašuje do sítě, rozešle broadcast (Hello messages) do sítě informuje o své MAC adrese, resp. o tom, že je funkční a dostupný. Ostatní zařízení v síti zašlou odpověd. V pravidelných intervalech se tento broadcast opakuje.

17 1.3 MODEL TC/I 5 Určitou formou tohoto principu je mechanismus KeepAlive, kdy typicky server ubezpečuje svého souseda, že žije pokud zpráva KeepAlive nedorazí, znamená to, že server není dostupný a tedy je nutné zprovoznit či zpřístupnit pod danou adresou záložní server. S další formou tohoto principu se setkáváme poměrně často bezdrátový access point pravidelně ohlašuje beacon rámcem celé síti své kontaktní údaje (především SSID), díky tomu je viditelný. 3. redictable MAC adresses. Tento mechanismus spočívá v tom, že MAC adresa je odvoditelná ze sít ové adresy. V současné době mechanismus používají tyto protokoly: Xerox Network Systems (XNS), Novell Internetwork acket Exchange (IX), DECnet hase IV, částečně to lze říci o Iv6 (klientská část I adresy se může odvodit z čísla EUI-64, které lze jednoduše zjistit z MAC adresy), podrobnosti v sekci o tomto protokolu. Referenční model ISO/OSI Význam: rotocol Data Units: Adresování: L7 L6 Aplikační vrstva rezentační vrstva oskytuje služby aplikacím manipulace s daty, sémantické překlady, bezpečnost. rovádí konverze dat šifrování, (de)komprese, konverze do/z jiného datového formátu,... data, zprávy L5 Relační vrstva Otevírá, řídí and ukončuje konverzace mezi dvěma vzdálenými aplikacemi. L4 Transportní vrstva Zbezpečuje spojení mezi dvěma koncovými body; segmentace proudu dat před přenosem, poskládání po něm. segmenty porty L3 Sít ová vrstva řeposílá data k danému cíli, provádí směrování, pracuje s logickou topologií sítě. pakety, datagramy I addresy L2 Linková vrstva LLC MAC racuje s fyzickou topologií sítě, synchronizuje přenos, zde obvykle pracují LAN řešení. rámce MAC addresy L1 Fyzická vrstva Řídí proces posílání a přijímání proudu dat, definuje fyzikální a elektrické specifikace zařízení (rozhraní). bity Obrázek 1.1: Referenční model ISO/OSI 1.3 Model TC/I Model TC/I je velmi úzce spojován s Internetem. oužívají se tyto pojmy: sít ový segment je lokální sít schopná samostatné existence, uvnitř se používají nejvýše rozbočovače,

18 1.3 MODEL TC/I 6 podsít (subnet) je fyzický sít ový segment nebo virtuální sít používající stejnou podsít ovou I adresu, sít je jeden nebo více sít ových segmentů s různými typy mezilehlých zařízení (opakovače, přepínače, mosty), podsítě v rámci jedné sítě bývají odděleny směrovači (routery) či přepínači, internet (intersít ), ve které jsou jednotlivé segmenty či sítě propojeny směrovači, Internet (s velkým I ) je (již konkrétní) největší celosvětový internet. intranet je vnitřní sít, obvykle důvěryhodná, extranet je vnější sít, často se jedná o Internet. Referenční model ISO/OSI Referenční model TC/I rotocol Data Units: rotokoly: L7 L6 Aplikační vrstva rezentační vrstva Aplikační vrstva data, zprávy O3, IMA FT, SFT SMT etc. DNS DHC L5 Relační vrstva HTT, HTTS L4 Transportní vrstva Transportní vrstva segmenty TC, UD L3 Sít ová vrstva Internetová (sít ová) vrstva pakety, datagramy ICM, IGM Iv4, Iv6 L2 L1 LLC Linková vrstva MAC Fyzická vrstva Vrstva sít ového rozhraní rámce bity LLC (IEEE 802.2) IEEE 802.3, IEEE ,... Obrázek 1.2: Srovnání referenčních modelů ISO/OSI a TC/I, protokoly a adresy Vrstvy Model ISO/OSI je obecný, komplexní a teoretický. Zahrnuje (v obecnosti) všechny oblasti, které v sít ovém rozhraní existují, a obsahuje hodně restrikcí. To je na jednu stranu výhodou, na druhou stranu to není přiliš praktické z hlediska výrobců zařízení. ředevším z důvodu zjednodušení a přiblížení praxi vznikl model TC/I. TC/I (Transmission Control rotocol/internet rotocol) má méně vrstev než ISO/OSI. Některé služby byly záměrně vypuštěny (nevyděluje se prezentační a relační vrstva), protože jejich služby využívá jen málo aplikací a tedy tyto aplikace si mohou potřebné služby implementovat samy. Na obrázku 1.2 na straně 6 je porovnání rozvržení vrstev v modelech ISO/OSI a TC/I. V modelu TC/I jsou všechny vrstvy nad transportní vrstvou sdruženy do jediné vrstvy nazývané

19 1.3 MODEL TC/I 7 aplikační vrstva. Také nejspodnější dvě vrstvy (fyzická a linková) jsou sdruženy do jediné, vrstvy sít ového rozhraní. Vrstva sít ového rozhraní je závislá na konkrétní implementaci sít ového rozhraní Ethernet, Token Ring, FDDI, X.25 apod. ro tuto vrstvu nejsou předepsány žádné protokoly, počítá se s napojením na některé konkrétní řešení (například výše zmíněný Ethernet), které má vlastní protokoly. Tato vrstva musí být implementována ve všech prvcích sítě. Sít ová vrstva (také vrstva internetu) používá sít ové adresy, má na starosti směrování a předávání (přepojování) datagramů. Tato vrstva je implementována v koncových uzlech sítě (počítače, servery apod.) a dále všech mezilehlých prvcích, které provádějí směrování podle sít ových adres. Typické protokoly jsou I, AR, RAR, ICM, IGM, IGR, ISEC, RI, OSF. Transportní vrstva zajišt uje rozhraní mezi aplikační vrstvou (nezávislou na přenosové metodě) a spodními vrstvami závislými na přenosové metodě, zajišt uje transportní služby (spojové i nespojové). Tato vrstva je implementována jen v koncových uzlech sítě. Typické protokoly jsou TC a UD. Aplikační vrstva obsahuje entity, které využívají aplikace, tedy poskytuje služby směrem k apli- kacím. Tato vrstva je samozřejmě také implementována jen v koncových uzlech sítě. Typické protokoly jsou FT, HTT, DHC, DNS, SMT, IMA, O3, NFS, Telnet, apod. Tyto protokoly komunikují především s porty transportní vrstvy přes tzv. porty, což je číselné označení určující konkrétní přístupový bod směrem k nižší vrstvě. Rozlišujeme porty známé (čísla ), registrované ( , přiděluje organizace IANA) a dynamické či soukromé (vyšší čísla). Seznam portů lze najít na internetu, například of TC and UD port numbers Také bychom měli vědět, se kterými porty konkrétní spuštěná aplikace pracuje. Například ve Windows to zjistíme bud ve firewallu, a nebo v některém správci procesů (na Správce úloh není moc dobré spoléhat, tam moc informací není, ale můžeme vyzkoušet například aplikaci rocess Explorer 1. Úkoly Spust te alespoň jeden z programů, které pracují se sítěmi (například webový prohlížeč nebo ového klienta, příp. obojí). Zjistěte, které porty používají či na nich naslouchají. okud pracujete ve Windows, můžete použít například rocess Explorer (stáhnete ze Sysinternals.com, známe z Operačních systémů). Ve Windows i Linuxu lze použít program netstat, návod najdete v příloze. 1

20 1.3 MODEL TC/I Vrstva sít ového rozhraní římo v referenčním modelu TC/I nejsou protokoly na této vrstvě stanoveny, nicméně ve vztahu k ISO/OSI lze říci, že na L2 (spojové) vrstvě, kterou dělíme na dvě podvrstvy, se velmi často setkáme s protokolem IEEE 802.2, označovaným jako LLC (stejně jako dotyčná podvrstva). Tímto protokolem se budeme zabývat zároveň s jinými spojovými protokoly v kapitole o WAN sítích, strana 72. Na podvrstvě MAC a na fyzické vrstvě již najdeme implementaci konkrétní sítě. okud se jedná o lokální sít (typicky Ethernet), pracujeme na podvrstvě MAC s fyzickými (MAC) adresami. MAC adresa (také fyzická adresa) zabírá 48 bitů, tedy 6 oktetů (resp. 12 hexadecimálních číslic) rozdělených na dvě poloviny, jak je naznačeno v tabulce 1.1. Zapisuje se po jednotlivých oktetech (většinou hexadecimálně) oddělených dvojtečkou nebo pomlčkou. 24 bitů 24 bitů identifikace výrobce nebo prodejce (přiděluje IEEE) Tabulka 1.1: Struktura MAC adresy identifikace konkrétního výrobku (třeba sériové číslo), jedinečné pro zařízení výrobce/prodejce Každé sít ové zařízení (například sít ová karta) má z výroby přidělenu jednu MAC adresu, která se nazývá burned-in address (BIA), protože je napevno v ROM paměti zařízení (burned vypálena ) a odtud se v případě potřeby mapuje do operační paměti. BIA MAC adresa je vždy jedinečná, neexistují dvě stejné. MAC adresy jsou obvykle globální (globálně jednoznačné), ale mohou být také lokální. řidělují se v lokální síti především tehdy, když při změně sít ového hardwaru je nutné zachovat adresu uzlu v síti, ale využívají je také lidé, kteří chtějí obejít seznamy pro filtrování MAC adres (s těmito technikami se seznámíme v kapitole 6.2.9). Lokální MAC mohou mít plnou délku 48 bitů nebo mohou být zkrácené (16 bitů). Lokálně přidělené zkrácené MAC adresy jsou tedy kratší a jsou spojeny s některými specifickými sít ovými protokoly a architekturami (například DECnet nebo Banyan VINES). Existují také lokální MAC adresy na 48 bitech (plná délka), které byly softwarově pozměněny a není u nich zajištěna jedinečnost (přesněji o jejich jedinečnost by se měl starat správce dané sítě). Aby bylo možné je odlišit od globálních (BIA) adres, mají druhý nejnižší bit (L/G bit, viz obrázek 1.3) prvního oktetu nastaven na 1 (u BIA adres je tento bit vždy nastaven na 0). L/G I/G L/G bit: lokální (1) nebo globální (0) adresa I/G bit: unicast (individuální, 0) nebo multicast či broadcast (group, 1) Obrázek 1.3: Umístění L/G (local/global) a I/G (individual/group) bitu v MAC adrese

21 1.3 MODEL TC/I 9 MAC adresy dělíme na individuální, skupinové (multicast) a všeobecné (broadcast). ro individuální MAC platí vše, co jsme dosud četli (jedná se o konkrétní adresu přiřazenou sít ovému zařízení), nejnižší bit prvního oktetu je vždy nastaven na 0. Skupinové a všeobecné MAC adresy nejsou přiřazeny jednomu konkrétnímu zařízení. Nejméně významný bit prvního oktetu je vždy nastaven na 1 (tento bit bývá označován I/G bit individual/group, viz obrázek 1.3). Skupinová MAC adresa je určena pro skupinové vysílání (vybrané počítače v lokální síti), všeobecná adresuje všechny aktivní počítače v síti. Všeobecná MAC adresa má všechny bity nastaveny na 1, kdežto skupinová ne (podle identifikace skupiny, především nejméně významný bit prvního oktetu musí být 1). říklad říklad individuální adresy: říklad individuální lokální adresy: říklad skupinové adresy: Všeobecná adresa: 00 0B 6A F4 02 0B 6A F4 01 0B 6A 25 F3 0C FF FF FF FF FF FF oznámka: opis příkazů pro práci se sítěmi a především různými typy adres najdeme v přílohách (od strany 230 pro Windows, od strany 249 pro Linux). E Úkoly 1. Najděte v příloze ukázky příkazů pro ten operační systém, ve kterém právě pracujete, a vyzkoušejte alespoň nedestruktivní vypisující varianty příkazů, na které máte dostatečná přístupová oprávnění. římo v příloze také najdete úkoly. 2. Ve zmíněných přílohách jsou u Windows a Linuxu vypsány také důležité soubory (obvykle konfigurační), které se sítěmi souvisejí. Tyto soubory najděte a prohlédněte si je. 3. Zjistěte svou MAC adresu. Všimněte si nejlevějšího oktetu, nastavení L/G a I/G bitu rotokoly sít ové vrstvy Rodina protokolů TC/I nezahrnuje pouze ty dva protokoly, které má v názvu. ostupně probereme nejdůležitější protokoly (rozhodně ne všechny). I (Internet rotocol) zajišt uje odesílání a přijímání datagramů. Součástí hlavičky datagramu je také I adresa odesílatele a příjemce a dále číslo datagramu v posloupnosti z celé zprávy vyšší vrstvy. rotokol I probereme podrobněji v samostatné sekci. MI (Mobile I) je rozšíření protokolu I určené pro mobilní uzly sítě, které mění místo svého zapojení v rámci Internetu při zachování své domácí I adresy. omocí MI lze implementovat i tunelování (tunneling), což je vzdálené připojování do lokální sítě přes Internet. AR (Address Resolution rotocol) slouží k překladu I adresy na MAC adresu (tj. mapování adres). Informace o mapování adres si udržuje v tzv. AR tabulce, a pokud je požadována adresa, kterou v tabulce nemá, odešle žádost o informaci na všechny uzly sítě.

22 1.3 MODEL TC/I 10 Opačný překlad (MAC adresy na I adresu) provádí protokol RAR (Reverse AR), ale v současné době jeho funkce plní spíše protokol DHC. Ve skutečnosti není přesně stanoveno, na které vrstvě vlastně AR pracuje. Jeho funkce zasahují i do obou okolních vrstev. ICM (Internet Control Message rotocol) slouží k zasílání řídicích hlášení (včetně chybových hlášení) typ zprávy parametr zprávy kontrolní součet Tabulka 1.2: Datagram protokolu ICM říklad rotokol ICM je využíván také programem ping (acket Internet Groper) pro zjištění dosažitelnosti cílové stanice či sítě. ing vysílá zprávu ICM Echo Request s I adresou cílové stanice a očekává odpověd o dosažitelnosti (ICM Echo Reply). Dalším způsobem využití protokolu ICM je zjišt ování cesty přes směrovače k cíli pomocí traceroute. Spočívá v postupném generování I datagramů s hodnotou TTL (také na str. 231) nastavenou postupně na hodnoty 1, 2, 3, atd. TTL (Time To Live) je omezení životnosti datagramu, které se na každém směrovači (tj. při každém skoku) snižuje (nejméně o 1) a pokud směrovač obdrží zprávu s TTL=0, neposílá ji dál, ale odešle zpět zprávu ICM Time Exceeded (čas vypršel) se svou adresou. Traceroute tedy vysílá I datagramy se zvyšujícími se hodnotami TTL a takto postupně získá adresy všech směrovačů na síti. rogramy ping a traceroute (případně ve Windows tracert) jsou dostupné v každém sít ovém operačním systému. Formát datagramu protokolu ICM je naznačen v tabulce 1.2. Význam jednotlivých polí: typ zprávy (8 bitů) určuje typ zasílané zprávy; typy zpráv jsou specifikovány v RFC 792 a RFC 1256, může to být například atd. 0 (Echo Reply) odpověd na žádost o odezvu, 3 (Source Unreachable) cíl je nedostupný, 4 (Source Quench) cache je zahlcena (žádost cílové stanice o snížení rychlosti přenosu, aby cílová stanice měla víc času na zpracování dat), 8 (Echo Request) poslána mechanismem ping, žádost o odezvu, 11 (Time Exceeded) životnost datagramu vypršela (TTL=0, viz také str. 231 a 10), posílá mezilehlý uzel uzlu posílajícímu data, 17 (Address Mask Request) žádost o informaci o sít ové masce, 18 (Address Mask Reply) odpověd s informací o sít ové masce,

23 1.3 MODEL TC/I 11 parametr zprávy (8 bitů) slouží k upřesnění typu zprávy, například typ zprávy 3 je v ICMv4 upřesňován na 0 (cílová sít nedostupná), 1 (cílový hostitel nedostupný), 2 (cílový protokol nedostupný), 3 (cílový port nedostupný), atd. kontrolní součet (16 bitů) přes předchozí dvě pole datagramu. Seznam všech typů ICM zpráv najdeme například na Zpráva ICM Echo Request je podrobně popsána na stránce včetně implementačních detailů. Také zde najdeme informaci, že Echo zprávy musejí být implementovány a zpracovány, rozhodně by (ani z bezpečnostních důvodů) neměly být ignorovány. K dalším typům ICM zpráv se dostaneme mírnou úpravou adresy. IGM (Internet Group Management rotocol) je, jak název napovídá, určen ke správě zasílání datagramů na skupinové adresy. V současné době se používá jeho třetí verze, tj. IGMv3. IGM své zprávy zapouzdřuje do I datagramů a používá vždy TTL=1. Multicast může být dvou typů bud one-to-many (jeden vysílá a mnoho přijímá, například aktualizace softwaru, monitorování sítě a uzlů, koncerty, zpravodajství, apod.) nebo many-to-many (také vysílajících uzlů je více, například multimediální konference, počítačové hry apod.). Skupinové I adresy se mapují na skupinové MAC adresy (konkrétně posledních 23 bitů skupinové I adresy). roblém je v tom, že I adresy mají výrazně méně bitů než MAC adresy, proto se za určitých okolností může stát, že mapování nebude zcela jednoznačné. Stanice, která chce být součástí skupiny pro určitou skupinovou adresu, nejdřív naslouchá všem datagramům na I adrese , což je vyhrazená skupinová adresa označující všechny stanice v podsíti. ak informuje všechny stanice lokálního segmentu, že se přihlašuje do konkrétní skupiny, a to zprávou IGM Host Membership Report obsahující adresu této skupiny, a pak naslouchá všem datagramům pro danou skupinovou adresu. RI (Routing Information rotokol) je starší jednoduchý směrovací protokol. Vyznačuje se po- měrně snadnou konfigurací, ale jeho metriky (odhady délky cesty mezi uzly) jsou považovány za spíše méně přesné. Je to ideální směrovací protokol pro menší lokální sítě. OSF (Open Shortest ath First) je také směrovací protokol, ale novější a složitější. Je to adaptivní hierarchický distribuovaný protokol s poměrně přesnou metrikou. oužívá se ve větších lokálních sítích. O směrovacích protokolech se budeme učit později. Úkoly Najděte alespoň dvě různé situace, ve kterých se používají ICM pakety. romyslete si, co by se stalo, kdyby některý uzel na cestě zahazoval všechny ICM pakety (nebo alespoň ten typ zpráv, o který by se právě jednalo).

24 1.3 MODEL TC/I rotokoly transportní vrstvy Komunikující aplikace z vyšší vrstvy jsou na této vrstvě rozlišeny podle portů (tj. číslo portu určuje příslušný SA mezi transportní a aplikační vrstvou). TC (Transmission Control rotocol) vytváří virtuální okruh mezi komunikujícími uzly, tedy zajišt uje spolehlivou (s potvrzením) službu se spojením. V TC se setkáváme se třemi fázemi komunikace navázáním spojení, přenosem dat (segmenty s pořadovými čísly, každý musí být pozitivně potvrzen ne nutně okamžitě druhou stranou a případně znovu poslán, pokud došlo k chybě při přenosu) a ukončením spojení (oboustranným). otvrzování přijetí datových segmentů nemusí probíhat po každém obdržení. Součástí záhlaví segmentu je údaj velikost okna, což je počet oktetů dat, která lze přenést v rámci spojení bez průběžného potvrzování, obvykle to bývá více než velikost jednoho segmentu. Tento způsob řízení potvrzování se nazývá Sliding Window (klouzavé okno), protože okno zahrnující posloupnost oktetů bez průběžného potvrzování se během spojení postupně posouvá port zdroje port cíle pořadové číslo prvního oktetu dat v segmentu pořadové číslo oktetu pro následující segment délka záhlaví rezervováno =0 funkce řízení šířka okna kontrolní součet specifikace urgentních dat volitelné data Tabulka 1.3: Segment protokolu TC Formát segmentu protokolu TC je naznačen v tabulce 1.3. Význam jednotlivých polí: port zdroje a port cíle (oba po 16 bitech) specifikují porty, přes které přicházejí data z aplikační vrstvy na zdrojovém počítači, resp. jsou odesílána data na aplikační vrstvu na cílovém počítači, například 21 (FT řízení), 20 (FT přenos dat), 25 (SMT), atd. uvedená čísla portů se používají především pro port cíle; port zdroje obvykle bývá vyšší než 1024, často se používá pro mechanismus AT (překlad portů), viz dále ve skriptech. pořadové číslo prvního oktetu dat v segmentu (32 bitů) určuje, kde v původním posílaném proudu dat přijatém z aplikační vrstvy začínají data, která jsou součástí tohoto segmentu, pořadové číslo oktetu pro následující segment (32 bitů) podobně pro následující segment, tento údaj slouží pro cílový uzel jako kontrola, zda jsou segmenty správně doručovány (aby bylo možné odeslat potvrzení), délka záhlaví (4 bity), je to číslo určující počet násobků 32 bitů, které zabírá záhlaví, například pokud záhlaví zabírá 576 bitů (= 18 32), je zde číslo 18,

25 1.3 MODEL TC/I 13 funkce řízení (6 bitů) každý bit má svůj význam: URG příznak urgentních dat (mají při doručení přednost), SYN synchronizační bit, používá se při navazování spojení, ACK má být bráno v úvahu pole pořadové číslo oktetu pro následující segment, představuje potvrzení (acknowledge),kromě prvního paketu posílaného při navazování spojení bývá obvykle nastaven na 1, RST žádost o opětovné navázání spojení, SH žádost o okamžité doručení segmentu protokolu vyšší vrstvy, FIN žádost o ukončení spojení, šířka okna (16 bitů) je velikost okna (množství oktetů, které lze poslat bez průběžného potvrzování), kontrolní součet (16 bitů) přes celý segment včetně tzv. pseudozáhlaví (obsahuje zdrojovou a cílovou I adresu, číslo protokolu a délku segmentu, celkem 3 32 = 96 bitů), pseudozáhlaví se v transportní vrstvě používá jen k tomuto účelu (vytvoření kontrolního součtu), není součástí segmentu a ani se nevyužívají informace v něm uvedené, specifikace urgentních dat (16 bitů) pokud jsou posílána urgentní data, je zde číslo posledního oktetu urgentních dat (používá se k urychlení zpracování segmentu), volitelné možnosti (v násobku 32 bitů) jsou doplňkové informace určené cílové stanici. Jak je to s čísly Sequence Number a Acknowledge Number: Wireshark a podobné nástroje obvykle zobrazují jen relativní čísla (skutečná jsou hodně velká). Nicméně je možné například ve Wiresharku Obrázek 1.4: Wireshark Flow Graph, zobrazená čísla Sequence a Acknowledge Number

26 1.3 MODEL TC/I 14 Uzel 1 (klient) Uzel 2 (server) SYN sport=1027, dport=80, seq=200 Klient začíná handshake navázání spojení ( chci komunikovat ), nastaví svoje sequence number SYN, ACK sport=80, dport=1027, ack=201, seq=1450 Server souhlasí, nastavuje svoje sequence number ACK sport=1027, dport=80, seq=201, ack=1451 Klient potvrdí údaje od serveru, od této chvíle existuje spojení Obrázek 1.5: růběh navazování spojení (handshake) podle protokolu TC zapnout zobrazování skutečných čísel. V menu zvolíme Edit references, tam nesmí být zaškrtnuté Relative sequence numbers and window scaling. rovoz s těmito čísly zobrazíme takto: Statistics Flow Graph, zaškrtnout TC Flow. Uzel 1 (klient) Uzel 2 (server) ack=1000, window=3000 osíláno po 1000 B, velikost okna 3000 seq=1000 (prvních 1000 B dat) osláno prvních 1000 B dat, ještě se nepotvrzuje seq=2000 (druhých 1000 B dat) osláno druhých 1000 B dat, ještě se nepotvrzuje seq=3000 (třetích 1000 B dat) osláno třetích 1000 B dat, čekám na potvrzení ack=4000, window=4000 otvrzeno celkem 3000 B dat, žádost o další, větší okno seq=4000 (další data) Další várka dat, atd. Obrázek 1.6: Komunikace podle protokolu TC

27 1.3 MODEL TC/I 15 Uzel 1 (klient) Uzel 2 (server) ack=1000, window=3000 Data po 1000 B, velikost okna 3000 seq=1000 (prvních 1000 B dat) osláno prvních 1000 B dat, ještě se nepotvrzuje seq=2000 (druhých 1000 B dat) osláno druhých 1000 B dat, nedošlo seq=3000 (třetích 1000 B dat) osláno třetích 1000 B dat, čekám ack=2000 Nedošla data pro seq=2000, prosím znovu seq=2000 (druhých 1000 B dat) Znovu posláno druhých 1000 B dat ack=4000, window=3000 Ted už je to všechno, prosím další Obrázek 1.7: Komunikace podle protokolu TC, chyba při přenosu Uzel 1 Uzel 2 ACK, FIN seq=1000 Jeden z uzlů iniciuje ukončení spojení ACK ack=1001 Druhý uzel souhlasí... ACK, FIN ack=1001, seq= a posílá vlastní ukončující segment ACK ack=1471 rvní uzel potvrdí přijetí, konec Obrázek 1.8: Ukončení spojení v protokolu TC

28 1.3 MODEL TC/I 16 ři navazování TC spojení se provádí tzv. three-way handshake: 1. první strana odešle TC segment s nastaveným bitem SYN, 2. druhá strana odpoví TC segmentem s nastavenými bity SYN/ACK, firewall pozná odpověd a detekuje navazované spojení, 3. první strana kontruje TC segmentem s nastaveným ACK, pak je spojení navázáno. TC nepodporuje vysílání na všeobecnou a skupinovou adresu, protože s těmito adresami nelze navázat obousměrné spojení. odrobnosti: UD (User Datagram rotocol) poskytuje nespolehlivou službu bez navázání spojení. oužívá se především pro posílání menšího množství dat nebo pro případy, kdy je důležitá rychlost doručení dat (přenos není zdržován fází navázání spojení). Jeho výhodou je, že často funguje i v případě, že TC přestane být použitelný (pokud nelze s cílovým uzlem navázat standardní spojení). UD podporuje skupinové a všeobecné I adresy port zdroje délka segmentu port cíle kontrolní součet data Tabulka 1.4: Segment protokolu UD Formát segmentu protokolu UD je v tabulce 1.4. Význam jednotlivých polí: port zdroje a port cíle (oba po 16 bitech) mají stejný význam jako u TC, délka segmentu (16 bitů), je to číslo určující počet násobků 32 bitů, které zabírá celý segment, kontrolní součet (16 bitů) přes celý segment včetně pseudozáhlaví (jako u segmentu TC). (oint-to-oint rotocol) pracuje někde na rozhraní sít ové vrstvy a (v ISO/OSI) linkové vrstvy, obsahuje dokonce i některé služby aplikační vrstvy. oskytuje služby autentizovaného spojení, šifrování a komprese na point-to-point spojeních. oužívá se v návaznosti na telekomunikační sítě. Úkoly V příloze v sekci C.6.2 od strany 276 jsou ukázány postupy pro filtrování provozu v Linuxu, kromě jiného podle TC portů. Srovntejte uvedené příkazy se schématem TC paketu v tabulce 1.3 na straně 12 která pole záhlaví TC paketu jsou v daných příkazech využívána? Čísla portů můžete vidět také v následující podsekci o protokolech aplikační vrstvy (například port 80 využívaný protokolem HTT).

29 1.3 MODEL TC/I rotokoly aplikační vrstvy odíváme se na nejdůležitější protokoly pracující na aplikační vrstvě (aplikační podle TC/I). FT (File Transfer rotocol) je všeobecně známý protokol pro spolehlivý přenos souborů mezi uzly v síti bez ohledu na operační systém, který na daném uzlu běží. Autentizační informace posílá nezašifrované, proto není považován za příliš bezpečný. Využívá služeb protokolu TC na portu 21 (pro řídicí spojení) a 20 (datové spojení). Má také zabezpečené varianty, například SFT. HTT (Hypertext Transfer rotocol) je objektově orientovaný protokol používaný pro distribuovaný přenos dat obsahujících hypertextové informace. Je znám především jako protokol pro komunikaci webového klienta (internetového prohlížeče) s webovým serverem, ale ve skutečnosti je jeho použití širší. Může také sloužit ke komunikaci s jinými aplikačními protokoly (SMT, FT, apod.). Komunikuje s protokolem TC na portu 80. NFS (Network File System) je sít ový souborový systém (od firmy Sun) umožňující vzdálený přístup k souborům. Jeho používání nad rámec lokální sítě je diskutabilní, především vzhledem k nepříliš dobrému zabezpečení. Telnet (Telecomunication Network) je již velmi starý protokol sloužící ke vzdálenému přístupu k uzlům sítě pomocí protokolu TC (tj. virtuální terminál), využívá port 23. Jeho používání není považováno za bezpečné, i proto, že všechny autentizační údaje přenáší nezašifrovaně v textové podobě. Má mnoho zabezpečených alternativ, například SSH. DNS (Domain Name System) je protokol pro mapování doménových jmen a I adres. oužívá port číslo 53. DNS je důležitým protokolem pro implementaci jmenných služeb, podrobněji se o tomto mechanismu budeme učit později. DHC (Dynamic Host Configuration rotocol) slouží k získání I adresy pro klienta. ozději se podíváme, jaký je rozdíl v mechanismu DHC při použití Iv4 nebo Iv6. SMT (Simple Mail Transfer rotocol) slouží k přenosu elektronické pošty. Zprávu doručuje do poštovní schránky adresáta, ze které ji adresát může kdykoliv vyzvednout pomocí protokolů O3 nebo IMA. oužívá port 25. SMT server by nás měl zajímat při odesílání zprávy z mailového klienta. okud máme chybně nakonfigurované spojení k SMT serveru, neodešleme z klienta zprávu nebo sice odešleme, ale se spoustou chybových hlášení. Tedy bychom si měli předem zjistit, jaká je adresa SMT serveru, a veškeré potřebné parametry. O (ost Office rotocol) slouží k získávání (stahování) elektronické pošty z poštovní schránky na serveru do mailového klienta. V současné době se používá verze 3 (O3), a to na portu 110. IMA (Internet Message Access rotocol) je alternativou k O3, umožňuje pracovat s elektronickými zprávami přímo v poštovní schránce (není nutné je stahovat na pracovní stanici). NT (Network Time rotocol) slouží k synchronizaci hodin v síti. Synchronizovat lze jak s NT serverem v rámci lokální sítě, tak i se vzdáleným serverem. Ve Windows například slouží k základní práci s NT příkaz NET TIME. oužívá port 123. SNM (Simple Network Management rotocol) slouží k přenosu informací souvisejících s řízením a správou sítě. Tomuto protokolu se budeme podrobně věnovat později v kapitole o bezpečnosti a správě sítě.

30 1.5 ROTOKOL IV4 18 RC (Remote rocedure Call) slouží ke vzdálenému volání procedur. Klient takto odešle serveru žádost obsahující určení procedury a vstupní parametry (na portu 111), server pak odešle odpověd s výstupem (na portu specifikovaném v žádosti). RC je využíván například protokolem NFS. 1.4 Sady protokolů rotokol může využívat služeb jiného protokolu a poskytovat služby jinému protokolu. rotocol suite (sada protokolů) je množina takových protokolů, které jsou součástí daného (jednoho) referenčního modelu, tj. dokážou navzájem spolupracovat. rotocol stack (protokolový zásobník) je množina protokolů implementovaná na konkrétním zařízení (podmnožina sady protokolů některého referenčního modelu), nemusí být zdaleka úplná. Nejznámějším protokolovým zásobníkem je samotný TC/I, dále se setkáváme například s protokolovým zásobníkem H.323 implementovaným na VoI zařízeních, také známe protokolový zásobník GSM implementovaný na GSM zařízeních (mobilní telefony a jakákoliv zařízení s GSM čipem). 1.5 rotokol Iv Iv4 datagramy Iv4 (protokol I verze 4) pracuje s datagramy posílá je na zadanou I adresu, kterou najde v záhlaví datagramu. oskytuje službu bez spojení, a to nespolehlivou (bez potvrzování, bez detekce chyb), třebaže s nejlepší vůlí datagram doručit (tato vlastnost se nazývá Best Effort) verze délka záhlaví typ služby celková délka identifikace datagramu příznaky idenfikace fragmentu (13 bitů) TTL číslo protokolu zabezpečení záhlaví zdrojová I adresa cílová I adresa volitelné data (max mínus délka záhlaví oktetů) Tabulka 1.5: Datagram protokolu Iv4 Formát Iv4 datagramu je naznačen v tabulce 1.5. Význam jednotlivých polí je následující: verze (4 bity) verze protokolu (tedy 4), délka záhlaví (4 bity) údaj je počtem 32bitových slov, obvykle je zde číslo 5,

31 1.5 ROTOKOL IV4 19 typ služby (8 bitů ozn. DTRC0) upřesňuje způsob zpracování datagramu protokolem vyšší vrstvy (nejnižší bit není používán), jednotlivé bity a skupiny bitů znamenají je určení priority datagramu (precedence), D zpoždění zpracování (delay), T určuje propustnost (throughput), R znamená spolehlivost (reliability), C je cena (cost), takto se provádí optimalizace řízení doručování (například můžeme stanovit prioritu nízkého zpoždění a vysoké spolehlivosti), nedoporučuje se pokusit se optimalizovat více než dva parametry, celková délka (16 bitů) délka datagramu (včetně záhlaví) v oktetech, z toho vyplývá maximální délka běžného Iv4 datagramu, tj = oktetů, identifikace datagramu (16 bitů) proud dat z vyšší vrstvy bývá rozdělen (fragmentován) do více datagramů, zde je spojující identifikační řetězec, všechny fragmenty posílaných dat by ovšem měly téměř stejné záhlaví lišící se jen v položkách souvisejících s fragmentováním, příznaky (3 bity, využity jsou jen dva) určující možnosti další fragmentace datagramu na mezilehlých uzlech sítě, první bit (DF don t fragment) určuje, zda lze datagram po cestě fragmentovat (hodnota 1 znamená nefragmentovat), druhý bit (MF more fragments) je v případě další fragmentace nastaven na 0 v posledním fragmentu původního datagramu (v ostatních fragmentech na 1), u nefragmentovaného datagramu je nastaven na 0, identifikace fragmentu (fragment offset, 13 bitů) pokud je tento datagram po cestě dále fragmentován, je zde vzdálenost začátku tohoto fragmentu od začátku celého datagramu v násobcích 64 bitů, první fragment by zde měl hodnotu 0, TTL (8 bitů, Time to Live) určuje životnost datagramu, na každém mezilehlém uzlu (směrovači) se snižuje (viz str. 231 a 10), slouží k zamezení bloudění nedoručitelných datagramů v síti, číslo protokolu (8 bitů) zde jde o číslo protokolu vyšší podvrstvy sítě, a to obvykle 1 (ICM), 2 (IGM), 4 (I-in-I), 6 (TC), 17 (UD), 89 (OSF), 133 (Fibre Channel) atd., určuje, jaký typ dat je uvnitř datagramu, zabezpečení záhlaví (16 bitů) kontrolní součet záhlaví, přes předchozí 2oktetové sekvence, zdrojová a cílová I adresa (po 32 bitech), zdrojová musí být vždy individuální, cílová může být i skupinová nebo všeobecná, volitelné toto pole se většinou nepoužívá, je určeno pro dodatečné informace, data informace bud některého transportního protokolu a nebo sít ového (ICM, IGM nebo některého směrovacího protokolu), typ dat podle pole s číslem protokolu. I datagram může být dále fragmentován ve směrovačích (tyto mezilehlé prvky také implementují sít ovou vrstvu), například z důvodu usnadnění přenosu (nižší vrstvy na jiných zařízeních mohou optimálněji pracovat s menšími DU). okud se tak stane, výsledné fragmenty (což jsou také datagramy) obsahují původní záhlaví, ve kterém jsou pozměněna pole příznaků a identifikace fragmentu podle potřeby se společnou hodnotou identifikace datagramu, a samozřejmě fragment

32 1.5 ROTOKOL IV4 20 MF=0 F.offset=0 Data 6980 oktetů oktety MTU=3100 Fragmentace délka datagramu: MTU délka záhlaví = = 3080 fragment offset pro první fragment: 3080/8 = 385 (musí být celé č.) MF=1 F.offset=385 MF=1 F.offset=385 MF=0 F.offset=770 Data oktetů oktety Data oktetů oktety Data3 820 oktetů oktety Obrázek 1.9: Fragmentace u Iv4 datové části původního datagramu (postup je naznačen na obrázku 1.9). ři sestavování fragmentů do původního datagramu na cílovém uzlu sítě lze shromáždit fragmenty původního datagramu (podle pole id. datagramu), zjistit pořadí fragmentů (podle id. fragmentu) a dále určit poslední fragment (bit MF). odle specifikace musí všechny uzly sítě bez problému zpracovávat datagramy o minimální délce 576 oktetů. Konkrétní hodnota je na daném sít ovém prvku stanovena hodnotou MTU (Maximum Transmission Unit). Jestliže je datagram moc velký, je fragmentován (pokud je to povoleno v jeho příznacích), jinak musí být zlikvidován a zaslána informace zdrojovému uzlu. Hodnota MTU tedy určuje maximální velikost I datagramu, který může přes dané zařízení projít. Obvyklá hodnota je 1500, což je standardní především pro pakety přenášené po Ethernetu plus I záhlaví. okud víme, že po cestě budou paketu přidávána další záhlaví (například přes tunel), měli bychom MTU pro odchozí provoz nastavit raději na nižší hodnotu, aby pakety nebyly po cestě zahazovány. Jestliže do některého uzlu na cestě přijde paket větší než je MTU na odchozím provozu, je zahozen a vysílající uzel je informován ICM zprávou č. 3 (Destination Unreachable, cíl nedostupný) s kódem (parametrem zprávy) č. 4 (Fragmentation Needed and Don t Fragment was Set, nutno fragmentovat, přičemž nastaven příznak Nefragmentovat). Ted si představte, co se stane, když na některém uzlu na cestě administrátor nastaví zahazování paketů s ICM zprávami: ICM zpráva o nutnosti fragmentace nedojde ke zdroji paketu, tedy důsledkem je černá díra spojení funguje, i když při zakázání ICM paketů asi příkaz ping neplní svou roli tak jak by měl, ale mnohé I datagramy neprocházejí, tedy například webový prohlížeč místo stránek zobrazuje chybová hlášení. odle konvence jsou údaje v I datagramu zasílány ve formě big-endian, kdežto intelovské procesory využívají little-endian (vzpomeňte si na Operační systémy, tam jsme rozdíl probírali). roto při zpracování I datagramu na intelovském procesoru je nutné provádět konverzi, což může zpracování mírně zdržet.

33 1.5 ROTOKOL IV4 21 Úkoly 1. Zkompletujte, co vše se děje v případě, že náš uzel poslal do sítě Iv4 datagram, který je větší než hodnota MTU někde na cestě (předpokládejme, že ICM zprávy nejsou nikde zahazovány). opište jednotlivé kroky a u samotné fragmentace si ujasněte, co bude v jednotlivých polích záhlaví datagramu. 2. V příloze v podsekci C.6.2 od strany 276 najděte příkazy, které v Linuxu slouží k povolení ICM provozu ve firewallu Adresy Iv4 Adresa protokolu Iv4 zabírá 32 bitů (4 oktety) a skládá se ze dvou částí adresy sítě a adresy uzlu v síti. 32 bitů by teoreticky znamenalo 2 32 = možných adres, ale ve skutečnosti je to mnohem méně kromě jiného z organizačních důvodů. ůvodně se rozlišovalo 5 tříd adres podle pozice rozhraní mezi sít ovou a uzlovou částí adresy: Třída A používá první oktet pro adresu sítě, zbytek je adresa uzlu v síti, speciální adresa je vyhrazena pro loopback (zpětná smyčka, aby bylo možné přes sít ové protokoly přistupovat k témuž uzlu v síti), adresa s prvním oktetem nulovým není platná, Třída B používá pro adresu sítě první dva oktety, zbytek je adresa uzlu v síti, Třída C používá pro adresu sítě první tři oktety, zbytek je adresa uzlu v síti, Třída D slouží pro skupinovou adresaci, některé z těchto adres jsou vyhrazeny: skupina všech stanic připojených k místní podsíti, skupina všech směrovačů připojených k místní podsíti, skupina všech směrovačů směrujících podle OSF, skupina všech jmenovaných směrovačů směrujících podle OSF. Třída E slouží pro experimentální účely. Struktura adres těchto tříd je naznačena v tabulce 1.6. Třída Struktura adresy rvní bity adresy rvní oktet Max. počet stanic v síti A S.U.U.U 0xxx F B S.S.U.U 10xx BF C S.S.S.U 110x C0 DF 254 D skup E0 EF E exper F0 FF Ze tříd A C jsou některé adresy vyhrazené: Tabulka 1.6: Třídy Iv4 adres samostatná adresa sítě má všechny bity určené pro adresu uzlu v síti nastaveny na 0, tedy například pro třídu B to může být , adresa některé stanice v této síti má pak alespoň jeden z posledních dvou oktetů nenulový, například ,

34 1.5 ROTOKOL IV4 22 broadcast (všeobecná adresa) má naopak všechny bity určené pro adresu uzlu v dané síti nastaveny na 1, například pro třídu B to může být , broadcast bez určení sítě (tj. v té síti, kde byla zpráva vyslána) je , tj. všechny bity jsou nastaveny na 1, loopback (zpětná smyčka) vždy začíná oktetem 127, nejpoužívanější je (ale poslední tři oktety mohou být teoreticky jakékoliv), jde o virtuální zařízení, adresy soukromých sítí (bez interakce s vnější sítí) jsou 10.x.x.x pro třídu A, x.x až x.x pro třídu B, x až x pro třídu C (místo x je samozřejmě 0, protože jde o adresy sítě, písmeno je zde napsáno jen pro ilustraci hranice mezi adresou sítě a uzlu). Hlavním účelem rozdělení adres do tříd bylo zjednodušení směrování (směrovače nepotřebují tak rozsáhlé směrovací tabulky), směrování bylo možné částečně řídit podle prvního oktetu adresy. odobný účel mělo také zavedení dále popsaných metod. Loopback. Vrat me se nyní k mechanismu loopback (zpětné smyčky). Jak víme, jedná se vlastně o jakýsi vnitřní diagnostický mechanismus, který má každá stanice bez ohledu na její pozici v síti. Adresa začíná oktetem 127, ostatní oktety mohou být obecně různé, ale obvykle je adresa říklad Vyzkoušíme mechanismus loopback. Konkrétní adresu zpětné smyčky pro svůj počítač zjistíme v souboru hosts: v unixových systémech /etc/hosts (někdy to může být /private/etc/hosts) ve Windows...\system32\drivers\etc\hosts V obou případech bez přípony. Měla by tam být (kromě případných dalších adres) adresa Iv4 a pravděpodobně i Iv6 loopbacku, například ve Windows: localhost ::1 localhost Na říkazovém řádku ověříme funkčnost loopbacku: ping Úkoly Vyzkoušejte postup z předchozího příkladu. Srovnejte výstupy příkazu ping například s tímtéž příkazem na adresu (což je I adresa web serveru seznam.cz). Všimněte si odezvy a hodnoty TTL.

35 1.5 ROTOKOL IV řeklad adres Adresy soukromých (privátních) sítí se původně používaly pro sítě, které nebyly připojeny k Internetu, v současné době (při akutním nedostatku adres) se využívají pro podnikové nebo IS sítě, které tyto soukromé adresy skrývají. Jedná se o mechanismus NAT (Network Address Translation) a mechanismus Masquerade (tzv. maškarádu). V obou případech jde o překlad adres, který je zajišt ován NAT serverem (často jde o implementaci NAT na směrovači). Vysvětlíme si oba tyto pojmy se všemi nuancemi. 1. DNAT (Destination NAT) je překlad cílové (destination) adresy (tj. hodnoty uložené v poli cílová adresa v I datagramu) obvykle v příchozím provozu. oužívá se například v mechanismu proxy pro přesměrování na uzel sítě zajišt ující funkcionalitu proxy, adresa, kterou do záhlaví ukládáme, musí být statická (musíme ji znát). 2. SNAT (Source NAT) je překlad zdrojové adresy obvykle v odchozím provozu. oužíváme především tehdy, když připojujeme sít se soukromými adresami přes router (NAT server) se statickou adresou (známe ji), pod touto adresou jsou zvnějšku viditelné všechny stanice ve vnitřní síti. Na NAT serveru je vedena tabulka překladu adres (tabulka spojení) obsahující dvojice adres [I adresa z Internetu, soukromá I adresa], tj. evidují se vlastně komunikace (navázaná spojení) dané soukromé I adresy. okud se v navázaném spojení pokračuje a zvenčí dojde na přeloženou adresu odpověd, provede se zpětný překlad podle údajů uložených v tabulce překladu adres, dohledá se, komu konkrétně je odpověd určena. Místní sít C Router IAdrRouteru Web server Internet Cíl: Zdroj: Vytvoř záznam [ , ] Cíl: Zdroj: IAdrRouteru Cíl: IAdrRouteru Zdroj: řeklad podle [ , ] Cíl: Zdroj: Obrázek 1.10: řeklad adres na směrovači SNAT (statické) nebo Masquerade (dynamické)

36 1.5 ROTOKOL IV SNAT+DNAT (plný NAT, také bezstavový NAT) představuje kombinaci obou předchozích s tím, že se překládá 1:1 (jedna statická na druhou statickou) bez zapamatování konkrétního spojení (proto bezstavový, bez zapamatování stavu spojení), což není nutné, protože pro zpětný překlad se použije DNAT se statickými adresami. oužíváme typicky pro skrývání adresy serverů z naší sítě. 4. Masquerade (maškaráda) je oproti předchozím (především oproti jinak podobnému SNAT) určena pro plně dynamicky adresovanou sít (tj. sít se soukromými adresami, router je venku viditelný také pod dynamickou adresou získávanou například od DHC serveru IS poskytovatele internetu). Zdrojová adresa v paketu z vnitřní sítě je před odesláním paketu ven přeložena na (dynamickou) adresu WAN rozhraní routeru, do tabulky spojení/překladu adres je uložena informace o spojení, v opačném směru se provádí zpětný překlad. Z toho vyplývá, že SNAT a maškaráda jsou určeny k témuž účelu, jen SNAT používáme, pokud náš router má přidělenu pevnou I adresu pro WAN port (viditelnou zvenčí) nemusí být veřejná, ale musí být statická (pozor, není to totéž). Maškarádu zase použijeme, když adresu pro WAN port dostáváme dynamicky. rincip vidíme na obrázku Konkrétní způsob nastavení na routeru s Linuxem najdeme na straně 261 (příkaz ip) a 282 (mechanismus překladu adres ve firewallu NetFilter). okud někomu není jasný mechanismus překladu, mohou tam uvedené příklady (hlavně na druhém odkazu) pomoci. řeklad adres však působí problémy mnoha aplikacím, které používají I adresu i pro jiné účely než směrování (podobně jako třeba proxy). roblematická (třebaže řešitelná) je také spolupráce NAT a protokolu ISec (I Security). Obdobou NAT pro porty je AT (ort Address Translation), kdy se překlad provádí mezi různými porty. Toho se využívá tehdy, když potřebujeme překládat více různých soukromých I adres na jednu veřejnou (jednoznačnost překladu zajistíme tak, že soukromé adresy jsou sice mapovány na jedinou veřejnou, ale komunikace je rozlišena podle portů (každá soukromá adresa má jiný port směrovače). Na straně 12 bylo toto téma nakousnuto. Jak to funguje ve skutečnosti? ředstavme si, že v naší síti s dynamickými adresami chtějí dva různé počítače komunikovat s tímtéž serverem na internetu. okud bychom nepoužili AT, došlo by k této situaci: každý z počítačů by poslal paket dotyčnému serveru, přičemž by došlo k překladu (pravděpodobně pomocí Masquerade) zdrojových adres v paketech (tj. adres odesílajících počítačů) na adresu routeru. Server na internetu by obdržel oba pakety, ovšem oba by měly stejnou zdrojovou adresu. okud by odeslal odpověd, v paketu by nastavil cílovou adresu na tu, která byla uvedena v obou došlých paketech adresu routeru. Ted by měl správně router v tomto paketu provést zpětný překlad, tentokrát cílové adresy (tj. svou adresu by měl zaměnit za adresu skutečného cílového uzlu ze sítě), ale jak má poznat, pro který z komunikujících počítačů je paket určen? odle své tabulky by nemohl rozhodnout, protože tam má dvě navázané (rovnocenné) relace s příslušným serverem na internetu. AT tuto situaci řeší. Kromě mechanismu NAT identifikaci zpřesníme ještě tím, že každý z našich počítačů v záhlaví UD nebo TC segmentu uvede jako zdrojový port číslo větší (nebo rovno) než 1024, každý počítač použije jiné. Zdrojový port ve směru od klienta není důležitý, proto se dá využít právě pro zpřesnění identifikace. V tabulce zařízení provádějícího AT je kromě páru adres L

37 1.5 ROTOKOL IV4 25 uvedeno i toto číslo. Server z internetu ve svém paketu s odpovědí pak přehodí čísla zdrojového a cílového portu, a tedy při zpětném překladu se stačí podívat na číslo cílového portu v segmentu. Soukromé I adresy se nesměrují, směrovač zahazuje každou datovou jednotku, jejíž cílová adresa je soukromá (přesněji, DU se soukromou adresou se nedostane do jiné sítě). To samozřejmě nevylučuje funkčnost NAT na směrovačích, protože zde je soukromá adresa obvykle použita jako zdrojová, nikoliv cílová (jak ilustruje obrázek 1.10). Na tomto obrázku je adresa soukromou adresou přidělenou mechanismem DHC (běžícím na routeru) pracovní stanici. E Adresy podsítě Jak bylo výše uvedeno, rozdělení I adres do tříd přestalo být dostačující. Tento mechanismus byl rozšířen (přesněji rozšířen byl počet možností, jak I adresu rozdělit na části) na mechanismus podsít ování (subnetting). Iv4 adresa se při použití podsít ování dělí na tři části: adresu sítě, adresu podsítě, adresu uzlu v (pod)síti. Směrování je tedy hierarchické se třemi úrovněmi. Každá stanice má přidělenu nejen svou I adresu, ale musí také znát masku podsítě, která určuje hranici mezi adresou podsítě a adresou uzlu v síti. Na pozicích prvních dvou částí adresy (sít a podsít ) má maska bity nastaveny na 1, na pozici poslední části (uzel) má bity nastaveny na 0. Tento mechanismus je zpětně kompatibilní, například pro adresu třídy B bez rozdělení na podsítě by maska byla , tedy v prvních dvou oktetech má všechny bity nastaveny na 1. říklad odobně s podsítí například I adresa ve třídě B je , binárně maska podsítě je , binárně adresu podsítě (včetně adresy sítě) zjistíme operací AND na binárních adresách: binárně , adresa podsítě (z toho první dva oktety určují adresu sítě). V rámci téže sítě mohou existovat i další podsítě, například adresa může být adresou další podsítě. odsítě jsou výhodné z mnoha důvodů, z hlediska správce sítě je zde především možnost rozdělit stanice do skupin (segmentů), kde každá skupina stanic má svou vlastní adresu podsítě (ale všechny se stejnou maskou) a směrovače mohou zvlášt směrovat jednotlivé segmenty.

38 1.5 ROTOKOL IV4 26 říklad Ukážeme si jeden ze způsobů vytvoření podsítí ze sítě třídy C. ostupy jsou popsány například v [2] nebo [3] ze seznamu doporučené literatury. ředpokládejme tedy, že máme adresu sítě třídy C /24. Číslo za lomítkem značí počet bitů v masce nastavených na 1, zde je zřejmé, že maska bude (tj. adresa třídy C). V této síti chceme vytvořit 5 podsítí. Nejdřív zjistíme, kolik bitů z posledního oktetu, který je k dispozici, máme vyhradit pro adresu podsítě: 2 N 2 5, chceme nejnižší N, pro které rovnice platí (funkce 2 N 2 označuje počet platných podsítí). Vyhovuje N = 3. oslední oktet tedy rozdělíme na 3 bity podsítě a zbývajících 5 bitů použijeme pro adresu stanic v dané podsíti. nulové hodnoty (všechny bity na 0) jsou zakázány. Stanovení první podsítě: rvní platné číslo podsítě je binárně , desítkově 32. To znamená, že adresa první podsítě je /27, prefix se prodloužil o 3. Adresy stanic v první podsíti jsou až , protože poslední oktet může být binárně (první stanice v podsíti) (poslední stanice v podsíti) Adresa všesměrového vysílání (tj. broadcast) pro tuto podsít je /27 (poslední oktet ). Stanovení druhé podsítě: Druhá podsít bude mít v adrese poslední oktet binárně , desítkově 64. Všimněte si, že je o 1 větší než tentýž oktet u adresy pro broadcast v první podsíti. Adresa druhé podsítě je /27. Vidíme, že v adresách stanic bude poslední oktet nabývat hodnot až , desítkově 65 až 94. Adresa broadcastu pro druhou podsít je /27. odobně postupujeme i dále v adrese třetí podsítě bude poslední oktet binárně , desítkově 96, v adrese čtvrté podsítě binárně , desítkově 128, v adrese páté podsítě binárně , desítkově 160. Nesmíme zapomínat, že všech zbývajících 5 bitů nabývá najednou hodnoty 0 pouze v adrese podsítě a hodnoty 1 pouze v adrese broadcast adresy podsítě, tedy pro stanice v podsíti volíme hodnoty mezi těmito dvěma mezemi. Shrneme adresy podsítí: Adresa podsítě oslední oktet binárně rvní stanice Broadcast adresa / / / / / / / / / / / / / / /27 Jak vidíme, není to zcela optimální rozdělení, některé adresy zůstávají nevyužity, především proto, že jsme nevyčerpali všechny možnosti stanovení podsítí (tři bity podsítě by ještě mohly

39 1.5 ROTOKOL IV4 27 nabývat hodnot 110 a 111, ale samé jedničky jsou opět rezervovány). Také podsít s těmito třemi bity nulovými není použitelná, protože se jedná o adresu celé sítě. Výhodou je však zjednodušení směrování v síti. Hlavní je, aby se adresy stanic v jednotlivých podsítích nepřekrývaly, což máme zajištěno vyhrazením tří bitů pro jednoznačnou adresu podsítě. Dalším rozšířením využití podsítí bylo zavedení mechanismu VLSM (Variable Length Subnet Masks). Tento mechanismus umožňuje v rámci jedné sítě používat několik různých masek podsítě (to znamená nejen víc různých adres podsítě, ale navíc i různě dlouhých). Výsledné adresy stanic přesto musejí zůstat jednoznačné, což znamená určitá omezení při volbě adres podsítí a uzlů. V praxi se tento mechanismus používá pro podrobnější hierarchické dělení (v rámci podsítě může být více vnořených podsítí apod.), což opět lze s výhodou využít při zjednodušení směrování. říklad očet bitů sítě a podsítě se zapisuje za adresou. Například /16 je adresa sítě (třída B), /20 je adresa podsítě (celkem 20 bitů, tj. pro podsít ování jsou použity 4 bity), /26 je adresa vnořené podsítě podle VLSM (v rámci původní podsítě vytvoříme další podsít na 6 bitech), bity navíc zde zůstávají nastaveny na 0, i když to není zapotřebí. Obecně opět nelze využívat nulové krajní hodnoty, přesto však na některých routerech (např. od firmy Cisco) lze zapnout možnost jejich využívání. 2 Další generací vylepšení je CIDR (Classless Interdomain Routing, beztřídní směrování), také se nazývá nadsít ování (supernetting). Jedná se o úplné odbourání členění I adres do tříd (classless). CIDR člení I adresu na dvě části prefix a adresu uzlu. refix je vlastně shrnutím původních adres sítě a podsítě. Zápis je zcela zpětně kompatibilní. Stejně jako u VLSM se délka prefixu zapisuje za adresu a podle tohoto čísla lze zjistit hranici mezi prefixem (obdobou adresy sítě/podsítě) a adresou uzlu. říklad Například u adresy /23 je délka prefixu 23, to znamená, že maska je binárně , decimálně , prefix je binárně , decimálně (převedeme původní adresu do binární formy a provedeme operaci AND s maskou). 2 V Cisco IOS novějších verzí se zapnutí provádí příkazem ip subnet-zero.

40 1.5 ROTOKOL IV4 28 Délka prefixu 23 nechává zbytek adresy (tj. 9 bitů vpravo) adresám stanic, tj. 512 možných adres stanic, kdežto například pro prefix 18 by to bylo 15 bitů pro adresy stanic, což znamená adresovatelných stanic pro prefix. Stanovení prefixů a adres stanic je podobné jak jsme viděli na příkladu pro třídy adres, jen nejsme omezeni hranicemi tříd a prefixy mohou nabývat různých délek. Zajímavým projektem je Subnet Calculator ( kde si přímo na webu můžeme stanovit počet bitů podsítě a získáme počet podsítí, počet stanic v podsíti a rozpětí adres. roblematika stanovování podsítí a rozdělování adres je probírána v mnoha zdrojích, zajímavý pohled je například v literatuře [2] (najdete v seznamu literatury) Jak stanice může získat Iv4 adresu U Iv4 existují dvě základní možnosti získání adresy staticky a dynamicky. Statická adresa je pevně přidělená, je třeba ji stanoveným způsobem nakonfigurovat, at už ve Windows (v Ovládacích panelech najdeme nástroj pro práci se sít ovými připojeními, název záleží na verzi, v seznamu připojení najdeme to, které chceme konfigurovat, zvolíme vlastnosti, tam v seznamu používaných protokolů najdeme TC/Iv4, vlastnosti) nebo v Linuxu (také lze v grafickém rozhraní). Statická adresa může být veřejná nebo soukromá. Mnozí poskytovatelé Internetu ještě nedávno inzerovali, že každý klient dostane statickou I adresu, ale vesměs šlo o adresu soukromou. Statická adresa je potřebná především u těch uzlů sítě, které mají být (trvale) dostupné. ředevším jde o servery a důležitější sít ové prvky. Dynamické adresy jsou obvyklé především u běžných pracovních stanic (takových, které mají vlastní operační systém, nejde o tenké klienty). Dynamickou adresu získá zařízení přes protokol DHC. Komunikace mezi DHC klientem a DHC serverem je naznačena na obrázku Všimněte si, že jde o broadcasty (bud adresa , a nebo místní broadcast pro danou podsít ), protože klient ještě nemá přidělenou adresu (tudíž nemůže jít o unicast pakety). Od prvního kroku je v parametrech DHC paketu MAC adresa klienta, tedy by nemělo dojít k neúmyslné záměně s jiným žádajícím uzlem. DHC server si vede zásobník adres (Address Stack, ool), což je vlastně seznam adres, které může přidělit. o přidělení je adresa označena jako použitá (přidělená) a jsou k ní evidovány všechny potřebné informace (především MAC adresa zařízení, kterému je přidělena). Adresa je ve skutečnosti pronajata (leased) na konkrétní dobu. Tato doba je různá, záleží na konfiguraci DHC serveru, může jít o hodiny až dny. o vypršení propůjčení adresy musí zařízení opět o adresu požádat. Kromě I adresy DHC server poskytuje další informace, především masku podsítě, výchozí bránu, adresy DNS serverů. DHC server může běžet například na směrovači. V síti obvykle bývá jeden DHC server, aby nedocházelo ke kolizím (nezapomeňme, že stanice objevuje DHC server broadcastem, měla by dostat jen jednu nabídku adres).

41 1.6 ROTOKOL IV6 29 DHC klient DHC server UD broadcast DHC Dicscover source , sport=68 dest , dport=67 Kdo mi dá adresu? V DHC paketu může být žádost o dříve používanou adresu. UD broadcast DHC Offer source I adr. DHC serveru, sport=67 dest , dport=68 V DHC paketu je nabídka adres, maska, brána, doba platnosti, DNS servery. UD broadcast DHC Request source , sport=68 dest , dport=67 Žádost o konkrétní adresu (v polích DHC paketu je žádaná adresa a adresa serveru, který ji nabídl). UD broadcast DHC Ack source I adr. DHC serveru, sport=67 dest , dport=68 otvrzení (acknowledgement) přidělení I adresy, v polích DHC paketu je opět nabídka adres, maska, brána, doba platnosti, DNS servery. Obrázek 1.11: Obvyklý postup získání dynamické adresy Kombinací statického a dynamického přístupu je statická alokace. Jde o to, že klient sice získává adresu přes DHC, ale vždy stejnou, což může usnadnit fungování služeb vázaných na konkrétní I adresu. Jde o to, že v konfiguraci DHC serveru se ke konkrétní I adrese ručně namapuje konkrétní MAC adresa. Ovšem ne každý DHC server tuto možnost poskytuje a výrobci ji označují různými názvy (Static DHC, MAC/I Binding, Reserved I Address, I Reservation, apod.). Bezdiskové stanice (tenké klienty) mají specifické způsoby získávání adres. Tato problematika je popsána také na Úkoly V přílohách najděte příkazy umožňující zjistit a nastavit I adresu ve Windows a v Linuxu. Vyzkoušejte (v tom operačním systému, který máte k dispozici). 1.6 rotokol Iv6 rotokol I verze 6 (Iv6, také Ing next generation) má vyřešit zoufalou situaci s akutním nedostatkem adres protokolu Iv4. Zatímco adresy Iv4 zabírají 32 bitů, adresy Iv6 jsou dlouhé 128 bitů, což by bohatě mělo stačit pro jakákoliv zařízení na světě (teoreticky jde o počet adres).

42 1.6 ROTOKOL IV6 30 řínos Iv6 je však mnohem širší. Stručně lze shrnout rozdíly takto: rozsah adres, podpora bezpečnostních funkcí (v Iv4 tyto funkce zajišt oval protokol ISec), zvýšená podpora pro mobilní zařízení (MIv6), možnost autokonfigurace stanice (zjednodušené získání I adresy), QoS zajišt ování úrovně služeb na mnohem vyšší úrovni, atd. řechod na Iv6 by měl být výhodný nejen z hlediska počtu adres a zajištění bezpečnosti, ale také pro služby VoI, videokonference, RFID, grid computing, on-line hry, inteligentní budovy apod. Jedno sít ové rozhraní může mít i více než jednu Iv6 adresu. Další informace jsou na i5 54/rzai2/rzai2compipv4ipv6.htm?lang=cs rotokoly Iv4 a Iv6 mohou být používány zároveň, dokonce i na tomtéž uzlu v sítě. Hlavním garantem přidělování Iv6 adres je ICANN (Internet Corporation for Assigned Network Numbers, kdežto organizace IANA (Internet Assigned Numbers Authority, toto přidělování fyzicky provádí. Celková struktura přidělování adres je hierarchická. IANA přiděluje bloky adres regionálním registrátorům RIR, což jsou RIE (Evropa a část Asie), ARIN (Severní Amerika), AfriNIC (Afrika), LACNIC (Latinská Amerika), ANIC (Asie a acifik). Další patro hierarchie tvoří lokální registrátoři (LIR), kteří své bloky získávají od regionálních registrátorů. Od lokálních registrátorů pak své rozsahy adres získávají zákazníci nebo další subjekty, které mohou své rozsahy dále distribuovat Iv6 datagramy Struktura datagramu verze 6 je oproti verzi 4 značně pozměněná. Hlavní odlišnost je struktura záhlaví. Zatímco datagram Iv4 má záhlaví proměnné délky a se spoustou informací (z nichž některé obecně nejsou využívány), datagram Iv6 má záhlaví pevné délky a informací je v něm mnohem méně. Důsledkem je rychlejší směrování (směrovače zpracovávají záhlaví a takto mají usnadněnou práci). Datagram Iv6 má jedno povinné záhlaví pevné délky a pak mohou následovat volitelná záhlaví s proměnnou délkou. Formát povinného záhlaví Iv6 datagramu je v tabulce 1.7. Význam jednotlivých polí: verze (4 bity) verze protokolu (tedy 6), toto pole má stejný rozměr a určení jako u Iv4 (jen logicky jiný obsah), priorita (8 bitů) podobně jako pole typ služby u Iv4, jednotlivé bity umožňují optimalizaci priorit, toto pole (zároveň s následujícím) se používá pro QoS, označení datového toku (20 bitů) stanovuje způsob speciálního zacházení na směrovačích pro některé typy protokolů, s pakety patřícími do téhož datového toku se má zacházet stejně (žádný datový tok: = 0), má význam také pro QoS,

43 1.6 ROTOKOL IV verze priorita označení datového toku délka dat další záhlaví hop limit zdrojová I adresa cílová I adresa Tabulka 1.7: ovinné záhlaví datagramu protokolu Iv6 délka dat (16 bitů) délka zbytku datagramu (bez povinného záhlaví), tj. všech volitelných záhlaví a vlastních dat; pokud je zde hodnota 0, jedná se o tzv. jumbogram datagram extrémní velikosti (až 4 GB), což musí být podporováno hardwarem ve všech prvcích sítě na cestě a je nutné mít správně nakonfigurovanou hodnotu MTU, další záhlaví (8 bitů) určuje typ následujícího (volitelného) záhlaví téhož datagramu, pokud už žádné nenásleduje, je zde číslo 59, hop limit obdoba TTL u Iv4, označuje maximální počet směrovačů na cestě, zdrojová a cílová I adresa (obě 128 bitů, tj. pro každou adresu 4 řádky tabulky 1.7). Iv6 nedovoluje fragmentaci datagramu na směrovačích po cestě, datagram může být fragmentován pouze na zdrojové stanici. Volitelná záhlaví následují za povinným záhlavím v předem daném pořadí (tedy pořadí je důležité, RFC 2460), některá (nebo i všechna) mohou být vynechána. Každý typ volitelného záhlaví má své číslo, toto číslo najdeme v poli další záhlaví předchozího záhlaví (tj. v povinném záhlaví zjistíme, jakého typu je první volitelné záhlaví, v prvním zjistíme typ druhého volitelného, atd.). Některá z používaných volitelných záhlaví: L hop-by-hop options header (0, informace pro směrovače na cestě, směrovače čtou jen toto záhlaví), routing header (číslo 43, zde mohou být určeny směrovače, přes které má cesta vést, v obráceném pořadí je závazné i pro odpověd ), fragment header (44, pokud je datagram na zdrojové stanici fragmentován, je použito toto záhlaví s informací o fragmentaci, podobné údaje jako v záhlaví Iv4; stanice musí znát hodnoty MTU na cestě), authentication header (číslo 51, obsahuje autentizační informaci), encapsulating security header (50, údaje o šifrování), TC segment (6), UD segment (17), ICM paket (58),...

44 1.6 ROTOKOL IV Adresy Iv6 Adresa v Iv6 se skládá ze dvou částí prefixu a identifikátoru sít ového rozhraní (adresy uzlu v rámci jednoho prefixu). odobně jako u Iv4 adres, i zde je snaha o co největší zjednodušení směrování, proto adresy často odrážejí fyzickou strukturu sítě propojené směrovači (i v globálním měřítku). IANA přiděluje základní rozsahy (prvních 12 bitů, tj. prefix má v takovém rozsahu délku 12) jednotlivým regionálním registrátorům (kryjí se přibližně s kontinenty RIR, Regional Internet Registry), ti své rozsahy dále distribuují (například na 32 bitů, kde by délka prefixu byla 32). Další dělení provádějí poskytovatelé Internetu a samozřejmě pro své podsítě jednotlivé organizace. Rozlišují se adresy unicast (konkrétní uzel v síti), multicast (skupinové), anycast (adresace komukoliv ze zadané skupiny). Broadcast adresy již nejsou podporovány. Adresy mají jiný způsob zápisu. Jednotlivé části (což jsou dvojice oktetů, nikoliv samotné oktety jako v Iv4) se oddělují dvojtečkou a zapisují se hexadecimálně. To znamená, že adresa má celkem 8 částí (128/16). Adresa může vypadat například takto: A4CB:57B1:60AA:2F0E:113A:B201:042A:02B1 Adresa je velmi dlouhá a těžko si ji někdo zapamatuje (i když vyloučeno to samozřejmě není). Oproti Iv4 lze zápis zjednodušit odstraněním posloupnosti nulových skupin oktetů. V jedné adrese tak můžeme odstranit pouze jednu posloupnost nul a místo odstranění musí být označeno dvojitou dvojtečkou, například adresu A4CB:57B1:0000:0000:0000:B201:042A:02B1 lze zkrátit na A4CB:57B1::B201:042A:02B1 a můžeme také vynechat nuly ve skupinách oktetů vlevo: A4CB:57B1::B201:42A:2B1 říklad Opravdu lze krátit pouze jednu jedinou posloupnost nul. Například adresu 2001:0db8:3c4d:0000:0000:a011:0000:0000 lze zkrátit jedním z těchto způsobů: 2001:0db8:3c4d:0000:0000:a011:: 2001:0db8:3c4d::a011:0000:0000 špatně by bylo 2001:0db8:3c4d::a011:: (respektive 2001:db8:3c4d:0:0:a011::) (respektive 2001:db8:3c4d::a011:0:0) protože by taková adresa byla nejednoznačná. odle počtu částí adresy je zřejmé, že nulové jsou celkem čtyři části (celkem jich musí být 8), ale když v adrese vidíme dvě místa krácení, nemůžeme přesně říci, jak jsou mezi ně tyto čtyři nulové části rozmístěny. Mohla by to být například i chybná možnost 2001:0db8:3c4d:0000:a011:0000:0000:0000

45 1.6 ROTOKOL IV6 33 U (nejen) větších organizací bývá zvykem dělit vnitřní sít na podsítě. Organizace dostane přidělen vlastní prefix a zařízením ve své síti pak přiděluje adresy podle tohoto prefixu. Může si však stanovit širší prefixy, které obsahují původní prefix a několik bitů navíc, a každý z nich přidělí jedné své podsíti. říklad Organizace může využívat například takovéto adresování: A4CB:57B1:B201::/48 A4CB:57B1:B201:1::/64 A4CB:57B1:B201:2::/64 A4CB:57B1:B201:3::/64 A4CB:57B1:B201:1::4A/64 prefix přidělený organizaci prefix pro první podsít prefix pro druhou podsít prefix pro třetí podsít adresa některé stanice v první podsíti Dvě vyhrazené adresy: ::/128 je nedefinovaná adresa (stanice nemá přidělenou adresu, všechny části jsou 0), ::1/128 je loopback (lokální smyčka). Další vyhrazené adresy skupinové: FF00::/8 skupinová adresa představující všechny dostupné DHC servery, FF02::2 skupinová adresa všech dostupných směrovačů, FF02::1 skupinová adresa všech uzlů sítě podporujících Iv6. odobně jako u Iv4, i zde rozlišujeme globální a lokální adresy, ale účel a princip je trochu jiný. Adresy s prefixem 2000::/3 jsou globální, pomocí těchto adres lze komunikovat na Internetu. Dále existují tyto typy lokálních adres: unique local (ULA adresy) prefix FD00::/8, slouží k posílání unicast dat v rámci lokální sítě (organizace apod.), je to obdoba soukromé I adresy v Iv4, nesmí být viditelná mimo lokální sít, ale je zde zaručena unikátnost (narozdíl od následujícího typu adresy), link local prefix FE80::/10, tato adresa je lokální v rámci podsítě (segmentu, tj. v rozmezí viditelnosti linkové vrstvy L2 daného zařízení), link local adresy nepřejdou přes směrovač a obvykle každá sít ová karta má tuto adresu přidělenu při své aktivaci. Unikátnost ULA adresy se zajišt uje odvozením z data (času) generování adresy a z MAC adresy stanice. ůvodně se počítalo ještě s tzv. site local adresou, která by fungovala přesně jako lokální adresy v Iv4 (včetně překladu adres), její prefix je FEC0::/ Jak stanice může získat Iv6 adresu ředně je důležité, že každý směrovač v síti vysílá v pravidelných intervalech informaci označenou RA (Router Advertisement, oznámení směrovače). Součástí této informace je prefix adres v síti a adresa směrovače, přes který lze dostat pakety ven ze sítě. okud tedy stanice potřebuje tuto

46 1.6 ROTOKOL IV6 34 informaci (určitě ji potřebuje, když postupně zjišt uje, jakou má mít I adresu), tak bud naslouchá na síti a nebo nečeká a informaci si vyžádá žádostí RS (Router Solicitation, žádost o informace o směrovači a prefixu). Mechanismus RA nesouvisí s DHC, funguje i v případě, že v síti není žádný DHC server. oužívají se ICM zprávy. odíváme se tedy na jednotlivé možnosti získání celé Iv6 adresy. 1. Dynamicky přes DHC server (Stavový režim DHC, RFC 3315). DHC server eviduje propůjčené I adresy a stanice, kterým je udělil (tato informace představuje momentální stav protokolu), proto stavový režim. Obě strany jsou na začátku komunikace identifikovány pomocí DUID (místo MAC adresy) DHC Unique ID. Je to jednoznačný identifikátor generovaný z více různých parametrů, je částečně nezávislý na HW. DUID najdeme ve Windows v registru, v UNIX-like systémech obvykle v souboru /var/db. Je důležité, že pokud máme víc na počítači víc operačních systémů (at už díky virtualizaci nebo na různých oddílech), každý má jiné DUID. Ve stavovém režimu DHC se postupuje takto: stanice vyšle multicast na FF00::/8 s dotazem na DHC servery, DHC server(-y) odpoví svou I adresou na FF02::1 a svým DUID s nabídkou, Request stanice (DHC klient) si vybere (podle nabízených parametrů) a pošle anycast s uvedeným DUID serveru žádost o adresu (uvede také své DUID), Reply odpověd serveru: Iv6 adresa (včetně prefixu), délka prefixu v adrese, případně I adresy DNS serverů, stanice zkontroluje, jestli adresa není duplicitní; pokud ano, odmítne (Decline) a vrátí se k 3. bodu. Adresa je dočasná, je propůjčena na určitou dobu. o uplynutí této doby stanice odešle žádost o potvrzení adresy. DHC server si při změně sít ových parametrů může vynutit reakci u klientů zprávou Reconfigure. okud klient odchází ze sítě, informuje DHC server zprávou o uvolnění (Release). okud jen dočasně opustil sít (třeba restart), pak odesílá žádost o potvrzení původních parametrů (Confirm) na skupinovou adresu DHC serverů, DHC server potvrdí nebo odmítne. Ostatní způsoby přidělování adres jsou nestavové (nestavové chování DHCv6), protože není potřeba informace o jiných adresách v síti. 2. Autokonfigurace stanice s EUI-64. roces autokonfigurace má usnadnit počáteční konfiguraci (a také přihlašování) uživatelské stanice ze strany IS, správu připojených zařízení, která nejsou počítači (například domácí spotřebiče), značně se také zjednodušuje konfigurace stanic propojených ad-hoc (bez serveru a směrovačů). Můžeme se také setkat se zkratkou SLAAC (Stateless Address Autoconfiguration). Abychom si ujasnili vztah RA a SLAAC: není to totéž. Statická konfigurace SLAAC využívá mechanismus RA ke zkompletování adresy v sít ové části. Autokonfigurace se provádí přes protokol ICMv6 a spočívá v mechanismu zjišt ování sousedů (neighborhood), viz str. 37. Každá stanice má svůj jednoznačný identifikátor EUI (Extended Unique Identifier) vycházející z MAC adresy. EUI-64 (zabírající 64 bitů) se získá z MAC (48bitové) vložením

47 1.6 ROTOKOL IV6 35 sekvence 0 FFFE přesně uprostřed a změnou jednoho bitu sedmého bitu v prvním oktetu na 1 (tento bit je označován jako U/L). Jak bylo výše uvedeno, Iv6 adresa může být takto jednoduše mapována z MAC adresy. ostup při nestavovém DHC (RFC 2462, pak RFC 4862): uzel vytvoří link-local adresu (použije prefix FE80::/10, zbytek adresy vytvoří z EUI-64 nebo jiným způsobem), provede detekci duplicitních adres, aby bylo jisté, že má jedinečnou adresu v síti (přes ICMv6 se zeptá souseda, ten se ozve, pokud adresu zná adresu by už měl jiný uzel) využije mechanismus zjišt ování sousedů, z RA získá informace prefix podsítě, další informace o směrovači apod. (poslouchá na adrese FF02::1 skupina všech zařízení podporujících Iv6); pokud nechce čekat na RA, pošle na FF02::2 RS (žádost o RA), z toho všeho vytvoří svou platnou Iv6 adresu. Zbývá zjistit adresy DNS serverů. říklad EUI-64 se určí následovně: je prefix sítě, stanice ho zjistila výše popsaným způsobem od smě- 1234:5678:9ABC:DEF0::/64 rovače ED-89-A0-4E je MAC adresa stanice 0220:EDFF:FE89:A04E je EUI-64 (v prvním oktetu jsme zaměnili hodnotu předposledního bitu na 1, doprostřed je vsunut dvojoktet FFFE) 1234:5678:9ABC:DEF0:0220:EDFF:FE89:A04E je výsledná I adresa stanice Velký problém je, že narozdíl od DHC není běžnou součástí RA tak důležitá informace jako jsou I adresy jmenných (DNS) serverů. Tyto adresy jsou pro správné fungování stanice na Internetu důležité, uživatel přece nebude pracovat s číselnými I adresami (ještě k tomu tak dlouhými). V současné době existují tři různá řešení: 1. řidání informace o DNS serverech do RA ohlašování (standardizováno na podzim 2010, RFC 6106). Tuto možnost je nutné nejdřív implementovat. Zatím tuto možnost podporuje jen RA řešení pro Linux (a některé další UNIXy) démon radvd. Na dalších systémech (zvláště u Windows) si ještě dlouho počkáme. 2. Speciální anycast adresy pro DNS servery. Tato možnost nebyla nikdy dotažena do konce, existuje pouze ve verzi draft, především proto, že počítá se site-local adresami, které byly ze specifikace Iv6 vypuštěny. Implementaci najdeme v některých řešeních od Microsoftu, ale nedoporučuje se je používat. 3. Kombinace RA a DHCv6. řes RA (případně s požadavkem RS) si stanice vyžádá informace o síti a směrovači, dotvoří si svou adresu pomocí EUI-64 (nebo rivacy Extensions popsaných níže), info o DNS serverech získá z DHCv6.

48 1.6 ROTOKOL IV Autokonfigurace s rivacy Extensions. Účelem tohoto mechanismu je co nejvíce ztížit identifikaci koncových zařízení (především potenciálnímu útočníkovi, ale chaos si cíl nevybírá). Hostitelská část adresy (adresa stanice v síti) je dynamicky generována a obměňována přibližně jednou za několik dnů (doba se dá nakonfigurovat). To má bezpochyby své výhody, ale ze strany administrátora sítě jde o celkem podstatnou nevýhodu do sítě se mu každou chvíli dostane zařízení s novou I adresou. rivacy Extensions se používají především ve Windows, kdežto unixové systémy ji mají standardně vypnutou. rotože vypnutí rivacy Extensions ve Windows může mít pro některé uzly v síti neočekávané nepříznivé důsledky, administrátoři si k udržení pořádku v síti a přehledu o přihlášených zařízeních museli najít různé okliky a nástroje, například volně šiřitelný nástroj MetaNAV. 3 Jinak lze význam rivacy Extensions přirovnat k EUI-64, taktéž je potřeba navíc získat prefix a další informace (což jsme si popsalí právě v bodě o EUI-64). 4. Statická konfigurace. Staticky se konfiguruje bud celá 128bitová adresa, nebo její 64bitový prefix (a zbytek adresy stanice dotvoří z EUI-64). I adresy jmenných serverů nejsou během statické konfigurace zadávány, stanice je zjistí stejně jako u bezstavového DHCv6. Úkoly okud máte Iv6 adresu, zjistěte, jakým způsobem byla vytvořena (do značné míry to také závisí na tom, v jakém operačním systému pracujete) Zóny V praxi se lze setkat se zařízeními, která mají více než jedno sít ové rozhraní (například zařízení se dvěma sít ovými kartami). roblém může nastat, pokud se pro toto zařízení použije link-local adresa. V případě, že každé rozhraní je připojeno k jiné síti (například u dvou rozhraní s link-local adresami fe80::1/64 a fe80::2/64) a je třeba poslat paket některému zařízení patřícímu jen do jedné z těchto sítí, které má taky link-local adresu (například fe80::3/64), není jasné, které rozhraní vlastně použít, protože k rozlišení není možné použít prefix. Tato nejednoznačnost se řeší definováním zón. Kromě informace o adrese rozhraní je evidována také zóna, která již jednoznačně určuje sít u lokálních adres. Na konec Iv6 adresy se připojí symbol procenta a za něj označení zóny. Obvyklé označení: Iv6adresa%číslo (ve Windows), například fe80::94fd:241e:a5a1:d4bb%9 Iv6adresa%ethčíslo (v Linuxu), například fe80::94fd:241e:a5a1:d4bb%eth1 3

49 1.6 ROTOKOL IV6 37 Iv6adresa%pcnčíslo (v BSD systémech), například fe80::94fd:241e:a5a1:d4bb%pcn1 Ne všechny sít ové aplikace však se zónami dokážou pracovat. Zajímavé a celkem podrobné pojednání o Iv6 najdeme v seriálu (hlavně od druhého dílu) na stránce Informaci o DHCv6 najdeme na adrese ICMv6 a ND Nové funkce ICMv6. Zpráva ICMv6 Neighbour Solicitation slouží k objevování sousedů, a zcela nahrazuje protokol AR. Uzel touto zprávou pravidelně kontroluje funkčnost svých sousedů a oni odpovídají zprávou ICMv6 Neighbour Advertisement. ICMv6 má mnohem širší množinu zpráv. Kromě výše uvedené Neighbour Solicitation (NS) jsou to také zprávy související se skupinovým vysíláním (Group Membership Query dotaz členství ve skupině a odpovídající Group Membership Report, dále Group Membership Reduction omezení členství ve skupině). Zpráva Redirect slouží k doporučení adresátovi, aby datagramy pro určitý cíl posílal přes jiného souseda (doporučení na odstranění problému ve směrovací tabulce). Tyto zprávy (spolu s dalšími mechanismy) plně nahrazují činnost protokolů AR a IGM, které již nejsou potřeba. Sousedé. Některé typy komunikace vedou pouze k sousedním uzlům v síti. Stanice typicky mívá jen jednoho souseda (některý mezilehlý uzel sítě), mezilehlé uzly sítě včetně směrovačů mají sousedů více. ND (Neighbour Discovery rotocol) slouží k práci se sousedy (také k posílání zpráv mezi sousedními mezilehlými prvky). racuje na sít ové vrstvě (jako I a ICM) a využívá ICM zprávy (tj. ND protokol posílá a přijímá ICM zprávy, které se zapouzdřují do I datagramu). Jeho hlavním úkolem je zjišt ování a evidence informací o okolních uzlech (jejich I a MAC adresy apod.), tedy totéž, co bylo u Iv4 v AR tabulkách. Je používán k mnoha různým účelům, především zjištění I a MAC (nejen MAC, obecně z vrstvy L2) adres okolních uzlů (zpráva je adresována jako multicast, odpovědi obsahují I a MAC adresy), především se jedná o objevování směrovačů, spolupráce na získávání I adresy, konkrétně zjištění prefixu, zjišt ování duplicitních I adres v síti. Mnohé z toho, co bylo popsáno v sekci o získávání Iv6 adresy, zajišt uje právě protokol ND. Mechanismus RS a RA využívaný při objevování routerů (od kterých chceme získat I adresu a další informace) je také součástí mechanismu objevování sousedů. říklad Mechanismus objevování sousedů podle RFC 4861 si ukážeme na příkladu zjištění MAC adresy souseda (v případě, že známe Iv6 adresu) je to obdoba AR dotazu. Tento příklad je převzat z webu

50 1.6 ROTOKOL IV6 38 ostup: posílám datagram na skupinovou Iv6 adresu s prefixem ff02:0:0:0:0:1:ff00:0/104 určení celé skupinové Iv6 adresy: znám Iv6 adresu souseda, např. 2001:db8:1:1:22a:fff:fe32:5ed1 z ní vezmu posledních 24 bitů (3 oktety) a dodám do skupinové Iv6 adresy z prvního bodu: ff02::1:ff32:5ed1 na tuto adresu pošlu ICMv6 zprávu Neighbor Solicitation výzvu sousedovi soused odpoví zprávou Neighbor Advertisement obsahující jeho MAC adresu Bezpečnost. Objevování sousedů má jedno závažné úskalí: pokud obdržíme NS paket (paket s informací o mapování MAC a I adres souseda), předpokládá se, že údajům v tomto paketu budeme věřit. Jenže tento paket může být podvržený a důsledkem používání této I adresy je odesílání dat na jiný počítač než předpokládáme, což zvláště ve firemním prostředí může způsobit odcizení dat. ro tento problém existuje několik řešení, z nichž je zajímavý například protokol SEND (Secure Neighbour Discovery RFC 3971), který umožňuje digitálně podepisovat oznámení protokolu ND. oužívá se pro zajištění objevovací a keep-alive komunikace se sousedy. Možnosti: kryptograficky generované adresy (CGA) RFC 3972: koncept soukromého a veřejného klíče, ICMv6 zprávy jsou digitálně podepsány, certifikační cesty: ochrana proti falešným směrovačům řetězce navazujících certifikátů dokazující, že určitá důvěryhodná certifikační autorita schválila toto zařízení jako směrovač poskytující dané informace (certifikační autority tvoří hierarchii). O objevování sousedů najdeme informace například na m/articles/m-cga-tony-cheneau-sar-ssi-2011.pdf Úkoly Ve Windows se dá k údajům o ND dostat v NetShellu, kontextu interface, podkontextu ipv6. ro Iv4 používáme příkaz arp a dále lze sousedy zjistit příkazem nbtstat. V Linuxu je užitečný především příkaz ip neighbour (resp. ip neigh), pro Iv4 také arp. Najděte v přílohách způsob používání těchto příkazů a zjistěte, jak vypsat seznam sousedů.

51 Kapitola 2 Ethernet Tato kapitola je věnována Ethernetu IEEE Věnujeme se struktuře Ethernetu, přenosovým technikám a souvisejícím standardům. 2.1 Základní pojmy Co je to Ethernet Ethernet vznikl roku 1976, a to díky firmám Xerox, Digital a Intel. Je standardizován jako IEEE 802.3, ale přímo v tomto standardu se pojem Ethernet vůbec nepoužívá (kromě jiného z licenčních důvodů). Ethernet používá kolizní přístupovou metodu CSMA/CD (kromě nejrychlejších variant, tam se prakticky žádná kolizní metoda nepoužívá). V současné době je Ethernet nejpoužívanějším typem lokální sítě (a prosazuje se dokonce i mimo oblast čistě lokálních sítí) a jeho specifikace je velmi rozvětvená. Využívá různé typy kabeláže a také několik různých topologií. oužívá se v rychlostech 10, 100, 1000, ,... Mb/s (ty nejpomalejší už ani ne). V rámci ISO/OSI modelu na fyzické vrstvě se používá značení XBASE-Y, kde X je rychlost, BASE je signalizační metoda (Base nebo Broad základní nebo překládané pásmo), Y určuje kabeláž. Stručný přehled (později probereme podrobněji): DIX Ethernet je starý Ethernet, původní specifikace s přenosovou rychlostí v jednotkách Mb/s. Zkratka je utvořena z autorů DEC, Intel, XEROX. Rámce mají záhlaví nekompatibilní s následujícími. 10Mb Ethernet měl přenosovou rychlost 10 Mb/s, používal koaxiální kabel se sběrnicovou topologií nebo vzácněji optický kabel s topologií hvězda. Značení je 10Base-5 (tlustý koax), 10Base-2 (tenký koax), 10Base-F (optické kabely), 10Base-T (UT, byl nejpoužívanější). 39

52 2.1 ZÁKLADNÍ OJMY 40 Fast Ethernet (100Mb) má přenosovou rychlost 100 Mb/s, používá kroucenou dvojlinku (většinou nestíněnou) nebo optický kabel, fyzická topologie hvězda (i u následujících). Gigabit Ethernet (1000Mb) opět přibližně desetinásobné zrychlení, používá se optický kabel nebo kroucená dvojlinka (nestíněná kat. 5e nebo stíněná). 10G Ethernet (10 Gb) další zrychlení, používá se optika, kroucená dvojlinka kat. 6 nebo twin-ax. 40/100G Ethernet (40 Gb, 100 Gb) na nejnovější standardy (rok 2010, IEEE 802.3ba), jsou určeny především pro rychlé připojení datových center. ředchůdcem Ethernetu podle IEEE byl firemní DIX Ethernet neboli starý Ethernet. ozději vznikl standard IEEE 802.3, který se od původního Ethernetu liší především formátem rámce. Zatímco DIX Ethernet specifikuje fyzickou a celou linkovou vrstvu, IEEE pouze fyzickou vrstvu a podvrstvu MAC (LLC bere z IEEE 802.2) Sít ové prvky Uzly ethernetové sítě jsou DTE (Data Terminal Equipment) koncové stanice, tedy zařízení, která jsou zdrojem nebo cílem rámců, typicky počítače, servery, DCE (Data Communication Equipment) mezilehlá sít ová zařízení, která přijímají rámce a odesílají je dál, mohou být samostatná zařízení (router, switch apod.) nebo komunikační rozhraní (sít ová karta, modem apod.). V kabeláži používáme kroucenou dvojlinku stíněnou (ST shielded) nebo nestíněnou (UT unshielded), a nebo optické kabely. Existuje specifikace pro twin-ax kabel. Dříve se používal koaxiální kabel. Dnes je nejběžnější UT a optika. Topologie a struktura Celková struktura sítě je kombinace tří prvků: 1. oint-to-oint spojuje dvě zařízení (DTE-DTE, DTE-DCE nebo DCE-DCE), 2. sběrnice tento prvek se dnes fyzicky nepoužívá, dříve na koaxiálech; délka segmentu sběrnice max. 500 m (tlustý koax), maximálně 100 zařízení, segmenty lze propojit opakovači, mezi dvěma DTE musí existovat jediná cesta, max. počet zařízení v síti 1024, 3. hvězda zhruba od první poloviny 90. let, struktura složená z oint-to-oint segmentů DTE- DCE, DCE je HUB nebo switch (spíše switch, jednotlivé komunikace jsou odděleny) Časem došlo ke změnám ve fyzické topologii. U 10Mb Ethernetu se používala jako fyzická topologie sběrnice, dnes se běžně setkáváme s hvězdou nebo stromovou strukturou. Logická topologie (tj. popis způsobu chování sítě, šíření signálu) však stále zůstává sběrnicová. ostupné změny rozdělení fyzické vrstvy: u 10Base-T byla fyzická vrstva (HY) rozdělena na dvě podvrstvy (podobně jako dříve linková), ve specifikaci se mluví spíše o rozhraních k horní vrstvě a vně připojenému kabelu či konektoru, než o podvrstvách): hysical Medium Independent s rozhraním MII (Medium Independent Interface) nezávislá na přenosovém médiu, spolu s linkovou vrstvou je realizována na sít ové kartě (bez konektorů), od Gigabit Ethernetu je GMII

53 2.1 ZÁKLADNÍ OJMY 41 hysical Medium Dependent s rozhraním MDI (Medium Dependent Interface) závislá na médiu, implementuje vše související, tedy kódování bitů, elektrické parametry signálů atd., realizována vnějším rozhraním sít ové karty Linková vrstva Ethernet implementuje linkovou (zčásti) a fyzickou vrstvu modelu. Linková vrstva je rozdělena na podvrstvy LLC na DTE MAC na DTE i DCE, definována přímo standardem 802.3, MAC dvou komunikujích zařízení musejí minimálně podporovat tutéž přenosovou rychlost. Na DCE je podvrstva LLC nahrazena přemostěním (most umí spojovat i sítě s různými protokoly, například Ethernet a Token Ring). EtherType V některých typech rámců na LLC se používá speciální identifikátor EtherType (navzdory tomuto názvu zdaleka nesouvisí jen s Ethernetem). Tento identifikátor udává typ protokolu vyšší vrstvy pro data zapouzdřená v LLC, říká nám tedy, co je uvnitř. ole, které je v určitých typech rámců používáno pro uložení EtherType, se v jiných typech rámců používá pro uložení délky paketu (přičemž podle předchozích polí to není možné odlišit), proto je důležité, aby bylo možné určit, zda v tom poli máme hledat EtherType nebo délku rámce. Délka rámce je vždy menší než 0 05DC (1500)), proto je EtherType vždy , decimálně Konstant pro EtherType je hodně, některé nejdůležitější jsou následující: : jumbo frames : VLAN rámce podle 802.1Q : Iv4, 0 86DD: Iv : AR, : RAR Rámce na vrstvě L2 mohou být těchto typů: , : IX : MLS unicast : FCoE Initialization rotocol 0 814C: SNM LLC rámec pouze podle IEEE v Ethernetu se obvykle nepoužívá LLC s rozšířením SNA zapouzdřuje se do MAC rámce rámec Ethernet II implementuje celou linkovou vrstvu, nejběžnější Nejdřív se podíváme, jak vypadá LLC rámec: 1 oktet 1 oktet 1 nebo 2 oktety N oktetů DSA SSA řídicí pole data první bit I/G první bit C/R Jednotlivá pole mají tento význam: Tabulka 2.1: Struktura LLC rámce SSA, DSA (po 1 oktetu) přístupové body (SA) na cílovém (DSA) a zdrojovém (SSA) zařízení, které zabírají 7 bitů z každého oktetu; zbývající bit v každém oktetu označuje:

54 2.1 ZÁKLADNÍ OJMY 42 u cílového údaje I/G bit (individual/group) určující, zda jde o skupinovou adresu SA, u zdrojového údaje C/R bit (command/response) určující typ paketu (příkaz nebo odpověd ), říklady DSA a SSA: 0 42: IEEE Bridge Spanning Tree rotocol 0 98: AR 0 E0: Novell Netware 0 FF: Global DSA řídicí pole (1 nebo 2 oktety) určuje typ rámce z hlediska služby, pořadové číslo apod., data z vyšší vrstvy, která jsou v tomto rámci zapouzdřena. Následuje druhý typ rámce LLC s rozšířením SNA (SubNetwork Access rotocol). Rámec vypadá takto: 1 oktet 1 oktet 1 oktet 3 oktety 2 oktety N oktetů DSA SSA řídicí pole OUI protokol data = 0xAA = 0xAA = 0x03 Tabulka 2.2: Struktura SNA rámce SNA rámec přiřazuje původním polím LLC konstantní hodnoty (0 AA nebo 0 AB). Z toho vyplývá, že pokud hlavička začíná AAAA03, jde o SNA paket. Co se týče pole OUI pokud je nulové, je v dalším poli hodnota EtherType (místo SA); jinak je zde kód organizace, další pole určuje interně tato organizace. Třetí (nejpoužívanější) typ rámce rozpoznávaného na podvrstvě LLC je Ethernet II RE SFD DA SA Length Data+ad FCS Jednotlivá pole mají tento význam: Tabulka 2.3: Struktura rámce Ethernet II RE (reambule, 7 B) posloupnost střídajících se jedniček a nul, která informuje přijímající stanici, že má očekávat rámec, jde o synchronizační informaci SFD (Start-of-frame delimiter, také SOF, 1 B) také sekvence střídajících se jedniček a nul, ale končí dvěma jedničkami, úkolem je oddělit následující část hlavičky DA (Destination address, 6 B) určuje, kdo má rámec obdržet (MAC adresa); může být i skupinová nebo broadcast MAC (známe z předchozí kapitoly) SA (Source address, 6 B) adresa odesílající stanice, je vždy unicast Length/Type (2 B) pokud jde o SNA, jde o délku vnořených dat vždy je 1500, jinak EtherType (to je nejobvyklejší); pak se délka pozná podle pozice začátku dalšího rámce (mezera mezi rámci je 12 oktetů, FCS 4 oktety)

55 2.2 ŘENOSOVÉ TECHNIKY 43 data délka v rozmezi B, spodní hranice je nutná pro detekci kolizí datová výplň (ad) pokud délka dat je menší než 46, je nutné je doplnit touto výplní (do uložené délky dat se nepočítá), rozhraní mezi daty a datovou výplní poznáme podle hodnoty Length (délky dat) FCS (Frame check sequence, 4 B) do paty rámce (traileru) se přidává kontrolní součet, generuje se z dat od adresy příjemce (DA) po data včetně (i případnou výplň), slouží příjemci ke zjištění poškození rámce 2.2 řenosové techniky Zajištění přenosu pro poloviční duplex ři polovičním duplexu může vysílat vždy jen jedna z komunikujících stran. ro tento typ přenosu se používá přenosová metoda CSMA/CD, což znamená: CS (Carrier Sense) stanice neustále naslouchají na přenosovém médiu, i během vysílání, MA (Multiple Access) stanice mohou kdykoliv vysílat, když nasloucháním zjistí, že nikdo nevysílá, CD (Collision Detect) pokud více stanic vysílá v téměř stejném okamžiku, dochází k poškození signálu kolizi, stanice musí být schopny kolizi detekovat a ošetřit. V případě kolize musí přestat vysílat (ne okamžitě!!!, musí dát ostatním vysílajícím uzlům šanci, aby rozpoznaly kolizi), vyčkají náhodně dlouhý okamžik určený backoff algoritmem. Backoff algoritmus. Tento algoritmus určuje, jak dlouho má vysílací stanice čekat s přenosem, když zjistí kolizi. o prvním zjištění kolize: vyšle Jam signál pro zrušení odesílání vyslaného rámce čeká po dobu , 2 µs, pak se znovu pokusí o přenos když znovu přenos selže, čeká po dobu , 2 µs, pak se znovu pokusí o přenos pokud dojde k dalším selháním, čeká po dobu K , 2 µs, kde K je číslo z intervalu n 1 Existují i jiné, složitější verze backoff algoritmu. Nejhorší případ nastane, pokud najednou vysílají dvě nejvzdálenější stanice (signál té druhé vysílací stanice dorazí až po dlouhé době a není včas detekován). Kolizní okno (Collision Window, Slot Time) je odvozeno od doby, po kterou se šíří signál mezi dvěma nejvzdálenějšími stanicemi, po tuto dobu musí odesílající stanice naslouchat pro detekci kolize. Vliv spodní hranice délky rámce: vyšší větší kolizní okno a větší kolizní doména nižší menší kolizní okno a menší kolizní doména

56 2.2 ŘENOSOVÉ TECHNIKY 44 Nastavení kolizní domény a délky paketu závisí na rychlosti šíření signálu po síti, nastavení spodní hranice délky rámce a velikosti kolizního okna. u 10Mb Ethernetu stačilo najít vhodný kompromis, stanovena polovina času slot time 51, 2 µs, min. délka rámce 64 B, u 100Mb Ethernetu bylo nutné zmenšit průměr kolizní domény přibližně 10 (na méně než 200 m) při zachování minimální délky rámce a kolizního okna. RE SFD DA SA Length Data+ad FCS Ext 1000Base-X: 416 oktetů 1000Base-T: 520 oktetů Tabulka 2.4: MAC rámec pro Gigabit Ethernet ro Gigabit Ethernet (a rychlejší) už toto řešení není průchodné používá se jiné řešení: zvětší se minimální délka rámce (na 512 B), aby nebylo nutné zasáhnout do struktury rámce, zvětšení se provede přidáním nedatové přípony na konec MAC rámce (tj. za kontrolní součet), tato přípona má proměnnou délku a připojuje se pouze k rámcům kratším než je stanovené minimum, v tabulce 2.4 je označena jako Ext. Operace přidání/odebrání přípony se provádí na MAC vrstvě. arametr 10 Mb 100 Mb 1000 Mb Min. délka rámce 64 B 64 B 520 B (1000Base-T) 416 B (1000Base-X) Kolizní doména 100 m UT 100 m UT 100 m UT (DTE-DTE) 412 m optika 316 m optika Kolizní doména pro DCE 2500 m 205 m 200 m Max. počet DCE na cestě Tabulka 2.5: orovnání parametrů souvisejících s rámci pro 10Mb, Fast a Gigabit Ethernet Burst mode, shlukový mód je povolen pouze u gigabitových přenosů (1000Mb Ethernetu a výše). okud stanice vysílá více rámců za sebou, může je poslat ve shluku, který má tuto strukturu: 1. první rámec splňuje všechny výše uvedené náležitosti, včetně případného prodloužení příponou, 2. následuje IFG (InterFrame Gap) sekvence bitů, které oddělují rámce, 3. další rámce, vždy oddělené IFG intervaly; pokud jsou kratší než požadovaná minimální délka, není třeba je doplňovat o příponu. Struktura je patrná v tabulce 2.5.

57 2.2 ŘENOSOVÉ TECHNIKY 45 MAC rámec+ext IFG MAC rámec IFG... MAC rámec Tabulka 2.6: Burst mode u Gigabit Ethernetu Vlastnosti v Burst modu: celková délka shluku takto posílaných rámců by neměla překročit 5.4 násobek maximální možné délky rámce, pokud poslední rámec způsobí překročení této hodnoty, může být ještě jeho přenos dokončen. Toto řešení je určeno především pro posílání shluků menších rámců, které ve shlukovém módu není nutné vycpávat na minimální povolenou délku. Další výhodou je zachování výhradního přístupu k médiu během vysílání Zajištění přenosu pro plný duplex lný duplex (u oint-to-oint spojů) je realizován zdvojením přenosového média jedno pro každý směr. rotože je jen u oint-to-oint spojů, odpadají problémy s kolizemi (proto se nepoužívá žádná kolizní metoda) a prakticky není třeba naslouchat na médiu, rámce jsou posílány hned po zkompletování. Realizace a vlastnosti plného duplexu: CSMA/CD by dokonce mohla působit problémy (příjem a vysílání zároveň by považovala za kolizi), proto je nutné ji odstranit, díky neexistenci kolizí je dosah jen záležitostí fyzikálních vlastností přenosového média, obvykle funguje neustále v burst módu, tj. rámce jsou postupně odesílány oddělené IFG sekvencemi. Řízení toku dat Jestliže přijímající uzel je zahlcen rámci, musí požádat vysílající uzel o přerušení posílání rámců, pause frame je vygenerován v MAC vrstvě zahlceného uzlu, obsahuje informaci o délce intervalu, po který má vysílající stanice přestat zasílat; aby nedošlo k omylu, jsou identifikovatelné specifickou hodnotou zapisovanou do údaje o délce dat pokud je zahlcení vyřešeno dříve, může být vygenerován pause frame s nulovým časovým intervalem, který informuje uzel s pozastaveným zasíláním, že může zase začít posílat rámce Zajištění přijetí dat Zajištění přijetí dat je stejné pro poloviční i plný duplex, rozdíl je jen v tom, že u plného duplexu musí být odděleny vyrovnávací paměti pro odesílání/příjem. ostup přijetí: 1. kontrola cílové adresy (DA) zda jde o unicast/broadcast/multicast, a jestli adresa odpovídá adrese této stanice (stanice běžící v promiskuitním módu přijímají všechny rámce bez ohledu na adresy)

58 2.2 ŘENOSOVÉ TECHNIKY 46 = Collision domains Hub Switch Collision domain = Broadcast domain Broadcast domain = Collision domains Router Switch Hub Broadcast domain Collision domain = Broadcast domain Obrázek 2.1: Kolizní a broadcastová doména při použití rozbočovače, přepínače a směrovače 2. zjištění délky rámce a porovnání kontrolního součtu s údajem v FCS 3. kontrola údaje v Length/Type Field o jaký typ rámce jde, případně délka datové části rámce (LLC rámce), kontrola délky LLC rámce s uvedeným údajem 4. rozbalení rámce, data jsou předána na vyšší (pod)vrstvu VLAN VLAN (Virtuální LAN) umožňuje propojit vzdálené LAN segmenty do jedné logické (virtuální) LAN sítě s (téměř) všemi vlastnostmi a výhodami komunikace v LAN. Lze nastavovat přenosové priority u odcházejících rámců. Účelem VLAN je zjednodušit jak přístup vzdálené stanice k síti, tak i administraci sítě vzhledem k této vzdálené stanici při co nejvyšším zachování bezpečnosti připojení.

59 2.3 FYZICKÁ VRSTVA 47 VLAN rámec v Ethernetu má pozměněnou strukturu navíc se vkládá VLAN hlavička za adresy DA a SA. Struktura VLAN rámce: VLAN type ID (2 B) určuje, že jde o VLAN rámec, má specifickou hodnotu nezaměnitelnou s hodnotami běžně povolenými pro údaj Length/Type, TAG control (2 B) hodnota priority (0 7, čím vyšší číslo, tím vyšší priorita) a identifikace VLAN, do které rámec patří. říchozí VLAN rámec je v MAC vrstvě zpracován takto: DCE (třeba switch) odešle VLAN rámec beze změny na všechny porty odpovídající identifikaci VLAN s ohledem na uvedenou prioritu, DTE (obvykle cíl rámce) odstraní VLAN hlavičku a rámec zpracuje jako jakýkoliv jiný. RE SFD DA SA VLAN Tag Length Data+ad FCS Ext typ control VLAN záhlaví Tabulka 2.7: VLAN ethernetový rámec 2.3 Fyzická vrstva NIC NIC (Network Interface Card, sít ová karta) je implementace fyzické vrstvy. Výrobní označení se skládá ze tří částí odvozených od konkrétních vlastností fyzické vrstvy: přenosová rychlost, přenosová metoda (rozlišení základního a překládaného přenosu nebo BaseBand a BroadBand), přenosové médium, případně typ kódování signálů. Se značením jsme se již seznámili na začátku kapitoly. Například 100Base-T4 (rychlost 100 Mb/s, BaseBand, kroucená dvojlinka s přenosem na všech 4 párech). řenosová metoda je prakticky u všech novějších specifikací BaseBand (sít ové prvky podporující BroadBand se na trhu neprosadily objevil se pouze 10Broad36). MAU (transceiver) MAU (Medium Attachment Unit) neboli transceiver (zkráceno ze slov transmit- ter/receiver) je prvek na NIC, který zajišt uje rozpoznání přítomnosti signálu, kolizi (signál jam) a vysílání/příjem signálu. Transceiver bývá u některých forem externí, pak se k NIC připojuje AUI kabelem (Attachment Unit Interface).

60 2.3 FYZICKÁ VRSTVA Kódování signálu Signál je během přenosu po přenosovém médiu do určité míry zeslaben a deformován z důvodu fyzikálních vlastností média a jeho délky, šumu, přeslechů, vnějších vlivů, horší synchronizace. řesto je nutné, aby cílová stanice tento signál správně přečetla. Řešení: použití vhodných dobře rozmístěných zařízení IS (dle pojmů ISO Intermediate System), která mohou obnovit kvalitu signálu (prostě opakovač), časovač použitý při přijímání dat musí být správně synchronizován s pulsy v příchozím proudu dat, použijí se kompenzační hodnoty pro úpravu signálu. Časovač může ztratit synchronizaci u signálu, který se po dlouhou dobu nemění (třeba dlouhá sekvence nul), proto je nutné zajistit, aby k tomu nedocházelo. Jak vyřešit problém se synchronizací časovače a stanovení kompenzačních hodnot: obojí vyřeší vhodná volba kódování dat, každý bit je nahrazen určitou sekvencí bitů, účelem je zajistit, aby se dostatečně často střídaly hodnoty 0 a 1, řetězec musí být zpětně dekódovatelný, pro každou přenosovou cestu je charakteristický určitý ideální průběh signálu (většinou něco jako sinusovka), proto je účelem kódování přiblížit skutečný průběh signálu tomuto ideálu se zachováním informace : High Low 10 1: Low High Obrázek 2.2: Kódování Manchester pro oktet ( ) 2 Kódování Manchester je velmi jednoduché. Spočívá v zakódování bitů do směru kmitu signálu 0 je kódována jako přechod shora dolů, 1 je kódována jako přechod zdola nahoru (viz obrázek 2.2). Výsledek můžeme reprezentovat průběhem signálu a nebo opět jako sekvenci jedniček a nul s tím, že přechod shora dolů zapíšeme jako 10 a opačný přechod jako 01. Například sekvence bitů je zakódována na Jak vidíme, stejné symboly vedle sebe získáme pouze na těch místech, kde se v původní sekvenci měnily hodnoty bitů, a to nejvýše dva stejné symboly. To je výhodou kódování Manchester, nevýhodou je navýšení délky posílaných dat (délka se oproti původním zdvojnásobí). U 10Base-T to stačí, ale u vyšších rychlostí jsou další techniky: 1. data scrambling (promíchání dat) hodnoty bitů se podle klíče zamění (na opačnou hodnotu); účelem je uvést data do stavu, kdy se jednodušeji synchronizuje časovač a hodnoty 0 a 1 se střídají dostatečně často

61 2.3 FYZICKÁ VRSTVA rozšiřování oblasti kódu zvlášt se kódují data řídicí signály 3. samoopravitelný kód přidají se redundantní oblasti s vhodnou střídavou strukturou (u Gigabit Ethernetu) Kódování 4B/5B Z každé čtveřice bitů se vytvoří 5 bitů tak, aby v celé sekvenci bylo co nejvíce jedniček (nejméně dvě na pětici), na začátku pětice nejvýše jedna 0, na konci nejvýše dvě 0. Kódy jsou v tabulce B 5B 4B 5B 4B 5B Tabulka 2.8: Tabulka kódů pro 4B/5B Sekvenci , kterou jsme v kódování Manchester zakódovali do 16 znaků, zde zpracujeme na o délce 10 znaků. Kódování MLT-3 používá tři úrovně napětí (předchozí kódování používala jen dvě úrovně), a to -, základna, +. Změna napětí proběhne pouze na signál 1, a to na sinusovce, například pro sekvenci jedniček by bylo 0, 1, 0, -1, 0, 1, 0, -1, atd. Toto kódování se obvykle kombinuje s některým jiným, například signál pro MLT-3 může být předzpracován kódováním 4B/5B. Oproti Manchestru má signál jen čtvrtinovou frekvenci, proto méně vyzařuje, generuje mnohem méně rušení do okolí. Kódování 8B/6T znamená, že 8 bitů původní sekvence je zakódováno 6 změnami signálu (ternární symboly, tedy stavy -,0,+). oužívá se na kroucené dvojlince kategorie 3 se 4 páry, data se rozdělí do 3 párů, přenášejí se vždy jedním směrem. Čtvrtý pár je používán pro indikaci kolizí. Kódování NRZ (Non Return to Zero) není 0 (základna), například +1,-1. používá pro reprezentaci signálu dvě úrovně, z nich žádná Existuje více variant unipolární (1 je představována kladným napětím, 0 také kladným, ale menším), bipolárním (0 kladné, 1 záporné), NRZI, atd. Kódování NRZI (Non Return to Zero Inverted) znamená, že 1 vyvolá změnu signálu, 0 ne. Je to obdoba MLT-3, ale jen na dvou úrovních (kladné a záporné) Fyzická vrstva v ISO/OSI modelu Fyzická vrstva se také dělí na podvrstvy, a to závislé/nezávislé na médiu s vlastními komunikačními rozhraními (interface).

62 2.4 STANDARDY RO FYZICKOU VRSTVU 50 odvrstvy nezávislé na médiu: vyrovnávací podvrstva (reconciliation), MII (10Mb a 100Mb), GMII (Gb) nebo XGMII (10Gb) zvlášt odesílací a přijímací datové cesty o šířce 1 bit pro 10Mb (bitserial), 4 bity pro 100Mb (nibble-serial) nebo 1 B (byte-serial). Zajišt ují logické spojení mezi MAC a různými sadami podvrstev závislých na médiu. odvrstvy závislé na médiu: CS (physical coding sublayer) kódování, multiplexing, synchronizace odchozích a opačně u příchozích dat, MA (physical medium attachment) vysílání a přijímání signálu, mechanismus zotavení časovače (zajištění sesynchronizování časovače na začátku proudu dat), Reconciliation MII CS MA Auto-negotiation MDI Auto-negotiation (vyjednávací podvrstva) tyto podvrstvy na začátku přenosu dohodnou konkrétní vlastnosti spojení vyhovující oběma NIC, MDI (medium-dependent interface) ke konektoru kabelu. Fyzická vrstva je zcela předefinována v 10G Ethernetu. Nezávislé n. m. Závislé na médiu 2.4 Standardy pro fyzickou vrstvu Mb Ethernet Ethernet s rychlostí 10Mb/s v současné době už téměř nikde nenajdeme. Nejstarší standardy jsou 10Base-5 (tlustý/thick Ethernet) a 10Base-2 (tenký/thin Ethernet). V obou případech se používá koaxiál (tlustý nebo tenký), topologie je sběrnicová. Stanice se ke sběrnici připojují pomocí členu nazývaného T-kus ( téčko ) podle svého tvaru. Sběrnice musí být na obou koncích ukončena terminátorem, aby nedocházelo k odrazům a rušení signálu. Tyto standardy se dnes již nepoužívají. 10Base-T propojuje uzly sítě nestíněnou dvojlinkou (UT) kategorie 3 nebo 5. Tento kabel má 4 páry vodičů, z nichž se pro přenos používají pouze 2. Konektory jsou dnes již běžně známé 8pinové RJ-45. Fyzická topologie již není sběrnice, ale hvězda nebo složitější. V centru hvězdy je rozbočovač nebo jiný mezilehlý prvek (DCE), k němu jsou připojeny jednotlivé DTE spojením point-to-point. oloviční i plný duplex je implementován tak, že ze dvou používaných párů vodičů v kabelu každý funguje simplexně (v jednom směru). Jako první ethernetový standard podporuje ověření provozuschopnosti spojení při zapnutí NIC (podvrstva MA) odešle impuls, kterým sdělí, že je na příjmu a očekává odpověd, pokud nedostane, opakuje každých 16 ms. Kóduje se kódováním 4B/5B kombinovaným s Manchesterem.

63 2.4 STANDARDY RO FYZICKOU VRSTVU 51 10Base-F je standard pro optický kabel s topologií hvězda. Existuje několik specifikací včetně jedné přímo určené pro páteřní rozvody. 10Broad-36 je standard pro použití koaxiálního kabelu s impedancí 75 Ω, topologie sběrnice. K dispozici jsou 3 kanály po 6 MHz pro vysílání a 3 kanály po 6 MHz pro příjem, tedy celkem 36 MHz. Výhodou tohoto řešení je možnost vytváření velmi dlouhých segmentů, až 1800 m. řesto se 10Broad-36 nerozšířil, ale stal se základem pro pozdější provozování Ethernetu v sítích kabelových televizí Fast Ethernet Fast Ethernet (100Mb/s) je standardizován jako IEEE 802.3u. Typická fyzická topologie je již stabilně hvězda (případně pozměněná do stromu). Transceivery mohou být externí, připojené k NIC drop kabelem (MII kabelem, AUI), max. 0,5 m. Transceiver Attachment Unit Interface Transceiver drop cable Attachment Unit Interface Obrázek 2.3: Interní a externí transceiver ro Fast Ethernet rozlišujeme dvě třídy opakovačů: třída I (translational repeater) kromě opakování a případného zesílení signálu provádí také překlad (například mezi FX a TX), může propojovat dva kabely různého typu, důsledkem je větší zpoždění signálu, proto může být pouze jediný v kolizní doméně, třída II (transparent repeater) neprovádí překlad, propojuje pouze dva kabely stejného typu, menší zpoždění, proto mohou být i dva v jedné kolizní doméně. U Fast Ethernetu se objevuje skutečná technologie auto-negotiation (automatická detekce a vyjednání vlastností spojení), ale zatím jen detekuje rychlost na médiu. Také se objevily NIC pro 10/100 Mb, které automaticky rozpoznají rychlost na médiu a podle toho pracují v 10Mb nebo 100Mb režimu. Dále se budeme věnovat typům rozhraní pro Fast Ethernet. 100Base-TX využívá UT kabel (nestíněnou kroucenou dvojlinku) kategorie 5 (nebo výjimečně ST kabel kategorie 1). Délka segmentu bez opakovačů je do 100 m. Kabely kat. 5 obsahují 2 nebo 4 datové páry, což je dostačující (vyžaduje se pro každý směr jeden pár). Kóduje se 4B/5B kombinovaně s MLT-3. Na 100Base-TX lze celkem bez problémů přejít ze staršího 10Base-T. Kabeláž (pokud je alespoň typu 5) může zůstat. Jen je třeba vyměnit NIC a mezilehlé prvky sítě (jako jsou opakovače), což může probíhat postupně, pokud se používají NIC 10/100 s funkcí auto-negotiation (tj. prvky podporující oba standardy). 100BASE-T4 využívá UT, kde se pro přenos dat používají všechny čtyři páry, kategorie 3 nebo 4, lze použít i kategorii 5, pokud je kabel kvalitní (tj. pokud má všechny 4 páry). J

64 2.4 STANDARDY RO FYZICKOU VRSTVU 52 Dva páry jedou na half-duplexu (polovičním duplexu), v obou směrech, ale v jednom okamžiku jen jeden směr, další dva páry jsou simplexní, tedy jen pro jeden určený směr. oloduplexní páry a jeden simplexní jsou pro data, další simplexní je pro potřeby CSMA/CD. lný duplex není podporován. Kóduje se 8B/6T, speciální skupiny 6T jsou určeny pro IDLE (indikuje ticho na lince) a další (začátek a konec rámce apod.). Maximální délka segmentu je 100 m. ozor levnější kabely kategorie 5 mají jen dva datové páry, tedy je nelze pro tento typ Fast Ethernetu použít. oznáme na první pohled, stačí se podívat na konektor. L 100BASE-T2 je určena pro starší sítě na kroucené dvojlince kategorie 3 původně provozované jako 100Base-T4, může být i kabel kategorie 4 nebo 5. Dva simplexní páry jsou nahrazeny jedním plně duplexním spojením, tj. funguje také plný duplex, oba původně poloduplexní páry mohou také fungovat plně duplexně. Je tedy podporován poloduplexní i plně duplexní provoz. Na oint-to-oint spojení je vždy jedna NIC jako master, druhá slave; kdo je kdo, se rozhoduje při inicializaci komunikace, master určuje časování synchronizace. oužívá se odlišné kódování s pěti úrovněmi napětí AM5 (Five-level ulse Amplitude Modulation, podobně jako MLT-3, ale pět úrovní: -1,-0.5,0,0.5,1) v kombinaci se scramblingem. 100Base-FX je standard pro optický kabel (fiber optic). oužívají se dva optické kabely (mnohavidové nebo jednovidové), každý pro jeden směr komunikace. Délka segmentu závisí na typu optického kabelu a typu duplexu 412 m (mnohavidový kabel, half duplex) nebo m (jednovidový kabel, plný duplex). oužívá se kódování NRZI předzpracované kódováním 4B/5B. Nevýhodou řešení byla ve své době především cena. 100Base-X využívá UT kabel kategorie 5, ve kterém používá pouze dva páry, anebo optický kabel (dva kabely, jeden pro každý směr). Kódování je 4B/5B. Jedná se o kombinaci obou předchozích standardů, karty podle 100Base-X podporují oba typy kabeláže (jsou na nich oba typy konektorů). UT kategorie 5, dva datové páry rotokoly vyšší vrstvy MAC klient MAC Reconciliation MII CS MA (100Base-TX) (100Base-FX) 100 Mb/s nezávislá na médiu 100Base-X T-MD Fiber-MD konektor RJ-45 MDI MDI konektor SC Duplex optický kabel se dvěma vlákny Obrázek 2.4: Schéma pro 100Base-X

65 2.4 STANDARDY RO FYZICKOU VRSTVU Gigabit Ethernet Základní specifikace pro gigabitový Ethernet jsou 1 000Base-T (802.3ab) pro kroucenou dvojlinku UT kategorie 5e 1 000Base-X (802.3z) pro optické kabely varianty SX a LX, pro ST varianta CX podvrstvy MAC a Reconciliation pro Gigabit Ethernet podvrstvy nezávislé na médiu pro Gigabit Ethernet podvrstvy CS, MA a Auto-negociace pro 1000Base-X podvrstvy CS, MA a Auto-negociace pro 1000Base-T CX MD LX MD SX MD 1000Base-T MD MDI MDI MDI MDI ST optický optický UT (2 páry) single/multi-mode multimode (4 páry (oba směry) (oba směry) min. kat. 5) Je možné použít tyto prvky sítě: Obrázek 2.5: Souhrnné schéma pro Gigabit Ethernet opakovače (příp. jednoduché rozbočovače) pro poloviční duplex, max. 100 m na každé straně opakovače u UT, rozbočovače s bufferem pro plný duplex, mají vyrovnávací pamět, přijímají rámce z více vstupních portů a ukládají do paměti, při zahlcení podle IEEE 802.3x použijí protokol X- on/x-off a zažádají uzly o přerušení vysílání, než pamět vyprázdní, přepínače přepínaný duplex (switch dokáže zajistit více logických spojení najednou), velké zvýšení propustnosti sítě, jde o plný duplex. řepínače posílají rámce jen na ty porty, na které patří (kontrolují adresu DA), proto oddělují kolizní démény; pokud jsou v síti použity jako DCE pouze přepínače, není třeba používat CSMA/CD. Rozlišujeme tedy sdílený Ethernet v jedné kolizní doméně je více než dva uzly, nutné použít CSMA/CD, přepínaný Ethernet v jedné kolizní doméně jsou jen dva komunikující uzly, používá se plný duplex (jeden z uzlů bývá přepínač) Base-T (IEEE 802.3ab) používá všechny 4 páry UT kategorie 5e (vyhovují také některé kabely kategorie 5), na každém páru je rychlost 250 Mb/s. Je zpětně kompatibilní s 100Base-TX. Rámec se rozdělí na 4 části pro 4 páry UT, zakóduje, na druhé straně linky se dekóduje a znovu složí. Existují speciální sekvence pro IDLE, indikaci začátku rámce, indikaci konce rámce. Kóduje se pomocí AM5.

66 2.4 STANDARDY RO FYZICKOU VRSTVU 54 Je podporován poloviční i plný duplex. CSMA/CD přestává vyhovovat, ale pořád existuje. Hodně se používají switche (aby nebylo nutné při vyšší rychlosti zmenšovat kolizní doménu) a spojení jsou spíše typu oint-to-oint (DTE-DCE) Base-X (IEEE 802.3z) je základní standard pro optické kabely, od toho se odvíjí i použité kódování 8B/10B (8 bitů je kódováno do 10bitové skupiny) v kombinaci s NRZ. Je podporován poloviční i plný duplex. Základní standardy jsou 1 000BaseSX světelný zdroj je LED-dioda nebo laser, vlnová délka 850 nm (v reálu nm), mnohovidové kabely (průměr jádra 50 nebo 62,5 µm), je určen pro pro kratší horizontální vedení nebo páteře (několik set metrů) 220 m pro kabely 50 µm, 550 m pro kabely 62,5 µm, 1 000BaseLX světelný zdroj je laser o vlnové délce 1300 nm (v reálu nm), jednovidové (10 µm) nebo mnohovidové kabely (50 nebo 62,5 µm), použitelné pro delší vzdálenosti (až 5 km s jednovidovými kabely; někteří výrobci garantují i 10 nebo 20 km, pokud jsou použity jejich produkty na obou koncích linky) Base-SX je velmi oblíbený ve firmách k propojení budov v rámci jednoho areálu. Naproti tomu 1 000Base-LX umožňuje vést kabely na větší vzdálenost, například jako páteř propojující více poboček (podsítí) v rámci jednoho města. Existují také neformální (firemní) specifikace, které nejsou standardizované: LH podobný LX, ale na delší vzdálenost až 10 km, ZX pro jednovidové kabely využívající laser o vlnové délce 1550 nm, vzdálenosti i 70 km, BX10 jednovidový optický kabel, ale nesymetrická vlnová délka pro downstream (ke koncovému zařízení) 1490 nm, pro upstream (opačně) 1310 nm. Výše uvedené standardy a specifikace jsou pro optické kabely. Do této skupiny patří ještě jeden standard, který má výjimku: 1 000BaseCX kabel je ST (stíněná dvojlinka) nebo koaxiál, používá se krátké vzdálenosti do 25 m, moc se neprosadil. Jeho předpokládanou výhodou byla možnost snadnější kombinace s předchozími, například pro krátké spoje k serveru (propojení serveru a blízkého přepínače) Gb Ethernet 10 Gb Ethernet (10Gb, 10GbE) je určen pro MAN a WAN sítě, používá se také v datových centrech (velké množství dat na krátkou vzdálenost). propojení serverových clusterů, apod. V rozlehlých sítích používá speciální podvrstvu WIS (WAN Interface Sublayer) pro připojení k SONET/SDH. Jako první vznikla specifikace pro optické sítě (IEEE 802.3ae, rok 2002), později i metalické kabely. ři takto vysoké rychlosti již není možné efektivně zabránit kolizím, proto se definitivně přešlo na plný duplex podporovaný switchi. CSMA/CD nelze aplikovat. Vývoj také spěje k modulárnosti a mnohostrannosti. Mezilehlá zařízení pro 10GbE (switche)

67 2.4 STANDARDY RO FYZICKOU VRSTVU 55 Obrázek 2.6: Optický transceiver XENAK 1 většinou podporují více různých fyzických vrstev, používají se výměnné zásuvné moduly (transceivery). Optický transceiver ve formě modulu (externí transceivery byly používány i u dřívějších verzí) není specifikován přímo v 802.3, ale zvlášt v dokumentech MSA (MultiSource Agreements) především se setkáváme s MSA XENAK, X2, XAK, XF and SF+. řipojuje se k rozhraní XAUI (jako AUI u starších verzí). XAUI spolu se svým okolím představuje GMII, je napojen na MAC podvrstvu. Ukázku vidíme na obrázku GBase-R (optický kabel) používá kódování 64B/66B. Rozlišujeme: 10GBase-SR (Short Range) laser 850 nm, mnohavidový kabel, dosah 62 m 10GBase-LR (Long Range) laser 1310 nm, jednovidový kabel, dosah 10 km (v praxi až 25 km je kvalitní signál) 10GBase-LRM (Long Reach Multimode, IEEE 802.3aq) laser 1310 nm, mnohavidový kabel, dosah 220 m 10GBase-ER (Extended Range) laser 1550 nm, jednovidový kabel, dosah 40 km 10GBase-W používá podvrstvu WIS pro připojení k WAN, optické kabely (stejně jako R, jen navíc podpora WIS). Také má varianty SW, LW a EW. oužívá trochu jiný formát rámce v rámci WIS je zapouzdřen běžný LAN rámec 10GBase-R Ethernetu), WIS se pak posílá po WAN. 10GBase-T (802.3an) pro horizontální vedení v rámci strukturované kabeláže. Kódování AM-16 v kombinaci s DSQ128, kroucená dvojlinka, a to kategorie 6 (dosah až 55 m) nebo 6a či 7 (dosah až 100 m). 10GBase-CX4 (IEEE 802.3ak) je určen pro datová centra a stohovatelné přepínače, obecně pro připojení některého DCE k serveru, kabel twin-ax, 4 vysílače a 4 přijímače po 2.5 Gb/s často napojeno na InfiniBand vysokorychlostní rozhraní podporující QoS, sériové, obousměrné, s nízkou latencí, různé šířky (u CX4 s twin-axem používáme 4 ) kromě použití v sítích se rozhraní používá také například k připojení datových zařízení kódování 8B/10B, dosah pouze do 15 m výhoda: cena 1 Zdroj: J J J

68 2.5 TECHNOLOGIE 56 Tento standard je založen na XAUI. Další informace o InfiniBand: overview Obrázek 2.7: Infiniband a twinax 2 10GBase-LX4 lze použít pro připojení k infrastruktuře SONET/SDH (viz dále) optika (jednovidové i mnohavidové kabely), 850 nm používá WDM (Wavelength-Division Multiplexing) obdoba frekvenčního multiplexu na optice (různé vlnové délky barvy ) 4 oddělené laserové zdroje, dosah 300 m/10 km 2.5 Technologie Křížení Vysílač (Tx Transmit) na jednom konci spojení musí být připojen na přijímač (Rx Receive) na druhém konci a naopak, proto je nutné křížení cesty. Toto křížení je naznačeno na obrázku 2.8. Křížení může být provedeno bud v kabelu (křížený kabel), a nebo interně v zařízení, ale není přesně stanoveno, která z těchto možností má být použita. odle doporučení by mělo platit: na cestě musí být lichý počet křížení celkem, pokud je zařízení interně opatřeno křížením, musí být označeno symbolem, interní křížení je volitelné, při propojení DTE a DCE je doporučeno implementovat křížení interně u DCE. Reálně se setkáváme s tímto řešením: u 10Base-T: pro spojení DTE DCE použít nekřížený, pro DTE DTE použít křížený, optické kabely pro Ethernet jsou vždy křížené, kroucené dvojlinky pro 100Base dědí pravidlo po 10Base-T, u 1000Base-T: NIC může obsahovat možnost volby interního křížení (při navazování komunikace se to zjišt uje v rámci procesu autonegociace), pokud neobsahuje, platí stejné podmínky jako u 10Base-T. 2 Zdroj:

69 2.5 TECHNOLOGIE 57 uzel 1 (přepínač) Tx Rx Rx Tx uzel 2 (stanice) uzel 1 (stanice) Tx Rx Tx Rx uzel 2 (stanice) Obrázek 2.8: Křížení (zde při plném duplexu) V označeních se setkáváme se zkratkami MDI (Media Dependent Interface, pro koncové stanice) a MDIX nebo MDI-X (MDI with Crossover, pro mezilehlé prvky). Na přepínačích bývají některé porty vybaveny funkcí MDI/MDI-X, což znamená, že tento port bud umožňuje přepínání mezi použitím přímého či kříženého kabelu a nebo případně dokáže detekovat typ použitého kabelu (Auto Cross). Toho se využívá například tehdy, když na port podle potřeby připojujeme bud stanici (přímý kabel) nebo jiný switch (křížený). Na přepínači také můžeme najít port označený Uplink. Ten je přímo určen pro připojení k jinému mezilehlému prvku (nikoliv koncové stanici). Úkoly Další informace o kabelech jsou na rohlédněte si ethernetové kabely, které máte v dosahu. Všimněte si, zda jsou křížené či nekřížené (konektory jsou průhledné, porovnejte uspořádání barevných vodičů). Dále zjistěte kategorii kabelu (obvykle najdete v textu natisknutém v pravidelných intervalech přímo na kabelu). okud máte kabel kategorie 5, ověřte si, zda jde o kabel se dvěma nebo čtyřmi páry (opět poznáte na první pohled na konektoru) Auto-negotitation Auto-negotitation (vyjednávání NIC) představuje mechanismus, který se rozvíjí postupně u standardů na UT kabel od 10Base-T. NIC ohlásí svou verzi (číslo, například 10Base-T half duplex má 1, 100Base-T full duplex má 6, apod.). Dvě různé NIC se domluví na přenosových režimech, kterým obě rozumí, vybere se přenosový režim nejvyšší ze sdílených. oužívají se dvě formy: NL (Normal Link ulse) umí všechny od 10Base-T, FL (Fast Link ulse) nesou další informaci. okud NIC nerozumí FL pulsům, je automaticky považována za 10Base-T half duplex.

70 2.5 TECHNOLOGIE Multiple-Rate Ethernet Multiple-Rate Ethernet (Ethernet ve více úrovních) je řešení pro souvislé oblasti (několik budov) pokryté sítí (campusy), které sdílejí jedno připojení na Internet. Rozlišujeme několik typů uzlů (kromě připojovaných DTE): Campus Distributor bývá to (10)Gb switch s možností připojení k telekomunikační síti nebo jiné WAN Building Distributor rychlejší switch připojený na páteř campusu, hlavní switch v budově Floor Distributor nižší úroveň v hierarchii, od ní dále vede horizontální vedení Telecom Outlet (na obrázku 2.9 označeno zkratkou TO) obvykle rozhraní, ke kterému se připojují počítače a další koncová zařízení, zásuvka Uzly jsou propojeny těmito kabely: Campus Backbone Cabling hlavní páteř, typicky optika (jedno- i mnohavidová), připojení Building Distributorů Building Backbone Cabling páteřní sít na úrovni budov, typicky UT kat. 5 nebo lepší a nebo mnohavidový kabel Horizontal Cabling horizontální kabeláž, obvykle UT, někde i mnohavidový kabel oe oe (ower over Ethernet) je standard IEEE 802.3af (rok 2003). Mnohá zařízení připojená k Ethernetu mají jen malý příkon, tak k čemu zvlášt napájení? oe umožňuje napájet zařízení po datových kabelech (UT kat. alespoň 5). ro napájení jsou používány vždy dva prostřední páry, a to bud výhradně, a nebo zároveň s daty. IS Campus Distributor hlavní páteř Building Distributor Building Distributor páteřní sít v budově Floor Distributor horizontální kabeláž TO TO TO Floor Distributor atd. Floor Distributor TO TO TO TO TO TO Obrázek 2.9: Multiple-Rate Ethernet

71 2.5 TECHNOLOGIE 59 Toto řešení je zpětně kompatibilní i se zařízeními nepodporujícími oe (aby zařízení nebylo zničeno, při připojení se napájí nejdříve nízkým napětím, a když je odezva podporuje, přechází se na vyšší napětí). oužívá se až 13 W při 48 V, pokud zařízení potřebuje nižší napětí, samo provede transformaci. Typický příklad zařízení, která mohou být takto napájena, jsou I telefony, ale podporu oe najdeme i u některých switchů a dalších zařízení. S tímto pojmem se setkáme i v kapitole o bezdrátových sítích (Wi-fi sítě 4. generace) EFM EFM (Ethernet in the First Mile) (IEEE 802.3ah, rok 2004) je možnost využití Ethernetu na celé cestě přes WAN až ke koncovým počítačům. očítá se jak s metalickými, tak i optickými spoji. rotože 10G Ethernet je použitelný (a také používán) v rozlehlých sítích, bylo by praktické použít Ethernet také na poslední (první) míli připojení k internetu ( first mile ). ro připojení k ATM WAN se používá například ADSL. ři přechodu WAN od ATM k Ethernetu se uvažuje o nahrazení ADSL linek Ethernetem, protože by to znamenalo méně transformací dat na cestě při kombinování různých technologií Metro Ethernet V případě Metropolitního Ethernetu (Metro Ethernet) bylo záměrem, aby ADSL ATM DSLAM ATM ATM switch při propojování různých LAN nebylo třeba využívat jinou mezilehlou technologii ADSL Eth DSLAM GbE Eth switch na úrovni linkové vrstvy (jiná EFM GbE technologie alespoň sít ová vrstva) Eth DSLAM Eth switch s tím, že sít by měla podporovat VLAN a QoS. Obrázek 2.10: ostup zavádění EFM Metro Ethernet může být implementován bud jako čistý Ethernet nebo jako nástavba existující technologie pro metropolitní či rozlehlé sítě (využije se existující infrastruktura) Ethernet over SDH, Ethernet over MLS, apod. Informace o nejrychlejších standardech IEEE a Ethernetu obecně: G and 100G Tech Brief.pdf -held-back-by-price/ modules/transceiver modules/installation /note/ html

72 Kapitola 3 Další témata k lokálním sítím rotože v drátových LAN se v praxi setkáváme téměř výhradně s Ethernetem, nebudeme probírat další běžné typy LAN (FDDI, Token Ring), ale přesto se podíváme ještě na další témata související s lokálními sítěmi. Zde se budeme zabývat technologiemi EtherChannel, Fibre Channel a iscsi (SAN sítě), a virtuálními lokálními sítěmi. 3.1 EtherChannel Vlastnosti EtherChannel je technologie umožňující spojit (agregovat) až 8 fyzických ethernetových linek do jedné. Dva uzly (typicky servery, přepínače nebo směrovače podporující tuto technologii) jsou propojeny více aktivními fyzickými ethernetovými spoji, DU procházejí některým z těchto spojů. Dále je podporováno navíc až 8 záložních fyzických linek (failover) pro případ, že aktivní linky budou nefunkční. V případě EtherChannelu se používá dvojí terminologie zatímco u firmy Cisco se mluví o EtherChannel, v systému Solaris se pro totéž používá pojem trunk, což ale u Cisco znamená něco úplně jiného. roto když slyšíme pojem trunk, měli bychom mít jasno v tom, čí terminologie je vlastně právě používána. U serverů se také používá pojem NIC Teaming, což však není úplně totéž (je to širší termín, sdružování sít ových karet do jedné virtuální, logické). Spoje, které jsou součástí EtherChannelu, jsou typu Fast Ethernet nebo rychlejší, a všechny musejí být stejného typu (tj. například nelze kombinovat spoje Fast Ethernet a 10Gb Ethernet stejná rychlost, dále stejný duplex apod.). okud používáme VLAN (virtuální sítě), měly by spoje být v rámci jedné VLAN nebo v trunk módu se stejnými parametry. Celková propustnost se však nerovná součtu propustností jednotlivých fyzických cest. okud se v rámci jedné komunikace směřující k jednoho uzlu k jinému uzlu (ve výchozím nastavení) posílá více DU, všechny jsou posílány po téže fyzické cestě, tedy komunikaci nelze rozdělit. L 60

73 3.1 ETHERCHANNEL Řízení toku Výchozí nastavení je takové, že spoje v rámci EtherChannelu jsou rozdělovány podle cílové MAC adresy, tedy DU, které mají konkrétní cílovou MAC adresu, jsou všechny směrovány na tentýž spoj. To však ne vždy vyhovuje, proto je možné nastavit i jiné dělení: dvojici [zdrojová MAC, cílová MAC], pouze podle zdrojové MAC, podobně pro I adresy a porty. Rozdělení zátěže (tj. jednotlivých spojení) mezi linky v rámci EtherChannelu se provádí podle hashovacího vyvažovacího algoritmu, který třídí DU podle zadaného kritéria (například podle cílové MAC adresy) a celou komunikaci dělí podle pravidla naznačeného v tabulce 3.1. Rozdělení komunikačních proudů mezi EC porty očet EC portů Tabulka 3.1: Hashování komunikace v EtherChannelu Každému proudu dat určenému podle zvoleného kritéria (například podle cílové adresy) je hashováním přiděleno číslo z intervalu 0 7 (tj. jedno z 8 čísel), a to bez ohledu na skutečný počet spojů v EtherChannelu. Toto číslo pak určuje konkrétní fyzický spoj. Například pokud máme EtherChannel nad třemi fyzickými spojeními (EC porty), budou na první spoj směrovány DU se třemi konkrétními přiřazenými čísly, jiná tři čísla budou směrována na druhý spoj a zbylá dvě na třetí spoj. Je zřejmé, že nejoptimálněji budou spoje vyváženy, pokud do EtherChannelu sdružíme 2, 4 nebo 8 spojů rotokoly ro EtherChannel (EC) existují dva protokoly vyjednávající vlastnosti EC spojení: LAC (Link Aggregation Control rotocol) definovaný IEEE 802.3ax 1, Ag (ort Aggregation rotocol), což je proprietální protokol firmy Cisco. 1 Správně je IEEE 802.3ax, ale v literatuře se běžně můžeme setkat s nesprávným (významově mírně posunutým) IEEE 802.3ad NIC Teaming.

74 3.2 SAN SÍTĚ 62 rvní z těchto protokolů je obecně použitelný ve všech zařízeních podporujících EtherChannel (včetně zařízení firmy Cisco), druhý se používá pouze při propojování dvou zařízení Cisco. V jedné EC síti musí být použit vždy jen jediný z těchto protokolů (a všechna zařízení mu musí rozumět ). Oba protokoly umožňují nastavit zařízení do jednoho ze dvou stavů aktivního (active u LAC, desirable u Ag), ve kterém zařízení aktivně vyjednává sestavení EtherChannelu, a pasivního (passive u LAC, auto u Ag), ve kterém zařízení pasivně vyčkává na iniciaci vyjednávání o Ether- Channelu od druhé strany. EtherChannel lze také vytvořit manuálně napevno, stav je označován on. ak je EtherChannel vytvořen námi a žádné vyjednávání zařízení není potřeba a tedy se vlastně nepoužije žádný z předchozích dvou protokolů. Další informace včetně mnoha příkladů najdeme na adresách -lacp-nic-teaming/ tech note09186a shtml SAN sítě SAN (Storage Area Network) jsou sítě určené k propojení datových úložišt (diskových polí, NAS, souborových serverů apod.) s mezilehlými prvky sítě, jde tedy o sítě určené k zajištění vysoké dostupnosti datových úložišt (příp. datových center). K nejznámějším SAN technologiím patří Fibre Channel (FC) a iscsi Fibre Channel Fibre Channel je převážně optické rozhraní (tj. na optických kabelech) pro rychlé přesuny dat na (relativně) krátké vzdálenosti. ůvodně bylo určeno pro použití uvnitř počítače (konkrétněji serveru) ke komunikaci mezi I/O zařízeními a procesory, ale postupně se prosadilo jako sít ový standard. od pojmem kanál (channel) se zde rozumí přímé nebo přepínané predikovatelné propojení dvou zařízení. Jde o plně duplexní sériové rozhraní pro point-to-point spoje (i více point-to-point spojů s vhodným hardwarem, přepínačem). řepínání je zde velmi jednoduché a rychlé, může být realizováno hardwarově. Výhodou je tedy vysoká rychlost přepínání a tedy i dostupnosti dat. Fibre Channel pracuje na stejných vrstvách jako Ethernet, většina logiky technologie je v MAC podvrstvě. odle názvu by se mohlo zdát, že jako přenosový prostředek je možné použít pouze optický kabel, ale ve skutečnosti je možné použít také koaxiál nebo ST (stíněnou dvojlinku), což ale má

75 3.3 VIRTUÁLNÍ LOKÁLNÍ SÍŤ VLAN 63 vliv na dosažitelné vzdálenosti a rychlost. Zatímco s jednovidovým optickým vláknem dosáhneme rychlosti až 1 Gb/s a vzdálenosti až 10 km (s mnohavidovými vlákny samozřejmě méně, vzdálenost je od uzlu k přepínači), při použití ST to je 100 m při rychlosti 132 Mb/s nebo 50 m při 265 Mb/s. Nejnovější standard umožňuje dosažení rychlosti 4 Gb/s. Levnější a jednodušší variantou je Fibre Channel se smyčkou, jehož topologie je kruhová bez použití mezilehlých prvků, přístupová metoda je podobná využívání tokenu. Toto řešení je vhodné jen pro malý počet zařízení, maximálně 30. FCoE (Fibre Channel over Ethernet) je pokus o sloučení jinak rozdílných sítí Fibre Channel a Ethernet (10Gb). Zatímco samotný FC dokáže pracovat jen v rámci jednoho ethernetového segmentu (k nejbližšímu směrovači), FCoE díky napojení na technologii Ethernetu se dostane i za směrovače. FCoE vyžaduje podporu Jumbogramů (Jumboframe) viz Iv6 datagramy (str. 31) iscsi iscsi (Internet Small Computer System Interface) je obdobou FCoE určenou spíše pro menší SAN sítě. Jedná se vlastně o možnost posílání SCSI příkazů přes I sít (vzpomeňte si na rozhraní pevných disků SCSI disky se dnes celkem hodně používají v serverech). Zatímco FC pracuje na ethernetových vrstvách ISO/OSI, iscsi pracuje až na sít ové vrstvě. Technologie iscsi může být implementována softwarově nebo hardwarově. Softwarová implementace je levnější (konkrétně zdarma), příslušný software si lze stáhnout od výrobce/distributora každého operačního systému nebo je dokonce součástí instalace systému (jen je obvykle nutné aktivovat příslušnou službu či démona). Hardwarová implementace znamená podporu na NIC (za tu se připlácí). Výhodou hardwarové implementace je vyšší rychlost, protože pomocný procesor na NIC odlehčuje hlavním procesorům při zpracovávání (nejen) iscsi požadavků. Obecně platí, že do menší SAN stačí softwarová implementace, do větší nebo hodně vytížené SAN je dobré investovat do sít ových karet s hardwarovou implementací iscsi (samozřejmě pokud máme SCSI disky). opis architektury Fibre Channel najdeme například na simekm/vyuka/pd/zapocty-2004/san-mrnka/fc.html. Článek o FCoE (první díl seriálu): Článek o iscsi: Další možná řešení SAN sítí jsou InfiniBand, ATAoE (ATA over Ethernet), apod. 3.3 Virtuální lokální sít VLAN VLAN (Virtual LAN, virtuální lokální sítě) vytvářejí logickou LAN (obvykle několik logických LAN) nad jednou nebo více fyzickými LAN. VLAN je jednoznačně určena bud číslem nebo názvem, obvyklejší (podporovanější) je označování VLAN čísly.

76 3.3 VIRTUÁLNÍ LOKÁLNÍ SÍŤ VLAN 64 Fyzická sít se skládá ze sít ových segmentů oddělených přepínači nebo zařízeními obsahujícími funkci přepínače, jeden sít ový segment může například při použití strukturované kabeláže představovat jedno patro firemní budovy. VLAN vytvořená nad touto fyzickou sítí může spojovat vybrané stanice nacházející se také v různých segmentech sítě Členství ve skupině říslušnost stanice do konkrétní VLAN je určena zařazením stanice do skupiny, která může být určena některým z těchto kritérií: 1. VLAN podle portů na přepínačích v síti jsou konkrétní porty (a tedy stanice k nim připojené roztříděny do jednotlivých VLAN. Tato metoda je nejpoužívanější, je poměrně jednoduchá. ři změně struktury sítě (například stanice bude přenesena a připojena k jinému portu) je však nutné provést ruční rekonfiguraci, a další nevýhodou je nemožnost zařazení stanice (portu) do více než jedné VLAN. 2. VLAN podle MAC adres (na linkové vrstvě) tato metoda je náročnější na počáteční konfiguraci, protože MAC adresy musejí být do skupin přiřazeny ručně. Odpadá však ruční rekonfigurace při změně umístění stanice a jedna stanice může být i ve více VLAN. Nevýhodou je větší časová náročnost přepínání a s tím související snížená propustnost sítě (zvláště pokud jedna MAC adresa přísluší do více VLAN). Je třeba dát pozor na možnost pozměnění MAC adresy. 3. VLAN na sít ové vrstvě jednou z možností je seskupit stanice podle I adresy podsítě (v TC/I síti), další možnost je seskupování podle sít ového protokolu (TC/I, Novell NetWare, AppleTalk apod.). To lze pouze u mezilehlých prvků sítě, které pracují i na sít ové vrstvě (přepínač samotný jen na L2). Tento typ VLAN lze zobecnit na VLAN podle informací sít ového protokolu. 4. VLAN podle multicast adresy členství v VLAN závisí na příjmu konkrétní multicast komunikace. Narozdíl od předchozích typů VLAN jsou rámce posílané uvnitř této VLAN vždy doručeny všem členům skupiny, ne jen jednomu (adresace je vždy skupinová). 5. VLAN podle politiky příslušnost do VLAN je určena kombinací i více kritérií (tj. politikou, zásadou ) a může být dynamicky měněna podle chování stanice v síti (umístění, typu a množství zasílaných rámců, atd.). Chování stanic a provoz na síti jsou automaticky monitorovány a politiky mohou být přizpůsobovány. 6. VLAN s autentizací můžeme použít IEEE 802.1x pro autentizaci uživatele (RADIUS) a autorizace pak obsahuje zařazení uživatele do příslušné VLAN. Je také možné nastavit, že uživatel, který nebyl autentizován (host) bude zařazen do speciální VLAN pro hosty. ouze VLAN podle portů neumožňují definovat více VLAN na jednom portu ani členství stanice ve více VLAN (resp. je to výrazně náročnější). Ovšem v současné době jsou nejpoužívanější. Konkrétní určení stanic, které mají patřit do dané skupiny, vychází z potřeb firmy. Rozdělení může být určeno například podle organizační struktury firmy VLAN pro účetní oddělení, VLAN pro mzdové a personální oddělení, další pro výrobní úsek apod., ovšem to je relativní a každá firma má v tomto směru trochu jiné potřeby.

77 3.3 VIRTUÁLNÍ LOKÁLNÍ SÍŤ VLAN 65 V základu se řídíme podle toho, jak probíhá obvyklá komunikace mezi stanicemi, tedy stanice, které navzájem hodně komunikují, by měly být v jedné VLAN. Dalším kritériem může být bezpečnost a zamezení únikům informací. VLAN například může propojovat totéž oddělení v různých pobočkách firmy Určení členství V síti používající VLAN (nejčastěji na vrstvě L2) musí být možné přímo z rámce určit členství v konkrétní VLAN. Součástí záhlaví rámce podle IEEE 802.1Q může být identifikace VLAN (Frame Tagging), a to hned za cílovou a zdrojovou adresou v 4oktetovém poli. V tomto poli najdeme identifikaci protokolu (pevně ), 3 bity pro prioritu (podle IEEE 802.1), 1 bit pro Token Ring (příznak kanonické adresy) a konečně 12bitový identifikátor VLAN VID (VLAN ID). rávě podle VID se provádí přepínání. Ve směrovačích Cisco se můžeme setkat s jiným řešením přidání VLAN informací do rámce, protokolem ISL (Inter-Switch Link). Jde o proprietální protokol firmy Cisco. Zatímco IEEE 802.1Q přidává nové 4oktetové pole přímo do záhlaví rámce, ISL zapouzdřuje původní rámec do vlastní DU, v jejímž záhlaví najdeme potřebné informace o VLAN a do zápatí přidává nový kontrolní součet. řepínač 1 ort 8 ort 9 ort 10 ort 11 ort 12 ort 13 ort 14 ort 15 VLAN 30 VLAN 20 VLAN 30 VLAN 10 VLAN 40 ort 0 ort 1 ort 2 ort 3 ort 4 ort 5 ort 6 ort 7 řepínač 2 Trunk ort 8 ort 9 ort 10 ort 11 ort 12 ort 13 ort 14 ort 15 VLAN 20 VLAN 40 VLAN 10 VLAN 10 VLAN 30 VLAN 20 ort 0 ort 1 ort 2 ort 3 ort 4 ort 5 ort 6 ort 7 Obrázek 3.1: ropojení přepínačů trunkem Zajištění komunikace mimo VLAN Vzájemně komunikovat mohou pouze ty stanice, které patří do stejné VLAN. okud chceme zajistit komunikaci i mezi různými VLAN (případně se zapojením dalších bezpečnostních mechanismů), jde to připojením vnějšího směrovače (přepínač nestačí, stejně jako při propojování fyzických LAN) k oběma těmto VLAN (ovšem pozor, může nastat problém s protokolem ST, viz kapitolu 7.2.2, od

78 3.3 VIRTUÁLNÍ LOKÁLNÍ SÍŤ VLAN 66 strany 147). Toto řešení je vhodné tehdy, když opravdu chceme propojit jen dvě konkrétní VLAN, ale kdybychom takto chtěli propojit více než dvě VLAN, museli bychom vytvořit propojení zvlášt pro každou VLAN, což je plýtvání porty. Řešením je použití trunku. Trunk je propojení mezi dvěma přepínači přenášející rámce z více než jedné VLAN (port s podporou více VLAN). Může vést mezi dvěma přepínači (z každého přepínače zabere pouze jeden port, takový, který není přímo přiřazen jedné konkrétní VLAN), nebo mezi přepínačem a vnějším směrovačem (pak veškerá komunikace oběma směry mezi různými VLAN jde po jednom spoji, což snižuje propustnost. ort 8 ort 9 ort 10 ort 11 ort 12 ort 13 ort 14 ort 15 VLAN 20 VLAN 40 VLAN 10 směrovač VLAN 10 VLAN 30 VLAN 20 ort 0 ort 1 ort 2 ort 3 ort 4 ort 5 ort 6 ort 7 Obrázek 3.2: řepínač s vestavěnou funkčností L3 Další možnost efektivního propojení VLAN je použití přepínače s vestavěnou funkčností vrstvy L3 (tj. směrování), pak nepotřebujeme vnější směrovač, ale využíváme interní směrovač, který je vnitřně propojen se všemi VLAN v přepínači a komunikace mezi VLAN není zdržována. Další informace o VLAN: list.asp?rubrika=tutorialy&temaid=237

79 Kapitola 4 WAN sítě V této kapitole se budeme zabývat spojovými protokoly pro WAN a na nich postavenými rozlehlými sítěmi, a to X.25, Frame Relay, ATM, MLS a dalšími. 4.1 Spojové protokoly Většina bitově orientovaných spojových protokolů (protokolů na linkové vrstvě, L2) vychází z dnes již zastaralého protokolu SDLC (Synchronous Data Link Control) od firmy IBM. Tento protokol je poměrně univerzální, použitelný pro point-to-point i vícebodové spoje, pro různé typy přenosových médií, poloviční i plný duplex, pro přepínání okruhů i paketů. Typicky se používal pro připojení výkonného počítače ke vzdálené LAN HDLC Jedním z potomků protokolu SDLC je HDLC (High Data Link Control). Stejně jako SDLC, také HDLC rozlišuje v síti dva typy zařízení: primární uzel řídí komunikaci sekundárních uzlů, sekundární uzly mohou vysílat pouze po obdržení povolení od primárního uzlu. Možné konfigurace: point-to-point pouze dva uzly, jeden primární a jeden sekundární vícebodové jeden primární a více sekundárních uzlů SDLC naproti tomu přidával ještě další dva typy konfigurace smyčku (kruhová topologie, jeden uzel v kruhu je primární) a sít s aktivním rozbočovačem (v síti je jeden příchozí a jeden odchozí kanál, po odchozím komunikuje primární uzel se sekundárními, po příchozím sekundární komunikují s primárním uzlem). 67

80 4.1 SOJOVÉ ROTOKOLY 68 DU se nazývá rámec. oužívají se tři typy rámců: 1. I-frame (Information Frame, informační, datový) nese informace z vyšší vrstvy a případně řídicí informace, tyto rámce podporují řazení, řízení toku, detekci chyb, zotavení. Určení: přenos dat. 2. S-frame (Supervisory Frame, také služební či dohlížecí rámec) obsahuje řídicí informace, používán pro požadavek zahájení nebo ukončení spojení, hlášení o stavu, potvrzení přijetí I-rámce. 3. U-frame (Unnumbered Frame, nečíslovaný) pro řídicí informace (dohoda režimu provozu), narozdíl od předchozího nepodporují číslování rámců do posloupnosti, a může také obsahovat data z vyšší vrstvy. Obecně: pro to, co se vejde do jediného rámce. ro data z vyšších vrstev se tedy používá především I-frame. 1 oktet prom. délka 2 1 Flag Adresa Řízení Data FCS Flag Řízení pro I-frame: 8 bitů Send F Sequence 0 bit Number Receive Sequence Number Řízení pro S-frame: Receive Sequence Number F bit Řídicí informace 0 1 Řízení pro U-frame: Řídicí informace F bit Řídicí informace 1 1 Obrázek 4.1: Formát SDLC a HDLC rámce Formát SDLC a HDLC rámce se liší podle jeho typu. Jednotlivá pole: 1. příznak (flag) na začátku rámce má vždy hodnotu (binárně), slouží k rozlišení začátku a konce rámce (je i na konci rámce), 2. adresa adresa sekundárního uzlu (může být také skupinová nebo broadcast), 3. řídicí pole (1 nebo 2 B), jeho obsah je odlišný u různých typů rámců, formát pole pro různé typy rámců probereme o něco dále, 4. data (proměnná délka), 5. FCS (kontrolní součet rámce) vytvořený polynomiálním kódem, toto pole může mít u HDLC i 32 bitů, 6. příznak (flag) na konci rámce (platí totéž co pro příznak na začátku rámce).

81 4.1 SOJOVÉ ROTOKOLY 69 Formát řídicího pole (naznačen na obrázku 4.1): pro I-frame: pořadová čísla pořadové číslo vysílaného rámce (tj. tohoto) a dále pořadové číslo očekávaného rámce od protistrany, /F bit (poll/final) když je nastaven na 1, primární uzel dává navědomí sekundárnímu, že vyžaduje okamžitou odpověd, sekundární zase primárnímu, že tento rámec je poslední ze zasílaných rámců pro S-frame: kromě pořadových čísel také řídicí informace (potvrzení přijetí I-rámce, oznámení stavu sítě, vyžádání nebo ukončení přenosu, atd., nemá datovou část pro U-frame: neobsahují pořadová čísla, jen řídicí informaci, tento rámec může být používán pro inicializaci sekundárních uzlů, podobné funkce jako S-frame HDLC podporuje synchronní komunikaci s plným duplexem. V HDLC existuje několik přenosových režimů: 1. normální režim odpovědi (NRM, normal response mode) dědí od SDLC, sekundární stanice musí počkat na vyzvání od primární, aby mohla komunikovat, 2. asynchronní režim odpovědi (ARM, asynchronous response mode) sekundární stanice může začít komunikovat s primární bez povolení, 3. asynchronní vyvážený režim (ABM, asynchronous balanced mode) uzly jsou kombinované (schopné pracovat jako primární i sekundární), každá stanice může začít komunikovat bez povolení, primární uzel je obvykle ten, který zahajuje komunikaci LA protokoly LA (Link Access rocedure) je skupina spojových protokolů, které jsou do značné míry podobné protokolům SDLC a HDLC s určitými odlišnostmi, především v podporovaných přenosových režimech. LAB (Link Access rocedure Balanced) je používán v sítích X.25. Je typický pro point-to-point spojení s přenosovým režimem ABM (asynchronní vyvážený). Rozlišují se také stejné typy rámců jako u HDLC. Formát rámce je prakticky shodný s formátem rámce HDLC, ale v druhém poli (tam, kde HDLC ukládá adresu) nemusí být uložena adresa (většinou není potřeba, protože LAB pracuje jen na point-to-point spojích). Komunikace je (stejně jako u jiných protokolů tohoto typu) řízena povely. Existuje více různých povelů, například SABM (zahájení komunikace), UA (přijetí komunikace druhým uzlem), DM (odmítnutí komunikace), REJ (žádost o opakování přenosu rámce, došlo k chybě při přenosu), RR (příjem), RNR (přenos bude ukončen, žádost o potvrzení dosud odeslaných rámců), DISC (rozpojení, komunikace je ukončena, zasílá primární stanice), atd. LAD (Link Access rotocol, Channel D) byl původně specifikován pro ISDN, kanál D. Je hodně podobný protokolu LAB, také pracuje v asynchronním vyváženém režimu. Odlišnost je v adresovém poli rámce obsahuje

82 4.1 SOJOVÉ ROTOKOLY 70 C/R bit (command/response) rozlišuje, zda jde o příkaz nebo odpověd identifikátor přístupového bodu na vyšší vrstvu (SAI, 6 bitů) identifikátor koncového zařízení (7 bitů) dva přídavné bity, v každém oktetu jeden LAF (Link Access rocedure Frame) vychází z LAD a přejímá většinu jeho vlastností, má méně funkcí. oužívá se v sítích Frame Relay. Adresové pole má 2 oktety (může být rozšířeno až na 4) a zcela změněnou strukturu, řídicí pole bylo vyřazeno. V adresovém poli je uloženo DLCI, a dále bity pro řízení toku dat a kontrolu chyb (BECN, FECN, DE apod.), podrobněji dále v této kapitole (v sekci o Frame Relay) SLI SLI (Serial Line Internet rotocol) je určen pouze pro přenos I datagramů (nenese informaci o typu protokolu, proto nelze přenášet nic jiného). Je to starý protokol určený pro zajištění vytáčeného připojení se sériovým rozhraním připojeným na modem. Nedokáže detekovat chyby, nezvládá synchronní přenosy, nedostatečná komprese, další nevýhodou je nutnost specifikace I adresy při každém znovu-navázání spojení (pokud nemáme statickou I adresu). Dnes se již nepoužívá, byl nahrazen protokolem (oint-to-oint rotocol) je dvoubodový (point-to-point). Nerozlišuje primární a sekundární uzly (navazovat spojení může kterýkoliv uzel), podporuje synchronní i asynchronní přenos. Narozdíl od SLI dokáže provádět automatickou konfiguraci při navazování spojení, přičemž se testuje kvalita spoje. Součástí rámce je i určení protokolu vyšší vrstvy, proto dokáže nejen zapouzdřovat I datagramy, ale i jiné typy paketů vyšší vrstvy. se skládá ze dvou částí (přesněji obsahuje dvě vrstvy): protokoly řízení sítě (NC, Network Control rotocol) protokoly zajišt ující komunikaci s vyšší vrstvou; existuje více těchto protokolů pro různé sít ové architektury (TC/I, NetWare, AppleTalk apod.), tato vrstva zasahuje částečně i do sít ové vrstvy v ISO/OSI modelu, protokol řízení spoje (LC, Link Control rotocol) navazování a udržování spojení, dohodnutí konfigurace na začátku spojení (negociace), může zajišt ovat také testování spoje a autentizaci. Účelem je maximálně omezit množství funkcí vlastního spojového protokolu (tj. LC) a takto zefektivnit jeho fungování. Autentizace je volitelnou vlastností, lze ji provádět některým z těchto protokolů: A (assword Authentication rotocol) textové heslo se posílá po spoji, tedy nejde o bezpečnou metodu autentizace CHA (Challenge Handshake Authentication rotocol) používá se asymetrická šifra (klíč), iniciující stanice odešle žádost, obdrží náhodně vygenerovanou sekvenci znaků, kterou zpracuje pomocí tajného klíče a odešle zpět, po ověření příjemcem může začít komunikace

83 4.1 SOJOVÉ ROTOKOLY 71 EA (Extensible Authentication rotocol) zcela odděluje fázi navazování spojení od fáze autentizace, samotná autentizace může probíhat třemi různými způsoby: 1. MD5 (funguje podobně jako CHA, také pomocí klíče), 2. heslo na jedno použití, 3. token card. také podporuje šifrování a komprimaci. Rámec protokolu je do značné míry podobný předchozím: příznak (opět binárně ) adresa (1 B) toto pole existuje, ale má vždy konstantní hodnotu (binárně samé 1) řídicí pole (1 B) obsahuje vždy hodnotu (indikuje nečíslovaný rámec ve službě bez spojení) protokol (2 B, toto pole se u jiných protokolů nevyskytuje) obsahuje identifikaci protokolu vyšší vrstvy (například pro Iv4 je to , pro Iv , pro IX je zde 0 002B), k nalezení v RFC dokumentech data maximálně 1500 B FCS příznak To byl rámec obsahující data pro přenos. oužívají se také služební LC pakety, které je třeba zapouzdřit do rámce následovně: v poli protokolu je hodnota 0 C021 v poli data je samotný LC paket obsahující tyto informace: kód identifikuje funkci LC paketu (požadavky na změnu parametrů, potvrzení přijetí požadavků na změnu, odmítnutí požadavků, ukončení spojení, atd.) identifikátor u příkazového paketu obsahuje náhodně vygenerovanou hodnotu, u odpovědi musí obsahovat tutéž hodnotu jako paket s příkazem, na který odpovídá délka celého LC paketu v oktetech data obvykle posloupnost uspořádaných dvojic (volba,hodnota), například typ autentizačního protokolu, vyšší max. délka dat, atd Rozšíření ro rozšíření protokolu platí vpodstatě totéž co pro (vrstva L2, přibližně účel, šifrování, většinou i formát rámce). Tato rozšíření jsou navíc přizpůsobena konkrétnímu způsobu využití. Multilink ( po více spojích, také se označuje M, M, ML; RFC 1990) je varianta pro vícebodové spoje. Není tím míněno ani tak více uzlů, jako spíše více sériových spojů pro jedinou komunikaci. Lze zkombinovat více sériových spojů do jediného logického kanálu s vyšší propustností (agregace), protokol dokáže data rozdělit, vhodně přeuspořádat a pak na druhém konci linky opět uvést do původního stavu.

84 4.2 X Tunneling (T, oint-to-point Tunneling rotocol, RFC 1171) je určen pro virtuální privátní sítě a k připojení vzdáleného klienta k firemní síti (obecně LAN). Ovšem dnes je podporován prakticky už jen ve Windows a jeho podpora se bude omezovat i zde, doporučuje se přechod na jeho následovníka L2T (Layer 2 Tunneling rotocol, RFC 3931). L2T: Do rámce protokolu L2T se zapouzdřují rámce. Sám o sobě nemá tento protokol zabezpečovací funkce, proto se často kombinuje se zabezpečením pomocí ISec nebo jiných metod, viz kapitolu o GRE a L2T tunelech na str Wireless (W-, bezdrátový, RFC 2153) je varianta pro bezdrátové sítě. řipojení k Internetu se řeší napojením (iniciační fáze připojení) na protokoly WAN. Využívá se také v technologiích DSL pro přenos přes WAN poskytovatele, a to v těchto variantách: oa ( over ATM, RFC 2364) paket je zapouzdřen do ATM buňky oe ( over Ethernet, RFC 2516) paket je zapouzdřen do Ethernetového rámce, dnes běžné Tyto varianty umožňují navázat autentizované spojení s IS a dynamicky získat I adresu. Jsou potřeba u typů komunikace, kde se navazuje spojení, nevyužívají se u trvalého připojení k Internetu (resp. využívají se tehdy, když se navazuje spojení; když už je navázáno, nejsou potřeba) IEEE (LLC) Standard IEEE definuje podvrstvu LLC (Logical Link Control) na vrstvě L2. LLC je určen pro point-to-point spoje, pracuje v asynchronním vyváženém režimu (ABM). Opět se rozlišují tři typy rámců I-frame, S-frame a U-frame. Formát rámce je podobný jako u HDLC, ale celkově jednodušší, protože LLC rámec se vždy zapouzdřuje do MAC rámce a tedy některá pole mají jiný význam. oužívá se jiná adresace (přístupové body služeb). LLC nabízí tři typy služeb: nepotvrzovaná služba bez spojení (typ 1) nejpoužívanější, funguje podobně jako doručování datagramů (paket je vybaven všemi dostupnými informacemi včetně adres zdroje a cíle a pořadí paketu ve zprávě), žádné ošetření chyb, v tomto ohledu spoléhá na protokoly vyšších vrstev, služba se spojením (typ 2) pro virtuální okruhy, zahrnuje navázání spojení, potvrzování po doručení omezené skupiny paketů, atd., pouze první paket obsahuje informace o adresách, potvrzovaná služba bez spojení (typ 3) pakety jsou po skupinách potvrzovány, tato služba je jen málo využívaná. Koncové stanice podporují vždy nejméně typ 1, a pak obvykle ještě jednu ze zbývajících služeb. 4.2 X.25 Sít X.25 je normalizována původním CCITT (v rámci ITU) postupně v několika verzích, verze z roku 1984 byla předlohou pro ISO Z návrhu je zřejmé, že X.25 vznikala v době, kdy nebylo

85 4.2 X zvykem používat vrstvené architektury, až postupně bylo doporučení přizpůsobováno modelu ISO/OSI (poslední verze již ISO/OSI odpovídaly). X.25 implementuje tři vrstvy fyzickou, linkovou a sít ovou, s důrazem na sít ovou vrstvu. Komunikace probíhá na okruzích (pevných a přepínaných virtuálních okruzích), je to sít s přepínáním paketů. Hlavní a nejdůležitější vlastností X.25 je extrémní spolehlivost vyznačuje se přemírou kontrolních mechanismů, které dnes zatěžují sít ovou komunikaci, ale na méně spolehlivých spojích jsou užitečné. Z toho ovšem vyplývá malá propustnost sítě (nízká rychlost). V minulosti se používala pro veřejné datové sítě (DN ublic Data Network), v současnosti se s ní setkáme spíše v rozvojových zemích (protože je vhodná pro méně spolehlivé spoje). ro svou enormní spolehlivost se s X.25 můžeme i u nás setkat na bezpečnostně kritických spojích, například u připojení platebních terminálů a bankomatů Zařízení v síti V síti X.25 jsou rozlišována tato zařízení: 1. DTE (Data Terminal Equipment) počítače, servery, terminály, atd., jde o zařízení obvykle umístěná v provozovnách předplatitelů 2. DCE (Data Circuit-terminating Equipment) komunikační zařízení (modemy, přepínače apod.), zajišt ují připojení DTE k SE, jsou v režii přepravce 3. SE (acket Switching Exchange) komunikační zařízení (většinou přepínače) v síti přepravce 4. AD (packet assembler/disassembler) rozhraní pro velmi jednoduchá zařízení (např. terminály), která nezvládají protokoly X.25; poskytují vyrovnávací pamět a provádějí sestavování paketu při odesílání a rozebírání paketů při přijímání dat Z pohledu zákazníka (uživatele sítě) jsou nejdůležitější zařízení DTE (obvykle ve vlastnictví zákazníka nebo pronajaté od telekomunikační společnosti) a DCE. V dalších typech WAN sítí, které budeme probírat, zařízení DCE a SE splývají v jeden typ (DCE). Relace (session, sezení) je spojení mezi dvěma DTE. Komunikace mezi DTE přes sít probíhá po vytvoření relace v plném duplexu. Kterékoliv z obou zařízení může relaci ukončit Adresy a navázání spojení Adresy okruhů podle X.121: Jedná se o adresy (pouze unicast) používané při vytváření přepínaného virtuálního okruhu. Je číselná (obdoba telefonního čísla) a skládá se z těchto částí: DNIC (Data Network Identifier Code) identifikace datové sítě, skládá se ze zóna (1 číslice), pro Evropu je to 2 země (2 číslice), pro ČR platí 30 sít (1 číslice)

86 4.2 X DCE... SE... DTE Obrázek 4.2: Sít X.25 pro některou sít v ČR by platilo 230x, kde za x by se dosadilo číslo konkrétní sítě NTN (National Terminal Number) až 10 číslic, určuje konkrétní DTE v síti DTE1 DCE1 DCE2 DTE2 žádost o spojení(da,sa) [vytváří se SVC] příchozí spojení(da,sa) propojeno spojení přijato [zřízen okruh] posílají se data žádost o závěr NEBO ohlášení závěru následuje potvrzení závěru Obrázek 4.3: Schéma průběhu komunikace v X Vrstvy a protokoly Vztah protokolů X.25 k vrstvám modelu ISO/OSI je naznačen v tabulce 4.1. Specifikace X.25 je starší než model ISO/OSI, proto se v některých detailech od něho odchyluje (původní verze ještě mnohem více), kromě jiného v odlišném názvosloví. Například vrstva, která je v ISO/OSI označena jako sít ová, je u X.25 nazývána paketová.

87 4.3 FRAME RELAY 75 L (acket Layer rotocol) je protokol sít ové vrstvy. L pakety nesou data, povely, odpovědi a identifikace. Speciální typy paketů slouží k těmto účelům: vytváření a rušení SVC okruhu (nepoužívá se u VC) řešení poruch a výjimečných situací přerušení (když nedorazí potvrzení paketů a povolení vyslat další), obnova (předchozí nepomůže vyčistí cestu od paketů), restart (všechny SVC zruší, všechny VC obnoví) L tedy pracuje vždy v jednom z těchto módů: navázání spojení (pro SVC), přenos dat, idle (nečinný u SVC), obnova, restart. V záhlaví L paketu najdeme kromě jiného určení typu komunikačního kanálu a jeho číslo, velikost Sliding Window (počet paketů, po jejichž doručení je třeba pokaždé potvrdit příjem), atd. rotokol LAB (Link Access rocedure, Balanced) byl popsán výše. rotokol fyzické vrstvy je specifikován v doporučení X.21. Definuje elektrické a mechanické vlastnosti média. řipojení DTE může být analogové s modemem nebo digitální. ISO/OSI X.25 rotocol Suite Sít ová L Linková LAB Fyzická X.21 bis, EIA/TIA-232, EIA/TIA-449, EIA-530, G.703 Tabulka 4.1: Vztah X.25 k ISO/OSI 4.3 Frame Relay Specifikace Frame Relay původně vznikla v rámci specifikace ISDN, ale protože se ukázala dobrá životaschopnost tohoto řešení, v r se osamostatnila. Frame Relay je následovník X.25 se změnami například trochu méně zabezpečení (negarantuje doručení rámce), nepracuje na sít ové vrstvě, ale na linkové, místo přepínání paketů jsou přepínány přímo rámce. Obecně platí, že typickým použitím Frame Relay je z principu propojování lokálních sítí, implementace páteřní sítě. očítá se s přenosem po kvalitním a rychlém vedení, tedy Frame Relay poskytuje sice službu se spojením, ale nespolehlivou (poskytuje detekci chyb, ale bez možnosti opravy) Zařízení v síti V síti Frame Relay se nacházejí tato zařízení: DTE (Data terminal equipment) v provozovnách zákazníků, vlastníkem může být zákazník (počítače, servery, terminály, směrovače, mosty) DCE (Data circuit-terminating equipment) poskytují služby synchronizace a přepínání provozu (obvykle paketové přepínače)

88 4.3 FRAME RELAY 76 ozor také to, co je DCE v rámci lokální sítě (například Ethernetu, třeba směrovač), zde vystupuje jako DTE. DTE DTE DCE DCE DCE DTE DTE Obrázek 4.4: Zařízení v síti Frame Relay U obou existuje komponenta fyzické vrstvy a komponenta linkové (spojové) vrstvy. Na fyzické jde většinou o některé sériové rozhraní, na linkové pracuje protokol LAF. Virtuální okruhy ve Frame Relay fungují podobně jako u X.25, používají se SVC (přepínané) a VC (pevné). ro SVC se používají operace navázání spojení (vytvoření okruhu), přenos dat, Idle a ukončení spojení (zrušení okruhu). U VC se používá jen operace přenosu dat a Idle. FRAD (Frame Relay Access Device, Frame Relay Assembler/Disassembler) je zařízení, které slouží k přístupu do sítě Frame Relay. Může to být bud samostatné zařízení (něco jako AD v X.25), a nebo je to součást směrovače, přes který je lokální sít připojena do Frame Relay sítě (to je velmi obvyklé). FRAD je tedy představitel DTE nebo je součástí DTE Garance informačního toku arametr CIR (Committed Information Rate, zaručený informační tok) určuje propustnost, kterou má spoj zaručovat. Hodnota CIR je pro okruhy VC dohodnuta mezi poskytovatelem (telekomunikační společností) a uživatelem (vlastníkem lokální sítě, která má být připojena), pro okruhy SVC je dohodnuta při navazování spojení. Rámce posílané nad hodnotu CIR mohou být při větším zatížení sítě zahazovány. ro uživatele má hodnota CIR tento význam: čím vyšší CIR, tím je služba dražší, čím menší CIR, tím větší pravděpodobnost zahazování paketů a potenciálně pomalejší přenos. Nárazový informační tok (také EIR, Excess Information Rate) představuje maximální informační tok, který dokáže přenosová cesta zvládnout (přesněji to, co je navíc nad CIR). Rámce zasílané nad hodnotu CIR, které nepřekračují hranici EIR, jsou označeny jako vhodné k zahození (DE, Discard-Eligible). Jsou předávány přepínači Frame Relay (tj. do FR sítě) tak dlouho, dokud není k dispozici dostatečná šířka pásma (dokud se nevejdou do CIR). Označení rámce jako vhodného k zahození obvykle neznamená, že rámec nebude doručen, ale že se jeho doručení může (i dost hodně) zdržet. Na trhu se můžeme setkat s nabídkami telekomunikačních operátorů na Frame Relay s CIR L

89 4.3 FRAME RELAY 77 rovným 0, tj. žádný informační tok není garantován. Účelem je nabídnout co nejnižší cenu, což pro zákazníka nemusí být vždy nejlepší řešení (všechny posílané rámce by byly označeny jako DE, vhodné k zahození). Hodnota CIR pro pevné virtuální okruhy by měla být součástí smlouvy. Doporučuje se hodnota CIR alespoň na úrovni 50 % celkového informačního toku. SLA (Service Level Agreement) = dohoda o úrovni poskytovaných služeb (tento pojem se používá obecně u tohoto typu služeb, nejen pro Frame Relay). Jedná se o dohodu o parametrech služby, zde také zahrnuje CIR a EIR. Situace na trhu (březen 2012): obvykle okruhy VC, CIR=50%, EIR = 50% přístupové rychlosti (cena podle rychlosti) u telekomunikačních firem už obvykle není v aktuální nabídce, nahrazována službou MLS Spojová vrstva a adresace Na spojové vrstvě pracuje bitový protokol LAF, který byl již popsán výše. Adresace v okruzích na spojové vrstvě je založena na DLCI (Data Link Connection Identifier). Narozdíl od X.25 nejde o adresu zařízení, ale o identifikaci okruhu (přesněji identifikaci jednoho konce okruhu vedoucího od některého DTE k přístupovému bodu sítě Frame Relay). Je to číslo, které zabírá většinou 10 bitů, také 16 nebo 23 bitů. DLCI je vždy jedinečné v rámci LAN, žádná dvě zakončení virtuálních okruhů u DTE v jedné LAN nemají totéž DLCI. Hodnoty DLCI pro DTE v naší LAN získáme od poskytovatele služby Frame Relay (typicky telekomunikační společnost). V celé síti WAN (propojující různé lokální sítě) však může existovat více okruhů se stejným DLCI, k jednoznačné adresaci se přidává ještě označení DTE na začátku okruhu. Navíc se hodnota DLCI při průchodu přes přepínače mění, na každém konci mívá okruh jiné DLCI. K mapování vztahu I adres zařízení v síti k číslům DLCI se používá protokol I-AR (Inverse AR), který je obdobou protokolu AR v Ethernetu. Takto zjištěné dvojice adres a DLCI jsou dynamické záznamy, ale lze je také přidávat napevno (staticky). Některé DLCI jsou vyhrazeny pro účely signalizace stavů, problémů apod., především z rozsahu Dále rozmezí je určeno pro skupinové vysílání. Do (datového) rámce protokolu LAF se zapouzdřuje I datagram. Rámec obsahuje podobné informace jako rámec HDLC (obklopující synchronizační oktety, kontrolní součet, apod.), ale prostor řídicího pole je pohlcen adresovým polem, které zabírá 2 4 oktety. V takto rozšířeném adresovém poli je především DLCI, na který má být rámec směrován, a dále řídicí bity: C/R command/response bit, určuje, zda jde o příkaz (command) nebo odpověd či reakce na dříve zaslaný příkaz (response) bit FECN (Forward-explicit congestion notification, dopředné oznámení o přetížení), DCE na cestě oznamuje, že tento rámec byl poslán po přetíženém spojení, a tedy DTE, které je cílem rámců komunikace, by mělo snížit frekvenci příjmu rámců (pokud tak dokáže vyšší vrstva reagovat)

90 4.3 FRAME RELAY 78 bit BECN (Backward-explicit congestion notification, zpětné oznámení) oznámení zdroji vysílání o přetížení linky, zdrojové zařízení by mělo snížit objem vysílání bit DE (Discard-Eligible) v rámcích, které mohou být při přetížení zahozeny Když DCE zjistí přetížení, nastaví v posílaném rámci bit FECN. Takto přijímající DTE zjistí, že na lince došlo k zahlcení spoje. Naopak když DCE přepíná rámec s nastaveným FECN, v nejbližším rámci posílaném v okruhu v opačném směru nastaví bit BECN. Takto vysílající DTE zjistí, že na lince došlo k zahlcení spoje. V síti Frame Relay není prováděno přímo řízení toku dat, to je ponecháno na zařízeních DTE (která vlastně nepatří do vnitřní sítě Frame Relay). Na oznámení o přetížení (bitem FECN nebo BECN) DTE může reagovat spuštěním mechanismu řízení toku dat. CRC (kontrolní součet, resp. FCS Frame Check Sequence) je používán pro kontrolu neporušenosti rámce. Vadný rámec je zahozen, linková vrstva se už nestará o žádost o nové vyslání rámce (pouze kontrola chyb, ne náprava), ale mohou to provést protokoly vyšší vrstvy LMI LMI (Local Management Interface) je rozšíření základní specifikace pro Frame Relay. 1 rotokol LMI slouží ke komunikaci mezi zařízením DTE a DCE, představuje tedy rozhraní mezi lokální sítí a sítí Frame Relay. Zprávy protokolu LMI jsou posílány vždy po okruhu VC k tomuto účelu určeném. LMI přinesl několik vylepšení původního rozhraní, především: globální adresace identifikátor DLCI je nejen lokálně, ale i globálně unikátní, zprávy o stavu virtuálního okruhu u VC okruhů mezi DTE a DCE jsou pravidelně zasílány zprávy o stavu okruhu, účelem je zamezit zbytečným ztrátám rámců posílaných na již neexistující okruhy, multicasting umožňuje definovat skupiny DTE, šetří přenosové cesty. Existují tři LMI protokoly, typ použitého protokolu obvykle určuje DCE: 1. cisco 2. ansi (Annex D) 3. q933a (Annex A) rvní používá pro signalizaci DLCI 1023, další dvě používají DLCI 0. Tedy po spojení jsou přenášeny bud datové rámce s DLCI podle cíle, a nebo služební LMI rámce (obvykle jeden ze dvou typů zprávy dotaz na stav sítě směřující od zákazníka nebo stav sítě od DCE). Rámec LMI Rámce v síti podle rozšíření LMI mají zcela odlišnou strukturu: Flag LMI DLCI identifikuje LMI rámec, je nastavena na hodnotu 1023 (na 2 B, resp. 6 bitů, pak 2 bity pro příznaky, v dalším 4 bity DLCI, zbytek opět příznaky) 1 V roce 1990 publikovaly LMI společnosti Cisco Systems, StrataCom, Northern Telecom a Digital Eqipment Corporation.

91 4.3 FRAME RELAY 79 Unnumbered Information Indicator nastaven na hodnotu 3 (v 1 B) rotocol Discriminator opět hodnota typická pro LMI (17) Call Reference nastavena vždy na 0 Message Type podle směru bud Status-inquiry (dotaz na stav sítě od zákazníka) nebo Status (stav sítě) Information Elements je zde typ elementu, délka a samotná data FCS, Flag Tabulky na zařízeních Na jednotlivých zařízeních jsou rámce přepínány podle přepínacích tabulek. Uvnitř FR sítě najdeme FR switche (to jsou DCE), jejich tabulka je vcelku jednoduchá, jak vidíme na obrázku 4.5 (případně by byl ještě další sloupec informace o tom, zda je daná cesta aktivní). řijato z řepnout na IN_ort IN_DLCI OUT_ort OUT_DLCI FR switch Obrázek 4.5: Ukázka jednoduché přepínací tabulky Frame Relay switche Díky jednoduchosti mechanismu je přepínání velmi rychlé. Na hranici sítě jsou zařízení, která na jedné straně komunikují se zařízeními lokální sítě zákazníka, na druhé straně komunikují s FR switchi. Tato zařízení (FR routery v roli DTE) obsahují dvě tabulky: směrovací tabulku určující, kam se rámec směřující do sítě s danou I adresou má poslat, tabulku mapování DLCI. Obsah a význam obou tabulek vidíme na obrázku 4.6. Na třetí vrstvě je paket nasměrován na daný DCE (na druhé straně FR sítě) a příslušné rozhraní, na druhé vrstvě je nastaveno DLCI (FR switche uvnitř FR sítě vidí jen na druhou vrstvu) Řešení Veřejné FR sítě jsou provozovány poskytovatelem telekomunikačních služeb. DCE jsou ve vlast- nictví poskytovatele telekomunikačních služeb, DTE jsou většinou ve vlastnictví zákazníka, a nebo mohou být zákazníkovi pronajímány poskytovatelem telekomunikačních služeb (může to být třeba i směrovač). Zákazníkovi je účtováno používání spojení, administrace a údržba jsou na straně poskytovatele.

92 4.4 ATM 80 Routing Table: Network Next Router Interface / S / S 1. FR Map: Next router DLCI FR S 0 I datagram router 100 do sítě /16 FR sít WAN I routeru: FR router sít /16 Obrázek 4.6: Směrování na FR routeru (DTE), paket přichází do FR sítě okud chce organizace využít nabídky telekomunikačního operátora a propojit své pobočky pomocí Frame Relay (i mezinárodně), potřebuje obvykle v každé pobočce nejméně jeden (většinou) směrovač podporující protokol Frame Relay (tento parametr zjistíme u prodejce), a samozřejmě smlouvu s poskytovatelem. Směrovač pak vede tabulku s hodnotami DLCI pro různé komunikující směrovače z jiných poboček a také další DLCI s jiným významem (viz podsekci o LMI), směruje podle hodnot DLCI. V síti telekomunikačního operátora fungují obvykle přepínače Frame Relay, které mohou pracovat nad jinou sítí (ATM, SDH apod.). Soukromé firemní sítě se vyznačují tím, že jsou zde všechny prvky sítě vlastněny zákazníkem (zde firma provozující sít ). Účtování se provádí pouze interně při sledování sítě, administrace a údržba jsou taktéž na straně firmy. rodukty podporující Frame Relay se samozřejmě shánějí hůře než běžné směrovače, obvykle se lze setkat s produkty velkých firem (Cisco, H, apod.). Další informace o Frame Relay:

93 4.4 ATM ATM ATM (Asynchronous Transfer Mode) je WAN sít široce používaná na telekomunikačních sítích. Účelem je co nejefektivněji přenášet různé typy dat právě po telekomunikační síti. Vyznačuje se vysokou efektivností (i rychlostí) přenosu a jde především o to najít kompromis mezi řešeními pro telekomunikační a řešeními pro počítačové sítě. Normalizací se zabývá ITU-T, spolupracuje s výrobci sdruženými ve Fóru ATM. Telekomunikační sítě přepojování okruhů mnoho funkcí včetně řízení chyb spolehlivá služba spojovaná služba synchronní režim (STM) očítačové sítě většinou přepojování paketů spíše samotný přenos nespolehlivá služba, best effort spojovaná i nespojovaná různé Tabulka 4.2: orovnání vlastností telekomunikačních a počítačových sítí Asynchronní v názvu neznamená asynchronní přenos, ale nepravidelné zasílání plných buněk na cestě, buňky jsou obsazovány daty podle potřeby, ne podle algoritmu. ATM pracuje na principu komunikace se spojením, nespolehlivá služba (tj. bez oznámení chyb), na plném duplexu (ve skutečnosti dva simplexy), v statistickém multiplexu. Důležitou vlastností je garance kvality služeb pro různé typy dat. DU se nazývají buňky, jsou velmi malé s konstantní délkou 53 oktetů (z důvodu jednoduchého a rychlého přepínání). Jde o přepojování na pevných nebo přepínaných virtuálních okruzích, proto adresa nemusí být přímo součástí buňky Zařízení a cesty v síti V síti ATM existují dva typy zařízení: ATM switch (DCE) ATM koncové zařízení (endpoint, DTE) může být počítač, router, přepínač lokální sítě, kodek, atd., připojeno přes NIC Jsou definovány dva typy rozhraní: UNI (User-to-Network Interface) komunikace mezi endpointem a ATM switchem (DTE DCE) NNI (Network-to-Network Interface) komunikace mezi jednotlivými ATM switchi uvnitř sítě ATM (DCE DCE) Liší se záhlavím buněk přes ně posílaných. ATM staví komunikaci na pevných nebo přepínaných virtuálních okruzích, třebaže se spíše mluví o virtuálních cestách a virtuálních kanálech. evné okruhy vyžadují ruční konfiguraci na

94 4.4 ATM 82 ATM spoj V 1 V 2 VI/VCI = 1/1 VI/VCI = 1/2 VI/VCI = 1/3 VI/VCI = 2/1 VI/VCI = 2/2 VI/VCI = 2/3 Obrázek 4.7: Virtuální cesty a virtuální kanály v ATM (zjednodušeně) řijato z řepnout na ort VI VCI ort VI VCI A 1 29 B 2 42 A 3 42 C 1 8 B 1 18 C A ATM switch B C Obrázek 4.8: Ukázka jednoduché přepínací tabulky ATM switche všech přepínačích na cestě okruhem, tedy jejich vytvoření je náročnější (a tudíž dlouhodobější a je možné zároveň specifikovat některé další parametry včetně QoS), přepínané virtuální okruhy zase vyžadují jednotnou adresaci v celé síti a funkčnost signalizačních protokolů pro dynamické vytvoření cesty. Virtuální cesta a virtuální kanál jsou obdobou virtuálního okruhu v telekomunikacích. V jedné fyzické přenosové cestě může vést více virtuálních cest. Virtuální cesta sdružuje více virtuálních kanálů, tj. určení (číslo) kanálu je lokální vzhledem k virtuální cestě, po které je veden. Číslo virtuální cesty označujeme VI (Virtual ath Identifier), číslo virtuálního kanálu označujeme VCI (Virtual Channel Identifier). Hodnota VI/VCI plně identifikuje přenosovou cestu mezi dvěma sousedními uzly (virtuální cesta a v rámci této cesty virtuální kanál), na každém ATM přepínači se mění. ATM switch si vede tabulku připojení, ve které jsou přidruženy příchozí a odchozí VI/VCI, záznam se tvoří během navázání spojení (vytvoření okruhu). Na obrázku 4.8 je zjednodušená a zkrácená přepínací tabulka ATM switche. Jsou v ní tři virtuální cesty. Každý řádek obsahuje jednu přepínací informaci, například v prvním řádku zjistíme, že buňka přicházející z portu A po cestě 1 v kanálu 29 je přepnuta na port B cestu 2 kanál 42. orty jsou označeny písmeny spíše pro snadnější odlišení, většinou se setkáme s označením čísly nebo řetězci, podle výrobce Buňky ATM buňka se skládá ze záhlaví (5 oktetů) a datového pole (48 oktetů). Záhlaví má následující strukturu: 1. GFC (Generic Flow Control, řízení globálního toku, 4 bity) pouze v UNI buňkách, a to jen

95 4.4 ATM 83 v případě, že na straně uživatele je více koncových zařízení, určuje jednu z 16 úrovní řízení toku; obvykle nastaveno na 0 2. VI (u UNI 8 bitů, u NNI se přiberou předchozí 4 bity) identifikace virtuální cesty 3. VCI (16 bitů) virtuální kanál, kombinace VI/VCI tvoří dohromady směrovací pole, určuje následující cestu buňky v síti (u každého switche se mění) 4. T (ayload Type, druh dat, 3 bity) určuje druh přenášených dat (uživatelská nebo sít ová), případné přetížení sítě a zda jde o poslední buňku z posloupnosti rámce vyšší vrstvy 5. CLT (Cell Loss riority, priorita ztráty buňky, 1 bit) pokud je nastaven na 1, může být buňka v případě nutnosti zlikvidována 6. HEC (Header Error Control, zabezpečení záhlaví, 1 B) obdoba CRC, jde o samoopravný kód (dokáže opravit chybu v hlavičce v rozsahu 1 bit) Zabezpečení záhlaví buňky HEC se počítá jako zbytek po dělení předchozích bitů záhlaví (x hodnota bitu ) mnohočlenem x 8 +x 2 +x+1, výsledek je mnohočlen 31. stupně (tj. je to polynomiální kód). Slouží k základní detekci a korekci chyb. Buňka pro UNI rozhraní: 4 bity GFC VI VCI T CLT HEC Data Buňka pro NNI rozhraní: VI VCI T CLT HEC Data Tabulka 4.3: Záhlaví ATM buňky Velikost buňky je velmi malá a konstantní. roto není možné směstnat adresu do záhlaví buňky, adresace je nepřímá. Takováto buňka je obecně dobře využitelná pro různé typy dat, včetně multimédií. řepínání na ATM switchi je velmi rychlé, s hardwarovou podporou, může probíhat paralelně Architektura Referenční model ATM je 3dimenzionální. Kromě vrstev rozlišujeme roviny, vrstvy se rozkládají přes všechny roviny. odle ISO/OSI jde o fyzickou a linkovou vrstvu, linková je dále členěna. Roviny: řídicí (control) správa spojení (navazování a rušení, řízení průběhu, generování řídicích signálů) uživatelská (user) zajišt uje samotný přenos dat, opravu chyb, řešení zahlcení, atd. správní (management) skládá se ze dvou komponent:

96 4.4 ATM 84 správa vrstev (layer management) například detekce selhání přenosu, řídí spolupráci vrstev správa rovin (plane management) obecná, řídí spolupráci rovin přes všechny vrstvy Správa rovin Správa vrstev Řídicí rovina Uživatelská r. CS (podvrstva konvergence) Adaptační vrstva ATM SAR (podvrstva segmentace) Vrstva ATM Správa vrstev Správa rovin TC (transmission convergence) Fyzická vrstva MD (podvrstva závislá na médiu) Vrstvy: Obrázek 4.9: Architektura ATM adaptační vrstva ATM (AAL ATM Adaptation Layer) rozhraní mezi ATM a vyššími vrstvami (tj. sít ovými protokoly); multiplexování a demultiplexování, segmentování dat na délku 48 oktetů a jejich řazení, QoS; také je spíše řazena na linkovou vrstvu, ale má některé rysy transportní vrstvy vrstva ATM (obdoba spodní části linkové vrstvy v ISO/OSI) nezávislá na médiu, spravuje virtuální cesty a virtuální kanály, vede tabulku VI/VCI a používá ji; nejvíce odpovídá linkové vrstvě, ale má některé rysy sít ové vrstvy (směrování) fyzická vrstva (obdoba fyzické vrstvy v ISO/OSI) závislá na přenosovém médiu Vrstva AAL je pouze na koncových zařízeních sítě ATM, na ATM přepínačích najdeme pouze fyzickou vrstvu a vrstvu ATM.

97 4.4 ATM 85 Fyzická vrstva má dvě podvrstvy: TC (Transmission Convergence) rozdělí ATM buňky na jednotlivé bity (na opačném konci spojení je zase pospojuje) MD (hysical Medium Dependent) zajištuje samotný přenos, není specifikována (lze použít jakoukoliv přenosovou technologii) rotože MD není pro ATM přímo specifikována a vyšší vrstvy také neobsahují nic, co by omezovalo rychlost, není pro ATM obecně dána žádná maximální rychlost přenosu. Na spojových cestách se obvykle využívá bud SONET nebo SDH (na ně se podíváme později). rotokol GF (Generic Framing rocedure) byl vyvinut pro SDH jako náhrada protokolu HDLC, mapuje/skládá různé typy datových zpráv do kontejnerů (větších přenosových jednotek) SDH, má nižší režii než HDLC, navíc deterministickou. Aplikační I ATM MLS GEth SONET/SDH přenosové médium Obrázek 4.10: Možnosti spolupráce ATM s jinými sítěmi Adaptační vrstva ATM (AAL) se používá k adaptaci dat mezi protokoly sítě ATM a protokoly vyšších vrstev. Existuje několik typů AAL lišících se především garancí propustnosti, minimalizace spojení a detekce chyb. Typy AAL: 1. AAL1 konstantní propustnost (rychlost, CBR), služba se spojením, vyžaduje synchronizaci (závisí na fyzické vrstvě) realtimová, pro přenosy citlivé na zpoždění (hlas, videokonference), podvrstva CS není využita 2. AAL2 proměnná propustnost (VBR), se spojením, pro izochronní přenosy (garance přenosové kapacity šířka pásma, konstantní zpoždění) jako je přenos obrazových informací proměnných v čase, není používán 3. AAL3/4 proměnná propustnost se spojením i bez spojení, bez synchronizace, pro data s tolerancí zpoždění, s podporou detekce chyb a řazení (číslování), podobná SMDS (také dokáže zpracovávat SMDS pakety), má vysokou prostorovou režii (prodlužuje buňky)

98 4.4 ATM AAL5 proměnná propustnost, se spojením i bez spojení, bez synchronizace, bez podpory detekce chyb, slouží k přepravě I paketů apod., a emulaci LAN, dnes nejpoužívanější rotokol AAL5 je také znám pod názvem SEAL (Simple Efficient Adaptation Layer), protože proces zpracování DU je velmi jednoduchý podvrstva SAR jen převezme DU podvrstvy CS a rozdělí na 48oktetové úseky. ostup odesílání dat v AAL5: podvrstva CS přidá k rámci vyšší vrstvy délku rámce a kontrolní součet a doplní do velikosti, která je násobkem 48 oktetů, výsledný DU pošle dále podvrstva SAR tento DU rozdělí na úseky o délce 48 oktetů vrstva ATM z těchto úseků vytvoří buňky, tj. přidá záhlaví, v záhlaví mají všechny buňky kromě poslední informaci T (ayload Type) nastavenu na 0, buňky nejsou číslovány fyzická vrstva postupně odešle jednotlivé buňky AAL5 umožňuje zapouzdřit DU podvrstvy LLC obsahující běžnou komunikaci služeb bez spojení včetně I datagramů. odporuje spojení typu point-to-point jednosměrná i obousměrná, point-to-multipoint pouze jednosměrná (od kořene stromu k listům ), neobsahuje podporu spojení typu multipoint-to-multipoint QoS Kvalita služby (QoS, Quality of Service) umožňuje poskytovat různé typy služeb optimalizované pro určité druhy aplikací, v rozlišení podle virtuálních kanálů. V ATM jsou tyto třídy služeb: CBR (Constant Bit Rate, konstantní propustnost) garantuje šířku pásma, minimální zpoždění a odchylku, je vhodná pro aplikace v reálném čase (hlas, obraz, videokonference apod.), je navržena pro emulaci přepínání okruhů, VBR (Variable Bit Rate, proměnná propustnost) nezaručuje šířku pásma, minimální zpoždění ani odchylku, dělí se na dvě podtřídy: RT-VBR (Real Time VBR) pro aplikace, kterým nevadí občasná ztráta buňky, ale nemělo by docházet ke zpožd ování buněk (typicky přenos hlasu s kompresí), NRT-VBR (Non-Real Time VBR) pro aplikace, kterým moc nevadí mírné zpoždění, ale nemělo by docházet ke ztrátě buněk (například rezervační nebo bankovní systémy), ABR (Available Bit Rate, dostupná propustnost) minimalizace ztráty buněk, přičemž buňky označené nízkou prioritou mohou nabrat i větší zpoždění, buňky s vyšší prioritou mohou předbíhat, šířka pásma je co nejoptimálněji využívána (elektronická pošta, přenos souborů, apod.), UBR (Unspecified Bit Rate, nespecifikovaná propustnost) bez garancí, volná nepoužitá šířka pásma je využívána pro postupné odesílání čekajících buněk (použitelná pro všechny typy aplikací, které nevyžadují nutnost garance doručení, rychlosti či odchylky, například elektronická pošta).

99 4.4 ATM 87 okud je k jednomu ATM přepínači dopraveno hodně buněk zároveň, může dojít k zahlcení vyrovnávací paměti a buňky s nízkou prioritou jsou zničeny. Jestliže navíc je hodně těchto buněk s vysokou prioritou, může být problém určit, které mají být zničeny. Jedním z důsledků QoS je také snadná možnost přenosu DU jiných protokolů. Běžně se nad ATM provozují Frame Relay (Frame Relay over ATM), MLS (v rámci ATM Multiprotocol Encapsulation), atd. Informace najdeme například na conver/19051/nn s1.pdf conver/19063/tim.te000005v2.pdf. QoS (Quality of Service) zahrnuje tyto součásti: 1. Dohoda o dopravě (traffic contract) popisuje předpokládaný tok dat (například maximální garantovanou, minimální nebo průměrnou propustnost), stanoví se při připojení zařízení do sítě. 2. Ovlivňování dopravy (traffic shaping) regulování toku buněk v síti při zachování jejich pořadí. 3. Dozor nad dopravou (traffic policing) vynucení dodržení pravidel; přepínače sledují datový tok, a když překračuje dohodnuté parametry, uplatňují restriktivní opatření. CL bit (cell loss priority) takových buněk je nastaven na 1 buňka může být zrušena (výběrové rušení buněk selective cell discarding) při zahlcení Adresace a navázání spojení Adresy (20 oktetů dlouhé) nejsou součástí každé buňky, používají se jen při navazování spojení (budování cesty stanovení hodnot VI/VCI na ATM přepínačích). oužíváme tyto typy adres: ve veřejných sítích adresy podle doporučení E.164 (pro ISDN a SMDS), jedná se o číselnou adresu podobnou telefonnímu číslu (plochý adresový prostor), v soukromých sítích je adresace založena na NSA (Network Service Access oint), adresa je také číselná, ale hierarchicky členěná, součástí adresy je také 6oktetová MAC adresa zařízení. rvních 13 oktetů adresy určuje switch, ke kterému je cílové zařízení připojeno, cílová zařízení těchto 13 oktetů přejímají od switche, ke kterému jsou připojeny, další již určuje konkrétní zařízení (MAC a 1oktetový suffix, může to být SA protokolu vyšší vrstvy). Adresová pole: AFI (Authority and Format Identifier, 1 oktet) určuje konkrétní typ adresy (hodnota 45 pro E.164, 47 pro ICD, 39 pro DCC) dále: v adrese typu E.164 je 8 oktetů pro telefonní číslo (ISDN) v adresách typu DCC a ICD je 2oktetové pole pro kód země (DCC), resp. mezinárodní kód organizace (ICD), následuje identifikátor adresy v dané doméně (DFI Domain Specific art Format Identifier) a správce sítě (AA Administrative Authority)

100 4.4 ATM 88 RD (Routing Domain, 2 oktety) identifikující směrovací doménu Area (identifikátor oblasti), upřesňuje RD ESI (End System Identifier, 6 oktetů) identifikace koncového zařízení (IEEE 802 MAC adresa v lokální síti) selektor (1 oktet) SA protokolu vyšší vrstvy Tedy začátek adresy určuje její typ, následuje konkrétní adresa podle daného protokolu. A žádost(b,a,qos) žádost(b,a,qos) S 1 S 2 ne žádost(b,a,qos) žádost(b,a,qos) žádost(b,a,qos) S 3 S 4 B spojit(b,a) A S 1 spojit(b,a) spojit(b,a) S 3 S 2 spojit(b,a) S 4 B A S 1 S 2 S 3 S 4 B Obrázek 4.11: Navázání spojení v ATM Vytvoření přepínaného virtuálního okruhu (signalizace) probíhá takto: zdrojový uzel (UNI) odešle žádost o spojení žádost postupuje uzly sítě (přepínače, NNI) a tvoří se virtuální okruh, stanovují se čísla virtuálních kanálů a virtuálních cest když se cesta ukáže jako slepá, přepínač vrátí žádost o krok zpět a hledá se jiná cesta cílový uzel bud potvrdí spojení, a nebo je spojení odmítnuto (nelze navázat) Samotná signalizace probíhá na vyhrazených cestách (VI=0) a kanálech, součástí definice NNI jsou směrovací protokoly používané právě při navazování spojení (protokol NNI rivate Network- Network Interface). ATM a multicast: Multicast a broadcast nejsou v ATM přímo podporovány, musejí být použity pomocné mechanismy. Jedním z nejpoužívanějších je multicast server, který přijímá zprávy určené pro multicast na spojeních typu point-to-point, tyto zprávy pak odesílá všem, komu jsou určeny, na spojeních typu point-to-multipoint. V ATM lze totiž uvádět pouze adresu příjemce, nikoliv odesílatele, což znemožňuje přímé zasílání multicast dat.

101 4.4 ATM ILMI ILMI (Integrated Local Management Interface, Interim Local Management Interface) je rozhraní (konkrétně protokol), které eviduje a zpřístupňuje informace o stavu komponent koncového zařízení jiným koncovým zařízením (přesněji je to protokol pro specifickou komunikaci mezi koncovým zařízením a ATM switchem). racuje na fyzické vrstvě a vrstvě ATM, používá vyhrazené VCI=16. ILMI komunikuje pomocí protokolu SNM. Objekty, které spravuje a zpřístupňuje, ukládá do databáze MIB (Management Information Base) podobně jak to dělají protokoly používané pro správu lokálních sítí Spolupráce s LAN Možnosti propojení LAN pomocí ATM jsou tři: Classical I over ATM, LANE, MOA. 1. Classical I over ATM I datagram se ve vrstvě AAL5 zapouzdří do LLC/SNA rámce a pak pošle přes ATM. řeklad adres (I ATM) provádějí překladové servery ATM AR servery. Některé vlastnosti I musí být potlačeny (např. multicast a broadcast). 2. Emulace LAN nad ATM LANE (LAN Emulation) je standard pro emulaci LAN nad ATM vydaný ATM fórem. Lze přenášet pakety více různých lokálních sítí (například Ethernet, TokenRing). ropojování různých LAN tímto způsobem je podobné virtuálním sítím (VLAN). Možnosti implementace LANE: typ 1: LANE je implementován v NIC koncového zařízení (ATM NIC), lze připojit k běžnému ATM switchi typ 2: NIC koncového zařízení není ATM, ale běžná LAN karta, pak se připojuje ke switchi, který sám provádí překlad mezi MAC a ATM adresami LANE je implementován pouze na okraji ATM sítě, při komunikaci s ATM přepínači se používají standardní signalizační postupy ATM. Celková implementace je poměrně složitá a poněkud křečovitá, protože rozdíly mezi protokoly, DU a průběhem spojení jsou v ATM založeny na zcela jiném principu než jak je tomu v případě lokálních sítí. Je několik typů serverů, které umožňují LANE provozovat. Nejde pouze o mapování MAC/I/ ATM adres, ale také o servery administrativní a také existují tzv. BUS servery (Broadcast and Unknown Server), které na point-to-point spojích přijímají komunikaci, která je vnitřně (podle lokálních sítí) broadcast, a dále ji rozesílají na point-to-multipoint spojích, aby to celkově fungovalo jako broadcast vysílání. 3. MOA (Multiprotocol over ATM) rozšiřuje LANE o možnost rychlejší komunikace mezi emulovanými LAN. oužívá se tzv. distribuovaný směrovač (také virtuální směrovač), který se fyzicky skládá z více zařízení, mezi tato zařízení se distribuují funkce směrování a přepínání. ři použití MOA probíhá komunikace na začátku stejně jako v LAN a LANE (přes směrovací servery), ale během několika prvních rámců je zjišt ována zkratka (shortcut), přímé propojení mezi VLAN sítěmi a komunikace se zrychluje, už není nutné používat směrovače na cestě.

102 4.5 MLS 90 Jde především o to zachovat možnosti směrování tak, jak jsou na lokálních sítích, ale přitom eliminovat jejich nedostatky při běžném směrování se provádí zpracování sít ového záhlaví DU na každém směrovači, což znamená značnou časovou ztrátu, ale při použití MOA se tento proces provádí pouze na hranových (okrajových) zařízeních ATM MOA sítě. Na většině cesty datové jednotky je pak využito přímé spojení přes ATM sít, kde ke směrování nedochází. Tato metoda se také nazývá zero-hop nebo cut-through. Hlavní nevýhodou MOA je silná vazba na ATM, není použitelná na hybridních přenosových sítích. Další informace o ATM: UVT UK rincipy ATM.pdf tech note09186a f.shtml TOC.html (konfigurace různých typů WAN a MAN sítí, nejen ATM) Jak lze také vyčíst z odkazů, ATM postupně ztrácí na popularitě (v 90. letech byla velmi populární), především z důvodu kombinace vysoké ceny sít ových prvků, poměrně nízké rychlosti a složité kombinace s lokálními sítěmi, zvláště se zrychleným rozvojem Internetu a přenosu I datagramů. 4.5 MLS Dosud jsme se zabývali přepínáním paketů (X.25), rámců (Frame Relay) a buněk (ATM), ted se podíváme na přepínání značek řepínání značek MLS (Multirotocol Label Switching) je sít založená na přepínání značek (label, také návěští). Účelem je přesunout co nejvíce režie směrování (včetně administrace, QoS apod.) na okraj sítě tak, aby vnitřní oblast sítě byla co nejrychlejší. MLS dokáže velmi rychle přenášet nejen běžná data, ale také hlas a video, a to se zajištěním QoS. K výhodám sítě ATM se tedy přidává pružnost a vyšší rychlost. Další výhodou je snadnější implementace virtuálních sítí. Obrovskou výhodou MLS je mnohotvárnost. Nemá přímo definovánu adresaci ani směrování, (možná proto) dokáže spolupracovat s více odlišnými protokoly. ůvodně MLS pracovala pouze nad ATM, ale v současné době pracuje také nad Ethernetem, Frame Relay, SONET/SDH a dalšími. Takže výhody MLS můžeme shrnout takto: rychlost přepínání, zajišt ování řízení provozu (vyvažování zátěže) a QoS (odlišné zacházení s různými DU), podpora VN, schopnost spolupráce s mnoha různými protokoly, pod MLS mohou fungovat různé technologie.

103 4.5 MLS 91 V ISO/OSI modelu bychom mohli MLS zařadit někam mezi druhou (spojovou) a třetí (sít ovou) vrstvu, také se označuje jako vrstva 2.5 nebo 2+. Technologie byla představena firmou Ipsilon Networks pod názvem I Switching. ozději firma Cisco vytvořila proprietální standard Tag Switching, který sít zbavil závislosti na ATM, podobný, ale otevřený standard později vydalo sdružení IETF. Každý datagram, který vstupuje do MLS sítě, je na okrajovém směrovači opatřen jedním nebo více MLS záhlavími uspořádanými do zásobníku (stack), a to na rozhraní mezi záhlavími druhé a třetí vrstvy. Záhlaví protokolu MLS má tuto strukturu: samotná značka (návěští, label, 20 bitů), Qos informace (3 bity), v případě MLS se setkáme s názvem CoS (Cathegory nebo Class of Service) nebo také ve významu Experimental (Exp.), příznak konce zásobníku (1 bit); pokud nenásleduje další záhlaví, je nastaven na 1 (to znamená, že následuje už přímo záhlaví I datagramu), TTL (Time to Live, 8 bitů). Značka uložená v MLS záhlaví jednoznačně určuje směrování datagramu na cestě k následujícímu směrovači. Záhlaví rámce 2. vrstvy MLS Label 1, ES bit = 0 MLS Label 2, ES bit = 0 MLS Label 3, ES bit = 1 Záhlaví paketu 3. vrstvy (např. I) Datová část paketu Tabulka 4.4: Zásobník značek v MLS Vnější (nejvrchnější) záhlaví na zásobníku je určeno právě ke stanovení cest. Nenabízí vpodstatě o moc víc než I záhlaví (s jedním důležitým rozdílem rychleji se zpracovává). Další záhlaví hlouběji v zásobníku mají trochu jiný, specifický, účel, například záhlaví VN pro určení virtuální sítě, záhlaví pro QoS nebo záhlaví pro řízení provozu. řidělování značek (ve všech záhlavích ve stacku) probíhá formou třídění datových jednotek do tříd (FEC Forward Equivalence Class), datové jednotky patřící do téže třídy jsou z uzlu odesílány se stejným záhlavím. Třída je stanovena na základě několika kritérií především podle prefixu I adresy a dále například podle některých charakteristik VN Směrování v MLS Směrovače (spíše přepínače) v síti MLS jsou nazývány LSR (Label Switching Router). LSR na okraji sítě (tj. komunikující také s uzly v lokálních sítích, které jsou sítí MLS propojeny), jsou označovány jako ELSR (Edge LSR, hranové směrovače), a jsou bud vstupní (Ingress ELSR) nebo výstupní (Egress ELSR) podle směru provozu. U firmy Cisco se můžeme setkat s odlišnou terminologií LSR jsou nazývány provider/core router, ELSR se nazývají provider edge router (ale v mnoha dokumentech se používá původní terminologie).

104 4.5 MLS 92 Velice často se také setkáváme s trochu jiným označením: (rovider) přepínače uvnitř MLS sítě, vždy ve vlastnictví poskytovatele (nebo jeho poskytovatele), E (rovider Edge) na hranici MLS sítě, CE (Customer Edge) na hranici sítě zákazníka, bud v jeho vlastnictví nebo pronajat od poskytovatele (komunikuje s E). Na obrázku 4.12 je naznačena obvyklá struktura MLS sítě s uzly, E a CE. CE je součástí lokální sítě zákazníka, k jednomu E může být připojeno více CE (tj. více LAN). E E CE CE E Obrázek 4.12: Struktura MLS sítě CE Směrování (přepínání značek) probíhá podobně jako v ATM, ale ještě jednodušeji. Směrovače si vedou jednoduchou tabulku (také se nazývá Label Forwarding Database LFD), která je podobná tabulce pro ATM, ale místo dvojice VI/VCI je zde pouze hodnota značky (datagram z portu opatřený značkou XXX je opatřen značkou YYY a poslán na port QQQ, apod.). Jedná se jen o určení vazby mezi příchozí a odchozí značkou, cesty jsou jednosměrné. In In refix Out Out port label adresy label port A /16 2 B A /16 8 C B /16 36 C. A MLS C router B Obrázek 4.13: Ukázka jednoduché přepínací tabulky MLS směrovače Na obrázku 4.13 je ukázka tabulky na LSR uvnitř sítě. okud by se jednalo o vstupní Ingress ELSR, hodnoty ze sloupce se vstupní značkou a portem by nebyly používány, obdobně u Egress ELSR by nebyly používány hodnoty ze sloupce s výstupní značkou a portem. Značka uložená v datagramu se při průchodu směrovači neustále mění, podle toho, jak to bylo nastaveno při navazování spojení, podle obsahu tabulek na průchozích LSR. Tento proces se nazývá Label Swapping (výměna značek/návěští).

105 4.5 MLS 93 Konkrétní obsah tabulky na LSR závisí také na protokolu, se kterým MLS spolupracuje (tj. na síti, nad kterou pracuje). Jestliže například MLS pracuje nad ATM, jsou MLS značky používány v ATM jako čísla VI/VCI. Je zřejmé, že tabulky na směrovačích jsou vlastně lokální, vztahují se pouze k nejbližším okolním směrovačům. Zařízení podporující MLS obvykle zákazník získá od poskytovatele technologie (například telekomunikační společnosti, která má k dispozici přenosové cesty). okud si ale firma chce vytvořit vlastní MLS sít (má k dispozici své přenosové cesty), existují zařízení např. od firem Cisco, Mikrotik, Juniper Vytváření cest rotokol LD (Label Distribution rotocol) slouží k výměně informací o značkách mezi směrovači, výměna informací o prefixech adres probíhá podle některého směrovacího protokolu obecně označovaného zkratkou IG (Interior Gateway rotocol), což může být prakticky kterýkoliv, velmi často OSF (nyní spíše OSFv2). U MLS se však setkáváme i s dalšími protokoly, například při implementaci virtuálních sítí (VN) se používá BG. O směrovacích protokolech se budeme učit později. Krok 1 L1 pref /24 Krok 2 L1 pref /24, lab. 7 R1 EL1 EL2 R2 LAN1 L2 LAN2 R1 EL1 EL2 ( /24,7,X,R2) LAN1 L2 LAN2 pref /24, lab. 7 R2 Krok 3 pref /24, lab. 17 L1 ( /24,17,7,EL2) pref /24, lab. 17 Krok 4 L1 ( /24,17,7,EL2) R1 LAN1 EL1 pref /24, lab. 21 ( /24,21,7,EL2) L2 EL2 ( /24,7,X,R2) pref /24, lab. 21 R2 LAN2 R1 LAN1 EL1 ( /24,X,21,L2) ( /24,21,7,EL2) L2 EL2 R2 ( /24,7,X,R2) LAN2 Obrázek 4.14: řipojení nové LAN do MLS ostup přidávání záznamů do tabulek v základní variantě MLS je naznačen na obrázku Oznamování probíhá proti směru cesty, každý uzel pro příchozí požadavek stanoví číslo (značku), které má právě volné, a pošle požadavek na všechny sousední uzly (i na ten, ze kterého požadavek přišel). Například podle obrázku 4.14 je výstupním LSR směrovač EL2: EL2 připojí LAN směrovač R2, prefix adresy je /24, přiřadí značku 7, do tabulky přidá záznam o tom, že cokoliv přijde na tuto značku a prefix, odešle směrovači R2 EL2 odešle sousedním MLS směrovačům (L1 a L2) informaci cestu k síti s prefixem /24 najdete na značce 7

106 4.6 OTICKÉ ŘENOSOVÉ CESTY 94 L1 obdrží tuto informaci, najde volnou značku 17, přidá do tabulky záznam o tom, že cokoliv přijde na značku 17 a daný prefix, v tom změní značku na 7 a pošle na směrovač EL2, odešle informaci směrovačům EL1 a EL2 podobně L2, ale našel volnou značku 21 EL1 obdrží dvě informace, ale informace z L2 přišla dřív, tedy uloží výstupní značku Další možnosti GMLS (Generalized MLS, také G-MLS) je rozšíření MLS, které zobecňuje MLS na další vrstvy ISO/OSI a další rozhraní. Účelem je odstranit co nejvíce komunikačních mezikroků a umožnit nasazení MLS technologie i nad takovými řešeními, nad kterými to dřív nebylo možné (nejen nad řešeními používajícími pakety a rámce). Návěští už nemusí být jen číslo, ale může to být například vlnová délka v optické síti, fyzický port, časový slot v TDM apod., cokoliv, podle čeho lze rozšilit různé komunikace, tedy MLS lze nasadit například i nad DWDM. odobné vlastnosti jako GMLS mají sítě ASON (Automatically Switched Optical Network), také běží nad optickými cestami či SDH, také zahrnují podporu QoS, VN a rychlého transportu. GMLS a ASON jsou porovnávány např. na Další informace o MLS: FARREL, A., BRYSKIN, I. GMLS: Architecture and Applications. San Francisco, Elsevier, Většina stran dostupná na white papers list.html 3 1/mpls.pdf to MLS.htm to MLS II.htm Transport over MLS (AToM) Optické přenosové cesty SONET/SDH SONET (Synchronous Optical Network, ANSI T.105) je digitální optický (na optických vláknech) přenosový systém využívající časový multiplex, centrálně synchronizovaný atomovými hodinami. Je standardizován a používán v USA, Kanadě a Japonsku.

107 4.6 OTICKÉ ŘENOSOVÉ CESTY 95 SDH (Synchronous Digital Hierarchy, ITU-T G.707) je obdoba sítě SONET ve zbytku světa, rozdíly jsou jen malé (mj. v řídicích protokolech). Často se setkáme s označením SONET/SDH, odkazujícím na technologii, kterou mají obě řešení společnou. SONET/SDH byla vytvořena pro hlasovou komunikaci a pro tento účel je také optimalizována, sama o sobě není efektivním řešením pro přenos dat. roto nad SDH obvykle pracuje ještě jiný typ WAN/MAN sítě (nad SDH může pracovat například ATM, OS acket over SONET, MLS, EoS Gigabit Ethernet over SONET/SDH). Zákazník je nucen zvolit si z několika málo typů služby podle propustnosti (2 Mb/s, 34 Mb/s, 130 Mb/s), za tuto propustnost také platí, i když ji zrovna nevyužívá (pásmo nelze pronajmout jinému zákazníkovi). odobně jako některé předchozí WAN, i zde je používána DU o konstantní délce blok má délku 810 oktetů. racuje se v časovém multiplexu, tedy přenášené bloky dat jsou umíst ovány do volných slotů vysílaných v pravidelných intervalech 125 µs WDM a DWDM WDM (Wavelength Division Multiplexing) je technologie multiplexování světla v optických spojích do vlnových délek. Bez použití WDM je možné jedním optickým spojem vést jen jeden signál, s použitím WDM více signálů zároveň na různých vlnových délkách, na každé vlnové délce podle jiného protokolu a o jiné rychlosti. DWDM (Dense Wavelength Division Multiplexing) umožňuje přenášet kanály na vlnových délkách s velmi malým odstupem, i pod 1 nm. Čím menší odstup mezi vlnovými délkami, tím více na jednu stranu lze přenášet kanálů paralelně, ale na druhou stranu se může zhoršit kvalita přenosu, proto obvykle není využíván plně. Do jednoho optického vlákna lze poskládat až 128 kanálů, ale ve frekventovaných datových páteřních sítích se spíše setkáme s 32 kanály v jednom vlákně (jmenovitě CESNET2). očet kanálů také závisí na použitých optických multiplexorech (které provádějí samotné mapování signálu do kanálu a zpět). Obvyklá rychlost na jeden kanál (jednu vlnovou délku) je přibližně 10 Gb/s (nebo 40 Gb/s), a celková propustnost jednoho vlákna je (téměř) součtem propustností jednotlivých kanálů. Na DWDM (mezi DWDM a TC/I) jsou pak implementovány dodatečné technologie, které mají urychlit a obecně zefektivnit přenos, v současné době především I/MLS a na okrajích rozlehlé sítě pak například EoMLS (Ethernet over MLS), který velmi dobře spolupracuje s připojenými ethernetovými LAN. ROADM (Reconfigurable Add-Drop Multiplexer) jsou multiplexory, které v sítích DWDM (obecně WDM) umožňují automatické vytváření a správu optických přenosových kanálů. ři použití ROADM není třeba tyto kanály vytvářet a konfigurovat ručně.

108 Kapitola 5 Data a telekomunikační sítě V této kapitole se zabýváme postupy při využití telekomunikačních linek pro datové přenosy. Začneme analogovou dial-up technologií, následuje ISDN a pak různé DSL technologie. oté se zaměříme na telefonní ústředny a VoI. 5.1 Dial-up technologie Shannonův teorém Claude Elwood Shannon je zakladatel moderní teorie informace. Shannonův teorém udává strop pro maximální rychlost přenosu. Aby bylo možné rekonstruovat (na cílové stanici) spojitý frekvenčně omezený analogový signál ze vzorků, musí být vzorkován s frekvencí alespoň dvakrát vyšší než je maximální frekvence tohoto signálu při přenosu. Důsledkem je ohraničení maximální dosažitelné rychlosti přenosu, a to šířkou pásma (počet stavů v rámci pásma nelze zvyšovat do nekonečna, ztratili bychom možnost jeho rozlišení) kvalitou signálu (vyplývá z fyzikálních vlastností linky, zhoršená šumem, také odstup signálu od šumu ) ale nezávisí na použité technologii (včetně použité modulace). Vzorec: max(rychlost přenosu) = šířka pásma log 2 (1 + signál/šum) 96

109 5.1 DIAL-U TECHNOLOGIE Telefonní sít Telefonní sít je řešena hierarchicky: účastnické zařízení (telefon, modem apod.), připojuje se přes účastnickou přípojku (veřejná) místní telefonní ústředna (MTO) uzlová telefonní ústředna (UTO), tranzitní telefonní ústředna (TTO) V rámci firemního areálu může také fungovat pobočková ústředna (BX, rivate Branch Exchange), která bývá připojena na některou veřejnou místní telefonní ústřednu (tj. funguje jako brána). ři přenosu dat přes telefonní sít, dimenzovanou pro přenos zvuku (především hlasu), bylo hlavní motivací využití již existující husté sítě těchto linek, tedy snadná dostupnost koncových bodů. V telefonní síti platí: pro přenos hlasu plně postačuje přenášení frekvencí z intervalu Hz, ořezání okolních frekvencí prakticky neovlivní kvalitu hovoru. řenos musí být multiplexován, v analogové síti je volen frekvenční multiplex s šířkou pásma pro jeden přenos zaokrouhlenou nahoru (s rezervou) 4000 Hz řenos dat na telefonních linkách Telefonní linky jsou optimalizovány pro přenos hlasu, jejich využitelnost pro přenos dat je omezená. rincip: frekvenční omezení je Hz, tj. šířka 3,1 khz kvalitní telefonní linka má odstup signálu od šumu přibližně 1000:1 po dosazení do vzorce dostaneme přibližně b/s když po analogové síti přenášíme data, musíme s tím počítat; řešení: a) použít větší šířku pásma (modemy 33,6 kb/s) b) obejít frekvenční omezení (modemy 56 kb/s), jen směr od digitální ústředny c) odstranit frekvenční omezení (ISDN, ADSL) na digitálních linkách se používá časový multiplex, navíc (u ADSL) se telekomunikační sít propojuje se sítí datovou ( odbočka ) STN (ublic Switched Telephone Network) = běžná telefonní sít dimenzovaná především pro přenos hlasu modemy standardu V.21, V.32bis, V.34,..., V.90, V.92 analogové, liší se mj. přenosovými rychlostmi, rychlejší pracují asynchronně (vyšší rychlost při downloadu) STN počítá s přenosem analogových dat, ale postupně byla vnitřně digitalizována (obecně až od místní ústředny), po digitalizaci se místo frekvenčního používá časový multiplex. Aby bylo možné po STN přenášet data, je potřeba vytvořit abstraktní nástavbu, která to umožňuje. rojdeme si některé nejznámější technologie (chronologicky). Analogový OTS (lain Old Telephone Service) je založen na běžných telefonních linkách (STN). Kódování:

110 5.2 MODEMY 98 kódování a dekódování hlasu (analogového) pro přenos na digitální lince (u digitálních ústředen) je prováděno prvkem CODEC (COder-DECoder), kódování digitálních dat do analogové formy je prováděno MODEMem (MOdulator-DEModulator). Existuje více různých kodeků, například: CM (ulse Coded Modulation) na pevných telefonních linkách (digitální ústředny), snímá amplitudu signálu každých 125 µs, vzorkuje signál rychlostí 8 kb/s FR (Full Rate), HR (Half Rate), EFR (Extended Full Rate) v sítích GSM G.729, GSM FR, Speex, ilbc kodeky pro VoI Zatímco OTS počítá s analogovými linkami, další technologie již jsou digitální BRI a RI. BRI (Basic Rate Interface) je tedy digitální technologie, používá se pro uživatelskou ISDN. Není třeba používat CODEC, digitální data jsou posílána přímo k (digitální) ústředně. Komunikační kanály: dva B- (bearer, nosné) kanály pro data a hlas, každý 64 kb/s jeden D- (delta) kanál pro řídicí informace (signalizaci), a to 16 kb/s, může sloužit pro přenos paketů X.25 Kanály sdílejí jeden kabel formou časového multiplexu. RI (rimary Rate Interface) je také digitální ISDN rozhraní, ale je určeno spíše pro firmy. Je k dispozici 30 (v Evropě) nebo 23 (v USA) B-kanálů po 64 kb/s, jeden D-kanál 64 kb/s. Důsledkem je výrazně vyšší rychlost než u BRI. 5.2 Modemy Modem představuje DCE, počítač (nebo jiné zařízení) k němu připojený je DTE. Modem (MODulator, DEModulator) je zařízení, které moduluje digitální data na analogový signál (modulace) a zpět (demodulace). Dříve se používaly analogové modemy, v současné době se setkáváme především s digitálními modemy (ISDN, DSL). Data se tedy přenášejí po analogovém signálu, a to pomocí kroucené dvojlinky (jednoduchá UT, telefonní kabel), koaxiálu (například rozvody pro kabelovou televizi), případně bezdrátově (například mobilní připojení od mobilních operátorů). Na obrázku 5.1 je znázorněn postup digitalizace ve vývoji od starých čistě analogových modemů podle standardu V.34 po ISDN zařízení (DSL zde nemá smysl uvádět, narozdíl od ISDN to není vytáčené spojení). Vytáčená spojení (dial-up) jsou v principu hlasové, nikoliv datové služby. K digitálním modemům se vrátíme v následujících sekcích této kapitoly, zde krátce k analogovým modemům. Existuje více různých standardů, pro analogové modemy jsou směrodatné V.34 (rychlost 28,8 kb/s až 33,6 kb/s) a V.90 (rychlost obvykle 56 kb/s, resp. až 64 kb/s). U modemů V.90 (a také V.92) se ve skutečnosti standard V.90 používá jen ve směru k modemu, odesílání dat probíhá rychlostí

111 5.3 ISDN 99 Analogový přenos: digitálně (33,6 kb/s) analogově analogově DTE V.34 MTO... digitálně (33,6 kb/s) Digitalizace sítě, modem V.34: digitálně (33,6 kb/s) analogově analogově analogově digitálně (64 kb/s) DTE V.34 MTO... digitálně (33,6 kb/s) Digitalizace sítě, modem V.90: digitálně (33,6 kb/s) analogově analogově digitálně (64 kb/s) digitálně (64 kb/s) DTE V.90 MTO... digitálně (56 kb/s) Digitalizace sítě, ISDN: digitálně (64 kb/s) digitálně (56 kb/s) digitálně (64 kb/s digitálně (64 kb/s) digitálně (64 kb/s) DTE ISDN MTO... digitálně (64 kb/s) digitálně (64 kb/s) Obrázek 5.1: Analogové a digitální linky digitálně (64 kb/s) dle standardu V.34. Analogové modemy se připojují pomocí konektoru RJ-11, který je o něco užší než ethernetový RJ-45 (protože se používá nižší typ kroucené dvojlinky s méně páry, tedy není nutné mít v konektoru tolik drátů). oužívané protokoly: (viz dříve) autentizace nebo CHA Multilink (M) lépe vyvažuje zatížení sítě (umí zkombinovat více portů a tak zvýšit šířku pásma pro přenos), pro asynchronní sériové rozhraní, BRI, RI Multichassis Multilink (M) umožňuje přidělit uživatelům přihlašujícím se na jeden server (s jedním modemem) jediné telefonní číslo pro dial-up a na vyšší úrovni oddělovat jejich komunikaci, vhodné pro IS oa, oe a jejich varianty

112 5.3 ISDN ISDN rincip ISDN ISDN (Integrated Services Digital Network) byla původně pokusem o využití existujících telefonních rozvodů pro digitální telefonii a transport dat různého charakteru (i obojí zároveň). Zavádění ISDN úzce souvisí s digitalizací telefonní sítě, hlavně díky ISDN dnes máme po celé republice digitální ústředny. řenos zvuku (telefonní služby) je realizován s využitím kodeku CM. Zpoplatnění přenosu zvuku i dat je závislé na čase, jde o vytáčené spojení. řenosová kapacita je rozdělena na B-kanály a D-kanál, existují dva druhy rozhraní BRI (u nás euroisdn2) pro domácnosti a malé kanceláře RI (u nás euroisdn30) pro větší firmy V BRI je bitový tok rozdělen na časové rámce po 48 bitech (0,25 ms) 2 oktety pro každý B-kanál, 4 bity pro D-kanál a 12 doplňkových bitů, rychlost u BRI je maximálně 160 kb/s. E BRI Zařízení v síti TE1 (Terminal Equipment) koncové zařízení s rozhraním ISDN TE2 nemá rozhraní ISDN (analogový telefon, analogový modem apod.), k ISDN se připojuje pomocí TA (adaptéru) NT (network termination, ukončení sítě) rozhraní, ke kterému se připojují TE1 a TA, má dvě části: NT1 zajišt uje fyzické připojení, transformuje signály NT2 horní část, umožňuje připojit TE1 a TA (až 8) Mezi nimi jsou rozhraní U, T (terminal), S (system), R (rate). Struktura je na obrázku 5.2. C ISDN telefon S T U NT2 NT1 síť TA R Analog. telefon Obrázek 5.2: Zařízení v síti ISDN BRI B-kanály pracují s přepojováním okruhů a mají vyšší přenosovou rychlost, D-kanály pracují s pakety, a to se spojením i bez spojení.

113 5.4 TECHNOLOGIE XDSL 101 V ISDN je definována fyzická, linková a sít ová vrstva. Model je 3D (podobně jako ATM), existují roviny uživatelská, řídicí a rovina managementu (správní). fyzická vrstva protokoly fyzické vrstvy zahrnují především definici rozhraní S, T, U, R linková vrstva spojový protokol LAD sít ová vrstva protokol sít ové vrstvy používá D-kanál, po něm posílá zprávy, princip komunikace je podobný jako u sítí X.25 Spojení je vytáčené (tarifikace závislá na délce spojení) a jeho navázání trvá jen kolem 2 s, proto nemá smysl nechávat spojení aktivní neustále. Navazování spojení probíhá na D-kanálu (ten bývá neustále aktivní, většinou není zpoplatněn), odesílají se aktivační informace (telefonní číslo příjemce, identifikace volajícího uzlu, typ volání hlasové, datové nebo faxové, apod.), pak je přidělena I adresa. 5.4 Technologie xdsl xdsl (Digital Subscriber Line) je skupina širokopásmových technologií, která v sobě sdružuje několik různých technologií (ADSL, SDSL, HDSL, HDSL-2, G.SHDL, IDSL, VDSL). Může to být technologie první míle pro připojení k Internetu, resp. k NS (Network Service rovider). Jedná se o vyhrazenou službu, point-to-point. Je to služba se spojením, ale tarifikace nebývá závislá na čase ADSL ADSL (Asymmetric Digital Subscriber Line) je asymetrická služba. Asymetrická proto, že downstream (stahování dat do DTE) je rychlejší než upstream (odesílání dat do sítě). Teoreticky lze dosáhnout rychlostí až 24 Mb/s (v novějším standardu dokonce až 48 Mb/s). U nás nabízená rychlost je 8 Mb/s nebo 16 Mb/s pro downstream, ale reálná rychlost může být nižší. Upstream bývá na rychlosti 1 Mb/s. Rychlost je ovlivněna více různými kritérii. Je to nejen použité zařízení a přenosové protokoly, ale také délka spoje čím větší vzdálenost k místní ústředně, tím pomalejší spojení. E Rozsah Šířka Účel 0 khz 4 khz 4 khz přenos hlasu (telefon) 4 khz 26 khz 22 khz nárazníkové pásmo 26 khz 138 khz 112 khz upstream 138 khz 1100 khz 962 khz downstream Tabulka 5.1: Využití přenosového pásma v ADSL V technologii ADSL (a taky v dalších DSL technologiích) se navýšení rychlosti dosahuje kromě jiného i odkloněním datového toku z telefonních linek na datovou sít poskytovatele (obvykle některou WAN sít na optických kabelech). rincip je naznačen na obrázku 5.3.

114 5.4 TECHNOLOGIE XDSL 102 telefonní síť DTE Ústředna datová síť Obrázek 5.3: rovedení ADSL Oddělení upstream a downstream dat možnosti: 1. FDM (frekvenční multiplex) frekvence pro upstream a downstream jsou striktně odděleny, nepřekrývají se (dají se oddělit jednoduchým filtrem) 2. potlačení ozvěny (EC, Echo Cancellation) kanály pro upstream a downstream se částečně překrývají, pak jsou odděleny pomocí telekomunikační vidlice FDM je jednodušší na implementaci (také je menší pravděpodobnost přeslechů při velmi velkém množství ADSL zařízení na jednom kabelu), EC lépe využívá frekvenční pásma (kanály na nižších frekvencích jsou obvykle méně rušeny) a přenos je rychlejší. Dnes se používá spíše EC. Modulace v ADSL používá se CA nebo DMT. CA (Carrieless amplitude phase modulation) je další možný typ modulace pro ADSL. Tato modulace je velmi podobná QAM modulaci. CA používá pro celé přenášené pásmo (1,1 MHz) jediný kmitočet, fakticky nedochází k dělení na kanály. DMT (Discrete MultiTone) rozdělí celé pásmo na kanály přibližně po 4 khz (celkem kolem 255 kanálů), kanály 7 32 pro upstream, od 33 pro downstream. růběžně se sleduje kvalita přenosu v jednotlivých kanálech, přenos se adaptivně rozkládá na ty kanály, které jsou považovány za právě nejkvalitnější. Narozdíl od CA se používá více nosných kmitočtů (to jsou ty tóny v názvu, také se nazývá Multicarrier Modulation). V současné době se setkáme spíše s DMT. odrobnosti: Standardy pro zařízení Ve všech standardech se rozlišuje varianta Annex A (over OTS přes analogové linky)), Annex B (over ISDN) a ADSL Lite. V současné době existují tyto standardy: ADSL (původní) Annex A a Annex B s propustností až 8 Mb/s (download), resp. 1 Mb/s (upload), a dále ADSL Lite (ještě nižší propustnost do 1.5 Mb/s) ADSL2 druhá generace, rychlost na downloadu až 12 Mb/s ADSL2+ zvýšení rychlosti až na 24 Mb/s (reálně až 16 Mb/s) ADSL2++ opět zvýšení rychlosti, teoreticky až 48 Mb/s

115 5.4 TECHNOLOGIE XDSL 103 Annex A u nás nelze provozovat, proto bychom si při koupi ADSL zařízení měli dát pozor na to, aby podporovalo Annex B. ADSL Lite je odlehčená verze ADSL, kterou bylo možno používat na méně kvalitních spojích. Instalace ADSL Lite byla poměrně jednoduchá, ale rychlost byla o něco nižší než u klasické ADSL, nepoužíval se splitter (viz dále) Implementace ADSL V ADSL se používají tato zařízení: datová či hlasová koncová zařízení (počítač, telefon, NAS, atd.), digitální a analogová modem (MODulator/DEModulator) moduluje digitální signál na analogový (šířka přibližně 1,1 MHz) a zpětně demoduluje, připojují se k němu datová koncová zařízení splitter sloučení hlasového přenosu a modulovaných dat (frekvenční multiplex), připojuje se k němu modem a hlasová koncová zařízení (analogová), na telefonní linku posílá signál v časovém multiplexu (TDM time division multiplex), varianta ADSL Lite nepoužívá splitter DSLAM (DSL Access Multiplexer) na straně IS, sdružuje spojení z IS splitterů pro jednotlivá připojení V praxi je u účastnických přípojek mohou být modem a splitter v jednom zařízení (interní, integrovaný), na straně IS bývají odděleny ve dvou zařízeních. 1 Je výhodnější mít splitter zvlášt. okud nepoužíváme žádná analogová zařízení (analogový telefon), měli bychom se splitteru zbavit, protože může být zdrojem mírných posunů signálu a tím i poruch. Místní ústředna počítač modem DSLAM telefon splitter IS splitter STN Obrázek 5.4: Zařízení v síti ADSL Externí splitter u účastnického modemu (tj. když ho máme zvlášt ) je malá krabička, do které se připojují 3 kabely, všechny s rozhraním RJ-11. roto bychom měli dávat pozor, co kam máme připojit (vstupy/výstupy jsou označeny): kabel z rozhraní označeného HONE povede zjevně do analogového telefonu, kabel z rozhraní označeného MODEM povede do ADSL modemu (ADSL routeru), kabel z rozhraní označeného obvykle LINE zapojíme přímo do telefonní zásuvky. Digitální telefony samozřejmě ke splitteru nepřipojujeme! 1 Modem a splitter v jednom zařízení najdeme spíše u levnějších řešení pro SOHO (Small Office Home Office), tj. pro domácnosti a malé firmy.

116 5.4 TECHNOLOGIE XDSL 104 DTE Ethernet ADSL modem ADSL. DTE Wi-Fi. DSLAM ADSL modem ADSL Obrázek 5.5: ADSL je technologie první míle Agregace = sdílení přípojky ADSL. Každý IS rozdělí kapacitu linky, kterou má k dispozici, formou časového multiplexu. Vzorec pro agregační poměr je následující: agregační poměr = rychlost(is ) i rychlost(i) Typické hodnoty agregace mohou být například 1 : 50, 1 : 20. FU (Fair User olicy) je omezení toku dat (většinou se odvozuje od množství přenášených dat). V současné době není u ADSL FU uplatňováno. FU v ADSL obvykle souvisí s protokolem oa. roto pokud zjistíme, že FU je na naší lince uplatňováno, měli bychom projít konfiguraci ADSL modemu a zjistit, jestli je možné nastavit místo oa ( over ATM) protokol oe ( over Ethernet). U starších ADSL modemů to nejde, ale u novějších by to neměl být problém. Obrázek 5.6: Zapouzdření do oe

117 5.4 TECHNOLOGIE XDSL 105 ADSL modemy parametry, které nás mohou zajímat 1. standard ITU G.922.1, Annex B (tj. příloha B, kdežto modemy podle přílohy A by v ČR nefungovaly) 2. ADSL2+ (to 2+ znamená, že modem dokáže dosáhnout vyšších deklarovaných rychlostí, na downstreamu až 24 Mb/s)) 3. skutečná rychlost (upstream, downstream), obvykle nebývá problém, pokud nejsme moc daleko od DSLAMu 4. handshake (navázání spojení při zapnutí, negociace s DSLAM) většina přístrojů se nedrží standardu, DSLAMy naštěstí odchylky většinou tolerují, ale ze specifikace většinou tento parametr nevyčteme (měli bychom probrat recenze) 5. ADSL router zároveň směrovač, dovoluje připojit více zařízení (LAN) 6. vybavenost Wi-Fi ADSL modem bývá kromě RJ-45 portů často vybaven rozhraním Wi-Fi, výhodou je přítomnost tlačítka na vypnutí Wi-Fi (vyšší spotřeba proudu) 7. oe, může být oa nebo IoA (určuje, do paketu kterého protokolu se datové pakety zapouzdřují při odchodu do WAN, ideálně do paketu oe) 8. webové rozhraní konfigurace (někteří výrobci jsou notoricky známí svým nepřehledným rozhraním), při prvním zapnutí modemu bývá často dostupné jen přes RJ diagnostické nástroje, podpora QoS, HW firewall, atd ADSL na straně IS DSLAM je brána do datové sítě poskytovatele. Existují menší DSLAMy pro připojení 24 nebo 48 DSL linek (a obvykle stejný počet pro OTS analogový telefon), a pak větší pro tisíce linek. Obvykle podporuje protokoly oe i oa. DSLAM má rozhraní RJ-11 směrem k zákazníkovi a pak další rozhraní většinou dvě RJ-45 pro Gigabit Ethernet nebo rychlejší, případně rozhraní pro Fast Ethernet (LAN). Administrace se provádí přes webové rozhraní, a nebo fyzicky přes RJ-232 (COM, je dostupná redukce RJ-232 na USB), atd. Na obrázku 5.7 je zjednodušený nákres struktury sítě na straně poskytovatele Internetu. ojmy k tomuto obrázku: TA je širokopásmový server, provádí se zde konfigurace I adres, autentifikace uživatelů, autorizace, účtování (RADIUS) A (Access oint) je přístupový bod pro konkrétního IS, přes který lze přistupovat z virtuální sítě tohoto IS k směrovači na Internet Úkoly 1. V některém internetovém obchodě prodávajícím sít ové prvky ( atd. podle vlastního výběru, případně použijte srovnávací web

118 5.4 TECHNOLOGIE XDSL 106 DSLAM ATM oa TA Agregační bod směrovač MLS VN směrovač Access point. DSLAM GEth oe. TA. Agregační bod. směrovač MLS VN směrovač. směrovač Access point páteřní síť Internet Obrázek 5.7: ADSL na straně IS jako například projděte nabídky různých typů modemů. Zjistěte, jaké typy modemů se v nabídkách nacházejí (ADSL, GSM, analogový apod.), v jakém provedení a přes které rozhraní se připojují k počítači (často přes USB, RJ-45, ExpressCard), v jakých cenových relacích, jaký je funkční a cenový rozdíl mezi samostatným modemem a Wi-fi routerem s ADSL modulem. 2. okud máte přístup k některému ADSL modemu, projděte si jeho konfigurační rozhraní Další xdsl technologie High bit-rate Digital Subscriber Line (HDSL) není určena pro účastnické přípojky, používají ji IS pro propojení pobočkových ústředen, případně ji mohou využít velké firmy pro své vnitřní potřeby. Vyžaduje dva nebo tři páry telefonních vodičů, což je považováno za jednu z nevýhod. Je to symetrická technologie (stejný rozsah pásem pro downstream a upstream), ale může pracovat i asymetricky. odporuje pouze přenos dat, neobsahuje podporu telefonních hovorů. ro oddělení downstreamu a upstreamu používá pouze Echo Cancellation (EC), ne frekvenční multiplex. HDSL-2 (také SHDSL Singleair HDSL) je varianta HDSL, která používá pouze jeden pár telefonních vodičů, tedy při zavádění technologie HDSL-2 na samotném vedení telefonních linek není třeba nic měnit.

119 5.4 TECHNOLOGIE XDSL 107 Symetric Digital Subscriber Line (SDSL) je rozsahem funkcí podobná technologii ADSL, ale je symetrická (stejný rozsah pásem počet kanálů pro upstream a downstream), neobsahuje podporu telefonních hovorů (pouze pro data, nelze připojit analogový telefon). rincip přenosu je podobný HDSL. oužívá se pro účastnické přípojky, u kterých se preferuje symetričnost přenosu. Obvyklá rychlost je až 2,3 Mb/s, dosah až 5 km. IDSL (ISDN Digital Subscriber Line) je hybrid ISDN a xdsl technologií. IDSL je poskytována tam, kde ještě nelze zprovoznit ADSL (v ústředně není funkční DSLAM), a nebo IS. Využívá rozhraní U pro ISDN, přenáší pouze data, připojení přes ISDN BRI. Narozdíl od ISDN není vytáčená a je rychlejší (pomalejší než ADSL), používá stejnou modulaci jako ISDN. VDSL (Very High Bit-Rate Digital Subscriber Line) je považována za následníka ADSL. Je také asymetrická (může být nastavena na symetrický přenos), používá širší pásmo než ADSL (protáhnutí na vyšší frekvence), a z toho důvodu je rychlejší. Rychlost na kvalitní telefonní UT dosahuje až 52 Mb/s (asymetrická, downstream) nebo 36 Mb/s (symetrická varianta). Teoreticky až 200 Mb/s, reálně opravdu jen kolem 50 Mb/s. Zatímco ADSL provádí přenos na vzdálenost až 5 km (při vyšších rychlostech méně), VDSL pouze něco přes 1 km, což je daň za rozšíření pásma. Ovšem pokud chceme opravdu využít vysoké rychlosti nabízené VDSL, tak bychom měli být maximálně 500 m od DSLAMu. Upstream a downstream jsou odděleny frekvenčním multiplexem podobně jako u ADSL. Obrázek 5.8: orovnání frekvencí ADSL a VDSL 2 Rozšíření VDSL bohužel závisí na telekomunikačních organizacích, tato technologie musí být podporována v telekomunikačních ústřednách. Další informace o DSL technologiích: list.asp?rubrika=tutorialy&temaid= potsadsl.php3 14&stromhlmenu=14 2 Zdroj:

120 5.5 TELEFONNÍ SÍTĚ A TELEFONNÍ ÚSTŘEDNY 108 Úkoly V roce 2011 se v nabídkách telefonních operátorů konečně objevila technologie VDSL. Zjistěte, jaká zařízení podporující VDSL jsou momentálně k dispozici (nahlédněte do internetových obchodů) a jaké jsou jejich parametry. 5.5 Telefonní sítě a telefonní ústředny Nyní se podíváme podrobněji na problematiku telefonních sítí a ústředen, především pobočkových telefonních ústředen (BX) Slučování linek ředchůdcem sítě SDH, se kterou jsme se seznámili v kapitole o WAN sítích, je sít DH (leisochronous Digital Hierarchy). Zatímco SDH je synchronní (komunikace je synchronizována v celé síti, s časovým multiplexem), DH je téměř synchronní pleisochronní, tedy komunikace je téměř synchronizována (tolerují se malé odlišnosti v rychlosti). V DH se začalo využívat slučování linek za účelem zvýšení kapacity přenosu. Značení a některé další prvky se odlišují v normách platných pro Evropu od norem platných v Americe a Japonsku. Zatímco v Americe a Japonsku se setkáme s T-linkami (T-carrier, normy podle ITU-T), v Evropě se používají E-linky (E-carrier, normy podle CET Evropské rady pro správu pošt a telekomunikací). rincip vychází ze sdružování linek do svazků, které mají logicky vyšší přenosovou kapacitu a tím i rychlost přenosu. V obou normách jsou linky řádu 0 (nula) tvořeny jedinou linkou o rychlosti 64 kb/s. V řádu 1 se sdružuje bud 24 nebo 30 linek datových a 2 linky signální (nepřenášejí data, ale řídicí signály), vzniká T1-linka (Amerika a Japonsko) nebo E1-linka (Evropa). Sdružením čtyř T1 linek vznikne T2 linka, podobně u E-linek. ostup a navyšování přenosové rychlosti najdeme v tabulce 5.2. Značení Dat. kanálů řen. rychlost T1 24 1,54 Mb/s T2 96 6,31 Mb/s T ,38 Mb/s T ,18 Mb/s Značení Dat. kanálů řen. rychlost E1 30 2,05 Mb/s E ,45 Mb/s E ,37 Mb/s E ,27 Mb/s E ,15 Mb/s Tabulka 5.2: Srovnání T-carrier (Amerika, Japonsko) a E-carrier (Evropa) linek Fyzicky bývají sdružovány spoje na kroucených dvoulinkách (UT), což početně souhlasí: = 32, což je dělitelné číslem 4 (počtem drátů v UT). Rámec E1 se skládá z 32 timeslotů ( oken o stejné délce 125 µs), přenášených paralelně. Jeden timeslot obsahuje prostor pro jeden oktet (8 bitů), od toho se odvíjí přenosová kapacita.

121 5.5 TELEFONNÍ SÍTĚ A TELEFONNÍ ÚSTŘEDNY 109 SONET SDH řen. rychlost STS-1 STM-0 52 Mb/s STS-3 STM Mb/s STS-12 STM Mb/s STS-48 STM Mb/s SONET SDH řen. rychlost STS-192 STM Mb/s STS-768 STM Mb/s STS-3072 STM Mb/s Tabulka 5.3: Úrovně a rychlosti v sítích SONET a SDH SDH se od DH liší především využitím optických kabelů (jednovidových) a dokonalejší synchronizací, která se provádí přes celou sít pomocí atomových hodin. Velikost timeslotu je stejná (125 µs), ale multiplexování funguje trochu jinak (protože už se neodvíjí od UT kabelu). Slučování linek také známe z podkapitoly o ISDN BRI rozhraní definuje slučování 2 datových a jedné signální linky (uživatelská Euro-ISDN2), RI slučuje 30 datových a jednu signální linku (Euro-ISDN30), s tím, že datové kanály lze dále dělit do podskupin (např. část pro přenos dat z počítačové LAN a část pro Fax) Telefonní ústředny Již víme, že telefonní ústředny jsou uspořádány hierarchicky na nejvyšších uzlech hierarchie jsou TTO (tranzitní telefonní ústředny), níže jsou UTO (uzlové telefonní ústředny), pod nimi MTO (místní telefonní ústředny), ke kterým se již připojují účastnické přípojky a nebo v případě větších firem pobočkové ústředny (BX). obočkové ústředny se používají k zajišt ování vnitřních hovorů uvnitř firem a také ke spojování hovorů mezi vnitřní a vnější telekomunikační sítí. Jsou vlastně přípojným bodem do sítě poskytovatele této služby (DTE). Telefonní ústředny dělíme na analogové a digitální, ale v současné době se většinou již setkáme jen s digitálními. Analogové pobočkové ústředny lze připojit na běžné telefonní linky STN sítě (HTS hlavní telefonní stanice, dřív se říkalo státní linka, ale dnes už tyto linky státu nepatří), digitální ústředny navíc také na běžná telefonní sít, E1 u starších digitálních ústředen, BRI a RI ISDN, datovou sít VoI, datovou bezdrátovou sít (DECT bezdrátové pobočky rozmístěné po areálu), atd. VoI je ve své podstatě datovou službou, tedy nevyžaduje připojení do telekomunikační sítě (pokud máme jen čistě VoI ústřednu), stačí připojení do datové sítě. Tomuto typu služeb se budeme věnovat v následující podkapitole. Ústředna může být bud přímo hardwarové zařízení, a nebo software nainstalovaný na vhodně připojeném počítači. odíváme se na několik softwarových řešení (jedná se o serverové aplikace). Kromě softwaru potřebujeme také hardware, kterým stanici s tímto softwarem připojíme ke zvolenému rozhraní do sítě poskytovatele služby (telekomunikačního operátora). J

122 5.6 VOI 110 Asterisk je populární open-source software pro vytváření VoI ústředen. Konfiguruje se přes webové rozhraní, existuje také několik GUI (nutno zvlášt doinstalovat, např. FreeBX), dále lze k aplikaci přistupovat programově přes AI z aplikací napsaných v běžných programovacích jazycích. Asterisk najdeme také v mnohých prodávaných hardwarových ústřednách. Cisco Unified Communications Manager (dříve Cisco CallManager) lze instalovat na zařízeních, která tento produkt podporují (většinou na serverech Cisco). jedná se o komerční produkt s obecně dobrou vybaveností funkcemi. Microsoft Response oint je systém s jednoduchou konfigurací pro menší telefonní sítě (do 50 stanic, spíše méně, záleží na konkrétním hardwaru). Běží pouze na systémech Windows od verze X. Tento produkt však už oficiálně není podporován. Další informace: Úkoly Vyberte si některé z výše uvedených řešení pro ústředny a o zjistěte o něm podrobnější informace. 5.6 VoI rincip VoI (Voice over I, internetová telefonie, I telefonie) je technologie pro přenos digitalizovaného hlasu v I datagramech. Hovor může být veden i mezi více než dvěma účastníky. Striktně vztato, existují dva typy internetové telefonie ATM telefonie, která už vymírá, a I telefonie, která je naopak na vzestupu (svého času se také hodně mluvilo o využití ISDN). Každý z těchto typů má své výhody a nevýhody, které vesměs vyplývají z principu přenosu (ATM má garanci služeb, I je zase snadno přístupný a pružný systém). Koncová zařízení mohou být bud hardwarové VoI telefony a nebo jde o software, VoI aplikaci. Telefonovat můžeme v rámci sítě poskytovatele, mimo sít poskytovatele, ale pořád v rámci datové sítě, na běžné telefonní číslo do veřejné telekomunikační sítě.

123 5.6 VOI 111 Třetí možnost vyžaduje vytvoření spojení přes VoI bránu, která tvoří rozhraní mezi datovou a veřejnou telekomunikační sítí. Volí se VoI brána co nejblíž cíli, aby co nejdelší část spojení vedla po datových linkách (resp. aby část spojení po telekomunikačních linkách byla pokud možno místní hovor ). V současné době se setkáváme s komplexně řešenými pobočkovými ústřednami pro firmy, které si takto mohou zařídit vlastní VoI sít. Jejich konkurencí jsou však nabídky mobilních operátorů, které jsou, zvláště pro větší firmy, velmi výhodné. Obvykle se vyžaduje splnění těchto požadavků: rychlost připojení k Internetu přes 128 kb/s maximální zpoždění na spoji k serveru poskytovatele 150 ms maximální kolísání zpoždění 30 ms ztrátovost datových jednotek pod 2 %, lépe kolem 1 % Dále si může poskytovatel stanovit požadavky na způsob implementace NAT apod. Tyto požadavky jsou však relativní, záleží na celkovém vytížení spoje (proto je důležité používat QoS) a obvyklém počtu hovorů na spoji vedených. VoI vyžaduje sice menší šířku pásma než datové služby, ale zato pokud možno konstantní. Některé typy připojení k Internetu nejsou pro VoI moc vhodné (například některá mobilní připojení, jako je GSM, GRS či EDGE), u Wi-Fi je využití diskutabilní (zvláště tehdy, když je oblast příliš zarušená, může ztrátovost datových jednotek dosáhnout příliš velké hodnoty). Nejdřív je nutné navázat spojení. Navazování spojení provádí příslušný aplikační protokol, a to bud SI nebo H.323. o navázání spojení se přenášený zvuk nejdřív digitalizuje provádí se vzorkování na 8 khz. řenos se provádí pomocí kodeku (coder/decoder), který provádí kódování signálu a zároveň jeho kompresi. VoI je implementován i v různých aplikacích, například v notoricky známé aplikaci Skype rotokoly SI (Session Initiation rotocol) je textově orientovaný protokol vyvinutý přímo pro použití na Internetu (IETF), v roce Je to protokol aplikační vrstvy pro vytváření, udržování a ukončování interaktivních relací, kromě jiného VoI. Sám o sobě nezajišt uje QoS, ale dokáže spolupracovat s protokoly, které jsou k tomu určeny. Jeho úkoly: lokalizuje příjemce volání, ověří vlastnosti použitého zařízení, zajistí přenos dat a zabezpečení u jiných protokolů. SI je distribuovaný, co nejvíc posouvá inteligenci přenosu ke koncovým zařízením. Další významnou vlastností SI je pružnost. Dokáže spolupracovat s mnoha protokoly a kromě VoI je použitelný například i pro Instant Messaging a dokáže dobře spolupracovat s mobilními technologiemi. Lze používat jak číselné adresy (telefonní čísla), tak i URI (Universal Resource Identifier) webovou adresaci.

124 5.6 VOI 112 Na transportní vrstvě je využíván především protokol UD, což znamená vyšší rychlost přenosu (menší zpoždění). Řízení spojení Řízení A/V Audio/video aplikace SI SD RTC G.7xx H.26x RT/SRT TC, UD I Obrázek 5.9: rotocol stack protokolu SI H.323 je sada binárních protokolů pro konverzi signalizace paketového protokolu na signalizaci telefonní sítě. Je starší než SI (rok 1996) a vychází ze signalizace obvyklé v telekomunikačních sítích. Jde o komplexnější přístup, H.323 řeší kromě navazování a udržování spojení také QoS a další charakteristiky přenosu. ři adresování používá telefonní čísla. H.323 má větší zpoždění při navazování spojení a navíc jeho spolupráce s jinými protokoly je problematická. Jedná se o protokol do značné míry centralizovaný. Na transportní vrstvě je využíván především protokol TC, který má větší režii přenosu, to znamená větší zpožd ování přenosu. Řízení spojení Data Řízení audia/videa Audio/video aplikace H.255 H.245 T.120, V.150, T.38 RTC RAS, RSV G.7xx H.26x RT/SRT TC, UD I Obrázek 5.10: rotocol stack protokolu H.323 odpůrné protokoly transportní vrstvy: RT (Real-time Transport rotocol) doplňuje činnost protokolu UD v oblasti rychlé paketizace datového toku v reálném čase, synchronizuje přenos a umožňuje zjistit ztracený paket nebo nesprávné pořadí paketů. SRT (Secure RT) je bezpečnější varianta protokolu RT.

125 5.6 VOI 113 RTC (Real-time Transport Control rotocol) zprostředkovává zpětnou vazbu pro protokol RT, umožňuje využívat jeho výše popsané vlastnosti. Využitím RTC lze regulovat datový tok, například dynamicky měnit rychlost přenosu podle požadavků přijímajícího uzlu. SD (Session Description rotocol) se používá u protokolu SI pro vyjednání parametrů multimediální komunikace. RSV (Resource Reservation rotocol) slouží pro rezervaci zdrojů spoje, je to prostředek řízení QoS. G.711, G.729, g.723.1, atd. audio kodeky, nad nimi běží audio aplikace. H.261, H.263, atd. video kodeky, nad nimi běží video aplikace. T.120 konferenční datové přenosy. RAS (Registration, Admission, Status) podpůrný protokol pro vyjednání a udržení spojení při použití H.323. Je součástí protokolu H sloužícího k administraci multimediální komunikace. Z dalších protokolů se využívá například STUN nebo TURN pro podporu NAT, SCC u zařízení Cisco, IAX v systému Asterisk, a další Videotelefonie a videokonference Videotelefonie je vzájemný hovor dvou či více účastníků se současným sledováním synchronizovaného videostreamu (obvykle se snímá obraz videokamery). Dnes obvykle nejde ani tak o samostatná zařízení (videotelefony), setkáváme se hlavně se softwarovou implementací (například výše zmíněný Skype nebo FaceTime od Applu, obojí na principu VoI). Funkce videotelefonie je také obvykle implementována v softwaru pro pobočkové ústředny (např. ve výše zmíněném Asterisku). Videotelefonie stojí především na protokolu H.264. Tento protokol standardizovaný ITU-T je vlastně notoricky známým videokodekem pro kompresi videa, mnohým bude hodně říkat zkratka MEG-4. oužívá se všude tam, kde je potřeba přenášet komprimované digitální video. Zatímco videotelefonie vyžaduje vytvoření spoje typu point-to-point, videokonference je již náročnější způsob komunikace. Jde vlastně o spoje typu multipoint-to-multipoint, signál je šířen formou multicastu. Videotelefonii můžeme považovat za speciální jednodušší případ videokonferencí. Z aplikací pro videokonference můžeme vybrat například: MBone je distribuovaný systém složený z volně dostupných nástrojů. Vyžaduje vhodně multimediálně vybavený počítač připojený do sítě, funguje nad protokolem I. odporuje široké spektrum operačních systémů od Windows po různé unixové systémy. Umožňuje organizovat videokonference, přihlásit se do existující videokonference, přenášet zvuk a obraz, sdílet text i multimédia (whiteboard sdílená bílá tabule s obrázkem). VRVS (Virtual Room Videoconferencing System) je komplexní systém poskytovaný zdarma ve formě služby. Je třeba mít instalovánu podporu bud MBone nebo H.323. K provozování VRVS potřebujeme počítač se systémem Solaris nebo Linux (omezení neplatí pro klientské stanice, tam je důležitá verze Java Virtual Machine). VRVS je velmi dobře zdokumentován. V poslední době má VRVS problém s dostupností. J

126 5.6 VOI 114 NetMeeting (v novějších verzích Windows Meeting Space) je jednoduchý videokonferenční systém pro Windows založený na protokolu H.323. ůvodně byl navržen pro point-to-point spoje, ale dnes již funguje i na vícebodobých spojích, třebaže někdy s problémy. Jeho výhodou je dostupnost ve všech dnes dostupných verzích Windows, nevýhodou problémy s kompatibilitou s některými jinými videokonferenčními řešeními. Ekiga (GnomeMeeting) je svobodný software pro VoI a videokonference vyvíjený v rámci projektu Gnome. Komunikuje i s jinými klienty podporujícími protokol SI nebo H.323 (včetně MS NetMeeting). Klient je dostupný pro Linux i Windows. Další informace: base/zav prace soubor verejne.php?file id= desktop/vrvs.html

127 Kapitola 6 Bezdrátové a mobilní sítě V této kapitole se budeme věnovat bezdrátovým způsobům přenosu nejdřív technologiím postaveným především na IEEE a následně rozlehlým mobilním sítím. oslední sekce v této kapitole je věnována satelitní komunikaci. 6.1 Bezdrátové technologie Bezdrátové technologie jsou technologie vedení signálu vzduchem, bez podpory metalického nebo optického kabelu. Rozlišujeme tyto bezdrátové technologie: rádiová rádiové vlny o určité frekvenci (Wi-Fi, WiMAX) sonická ultrazvuk, verbální komunikace optická laser, IR (infračervené záření), ostatní (mávání vlajkou, blikání, posunková řeč apod.) od pojmem WLAN (Wireless LAN) budeme rozumět lokální bezdrátovou sít. Většinou se takto označuje Wi-Fi sít. Bezdrátové sítě dělíme na fixní sice bezdrátové, ale při pohybu připojeného zařízení se bud silně zhoršuje signál nebo se dokonce odpojí, mobilní připojené zařízení se může volně pohybovat, i vyšší rychlostí. Mobilní sítě mají složitější implementaci především na úrovni sít ové vrstvy. Mezi různými typy bezdrátových sítí samozřejmě existují i další rozdíly mohou být úzkopásmové (narrowband) nebo širokopásmové (broadband), mají odlišný dosah, rychlost, náchylnost na rušení, zajištění bezpečnosti. Uvažuje se také o uplatnění technologie UWB (UltraWide Band), tedy rozložení signálu do velmi širokého spektra. Důsledkem je vysoká odolnost proti rušení a velmi nesnadné odposlouchání komunikace. Obecně platí, že sítě s velmi malým dosahem (například BlueTooth) nevyžadují tak vysokou úroveň zabezpečení. To se ale může změnit, protože například BlueTooth v nejnovější specifikaci 115

128 6.2 WI-FI 116 zvyšuje nejen rychlost, ale i dosah, a to formou navázání na technologii Wi-Fi (využívá přítomnosti Wi-Fi čipu v zařízení). Jednou z nejnovějších technologií využívajících rádiové vlny na vysokých frekvencích je NFC (Near Field Communication). Jedná se o technologii určenou především pro malá mobilní zařízení pro účely bezdotykových přenosů informací, plateb, používání čistě elektronických vstupenek apod., účinná vzdálenost je maximálně 20 cm. Malá vzdálenost je jedním ze zabezpečovacích faktorů této technologie (čím větší vzdálenost, tím pravděpodobnější je zneužití). 6.2 Wi-Fi Základní princip Wi-Fi používá rádiový signál v bezlicenčním pásmu 2,4 GHz nebo 5 GHz. Komunikačním médiem nejsou kabely, ale vzduch. Wi-Fi sítě řadíme mezi sítě s menším dosahem (lokální). ásmo 2,4 GHz je v dalších standardech (mikrovlnné trouby, BlueTooth, mobilní telefony apod.), proto mohou nastat problémy, rušení. oužívá se kolizní metoda CSMA/CA (Carrier Sense Medium Access, Collision Avoidance, definována v protokolu na MAC): CS Carrier Sense (naslouchá na médiu) MA Multiple Access (na médium přistupuje více stanic) CA with Collision Avoidance (když chce stanice vysílat a nasloucháním zjistí, že nikdo jiný nevysílá, informuje ostatní uzly o úmyslu vysílat) Vysílá se v polovičním (half) duplexu, z principu není možné plně duplexní vysílání (médiem je vzduch, tedy bezdrátová sít ová karta dokáže vždy jen přijímat nebo vysílat, nikoliv obojí). Wi-Fi je standardizována jako IEEE Tímto standardem se také zabývá průmyslové sdružení Wi-Fi Alliance. Jsou dvě možnosti jak řešit Wi-Fi sít : ad-hoc řešení: každá komunikující stanice je vybavena Wi-Fi sít ovou kartou, komunikují spolu přímo bez mezilehlých prvků (pro sítě o pár počítačích), infrastruktura: existuje přístupový bod (AC Access oint), přes který jde veškerá komunikace (point-to-multipoint), žádné dvě stanice spolu nekomunikují přímo. Každý přístupový bod pokrývá signálem základní oblast služeb (BSA Basic Service Area), také se nazývá buňka. V buňce se nacházejí připojené koncové body, stanice. řekrývání buněk může být částečné umožňuje plynulý přechod z jedné do druhé (roaming) (téměř) úplné možnost sdílet zátěž mezi spolupracujícími A (collocated vázané) Více použitých přístupových bodů znamená více buněk, mohou být propojeny pomocí distribučního systému (DS Distribution system), oblast pokrytá signálem je rozšířená oblast služeb (ESA Extended Service Area). ropojení funguje obvykle na linkové vrstvě (i když to není ve standardu

129 6.2 WI-FI 117 Obrázek 6.1: Schéma bezdrátové sítě předepsáno), kromě jiného proto, že poskytuje možnost šíření broadcastu. Schéma najdeme na obrázku 6.1. Distribuční systém (zde WDS, Wireless Distribution System) tedy funguje jako páteřní sít propojující přístupové body. Obecně lze použít distribuční systém nejen pro propojení (bezdrátových) přístupových bodů, ale také třeba pro propojení dvou metalických lokálních sítí. Nejjednodušší distribuční systém lze vytvořit tak, že přístupový bod jedné BSA pracuje jako běžná stanice v BSA druhého přístupového bodu (opakovač), ale ne každý přístupový bod podporuje režim opakovače. Základní služby poskytované Wi-Fi přístupovým bodem jsou autentizace A zjišt uje informace o stanici a rozhoduje, zda jí dovolí přístup do sítě asociace (přidružení) vzniká vazba mezi A a stanicí, stanice je asociována k buňce A de-asociace zrušení této vazby ro přihlášení k síti je nutné znát její identifikační kód SSID (Service Set IDentifier), řetězec dlouhý 0 32 oktetů. Standardně přístupový bod vysílá své SSID v rámcích beacon v intervalech několika sekund, a to v otevřené formě, v takovém případě není problém SSID zjistit. okud přístupový bod nevysílá SSID v beacon rámcích, lze je odposlechnout i v jiných typech rámců (například při přidružování jiné stanice), nebo stačí poslat falešný požadavek na odpojení některé (řádně připojené) stanice, která se pak pokusí znovu připojit (není třeba dlouho čekat na komunikaci obsahující SSID). SSID lze také použít k jednoduché implementaci virtuální sítě (VLAN), kdy jsou SSID používaná jednotlivými uživateli mapována na VLAN, na třetí vrstvě se pak používají přístupová oprávnění (ACL seznamy). BSSID (Basic Service Set ID) je identifikátor fungující v rámci jedné BSA (tj. u daného přístupového bodu), je dlouhý 6 oktetů, obvykle se jedná o MAC přístupového bodu (u ad-hoc sítě to je náhodný řetězec).

130 6.2 WI-FI 118 ESSID (Extended SSID) je totéž co SSID, zkratka se používá v ESA (případně může být stejný jako BSSID). odle IEEE je implementována fyzická vrstva a MAC podvrstva. Nad MAC se používají běžné LLC rámce (IEEE 802.2) Režimy Režimy, ve kterých může wi-fi zařízení pracovat: Gateway (brána) zařízení je připojeno k Internetu, funguje jako NAT server, zvenčí je viditelná pouze jediná I adresa (tj. odděluje vnitřní LAN a vnější sít WAN). I adresa tohoto zařízení slouží jako adresa brány pro celou LAN, která je k bráně připojena, pokud nám ovšem situaci nekomplikují soukromé I adresy. Routery obvykle plní i funkci brány. Router (směrovač, zde přesněji Wi-fi router) zařízení, které vidí na sít ovou vrstvu, používá I adresy a dokáže podle I adres směrovat. Obvykle na něm běží NAT, firewall a DHC server, případně může také plnit funkci brány do Internetu (což taky hodně souvisí s funkcí NAT). Na Wi-fi směrovači běží i A (viz dále), takže celkově můžeme hovořit o zařízení, které v sobě kombinuje funkci A a směrovače. A (Access oint, přístupový bod) toto zařízení je připojeno k routeru (který případně funguje jako brána), a pokud opravdu běží v A módu, tak na něm není aktivní NAT, firewall a často ani DHC server (ale není to vyloučeno, hlavně na něm neběží NAT), funguje vpodstatě jako bridge, pracuje pouze na druhé vrstvě ISO/OSI (nezná I adresy, tedy NAT nemůže logicky fungovat). A můžeme brát jako ethernetový přepínač, který má jeden (!!!) port určen pro Wi-fi, nerozlišuje různé Wi-fi komunikace. Obvykle má svou vlastní I adresu, ale ta slouží pouze k přístupu do webového rozhraní k administraci (tedy může vidět na sít ovou vrstvu, ale jen pro účely administrace, například nastavení šifrování Wi-fi). Obě zařízení (A a router) musí mít nastaveno stejné ESSID, protože jsou ve stejné Wi-fi síti. A klient připojuje se k jinému A, další zařízení jsou k A klientovi připojena obvykle kabelem, slouží k distribuci signálu jiného A (dva A standardně nelze propojit, pouze A plus A klient). U některých Wi-fi zařízení se můžeme setkat s označením režimu Station, taky se jedná o režim A klienta. Stanice (počítače, notebooky, tiskárny s rozhraním Wi-fi, atd.), resp. jejich sít ové karty, běží v režimu A klient (Station). Repeater (opakovač) zařízení slouží k přeposílání signálu, jedná se o pasivní režim (na fyzické vrstvě, nezná ani MAC adresy) umožňující stanicím připojit se (zprostředkovaně) k některému A nebo bráně, které by byly jinak příliš vzdáleny, signál by byl slabý. Hlavním účelem je tedy příchozí signál zesílit, případně redukovat šum, a poslat dál. Repeater pracuje na fyzické vrstvě, pouze pasivně přeposílá signál (s případným zvýšením jeho kvality) bez jakéhokoliv směrování, přepínání, apod.

131 6.2 WI-FI 119 WDS (Wireless Distribution System, distribuční systém) používá se tehdy, když máme více routerů, potřebujeme distribuovat propojení ven bezdrátově (tj. pouze na jednom bude využíván port do WAN sítě) a navíc se chceme mezi nimi plynule přehlašovat. Tyto routery tvoří jediný distribuční systém a z pohledu koncového zařízení to vypadá, jako by byl připojen pořád k témuž routeru. WDS pracuje na první nebo druhé vrstvě ISO/OSI, podle toho, jestli potřebujeme navíc funkcionalitu mostu nebo zda stačí funkcionalita opakovače. roblém je, že zajišt ování funkcionality režimu WDS je výpočetně hodně náročné a navíc je propustnost nižší z důvodu práce routerů na stejném kmitočtu (rušení, apod.), tedy sít je ve srovnání s propojením routerů dráty výrazně pomalejší (až o polovinu). Režim WDS není standardizován, tedy nemáme zaručeno, že to bude fungovat při propojení dvou routerů nastavených do režimu WDS. okud opravdu chceme WDS použít, pak bychom měli nakoupit tato zařízení do téhož výrobce (nebo alespoň sice od jiných výrobců, ale s wi-fi chipsetem od stejného výrobce, třeba Broadcom). Další nevýhodou je, že WDS obvykle nedokáže pracovat s dynamickými klíči, a tedy pro zabezpečení komunikace lze obvykle jen WE, což je velmi špatné. roto WDS je potřeba komunikaci zabezpečit i jiným způsobem. WIS zařízení se připojí v roli A klienta k A (tedy bezdrátová komunikace bude zastupovat WAN port) a zároveň směruje na LAN a WAN porty (tj. k LAN a WAN portům se chová jako switch na 2. vrstvě ISO/OSI). WIS mód využijeme například tehdy, když máme dosažitelného poskytovatele Wi-fi připojení (tj. přes bezdrát se budeme dostávat na Internet) a přes kabel budeme připojovat další zařízení (typicky stanice) Fyzická vrstva v ISO/OSI, frekvenční spektrum ro fyzickou vrstu existuje v rodině IEEE několik základních standardů: IEEE b frekvence 2,4 GHz, rychlost až 11 Mb/s IEEE a frekvence 5 GHz, rychlost až 54 Mb/s IEEE g frekvence 2,4 GHz, rychlost až 54 Mb/s IEEE n frekvence 2,4 nebo 5 GHz, rychlost až 600 Mb/s (spíše značně nižší), OFDM+MIMO IEEE ac frekvence 5 GHz, s jednou anténou (jeden stream) rychlost až 433 Mb/s, 8 antén až 3,47 Gb/s, OFDM+(Mu-)MIMO Všechny tyto standardy předepisují využití frekvencí v nelicencovaném pásmu (tzn. nepotřebujeme licenci pro naše zařízení). Uvedené rychlosti je třeba brát s rezervou, reálně to může být méně než polovina. V současné době je nejpoužívanější IEEE g, ale nabídka IEEE n je stále širší. Varianta IEEE n sice podporuje obě frekvenční pásma, ale v současné době najdeme většinou (nikoliv výhradně) zařízení podporující pouze pásmo 2,4 GHz. Některá zařízení dokážou pracovat na obou frekvencích současně (dvoupásmový router), což znamená zvýšení propustnosti (za předpokladu, že v dosahu jsou zařízení z jednoho i druhého spektra). Existují zařízení IEEE n Lite, která implementují jen omezeně původní n standard (typicky pouze jediná anténa), důsledkem je nižší rychlost oproti plné implementaci.

132 6.2 WI-FI 120 Standardů (technicky vzato annexů příloh standardu IEEE ) existuje samozřejmě výrazně více, vlastně je už zabraná celá abeceda a jsou použity i některé dvoupísmenné zkratky (třeba ac). Například později se setkáme s IEEE i, který se týká zabezpečení bezdrátové komunikace (WA2), p zajišt ující funkčnost bezdrátového připojení mezi pozemní stanicí a rychle se pohybujícím prvkem (třeba automobilem nebo vlakem), e pro QoS, atd. MIX Mode. Standardy b, g, n jsou zpětně kompatibilní ale co to znamená ve skutečnosti? ředpokládejme, že máme Wi-fi access point (A) běžící podle standardu g. okud jsou v této síti pouze zařízení zvládající standard g, všechna budou komunikovat podle tohoto standardu s teoretickou rychlostí až 54 Mb/s. Ovšem pokud se do sítě dostane byt jediné zařízení zvládající pouze standard b (tedy pomalejší), všechna zařízení v síti budou reagovat jedním z těchto způsobů: 1. ukončí spojení 2. zůstanou připojena, ale budou komunikovat podle b (tj. max. teoretickou rychlostí 11 Mb/s). Druhá možnost bude použita u těch zařízení, která mají zapnut tzv. MIX Mode (což znamená možnost pracovat podle všech těchto kompatibilních standardů). odobná situace nastane i v případě, kdy se do sítě fungující podle IEEE n dostane zařízení g (rychlost klesne na max. L 54 Mb/s) nebo b (rychlost klesne na max. 11 Mb/s). Z toho vyplývá, že pokud nám v bezdrátové síti zdánlivě bezdůvodně klesne propustnost, důvodem může být i to, že se do sítě dostalo starší zařízení. IEEE n navyšuje přenosovou rychlost oproti g několika způsoby. ředně tato zaří- zení mohou pracovat v obou pásmech, dalšího zvýšení rychlosti se dociluje změnou modulace používá se modulace typu OFDM, konkrétně až 64-QAM. oužívají se kanály o šířce obvykle 40 MHz. ropustnost navyšuje i možnost využití více antén, přičemž signál je kompletován využitím technologie MIMO (viz dále). Zařízení, u něhož vidíme označení IEEE n Lite, používá pouze jednu anténu. IEEE ac je momentálně nejnovější standard (také 5G Wi-fi nebo Wi-fi páté generace). racuje pouze ve frekvenčním pásmu kolem 5 GHz. oužívá efektivnější modulaci než n (až 256-QAM) konkrétně základní modulace je OFDM, subnosné pak QAM. V jednotlivých generacích se tento parametr měnil následovně: g: 16-QAM (jeden symbol = 4 bity, 2 4 = 16 možností pro hodnotu symbolu), n: 64-QAM (jeden symbol = 8 bitů), ac: 256-QAM (16 bitů) Důsledkem bylo postupné zvyšování efektivity přenosu (víc přenesených dat za jednotku času) ac podporuje až 8 antén s MIMO, resp. MU-MIMO (MultiUser-MIMO, může paralelně komunikovat s více zařízeními). Typická šířka kanálu je bud 80 MHz nebo 160 MHz. Skutečná propustnost záleží na více faktorech (šířka kanálu, počet antén, apod.), typická rychlost je kolem 1 Gb/s.

133 6.2 WI-FI 121 5GHz pásmo má špatnou pověst co se týče prostupnosti stěn (tak to bylo v IEEE a), ale kupodivu u IEEE ac se s tímto problémem nesetkáváme zdaleka v tak velké míře je to díky algoritmu Beamforming, který při využití více antén zpožd uje signál některých antén tak, aby po procházení překážkami dospěl ze všech antén za překážku ve zhruba stejnou dobu, a tedy se dá zkompletovat (narozdíl od případu, kdy by signály různých antén prošly překážkou s různými úhly a odrazy v odlišnou dobu, a tedy by se dokonce vzájemně rušily). Existuje také standard IEEE ad (také se nazývá WiGig od Wireless Gigabit Alliance), který má podobné vlastnosti včetně propustnosti jako IEEE ac, s určitými rozdíly. ředně vysílá v pásmu 60 GHz (přesněji v rozsahu GHz) a šířka pásma pro jeden kanál je 2.16 GHz, což je výrazně více než u ac (tam jen max. 160 MHz). V celém pásmu existují 4 kanály, ale ne všude je možné všechny 4 využít (například v USA je možné používat jen první tři, v Číně jen druhý a třetí, v Austrálii dokonce jen druhý a část třetího, v Evropě všechny čtyři) Struktura HY, modulace Fyzická vrstva se dělí na dvě podvrstvy, horní a spodní. LC (hysical Layer Convergence rotocol) horni podvrstva, její úkoly jsou detekce nosné a indikace rychlosti, tvoří rozhraní k MD. MD (hysical Media Dependent) spodní podvrstva, provádí modulaci (různé formy DSSS, OFDM, atd.), kódování/dekódování. Dodatek IEEE b používá modulaci DSSS (Direct Sequence Spread Spectrum, rozprostřené spektrum), IEEE a/g modulaci OFDM, v IEEE n najdeme její modifikaci MIMO-OFDM (mj. obsahuje podporu komunikace s více anténami na jednom zařízení). odvrstva LC je odlišná pro různé podvrstvy MD (DSSS, OFDM, FHSS apod. na spodní podvrstvě), tj. rozlišujeme LC rámec pro DSSS, LC rámec pro OFDM, atd. odvrstva MAC na vrstvě L2 je pro a/b/g stejná, liší se pro n. Frekvence. O Wi-fi sice říkáme, že pracuje na frekvenci 2,4 GHz nebo 5 GHz, ale ve skutečnosti je rozsah frekvencí (frekvenční pásmo) trochu širší. Rozsah pro IEEE b (2,4 GHz) je na obrázku 6.2 a pro IEEE a na obrázku 6.3. Obrázek 6.2: Frekvenční spektrum a kanály pro IEEE b 1 1 Zdroj:

134 6.2 WI-FI 122 V rámci používaného spektra (například na frekvenci 2,4 GHz) je k dispozici více kanálů (na zmíněné frekvenci 13 14, podle momentální situace v přidělených frekvencích) s tím, že A komunikující v určitém kanálu ve skutečnosti zabírá 5 kanálů (jeden plus dva na každé straně). Na obrázku 6.2 jsou zvýrazněny tři kanály o šířce 22 MHz, které by se teoreticky neměly překrývat. U frekvence 2,4 MHz: Šířka kanálu je MHz (podle kvality zpracování signálu), ale středy frekvencí v těchto kanálech jsou od sebe vzdáleny jen 5 MHz. Možných kanálů pro IEEE g je celkem 14, ale v mnoha zemích jsou některé z nich zakázány. U nás lze používat kanály na frekvencích vypsaných v tabulce 6.1. Kanál Frekvence o MHz MHz MHz Kanál Frekvence o MHz MHz MHz Kanál Frekvence o MHz MHz MHz Kanál Frekvence o MHz MHz MHz MHz Tabulka 6.1: Kanály u frekvence 2,4 MHz využitelné v ČR Většina Wi-Fi routerů podporuje automatický výběr nejvhodnějších kanálů, což může problém s rušením okolních přístupových bodů trochu zmenšit. V konfiguraci však můžeme zvolit některý kanál ručně. Seznam kanálů a frekvencí najdeme například na WiFi kan%c3%a1l%c5%af pro WLAN a famy o n.pdf U frekvence 5 MHz: Šířka kanálu je stejná jako u frekvence 2,4 MHz, ale střední hodnoty frekvencí povolených kanálů jsou od sebe více vzdáleny, tedy je mnohem snazší najít skupinu kanálů s nepřekrývajícími se frekvencemi (viz tabulku 6.2). Navíc je na našem trhu poměrně málo zařízení pracujících na této frekvenci (tj. podporujících IEEE a), protože tento standard je poměrně mladý (mladší než b ) a pracuje na jiné frekvenci než nejoblíbenější další standardy. O podpoře IEEE a můžeme uvažovat především tehdy, když se v našem okolí (třeba u sousedů) vyskytuje více routerů na frekvenci 2,4 MHz a oblast je zarušená. Nesmíme však zapomenout, že do sítě lze připojit pouze zařízení podporující IEEE a. Kanál Frekvence o MHz MHz MHz Kanál Frekvence o MHz MHz MHz Kanál Frekvence o MHz MHz (děl. 4) MHz Tabulka 6.2: Kanály u frekvence 5 MHz využitelné v ČR Některá zařízení podle IEEE n dokážou pracovat na obou základních frekvencích zároveň 2,4 GHz i 5 GHz. Koupě takového zařízení má samozřejmě smysl jen tehdy, pokud bude mít

135 6.2 WI-FI 123 s kým komunikovat na frekvenci 5 GHz, což není až tak běžné. okud však tu možnost máme, měli bychom se zajímat o to, zda na obou těchto frekvencích dokáže komunikovat zároveň (tj. nejen se mezi nimi přepínat). Obrázek 6.3: Frekvenční spektrum a kanály pro IEEE a (rozděleno na dvě části) 2 Obrázek 6.4: Frekvenční spektrum a kanály pro IEEE ac (pro různé šířky kanálů) 3 Interference. Bezdrátová zařízení pracující na přibližně stejné frekvenci se navzájem ruší. Nezna- L mená to, že by tato zařízení vůbec nefungovala, ale důsledkem rušení jsou časté chyby v přenosech, tj. hodně (nedoručených či poškozených) paketů je třeba poslat znovu snižuje se rychlost přenosu (v nejhorším případě téměř na nulu). Teoreticky by bylo řešením navolit na blízkých A kanály tak, aby se dotyčné pětice co nejméně překrývaly (tj. 2 až 3 komunikující A, které se vidí a přitom se navzájem neruší), ale to je opravdu jen teorie. Ve skutečnosti (díky fyzikálním zákonům) běžná komunikace na kanálu zamořuje nejen dva okolní kanály na každé straně, ale bohužel i vzdálenější, i když v menší míře. Na 2 Zdroj: 3 Zdroj:

136 6.2 WI-FI 124 obrázku 6.2 vidíme tři zvýrazněné obloučky, které se nepřekrývají (1., 6. a 11. kanál). V reálu je spodní část obloučků značně roztáhnuta, šum zasahuje mnohem dále ( do ztracena ), jak vidíme na obrázku 6.5 (výstup z aplikace Wi-Spy Chanalyzer 4 pro jeden zdroj signálu podle IEEE g, v horní části si všimněte amplitudy v různých kanálech, kanály jsou označeny frekvencí v MHz). Obrázek 6.5: Wi-Spy Chanalyzer 4 Tj. vhodné rozdělení kanálů prakticky neexistuje, dva A se budou navzájem rušit, i když budou pracovat na dostatečně vzdálených kanálech. okud tedy nemáme jinou možnost, lze dva A umístit tak, aby se jejich dosahy prolínaly, kanály zvolíme co nejdál od sebe (nicméně automaticky se to tak obvykle také děje), ovšem musíme počítat s jistým snížením rychlosti. Je zajímavé, že za určitých okolností je paradoxně lepší pro více A zvolit tentýž nebo hodně blízký kanál, pro další informace viz diplomovou práci JEDLIČKA, T. Diagnostika bezdrátových sítí. Diplomová práce na Ústavu informatiky FF SU. Opava, Výše popsané rušení je také jedním z důvodů, proč při použití WDS musíme počítat s nižší propustností sítě. Wi-fi sít může být rušena také z jiných zdrojů (čímkoliv na blízké frekvenci), například mikrovlnnou troubou, naštěstí tento zdroj rušení nebývá používán dlouhodobě. Dalším zdrojem interferencí mohou být bluetooth zařízení, ale u nich je síla signálu velmi nízká, tedy na funkčnost Wi-fi sítě nemají významný vliv. Diagnostické nástroje pro fyzickou vrstvu umožňují zkoumat frekvenční spektrum. Většinou jde o komerční nástroje a nebo sice volně šiřitelné, ale vyžadující kompatibilní hardware (tj. záleží 4 Zdroj:

137 6.2 WI-FI 125 na štěstí, jestli takový máme). Z nejznámějších: NetStumbler 5 volně šiřitelný analyzátor spektra, Wi-Spy 6 komerční nástroj (analyzátor spektra včetně rozdělení na jednotlivé kanály, set se skládá z upravené Wi-fi sít ové karty do USB konektoru a speciálního softwaru), Chanalyzer 7 je sice komerční nástroj (jako součást Wi-Spy), ale existuje volně šiřitelná varianta; je to výkonný spektrální analyzátor (viz obrázek 6.5), AirMagnet WiFi Analyzer 8 je komerční nástroj funkčností podobný nástroji Wi-Spy, taktéž spektrální analyzátor (také vyžaduje speciální hardware), inssider 9 volně šiřitelný nástroj pracující pouze s Wi-fi sítěmi, na jednotlivých kanálech dokáže zobrazit existující sítě včetně jejich SSID, Xirrus Wi-fi Inspector 10 volně šiřitelný nástroj na zjišt ování dostupných A a jejich vlastností, Iperf 11 (taktéž volně šiřitelný, ovládá se v textovém shellu) slouží k ladění parametrů sítě a je to užitečný také jako pomocný nástroj při diagnostice sítě, dokáže odchytávat pakety (sniffer) a generovat přirozený provoz na síti (užitečné při testování), Jperf 12 je volně šiřitelná grafická nástavba programu Iperf (tj. většina lidí si s Iperfem instaluje Jperf). Existují nástroje určené vysloveně pro mapování signálu, například Ekahau Heatmapper, Ekahau Site Survey, Meraki Wi-fi Mapper, Aerohive Free Wi-fi lanner, Cisco Clean Air, VisiWave Site Survey, RF3D Wifilanner. Další informace: Úkoly okud máte k dispozici Wi-fi router, zjistěte, na jaké frekvenci pracuje (případně jestli podporuje obě základní pásma) a který kanál používá Antény a MIMO Signál se šíří kolmo na anténu. To bychom měli vzít v úvahu, když antény směrujeme. okud chceme signálem pokrýt jen jedno patro, anténa by měla směřovat nahoru nebo dolů, jestliže však chceme

138 6.2 WI-FI 126 signál šířit i do okolních pater nebo třeba na zahradu, anténu směrujeme šikmo. Existují i směrové antény, je také možné vytvořit z všesměrové antény směrovou. Jedná se o vysokofrekvenční zářič, jehož vliv na zdraví je často diskutován (Wi-Fi router taky nepatří do ložnice nebo dětského pokoje). roto bychom měli zkontrolovat sílu signálu a vhodně ji přizpůsobit (ostatně, příliš silný signál může způsobit rušení v okolních sítích). Také je doporučeno (lékaři) alespoň na noc Wi-Fi vypínat. Lepší ADSL routery nabízejí možnost vypnutí Wi-Fi při zachování ADSL připojení, toho bychom měli využít a Wi-Fi zapínat jen tehdy, když je potřebujeme. MIMO (Multiple Input Multiple Output) znamená využití více antén a hlavně algoritmus pro kombinování přijatého signálu z těchto antén. Tento algoritmus je velmi důležitý, protože jinak by se antény téhož zařízení navzájem rušily a tlumily a signál by se naopak zhoršil. Více antén může být na obou komunikujících zařízeních stanici i přístupovém bodu. Obecně platí, že čím víc antén, tím lepší signál (a také rychlejší komunikace), ale prakticky se počítá s omezením na 4 antény pro vnitřní oblast budov a 16 antén pro použití venku. MIMO pracuje na fyzické vrstvě. S více anténami se setkáváme u n, kde slouží také ke zvýšení přenosové kapacity v důsledku paralelního vysílání (max. 4 4 antény). MU-MIMO (Multi-User MIMO) je vylepšení používané ve WiMAX sítích a v bezdrátových zařízeních podle standardu IEEE ac. Algoritmus optimalizuje využití pásma s ohledem na fakt, že v síti komunikuje více uživatelů, je navázáno více spojení. ůvodní MIMO lze chápat jako SU-MIMO (Single-User MIMO), kde jeden A dokáže v jednom okamžiku komunikovat jen s jedním zařízením. Frekvence a licence. Frekvenční rozsahy kolem 2,4 GHz a 5 GHz patří k tzv. bezlicenčním pásmům. To znamená, že pokud chceme provozovat zařízení pracující v tomto pásmu, nemusíme žádat ČTÚ (Český telekomunikační úřad) o individuální oprávnění, udělení licence (u pásem, která podléhají povinnosti žádosti o individuální oprávnění, je povolení podmíněno splněním určitých požadavků na provoz zařízení). řesto je třeba určité limity dodržovat i v bezlicenčních pásmech, jejich použití je podmíněno dodržením podmínek Všeobecného oprávnění k využívání rádiových kmitočtů (celý název je delší, viz zdroj dále). Omezení jsou především ve smyslu dodržení maximálního vyzářeného výkonu antén, což má zmenšit pravděpodobnost vzájemného rušení zařízení a také jsou zde určité medicínské důvody (vysokofrekvenční záření je ve velkých dávkách nebezpečné pro lidský organismus). okud dojde k vzájemnému rušení zařízení, obvykle platí pravidlo kdo dřív přijde, může zůstat. V reálu bohužel často platí moudřejší ustoupí, nicméně možnost stížnosti na ČTÚ je. Text Všeobecného oprávnění k využívání rádiových kmitočtů a k provozování zařízení pro širokopásmový přenos dat na principu rozprostřeného spektra nebo OFDM v pásmech 2,4 GHz a 5 GHz najdeme například na R pdf. Úkoly 1. U dostupného Wi-fi routeru (nebo nějakého na webu, když nemáte žádný v dosahu) zjistěte: které režimy podporuje, jaké má SSID,

139 6.2 WI-FI 127 zda pro zabezpečení používá mechanismus WE, WA nebo WA2, které další bezpečnostní mechanismy podporuje a které jsou využívány. 2. Jak má být natočena anténa, pokud chceme pokrýt signálem pouze jedno patro, a jak má být natočena, pokud chceme pokrýt i okolní patra budovy? (ředpokládejme, že nemusíme řešit materiál zdí, jejich propustnost.) odvrstva MAC odvrstva MAC je pro IEEE a/b/g stejná, odlišná je MAC pro IEEE n (za účelem dalšího zvýšení rychlosti). Úkolem MAC v těchto standardech je zajištění přidružení stanice k přístupovému bodu, autentizace, přenos dat, provoz v režimech DCF, CF a RTS/CTS (viz dále). oužívá se časový multiplex, poloviční duplex (sloty jsou využívány vždy jen v jednom směru). Vysílat lze v několika režimech: 1. DCF (Distributed Coordination Function) je režim bez podpory priorit, je výchozí v IEEE oskytuje pouze službu best effort, tedy bez garance šířky pásma, zpoždění, bez QoS (lze doplnit podle standardu IEEE e). Mezi vysílané rámce jsou vkládány mezery, jejich délka odpovídá době povinného čekání s nasloucháním před začátkem vysílání. řijímající stanice po přijetí rámce čeká krátkou dobu a pak pošle potvrzení přijetí. okud stanice během naslouchání zjistí vysílání, čeká po dobu náhodně zvolenou z intervalu 0..velikost okna sváru. okud po uplynutí této doby opět detekuje vysílání, velikost okna sváru se zdvojnásobí (atd. i pro další intervaly). 2. CF (oint Coordination Function) je režim s podporou priorit. řístupový bod v pravidelných intervalech vysílá služební rámce (beacon rámce). Každý interval mezi dvěma beacony je rozdělen na dvě části doba boje o médium (contention) a doba bez boje o médium (contention-free). okud má stanice k odeslání prioritní data (QoS), může získat povolení k vysílání v době bez boje o médium. Tento režim nebývá moc často implementován, není použitelný v ad-hoc sítích. 3. RTS/CTS (Request to Send/Clear to Send) řeší problém skrytých stanic. Stanice připojené k jednomu přístupovému bodu se navzájem nemusejí vidět, důsledkem jsou pokusy o vysílání v době, kdy vysílá jiná stanice (nastane kolize). V tomto režimu musí každá stanice před začátkem vysílání odeslat žádost o rezervaci média (RTS) a čekat na potvrzení práva po stanovenou dobu vysílat (CTS). MAC rámec. Existují tři typy MAC rámců pro IEEE : 1. Datový rámec (Data Frame) 2. Řícicí rámec (Control Frame), používá se pro tyto účely: RTS/CTS rámce (viz dříve, režimy činnosti MAC) ACK potvrzení přijatých rámců

140 6.2 WI-FI Rámec pro správu (Management Frame), používá se pro tyto účely: beacon rámec (A se ohlašuje) probe, probe response (zjišt ování přítomnosti uzlů sítě a jejich možností) association request, association response (žádost o asociaci od stanice, odpověd ) re-association request, response (přechod k jinému A ve stejné ESS) diassociation (ukončení spojení k A) authentication (žádost o autentizaci uzlu), de-authentication Rámec, v oktetech: Frame Duration Address Address Address Sequence Address Data FCS Control ID Control 4 Frame Control, v bitech: rotocol Type Subtype To From More Retry ower More WE Order Version DS DS Frag Mgmt Data Tabulka 6.3: IEEE MAC rámec Struktura MAC rámce je naznačena na obrázku 6.3. Frame Control obsahuje například verzi protokolu, příznak opakovaného přenosu, zda je/není použito WE, příznak, zda budou následovat ještě další rámce, příznaky To DS a From DS, adresy atd. To, co obsahují jednotlivá pole, je ovlivněno momentálním zdrojem a cílem dotyčného rámce, rozlišujeme tyto případy: 1. sít ad-hoc, jednotlivá pole rámce mají tuto hodnotu: oba příznaky = 0 (odesílatel i příjemce jsou uzel) addr1 = MAC příjemce (Destination Address) addr2 = MAC odesílatele (Source Address)... To DS From DS... Addr 1 Addr 2 Addr 3... Addr 4... MAC MAC příjemce odesílatele 2. infrastruktura, přenos od A ke stanici, jednotlivá pole rámce mají tuto hodnotu: To DS=0 (příjemce je uzel), From DS=1 (odesílatel je A/DS) addr1 = MAC příjemce (stanice) addr2 = BSSID (MAC A), fyzický odesílatel adr3 = MAC odesílatele (stanice), logický odesílatel... To DS From DS... Addr 1 Addr 2 Addr 3... Addr 4... MAC BSSID MAC příjemce A odesílatele

141 6.2 WI-FI infrastruktura, přenos k A, jednotlivá pole rámce mají tuto hodnotu: To DS=1 (příjemce je A/DS), From DS=0 addr1 = BSSID A (fyzický příjemce) addr2 = MAC odesílatele addr3 = logický příjemce (MAC)... To DS From DS... Addr 1 Addr 2 Addr 3... Addr 4... BSSID MAC MAC A odesílatele příjemce 4. infrastruktura, přes DS, jednotlivá pole rámce mají tuto hodnotu: To DS=From DS= 1 addr1 = MAC (BSSID) přijímajícího A addr2 = MAC (BSSID) odesílajícího A addr3 = DA (MAC logického příjemce) addr4 = SA (MAC logického odesílatele)... To DS From DS... Addr 1 Addr 2 Addr 3... Addr 4... BSSID BSSID MAC MAC příjimají- odesílajípříjemce odesílatele cího A cího A Diagnostické nástroje pro MAC podvrstvu jsou především sniffery, tj. programy, které odchytávají pakety, umožňují je analyzovat či vizualizovat a případně nabízejí další doprovodné funkce. Vpodstatě se tyto nástroje používají souhrnně pro drátové i bezdrátové sítě, protože u nich významnější odlišnosti na MAC nenajdeme (až na drobnosti, viz formát MAC rámce výše). Sít ové rozhraní, které je takto analyzováno, by mělo běžet v promiskuitním módu, to znamená, že by mělo přijímat všechny rámce včetně těch, ve kterých je cílová adresa jiná (určených jinému uzlu v síti). V případě nástrojů pro bezdrátové sítě se také setkáváme s nástroji pro prolamování zapomenutých hesel/we, apod. Nejznámějším a nejpopulárnějším volně šiřitelným snifferem je Wireshark 13 (původně Ethereal). Taktéž oblíbený volně šiřitelný je Kismet 14 detektor sítí, sniffer a potenciálně IDS (budeme se učit později). Další jsou komerční Eye.A. a Cascade ilot Úvod do šifrování ři šifrování potřebujeme šifrovací algoritmus = statická součást procesu šifrování proměnné složky postupu obvykle je to šifrovací klíč, heslo apod. Na obou těchto složkách závisí výsledné zabezpečení šifrovaných dat potřebujeme dostatečně kvalitní šifrovací algoritmus a dostatečně silný klíč/heslo

142 6.2 WI-FI 130 Existují dva základní typy šifrování: 1. symetrické 1 klíč (tentýž) pro šifrování i dešifrování 2. asymetrické používají se dva odlišné klíče (soukromý a veřejný) 3. hybridní kombinuje oba předchozí přístupy Nejdřív se podíváme na symetrické šifrování, kdy máme pouze jeden klíč pro šifrování i dešifrování. ostup při symetrickém šifrování je následující: odesílatel zašifruje data pomocí klíče, odešle příjemce dešifruje data pomocí téhož klíče Výhodou je rychlost šifrování a dešifrování, nevýhodou je problém s bezpečnou distribucí klíče. roto symetrické šifrování používáme tehdy, když lze použít dostatečně zabezpečený kanál pro přenos klíče druhé straně (osobním předáním nebo použitím jiné šifrovací metody). Typickými zástupci symetrického šifrování jsou DES, AES, RC4. Asymetrické šifrování využívá dva klíče a je založeno na jednocestné funkci (tj. když na zašifrovaná data použijeme inverzní funkci, nedostaneme tatáž data, která jsme měli před původním šifrováním). oužíváme tyto dva klíče: soukromý klíč vlastní příjemce šifrované zprávy veřejný klíč byl distribuován odesílateli zprávy (vygeneroval ho příjemce coby párový klíč ke svému soukromému klíči) Odesílatel zprávu zašifruje veřejným klíčem, který obdržel od příjemce zprávy, odešle, příjemce zprávu dešifruje svým soukromým klíčem. Výhodou je, že veřejný klíč lze poslat i nezabezpečeným kanálem (jím zašifrovaná data nelze dešifrovat bez soukromého klíče), nevýhodou je výrazně vyšší výpočetní (časová) náročnost šifrování. Typickými zástupci jsou RSA, G, mechanismus se využívá pro certifikáty, digitální podpisy. Hybridní šifrování je kombinací obou předchozích postupů. Je dvoustupňové: první stupeň = symetrické šifrování (odesílatel zašifruje data pomocí rychlého symetrického klíče) druhý stupeň = asymetrické šifrování (symetrický klíč zašifruje asymetricky veřejným klíčem příjemce) Samotná data jsou šifrovaná symetricky (velký objem výhoda rychlosti symetrie), naproti tomu symetrický klíč (ted v roli dat ) je šifrovaný asymetricky (malý objem rychlost není tak důležitá). Hybridní šifrování si tedy bere z obou možností to lepší (ze symetrického rychlost, z asymetrického vyšší bezpečnost). Typicky se používá pro delší komunikaci, kde se posílá více dat (postupně, s navázáním spojení) relace. Symetrický klíč se šifruje asymetrickým postupem pouze jednou pro celou relaci, pak během komunikace v rámci relace se používá pouze rychlé symetrické šifrování.

143 6.2 WI-FI AAA AAA (autentizace, autorizace, účtování accounting) probíhá při připojování uzlu do sítě. Auten- tizace je ověřování a potvrzování totožnosti komunikujících stran (pokud možno obou). Zdůvodu zvýšení bezpečnosti je možné použít autentizaci za asistence třetí důvěryhodné strany (trusted third party). Autentizace může být otevřená (prakticky nic se nekontroluje) nebo podle autentizačního sdíleného klíče. rvní typ je charakteristický pro veřejné hotspoty. Autorizace znamená určení konkrétních přístupových oprávnění přihlašovaného uživatele. o autentizaci a autorizaci je stanice přidružena k přístupovému bodu a může komunikovat. Účtování je zaznamenávání všech činností provedených uživatelem v systému a případné následné reakce. Autentizační klíč se používá při autentizaci při přihlašování do sítě, a dále při šifrování komunikace. Typy: WE zastaralý, dávno prolomen WA používá WE klíče, ale dynamicky je mění (protokol TKI), autentizace pomocí RADIUS Serveru (přihlašování jménem a heslem) nebo klíče SK (re-shared Key) WA2 šifrování AES WE (Wired Equivalent rivacy) je mechanismus zabezpečení, který poskytuje pouze základní stupeň bezpečnosti. Jeho jedinou výhodou je plná kompatibilita se všemi Wi-Fi zařízeními, a proto je také obvykle nastaven jako výchozí. oužívá stejné šifrování pro autentizaci i přenos dat možnosti: bez šifrování (plně otevřená sít ) symetrická šifra RC4, 40bitový statický klíč + 24bitový proměnný inicializační vektor = 64bitový RC4 klíč symetrická šifra RC4, 104bitový statický klíč + 24bitový proměnný inicializační vektor = 128bitový RC4 klíč IV (inicializační) vektor se mění pro každý paket příjemce musí mít možnost IV vektor zjistit. Teoreticky může existovat sdílený algoritmus pro generování IV vektoru, ale prakticky ve WE je IV vektor součástí nešifrované hlavičky WE paketu!!! (hned první prvek uvnitř MAC rámce), záhlaví se nešifruje. Dalším problémem je, že autentizace je jen jednostranná (stanice, resp. její sít ová karta, se autentizuje přístupovému bodu, ale A se neautentizuje stanici). řipojení stanice k A probíhá takto: Stanice odešle žádost o připojení, přístupový bod odpoví odesláním náhodně vygenerované sekvence znaků (bez šifrování), stanice tuto sekvenci zašifruje svým tajným klíčem a zašle zpět přístupovému bodu, přístupový bod také provede šifrování stejné sekvence, pokud se výsledky shodují, stanice může být přidružena k síti.

144 6.2 WI-FI 132 WE je snadno zneužitelný dokonce několika různými způsoby, kromě jiného také díky příliš krátké sekvenci IV vektoru. Dále při autentizaci je zasílána ověřovací sekvence a hned poté její zašifrovaná podoba, tedy při tak krátké délce tajného klíče není problém tajný klíč postupně odhalit (pro tento účel lze dokonce použít volně šiřitelné nástroje, WE crackery, například AirCracku to trvá několik minut). rotože je to obvykle výchozí typ zabezpečení v přístupových bodech, je vhodné hned po koupi změnit typ zabezpečení na některý jiný x je pokusem o zvýšení bezpečnosti WE. Jedná se o mechanismus autentizace uživatelů, distribuce klíčů a zajištění integrity zpráv. rincipem je zavedení autentizačního serveru, kterým je obvykle RADIUS (Remote Authentication Dial-In Usr Service). RADIUS pracuje ve struktuře typu klient-server, kde samotný RADIUS je server, klienty jsou přístupové servery (autentizátoři, například Wi-Fi přístupové body), ke kterým se přihlašují uživatelé (tj. RADIUS sít je tvořena RADIUS serverem a přístupovými servery, stanice do ní nepatří). K autentizaci klientů u serveru se používá sdílené tajné heslo, které se nikdy nepřenáší po síti. Naopak uživatelé se u RADIUS klienta (přístupového serveru) autentizují heslem, které se přenáší v zašifrované podobě. Komunikace: uživatel požádá o připojení, přístupový server si vyžádá přihlašovací jméno a heslo, přístupový server odešle RADIUS serveru (přes lokální nebo rozlehlou sít ) žádost o připojení (RADIUS Access Request), RADIUS server ověří platnost přihlašovacího jména a hesla (dostal je v zašifrované podobě), případně si vyžádá další informace, také může zvážit např. MAC adresu a další filtrovací kritéria, podle výsledku ověření odešle přístupovému serveru souhlas nebo odmítnutí (RADIUS Access Accept/Deny). Komunikace je naznačena na obrázku 6.6. V komunikaci mezi RADIUS serverem a klienty je možné použít v rámci protokolu RADIUS zabezpečení ISec, v autentizační komunikaci mezi RADIUS klientem a stanicí (případně také mezi RADIUS serverem a klientem) se běžně používá některá z těchto možností: EA-TLS (Microsoft) v kombinaci s protokolem TLS a mechanismem KI, certifikáty X.509 (místo jména a hesla), dostupný na většině verzí Windows, MacOS X LEA (Cisco) dynamické klíče WE jednorázové pro každou relaci, relace je časově omezená (několik minut), oboustranná autentizace EA-MD5 ze jména a hesla vytvoří MD5 hash, používá pouze statické klíče WE, nejméně bezpečná možnost další EA-TTLS, EA-SK, EA-IKEv2, atd. EA lze zapouzdřovat, například EA stanovuje zapouzdření (jakéhokoliv) EA do zabezpečeného tunelu. IEEE 802.1x je sice lepší než samotný WE, ale přesto (především při použití hesel, která nejsou dostatečně silná) je prolomitelný, náchylný především k útokům typu DoS (Denial of Service)

145 6.2 WI-FI 133 C Wi-fi A (RADIUS klient) RADIUS server EAOL Start Žádost o přístup EA Request/Id Autorizuj se EA Response/ID Aut.informace (U) RADIUS Access Request/ID Aut. informace (U) EA Request/OT Další informace? RADIUS Acces-Challenge Další informace? EA Response/OT Další informace (U) RADIUS Access Request/OT Další informace (U) EA Success Spojeno (U) RADIUS Acces-Accept Spojeno (U) Využívání portu, pro který bylo zařízení autorizováno. EAOL Logoff Ukončení relace Obrázek 6.6: Autentizace podle IEEE 802.1x (RADIUS) a Man-in-the-Middle. Hlavním přínosem jsou dynamické klíče a zavedení tříprvkové autentizace (autentizační server). Existuje i volně dostupný software pro RADIUS server, například open-source projekt Free- RADIUS. Jako rozhraní k FreeRADIUSu se často používá daloradius. 15 Na stanici musí běžet klientská aplikace, ale ta je běžnou součástí operačních systémů. WA (Wi-Fi rotected Access) je dočasné řešení, které vzniklo před dokončením standardu IEEE i (WA2). WA vznikl ořezáním připravovaného WA2 na pouze ty prvky, které nevyžadovaly změny v hardwaru, změny v softwaru (vč. firmwaru sít ových karet) se implementují snadněji a rychleji. Je kompatibilní jak s WE, tak i se svým nástupcem WA2. Šifrování probíhá podobně jako u WE (používá se RC4), ale IV vektor je 48bitový, klíč 128bitový. odpora šifrování je zajištěna protokolem TKI (Temporal Key Integrity rotocol), který provádí dynamickou správu šifrovacích klíčů (celý klíč se mění pro každý paket) to je důležitá změna oproti statickým (neměnným) klíčům u WE. Integrita zpráv je zajištěna mechanismem MIC (Message-Integrity Check, taky Michael) to je mechanismus pro kontrolu integrity zpráv (definovaný v protokolu TKI); na konec šifrované části rámce před kontrolní součet se přidá 64 kontrolních bitů (MIC) vytvořených z cílové a zdrojové MAC adresy, dat, pořadového čísla paketu a náhodné hodnoty (příp. priority)

146 6.2 WI-FI 134 Vpodstatě se jedná o jakýsi digitální podpis paketu. Existují dvě varianty WA: 1. WA-Enterprise (pro firemní užití) používá se v kombinaci s IEEE 802.1X RADIUS 2. WA-ersonal (pro domácnosti, SOHO segment; také se označuje WA-SK) autentizace s provádí jen pomocí sdíleného klíče SK, není třeba mít speciálně určený server pro běh RADIUSu. WA-SK (re-shared Key) jednoduše funguje tak, že uživatel zadává heslo 8-63 ASCII znaků (nebo 64 hex. číslic). WA je bezpochyby lepším řešením než WE, ale protože se vlastně jedná jen o vylepšení vlastností WE+802.1X s přidáním kontroly integrity zpráv, není to ideální řešení. Nicméně pro domácí A může být dostačující, pokud zvolíme dostatečně silné heslo. WA2 (IEEE i) používá místo TKI protokol CCM s šifrováním AES (volitelně je možno použít TKI s šifrováním RC4, pro zpětnou kompatibilitu se staršími zařízeními). CCM je zkratka z Counter-mode CBC (Cipher Block Chaining) MAC (Message Authentication Code) rotocol. Autentizace probíhá bud přes IEEE 802.1X (WA2-Enterprise) nebo v jednodušším případě přes SK stejně jako u WA (WA2-SK, ersonal). V datových rámcích se místo slabého RC4 používá šifrování AES na 128 bitech, MIC pole o délce 64 bitů a číslování paketů. Narozdíl od WA je možné zabránit útokům typu Man-in-the-Middle, ale nedokáže zcela zabránit existenci neautorizovaných přístupových bodů. ro autentizaci existuje více možností BC, IN, NFC, atd. Tlačítko WS (BC ush Button) je metoda autentizace pro maximální zjednodušení připojo- vání zařízení, která nejsou zrovna počítačového typu. Na A zmáčkneme tlačítko WS (nebo QSS nebo podobně hardwarové nebo softwarové tlačítko), pak po několik desítek sekund A skenuje okolí a hledá nové stanice. Stejné tlačítko zmáčkneme na zařízení, které chceme připojit (lednička, televize apod.). A detekuje nové zařízení, automaticky provede autentizaci a asociaci. ostup není úplně bez rizika: několik desítek sekund je sít prakticky bez ochrany, naštěstí se tento postup obvykle neprovádí příliš často. WS přes IN je podobná metoda taktéž určená pro jednoduché připojování zařízení. Na připo- jovaném zařízení zjistíme IN (v administraci zařízení nebo na nálepce), IN zadáme v administraci A, zařízení si opět vše automaticky vyjedná s A, případně může být třeba zadat přístupové údaje. Riziko se sice zdá menší než u předchozího postupu, ale je třeba si uvědomit následující: A s podporou tohoto typu WS naslouchá neustále IN je 8místné číslo, poslední číslice je kontrolním součtem pokud IN zadáme špatně, A vrací informaci, která polovina INu je špatně! V souhrnu se jedná o závažnou bezpečnostní díru, která je ve firmwaru routeru. Částečně se dá řešit tehdy, pokud v administraci routeru existuje volba vypnutí skenování zařízení připojovaných přes WS (zapínali bychom jen v případě potřeby).

147 6.2 WI-FI Zabezpečení Wi-Fi sítí Kromě nastavení dostatečně bezpečného šifrování (WA2) máme ještě další možnosti. SSID se dá také považovat za možnost zabezpečení sítě. Standardně sít vysílá svoje SSID (broad- cast), ale nemusí (blokování vysílání SSID), pak není běžným způsobem viditelná v seznamu dostupných sítí (soukromá sít ). Skrývání SSID však odporuje specifikaci Wi-Fi, navíc může přinést komplikace sousedům (pak nemohou přijít na to, proč je oblast tak zarušená, i když žádnou sít nevidí). Tuto ochranu (skrytí SSID) lze snadno překonat když se kdokoliv přihlašuje, přenáší se SSID a lze ho zachytit, stačí jen trochu trpělivosti při naslouchání. Doporučuje se však alespoň přenastavit si SSID, protože podle jeho výchozí hodnoty se dá poznat výrobce (hacker pak snadněji odhaduje slabá místa, bezpečnostní mezery, výchozí přihlašovací jméno a heslo do administrace routeru, atd.). Filtrování MAC adres může být použito ve formě whitelistu nebo blacklistu. řístupové body většinou umožňují nastavit blacklist (MAC adresy, kterým je přihlášení odmítnuto) nebo whitelist (přihlášení povoleno) MAC adres a tak určit, které stanice se nemohou/mohou přihlásit. Blacklist (a vlastně i whitelist) se dá překonat změnou MAC adresy. MAC adresy se totiž přenášejí v nezašifrované podobě, a tedy při použití whitelistu není problém zachytit některou povolenou adresu. řístupové údaje implicitně nastavené z továrny je vhodné změnit. Jedná se o I adresu, SSID, ale především o přihlašovací údaje (pro administraci přístupového bodu). okud chceme konfigurovat nastavení přístupového bodu, obvykle to provádíme přes webové rozhraní. Je třeba zadat I adresu zařízení do adresového řádku internetového prohlížeče a dále přihlašovací jméno a heslo. Hned po zprovoznění přístupového bodu bychom měli změnit minimálně přístupové heslo (jméno a heslo bývají obvykle admin admin, cisco cisco, root, 1234, airlive, password, public, apod.). ro monitorování WLAN je možné použít například tyto nástroje (volně dostupné): NetStumbler identifikuje přístupové body, dá se použít pro zjištění neautorizovaných přístupových bodů nebo možných zdrojů rušení vlastní sítě Ethereal analyzátor LAN sítí, at už drátových nebo bezdrátových AirSnort monitoring sítě Kismet monitoring sítě, IDS (Intrusion Detection System) U uživatelů se můžeme setkat s tvrzením Kdo by se asi chtěl nabourat zrovna do mého počítače?. Kdo? Spousta lidí (nebo softwarových agentů). V současné době existují rozsáhlé sítě botů (botnety) bot je malware, který z počítače udělá zombie, spícího agenta. Botnety jsou zneužívány například k rozesílání spamu nebo DDoS útokům. V poslední době nejsou zrovna nezajímavá také osobní data Obrázek 6.7: Úryvek z bezpečnostního logu

148 6.2 WI-FI 136 uživatelů, která se dokonce často vážou k jejich zaměstnání nebo jde o přístupové údaje a certifikáty k internetovému bankovnictví. Součástí ADSL Wi-Fi routerů bývá hardwarový firewall, ten bychom rozhodně měli využívat jako doplněk k softwarovému firewallu, který bezpochyby máme nainstalován a řádně aktualizován (a také vedle antiviru a antispywaru). Další informace o zabezpečení bezdrátové sítě: wifi/hakin9 wifi CZ.pdf %C3%A1st-wpa-wpa archive.html szarkova.pdf? id=160&fid=260&type=application%2fpdf semestralky/charakteristiky siti wlan.pdf Wi-fi čtvrté a páté generace Většina toho, co jsme se až dosud naučili o Wi-fi sítích, platilo pro Wi-fi sítě třetí generace (nebo starší) v podstatě IEEE g a starší. Některé zdroje řadí do třetí generace také IEEE n, jiné zdroje je řadí již do generace čtvrté. Sítě čtvrté generace. Ve firemním prostředí se začínají prosazovat sítě čtvrté generace (takto ten pojem budeme chápat v následujícím textu), kde se změny oproti starší generaci projevují u mezilehlých zařízení (routerů) tedy koncová zařízení (sít ové Wi-fi karty v počítačích apod.) nemají problémy s kompatibilitou. V případě nutnosti pokrytí větší oblasti signálem se místo klasických částečně se překrývajících buněk používají blankety. Blankety jsou definovány na fyzické vrstvě a na této vrstvě také dochází k oddělení jednotlivých služeb. Jeden blanket funguje přes všechny A v síti a využívá jeden jediný kanál (taktéž pro všechny A), přesto se jednotlivé A navzájem neruší. Dokonce při zvýšení hustoty A se zvyšuje kvalita a přenosová rychlost signálu (u předchozí generace by se A na společném kanále navzájem rušily). okud chceme vytvořit více fyzicky oddělených sítí (s překrývajícími se oblastmi), vytvoříme pro ně samostatné blankety. Zařízení v rámci jednoho blanketu pracují na stejném kanálu, zařízení z různých blanketů pracují na různých kanálech, tedy teoreticky nedochází k ovlivnění komunikace mezi blankety (blanketů nesmí být moc). V síti je jediný centrální prvek, ostatní A fungují v ultra-tenkém režimu, tedy pouze přeposílají signál, jsou k centrálnímu prvku připojeny přes ethernetovou kabeláž (včetně napájení přes oe). Z pohledu uživatelského zařízení se celá sít mezilehlých prvků (konkrétněji jeden blanket) jeví jako jeden jediný A s jedinou MAC adresou. Roaming (přecházení mezi A v tomtéž blanketu, přehlašování se mezi A) je zcela transparentní, plynulý a bezproblémový. Souhrnně o Wi-fi čtvrté generace: Jsou kompatibilní s běžnými zařízeními IEEE a/b/g/n.

149 6.3 WIMAX 137 Existuje jeden centrální prvek, který vše řídí. Čím víc A, tím lepší pokrytí, signál a rychlost, navzájem se neruší. Kvalitní zabezpečení (řešení je pro firemní sítě). roblémem tohoto řešení je cena (zejména cena centrálního prvku, v řádu cca desítky tisíc korun), proto se využívá pouze tam, kde jsou tyto náklady odůvodnitelné (rozsáhlá dobře pokrytá oblast, hodně A na jeden centrální prvek), typicky v nemocnicích, frekventovaných skladovacích prostorách, některých firmách. Rozhodně se nejedná o řešení pro SOHO. Sítě páté generace. Během roku 2012 se do obchodů dastala zařízení pracující podle standardu IEEE ac. Tato zařízení mají komunikovat na frekvencích kolem 5 GHz, které ještě nejsou tak zarušené jako pásmo 2,4 GHz. Můžeme se také setkat s označením 5G Wi-Fi, které naráží jak na generaci, tak i na použité pásmo. O tomto standardu jsme se dozvěděli už v předchozím textu (viz kap , str. 120). Další informace o Wi-fi: doc-121ab59ec9127b44c12570a60045c902.html doc-d7a489a18b634f84c ecae.html document= WiMAX Vlastnosti WiMAX (IEEE , Worldwide Interoperability for Microwave Access) je vlastně bezdrátová metropolitní sít (WMAN Wireless MAN). Jejím účelem je především poskytnout rychlý a spolehlivý přístup k Internetu, tedy technologie poslední míle. Důležitou vlastností je také přímá podpora QoS (to je jedna z odlišností oproti Wi-Fi, kde se setkáváme pouze s best effort, QoS je možné zavést až dodatečně pomocí IEEE e). Na standardizaci a certifikaci produktů se podílí WiMAX Forum, které je sdružením výrobců WiMAX zařízení (je to obdoba Wi-Fi Alliance). ůvodní specifikace IEEE z roku 2001 stanovila použití kmitočtového pásma GHz, které však vyžaduje přímou viditelnost komunikujících uzlů. roto byla v roce 2003 tato specifikace zcela nahrazena novou, kde se využívá kmitočtové pásmo 2 11 GHz (u nás nejčastěji 3.5 GHz) nevyžadující přímou viditelnost komunikujících uzlů (NLOS, Non Line of Sight), využívá odrazů od okolních objektů. ásmo je licencované, což se projevuje i na cenách zařízení a připojení. Roku 2005 se objevila možnost mobility (handover, roaming při pohybu do rychlosti max. 150 km/h) ve standardu IEEE e-2005, do té doby nebylo možné zajistit plynulé předávání pohybujících se uzlů mezi základnovými stanicemi.

150 6.3 WIMAX 138 Teoretický dosah signálu je 50 km, v běžné zástavbě se počítá s dosahem 3 5 km. To je pořád víc než Wi-Fi, kde je obvyklý dosah maximálně v desítkách metrů. řenosová kapacita je Mb/s (podle konkrétního standardu), tu však sdílejí všechny připojené stanice. Na fyzické vrstvě se používá OFDM nebo OFDMA (OFDM Access). rvní zmíněné už známe (stovky nosných frekvencí subkanálů, vzájemně ortogonálních, aby je bylo možné oddělit). OFDMA je podobné, jen zatímco v OFDM jsou všechny subkanály jediného kanálu na frekvencích za sebou (celý kanál je vyhrazen jedinému uživateli), v OFDMA jsou kanály jednoho subkanálu rozprostřeny v celém spektru a tedy mezi subkanály jednoho uživatele lze vybírat ty, které jsou na v tu chvíli nejkvalitnějších frekvencích. Další vylepšení, S-OFDMA (Scalable OFDMA), má zlepšit kvalitu signálu při NLOS (bez přímé viditelnosti) Zařízení V současné době se setkáváme se zařízeními označenými jako WiMAX nebo prewimax. rewi- MAX zařízení odpovídají specifikaci IEEE , ale není u nich potvrzena interoperatibilita se zařízeními stejného typu od ostatních výrobců. Jedním z nejznámějších dodavatelů WiMAX zařízení je firma Alvarion, z dalších například RedMAX nebo AirSpan. Hlavním článkem sítě je základnová stanice umístěná obvykle na vyvýšeném místě, což je většinou vysoká budova. Další úrovní v hierarchii jsou vnější zařízení zahrnující anténu, ta se obvykle umíst ují na střechy nebo venkovní zdi domů. oslední úrovní jsou vnitřní koncová zařízení. Existují také zařízení, která v sobě sdružují obě posledně jmenovaná, tedy vnitřní koncová zařízení s (integrovanou) anténou, ta však vyžadují lepší pokrytí. V komunikaci lze použít časový (TDD) i frekvenční (FDD) duplex (u nás jsou povolena zařízení používající FDD) nemluvíme zde o multiplexu, protože komunikace je sice obousměrná, ale v jednom okamžiku na dané frekvenci (ve skutečnosti ve dvou kanálech, jednom pro každý směr) jen mezi dvěma uzly. Způsob využití signálu je poměrně volný, záleží na poskytovateli připojení, jak se se svými zákazníky dohodne. Spojení může být symetrické nebo asymetrické, je smluvně garantována konkrétní kvalita služby (QoS). V současné době je WiMAX provozován na více místech v ČR, ale spíše lokálně v menších oblastech (spíše jde o oblasti ve velkých městech, kde se očekává firemní klientela). Kanály 1 14 (o šířce 3,5 MHz) jsou určeny pro lokální operátory, kanály pro celoplošné operátory. ro WiMAX je typická centralizovanost, jejímž cílem je především odstranit nebezpečí kolizí. Celá komunikace s koncovými uzly je vždy řízena základnovou stanicí, ta určuje, kdy kdo bude vysílat, přiděluje kanály pro komunikaci. Další informace o WiMAX: doc-29b0470be0f689d6c125740c002f6883.html content&task=view&id=233&itemid=33

151 6.4 MOBILNÍ TECHNOLOGIE 139 art+two+wimax+hysical+layer/chapter+5+digital+modulation+ofdm+and+ OFDMA/5.3+OFDMA+and+Its+Variant+SOFDMA/ 6.4 Mobilní technologie Mobilní sítě jsou především charakteristické svou mobilitou, tedy stanice, která je součástí mobilní sítě, se může pohybovat se zachováním signálu. V této sekci se budeme zabývat především mobilními WAN, třebaže existují řešení i pro menší sítě rvní generace (1G) rvní generace mobilních datových sítí byla ještě analogová. Z toho důvodu se také využíval frekvenční multiplex (FDMA), každý připojený uživatel má přidělen jeden kanál, a to výhradně. rvní komerční mobilní systém byl NMT (Nordic Mobile Telephone) fungující nejdřív v Saudské Arábii a následně v severských zemích (Norsko, Švédsko) od roku Do první generace také patří americký AMS (Analog Mobile hone System) z roku 1982 a TACS (Total Access Communications System) vytvořený původně pro Velkou Británii, ale později se rozšířil především v Asii Druhá generace (2G) Sítě druhé generace pořád pracují na principu přepojování okruhů. Důsledkem je obvyklá tarifikace odvozená od doby připojení (jde o vytáčené připojení). GSM. Na začátku 90. let (1992) vznikla druhá generace, která je dodnes funkční (vedle dalších generací). Byl zaveden digitální přenos dat, ale sít je optimalizována především pro hlas, tedy propustnost je na velmi nízké úrovni. rvním zástupcem této generace je systém GSM (Global System for Mobile Communications). řestože jde o digitální sít, pořád využívá přepojování okruhů, a to s časovým (TDMA) i frekvenčním (FDMA) multiplexem kombinace TDMA over FDMA (časové sloty se přenášejí vždy v rámci určité frekvence). GSM pracuje na třech různých frekvencích, hovoříme o GSM900 (frekvence 900 MHz), GSM1800 (1800 MHz) a GSM1900 (1900 MHz). GSM sít se skládá z buněk, každá buňka má svou základnovou stanici (base transceiver station). Základnové stanice jsou napojeny na páteřní sít skládající se z těchto typů uzlů: BSC (Base Station Controller) řídicí uzel základnových stanic, jeden BSC spravuje několik základnových stanic (do počtu 9), komunikace se základnovými stanicemi může probíhat na některé rádiové frekvenci nebo s využitím kabelů (optických či metalických), MSC (Mobile Switching Center) mobilní ústředna, k ní je připojeno více BSC (obvykle kabely), některé MSC slouží jako brány do pozemní telekomunikační sítě nebo jiné mobilní sítě, každá MSC vede seznam připojených mobilních stanic (pokud stanice opustí oblast spravovanou touto MSC, je její záznam vymazán)

152 6.4 MOBILNÍ TECHNOLOGIE 140 další podpůrné uzly sítě, například autentizační databáze (informace o všech účastnících, kteří mohou být připojeni do sítě), registr stanic (jsou zde uloženy identifikátory povolených stanic, dále identifikátory, o kterých je známo, že byly ukradeny, a dále identifikátory porouchaných stanic), SMS centrum, atd. operační a administrativní subsystém (OSS, Operation SubSystem) provádí administraci a údržbu celé sítě, zajišt uje registraci a tarifikaci, používá registry a databáze z předchozího bodu, není přímou součástí sítě. Uzly MSC a další podpůrné uzly sítě jsou hlavní částí páteřní sítě, která se souhrnně nazývá Network Switching Subsystem (NSS). Celou sít tedy můžeme rozdělit do tří vrstev vrstva základnových stanic s jejich řídicími uzly, vrstva NSS a vrstva OSS. Základnové stanice jsou rozmístěny tak, aby se buňky (přibližně kruhové, i když jsou zobrazovány jako šestiúhelníky plástve ) překrývaly. To však znamená, že dvojice buněk, které jsou přímo vedle sebe, nesmí používat tytéž komunikační kanály, tytéž kanály může používat až buňka natolik vzdálená, aby nedocházelo k inferencím. Rozdělení kanálů se provádí metodou podobnou obarvování, kterou známe z teorie grafů. ři plném pokrytí signálem je možná plná mobilita stanice, handover předávání stanice mezi jednotlivými buňkami. Oproti první generaci je zde především přechod na digitální technologii, dále větší odolnost proti rušení a odposlechu, snadné napojení na pozemní telekomunikační systémy, a také vyšší rychlost. Teoretická rychlost je 13 kb/s pro každý směr, reálně 9.6 kb/s. CDMA. Další technologií, kterou můžeme zařadit do druhé generace, je CDMA (Code Division Multiple Access). Ve specifikaci CDMA se sice počítá s přenosem dat i hlasu, ale u nás je CDMA poskytována jen jako datová sít. Oproti GSM má výhodu nižších frekvencí (450 MHz), základnové stanice CDMA mohou být od sebe více vzdáleny. Teoretická rychlost uploadu je 1024 kb/s, té však lze dosáhnout jen v místech s výkonnějšími základnovými stanicemi (například v raze nebo v Brně). Download je o něco rychlejší (až 3.1 Mb/s, v reálu také méně, několik set kb/s), jde o asymetrický přenos. CDMA používá jiný typ multiplexu kódový. Spočívá v tom, že v rámci jednoho sdíleného média se přenáší více digitálních signálů, které jsou rozlišovány pomocí kódování (tedy ne rozdělením do časových slotů ani pouhým rozvržením do frekvencí) řechodová generace (2.5G) Zatímco mobilní sítě druhé generace byly založeny na přepínání okruhů, v přechodové generaci se již používá přepínání paketů, které je pro přenos dat výhodnější. Typická tarifikace je bud za přenesená data nebo paušál, netarifikuje se připojená doba (tj. nejedná se o vytáčené připojení). GRS. rvní mobilní technologií přechodové generace je GRS (General acket Radio Service). Jedná se o nástavbu GSM (technicky ne nutně GSM, může být vázána na jiné typy sítí), která umožňuje jedné stanici využívat až 8 GSM kanálů (pokud jsou zrovna volné). Nejedná se ještě o širokopásmovou technologii, ale díky rozšíření pásma až na 8násobek jsou přenosové rychlosti

153 6.4 MOBILNÍ TECHNOLOGIE 141 vyšší. Jsou využívány ty z osmi GSM kanálů, které jsou právě volné, tedy přenosová kapacita sítě je využívána účelněji, kanály nejsou blokovány po celou dobu připojení. Aby fungovalo napojení na GSM, bylo nutné do sítě GSM přidat ještě jednu vrstvu. Stanice BSC dále zůstávají napojeny na MSC, ale navíc jsou napojeny na sít uzlů označovaných SGSN (Serving GRS Support Node) podpůrných uzlů sítě GRS (obdoba MSC ústředen), a dále součástí přídavné páteřní sítě jsou uzly GGSN (Gateway GRS Support Node) sloužící jako brány do datové paketové I sítě. Uzly SGSN a GGSN mezi sebou komunikují protokolem GT (GRS Tunelling rotocol), což je aplikační protokol využívající protokoly TC a UD. Uzly SGSN neslouží pouze pro přenos, je zde implementována také správa páteřní sítě a tarifikace. Z toho důvodu přistupují také do specifických uzlů a databází sítě GSM. řenosové rychlosti se odvozují od použitého kódování. Čím silnější kódování, tím nižší rychlost. Celková možná dosažená rychlost je 22.8 kb/s na jeden kanál, ale část rychlosti je pohlcena režií kódování. ři nejsilnějším kódování (CS-1) dosahujeme rychlosti maximálně kolem 9 kb/s na kanál, při nejslabším kódování (CS-4) maximálně kolem 21 kb/s na kanál. Volba kódování je zcela automatická, závisí na vzdálenosti stanice od základnové stanice (čím dál je stanice, tím silnější musí být kódování). Dále je rychlost přenosu ovlivněna množstvím kanálů, které stanice může využívat (maximálně 8 pro každý směr). V základním nastavení musí uživatel GRS vzít zavděk tím, co zbude po uživatelích GSM hlasových přenosů, ale v některých typech tarifů se můžeme setkat s garancí určitého počtu kanálů (vyhrazením pouze pro data). GRS zavádí základní možnost řízení kvality služeb (QoS) založenou na prioritě, propustnosti, zpoždění nebo spolehlivosti. Je samozřejmě na operátorovi, zda bude QoS nabízet svým zákazníkům. EDGE. Technologie EDGE (Enhanced Data rates for GSM Evolution) je sice také nástavbou sítě GSM a základní princip je podobný, ale navíc signál moduluje metodou 8-SK, což v reálu znamená až trojnásobný nárůst rychlostí oproti GRS Třetí generace (3G) Třetí generace přináší možnost souběžného využívání několika služeb (u předchozích generací nebylo možné kombinovat hlas a data). Technologie jsou založeny na variantách metody CDMA, tedy se používá kódový multiplex. Narozdíl od předchozích generací, třetí generace již není striktně optimalizována pro přenos hlasu, více se počítá s datovými přenosy. UMTS. Vylepšením GSM je technologie UMTS (Universal Mobile Telecommunication System). Nejedná se o pouhou nástavbu, zavedení UMTS znamenalo poměrně velké zásahy do infrastruktury sítě. V tomto typu sítě je také nabízena vylepšená QoS. Základem je WCDMA (Wideband CDMA), což je širokopásmová metoda přenosu. V metodě WCDMA má každý uživatel přiděleno frekvenční pásmo, které používá. V kódovém multiplexu může totéž pásmo využívat více uživatelů, jsou odlišeni jednoznačným binárním kódem. Architektura sítě je podobná síti GRS a zčásti na ní staví. Uzel s názvem Node B je obdobou základnové stanice. Zprostředkovává komunikaci mezi koncovou stanicí a samotnou UMTS sítí,

154 6.4 MOBILNÍ TECHNOLOGIE 142 zajišt uje také modulaci, kódování, ochranu proti chybám. Další vrstvu sítě tvoří řídicí jednotka rádiové sítě (RNC, Radio Network Controller), tyto jednotky jsou obdobou BSC v GSM. Stanice RNC tvoří dohromady vrstvu nazvanou UTRAN (UMTS Terrestrial Radio Access Network). RNC mají za úkol řídit uzly Node B, přidělovat kanály, řídit handover (předávání mobilních stanic), šifrovat, atd. Další vrstvou je páteřní sít (CN, Core Network). Součástí páteřní sítě jsou obvykle uzly patřící do GSM/GRS sítě, ale vyžadují drobnější úpravy, aby dokázaly spolupracovat s UMTS sítí. áteřní sít zajišt uje navazování spojení, směrování, vedení provozních databází a provoz bran do jiných sítí. UMTS není u nás, ale ani v jiných zemích, moc rozšířená. Vzhledem k nutným úpravám infrastruktury se s UMTS typicky počítá pouze ve velkých městech. Teoretická rychlost je až 2 Mb/s, ve skutečnosti se však dosahuje pouze rychlosti několika desítek (místy i stovek) kb/s. HSDA. Další zvýšení rychlosti a snížení latence technologie UMTS přináší HSDA (High-Speed Downlink acket Access), jedná se tedy o jakési vylepšení UMTS pro download (slovo Downlink v názvu). Změny je docíleno zvolenou modulací QSK (Quadrature hase Shift Keying, používá se i v UMTS) nebo 16QAM, a dále jinými mechanismy plánování vysílání (plánování založené na QoS) a řízení chyb. Stejně jako UMTS, také HSDA používá WCDMA, ale navíc přidává nové mechanismy a nový typ čistě datového kanálu. Zatímco v UMTS jsou pakety odesílány každých 10 ms, v HSDA jsou odesílány každé 2 ms. ro zvýšení propustnosti je také možné využít technologii MIMO. řenosové rychlosti jsou obecně vyšší než v případě UMTS, v současné době kolem 1 Mb/s, ovšem stejně jako u jiných mobilních sítí s velkými odchylkami v obou směrech. Existují varianty HSDA, které dosáhnou až na 14 Mb/s, ale ty u nás nejsou implementovány. HSUA. Tato technologie je obdobou předchozí, ale pro upload (High-Speed Uplink acket Access). Jejím účelem je tedy zvýšit rychlost a celkovou kvalitu (vč. latence) u uploadu. Technologie HSDA a HSUA se souhrnně označují HSA, ale operátor nemusí nutně použít obě (u nás O2 implementuje pouze UMTS/HSDA) Další generace Technologie FLASH-OFDM (Fast Low-latency Access with Seamless Handoff-Orthogonal Fre- quency-division Multiplexing) je již řazena do čtvrté generace (4G), zákazník je často seznámen pouze se zkratkou 4G. Ortogonální multiplex (OFDM) je znám již velmi dlouho. Ve variantě FLASH-OFDM znamená propojení OFDM s metodami CDMA a TDMA. Výsledkem jsou vyšší přenosové rychlosti (relativně, opět s rozptylem) a nízká latence. Rychlost se pohybuje i ve stovkách kb/s (download je většinou v rozmezí kb/s, třebaže se teoreticky udává až 1,5 Mb/s). Další výhodou je pokročilá možnost řízení kvality služeb (QoS). Díky nízkým latencím a využití QoS je na FLASH-OFDM možné používat I telefonii. LTE (Long Term Evolution) je zatím hudba budoucnosti (alespoň u nás, na některých místech ve světě už funguje). Cílem je dosáhnout velmi vysokých rychlostí (až 100 Mb/s na downstreamu,

155 6.4 MOBILNÍ TECHNOLOGIE Mb/s na upstreamu) při velmi nízké latenci (10 ms). V současné době LTE reálně dosahuje na downstreamu téměř 80 Mb/s. oužití variant CDMA se nepředpokládá, místo nich se (alespoň na downstreamu) využívá pouze některá varianta OFDM. Šířka kanálů není pevná, OFDM co nejefektivněji využívá pásmo a používá adaptivní šířky signálů, které jsou naskládány tak blízko u sebe, jak jen dovoluje nutnost je na druhém konci linky zase oddělit. rvní varianta LTE ještě patří do třetí generace (vpodstatě nástavba UMTS), až následující varianta, LTE Advanced, je řazena do čtvrté generace. Další informace o mobilních sítích: &stromhlmenu=10

156 Kapitola 7 Centralizovanost, decentralizovanost, distribuce V této poněkud netypicky nazvané kapitole rozvineme základní kameny počítačových sítí bridging, switching a routing. odíváme se na protokol ST a jeho varianty, virtuální sítě (VLAN), směrovací algoritmy. Dále se seznámíme s páteřní sítí CESNET2 a následuje téma kvality služeb (QoS). oslední sekce této kapitoly je věnována typickému zástupci distribuovaných systémů DNS, a typickému zástupci centralizovaných systémů Active Directory. 7.1 ojmy Typy systémů Centralizovaný systém je systém s jedinou centrální řídicí jednotkou. Komunikace probíhá obvykle ve formě klient-server, kde server je právě ta centrální řídicí jednotka. V oblasti počítačových sítí můžeme k centralizovaným architekturám zařadit protokol RADIUS, kde centralizovanou jednotkou je RADIUS server, komunikující se svými klienty (například access pointy přístupovými body bezdrátové sítě), protokol CMI (Common Management Information rotocol), což je protokol z ISO/OSI určený pro správu sítě (obdoba SNM). Decentralizovaný systém má více řídicích jednotek (serverových/správních uzlů), víceméně rovnocenných (s podobnými funkcemi). Účelem (a výhodou oproti centralizovaným systémům) je zvýšení robustnosti sítě (tutéž funkci poskytuje více centrálních serverových uzlů, klientské uzly mohou komunikovat s kterýmkoliv uzlem poskytujícím žádanou službu). Je možné snadno vyřešit situaci, kdy jeden ze serverových uzlů přestane službu poskytovat (například je odpojen od sítě). 144

157 7.1 OJMY 145 Nevýhodou je náročnější implementace, protože serverové uzly musejí být synchronizovány (především jejich databáze). V oblasti počítačových sítí se s decentralizovanou architekturou setkáme například mnohé směrovací protokoly jsou decentralizované, protokol SI (Session Initiation rotocol), který se používá například u VoI (obecně kdekoliv, kde je nutné navazovat relace). Samotný Internet byl původně decentralizovaný a do značné míry to platí i dnes. Ale plná decentralizovanost by znamenala zachování běžného chodu systému (třeba i s určitým zpomalením nebo neposkytováním některých služeb, které mohou počkat, nejsou časově kritické) i po odpojení naprosté většiny serverových uzlů, což Internet nesplňuje. Distribuovaný systém (známe z předmětu Operační systémy) je takový systém, jehož funkce jsou distribuovány (rozděleny) na různé uzly sítě se zachováním několika důležitých vlastností. ředevším jde o vlastnost transparentnost. Například přístupová transparentnost znamená, že k lokálním i vzdáleným prostředkům se přistupuje stejným způsobem, zde přes protokoly. Migrační transparentnost znamená možnost přesouvání poskytovaných služeb mezi různými uzly sítě bez výraznějšího vlivu na výkonnost sítě. Další důležitou vlastností distribuovaného systému je flexibilita. Tato vlastnost znamená přizpůsobivost systému změnám prostředí (včetně poruch a výpadků částí systému). To vylučuje jakoukoliv centralizaci rozhodování, každý uzel sítě musí být ve své činnosti co nejvíc samostatný a služby ostatních uzlů vyžaduje se zachováním transparentnosti. Flexibilní systém může být jakkoliv rozšiřován (téměř jsou technické hranice, které se jen velmi nesnadno překračují) nebo naopak omezován, funkce odstraňovaného uzlu může plnit jiný uzel. S distribuovaností se setkáváme u některých směrovacích protokolů a dále například v systému DNS (obecně u doménových služeb) Distribuované systémy Distribuovaný systém může být určen architekturou klient-server, kdy je jednoznačně určeno, které uzly jsou serverové (poskytují služby, implementují funkce) a které jsou klientské (využívají služeb serverů). Jiný způsob zavedení distribuovaného systému je integrovaná architektura (symetrický systém), kde každý uzel může být serverem i klientem, podle požadavků probíhající komunikace. odle způsobu využívání paměti můžeme distribuované systémy rozdělit na multiprocesory (multiprocessors) uzly mají společnou pamět (každý má svou vlastní pamět a dále existuje pamět sdílená, která může být také distribuována ve více uzlech), multipočítače (multicomputers) uzly nesdílejí žádnou pamět, adresové prostory jsou zcela oddělené, tento koncept je u počítačových sítí obecně výhodnější. odle způsobu propojení (platí pro oba výše zmíněné typy) rozlišujeme dva typy architektur:

158 7.2 BRIDGING 146 sběrnicová architektura (bus) využívá jediné sdílené médium (obvykle kabel), signál se šíří po celém médiu, například kabelová televize, přepínačová architektura (switch) signál je přenášen vždy mezi dvěma konkrétními uzly (až na výjimky jako je broadcast a multicast), může jít o různé topologie: hierarchická stromová struktura, mesh (varianty), kruh, atd., mřížka uzel je propojen se svými nejbližšími sousedy, při ideálním uspořádání jsou ke každému uzlu kromě okrajových 4 sousední uzly, hyperkrychle. Hyperkrychle je n-rozměrná krychle (v obvyklém případě je n = 4) s uzly uspořádanými do více rozměrů (víceméně hierarchicky do linií, rovin, skupin, atd.). Uzel je přímo propojen se dvěma uzly pro každý podporovaný rozměr, tedy je přímo propojen s celkem n 2 sousedy (u čtyřrozměrné krychle s 8 sousedy). Celá struktura je z principu acyklická. Mřížku lze brát jako speciální případ (hyper)krychle pro n = 2. Se sběrnicovou architekturou se už v distribuovaných sítích moc nesetkáváme (až na přenosy probíhající po koaxiálu). V praxi je zřejmě nejběžnější propojení multipočítačů v hierarchické struktuře. Může dojít trochu ke zmatení pojmů, protože v přepínačové architektuře nemusíme jako mezilehlé prvky nutně používat přepínače. 7.2 Bridging Most Most (bridge) je zařízení (dnes spíše jedna z funkcí komplexnějšího zařízení), které pracuje na linkové vrstvě (L2) podle modelu ISO/OSI. Jeho účelem je propojování segmentů sítě a filtrace DU podle informací dostupných na linkové vrstvě, což je například u lokálních sítí MAC adresa (tedy DU pustí jen na ten port, jehož MAC adresa patří do daného segmentu). Non-unicast komunikace (multicast a broadcast) je poslána na všechny porty a totéž platí o neznámé unicast adrese. Dalším důležitým úkolem je odfiltrování poškozených DU. Rozlišujeme dva základní typy používání mostů: transparent bridging (transparentní přemostění) jedná se o samoučící mosty, které si postupně za provozu ve své paměti tvoří tabulku adres vrstvy L2 (podle zdrojových adres v DU) a podle této tabulky pak určují segment sítě pro danou cílovou adresu vrstvy L2, source-route bridging (přemostění na cestu k cíli) součástí DU je seznam mostů (přesněji mezilehlých prvků sítě, které mohou sloužit jako mosty), přes které má cesta vést, tedy celá cesta je předem naplánována. rvní typ se typicky používá především u Ethernetu, druhý typ u Token Ring. Existují zařízení kombinující oba principy, pak mohou sloužit k propojení dvou lokálních sítí, z nichž každá je postavena na jiném standardu (heterogenní sít ; naopak homogenní sít je postavena

159 7.2 BRIDGING 147 na společném standardu, například Ethernet). V heterogenních sítích se využívá především toho, že most může vidět i na podvrstvu LLC, která nebývá součástí specifikace Ethernetu ani jiné LAN. Dále se budeme věnovat transparentním mostům. Každý most tedy udržuje tabulku MAC adres (v systému CatOS je nazývána tabulkou CAM Content Addresable Memory, jinde je to prostě tabulka MAC adres). Záznamy v tabulce mají jednoduchou formu adresa L2 + port vedoucí k uzlu s touto adresou, komunikace určená konkrétní MAC adrese je posílána jen na port k ní vedoucí. Mosty mohou pracovat v lokální síti a propojovat její segmenty, ale může jít také o propojení vzdálených sítí (at už homogenních nebo heterogenních) přes páteřní sít (WAN) ST Mosty sice oddělují kolizní domény, ale, jak bylo výše uvedeno, propouštějí non-unicast komunikaci na všechny porty. Jestliže v síti existuje smyčka, může dojít k všesměrové bouři (broadcast storm) a DU bloudí pořád dokola mezi různými segmenty sítě. Důsledkem může být zahlcení, čemuž je třeba předejít. Jiným problémem v síti se smyčkami jsou nesprávné aktualizace tabulky L2 adres. odívejme se na obrázek 7.1. okud stanice vyšle broadcast rámec, je její adresa uvedena jako zdrojová. rotože tento rámec bloudí v cyklu, most A nejdřív správně určí port k této stanici, ale když později tentýž rámec (se stejnou zdrojovou adresou) přijde od mostu B, bude předpokládat, že stanice byla přemístěna a cesta k ní vede přes most B. Stanice Most A Stanice Most A Most B Most C Most B Most C Obrázek 7.1: Sít s mosty bez použití ST a s použitím ST ST (Spanning Tree rotocol protokol kostry, IEEE 802.1D) umožňuje vytvořit a udržovat sít bez smyček. Mechanismus není určen jen pro mosty, ale obecně pro všechna zařízení podporující funkci mostu (v praxi se nejčastěji setkáme s přepínači podporujícími ST). Sít mostů udržovaná protokolem ST má formu stromu s jediným kořenem. ST detekuje smyčky v síti a odstraňuje je blokováním některých portů v mostech, mezi jakýmikoliv dvěma mosty (a obecně také uzly) v síti existuje vždy právě jedna cesta. Každý most v síti má přiřazen svůj identifikátor ovlivňující pozici mostu ve stromové struktuře, který se skládá z priority (2 oktety, standardně , decimálně ) a MAC adresy mostu. riorita je vlevo od adresy, a tedy její hodnota má hlavní vliv na číselnou hodnotu celého ID. riorita proto ovlivňuje pozici mostu ve stromové struktuře (samozřejmě včetně fyzického propojení), ale pokud na všech mostech necháme přednastavenou standardní prioritu , mosty jsou tříděny podle MAC adresy.

160 7.2 BRIDGING 148 Každý most v síti, který podporuje ST, vysílá v pravidelných intervalech 2 sekundy rámce označované BDU (Bridge DU). Tyto rámce slouží k udržování a případně aktualizaci stromové struktury mostů. Součástí BDU je kromě jiného ID kořenového mostu a ID vysílajícího mostu. ST postupně vybere kořenový most (root), což je most s nejvyšší prioritou. Další mosty řadí pod kořenový most do stromové struktury podle fyzického propojení mezi nimi. Díky stromové struktuře existuje mezi kterýmikoliv dvěma mosty právě jedna cesta. okud původně mezi dvěma mosty existovalo více paralelních cest, pouze jedna z nich bude vybrána a všechny ostatní budou uzavřeny (příslušné porty se blokují). Na obrázku 7.1 máme řešení pro jednoduchou sít se třemi mosty. Most A byl vybrán jako kořenový. ři výběru vhodné cesty ke kořenovému uzlu z více různých cest se zohledňuje cena cesty, její (ne)výhodnost. Cena cesty je určena přičtením priorit všech mostů na cestě rámce BDU k základní ceně cesty a platí, že čím nižší cena, tím lepší cesta. Důsledkem je přednost takové cesty, která obsahuje co nejméně mostů a nejrůznějších oklik. Zařazení mostu do ST stromu. Obvykle platí, že most podporující ST hned po své aktivaci sám sebe považuje za kořenový most. okud však obdrží BDU s ID kořenového mostu vyšším než je jeho, zařadí se níže do stromové struktury (také podle ID mostu, který tento BDU poslal). okud chceme ovlivnit konkrétní pozici mostu v ST síti, měli bychom podle toho nakonfigurovat priority (především mostu, který chceme mít jako kořenový). Jestliže nastávají s ST problémy, bývá to obvykle právě z důvodu špatné (nebo i žádné) konfigurace priorit mostů. ro každý most je především důležitá cesta ke kořenovému mostu. ort, který vede ke kořenovému mostu a zároveň určuje nejkratší cestu (s nejnižší cenou) ke kořenovému mostu, se nazývá kořenový port. Ostatní porty vedoucí ke kořenovému mostu představují alternativní cesty a musejí být proto blokovány. Stavy portů. Normálním stavem portu je stav předávání (forwarding), kdy port zpracovává běžný provoz, BDU rámce i požadavky správy sítě. Jiné stavy jsou inicializace, naslouchání (listening, BDU jsou přijímány i odesílány, ale běžný provoz ještě ne), zjišt ování (learning, vytváří se tabulka MAC adres, BDU jsou přijímány i odesílány, běžný provoz není odesílán), blokování a zakázaný port. Blokovaný port není ve skutečnosti vypnutý (například přijímá BDU a funguje také z hlediska správy sítě), ale nesmí předávat běžný provoz. Mohou existovat také zakázané porty (disabled), které reagují pouze na požadavky správy sítě. RST (Rapid ST, původně IEEE 802.1w) je vylepšením protokolu ST především v rychlosti rekonfigurace (tj. změny stromu při změně topologie sítě mostů či přepínačů s podporou tohoto protokolu). Zrychlení je značné, protože sít s protokolem ST se rekonfiguruje (tj. konverguje) v průměru za s, při použití RST jde o několik sekund, může i pod 1 s. Důvodů zrychlení je více, například zatímco u ST je proces rekonfigurace víceméně pasivní (BDU se posílají pouze ve stanovených intervalech a rekonfigurace se vleče po jednotlivých mostech), u RST mosty (spíše přepínače) aktivně spolupracují na rekonfiguraci sítě (negociace, spolupráce s okolními zařízeními), při zjištění otevření dalšího portu k sousedovi automaticky zapnou forwarding.

161 7.3 SWITCHING 149 V novějších zařízeních se už obvykle nesetkáme s původním pomalejším ST, ale spíše s RST nebo jinou variantou. Standard RST (IEEE 802.1w) byl přidán do IEEE 802.1D (což byl původně ST). MST (Multiple ST, také MST nebo MIST, IEEE 802.1s) je vylepšení protokolu ST pro použití v prostředí s VLAN (virtuální sítí, viz dále) a pro případ využití záložních linek. racuje nad RST, tedy je dostatečně rychlý. A B C A B C A B C A B C A B C A B C Obrázek 7.2: orovnání protokolů ST a MST okud bychom v prostředí s virtuálními sítěmi použili pouze ST, pravděpodobně bychom některé VLAN prakticky vyřadili z činnosti nebo bychom některé z linek zbytečně zatížili příliš. A B A B A B C A B C A B C A B C Obrázek 7.3: řerušená cesta pro jednu VLAN při použití ST MST umožňuje použít jednotlivé instance spanning tree pro každou VLAN nebo několik VLAN zvlášt. Součástí nastavení MST je přiřazení jednotlivých VLAN k definovaným instancím. Toto je zřejmě nejnáročnější část konfigurace, měli bychom mít přehled (samozřejmě) o tom, na kterých portech které VLAN komunikují a také pokud možno o předpokládaném provozu mezi zařízeními v rámci jednotlivých VLAN. Na obrázku 7.2 je sít se třemi VLAN (zde pojmenovanými A, B a C). ři použití protokolu ST by VLAN byla funkční, ale pokud předpokládáme vyšší zátěž při komunikaci v třetí VLAN, je mnohem lepší vytvořit dvě instance protokolu, jednu pro VLAN A a B, druhou pro VLAN C. Další informace o ST: ea1/configuration/guide/swmstp.pdf

162 7.4 ROUTING Switching řepínač (switch) můžeme brát jako most, který má více než dva porty, navíc přepínače mohou podporovat virtuální lokální sítě (VLAN). řepínače také pracují na vrstvě L2 (nebo i vyšších vrstvách). Rozlišujeme více typů přepínačů: ethernetový přepínač pracuje v sítích Ethernet (IEEE 802.3), a to na vrstvě L2, slouží k oddělení kolizních domén a je nezbytnou podmínkou implementace plného duplexu, přepínač vrstvy 3 (L3) přepínač umožňující směrování, v současné době se spíše setkáme se zařízeními z následující skupiny plnícími také roli přepínače L3, vícevrstvý přepínač pracuje na více vrstvách, obecně L2, L3 a dále alespoň L4 (řídí provoz také podle informací v záhlavích TC a UD paketů, případně i DU vyšších vrstev), přepínač některé WAN nebo MAN sítě (například sítě Frame-Relay). Lokální přepínače narozdíl od mostů obvykle propojují pouze homogenní sítě, nanejvýš se odlišují různými rychlostmi (například Fast Ethernet a 1G Ethernet). Typy přepínání: 1. Store and Forward (ulož a pošli) příchozí rámec je nejdřív celý přijat a uložen do vyrovnávací paměti přepínače, až po přijetí celého rámce je přečteno záhlaví a určen výstupní port pro odeslání rámce. Dokáže odchytávat chybné rámce, ale velmi pomalý, vhodné pro sítě s vyšší chybovostí. 2. Cut-Through (průběžné zpracování, také on-the-fly) příchozí rámec se začíná odesílat průběžně ještě během svého příjmu, hned po načtení informací ze záhlaví potřebných k určení výstupního portu. Velmi rychlé přepínání, menší potřeba cache, ale nedokáže odchytávat chybné rámce. 3. Fragment Free (s omezením malých rámců) něco mezi prvními dvěma metodami. Zpracovávání rámce začne po načtení jeho prvních 64 oktetů (tj. záhlaví a alespoň část dat). Účelem je odhalení alespoň jednoho typu chybných rámců, nepovolených příliš krátkých rámců. Jak bylo výše řečeno, přepínače obvykle podporují VLAN. V tabulce MAC adres obvykle najdeme k cestě do konkrétního uzlu tyto údaje: číslo VLAN, do které patří, MAC adresa, údaj, zda byla adresa do tabulky přidána dynamicky nebo ručně (statická), počet sekund od zařazení adresy do tabulky (příp. od poslední změny tohoto záznamu), označení portu, na který se má rámec s touto adresou jako cílovou odeslat. 7.4 Routing Směrovač Zatímco přepínače pracují v adresami plochého (flat) adresového prostoru, směrovače (routery) pracují s hierarchickými adresami (obvykle I) a mají vestavěnou logiku umožňující rozhodovat o průběhu směrování. Směrovač pracuje na vrstvě L3 (sít ové) v ISO/OSI modelu.

163 7.4 ROUTING 151 Také směrovač provádí vnitřní přepínání (v trochu jiném smyslu slova) DU (obvykle I datagramu), ale mezi směrovačem a přepínačem jsou poměrně velké rozdíly: směrovací tabulka obsahuje informace o dostupných sítích a podsítích (používají se prefixy), nikoliv adresy konkrétních uzlů, tedy směrovací tabulka je obecně menší než tabulka MAC adres mostu či přepínače, v směrovací tabulce najdeme u každého záznamu port, na který má být DU nasměrován, a dále metriku určující náročnost (délku, cenu) cesty, na všeobecnou (broadcast) adresu reaguje směrovač přesně opačně než přepínač broadcast nepropustí na žádný port (občas je nutné toto chování obejít, ale na druhou stranu není nutné používat protokoly typu ST), stejně reaguje na neznámou unicast adresu nepustí ji na žádný port a datagram je bud zničen nebo nasměrován k implicitní síti (sběrná sít ), kde lze na případný zbloudilý datagram reagovat. Směrovače se zajímají i o další informace ze záhlaví paketu než jen o adresy. ředevším je důležité pole s hodnotou TTL (Time-to-Live), se kterým jsme se seznámili u protokolu I. Směrovač snižuje hodnotu tohoto pole vždy nejméně o 1, reakce při nalezení datagramu s TTL=0 je popsána v sekci o protokolu I (je doručen jen tehdy, když cílová sít je přímo připojena k tomuto směrovači). Směrovač dále kontroluje celkovou délku datagramu a když tato délka překračuje velikost povolenou pro daný výstupní port, datagram je fragmentován (pokud je to v záhlaví Iv4 povoleno), Iv6 datagramy nelze fragmentovat. Směrovače navzájem komunikují, navzájem se informují o momentální situaci v síti a případných změnách a problémech. Každý směrovač si udržuje (ve své směrovací tabulce) informaci o logickém uspořádání sítě (topologii). Konvergence sítě je takový stav sítě, kde všechny směrovače mají stejnou představu o topologii sítě. okud dojde k výpadku některé cesty v síti včetně výpadku některého směrovače, stav konvergence je porušen a směrovače se navzájem informují o potřebné aktualizaci směrovacích tabulek, což vede k opětovnému přechodu do stavu konvergence. Na směrovačích se může používat jednoduchá metoda řízení propustnosti sítě nazvaná Token Bucket. racuje na principu virtuálního koše (bucket), do kterého jsou konstantní rychlostí neustále doplňovány tokeny ( povolenky ). okud přeteče, tokeny jsou zahazovány. Jeden token představuje určité množství odesílaných dat (třeba jeden oktet). Velikost paketu, který má být odeslán, je porovnána s množstvím odpovídajících tokenů v Token Bucketu. okud dostačuje, odstraní se z Bucketu potřebné množství tokenů a paket může být odeslán. Jestliže však nedostačuje, paket bude zahozen Směrování Směrovat lze bud staticky nebo dynamicky. Statické směrování znamená určení cesty k danému cíli ručně administrátorem, dynamické směrování znamená využití směrovacího algoritmu k určení nejvhodnější cesty k cíli. Statické směrování nevyžaduje použití směrovacího algoritmu, proto je rychlejší, ale na druhou stranu při změně topologie sítě může nastat situace, kdy nelze data doručit a je nutné ručně změnit údaje v tabulkách. Statické směrování se používá tam, kde tak jako tak existuje jediná cesta (point-to-point spoj, směrovací algoritmus by jen zdržoval přenos) nebo tam, kde (třeba z bezpečnostních důvodů

164 7.4 ROUTING 152 nebo pro urychlení) administrátor chce cestu určit explicitně. Statické a dynamické směrování lze kombinovat, kdy jedna z možností slouží jako záloha. Obvykle jsou údaje ze statického směrování upřednostňovány jako důvěryhodnější, ale toto nastavení lze na mnoha směrovačích obrátit. ři dynamickém směrování se hledá nejoptimálnější cesta k cíli (může jít o suboptimální cestu). Každá cesta má přiřazenu metriku podle jednoho nebo více kritérií. Lze použít například tato kritéria: počet směrovačů na cestě (skoků, hop count) nejlepší cesta obsahuje nejméně směrovačů, propustnost přenosové cesty (kb/s, Mb/s, apod.) čím rychleji lze data přenést, tím je cesta lepší, zpoždění (latence, v ms) nejlepší cesta je ta, která znamená nejmenší celkové zpoždění, spolehlivost (pravděpodobnost doručení dat) nejlepší cesta je ta, kde je nejvyšší pravděpodobnost doručení dat (bez chyb, bez častého zahazování datových jednotek), maximální délka přenosové jednotky (MTU) nejlepší cesta je ta, kde lze přenášet dostatečně velké přenosové jednotky a nehrozí nutnost fragmentace na cestě, zátěž zohledňuje se momentální nebo běžné zatížení daného přenosového prostředku, které může mít vliv na zpoždění doručení. Metrika může záviset na více než jednom kritériu. Nejen metrika je důležitá při hodnocení cesty. Velmi důležitým kritériem je také zdroj směrovací informace, informace z důvěryhodnějšího zdroje je upřednostněna, i když má o něco horší metriku. ůvodně byly cesty ve směrovačích popisovány adresou sítě a maskou podsítě. Současné směrovače mají cesty popsány adresou sítě a délkou prefixu. okud v tabulce existují dvě cesty k témuž cíli, obvykle se upřednostní ta, která má větší délku prefixu (tj. je přesnější, most specific). Například pokud máme údaje / /17 druhý údaj bude upřednostněn. Jde o dva různé záznamy, protože se liší v délce prefixu, třebaže adresa v obou případech vypadá jako stejná. Druhá adresa zřejmě bude podsítí sítě určené první adresou (nebo hlouběji v hierarchii). okud ve směrovací tabulce není nalezena žádná cesta, je bud paket předán bráně (geteway), protože paket zřejmě patří do jiné sítě, nebo zahozen (když žádná brána není dostupná) Směrovací algoritmy a protokoly Rozlišujeme protokoly směrovatelné (routed) a směrovací (routing). Směrovatelné protokoly (například I) pracují na sít ové vrstvě, ale vlastní směrování neprovádějí, to je záležitostí směrovacích protokolů. Autonomní systém (podle terminologie EIGR) je skupina směrovačů spadajících pod stejnou správu (firmy, organizace apod.). Jiné protokoly mohou používat jiné názvosloví, například u OSF se nazývá proces. Autonomní systém je identifikován 16bitovým číslem ASN, proces zase ID.

165 7.4 ROUTING 153 Směrovací protokoly pracující vždy jen uvnitř jednoho autonomního systému se nazývají vnitřní směrovací protokoly (interior, internal), směrovací protokoly sloužící ke směrování mezi různými autonomními systémy (a tedy mezi různými vnitřními směrovacími protokoly) jsou vnější směrovací protokoly (exterior, external). Směrovače mohou pracovat jen s jedním směrovacím protokolem, ale existují také multiprotokolové směrovače, které komunikují s více různými směrovacími protokoly. ro každý podporovaný směrovací protokol existuje (nejméně) jedna směrovací tabulka a v každé bývá pro požadovanou cestu uvedena metrika. V jednoprotokolovém směrovači se směrování řídí metrikami cest v (jedné) směrovací tabulce. V multiprotokolovém směrovači je třeba navíc rozhodnout mezi cestami v různých tabulkách, které jsou vytvářeny podle různých kritérií a tedy tak jak jsou, nebývají navzájem porovnatelné. Z toho důvodu byla pro každý protokol stanovena přepočítavací konstanta nazvaná administrativní vzdálenost (administrative distance) umožňující porovnat více cest k témuž cíli ze směrovacích tabulek různých protokolů. Administrativní vzdálenosti jsou v tabulce 7.1. Všimněte si rozdílů u protokolů, které mohou pracovat jako vnitřní i vnější (například BG). Typ cesty Administrativní vzdálenost řipojené rozhraní 0 Statické směrování 1 EIGR summary route (souhrnné cesty pro skupinu sítí) 5 External BG 20 Internal EIGR 90 IGR 100 OSF 110 IS-IS 115 RI 120 EG 140 ODR (On Demand Routing) 160 External EIGR 170 Internal BG 200 jiný (neznámý) 255 Tabulka 7.1: Administrativní vzdálenosti směrovacích protokolů Cesta zjištěná v rámci běžného směrování je interní, cesta zjištěná vně směrovacího procesu (z jiné autonomní oblasti) je externí. Většina protokolů upřednostňuje interní cesty (tj. využívají administrativní vzdálenost), ale například u BG je to naopak a jiné jejich spolehlivost nerozlišují (například OSF). Směrovací algoritmy jsou algoritmy používané při řízení směrování. Můžeme je rozdělit do dvou skupin: algoritmus vektorů vzdáleností (distance vector), algoritmus stavu spoje (link state).

166 7.4 ROUTING 154 Algoritmus vektorů vzdáleností. Směrovač má nejdřív ve své tabulce pouze údaje o přímo připo- jených sítích (ty mají metriku 0) a postupně přidává údaje podle zpráv od sousedních směrovačů. Ve zprávách od sousedů jsou seznamy vektorů (cíl, vzdálenost), kde první údaj je adresa dosažitelného cíle a druhý údaj je vzdálenost (metrika). Algoritmus zvětší vzdálenosti o stanovenou konstantu, většinou o 1 (to znamená o vzdálenost k sousedovi, který zprávu poslal), a porovná s údaji, které už v tabulce má. Nové záznamy přidá, a pokud už daný cíl v jeho tabulce existuje, porovná metriky a případně další údaje a rozhodne, zda směrovací informaci o tomto cíli změní. Tyto zprávy si směrovače vyměňují v pravidelných intervalech (obvykle s) formou broadcastu nebo multicastu a posílá se vždy celá směrovací tabulka (vždy jen mezi sousedy). To znamená větší zátěž sítě, ale zato jednodušší počáteční konfiguraci (administrátor přidává pouze záznamy o přímo připojených sítích). ro tento algoritmus je typické, že směrovače nemají přehled o celé topologii sítě, znají jen své sousedy. odle informací od svých sousedů určují, na který port odeslat pakety pro daný cíl. Jednou z nevýhod z toho plynoucích je náchylnost k zacyklení paketů zejména v případě nedostupnosti cíle (některé směrovače mají chybné informace a předávají je dále). Tento problém se obvykle řeší omezením délky cesty (TTL, obvykle 15 nebo 255) a pak dalšími postupy, které jsou součástí směrovacího algoritmu. Například pokud směrovač obdrží informaci o nedostupnosti sítě, pak po stanovenou dobu (hold-down timer, většinou trojnásobek intervalu zasílání zpráv sousedům) ignoruje zprávy o cestě do této sítě, považuje je za potenciálně chybné. oison reverse (otrávení cesty zpět) je oznámení směrovače o své nedostupnosti. Tento směrovač odešle svým sousedům aktualizaci cesty k sobě s hodnotou metriky max(t T L) a sousedi si k tomu ještě přičtou 1, tj. například u RIv1 to bude hodnota 16 nebo u jiných protokolů hodnota 256. Metrika větší než maximální stanovená označuje nedosažitelnou cestu a tedy na port k odpojovanému směrovači nebudou zasílány žádné pakety. Další možnost je postup split horizon (rozložený horizont). Směrovač neodesílá jinému směrovači celou svou tabulku, ale jen ty záznamy, které nevedou k tomuto směrovači (není třeba informovat jiný směrovač o tom, o čem původně informoval on). Takto se snižuje nebezpečí zacyklení a zasílání chybných informací. rotokoly využívající algoritmus vektorů vzdáleností: RI (Routing Information rotocol) varianty pro I, IX, atd. IGR (Interior Gateway rotocol) pro I Algoritmus stavu spoje. Účelem je co nejrychlejší konvergence, aby všechny směrovače měly vždy co nejaktuálnější informace. K aktualizacím směrovacích tabulek nedochází v pravidelných intervalech, ale vždy po jakékoliv změně v topologii sítě. Každý směrovač pravidelně testuje stav spojení k sousedním směrovačům (pakety LS Link State acket) a pokud zjistí nedostupnost svého souseda, předá tuto informaci dále (nejen svým sousedům, ale všem dostupným směrovačům, na skupinovou adresu skupiny směrovačů používajících daný protokol). Směrovač po svém zapnutí nejdřív analyzuje informace, které obdrží, a buduje si mapu sítě topologickou databázi. ak spustí výpočet nejkratší cesty do různých cílů modifikovaným Dijkstrovým algoritmem Shortest-ath-First (SF), výpočet probíhá při každé změně topologie sítě. odle výsledku si vytvoří směrovací tabulku.

167 7.4 ROUTING 155 Výhodou tohoto typu algoritmu je nižší zatížení sítě služebními informacemi a také velmi rychlá konvergence sítě, nevýhodou jsou vyšší nároky na směrovač. opsané výhody jsou důležité zejména ve větších sítích. rotokoly využívající algoritmus stavu spoje: OSF (Open Shortest ath First) IS-IS (Intermediate System to Intermediate System), Integrated IS-IS (IIS-IS) RI RI (Routing Information rotocol) je jedním z nejstarších směrovacích protokolů, byl vyvinut firmou Xerox r Jedná se o vnitřní směrovací protokol komunikující na portu 520 (využívá protokol UD). Jako metrika se používá počet směrovačů na cestě k cíli. Nejvyšší akceptovaná metrika u RIv1 (verze 1) je 15, číslo 16 již označuje nedostupnou sít. V intervalech 30 s je všesměrově (broadcast) vysílána směrovací informace, což ve velkých sítích může značně snižovat propustnost sítě. RI je protokol využívající třídy adres (nepodporuje beztřídní směrování), to znamená, že součástí směrovacích informací není maska podsítě ani délka prefixu. To je další nevýhoda, která RIv1 prakticky vylučuje z velkých sítí. L říklad Adresy sítí / /24 by byly považovány za stejnou sít, protože RI směrovač by obě adresy považoval za adresu třídy A, kde je sít určena prvním oktetem. okud k těmto sítím vede cesta přes různé směrovače, nebude směrování probíhat správně (jeden údaj bude přepsán druhým, jedna ze sítí nebude dostupná). RIv2 je aktualizací protokolu RI z poloviny 90. let 20. století. Hlavním úkolem bylo zohlednění využívání prefixů a beztřídního směrování (VLSM a CIDR). Funkčnost je podobná, ale narozdíl od RIv1 lze používat beztřídní směrování, max. počet přeskoků není 15, ale 255 (tedy počet směrovačů v síti není omezen na 15), aktualizace směrovacích informací se neposílají jako broadcast zprávy, ale jako multicast zprávy na adresu , v případě známých sousedů jako unicast pakety, podpora ověřování mezi dvěma směrovači. U obou verzí RI je metrika považována za nepříliš kvalitní, tedy použitelnost je pouze v malých sítích, kde to moc nevadí.

168 7.4 ROUTING IGR a EIGR IGR (Interior Gateway Routing rotocol) je protokol firmy Cisco s číslem 88. Jde o algoritmus vektoru vzdáleností (s tím souvisí pomalejší konvergence sítě), který má obecně lepší vlastnosti než RI, alespoň co se týče metriky. Součástí konfigurace protokolu je číslo autonomního systému (tudíž je slučitelný s jinými směrovacími protokoly na jednom zařízení). Směrovací informace se posílají každých 90 s, a to broadcastem. Metrika je vícekriteriální, využívá se kombinace kritérií zpoždění v síti (prodleva) za předpokladu nezatížené sítě v ms, propustnost v b/s, zatížení sítě, hodnota 255 znamená 100% zatížení, spolehlivost cesty, hodnota 255 znamená 100% spolehlivost. rvní dvě kritéria jsou povinná (dají se odvodit z topologie sítě), další dvě kritéria jsou nepovinná (lze je odvodit z momentálního provozu). ři výpočtu metriky se postupuje podle zvoleného typu služby (obdoba QoS), hodnoty jednotlivých kritérií jsou násobeny konstantami specifickými pro daný typ služby (například může být upřednostněna propustnost sítě). Další kritéria sice nejsou využívána při výpočtu metriky, ale přesto jsou součástí směrovacích informací počet směrovačů na cestě a MTU. EIGR (Enhanced IGR) je vylepšení protokolu IGR. Algoritmus směrování podle tohoto pro- tokolu již není čistě algoritmem vektoru vzdáleností, objevují se některé prvky algoritmu stavu spoje (jde o hybridní protokol). Metrika je opět vypočítávána z propustnosti a zpoždění v síti, je možné přidat kritéria zatížení sítě a spolehlivosti, ale obvykle se to nedělá. EIGR si udržuje tři tabulky sousedů, topologie a směrování. Tabulky jsou aktualizovány při změnách v topologii, a to multicast zprávami. Na jednom směrovači může běžet více instancí protokolu (E)IGR, protože součástí konfigurace je číslo autonomní oblasti ASN OSF OSF (Open Shortest ath First) používá algoritmus stavu spoje (číslo protokolu 89), což znamená rychlou konvergenci sítě při každé změně topologie. Jde o otevřený protokol (narozdíl od IGR a EIGR, které byly vyvinuty firmou Cisco), a proto se s ním setkáme na zařízeních od mnoha různých výrobců. Jde o beztřídní směrování, proto nestačí pouze informace o adrese, musíme zadat i délku prefixu, a to inverzní maskou (v bitové podobě bychom invertovali masku takovou, kterou známe z kapitoly o protokolu I). Směrovací informace se zasílají okamžitě po změně topologie nebo minimálně každých 30 minut. Každý směrovač si udržuje topologickou databázi sítě (ve skutečnosti ne celé sítě). Topologická databáze má formu orientovaného grafu s tím, že jedna cesta může mít v každém směru přiřazenu jinou metriku.

169 7.4 ROUTING 157 Metrika je označována pojmem cena. Cena je kombinací více kritérií propustností sítě, náklady na spoje, atd., podle konfigurace, většinou se volí pouze výpočet z kritéria propustnosti sítě. Číslo vydělíme šířkou pásma v b/s, tedy například 100 Mb/s má cenu 1, 1.2 Mb/s má cenu 84, apod. okud je rozhraní rychlejší než 100 Mb/s, standardně má také cenu 1 (zaokrouhlujeme nahoru). Této nesrovnalosti se předchází změnou vzorce v konfiguraci (změna referenční šířky pásma). Například posloupnost příkazů router ospf 100 auto-cost reference-bandwidth 1000 v OSF s číslem autonomního systému 100 změní referenční šířku pásma na 1000 kb/s, tedy ve vzorci bychom použili číslo (to je třeba provést ve všech směrovačích, abychom si nevyrobili nestabilní sít s nepředvídatelným chováním). Cena celé cesty je součtem cen pro jednotlivé úseky cesty. OSF podporuje hierarchické směrování. To znamená, že směrovače (a jejich sítě) lze v rámci autonomní oblasti rozdělit do oblastí (area). Každý směrovač si udržuje pouze topologickou bázi své oblasti, ostatní oblasti mu zůstávají skryty a aktualizace při změnách topologie se omezuje jen na danou oblast. Rozlišujeme vnitřní směrovače (uvnitř některé oblasti), hraniční směrovače oblasti (v několika oblastech ABR, Area Border Router) a hraniční směrovače autonomního systému (zprostředkovávají komunikaci mezi různými autonomními systémy, včetně těch s jinými směrovacími protokoly). áteřní sít mezi směrovači je označována jako oblast 0, směrovače v páteřní síti jsou páteřní směrovače. áteřní sít může být i WAN. V rozsáhlejších sítích by vždy měla být páteřní sít a všechny nenulové oblasti by měly sousedit pouze s oblastí 0. Součástí směrovací tabulky jsou samozřejmě také prefixy adres sítí. odobně jako mnohé další protokoly, také OSF používá sumarizaci směrovacích informací. Týká se to především směrování na hraničních směrovačích, které by měly adresy v oblasti směrovat souhrnně, čímž se urychluje směrování paketů na hranicích oblastí. V lokálních sítích (obecně v sítích s všesměrovým vysíláním) musí existovat jeden pověřený směrovač (Designated Router), který řídí veškerou aktualizaci směrovacích informací v síti. ro případ, že by pověřený směrovač selhal, by měl existovat záložní pověřený směrovač. ověřený směrovač provádí výpočet cest a tím snímá část zátěže z ostatních směrovačů v oblasti. Výběr pověřeného směrovače sice lze nechat na protokolu OSF, ale lepší je provést to ručně, protože automatický výběr nedopadne vždy zrovna ideálně. Ruční výběr pověřeného směrovače se provádí přiřazením priority (hodnota v rozsahu 0 255), vybereme obvykle nejvýkonnější směrovač nebo hlavní směrovač (resp. nejlépe obojí dohromady v jednom zařízení). Z dalších důležitých vlastností protokolu OSF: podpora rozložení provozu k cíli mezi cesty se stejnou celkovou cenou (ale bud všechny pakety se stejnou cílovou finální I adresou jdou stejnou cestou), podpora směrování podle typu služeb (ToS) I, mechanismus ověřování autenticity paketů se směrovací informací. OSF je vhodný zejména pro větší I sítě včetně těch, které mají páteřní sít.

170 7.4 ROUTING IS-IS IS-IS (Intermediate System to Intermediate System) byl původně součástí architektury ISO/OSI, ale po úpravě byl zařazen do TC/I. Je určen především pro směrování bez navazování spojení. Bývá oblíbený zejména u velkých IS. IS-IS používá algoritmus stavu spoje a princip jeho činnosti je hodně podobný protokolu OSF. Taktéž se rozlišují směrovače uvnitř oblasti (první úroveň L1) a hraniční směrovače (druhá úroveň L2), pozor, neplést si s L1, L2, atd. u vrstev modelů. Neexistuje žádná oblast 0 s páteří, směrovače L2 poskytují propojení do všech oblastí. Také lze vytvořit virtuální spoj mezi dvěma L1 směrovači. okud směrovač L1 obdrží paket nepatřící do jeho oblasti, odešle ho nejbližšímu směrovači L2. otom paket putuje po směrovačích L2 tak dlouho, dokud se nedostane do oblasti, do které patří. Zatímco OSF posílá směrovací informace v I paketech, IS-IS využívá rámce linkové vrstvy EG a BG ojem EG má ve skutečnosti dva významy označují se tak obecně vnější (externí) směrovací protokoly, ale také jeden konkrétní externí protokol (ten nejstarší). EG (Exterior Gateway rotocol) je jednoduchý vnější směrovací protokol pro výměnu informací o dostupnosti či nedostupnosti sítí (předchozí popsané protokoly byly vnitřní), číslo protokolu je 8. Směrovače si neustále ověřují funkčnost svých sousedů a také si s nimi vyměňují informace o dostupnosti připojených sítí. Nepoužívá se žádná metrika, a proto je vyloučena existence více paralelních cest k téže síti; není použitelný, pokud se na cestách vyskytuje smyčka (vyžaduje stromovou strukturu směrovačů). V současnosti se už s EG nesetkáme. BG (Border Gateway rotocol) je také vnější směrovací protokol, ale již složitější, funkčnější a použitelnější. ropojuje různé autonomní systémy. Směrovače využívající BG udržují sousedské vztahy pravidelně vysílají zprávy KeepAlive, jejichž účel je ujišt ování o vlastní funkčnosti. Své sousedy však nezjišt ují automaticky, sousedství musí být ručně nakonfigurováno. ři první výměně směrovacích informací směrovač informuje o svém prefixu a čísle ASN a obdrží celou směrovací tabulku, při změnách pak jen části směrovací tabulky, kterých se změna týká. ři oznámení svého prefixu směrovač doplní k prefixu své ASN. Během předávání mezi směrovači každý směrovač také přidá své ASN, tedy celková délka identifikačního řetězce cesty se neustále prodlužuje. Vyšší prioritu má kratší cesta, tedy cesta s menším počtem ASN, vedoucí přes méně BG směrovačů. rotokol BG nelze přesně zařadit mezi algoritmy vektoru vzdáleností ani algoritmy stavu spoje. Využívá se algoritmus vektoru cest, tj. výše popsaná sekvence čísel ASN doplněná prefixem. Zatímco jiné směrovací protokoly z důvodu větší pružnosti využívají nespolehlivé přenosy (UD), protokol BG využívá spolehlivý přenos (TC). odporuje CIDR (využívá beztřídní směrování, prefixy) a agregaci cest. Kvalitu cesty lze ovlivnit konfigurací mnoha parametrů. Cesty mají různé váhy a také jim lze přiřadit různé atributy. rotokol BG je hlavním směrovacím protokolem na Internetu, jeho využití je poměrně časté.

171 7.5 CESNET Softwarový směrovač Směrovače bývají obvykle hardwarové, ale pro tyto účely lze použít i starší počítač (směrování v menší síti není moc výpočetně náročné) se speciálním softwarem. Zebra 1 je velmi oblíbený a používaný svobodný software pro unixové systémy podporující protokoly RIv1, RIv2, OSFv2, BGv4. Quagga 2 je open-source software pro unixové systémy podporující kromě jiného protokoly OSFv2, OSFv3, RIv1, RIv2, BGv4. Jedná se o klon Zebry. XOR 3 (Extensible Open Router latform) je open-source směrovací platforma podporující prakticky všechny známé směrovací protokoly. Na stránkách projektu je dokonce možné si stáhnout demonstrační LiveCD. NAT32 Windows Software Router 4 je software pro Windows (jen pro malé sítě, ze směrovacích protokolů podporuje RI). Je volně ke stažení, platí se za podporu. 7.5 CESNET2 CESNET2 (Czech Education and Scientific NETwork) je národní vysokorychlostní počítačová sít určená pro vzdělávání, vědu, výzkum a vývoj, založená roku ropojuje především vysoké školy a výzkumné ústavy včetně všech ústavů Akademie věd České republiky, jsou připojeny také některé nemocnice a střední školy. Jde už o druhou generaci této sítě. ůvodní sít CESNET první generace dosahovala rychlostí v desítkách až stovkách Mb/s, zatímco CESNET2 dosahuje rychlostí kolem 10 Gb/s, na některých místech až 100 Gb/s. V polovině 90. let se hodně používala sít ATM, později kolem roku 2000 byla postupně zaváděna technologie os (acket over SDH) a MLS a přenosová soustava byla postavena na DWDM. Současná topologie sítě je naznačena na obrázku 7.4. Účelem sítě CESNET2 je poskytování vysokorychlostních přenosů pro účely výzkumu a vzdělání, zabývá se také různými typy využití přenosové kapacity (VoI, multimediální přenosy a videokonference, QoS, vysokorychlostní bezdrátové připojení, atd.). V současné době se vzhledem k momentální situaci v oblasti sítí hodně angažuje v bezpečnostních technologiích. Zajímavý projekt je také EduRoam.cz, který umožňuje připojit se do bezdrátové sítě kteréhokoliv člena CESNETu (většinou jde o podporu mobilit zaměstnanců vysokých škol a výzkumných ústavů). CESNET2 je také napojena na mezinárodní sítě s podobným zaměřením, například na evropskou sít GÉANT, slovenskou SANET, rakouskou ACONET a polskou IONIER. Další informace o CESNETu: Zdroj:

172 7.5 CESNET2 160 Obra zek 7.4: Topologie sı te CESNET Multimedia lnı pr enosy Nejmens ı s ı r ku pa sma (do ne kolika desı tek kb/s) vyz aduje pr enos zvuku. Ve ts ı s ı r ku pa sma vyz aduje pr enos obrazu i v niz s ı kvalite. Krome pr enosu zvuku a obrazu existujı i dals ı moz nosti, jak vyuz ı t kapacitu multimedia lnı ch pr enosu, napr ı klad sdı lena tabule (u c astnı ci kreslı na tabuli, ta je viditelna a pr ı stupna vs em u c astnı ku m videokonference). Existujı specializovana zar ı zenı pro videokonference. Na trhu najdeme napr ı klad zar ı zenı LifeSize nebo olycom. Da le se setka me se specializovany mi softwarovy mi r es enı mi (nenı tr eba por izovat dals ı hardware, stac ı poc ı tac pr ipojeny k Internetu), napr ı klad MBone. V nejjednodus s ı ch pr ı padech lze samozr ejme pouz ı t konferenc nı na stroje dostupne v be z ny ch operac nı ch syste mech, jako tr eba NetMeeting nebo GnomeMeeting Metacentrum, vy poc etnı gridy Metacentrum je aktivita CESNETu ve novana provozu na rodnı ho vy poc etnı ho gridu (distribuovane vy poc etnı sı te ). V gridu je v souc asne dobe (2015) ne kolik vy konny ch vy poc etnı ch center zahrnujı cı ch celkem procesoru. Implementuje ru zne metody pro BigData, vc etne algoritmu Hadoop od spolec nosti Google.

173 7.6 QOS 161 Grid je využíván především akademickými pracovníky pro náročné výpočty ve výzkumu a vývoji. Členství je bezplatné pro akademické pracovníky, kteří jsou zaměstnanci nebo studenty členů CESNETu CESNET CSIRT, CERTS CSIRT (Computer Security Incident Response Team) je (obecnější) označení pro týmy zabývající se bezpečností v oblasti ICT. Tyto týmy pracují jak na národní úrovni, tak i na nižších úrovních jak ve státních službách, tak i u velkých společností. Ve skutečnosti jde o hierarchickou strukturu týmů po celé zemi, které vzájemně dobrovolně spolupracují. Hlavní CSIRT tým pro ČR je provozován sdružením CZ.NIC (rok 2007). CSIRT tým plní tyto úkoly: řešení bezpečnostních incidentů ve spolupráci s českými provozovateli sítí a zahraničními partnery, pomoc provozovatelům sítí při zřizování vlastních CSIRT týmů, poskytuje reaktivní i proaktivní služby, poradenství a služby, mohou zjišt ovat možné autory DoS útoků a předávat informace orgánům, které pak na toto oznámení reagují, nebo informovat provozovatele sítě o napadení této sítě. CSIRT týmy (ani celostátní) nemají žádné pravomoce k řešení bezpečnostních incidentů na jiné než technické úrovni, nejde o represivní orgány. Mohou pouze monitorovat a radit, pravomoci k razantnějším reakcím mají pouze ve své vlastní síti. CERTS (Computer Emergency Response Team Coordination Center) je CSIRT tým CESNETu (rok 2014). Jeho úkoly jsou následující: incident handling příjem hlášení o bezpečnostních incidentech na CESNETu a jejich řešení, provoz IDS (Intrusion Detection System) v síti CESNET2, spolupráce na bezpečnostní strategii v síti CESNET2, spolupracuje s TERENA (Trans-Europen Research and Education Networking Association) a FIRST (Forum for Incident Response and Security Team). oskytuje jak reaktivní (reakce na bezpečnostní incidenty) tak proaktivní (zlepšování informovanosti uživatelů apod.) služby s důrazem na ty proaktivní. Měl by poskytovat poradenství a služby nekomerčním organizacím zapojeným do CESNETu. ozor, neplet te si CERTS se zkratkou CzERT, což je skupina hackerů stojících na opačné straně barikády. Další informace:

174 7.6 QOS QoS rincip QoS QoS (Quality of Service) znamená zajištění kvality přenosové služby. Takto se označují metody, které nabízejí garanci určitých parametrů poskytované služby. Garantovat lze například: šířku pásma pro přenos, volnou kapacitu sítě, minimální ztrátovost datových jednotek (případně téměř nulovou ztrátovost), dynamiku ztrátovosti (tedy aby nedocházelo ke ztrátám ve shlucích, to by mohlo mít negativní vliv na přenos multimédií, která občasnou ztrátu datové jednotky tolerují), zpoždění, latenci, změny dynamiku zpoždění (jitter), atd. Běžné sít ové protokoly ( , přenos souborů apod.) obvykle nemají velké nároky na QoS, ale naopak VoI a videopřenosům mohou vadit vyšší hodnoty zpoždění, a také vyšší hodnoty jitter. Technologie QoS je v některých specifikacích dostupná přímo, například v ATM, Frame Relay a MLS. Jinde je nutné mechanismus QoS přidat. Jednou z možností, jak zajistit QoS ve velmi rozšířených I sítích (i vzdálených), je DiffServ DiffServ DiffServ (Differenciated Services, oddělené diferencované služby) je technologie zavedení QoS (Quality of Service) do I sítí. Je to jen jedna z více různých QoS technologií. racuje s 6 bity označenými zkratkou DSC (Differentiated Service Code oint), což znamená 64 možných tříd přístupu (v praxi se však využívá jen několik z nich). Třídy lze rozdělit do tří základních kategorií: 1. Urychlené předávání (EF, Expedited Forwarding) garance malého a téměř konstantního zpoždění, latence, šířky pásma; je složité, proto může být poskytnuto jen nízkému počtu přenosů, je vhodné například pro implementaci virtuálního okruhu. 2. Zajištěné předávání (AF, Assured Forwarding) funguje podobně jako využívání CIR u Frame Relay. oužívá se u služeb, které upřednostňují volitelnou úroveň QoS. 3. Základní služba (BE, Best Effort) pro běžné datové přenosy. ři vstupu do sítě jsou pakety klasifikovány, označeny třídou (pokud je to potřeba). okud ne, jedná se o kategorii Best Effort. Klasifikace probíhá pouze při vstupu do sítě (tj. sítě uplatňující DiffServ, hovoříme o DiffServ doméně), na následujících směrovačích je tato informace pouze využívána. Tento způsob řízení QoS je poměrně jednoduše slučitelný s jinými QoS protokoly. Na hranici DiffServ domény (na hranovém, ingress edge, směrovači) probíhá výše popsaná klasifikace paketu, případně překlad z jiné QoS technologie (ATM, MLS, atd.). Konkrétní umístění pole bitů pro DiffServ závisí na tom, na které vrstvě je tato technologie implementována (nemusí to být na sít ové vrstvě s I protokolem). Může to být uvnitř hlavičky

175 7.7 JMENNÉ A ADRESÁŘOVÉ SLUŽBY 163 datové jednotky (pokud je tam místo) nebo vně (před záhlavím). V Iv4 datagramu například jde o 8bitové pole třídy služby (z toho je využito 6 bitů), v Iv6 datagramu (viz nákres na str. 31) jde o pole pro prioritu. Hodnota 0 je výchozí, znamená Best Effort. DiffServ je podporován také v MLS. Menším problémem je to, že zatímco DiffServ používá pro určení třídy QoS 6 bitů, MLS jen polovinu (v MLS hlavičce jsou pro QoS vyhrazeny jen 3 bity). Další informace o DiffServ: InfusionQoS MLS2.pdf Jmenné a adresářové služby Jmenné služby jsou obecným principem překladu jmenných názvů (textových řetězců) na číselné adresy, se kterými snadněji pracují počítače. Typickým představitelem jmenných služeb je DNS, jehož hlavním účelem je překlad slovních adres, kterým rozumíme (třeba na číselné I adresy. Ke jmenným službám můžeme ve Windows řadit také WINS (Windows Internet Name Service, slouží k překladu názvů NetBIOS na I adresy). Ovšem WINS se již moc nepoužívá (zejména z důvodu značných omezení, například délka názvu je nejvýše 15 znaků). Oproti tomu adresářové služby slouží k uspořádání, zabezpečení a správě prostředků (často reprezentovaných objekty ve struktuře). Typickým představitelem adresářových služeb je například Active Directory rincip a struktura DNS DNS (Domain Name System) je, jak bylo výše uvedeno, jmenná služba, a to distribuovaná. Slouží především k překladu doménových jmen (také hostname) na I adresy zařízení. Distribuovaná je z toho důvodu, že překlad může být prováděn na jednom z mnoha DNS serverů (uplatňuje se princip lokality překládá především ten server, který je nejblíž). Distribuovanost funguje také z toho důvodu, že jmenné adresy jsou hierarchické (nejde o flat plochý adresový prostor, ale o hierarchický), a tedy přidělování jmen nemusí být centralizované. Sít je organizována v hierarchickém systému domén, kde každá doména má své jméno, a adresace pomocí jména se vytváří podle hierarchie. Můžeme si to představit jako řadu stromů, kde každý strom má jeden kořen nazývaný doména první úrovně (TLD, Top Level Domain, například.cz,.uk nebo.org) a dále se větví v dalších úrovních (domény druhé, třetí a příp. další úrovně). Například adresa mail.seznam.cz obsahuje celkem tři úrovně, z nichž první úroveň je zcela vpravo. TLD mohou být bud národní (například.cz,.uk,.sk) a nebo generické (nesouvisející se státem či národem, například.com,.edu,.org,.net).

176 7.7 JMENNÉ A ADRESÁŘOVÉ SLUŽBY 164 Ve skutečnosti i tyto stromy mají společný kořen (tzv. kořenovou doménu), která se označuje pouze samotnou tečkou (bez dalších znaků). řeklad názvů probíhá pomocí DNS serverů (jmenných name serverů). řekládá se ze jmenné adresy na číselnou I adresu, a nebo naopak (reverzní překlad). rotože není technicky realizovatelné mít jeden jediný DNS server se všemi potřebnými záznamy, a ani mít více takových DNS serverů, probíhá dotazování u DNS serverů distribuovaně. To znamená, že záznamy o vztahu jmenných a I adres jsou rozprostřeny mezi mnoho DNS serverů. Každý DNS server má záznamy o své zóně (oblasti, kterou spravuje). Každá doména první úrovně má určité množství tzv. kořenových serverů. Kořenový server dokáže podávat informace o subdoménách ve své doméně. Každé jméno (domény, zařízení apod.) musí splňovat určité náležitosti. ředevším jeho délka nesmí překročit 63 znaků a mohou se používat pouze písmena anglické abecedy (bez diakritiky), číslice a pomlčky (ne podtržítka, ta se ale mohou objevit v názvu souborů a adresářů). Celé doménové jméno musí mít maximálně 255 znaků to platí pouze pro doménové jméno, součástí URL adresy bývají názvy souborů a adresářů, pro něž tato omezení neplatí. Existuje možnost používání ne-ascii znaků v názvech domén (IDN International Domain Names), ale překlad (nahrazení těchto znaků probíhá v klientské aplikaci, nevyskytují se v zónových souborech). 6 Zóna je tedy oblast spravovaná jedním správcem (organizací), obsahuje jednu nebo více domén. Informace o zóně spravuje a poskytuje autoritativní DNS server 7 pro danou zónu (jeden nebo více). Tyto informace jsou uloženy v zónovém souboru. To bývá bud textový (DNS pro Windows) nebo binární soubor (BIND). V rámci organizace máme obvykle jednu kořenovou zónu, která zahrnuje doménu přidělenou organizaci, a dále mohou existovat další zóny, které jsou této kořenové zóně podřízené. Subdomény domény organizace (a jejich podstromy domén) jsou bud v téže zóně (kořenové), a nebo jsou v jiné zóně, tedy jejich správa byla delegována jiné než kořenové zóně. Takže celá struktura vypadá tak, že máme kořenový strom domén, kořenem stromu je bezejmenná doména, jejíž potomci jsou TLD, potomci domén TLD jsou domény druhé úrovně (SLD, Second Level Domain), atd., strukturu zón, v jedné zóně je jedna nebo více domén, zóny stanovují autoritu (co kdo spravuje), strukturu DNS (name) serverů, platí, že pro každou doménu máme jeden nebo více DNS serverů, z nichž jeden v každé doméně je primární. Rozlišujeme několik typů serverů v rámci zóny: primární server obvykle se jedná o autoritativní server zóny, v zóně je právě jeden; tento server je důvěryhodný, jeho data musí být neustále v aktuálním stavu (pokud provádíme 6 IDN se týká pouze názvů domén. Zbytek adresy také může obsahovat ne-ascii znaky (pozor, často nefunguje, není zatím plně dopracováno), ale jde o IRI (International Resource Indicator). 7 ojem autoritativní znamená dostatečně velká přístupová oprávnění také pro provádění změn. Tato oprávnění platí ve výchozím nastavení obvykle i pro subdomény

177 7.7 JMENNÉ A ADRESÁŘOVÉ SLUŽBY 165 změny, děláme to právě zde), tady najdeme zónový soubor, který lze případně konfigurovat, jde o autoritativní server domény, sekundární server (i více než jeden) obsahuje kopii dat primárního serveru, která je často aktualizována (synchronizována s primárním serverem zone transfer), slouží jako záložní primární server nebo pro rozložení zátěže, caching-only server neobsahuje všechny informace, vždy se dotazuje primárního (sekundárního) serveru, ale odpovědi na k němu směrované dotazy si nechává v cache a využívá je pro odpovědi na následné dotazy. Cache se používá i na primárních či sekundárních serverech pro informace o cizích doménách. Zone transfer (přenos zónového záznamu) z primárního na sekundární server provádí sekundární server v pravidelných intervalech, ale také při svém zapnutí a při upozornění (od primárního serveru), že došlo ke změnám v zónovém záznamu. Autoritativní odpověd poskytuje primární server. Odpověd od caching-only serveru není autoritativní (protože informace v cache už nemusejí být aktuální), tazatel si může explicitně vyžádat autoritativní odpověd. Odpověd sekundárního serveru je obvykle autoritativní (správná), protože odpovídá se zpožděním, které by mělo být nastaveno na vyšší hodnotu než je délka intervalu, ve kterém provádí zone transfer Dotazy v DNS DNS server, jak bylo výše uvedeno, si v zónovém záznamu vede informace o své doméně, obsažených subdoménách, a také informaci o nadřízeném serveru (tj. DNS serveru nadřízené domény). Každý DNS server zná kořenový DNS server celého systému. Rozlišujeme dopředné vyhledávání (nalezení I adresy podle doménového jména) a zpětné vyhledávání (reverzní, nalezení doménového jména podle I adresy). Reverzní vyhledávání se provádí přes doménu in-addr.arpa. Zde je hlavním problémem to, že jak jmenné, tak I adresy jsou hierarchické, ale každá v jiném směru doména TLD ve jmenné adrese je zcela vpravo, kdežto adresu sítě (hlavní část) v I adrese najdeme zcela vlevo. Dotazování v dopředném vyhledávání (máme jmennou adresu a chceme I adresu) probíhá distribuovaně DNS server často nedokáže na dotaz odpovědět okamžitě podle svých záznamů, proto se obrací nebo odkazuje na některý z kořenových serverů zadané domény první úrovně. Rozlišujeme dva typy dotazů: rekurzivní dotazy tazatel dostane již hotovou odpověd, iterativní dotazy tazatel postupně získává odkazy na místa, kde může dostat odpověd. Tazatel svůj dotaz (jaká je I adresa zařízení se jménem posílá tzv. lokálnímu DNS serveru (nejbližšímu, který zná). okud tento server již zná odpověd, poskytne ji. okud ne, další postup se liší podle používaného typu dotazování: Rekurzivní dotaz. okud DNS server nezná odpověd (adresa není z jeho domény), obrátí se na kořenový server nebo DNS server té domény z adresy, kterou ještě zná (to může být TLD).

178 7.7 JMENNÉ A ADRESÁŘOVÉ SLUŽBY 166 Dotazovaný DNS server se chová stejně pokud zná cíl, odpoví adresou, pokud cíl nezná, dotazuje se dále (obvykle ve svých subdoménách). Takto rekurzívně je dotaz posílán po stromě domén směrem dolů. Když se konečně dostane k DNS serveru, který zná odpověd, tento server odešle odpověd přímo lokálnímu DNS serveru, na kterém dotazování začalo, a ten ji odešle tazateli. říklad okud potřebujeme zjistit I adresu počítače obrátíme se na lokální DNS server. Ten odpověd nezná, tedy přepošle dotaz na některý z kořenových serverů domény cz. Dotazovaný kořenový server bud adresu dohledá ve svých záznamech a nebo dotaz pošle na některý z DNS serverů pro své subdomény podle jmenné adresy (firma). Dotaz se takto postupně dostane k DNS serveru, který identifikuje poslední část adresy (vlevo), www (obvykle jde o web server). otom bude odpověd (I adresa pro jmennou adresu odeslána tazateli. U rekurzivních dotazů se také používá pojem forwarding (předávání). Oproti následujícímu typu dotazů je menší pravděpodobnost zahlcování spojů. Iterativní dotaz. Zde je aktivita především na straně tazatele. okud dotazovaný DNS server (kterýkoliv, nejdřív lokální) nezná odpověd, nedotazuje se dále, ale tazateli odešle místo odpovědi seznam DNS serverů, které by mohly znát odpověd ( nevím, zeptej se serveru/ů xxxx, doporučí bud kořenový server, některý TLD, a nebo servery ze svých subdomén). Tazatel si vybere některý z doporučených DNS serverů podle toho, jak odpovídají doménové adrese, a táže se dále. Každý dotazovaný server opět pošle bud přímo odpověd, a nebo doporučení s názvy dalších DNS serverů. říklad okud potřebujeme zjistit I adresu počítače obrátíme se opět na lokální DNS server. Ten nám doporučí, abychom dotaz odeslali na některý z kořenových serverů domény cz, což uděláme. Dotazovaný kořenový server bud adresu dohledá ve svých záznamech a nebo vrátí pouze adresy name serverů, které mohou znát odpověd. Takto distribuovaně probíhá vyhodnocování dotazu (postupně podle vnořování domén různých úrovní), poslední tázaný name server vrátí požadovanou I adresu. Komunikaci zprostředkovává protokol DNS. Tento protokol používá obvykle UD pakety (může používat i TC, ale je to pomalejší), na portu 53. Na obyčejném desktopu obvykle neběží DNS server, ale pouze resolver. Resolver jen předává dotazy některému skutečnému DNS serveru, neřeší je DNS záznamy a formát dotazu Ke každé I adrese je v zónovém souboru přiřazena alespoň jedna jmenná adresa, může jich být více. Tedy jedna z těchto jmenných adres je nejdůležitější, nazývá se kanonické jméno počítače

179 7.7 JMENNÉ A ADRESÁŘOVÉ SLUŽBY 167 (cannonical name, cname). Další jmenné adresy přiřazené téže I adrese jsou aliasy. Name servery si uchovávají v zónovém souboru tyto typy záznamů: SOA (Start of Authority) obsahuje administrativní informace o doméně, A záznam určující vztah mezi konkrétní Iv4 adresou a k ní příslušejícím kanonickým jménem, AAAA totéž jako záznam typu A, ale pro Iv6, CNAME definice aliasu ke kanonickému jménu, tedy narozdíl od předchozího typu záznamu jde o dvojici alias cname, TR používáme při reverzním překladu (máme I adresu, potřebujeme jmennou adresu), NS (Name Server) informace o autoritativním DNS serveru pro danou doménu, MX (Mail exchanger) udává cestu k mail serveru pro danou doménu. Dále existují typy záznamů určené pro zabezpečení, například záznam typu KEY obsahuje veřejný klíč používaný při autorizaci. Vidíme, že v zónovém souboru nejsou pouze informace o způsobu mapování jmenné adresy na I adresu (záznamy typu A). Záznam typu MX umožňuje zjednodušeně adresovat mail server ( y obvykle posíláme na nejbližší mail server, v naší doméně). Součástí záznamů je také hodnota TTL, která plní podobnou úlohu jako u I datagramů, tedy zachycuje stáří záznamu. Obrázek 7.5: DNS paket v programu Wireshark

180 7.7 JMENNÉ A ADRESÁŘOVÉ SLUŽBY 168 akety protokolu DNS jsou poměrně jednoduché (zapouzdřují se obvykle do UD paketu), jsou stejné pro oba směry (dotaz a odpověd ). Struktura je následující: 1. Header (záhlaví) identifikační číslo (pro párování dotazu a odpovědi), typ DU (dotaz/odpověd ), zda má být dotaz rekurzivní, vyžádání si autoritativní odpovědi, atd. 2. Question (pole dotazu) obvykle jmenná adresa a dodatečné informace, 3. Answer (pole odpovědi) informace související s odpovědí včetně TTL, 4. Authority autoritativní jmenné servery (jejich jmenné adresy) ze záznamů NS, 5. Additional dodatečné informace (například také I adresy autoritativních jmenných serverů). Na obrázku 7.5 vidíme strukturu DNS paketu zachyceného programem Wireshark. V horní části okna je seznam datových jednotek (ten náš je v seznamu šedě podbarven, první zobrazený), prostřední podokno zobrazuje jednotlivé části paketu. V rozbalitelných větvích zachycujících jednotlivé slupky rozbalovaného paketu je základní informace o rámci (zde není zobrazen kořen podstromu; délka, časové údaje, atd.), popis ethernetového rámce na L2 (uzel označen Ethernet II; MAC adresy a IG/LG bity), Iv4 datagram (I adresy, hodnoty jednotlivých polí v záhlaví včetně nastavení fragmentace, TTL, vnořeného protokolu), UD segment (zdrojový a cílový port, délka) tato větev je už na obrázku rozbalená, konečně DNS paket (číslo transakce, jednotlivé příznaky (podle nich například vidíme, že jde o dotaz, který má být proveden rekurzívně a jsou vyžadována autorizovaná data), po číselných položkách následují jednotlivé údaje dotazu (doménová adresa, chceme I adresu typu A, tedy Iv4). MAC adresy jsou zakryty. Ve Windows (na serverových verzích) se setkáme s rolí DNS Server. Na jiných systémech (včetně Windows, když nedisponujeme serverovou verzí) se setkáme se systémem BIND (program samotný je pojmenován named), TinyDNS nebo DJBDNS. Také na desktopu máme možnost nahlédnout do mechanismu DNS. Ve Windows i v Linuxu lze používat příkaz nslookup (mírně se liší v poskytovaných možnostech a samozřejmě v implementaci). Tento příkaz lze využívat v běžném (jednorázové příkazy) i interaktivním režimu, a to obvykle pro zjištění I adresy k doménové adrese nebo naopak, zjištění adres DNS serverů, případně zjištění parametrů překladu. říklady použití jsou v příloze (pro Windows to je kapitola B.3.2, strana 234, v Linuxu je syntaxe velmi podobná strana 270). V unixových systémech máme k dispozici nejen nslookup, ale také nástroj dig (strana 270). Tento nástroj je komplexnější a jeho výstupy jsou podrobnější (nicméně je možné si vyžádat krátkou odpověd ve stylu nslookup). Existují další nástroje, již pro profesionální použití, například DNS Staff ( nebo webové aplikace (například na Bezpečnost v DNS V poslední době se hodně diskutuje o zabezpečení DNS. řekladu jmenné adresy na I adresu obvykle věříme a mnoho uživatelů vůbec nenapadne, že ve skutečnosti mohou komunikovat

181 7.7 JMENNÉ A ADRESÁŘOVÉ SLUŽBY 169 s protistranou s jinou I adresou, než kterou předpokládají. Důsledkem napadení DNS může být například provedení útoku Man-in-the-Middle, přesměrování na napadený server za účelem šíření škodlivého kódu, odposlechnutí hesla, čísla karty apod. V rámci zabezpečení DNS je tedy třeba zajistit, aby DNS pakety s informací o překladu nemohly být podvrženy. Je to vpodstatě obdoba mechanismu SEND, který zabezpečuje AR. DNSSEC (DNS Security Extensions) je bezpečnostní rozšíření systému DNS umožňující DNS klientovi ověřit původ dat (zda pocházejí od správného DNS serveru). ři použití DNSSEC se používá asymetrické šifrování následovně: provozovatel DNS domény vygeneruje dvojici klíčů (soukromý a veřejný klíč), veřejný klíč uloží u nadřazené autority své domény (vytváří se jakási hierarchie důvěry), soukromým klíčem šifruje DNS server pakety, které odesílá, příjemce (DNS klient, resolver) je dešifruje veřejným klíčem, který získal od nadřazené autority DNS serveru. Jedná se vlastně o elektronicky podepsané DNS pakety. Také správce české TLD domény na svých DNS serverech používá DNSSEC, přičemž jeho nadřazenou autoritou (a místem, kde je příslušný veřejný klíč) je správce celosvětové sítě DNS serverů. Nadřízená autorita ručí za správnost překladu svých bezprostředních podřízených. Další informace o DNS: Úkoly Najděte v příloze příkazy pro překlad názvů pro Windows nebo Linux, podle systému, na kterém pracujete. Vyzkoušejte ukázky, které v příloze najdete Adresářové služby a Active Directory od pojmem adresář rozumíme databázi, která je organizována hierarchicky. Zatímco u jmenných služeb jde především o překlad názvů na čísla a hierarchie jmen je udržována za účelem fungování tohoto překladu, u adresářových služeb je právě adresář to hlavní a celá funkcionalita spočívá v práci s adresářem a řízení přístupu k němu. Adresářová služba je autentizační autorita (tak jako například RADIUS server nebo ve Windows LSA).

182 7.7 JMENNÉ A ADRESÁŘOVÉ SLUŽBY 170 Standardem pro adresářové služby je X.500, protokol DA (Directory Access rotocol). Tento standard je však příliš obsáhlý, a proto jej prakticky žádná funkční adresářová služba neimplementuje celý. Většina adresářových služeb je postavena na protokolu LDA (Lightweight Directory Access rotocol). Jde o aplikační protokol pracující nad TC/I. V názvu má lightweight (odlehčený), protože jde o zjednodušení protokolů, které se pro tyto účely používaly původně (X.500 zahrnující DA, DS a další). Důležitou vlastností, která zajišt uje snadnou přenositelnost, je komunikace mezi uzly přes protokoly rodiny TC/I. Active Directory je implementace protokolu LDA pro Windows od verze Je závislá na DNS (můžeme ji chápat jako nástavbu nad doménami DNS), například přejímá názvy domén DNS a využívá DNS při vyhledávání v doménách. V lokální síti musí existovat alespoň jeden server DNS, na klientských počítačích musí být nakonfigurován klient DNS třeba přes DHC. Domény Active Directory však nejsou totožné s doménami DNS, i kdyby měly stejný název, jsou jinak reprezentovány, ukládají se jiné typy informací. oužíváme tyto pojmy: adresářová databáze (adresář) je databáze objektů, které jsou v systému spravovány, je hierarchicky uspořádaná (takže adresář je vlastně o objektech a vztazích mezi nimi, to vše je uloženo v souborech), objekty mohou být například uživatelé, skupiny, počítače, domény, apod., každý objekt má své vlastnosti (například přístupová práva), tyto vlastnosti se v hierarchické struktuře mohou dědit, kontejner je objekt, který může obsahovat další objekty (obdoba složek na disku), AD schéma popisuje objekty, které mohou být uloženy v adresáři Active Directory (jaké mohou mít atributy, co v nich může být uloženo, obdoba třídy), doména je skupina počítačů sdílejících společnou adresářovou databázi, organizační jednotka (OU) je podskupina domény (ale ne jakékoliv) oddělená za určitým účelem (například firma může mít jedinou doménu a tu rozčlení na organizační jednotky podle svých oddělení). OU mohou být i vnořené. V síti je Active Directory provozován na doménových řadičích (domain controller, vpodstatě jde o doménové servery), musí existovat alespoň jeden (primární řadič domény) a případně další (ale záleží na konkrétní verzi Windows, některé verze mají s dalšími řadiči trochu problém). V každé síti je nejméně jeden Globální katalog (první globální katalog se vytvoří na primárním řadiči domény). V Globálním katalogu jsou především souhrny informací obsažených v dalších doménových serverech sítě (ne všechny parametry, jen nejdůležitější), hovoříme také o replikaci (dynamickém vytváření kopií). Globální katalogy slouží při vyhledávání informací v síti a také k autentizaci (uživatel se vlastně z technického hlediska přihlašuje ke globálnímu katalogu) a autorizaci. Takže přes doménové řadiče s globálními katalogy přistupujeme k objektům a také se na nich provádí autentizace (kontrola při přihlašování) a autorizace (při přístupu k objektům).

183 7.7 JMENNÉ A ADRESÁŘOVÉ SLUŽBY 171 V Active Directory (také ve jmenných službách včetně DNS) se používá několik druhů názvů podle typu zanoření v doménách. Jsou to především Domain Component (DC, uzel domény), Organization Unit (OU, organizační jednotka, to je Active Directory Container, obdoba složky) a Common Name (CN, objekt). Adresace (popis cesty k objektu) podle struktury na obrázku 7.6 je cn=novak,ou=zamestnanci,dc=firma,dc=cz Tento způsob adresace objektu se označuje DN (Distinguished Name). Další způsob adresace, UNC, známe z DNS názvů: firma.cz/zamestnanci/novak ou=pocitace dc=firma,dc=cz ou=zamestnanci cn=novak Obrázek 7.6: Názvy v doménách Existují i další způsoby adresace, především RFC 822 (forma silně připomínající ) a názvy LDA (ve formě ldap://uncdomeny/cn=...,ou=...). Na desktopu obvykle služba Active Directory není nainstalována, pracujeme zde pouze se zásadami 8 (politikami), a to v nástrojích Místní zásady zabezpečení a Zásady skupiny (Group olicies Editor gpedit.msc). V síti se zprovozněným Active Directory jsou zásady skupiny napojeny na Active Directory. Dnes jsou běžné heterogenní sítě (tj. na počítačích v síti jsou různé typy operačních systémů. Může se zdát, že používání mechanismu Active Directory v heterogenní síti je problém, ale řešení existuje, spočívá v použití jakýchsi překladatelů protokolů, které zprostředkují komunikaci mezi počítači s různými operačními systémy. V případě použití Active Directory jde především o protokol LDA implementovaný také na jiných operačních systémech včetně Linuxu, dále pro přístup k datům se používá protokol SMB. Další informace o Active Directory: od pojmem zásada (politika, policy) obvykle rozumíme konkrétní nastavení (obvyke týkající se zabezpečení) pro danou komponentu či vlastnost.

184 Kapitola 8 Bezpečnost a správa sítí 8.1 Bezpečnost v sítích Typy útoků V počítačové síti je třeba čelit různým typům útoků, z nichž některé jsou vzájemně provázány. Této problematice jsme se věnovali v předmětech raktikum z operačních systémů a Operační systémy, tedy jen stručně. ředevším nás zajímají tyto útoky: Mapping (mapování) jde vlastně o jakousi přípravu k následujícím útokům. Hacker získává co nejvíc informací, aby vlastní útok mohl být co nejúspěšnější. Network sniffing (naslouchání na síti) packet sniffer (zachytávač nebo odposlouchávač paketů) odkloní provoz na síti, zachytává pakety a získává z nich informace (pak je posílá dál k cíli, nedoručené pakety by znamenaly jeho odhalení). Účelem sniffingu je především získávat hesla přenášená v textovém tvaru a také další citlivé informace. Také je možné zachytávat a pozměňovat obsah paketů a nebo dokonce číst a pozměňovat informace na uzlech v síti (včetně konfiguračních souborů nebo hesel). Účinnou obranou je především spolehlivé šifrování (včetně autentizace po síti), a také fyzické zabezpečení sítě, protože tento typ útoku vyžaduje fyzický přístup k síti. To může být problém u bezdrátových typů připojení. acket sniffer však může být zcela legálně využíván administrátorem ke sledování provozu na síti. I Spoofing podvrhnutí I adresy. Komunikující uzel předstírá, že je vlastníkem I adresy, která ve skutečnosti patří jinému uzlu (nebo nepatří žádnému uzlu). Obvykle jde o případ, kdy se útočník snaží předstírat, že je řádným členem privátní sítě používající určitý rozsah I adres, případně se pokouší vydávat za konkrétní uzel v síti. Častým způsobem použití je zneužití některých protokolů, včetně protokolu SMT pro odesílání ů. Tento útok spočívá například ve změně směrovacích tabulek na routerech v síti. Obranou je tedy především zabezpečení routerů a bezpečná implementace směrovacích algoritmů. 172

185 8.1 BEZEČNOST V SÍTÍCH 173 DoS (Denial of Service) odmítnutí služby. Jde o vynucení odmítnutí služby legitimním uži- vatelům. Tento útok probíhá bud využitím chyby v kódu (některého protokolu nebo operačního systému), vyvolaným přetížením sítě nebo podvrženými zprávami pakety o stavu sítě. Server je zahlcen žádostmi o spojení (TC handshake) nebo žádostmi o data, které není schopen vyřídit, a proto i následný provoz je zadržen. DDoS (Distributed DoS) velmi nebezpečná varianta předchozího typu útoku, proti které se téměř nelze bránit. Častým nedobrovolným účasníkem DDoS útoků jsou sítě botů. Bot je napadený počítač ovládaný na dálku hackerem (bez dovolení a většinou také bez vědomí právoplatného majitele). Sítě botů, a to i velmi rozsáhlé (resp. jejich služby), jsou prodávány na černém trhu kromě jiného právě k DDoS útokům. Hijacking (únos spojení) jde především o útoky související s vytáčeným spojením, ale také obecně s jakýmkoliv placeným spojením vyžadujícím autentizaci (například soukromé Wi-Fi sítě). Účinnou obranou je použití vhodného šifrovacího algoritmu při autentizaci. Útoky na zjištění hesla heslo lze zjistit například brute-force útokem (hrubá síla), použitím trojského koně a některými výše popsanými metodami. Další možností je sociální inženýrství, které je v současné době na vzestupu (uživatel defacto tento údaj prozradí sám a dobrovolně, je z něho podvodně vylákán). Brute-force útok je většinou veden jako slovníkový, tj. automaticky jsou zkoušeny všechny řetězce z vytvořeného slovníku (nemusí jít jen o anglická slova!), proti čemuž se lze bránit nastavením maximálního počtu neúspěšných přihlášení, po překročení tohoto limitu je přístup zcela zablokován. Dále je možné po uživatelích vyžadovat používání tzv. silného hesla (dostatečně dlouhého, obsahujícího jak písmena, tak i číslice a další znaky dvojtečka, procento, zavináč, apod.), s čímž ale bývají problémy (uživatelé raději volí takové heslo, které si dokážou zapamatovat). Také je třeba si uvědomit, že mnohá zařízení (routery, modemy, apod.) mají heslo administrátora přednastaveno na hodnotu, která je všeobecně známá (zjistitelná). roto při instalaci podobných zařízení do sítě je nutné změnit heslo administrátora. řenosy citlivých informací zvláště firemní sítě by měly být dobře zabezpečeny. okud zaměst- nanec přistupuje k firemní síti externě (například na pracovní cestě, tj. z jiné LAN, resp. počítač není přímo připojen do LAN), mělo by být spojení zabezpečené virtuální privátní sít (VN), vytváří se tzv. tunel, data včetně autentizace se přenášejí v šifrované podobě. Kromě dříve zmíněných protokolů se používá protokol ISec. Man-in-the-Middle hacker se dostane mezi dva komunikující počítače a odposlouchává nebo dokonce pozměňuje komunikaci mezi nimi. Tento typ útoku souvisí s některými předchozími únos spojení, zjišt ování hesla apod. Lidský faktor nepřítel může být i uvnitř sítě, a to dokonce i takový, který to o sobě netuší. Zvláště v poslední době jsou pro útoky často voleny metody sociálního inženýrství. Sociální inženýrství je metoda, jak z uživatele vytáhnout potřebné informace třeba i bez použití techniky, a to jeho uvedením v omyl (obelstěním). Uživatel je přesvědčen, že informace předává důvěryhodné osobě z naprosto nutných důvodů.

186 8.1 BEZEČNOST V SÍTÍCH 174 Útočník se vydává například za zaměstnance bezpečnostního oddělení, opraváře, zaměstnance telefonní společnosti, nového kolegu, apod. a nenápadně ze svých obětí vytáhne vše potřebné (hlavně hesla), případně si vyzkouší nový skvělý počítač nebo se jinak dostane k technice na pracovišti. Stává se to především ve větších firmách, kde se nepočítá s tím, že by se všichni zaměstnanci znali, ale kontakt může probíhat i neosobně přes telefon nebo mail. rávě do telefonu jsou zaměstnanci schopni říci o své firmě neuvěřitelné věci včetně těch, které jsou obchodním tajemstvím. Sociální inženýrství může mít i materiální povahu například volně pohozená přenosná zařízení, která jsou pro mnoho lidí neodolatelná. odle DHS 1 je kolem 60 % běžných uživatelů schopno náhodně nalezený USB flash disk připojit ke svému počítači, třebaže netuší, zda se na něm nenachází škodlivý software. odobně lze zneužít i jiná přenosná zařízení, zde je nejlepší ochranou poctivost, tedy odevzdat nalezený předmět do ztrát a nálezů. Sociální inženýrství je v současné době jedna z nejpoužívanějších (a taky nejefektivnějších) metod získávání utajených informací. Na to by měli myslet zejména administrátoři firemních sítí a zajistit patřičné školení všech, kdo se do firemní sítě připojují. Jak se bránit? Nevěřit všemu, co kdo povídá. Zvláště když jsem například administrátor firemní sítě, musím si vše ověřovat (totožnost žadatele o nové heslo po jeho zapomenutí, nutnost provedení požadovaného zásahu do systému, apod.). Heslo či jiné podobné údaje si nenecháváme na papírku přilepeném k monitoru (nebo na jiných obvyklých místech). Volíme silná hesla. Každý systém zabezpečený heslem (včetně operačních systémů) lze nastavit tak, aby po stanoveném počtu chybných pokusů o přihlášení byl účet zablokován. Banky ani jiné instituce nechtějí po svých zaměstnancích zasílání hesel, certifikátů, TAN, čísla kreditní karty a podobných údajů mailem ani žádným jiným nezapezpečeným způsobem (jen přes zabezpečené stránky přímo při přihlašování). A rozhodně o ně nežádají mailem ani telefonem. Správce sítě by měl mít každou žádost o zásah do účtů zaměstnanců nebo systému vždy papírově podloženou. Útočníci používající sociální inženýrství dělají domácí úkoly shánějí co nejvíc informací (včetně osobních), které by mohli využít. Firma by měla zvážit, co zveřejní (a totéž platí i o domácích uživatelích, také například na diskusních fórech a sociálních sítích). Skartovačka není zbytečné zařízení. Důležitým pojmem v bezpečnosti je FIRST (Forum of Incident Response and Security Teams). Jedná se o seskupení bezpečnostních týmů reagujících na různé hrozby a bezpečnostní incidenty. FIRST se také podílí na udržování standardu CVSS (Common Vulnerability Scoring System společný systém pro hodnocení zranitelností). Informace najdeme na L 1 DHS (Department of Homeland Security,

187 8.2 SÍŤOVÝ ANALYZÁTOR Zabezpečení na jednotlivých vrstvách ISO/OSI Na kterékoliv vrstvě lze šifrovat data. V ISO/OSI modelu se při toku dat směrem dolů šifrují veškerá data vyšší vrstvy, tj. včetně záhlaví. Dále: 1. Na linkové vrstvě se provádí šifrování podle dané přenosové techniky (např. dle IEEE ). 2. Na sít ové vrstvě se implementuje zabezpečení spojení mezi dvěma uzly včetně vytvoření tunelu při VN spojení (protokol ISec). 3. Na transportní vrstvě pracuje SSL. 4. Na aplikační vrstvě se používají klíče včetně G. 8.2 Sít ový analyzátor Sít ový analyzátor je zařízení, které se připojuje mezi některý prvek sítě (C, server, most, router, atd.) a LAN, také může být součástí jiného zařízení. Samostatný sít ový analyzátor (přenosný) může být i velmi malý, může připomínat mobilní telefon. Obrázek 8.1: Sít ové analyzátory 2 racuje na fyzické nebo vyšších vrstvách, na tom záleží, které charakteristiky dokáže sledovat. Na fyzické vrstvě především stav média, provoz (zatížení), dokáže generovat vlastní provoz, na vyšších vrstvách může podporovat také virtuální sítě, sledování stavu dostupných uzlů sítě, sledování rámců, příp. paketů, atd. Sít ový analyzátor dosáhne pouze tam, odkud se k němu dostanou data. U uzlu sítě je tedy omezen na jedinou kolizní doménu (tj. k nejbližšímu přepínači nebo směrovači). roto bývá vhodné umístit sít ový analyzátor na takový uzel sítě, který se vyskytuje ve více kolizních doménách, například právě směrovač. řehled některých sít ových analyzátorů najdeme například na Hardware of firmy Fluke je v této oblasti všeobecně znám. Nejpoužívanější přístroje: LinkRunner pracuje na fyzické vrstvě, identifikace vlastností Ethernetového spojení negociace (10/100/1000 Mb, duplex apod.), detekce poruch kabelů včetně vzdálenosti k poruše, zásuvek, provoz na segmentu, atd. 2 Zdroj:

188 8.3 FIREWALL 176 NetTool sít ová vrstva, testy na fyzické vrstvě (kabeláž, negociace, využívání segmentu), spojové (detekce kolizí a chybových rámců, VLAN, vyhledávání MAC adres v síti, apod.), sít ové (vyhledávání I adres v síti, podsítí, routerů a dalších zdrojů, ping, atd.), měření oe, monitoring parametrů VoI, atd. AirCheck analýza Wi-fi sítě a/b/g/n Hardware of firmy Embedded Technologies obsahuje obvykle vlastní variantu embedded Linuxu (tj. Linuxu upraveného pro speciální účely, zde pro sít ová zařízení) zároveň s dalším potřebným softwarem. Například: Sít ový analyzátor vestavěný sniffer Wireshark, NAT, firewall, atd. Diagnostický switch pro Ethernet Něco podobného si lze vytvořit vlastnoručně ze staršího (nadbytečného) počítače s potřebným množstvím hardwarových rozhraní, distribuce embedded Linuxu jsou dostupné na Internetu. Softwarové sít ové analyzátory: Sít ové analyzátory mohou být také softwarové sledují a pří- padně ovlivňují sít ový provoz související s počítačem, na kterém jsou nainstalovány (ideálně server, ale může to být kterýkoliv počítač v síti). Asi nejznámější softwarový sít ový analyzátor je Wireshark (dříve se nazýval Ethereal) dostupný na Diagnostika bezdrátových sítí byla probírána v kapitole (str. 124) pro fyzickou vrstvu, v kapitole (str. 129) pro MAC podvrstvu. Další informace o sít ových analyzátorech najdeme na K1599.pdf catalog&action=view&category id=60&id= Firewall rincip firewallu Firewall je sít ový prvek (hardwarový nebo softwarový), který slouží k řízení provozu mezi sítěmi s různou úrovní důvěryhodnosti či zabezpečení. Ve firewallu jsou definována pravidla pro komunikaci mezi sítěmi, podle kterých reaguje bud povolením komunikace, jejím zakázáním a nebo žádostí o vyjádření uživatele. ravidla se obvykle týkají těchto údajů: zdroj a cíl komunikace, může být zadán I adresou, číslo portu, přes který se komunikuje (tj. můžeme zablokovat používání některého portu), může jít o zdrojový i cílový port, používaný protokol, stav spojení, atd.

189 8.3 FIREWALL 177 Firewall může být bud jen jednosměrný (filtruje pouze příchozí pakety) nebo obousměrný (filtruje příchozí i odchozí pakety). Lepší je samozřejmě obousměrný, dokáže efektivněji zachytit případné vynášení citlivých informací. Kromě softwarových firewallů existují také hardwarové firewally fungující jako mezilehlé prvky sítě. Dnes jsou většinou součástí směrovačů (routerů) nebo jiných běžných sít ových prvků (na typu zařízení závisí, k jakým informacím se firewall dostane). Hardwarový firewall má velkou výhodu v nižším riziku napadení (není závislý na operačním systému klientského počítače). Další výhodou je nezávislost na výkonu počítače pokud je procesor počítače hodně zatížen, má to vliv i na činnost (především rychlost) softwarového firewallu na tomto počítači nainstalovaného. Hardwarový firewall (třeba vestavěný v jiném sít ovém zařízení) takto ovlivněn není. Z hlediska bezpečnosti je v domácnostech a menších firmách za ideální považována kombinace jednoduchého hardwarového firewallu ve směrovači (například ADSL router) a softwarového routeru na počítači, jaždý z nich jiného typu. Softwarové firewally slouží bud k ochraně koncových uzlů, a nebo mohou běžet v operačním systému nainstalovaném na (téměř) jakémkoliv sít ovém prvku. Oblasti podle firewallu. Z pohledu firewallu členíme sít do několika oblastí: vnitřní sít do této oblasti patří vše, co je naše, čemu můžeme důvěřovat, uzel z vnitřní sítě může (s ohledem na přístupová oprávnění) iniciovat spojení k vnitřní i vnější síti, vnější sít typicky Internet, demilitarizovaná zóna (DMZ) zóna nikoho, z bezpečnostního hlediska někde mezi vnitřní a vnější sítí. Do DMZ lze umístit například to, co je sice naše, ale má být přístupné z vnější sítě (například web server, mail server, DNS server). Servery v DMZ by měly být zabezpečeny tak, jako by byly opravdu přímo na Internetu, třebaže jsou od Internetu odděleny firewallem. Další možnost využití DMZ je propojení k třetí straně, které víceméně důvěřujeme, typicky dodavateli služby, kterou si nemůžeme zajistit vlastními silami. Obě možnosti můžeme zkombinovat a používat dvě demilitarizované zóny (nebo více). Na sít ovém zařízení podporujícím DMZ máme obvykle jeden nebo více (hardwarových!) portů takto označených, případně můžeme některé porty sami nakonfigurovat tak, aby se s nimi zacházelo jako s DMZ (například tehdy, když chceme starší počítač využít jako hardwarový firewall, ukázky najdeme v příloze). TC/UD porty. Běžný uživatel si většinou s nastavením (softwarových) portů neví rady (viz část první kapitoly věnovanou TC/UD paketům). Na internetu najdeme stránky se seznamy známých a registrovaných portů používaných různými protokoly. 3 Tyto seznamy jsou však použitelné pro sledování odchozího provozu nebo při nastavování portů na serveru. Ve skutečnosti aplikace mohou používat i jiné porty, než které jsou běžné pro protokoly, se kterými pracují. 3 Seznam portů a případně služeb najdeme například na of TC and UD port numbers, Na české Wikipedii není seznam úplný.

190 8.3 FIREWALL Typy filtrování Rozlišujeme různé typy filtrování podle toho, na kterou vrstvu ISO/OSI lze danou metodu zařadit (a tedy na které informace v záhlavích dosáhneme ). Obvykle se jedná především o filtrování na sít ové vrstvě (L3), protože tam lze pracovat s I adresami. aketový filtr. Jedná se o nejjednodušší filtrování na L3 a částečně L4, v pravidlech se uvádějí jen I adresy a čísla portů. Je to jednoduché a rychlé řešení (provoz je zdržován jen minimálně), které se dříve běžně uplatňovalo především na mezilehlých sít ových prvcích (například starší verze operačního systému IOS pro směrovače), dnes je najdeme v některých nejlevnějších směrovačích. Nevýhodou je neschopnost nahlížet do komunikace probíhající v složitějších protokolech. ACL na sít ové vrstvě. ACL (Access Control List seznam řízení přístupu, přístupový seznam) je metoda široce používaná jak v desktopových a serverových operačních systémech, tak i v sít ových zařízeních. Účelem je určovat pravidla přístupu pro různé uživatele/komunikace. Vpodstatě se jedná o funkční nástavbu metody paketového filtru. S ACL v operačních systémech jsme se seznámili v předmětu Operační systémy (cvičení Windows i Linux). řístupový seznam je vlastně seznam položek v této formě: deny to, co nemá projít permit to, co může projít deny all else obvykle poslední položka seznamu, co nebylo zmíněno, nesmí projít ACL je většinou implementován ve formě co není dovoleno, je zakázáno, takže najdeme spíše jen položky permit (a co není v těchto položkách, to neprojde). řípadně se můžeme setkat s celou strukturou navzájem provázaných ACL. oložky se procházejí sekvenčně, jedna po druhé, a hledá se shoda. Také pořadí položek je důležité. Filtruje se obvykle podle cílové I adresy, podle zdrojové I adresy, podle jejich kombinace, a nebo případně podle dalších kritérií (například podle položek v DU sít ové vrstvy protokolu I, ICM, podle TC/UD portu, se kterým se navazuje spojení ze sít ové vrstvy, apod.). Adresa obvykle bývá adresou podsítě, tedy je uložen prefix a jeho délka (resp. maska, aby bylo zřejmé, u kolika bitů adresy se má hledat shoda). Ukázky ACL najdeme například na priklad.pdf -mezi-vlany/ Stavová inspekce paketů. řesuneme se o vrstvu výše na transportní vrstvě (L4, konkrétněji ted jsme na celém TC/I definovaném na L3 a L4) se provádí filtrování SI (Statefull acket Inspection, stavová inspekce paketů, také stavový paketový filtr). Zatímco na L3 se pakety berou jako jedináčci bez vzájemné vazby, na L4 je možné brát při filtrování v úvahu jejich vzájemné vztahy. například můžeme odlišit pakety, které navazují spojení, od paketů, které patří do již existujícího spojení.

191 8.3 FIREWALL 179 aket navazující spojení je důkladně prověřen (údaje z vrstev L3 a L4, například zdrojová a cílová adresa, protokoly, zdrojové a cílové porty, příznaky nastavené podle jednotlivých protokolů, cokoliv, co je v záhlavích DU) a pokud projde, vytvoří se v stavové tabulce záznam povolující dané spojení. okud paket kontrolou neprojde úspěšně, záznam se nevytvoří. akety, které patří do již navázaného spojení (nebo se za takové vydávají), se filtrují podle toho, zda jejich spojení je zaznamenáno ve stavové tabulce. Stavová inspekce paketů se obvykle provádí na firewallu, nebo může jít o zařízení přímo určená k tomuto účelu. Jako SI zařízení můžeme využít také běžný počítač s nainstalovaným Linuxem a jeho firewallem NetFilter (s rozhraním iptables), který SI podporuje. V současné době je SI vpodstatě standardem kvalitních firewallů. Oproti běžnému paketovému filtru nabízí větší bezpečnost při relativně malém zpomalení provozu při filtrování. okud takový firewall je součástí jádra (rozšiřující modul jádra), dokáže chránit před napadením i sám sebe. IDS/IS, DI. SI můžeme brát jako základ pro IDS/IS systémy: 1. IDS (Intrusion Detection System, systém pro detekci útoků) pracuje podobně jako antivirus, tedy používá signatury útoků (vede si jejich databázi, kterou je nutné aktualizovat nebo mít k dispozici v cloudu ), heuristiky (využívá statistické metody vyhodnocující provoz na síti) a detekci neobvyklého chování sítě (zjišt ují se odchylky od běžného provozu na síti). Detekuje pokusy o průnik do systému a podá informaci zařízení, které dokáže na útok reagovat. Detekce musí fungovat i při rozdělení signatury (typického vzoru) do více paketů. 2. IS (Intrusion revention System) podobně jako IDS provádí detekci útoků, ale navíc aktivně reaguje. Reakce má útoku zabránit, proto také konkrétní místo IS sondy je třeba naplánovat tak, aby mohla případně také zasahovat do konfigurace jiných sít ových zařízení. Firewall může mít integrovanou funkci (modul) IDS/IS, ale obecně je bezpečnější (zvláště u větších sítí) nasadit IDS/IS odděleně od firewallu. Setkáváme se také s názvem Stavový paketový filtr s hloubkovou kontrolou (Deep acket Inspection), to je právě firewall s integrovaným modulem IDS/IS. Tento typ firewallu přidává další možnosti definování pravidel související s obvyklými vlastnostmi komunikace s danou (známou) aplikací či protokolem. okud například zjistí, že protokol http je používán pro jiný typ komunikace než s WWW server, tento požadavek zablokuje jako podezřelý. Další informace: informacnich technologii/l19/cl25/st1/j1/uvod do IDS/IS.html

192 8.3 FIREWALL 180 Obrázek 8.2: Schéma možného zapojení IDS/IS 4 roxy na aplikační vrstvě. osuneme se ještě o vrstvu výše na aplikační vrstvě TC/I pracují proxy firewally (také aplikační brány). racují s aplikačními protokoly, například rozumí protokolu HTT, FT, IMA, dokážou pracovat s pakety obsahujícími prvky pro ActiveX, apod. Tento typ firewallu odděluje sítě až do té míry, že počítač (server) ve vnější síti nezná I adresu počítače ve vnitřní síti, se kterým komunikuje (vidí pouze I adresu brány). Veškerá komunikace je zpracovávána pomocí tzv. proxy softwarových bran bud naprogramovaných pro konkrétní typ komunikace (protokol) s poměrně vysokým stupněm zabezpečení (například pro protokol FT nebo HTT), nebo pomocí generické proxy s úrovní bezpečnosti podobnou jako paketový filtr. roxy defacto zcela odděluje vnitřní a vnější sít (v podobném smyslu jako NAT) a při filtrování využívá informace prakticky ze všech vrstev TC/I, protože při prokopávání k záhlaví protokolů vrstvy L7 prochází přes záhlaví předchozích vrstev. Rozlišujeme dva typy proxy: 1. Běžný (standardní) proxy pro něj platí vše, co bylo dříve o proxy napsáno. Filtruje všechny pakety podle údajů z DU protokolů aplikační vrstvy a nižších vrstev. 2. Dynamický proxy chová se odlišně k různým paketům; k zahajujícím spojení se chová stejně jako první typ proxy, ale k paketům patřícím do již vytvořeného spojení se chová jako SI (tj. na nižší vrstvě TC/I). Důsledkem je zrychlení odbavování příchozího i odchozího provozu. roxy nejen rozumí řazení paketů do jednotlivých spojení, ale také umí sám spojení navazovat. Další informace o proxy najdeme na base/zav prace soubor verejne.php?file id=15131 Další informace o firewallech: informacnich technologii/l19/cl44/st4/j1/soucasnost a trendy reseni firewallu.html 4 Zdroj:

193 8.4 VN informacnich technologii/l19/cl25/st1/j1/uvod do IDS/IS.html base/zav prace soubor verejne.php?file id=15131 V přílohách najdeme sekce o firewallu ve Windows a v Linuxu včetně potřebných příkazů pro konfiguraci. Na straně 246 je sekce o firewallu ve Windows, na straně 274 je sekce o firewallu v Linuxu (velmi podrobná včetně příkladů pravidel). Úkoly V příloze od strany 274 je sekce o firewallu NetFilter, ve které jsou na příkladech vysvětleny nejdůležitější funkce firewallů. rojděte si dotyčnou sekci a ujasněte si princip filtrování, SI, překladu adres a dalších OpenWRT Zajímavým projektem je OpenWRT. Jedná se o embedded Linux (tj. Linux upravený pro určitý konkrétní typ zařízení, typicky firmware takového zařízení) pro routery některých výrobců, například firmy Mikrotik (RouterBoard). Jeho výhodou oproti originálnímu operačnímu systému (například u desek RouterBoard je to RouterOS taktéž založený na Linuxu) je to, že má k běžným linuxovým distribucím mnohem blíže než jiné embedded Linuxy. Zatímco obvykle se firmware aktualizuje jako celek (to může být celkem nebezpečné, dotyčné zařízení se při poruše při aktualizaci může zcela odrovnat), OpenWRT je pružný systém, který lze aktualizovat, konfigurovat a jakkoliv měnit prakticky za provozu a můžeme při tom používat jak běžný balíčkovací systém, tak při konfiguraci třeba textový editor. Jak bylo výše zmíněno, OpenWRT používá balíčkovací systém a tedy lze doinstalovat různé balíčky podle potřeby, výběr je veliký. Do distribuce patří samozřejmě firewall NetFilter s přístupovým programem iptables, podporuje ftp, samba, telnet, ssh, lze doinstalovat X Window a nějakého vhodného správce oken, konfigurujeme obvykle přes ssh (případně lze přes ssh bezpečně provozovat grafické prostředí). Ve výchozím stavu je tato distribuce vybavena typicky pro Wi-fi router, což ale můžeme změnit podle svých vlastních potřeb. 8.4 VN VN (Virtual rivate Network) je, jednoduše řečeno, zabezpečené spojení procházející nedůvěryhodným prostředím (obvykle Internetem). oužívá se v těchto případech: Mobilní zaměstnanec potřebuje na svých cestách zabezpečený přístup do firemní (lokální) sítě, aby mohl přistupovat do firemního informačního systému a dalších zabezpečených zdrojů. Do této kategorie bychom mohli zařadit i zaměstnance pracující doma. Tento případ nazýváme remote access (vzdálený přístup).

194 8.4 VN 182 Je třeba propojit dvě vzdálené lokální sítě (například pobočky téže firmy), ale nechceme volit poněkud drahé řešení WAN sítě od telekomunikační firmy. Tento případ se nazývá site-to-site. Je třeba komunikovat s obchodním partnerem zabezpečeným komunikačním kanálem, ale zároveň ho nechceme pustit přímo do naší lokální sítě. Může se jednat o site-to-site nebo remote access, podle skutečné konfigurace VN. Ve všech těchto případech je třeba vybudovat zabezpečený šifrovaný tunel, přes který povede komunikace nedůvěryhodným prostředím. Ve třetím případě navíc musíme použít firewall, který bude propouštět pouze komunikaci povolenou pro tento účel. okud chceme využívat VN, musíme mít potřebný hardware či software. VN je podporován v mnoha hardwarových zařízeních (firewally, směrovače, případně VN koncentrátory), ale v jednodušších případech může stačit softwarová implementace. VN tunel do firemní sítě ústí většinou bud přímo na routeru s firewallem na hranici lokální sítě, který je viditelný na Internetu, a nebo v demilitarizované zóně (tam se často umíst uje VN koncentrátor, což je vlastně jakási VN brána), záleží, kam v lokální síti je třeba přes tunel přistupovat. VN řešení by mělo zajistit následující: autentizace je třeba ověřit totožnost obou komunikujících bodů (např. uživatel s notebookem na pracovní cestě a firewall s podporou VN v LAN firmy), případně se zajišt uje autentizace přenášených DU, autorizace stanovení konkrétních přístupových oprávnění, zajištění důvěrnosti dat přenos je vždy šifrován, zajištění integrity dat detekce pozměnění paketu po cestě. Šifruje se vždy některým algoritmem typickým pro daný typ řešení. Může se jednat například o SHA (Secure Hash Algorithm, jednosměrný hash algoritmus, často se používá při přenosu hesel), DES (Data Encryption Standard, algoritmus soukromého klíče, dnes spíše 3DES), Diffie-Hellman nebo RSA (Rivest, Shamir and Adleman) algoritmy veřejného klíče (veřejný klíč se může využít při transportu soukromého klíče, který se pak používá v následné relaci). V současné době se zřejmě nejvíce nasazuje šifrovací algoritmus AES, který je považován za nejbezpečnější z jmenovaných ISec VN na sít ové vrstvě rotokol ISec (Internet rotocol Security) umožňuje vytvářet zabezpečená spojení point-to-point (tunely) na sít ové vrstvě. Tunel se vytváří zapouzdřením takto: 1. uvnitř je DU přenášeného protokolu, většinou I (ale může být také IX, NetBEUI nebo jiný), 2. následuje obalový protokol, což bývá obvykle ISec (může být např. GRE, T, L2T nebo jiný), zapouzdřená DU je zašifrována a je přidáno bezpečnostní záhlaví, 3. nosný protokol sít ové vrstvy (obvykle I) v sobě zapouzdří DU vytvořenou v předchozím kroku, aby bylo možné přenést paket přes nechráněný Internet či jinou veřejnou sít.

195 8.4 VN 183 Bonusem je možnost takto zapouzdřit i takové protokoly, které nejsou běžně ve vnějším prostředí podporovány, případně zajistit využívání soukromých I adres (vnitřní I DU je adresován soukromou cílovou I adresou, ale aby bylo možné celou DU doručit, vnější I datagram má veřejnou cílovou I adresu hraničního zařízení firemní sítě podporujícího VN). ISec se také často kombinuje s protokoly GRE nebo L2T pracujícími na vrstvě L2. Jedním z důvodů těchto kombinací je problém ISec při průchodu přes NAT, který modifikuje I záhlaví. I pro tento případ však existuje řešení, lze využít mechanismus NAT-T (NAT Traversal), který zapouzdří paket do UD a tím znemožní pozměnění I záhlaví. Označuje se ISec over UD nebo ISec over NAT-T. Šifrování v ISec se provádí jedním z těchto dvou způsobů: tunelovací režim celý původní I datagram se zašifruje a připojí se záhlaví ISec (a pak samozřejmě záhlaví nosného protokolu s novou I adresou), transportní (přenosový) režim šifruje se datová část zapouzdřovaného paketu bez záhlaví, pak se přidá ISec záhlaví, před ně se předstune původní záhlaví zapouzdřených dat. Tunelovací režim je bezpečnější (celé zapouzdřené I záhlaví je skryto, šifrováno), transportní režim je pružnější (můžeme používat prvky z původního I záhlaví, například pro QoS) a pakety jsou kratší (tedy menší dopad na propustnost sítě). Srovnání vidíme na obrázku 8.3. Tunelovací režim je používán především při spojeních site-to-site (propojení dvou poboček nebo firmy a obchodního partnera), zatímco transportní režim je typičtější pro připojení jednoho počítače (mobilní zaměstnanec či zaměstnanec pracující doma) s firemní sítí (tedy remote acces spojení). ůvodní I datagram: I záhlaví1 Tělo datagramu tunelovací režim: I záhlaví2 ISec záhlaví Šifrováno: I záhlaví1 Tělo datagramu transportní (přenosový) režim: I záhlaví1 ISec záhlaví Šifrováno: Tělo datagramu Obrázek 8.3: DU před a po zašifrování do ISec tunelu Technicky vzato, existují dva typy ISec záhlaví: AH (Authentication Header) a ES (Encapsulated Security ayload). Zatímco AH je jednodušší, zajišt uje pouze autentizaci a integritu dat, ale ne šifrování, záhlaví ES je bezpečnější (zajišt uje autentizaci a šifrování). V současné době se používá obvykle jen ES (lze použít dokonce obojí najednou, tedy AH/ES). ři vytváření jakéhokoliv (tedy i ISec) tunelu je třeba nejdřív dojednat parametry bezpečného přidružení (SA Security Association). ISec pro tento účel používá protokol IKE (Internet Key Exchange), nyní ve verzi 2.

196 8.4 VN 184 V protokolu Iv6 je již ISec nativně implementován (tak to bylo už v původním návrhu Iv6, k verzi Iv4 byl ISec dodatečně přidán jako pomocný protokol zajišt ující šifrování). roto přechod na Iv6 má jeden bonus snadnější vytváření ISec tunelů. Jak se ISec konfiguruje. Následující text se vztahuje ke konfiguraci ISec v Linuxu za předpokladu, že používáme Iv6 (pro Iv4 by bylo pár odlišností, především v adresách). ISec se konfiguruje podobným způsobem jako například firewall definujeme pravidla a další parametry (v tzv. tabulce politik). Určujeme například, že pakety příchozí z konkrétní adresy (vzdálené pobočky) se mají zpracovat mechanismem ISec (dešifrovat apod.), pakety odchozí na tutéž adresu naopak zašifrovat, přidat ISec záhlaví apod., pakety směřující do vnitřní sítě se mají nechat tak jak jsou, atd. V Linuxu se pro práci s ISec používají programy setkey a racoon, obojí v balíku programů I- Sec Tools. Konfigurace se provádí v textových konfiguračních souborech (/etc/racoon/racoon.conf a /etc/racoon/setkey.conf, dále potřebujeme chráněný soubor s hesly) a určujeme například výchozí parametry pro typ šifrování a autentizace, který klíč se má použít, a samozřejmě politiky (zásady) pro příchozí a odchozí provoz pro zadané adresy sítí. Ve Windows a na sít ových zařízeních konfigurovaných přes webové rozhraní se konfigurace provádí většinou myší, například ve Windows Server máme k dispozici (grafickou) konzolu v Start rograms Administrative Tools Local Security Settings. Kromě toho je ve Windows Server k dispozici program ipsecpol pro definování ISec politik (zásad). Na klientovi je připojení vcelku jednoduché. VN je předem nakonfigurována na serveru, na klientovi vpodstatě konfigurujeme nové připojení k síti. Například ve Windows X zvolíme Ovládací panely Sít ová připojení Vytvořit nové připojení, zvolíme připojení k firemní síti, VN, atd. V průvodci potřebujeme I adresu VN serveru, se kterým budeme komunikovat. Ve vlastnostech připojení dále nakonfigurujeme protokol ISec, včetně bezpečnostních nastavení. odrobnosti především o Linuxu najdeme v odkazech na konci sekce o VN, především v odkazu GRE a L2T tunely rotokol GRE (Generic Routing Encapsulation) pracuje na vrstvě L2. Jeho výhodou je univerzálnost, dokáže zapouzdřit i jiné typy DU sít ové vrstvy ISO/OSI (nejen TC/I) než jen I. Jeho hlavním účelem je předávat na dálku multicast a broadcast vysílání. Na druhou stranu, velkou nevýhodou GRE je, že neprovádí šifrování, proto se ve skutečnosti nejedná o pravý VN tunel. V praxi je GRE zapouzdřován do tunelů VN (například v kombinaci s ISec), aby byla konverzace zároveň šifrována. Hlavním účelem protokolu L2T je tunelování (zapouzdřování) paketů protokolu (ten se používá pro přenos dat přes telefonní sít ). Stejně jako GRE, ani L2T neprovádí šifrování, tedy je obvykle kombinován s ISec (v transportním módu). L2T je podporován v Linuxu i ve Windows. V Linuxu se dnes doporučuje použití OpenL2T (s využitím ISec), ve Windows se nachází klient L2T/ISec pro transportní mód. Ve Windows

197 8.4 VN 185 se také můžeme setkat s protokolem SST (Secure Socket Tunneling rotocol), který přenáší nebo L2T šifrované s využitím protokolu SSL. V příloze na straně 266 je ukázka nastavení jednoduchého GRE tunelu mezi dvěma vzdálenými sítěmi (mezi routery s nainstalovaným Linuxem). Úkoly V příloze si projděte postup konfigurace GRE tunelu SSL/TLS VN SSL (Secure Sockets Layer) a jeho následník TLS (Transport Layer Security) pracují na vrstvách L4 a vyšších. Zatímco ISec je sít ové řešení (transparentní pro různé aplikace), SSL/TLS je aplikační řešení (tj. musí být podporováno konkrétní aplikací, jejíž komunikace má být šifrována). Ve webových prohlížečích je podpora SSL/TLS již dávno zabudována, takže s funkčností tohoto řešení nebývají problémy alespoň v případech, kdy se komunikuje přes protokol HTT nebo podobné. okud aplikace nepodporuje SSL/TLS, je možné to řešit například pomocí STunnel. 5 Typické použití tohoto typu tunelů je pro připojení mobilního či doma pracujícího zaměstnance, tj. typ remote access. SSL sice podporuje oboustrannou autentizaci, ale často se setkáváme s řešeními využívajícími jednostrannou autentizaci (autentizuje se dotyčný externí zaměstnanec). Rovněž integrita dat a šifrování jsou tímto protokolem zajištěny, šifrují se pouze přenášená data. oužívá se kombinace veřejného a soukromého klíče, je možné použít certifikáty. SSL je považováno za sice méně bezpečné, ale zato pružnější řešení (například s mechanismem NAT má ISec problémy, kdežto SSL si s ním poradí celkem bez problémů). Zajímavou implementací SSL/TLS VN je projekt OpenVN. Běží na většině známých unixových systémů včetně Linuxu, existuje i varianta pro Windows SSH ro vzdálený přístup ke konkrétnímu počítači (remote access) se dříve, alespoň u počítačů s unixovými systémy, používal Telnet. Tento protokol však není bezpečný (o tunelech se ani nedá mluvit), protože se nešifrují dokonce ani přihlašovací informace, heslo se obecně přenáší v textové formě. V současné době se velmi často ke vzdálenému počítači přistupuje přes protokol SSH (Secure Shell). Tento protokol se postupně vyvíjel v první verzi SSH-1 nebyl považován za moc bezpečný, jeho implementace obsahovaly poměrně hodně bezpečnostních chyb, navíc třebaže původně byl uvolněn jako freeware, později to bylo s licencemi horší. Dnes se setkáváme spíše s implementacemi verze SSH-2 vydanými sdružením IETF (od roku 1997), SSH-2 je také standardem RFC

198 8.4 VN 186 Jedná se o typickou komunikaci typu klient-server (sedíme u klienta, přihlašujeme se k serveru), tedy existuje klientská a serverová implementace SSH. Serverové implementace jsou určeny spíše pro unixové systémy, protože typické využití SSH je právě pro připojení k unixovému serveru. SSH je protokolem vyšších vrstev a komunikuje přes TC (protože je třeba vytvořit spojení, které SSH dále zabezpečuje). Narozdíl od TLS a některých dalších podobných protokolů SSH-2 nabízí správu více navázaných relací najednou (TLS pouze jedno spojení). SSH podporuje několik autentizačních metod, ze kterých se používá nejčastěji autentizace pomocí klíčů. Během autentizace se použijí asymetrické autentizační klíče, v SSH-2 se používá šifrování DSA (v SSH-1 to bylo méně bezpečné RSA). Během komunikace se data šifrují některou z rychlých symetrických metod, například 3DES. Jinou možností autentizace, která se používá především v komerční sféře (nejen), je GSSAI. Jedná se o využití externího autentizačního mechanismu, například Kerberos. Tento protokol je přirozeným způsobem využitelný pro vytváření šifrovaných tunelů. Funguje na principu předávání (forwardování) provozu na porty, na které je napojen SSH tunel. SSH server naslouchá na TC portu 22. Existuje více různých implementací SSH. K nejoblíbenějším patří nástroj OpenSSH, pro který existuje klientská i serverová varianta (spíše pro unixové systémy). Instalace a používání jsou popsány v příloze na straně 290. ro Windows existují mezi volně šiřitelným softwarem spíše klienty, například utty. Když používáme SSH, měli bychom využívat bezpečné verze softwaru pro přenos dat. V Unixu (včetně Linuxu) používáme příkazy scp (kopírování, místo cp) a sftp (místo ftp). Existuje také souborový manažer WinSC implementující obdobu těchto příkazů. Úkoly Ve zmíněné příloze si projděte instalaci a používání SSH. Jsou tam také odkazy na další informace MLS VN Narozdíl od předchozího řešení se MLS sítě používají spíše pro implementaci propojení firemních poboček tunelem (příp. firmy a obchodního partnera), tedy VN typu site-to-site. S MLS sítěmi jsme se již seznámili a víme, že se používá systém záhlaví, z nichž jedno je určeno právě pro virtuální sítě. Řešení pracuje na rozhraní vrstev L2 a L3. V síti MLS VN rozeznáváme tato zařízení: CE (Customer Edge) hraniční uzel sítě zákazníka, přes který se data přenášejí do MLS tunelu, E (rovider Edge) hraniční uzel sítě poskytovatele řešení, je přímo spojen s uzlem CE, (rovider) vnitřní uzly MLS sítě poskytovatele, vpodstatě Core MLS směrovače. Uzly CE nejsou součástí MLS sítě, jsou na nich vyžadovány pouze protokoly TC/I (konkrétně hlavně I). Uzly E jsou hraničními (LER) uzly MLS sítě a implementují protokol BG (to je jeden

199 8.4 VN 187 z externích směrovacích protokolů, pro MLS je typický), příp. ibg (distribuce tabulek mezi uzly). K jednomu E uzlu může být připojeno více CE uzlů. I datagram přicházející z CE na E je opatřen dvěma MLS hlavičkami vnitřní (B=1) bude využita až na druhém konci tunelu, určuje CE příjemce, vnější (B=0) určuje cestu v MLS síti přes uzly VRF tabulka (VN Routing and Forwarding Table) je tabulka směrovacích informací pro konkrétní VN a sítě. Nachází se na uzlech E, jeden E může obsahovat i více VRF. V tabulce je konkrétní port (rozhraní) asociován s konkrétní VRF (patří do příslušné VN), pokud paket přijde z rozhraní napojeného na určitou VRF, podle dané VRF se rozhoduje, co s ním. To znamená, že VRF určuje, ke kterému CE se má dostat paket příchozí z daného rozhraní. Obrázek 8.4: Schéma MLS VN a VRF tabulek 6 Na obrázku 8.4 vidíme ukázku MLS VN sítě, kde například LAN 2 (Site 2) patří do VN A a VN B, proto ve VRF tabulce na příslušném E určené pro tuto LAN najdeme směrování do všech sítí patřících do těchto dvou VN (tj. sítí 1, 2 a 3). ro MLS VN existují 2 základní řešení MLS Layer-3 VN, MLS Layer-2 VN. Další informace o VN: mgmt/vpn solutions center/1.1/user/guide/vn UG1.html article= Zdroj: mgmt/vpn solutions center/1.1/user/guide/vn UG1.html

200 8.5 SRÁVA SÍTĚ prechod na ldaps/ar01s05.html I provozu protokolem ISec TS projekt.pdf tech note09186a b01.shtml Správa sítě NMS Správa sítě v sobě zahrnuje tyto činnosti: dohled, kontrola (monitorování) na fyzické vrstvě (stav média apod.), linkové vrstvě (chybovost rámců, atd.) i vyšších, interpretace shromážděných údajů diagnostika a řešení poruch, předcházení poruchám správa jednotlivých prvků sítě, řešení změn topologie (například přidání nového uzlu) účtování využívání zdrojů V rámci modelu ISO/OSI většina těchto činnosti probíhá na aplikační vrstvě, a to vždy v některé formě na všech uzlech sítě. Správa sítě je služba využívající řadu nástrojů, aplikací a zařízení k monitorování, údržbě a zabezpečování sítě, a to v co nejvyšší míře automatizace. Rozlišujeme řídicí a řízené entity. Řízené entity odesílají zprávy obsahující hlášení o událostech nebo problémech, řídicí entity na ně adekvátně reagují, například zpraví operátora mailem nebo jiným způsobem, zapíšou událost do LOG souboru (logování událostí), vypnou nebo restartují systém, odhlásí problémového uživatele, odstřelí problémový proces, provedou automatickou úpravu konfigurace systému, přenastaví určené limity.

201 8.5 SRÁVA SÍTĚ 189 Softwarové agenty sbírají informace z koncových zařízení (řízené entity) a odesílají řídicím entitám. Network Management System (NMS) je systém řízení sítě zahrnující řídicí entity, databázi a pro- tokoly řízení sítě. Nejznámější protokoly pro NMS: SNM (Simple Network Management rotocol) CMI (Common Management Information rotocol) ISO model řízení sítě Řízení sítě lze rozdělit do několika oblastí. Řízení výkonu (performance management) účelem je zajistit, aby výkon sítě byl na přijatelné úrovni. atří zde proměnné veličiny jako je průchodnost sítě, lhůty pro odezvu uživatelů, optimální využívání kabelů a jiných spojových cest a prvků, atd. Zahrnuje: 1. shromáždění souvisejících dat o veličinách 2. analýza dat a stanovení úrovně pro normální provoz 3. stanovení horní (resp. u některých veličin dolní) hranice s tím, že překročení této hranice je indikováno jako problém, který je třeba řešit ři překročení stanovených hranic je informován NMS. Řízení konfigurace (configuration management) znamená monitorování konfigurace sítě a připojených systémů (hardware i software) a jejich ovlivňování. ro každou sledovanou veličinu (verze operačního systému s aktualizacemi, verze protokolu TC/I, apod.) je vytvořeno pravidlo, a pokud není splněno, musí být vyvozeny důsledky. Řízení uživatelských účtů (accounting management) znamená definování regulačních parametrů pro uživatele a skupiny uživatelů. Vhodná regulace minimalizuje problémy v síti, především při využívání zdrojů (hardware, vyhrazené místo v paměti, atd.), a maximalizuje férovost využívání zdrojů v síti vzhledem k ostatním uživatelům. Řízení chyb (fault management) představuje detekci, evidenci (log soubory), oznamování a, pokud je to možné, také automatické řešení problémů, které v síti mohou vzniknout. o jeden z nejdůležitějších modulů systémů řízení sítě, protože neodchycené chyby mohou způsobit zpomalení komunikace, ztrátu dat nebo obecně neakceptovatelné zhoršení celkového provozu na síti (případně zhroucení sítě). Modul využívá údaje získávané a uložené v rámci ostatních funkcí řízení sítě, detekuje možné problémy (aby byly co nejdříve zachyceny), navrhuje a testuje řešení. Řízení bezpečnosti (security management) znamená řízení přístupu ke zdrojům na síti podle stanovených pravidel, zabránění poškození systému (at už úmyslnému nebo neúmyslnému) a vynesení citlivých informací. V hierarchické síti jsou stanoveny oblasti autorizované a neautorizované, autorizace může být také víceúrovňová.

202 8.6 MANAGEMENT V TC/I Management v ISO/OSI Jedná se o centralizovaný systém založený na protokolu CMI (Common Management Information rotocol). Management můžeme rozdělit do tří částí: systémový management (také sít ový, network management) působí v aplikační vrstvě, slouží jako rozhraní k ostatním částem managementu, tj. provádí úkoly související s více vrstvami vrstvový management pracuje v rámci jedné vrstvy protokolová operace také v rámci jedné vrstvy, ale pouze pro jediný případ komunikace Jedná se o objektový model (pracuje s objekty a jejich vlastnostmi atributy, operacemi, vztahem k jiným objektům, používá ISA hierarchii): manažer (správce) programové vybavení na stanici sít ového managementu (centrální) agent programové vybavení na jednotlivých uzlech sítě, posílá zprávy o (mimořádných) událostech manažerovi MIB (Management Information Base) objektová databáze řízených objektů, v tomto modelu binární MIB je tedy databáze řízených objektů. ro každý objekt je zde jméno, třída objektu, atributy jako uspořádané dvojice typ hodnota, chování reakce předpokládaná a skutečná na řídicí operace hlášení o událostech souvisejících s objektem včetně informace, co má být agentem sděleno manažerovi výčet operací, které je možno s objektem provádět (u třídy) rotokol CMI pracuje na aplikační vrstvě uzlů sítě. ři komunikaci používá službu se spoje- ním (tj. pokud nelze navázat zcela spolehlivě spojení, CMI nemůže komunikovat s agenty), což může být svým způsobem nevýhoda. ro reprezentaci řídicích informací se používá jazyk ASN.1 (Abstract Syntax Notation One), který je pro tyto účely běžný (setkáme se s ním i u SNM). 8.6 Management v TC/I SNM V TC/I je správa prováděna pomocí protokolu SNM (Simple Network Management rotocol). Ve skutečnosti může běžet i nad jiným protokolem než I, ale téměř výhradně se setkáme s použitím nad I. SNM (resp. jeho nástavby) je v současné době nejpoužívanějším protokolem pro správu sítě a je široce podporován prakticky v každém zařízení, které je možné připojit k síti (také tiskárny, nejrůznější čidla a analyzátory, přístupové body, atd.).

203 8.6 MANAGEMENT V TC/I 191 NMS Agent 1 Agent 2 Agent 3 MIB uzlu 1 MIB uzlu 2 MIB uzlu 3 Obrázek 8.5: Komunikace v SNM rotokol SNM existuje ve třech verzích. Současná verze je SNMv3, ale přesto je momentálně nejpoužívanější verze SNMv2, přesněji její varianta SNMv2c. Hlavní, a velmi důležitý rozdíl mezi verzí 3 a předchozími je úroveň zabezpečení komunikace. Starší verze používají při autentizaci pouze (textové) heslo community string (přesněji dvě read comminity string pro čtení, write community string pro povolení zápisu). SNMv3 již využívá bezpečnější metody přístupové jméno a heslo, kontrolní součty MD5, šifrování DES, řízení přístupu k objektům. SNMv2 přinesl oproti předchozí verzi například podporu komunikace mezi různými správci (ve verzi SNMv1 se s více správci ani moc nepočítalo) a vylepšení zabezpečení komunikace. I nadále se sice používají community strings, ale byly přidány nové mechanismy jednoznačné identifikace entit. Hlavní vlastností SNM je jednoduchost. odobně jako CMI, i SNM používá koncept agent správce (manager), ale funkce těchto modulů jsou jinak rozděleny. Každý uzel sítě (spravované zařízení managed device) může obsahovat jakékoliv množství agentů specializovaných na určitou činnost. V síti musí existovat alespoň jeden správce, může jich být více. Komunikace mezi agentem a správcem probíhá především pomocí protokolu UD. Tento protokol však nepodporuje potvrzení doručení (ale na druhou stranu je rychlý a zasílání obvykle funguje), proto SNMv2 a vyšší obsahuje vlastní mechanismus kontroly doručení. SNM podporuje dva typy komunikace: 1. Dotaz odpověd aktivita je na straně správce, správce odesílá dotazy agentům a přijímá jejich reakce. Správce posílá dotazy agentovi na port 161, agent odpovídá z portu 161 na dynamický port správce (tzn. číslo portu se mění). 2. Trap aktivita je na straně agentů, agenty odesílají trapy (oznámení) správci například při výskytu definované události, překročení zadané hodnoty, změně topologie sítě (například připojení nového uzlu) nebo v pravidelných intervalech. Agent posílá správci trapy ze svého dynamického portu (s různými čísly) na port 162. Tento typ komunikace je běžnější. O skupině NMS v rámci jedné administrativní domény hovoříme jako o komunitě. Každá komunita je jednoznačně identifikována řetězcem community name. Ve starších verzích SNM se používá jako jednoznačný identifikátor při autentizaci. rotokol SNM je asynchronní, transakčně orientovaný, typu klient/server (komunikace je většinou typu dotaz odpověd ).

204 8.6 MANAGEMENT V TC/I MIB-II Také se používá databáze MIB, ale má obecně jinou strukturu, data jsou uložena v textové formě (obslužný modul MIB je naprogramován v jazyce ASN.1, který je pro tyto účely v TC/I typický). Je sice objektová (v tom smyslu, že pracujeme s objekty), ale narozdíl od OSI MIB je řízená atributy (nepoužívá plně objektový přistup, přistupujeme přes vlastnosti objektů). Ve skutečnosti se v současných zařízeních setkáme vždy s podporou MIB-II, tedy druhé verze MIB. V následujícím textu budeme pro stručnost používat název MIB, ale vždy půjde o MIB-II. MIB je tvořena stromem s jediným kořenem. Kořen obsahuje prázdnou hodnotu, jeho účelem je pouze spojovat z něho vycházející větve. Všechny uzly kromě kořenu mají přidělen textový název a číselnou hodnotu OID (Object ID), OID jednoznačně odlišuje uzly se stejným rodičem viz obr. 8.6 na str Textový název je určen spíše pro lidskou orientaci, nemá v databázi žádný jiný význam.. ITU-T (0) ISO (1) joint-iso-itu (2) standard (0) registration authority (1) member body (2) org (identified organization, 3) DoD (Department of Defence, 6) internet (1) directory (1) mgmt (management, 2) experimental (3) private (4) security (5) SNMv2 (6) MIB-2 (1) enterprise (1) system (1) at (3) ICM (5) UD (7) SNM (11) interfaces (2) I (4) TC (6) transmission (10) Obrázek 8.6: SNM MIB (zkrácená) Uzly (objekty) v MIB, které jsou přímými potomky kořene, jsou nazvány podle organizací, jejichž protokoly využívají podstromy těchto uzlů (například ISO nebo ITU). Některé části (větve) MIB jsou standardizovány orgranizací IETF, další vydávají výrobci sít ových zařízení. Fyzicky je

205 8.6 MANAGEMENT V TC/I 193 tedy MIB uložena obvykle ve více než jednom (textovém) souboru, aby zpracování zde uložených dat bylo dostatečně pružné a aby byla snadněji rozšiřitelná. Adresa objektu v MIB je sekvence názvů uzlů na cestě od kořene stromu pro lidi, objekty oddělujeme lomítkem nebo tečkou, NEBO čísel OID uzlů na cestě od kořene stromu pro kohokoliv/cokoliv jiného, objekty oddělujeme tečkou (včetně prázdného názvu kořene, tedy celý řetězec vlastně začíná tečkou). Například podle obrázku 8.6 má uzel enterprise určený pro firemní uzly (zařízení různých výrobců) tuto textovou a OID adresu:.iso.org.dod.internet.private.enterprise Každé sít ové zařízení, protokol či hodnota (resp. přiřazený objekt), které lze přes MIB spravovat, má svou unikátní OID adresu, která je stejná v jakékoliv MIB, tedy všechny OID adresy musí být globálně jedinečné. Listy stromu MIB jsou skalární objekty, jedná se o proměnné obsahující konkrétní hodnotu využívanou pro účely řízení sítě (například počet paketů procházejících routerem). roměnné mohou být uspořádány i do tabulky (tabulkové objekty). SNM poskytuje omezenou možnost pohybovat se v tabulce po sloupcích. Typy proměnných v MIB: 1. číselné běžný Integer Counter pro čítače, při dosáhnutí maximální hodnoty se vynulují, slouží především pro zjištění rychlosti sledování změn Gauge (míra) pokud sledovaná veličina přesáhne danou hranici, hodnota Gauge zůstává na maximální hodnotě a nepřeteče Time Ticks sleduje čas (v setinách sekundy) od zadané události, například od spuštění zařízení 2. I Address zde bývá uložena I adresa 3. Octet String posloupnost oktetů, používá se pro ukládání znakových řetězců 4. Object Identifier OID řetězec některého objektu 5. tabulka hodnot výše uvedených typů. K proměnným se přistupuje poněkud zvláštním způsobem. okud se jedná o jednoduchou proměnnou (takovou, která není tabulkou), syntaxe je.cesta.název_proměnné.0 okud se jedná o tabulku, pak místo čísla 0 na konci použijeme index v tabulce. říklad K proměnné sysuptime ve větvi system vede cesta.iso.org.dod.internet.mgmt.mib-2.system.sysuptime nebo číselně

206 8.6 MANAGEMENT V TC/I 194 K hodnotám v tabulkách přistupujeme tak, že místo čísla 0 na konci dosadíme index v tabulce (od 1), například k hodnotám v tabulce ukazujícím stav portů zařízení (živý/mrtvý, v Ethernetu to obvykle znamená je/není něco připojeno) přistupujeme takto:.iso.org.dod.internet.mgmt.mib-2.interfaces.iftable.ifentry.ifoperstatus.1.iso.org.dod.internet.mgmt.mib-2.interfaces.iftable.ifentry.ifoperstatus.2.iso.org.dod.internet.mgmt.mib-2.interfaces.iftable.ifentry.ifoperstatus.3 atd., hodnota může být bud up(1) nebo down(2). V interfaces je jednoduchá číselná proměnná ifnumber, ve které máme uložen počet rozhraní v systému (number of interfaces). Je zřejmé, že na pracovní stanici bude ifnumber.0 = 2 (jedno fyzické rozhraní a jedno loopback), případně nějaký ten výtvor virtualizačního softwaru, na směrovači bude rozhraní více. Uvádíme zde sice absolutní adresy, ale je možné adresovat také relativně uvnitř daného MIB souboru (skupiny), například ve skupině interfaces, ip nebo system. Struktura MIB je celkem logická. Jak bylo výše uvedeno, ve větvi mib-2 najdeme proměnné, které se netýkají přímo konkrétního výrobce (tj. obecné informace), kdežto ve větvi private.enterprise jsou proměnné týkající se výrobků od konkrétních výrobců (záleží, co konkrétně v příslušném sít ovém zařízení najdeme). Zařízení, která nejsou pro MIB standardizovaná, jsou obvykle umístěna ve větvi experimental. Obecné informace o zařízení, s jehož MIB pracujeme, najdeme především mib-2 (1) v podstromu uzlu system. ro- měnné v něm obsažené vidíme na obrázku 8.7. Je zde popis zařízení (sysde- system (1) sysdescr sysservices scr), adresa OID vedoucí do větve enterprises (1) (7) s podrobnějšími informacemi (sysobjectid), doba od zapnutí zařízení v setinách sekundy (sysuptime), kontaktní sysobjectid (2) sysuptime (3) syscontact (4) sysname (5) syslocation (6) údaje ke správci zařízení (syscon- tact), název zařízení přiřazený adminem Obrázek 8.7: odstrom uzlu system (sysname), info o fyzickém umís- tění zařízení (syslocation) a číslo určující vrstvy v ISO/OSI, na kterých zařízení pracuje (sysservices). říklad Vrat me se k hodnotě sysservices určující vrstvy v ISO/OSI, na kterých dané zařízení (to, na kterém je uložena databáze daného agenta) pracuje. Jednotlivé bity této hodnoty jsou nastaveny podle podpory vrstev (bity zprava doleva od nejméně významného bitu). Například sysservices.0 = 10 znamená, že zařízení pracuje na L2 a L4 ( , tedy je nastaven druhý a čtvrtý bit zprava) a znamená to, že jde zřejmě o switch (L2) a obsahuje funkcionalitu L4 pro účely správy (transportní vrstva).

207 8.6 MANAGEMENT V TC/I 195 Dalším užitečným uzlem v obecné části MIB je uzel interfaces. Zde zjistíme informace o rozhraních zařízení, informace o jednotlivých zařízeních jsou v tabulce iftable (do níž jsme už trochu nahlédli). Tato tabulka má mnoho sloupců, například ifspeed (nominální rychlost přenosu na rozhraní), ifoperstatus (operační stav rozhraní), počet oktetů, přijatých/odeslaných/zahozených unicast paketů, non-unicast paketů (ifoctets, ifinucastkts,... ), atd. Skutečnou rychlost rozhraní zjistíme pouze tak, že dvakrát za sebou zjistíme počet přijatých oktetů, odečteme a vydělíme délkou intervalu, který uplynul mezi těmito dvěma načteními hodnot oužívání protokolu SNM rotokol SNM definuje příkazy (pro agenty a správce): get-request správce žádá informace z MIB; uvede název proměnné, jejíž hodnotu požaduje, získá hodnotu a název této proměnné, get-next-request účel je stejný (žádost o informace z MIB), správce také uvede název proměnné, ale získá hodnotu proměnné a dále název následující proměnné z databáze, která je potomkem téhož uzlu (tj. pokud žádal o proměnnou , dostane informaci o existenci proměnné , na kterou se může dotazovat následně), set-request správce ukládá informace do MIB, je nutný autorizovaný přístup správce, trap agent předává správci nevyžádanou informaci o mimořádné události, get-response odpověd agenta na předchozí get-request od správce, kromě hodnot z MIB obsahuje také původní dotaz, protože SNM neumožňuje správci párovat dotaz/odpověd (nestavové chování), get-bulk podobně jako get-request, ale je možné žádat i několik řádků tabulky (od SNMv2), inform komunikace mezi dvěma správci (od SNMv2). říkaz get-next-request použitý ve vhodné smyčce umožňuje získat postupně hodnoty stejných atributů přes všechny objekty stejného typu (sloupcová operace). Konkrétně můžeme tyto příkazy (at už v textové nebo grafické podobě) zadávat v některém z nástrojů vytvářejících rozhraní k SNM. Lze použít například tyto nástroje: net-snmp 7 je open-source nástroj pracující v textovém režimu, a to pod Linuxem, dalšími unixovými systémy a také pod Windows. Je to ve skutečnosti balík programů, který umožňuje využívat plně SNM v kterékoliv jeho verzi, včetně příjmu trapů. MIB Browser 8 je volně šiřitelná aplikace s grafickým rozhraním umožňující pracovat s MIB. GNetWatch 9 je open-source aplikace s grafickým rozhraním pro real-time monitoring sítě přes SNM a ICM. Další informace o SNM: 7 net-snmp je ke stažení na 8 MIB Browser je ke stažení na 9 GNetWatch je dostupný na

208 8.7 SYSLOG kas/p090/referaty/2007-podzim/ct/snmp.html 8.7 Syslog Syslog je mechanismus logování a souvisejících úloh dostupný na každém zařízení, na kterém běží (téměř) jakýkoliv unixový systém včetně Linuxu. Jádrem mechanismu je démon 10 syslogd. Démon syslogd čte svůj vstup ze zařízení (socketu) /dev/log. Tento vstup filtruje (vybírá to, co ho zajímá) podle konfigurace, která se nachází v souboru /etc/syslog.conf (to je tedy jeho konfigurační soubor) a pak podle nastavení ukládá hlášení o takto zjištěných událostech do jednoho nebo více LOG souborů. Data, která syslogd přijímá, se skládají ze tří částí: 1. kategorie určuje typ nebo odesílatele události, existují tyto kategorie: auth autentizace uživatelů, authpriv informace o autentizaci určená pro administrátora, cron zprávy od démona cron (plánování procesů), daemon zprávy od různých démonů, kern zprávy od jádra (kernel), lpr zprávy od tiskového subsystému, mail zprávy týkající se elektronické pošty, mark časová razítka (timestamps), které se pravidelně zapisují do logu, news diskusní skupiny, security totéž co auth, syslog vlastní zprávy syslogu (i z jiného uzlu v síti), user obvykle zprávy od aplikací v uživatelském režimu, local0 local7 pro tyto kategorie lze definovat vlastní význam, 2. priorita určuje důležitost události: emerg systém je nepoužitelný nebo vážně ohrožen (emergency), alert je nutný okamžitý zásah, crit kritická situace, err chyba, warning varování, notice normální, avšak významná, zpráva, info informativní zpráva, debug ladicí zpráva (debugger), 3. vlastní text zprávy. 10 ro ty, kteří zapomněli: démon je v unixových systémech něco podobného jako služba ve Windows. Jde o systémový proces, který běží na pozadí. Názvy démonů obvykle končí písmenem d.

209 8.7 SYSLOG 197 Tento typ informací tedy syslog získá. Jak bylo výše uvedeno, ve svém konfiguračním souboru má určeno, co s takovým záznamem provést. V tomto souboru jsou záznamy ve formě kategorie.priorita TAB cíl tato a vyšší priority kategorie.=priorita TAB cíl pouze tato priorita kategorie.!priorita TAB cíl všechny priority kromě této a vyšších kategorie.!=priorita TAB cíl všechny priority kromě této (priorit může být i více, oddělují se středníkem, totéž platí i o dvojicích kategorie.priorita). okud je před prioritou jen tečka, nastavení platí pro uvedenou a všechny vyšší priority. okud chceme nastavení omezit jen na zadanou prioritu, přidáme před ni =. Symbol! znamená negaci, tedy pokud je uveden, daná priorita (a všechny vyšší) nebude zahrnuta. Lze kombinovat:!=, nebude zahrnuta pouze uvedená priorita. Kategorii můžeme zadat symbolem *. To znamená, že se konfigurace týká jakékoliv kategorie. Mezi prioritami a cílem musí být vždy alespoň jednou stisknutý tabulátor, mezera nestačí. Cíl určuje, kam konkrétně má být událost oznámena, logována. Může to být bud konkrétní log soubor (výchozí nebo jakýkoliv jiný), nebo výpis na konzolu či přeposlání na jiný počítač v síti. okud chceme, aby byla událost oznámena více cílům (například zobrazena určitému uživateli a zároveň uložena do souboru), oddělíme cíle čárkou. Možnosti: soubor výchozí je /var/log/messages, ale můžeme si určit názvy souborů například pro různé kategorie nebo událost bude přeposlána, user1, user2,... událost bude oznámena zadanému uživateli (to může být root, admin, operator, apod., podle toho, jaké máme vytvořené uživatele), ale jen tehdy, když je uživatel právě přihlášen, * událost bude oznámena všem přihlášeným můžeme použít, pokud v souboru /etc/hosts je definován cíl loghost. L Lze použít také přesměrování do pojmenované roury, ze které pak může číst jakýkoliv proces, který určíme (a průběžně zpracovávat oznámení o událostech), stačí uvést název souboru a před něj napsat symbol roury: kern.=err říklad /var/log/jadro Takto nějak mohou vypadat záznamy v souboru /etc/syslog.conf: mail.* /var/log/maillog Všechny události z kategorie mail jsou uloženy do souboru /var/log/maillog security.*;security.!=debug /var/log/secure Všechny události z kategorie security kromě události s prioritou debug jsou uloženy do souboru /var/log/secure cron.* /var/log/cron Všechny události z kategorie cron jsou uloženy do souboru /var/log/cron (to znamená události související s plánovaným spouštěním procesů)

210 8.7 SYSLOG 198 kern.debug;auth.notice /dev/console Události týkající se ladění jádra a běžné a přesto významné události autentizace jsou vypsány na systémové konzoli authpriv.* /var/log/secure Všechny citlivější události autentizace jsou uloženy do souboru /var/log/secure lpr.info /var/log/lpd-info Informační zprávy a všechny s vyšší prioritou o událostech z tiskového subsystému se uloží do /var/log/lpd-info *.err admin,/var/log/errors Všechny chybové a vážnější zprávy jsou okamžitě oznámeny uživateli admin (pokud je přihlášen) a zároveň uloženy do souboru /var/log/errors *.=crit /var/log/messages,@loghost,root Kritické události jsou uloženy do souboru /var/log/messages, poslány na adresu definovanou pod aliasem loghost a zároveň je okamžitě informován root, pokud je přihlášen *.emerg *,/var/log/emergency O mimořádně nebezpečných událostech jsou informováni všichni přihlášení uživatelé a zároveň je přidán záznam do souboru /var/log/emergency okud chceme, aby syslog přijímal zprávy z jiných systémů, musíme spustit démona syslogd s parametrem -d (platí v Linuxu): /usr/sbin/syslogd -m 0 -r řepínač -m určuje délku intervalu, v jakém se syslogd ozývá, tj. do logu zapisuje, že žije. Nastavením na 0 toto chování zrušíme. arametr -r znamená remote, syslogd pak naslouchá na portu 514 a přijímá všechny UD pakety. Na FreeBSD je nutné použít jinou syntaxi: /usr/sbin/syslogd (bez parametrů, protože naslouchání na portu 514 je zde výchozí chování). Na FreeBSD je také možné určit uzly v síti, jejichž UD pakety budou přijímány. Odlišnou syntaxi (i od této) mají systémy OpenBSD, Solaris a jiné, je tedy třeba vždy prostudovat manuálovou stránku: man syslogd Také je možné, že budeme muset povolit naslouchání služby syslogd na UD portu. To se provede v /etc/services řádkem syslog 512/UD, ale je pravděpodobné, že tam takový záznam už je. Na zařízeních, ze kterých jsou UD pakety přijímány, je pak nastaveno výše popsaným způsobem zasílání na tento sběrný počítač. okud syslogd právě běží a my jsme provedli změnu jeho konfigurace (v souboru /etc/syslog.conf), musíme syslogd restartovat, aby zaregistroval změny ve své konfiguraci. Zatím jsme si ukázali, jaké údaje dostává syslogd na svůj vstup, podle čeho je filtruje a kam je ukládá. Zbývá nám podívat se, v jakém formátu. Na výstupu je záznam obsahující čas, kdy k události došlo, kategorii (kernel, mail apod.), text zprávy.

211 8.8 MONITOROVÁNÍ SÍTĚ 199 Součástí není priorita, protože ta už byla uplatněna při filtrování. Může zde být například záznam: Feb 21 10:00:28 IOL kernel: device eth0 left promiscuous mode Když syslog nastavujeme, hodí se možnost vyzkoušení jeho funkčnosti. K tomu může sloužit nástroj logger. Například událost kategorie daemon a priority info se zadanou zprávou vygenerujeme takto: logger -p daemon.info testujeme syslog Ruční správa logů může být celkem náročná. Je třeba hlídat obsah souborů a navíc sledovat jejich délku (včas umazat starší záznamy), stroj naslouchající na UD portu by měl být dostatečně chráněn (je zde vysoké riziko DoS útoků, tedy firewall je rozhodně na místě). S některými úlohami mohou pomoci přídavné nástroje. Například rotaci logů (včetně označování či odstraňování starších záznamů) zvládne logrotate. Existují také propracovanější verze syslogu, například syslog-ng (umí komunikovat i přes TC a zvládne také regulární výrazy, nejen hvězdičku), nsyslogd (komunikuje přes TC/SSL), Secure Syslog, Modular Syslog a další. Volně šiřitelný program NTSyslog 11 (vlastně služba, kterou můžeme instalovat), umožňuje používat syslog také ve Windows (logy z Windows lze posílat na vzdálený systém a tam například vyhodnocovat). Nástroj logwatch 12 můžeme použít k sumarizaci logů, provádí analýzu logů za stanovené období a vytváří souhrnnou zprávu. rogram swatch 13 je užitečný, když naopak potřebujeme být o určité události informováni pokud možno okamžitě detekuje námi definované situace a stanoveným způsobem informuje, a protože je psán v perlu, je to velmi pružný nástroj využívající regulární výrazy. Další informace o syslogu: syslogd.htm configuration examples.shtml Monitorování sítě rotokol RMON RMON (Remote Monitoring) je protokol používaný při monitorování sítě. Je úzce spjat s TC/I a SNM, své zprávy posílá přes SNM. Informace jsou uloženy v MIB ve větvi rmon (OID ). Narozdíl od SNM agentů dokáže kromě současného stavu sledovat i historii (vývoj) dané veličiny a na základě vyvozených důsledků reagovat. 11 NTSyslog najdeme na 12 logwatch získáme na 13 rogram swatch (Simple Watch) je dostupný na

212 8.8 MONITOROVÁNÍ SÍTĚ 200 mib-2 (1) rmon (16) statistic (1) filter (7) history (2) capture (8) alarm (3) hosts (4) hoststopn (5) matrix (6) event (9) Obrázek 8.8: Větev rmon v MIB-II Z hlediska protokolu RMON rozlišujeme dva druhy zařízení v síti: RMON-compliant console manager (správce) správce celé LAN RMON probe (sonda) zasílá informace správci, jedna sonda pracuje v rámci jednoho segmentu LAN (například uvnitř jedné kolizní domény) RMON pracuje s tzv. skupinami. Každá skupina v sobě zahrnuje určitý typ informace, která je sledována. Skupiny jsou zvlášt definovány pro Ethernet a Token Ring, pro Ethernet jsou to tyto skupiny: Statistics statistika (okamžitý stav) sledovaných zařízení (množství odeslaných paketů, broadcast a multicast paketů, oktetů, chyb v CRC součtech, kolizí apod., také čítače, například pro počty paketů o velikosti z daného intervalu), History totéž jako statistika, ale evidováno v historii, Alarms pro některé sledované veličiny jsou stanoveny prahové hodnoty, a když je tato prahová hodnota překročena, generuje se příslušná událost, Hosts vedou se statistiky typické pro jednotlivé uzly v síti (segmentu sítě) adresa, odeslané/přijaté pakety, chyby v CRC součtech a zahozené pakety či rámce, HostsTopN podobně jako předchozí, uzly jsou seřazeny v tabulkách podle konkrétní sledované veličiny, Matrix sledují se veličiny související s konverzací mezi dvěma uzly v síti, pro každou komunikující dvojici uzlů, Filters umožňují definovat filtry pro zachycení některých paketů nebo generování určité události při průchodu určených paketů, acket Capture definují se podmínky pro zachytávání paketů (například velikost vyrovnávací paměti pro zachycené pakety, počet zachycených paketů, kdy vyvolat alarm apod.), Events generování a ověřování událostí (eviduje se typ události, její popis a časový údaj posledního vygenerování této události daným zařízením). Zařízení připojená v síti obvykle podporují většinu těchto skupin, v ideálním případě všechny. Tedy sledujeme ty proměnné v MIB, které nás zajímají. Hlavním přínosem RMON je přenos velké části zpracování dat od správců na agenty (sondy), čímž se také snižuje množství přenášených dat v síti.

213 8.8 MONITOROVÁNÍ SÍTĚ Snort Snort 14 je jednoduchý volně šiřitelný systém (open-source licence, ale pro aktualizace je nutné se registrovat, okamžité aktualizace jsou navíc placené), který můžeme zařadit mezi NIDS (Network Intrusion Detection System). Snort pracuje v jednom ze tří možných režimů: sniffer ( prohlížeč provozu) slidič, data z hlaviček paketů vypisuje na obrazovku nebo někam posílá, logování provozu data ukládá na disk a/nebo do databáze, plný NIDS včetně používání pravidel analýza hlaviček paketů. Výstupy dokáže Snort bud ukládat do LOG souboru, nebo zasílat syslogu, posílat jako SNM trap, ukládat do databáze a nebo dokonce podle nich nastavovat konfiguraci některých sít ových prvků. Snort funguje na principu detekce signatur v kombinaci s pravidly. Mnoho pravidel je vytvořeno už při instalaci (je jich opravdu hodně, někdy to chce trochu je promazat), a také je možné přidat pravidla vlastní podle konkrétní situace v síti. Využívání pravidel dává systému obecně větší sílu (například kombinace mírně podezřelých akcí je velmi podezřelá a narozdíl od systémů založených pouze na signaturách systém generuje méně falešných poplachů. Obecný tvar pravidel je action protocol sourcei sourceort direction desti destort (options) Action akce) může být například pass (předání, tj. ignorování paketu), log (zaznamenání), alert (výstraha), drop (zahodit paket), atd. Následují vlastnosti paketu, podle nich pozná Snort, že má pravidlo použít (protokol, třeba TC, dále zdrojová a cílová adresa a port, a také směr přenosu paketu zachycený šipkou ). oslední částí pravidla jsou options volby, které ve skutečnosti popisují, co se má stát, když Snort zachytí paket odpovídající údajům v pravidlu a také co dalšího má být testováno (například pole TTL paketu nebo ICM informace). Například: alert tcp any > / (msg: TC paket na Net5 ;) To znamená, že má být generována výstraha, pokud je nalezen TC paket z jakékoliv adresy na portu 3389 mířící do sítě s danou I adresou (používají se CIDR adresy s prefixem), a to na tomtéž portu. S výstrahou se má vygenerovat zpráva v zadaném znění (zpráva je nahlášena a uložena do logu). Ve skutečnosti bývají pravidla poněkud sofistikovanější a mohou obsahovat také například popis porovnání se signaturou a další volby. V uvedeném příkladu jsou konkrétní adresy, ale lze využít také proměnné, ve kterých má Snort předdefinovanou adresu vnitřní sítě a některé další adresy, například alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg: ICM Large ICM acket ; dsize: >800;) Snort funguje podobně jako předchozí popsané mechanismy včetně SNM (správce+agenty). Agenty se nazývají sondy a nacházejí se v různých oblastech infrastruktury, podle potřeby (umístění stanovíme podle typu informací, které chceme získávat, záleží na tom, jestli je sonda před či za firewallem, v DMZ, v dané kolizní doméně apod.). 14 Snort získáme na

214 8.8 MONITOROVÁNÍ SÍTĚ 202 Obecně jde o dobře rozšiřitelný systém. okud máme více sond a na síti je větší provoz (což znamená velké množství záznamů), doporučuje se použít některý databázový systém, například MySQL. Existují také frameworky (rozhraní), které zjednodušují přístup a analýzu dat Snortu, například relude, 15 což je framework použitelný nejen pro Snort, ale také například pro Nessus. Další systém, který zjednodušuje používání Snortu, je ACID 16 (Analysis Console for Intrusion Databases). ACID je zajímavý už proto, že se s jeho použitím počítá v doporučeních pracovních skupin CERT (setkali jsme se s nimi u CESNETu). ACID potřebuje webový server (třeba Apache), funkční H a databázi, do které Snort ukládá záznamy (třeba MySQL). Další informace o Snortu: Detection with SNORT.pdf rules/ informacnich technologii/l19/cl18/st1/j1/jak nasadit system detekce pruniku.html NetFlow NetFlow je protokol vyvinutý firmou Cisco. S jeho podporou se tedy setkáme především na zařízeních od této firmy, ale také v zařízeních firmy Juniper a některých dalších firem (přesněji: tato zařízení mohou exportovat informace ve stejném formátu jako NetFlow). Nemusí jít jen o směrovače a přepínače, ale existují také jednoduchá přenosná zařízení, která plní pouze roli sledování sítě tímto způsobem. Na NetFlow je založen standard IFIX. NetFlow pracuje na principu toků. Tok (flow) je to, co obvykle považujeme za úplnou sít ovou konverzaci. V případě přenosů realizovaných spojovými stavovými protokoly (jako je například TC) do jednoho toku patří nejen odeslání jednoho paketu, ale komunikace v rámci celého spojení (ale pouze jedním směrem, tedy obousměrná komunikace je technicky ve dvou tocích). Do jediného společného toku také patří například sekvence ICM paketů vyslaných v rámci jediného příkazu ping. Každý tok je jednoznačně popsán těmito údaji: zdrojová I adresa cílová I adresa zdrojový port cílový port I protokol typ služby vstupní rozhraní 15 Informace o relude najdeme na 16 ACID najdeme na

215 8.9 WBEM 203 Komunikace také může být rozdělena do více toků, pokud trvá příliš dlouho (na směrovačích Cisco je to například 30 minut), nebo je delší dobu neaktivní a nebo je zaplněna vyrovnávací pamět zařízení (toky není kam ukládat, proto ty starší budou vymazány). Místo zjišt ování informací (s protokolem NetFlow) se nazývá Observation oint (také NetFlow Exporter). Toto zařízení zjišt uje z průchozích paketů potřebné informace a odesílá je flow kolektoru. Flow kolektor je hardware nebo software, který přijímá data o tocích a zpracovává. Jeden flow kolektor může přijímat data od více observation pointů. Kromě ukládání dat na Flow kolektoru ještě potřebujeme aplikaci, která by zjednodušila analýzu těchto dat. Existuje více takových aplikací, mnohé volně šiřitelné. OSU Flow-Tools 17 jsou volně šiřitelný balík programů pro textový režim vyvíjený na univerzitě v Ohiu. V balíku najdeme nástroje na shromažd ování dat na flow kolektoru a zpracování údajů o tocích. NFDump 18 je volně šiřitelný kolektor (distribuovaný pod BSD licencí). Existuje pro něj také grafická nástavba NFSen, 19 která je vlastně webovým rozhraním. Díky koncentrovanějším informacím, které NetFlow umožňuje získávat, lze odhalit například DoS útok (všechny pakety v rámci tohoto útoku mají společné posuzované parametry, patří do jednoho toku), ale ne například DDoS útok (je z mnoha zdrojů, obvykle z počítačů některého rozsáhlého botnetu) ani skenování uzlů v síti (různé cílové adresy). 8.9 WBEM rincip WBEM WBEM (Web-Based Enterprise Management) je skupina technologií a postupů vytvořená za účelem sjednotit správu distribuovaných počítačových prostředí (tj. včetně vzdálené správy). Správa se provádí bud přes webové rozhraní nebo pomocí specializovaných shellů. Data jsou organizována v modelu CIM (Common Information Model), který je otevřeným standardem. Účelem je jednotným způsobem popisovat, uchovávat a poskytovat potřebné informace bez ohledu na jejich zdroj a použitý protokol. Jedná se vlastně o objektově orientovanou databázi, kde jednotlivé objekty jsou zapouzdřeny a přistupuje se k nim přes unifikované rozhraní. Rozlišujeme WBEM server (ukládá a poskytuje informace, provádí příkazy) a WBEM klienta (reprezentován především rozhraním, se kterým pracuje administrátor, a příslušným AI). Klient odesílá žádosti, server konfrontuje se skutečným stavem a provádí je (případně zajišt uje proces autentifikace a autorizace). Spolu komunikují přes protokol HTT nebo HTTS. rávě podle těchto protokolů je v názvu web-based. (ozor, rozhodně to neznamená, že se komunikuje přes webový prohlížeč!) 17 OSU Flow-Tools získáme na 18 NFDump je dostupný na 19 NFSen je dostupný na

216 8.9 WBEM 204 Architektura je postavena na vzoru model obraz. Klient čte data z obrazu, server přistupuje k modelu reprezentovanému skutečným stavem hardwaru a softwaru v síti a při jakékoliv změně modelu aktualizuje obraz. WBEM nemá nahradit protokoly CMI a SNM, ale je jakousi nástavbou těchto modelů zjednodušující přístup administrátora k informacím. WBEM má více různých implementací, například: WMI (Windows Management Instrumentation) je implementace Microsoftu pro Windows. Umož- ňuje (i vzdáleně) spravovat počítače s Windows v síti, je předinstalována na všech verzích od Win 2000 (resp. Win ME). Je postavena na VBScriptu a owershellu, WMI těmto skriptovacím jazykům poskytuje přístup prakticky k čemukoliv ve Windows. Některé další nástroje, které nejsou instalovány se systémem, je možné stáhnout ze stránek Microsoftu details.aspx?familyid=6430f db-8cc5-f2abdc3ed314&displaylang=en. OpenWBEM od Novellu je implementace určená pro Novell Netware, Linux a některé jiné Unixové systémy (včetně Solarisu a MacOSX). Je používána v komerční i nekomerční sféře a stejně jako WMI nabízí rozsáhlé možnosti zásahů do konfigurace sítě a monitorování. Je ke stažení na Openegasus je další otevřená implementace pro různé Unixové systémy včetně Linuxu, a Win- dows. Je ke stažení na V Linuxu (v menších sítích) se hodně používá nástroj Webmin, který zřejmě není přímo implementací WBEM, ale má hodně podobné možnosti. oskytuje sjednocené rozhraní v internetovém prohlížeči a umožňuje monitorovat, vyhodnocovat a konfigurovat uzly v síti. Varianta s omezenými právy, kterou mohou používat běžní uživatelé, se nazývá usermin. Dále existuje varianta Virtualmin pro hromadnou správu virtuálních hostitelů (například v serveru Apache). Webmin je ke stažení na Obrázek 8.9: Úvodní okno aplikace WbemTest

217 8.9 WBEM WMI Jak bylo výše uvedeno, WMI je implementace modelu WBEM pro správu Windows. Databáze CIM je taktéž objektová, jde o objekty plnohodnotné s implementací tříd, vlastností, metod, událostí, využívající dědičnost a kompozici. Třídy jsou psány v objektovém jazyce MOF (Managed Object Format), který je interpretovaný (dá se říct skriptovací). Většina komponent WMI (včetně tříd) je v adresáři...\system32\wbem. Najdeme tam hodně souborů s příponou MOF. okud nás zajímá, jak vlastně vypadají třídy WMI, můžeme se na ně podívat v nástroji, který je součástí Windows od verze X. WbemTest se spouští příkazem wbemtest a má grafické rozhraní. o spuštění se objeví základní okno, které vidíme na obrázku 8.9. Nejdřív je nutné se připojit k určitému oboru názvů (zobrazuje se v levém horním rohu okna), na obrázku 8.9 jsme připojeni k oboru názvů CIMV2 (k oboru názvů se jednoduše připojíme tak, že klepneme na tlačítko řipojit a zadáme název). ak můžeme volně pracovat se třídami, které do zvoleného oboru názvu patří (také vytvářet nové). okud si chceme prohlédnout (nebo upravit) vlastnosti některé třídy daného oboru názvů, klepneme v hlavním okně na tlačítko Výčet tříd. Zobrazí se dialogové okno (obrázek 8.10), do kterého bud zadáme přímo název třídy, a nebo zvolíme rekurzivní výčet (to znamená, že budou vypsány všechny třídy z oboru názvů). V seznamu pak poklepeme na vybranou třídu a zobrazí se okno se všemi jejími vlastnostmi a metodami (obrázek 8.11). Obrázek 8.10: Stanovení třídy Obrázek 8.11: Vlastnosti zvolené třídy Win32_rocess Kromě výše uvedeného nástroje WbemTest lze ke službě WMI přistupovat přes konzolu Řízení služby WMI. Spouštíme ji souborem wmimgmt.msc, ale je dostupná také v konzole Správa počítače, jak vidíme na obrázku V kontextovém menu položky Řízení služby WMI zvolíme Vlastnosti

218 8.9 WBEM 206 a získáme okno, které vidíme na obrázku 8.12 vpravo. Nastavujeme obecné vlastnosti řízení WMI jako je způsob protokolování a umístění protokolu, zálohování (máme možnost obnovit databázi WMI ze zálohy) a určujeme zabezpečení prvků databáze. Obrázek 8.12: Vlastnosti v konzole Řízení služby WMI Dalším velmi užitečným nástrojem pro řízení WMI je program wmic.exe, kterému se budeme podrobněji věnovat dále. omocí tohoto nástroje můžeme přistupovat k databázi WMI a získávat z ní nejrůznější informace. Na webu Microsoftu lze získat WMI Administrative Tools, 20 což je balík několika nástrojů pro práci s WMI objekty. Je užitečný zejména pro programátory služeb, v nástrojích balíku se dostaneme prakticky k jakýmkoliv informacím, navíc přehledně a srozumitelně členěným. Rozhraní WMI se velmi často používá ve skriptech (pomocí VB skriptu se takto dostaneme prakticky k čemukoliv, co na počítači potřebujeme, i přes sít ). Skripty můžeme vytvářet bud ručně, a nebo v některém nástroji pro generování WMI skriptů. Hodně používané jsou například WMI Code Creator 21 generuje skripty v jazycích VB Script, Visual Basic.NET a C#, Scriptomatic. 22 Zatímco ve Windows 2000 se rozhraní WMI spouštělo jako služba s vlastním procesem, od verze X (Server 2003) jde o službu spouštěnou v rámci procesu svchost.exe. Kdykoliv se spouští něco souvisejícího s WMI (například požadavek na data z databáze CIM), kód je spouštěn v procesu wmiprvse.exe, který je potomkem procesu hostícího službu RC. 20 WMI Administrative Tools získáme na adrese f db-8cc5-f2abdc3ed314. V balíku najdeme nástroje WMI Object Browser (zobrazuje objekty v hierarchické struktuře i jejich metody, metody můžeme i spouštět), WMI CIM Studio (pro práci s třídami), WMI Event Registration Tool a WMI Event Viewer (pro práci s událostmi objektů). 21 WMI Code Creator je dostupný na stránce EA DA4-55BBC145C30E. 22 Scriptomatic získáme na adrese

219 8.10 DOHLEDOVÉ SYSTÉMY 207 rogram wmic (WMI Console) je dostupný od verze Windows X/Server Umožňuje využívat rozhraní WMI na příkazovém řádku. pracuje ve dvou režimech klasickém (externím) a interaktivním. Tomuto příkazu se věnujeme v příloze (kapitola B.5, strana 243). Úkoly V příloze najděte sekci o programu wmic a vyzkoušejte některé z uvedených ukázek jeho používání Dohledové systémy Dohledový systém (network management software) je systém, který dokáže monitorovat stav sítě (různé veličiny), tedy sbírat informace z různých zdrojů na síti, generovat reporty a v případě problémů (abnormální hodnoty sledovaných veličin, velké výkyvy apod.) vhodně reagovat (například odeslat informaci adminovi). Když si vybíráme dohledový systém, bereme v úvahu: co vše může být monitorováno (množství a typy monitorovaných služeb), konkrétnost hlášení (některé poruchy jsou hierarchické, tedy pokud něco selže v důsledku selhání něčeho jiného, neměl by report zahrnovat vše, ale pouze kořen problému ), rozhraní, dnes běžně grafické, mělo by být dostatečně přehledné a vhodně hierarchicky členěné, hodně záleží na tom, co si lze zobrazit a v jaké formě, možnost vizualizovat nejrůznější datové toky či cokoliv dalšího, co se může s časem měnit, způsob zasílání hlášení přes SMT server (příp. může být i integrovaný), SMS, pager, možnosti nastavení uživatelských oprávnění pro přístup k evidovaným informacím, funkční omezení způsob komunikace s hlídanými zařízeními (přes který protokol, např. SNM), způsob logování, atd. Existují jak open-source, tak i komerční dohledové systémy. Ke komerčním patří například WhatsUp Gold, 23 SonicWALL, 24 a další. Na některé open-source produkty se podíváme v následujícím textu Nagios Nagios je velmi oblíbený open-source monitorovací (dohledový) systém. Zvládá nejen samotné monitorování, ale i vizualizaci. Dokáže monitorovat různé typy sít ových služeb (HTT, O3, ICM, SMT), nemá problémy s šifrováním, monitoruje také využívání prostředků na uzlech sítě (rozumí si s různými operačními systémy včetně Windows), zvládá vizualizaci stavu sítě (také dokáže vykreslit topologii sítě včetně 3D grafu). ro konfiguraci lze použít webové rozhraní (ale je možné využívat jiná rozhraní, například Centreon v kombinaci s MySQL). Vznikl nový fork (odnož) Nagiosu, který se nazývá Icinga. 25 odle vývojářů tohoto forku je účelem především zrychlit a zpružnit vývoj. J Systém Icinga včetně zdůvodnění jejího vzniku najdeme na

220 8.10 DOHLEDOVÉ SYSTÉMY 208 Další informace o Nagiosu: /quickstart.html Zabbix Zabbix 26 je dalším oblíbeným open-source monitorovacím systémem. otřebujeme Zabbix Server (ten nainstalujeme na dohledový server, měl by na něm běžet některý unixový systém včetně Linuxu) a Zabbix agenty (na klientských zařízeních, různé operační systémy včetně Windows). Konfigurace se provádí opět přes webové rozhraní, tedy po základní orientaci nic moc složitého. Funkčnost je podobná, snad mírně nižší, než v případě Nagiosu, obvykle je Zabbix považován za jednodušší ve vybavenosti a konfiguraci (Nagios je zase považován za stabilnější). Taktéž podporuje SNM a agenty je možné instalovat na různé operační systémy. Další informace o Zabbixu: J OpenNMS OpenNMS 27 je open-source dohledový systém, který je narozdíl od předchozích napsán v Javě. Je určen pro monitorování rozsáhlých sítí s velkým množstvím sledovaných zařízení. Monitoring může být distribuovaný (na více serverech), díky tomu lze monitorovat tak velké množství zařízení. Jde o dobře rozšiřitelný systém. Monitoring různých služeb je řešen pomocí pluginů (podporu monitorování další služby lze přidat jednoduše přidáním pluginu). Konfigurace se opět provádí přes webové rozhraní. ráci se systémem je možné si vyzkoušet na demo aplikaci na stránkách projektu. Další informace o OpenNMS: network management J Zenoss Zenoss 28 je další open-source dohledový systém (přesněji jeho jedna varianta je open-source volně ke stažení, druhá Enterprise je komerční). Je postaven na myšlence využití existujících opensource projektů. J 26 Zabbix je dostupný na 27 Informace o OpenNMS najdeme na age. 28 Zenoss je dostupný na

221 8.10 DOHLEDOVÉ SYSTÉMY 209 Jeho jádrem je objektový webový server Zope napsaný v jazyce ython, a také v ythonu je možné Zenoss dále rozšiřovat (dokonce lze údajně používat i pluginy z Nagiosu, který je také napsán v ythonu). Dále se přidává databázový systém MySQL a celý systém běží nad Twisted, což je událostmi řízené rozhraní pro programování sít ových aplikací, které si rozumí s mnoha různými protokoly na více vrstvách ISO/OSI. Důležitou součástí celého systému je RRDTool (Round Robin Database Tool). Tento nástroj slouží k ukládání, zpracovávání a vytváření grafické reprezentace (grafů) jakýchkoliv čísel, která mu předáme. Základem je databáze organizovaná jako kruhová fronta (odtud název Round Robin Database) se statickou velikostí, ve které jsou starší data přepisována novějšími. Zenoss si rozumí s protokoly SNM, ICM, protokoly rodiny TC/I, komunikuje s unixovými systémy (včetně syslogu) a také s Windows (podporuje také WMI). Na webu firmy najdeme také informaci o tom, že jsou podporována také cloud zařízení (pojem Cloud Computing je velmi populární). Konfigurace probíhá přes přehledné webové rozhraní. Další informace o systému Zenoss: choice Cacti Cacti 29 je další open-source nástavba nástroje RRDTool, podobně jako Zenoss. Také v Cacti jde o to, jak získat data, vhodně je uložit a následně analyzovat a zobrazit. Data mohou být získávána z různých zdrojů, například od SNM (Net-SNM), skriptů v nejrůznějších skriptovacích jazycích nebo WMI, a uložena bud do SQL databáze nebo pomocí RRDTool. Systém je určen pro menší a střední sítě (stovky, možná tisíce, uzlů sítě). Komunita kolem systému Cacti se utěšeně rozrůstá, a tak existuje hodně pluginů a také šablon pro různé typy hodnot. Stejně jako u předchozích nástrojů, také zde máme k dispozici přehledné webové rozhraní pro konfiguraci a manipulaci s daty. Další informace o Cacti: J

222 8.10 DOHLEDOVÉ SYSTÉMY 210 Obrázek 8.13: Dohledový systém Cacti 30 Úkoly Vyberte si jeden ze zmiňovaných dohledových systémů a najděte o něm co nejvíce informací. okud máte možnost, vyzkoušejte ho. A ještě pár odkazů týkajících se zabezpečení: linux intro.pdf Cacti najdeme na 30 Zdroj:

223 Seznam doporučené literatury [1] CESNET2. URL: [cit ] [2] DONAHUE, G. A. Kompletní průvodce sít ového experta. Brno, Computer ress, [3] EMSON, S. CCNA: Kompletní přehled příkazů. Autorizovaný výukový průvodce. Brno, Computer ress, [4] HARER, A. et al. Hacking manuál hackera. raha, Grada, [5] HORÁK, J. KERŠLÁGER, M. očítačové sítě pro začínající správce. Brno, Computer ress, [6] HUBERT, B. et al. Linux Advanced routing & Traffic Control [online]. URL: další na [cit ] [7] JANEČEK, J. Distribuované systémy [online]. URL: media/vyuka/cviceni/x36pko/skripta dsy.pdf [cit ] [8] JONES, D. Automatizace správy a skriptování Microsoft Windows. Brno, Computer ress, [9] Linux Home Networking [online]. Knihy o správě počítačových sítí v Linuxu. URL: [cit ] [10] MINASI, M. YORK, D. Linux pro administrátory Windows. Brno, Computer ress, [11] ETERKA, J. earchiv: Co je čím v počítačových sítích [online]. URL: coje.php3 [cit ] [12] ETERKA, J. earchiv: rincipy počítačových sítí [online]. URL: pri.php3 [cit ] 211

224 212 [13] RICE, B. Active Directory. Brno, Computer ress, [14] UŽMANOVÁ, R. Moderní komunikační sítě od A do Z. 2. aktualizované vydání. Brno, Computer ress, [15] RUEST, D. RUEST, N. Virtualizace: odrobný průvodce. Brno, Computer ress, [16] SATRAA,. Internetový protokol Iv6. raha, CZ.NIC, z.s.p.o., stran. Kniha je dostupná v elektronické formě na satrapa ipv pdf [cit ] [17] SCOTT, C. WOLFE,. ERWIN, M. Virtual rivate Networks. 2nd edition. O Reilly, USA, Náhled většiny stránek je dostupný na Google Books. [18] SCHRODER, C. Linux: Kuchařka administrátora sítě. Brno, Computer ress, Z originálu Linux Networking Cookbook vydaného nakladatelstvím O Reilly Media. [19] Svět sítí, tutoriály [online]. URL: [cit ] [20] System Virtualization Strategies Development Space [online]. IBM Redbooks. URL: [cit ] [21] THOMAS, T.M. Zabezpečení počítačových sítí. Autorizovaný průvodce. Brno, Computer ress, [22] Výukové materiály Cisco [online]. URL: doc.html [cit ]

225 ŘÍLOHY

226

227 říloha A Co už bychom měli znát Zde v první příloze jsou uvedena témata, která už bychom měli znát z bakalářského studia. Nicméně, dokonalá pamět je věcí vzácnou, proto si je pro jistotu rychle zopakujeme. A.1 Lokální sítě ojmy LAN (lokální sít ), WAN (rozlehlá sít ), MAN (metropolitní sít ) a případně CAN (campus, sít v omezené oblasti) bychom již měli znát. Taktéž se již předpokládá přehled o topologiích sběrnicová, kruhová, hvězda, stromová (hierarchická). Každá komunikace probíhá po spoji (mezi uzly sítě). A.1.1 Vlastnosti spojů Komunikace (nejen v lokálních sítích) se člení podle mnoha kritérií. odle typu spoje rozlišujeme spoje dvoubodové (point-to-point) komunikace probíhá mezi dvěma uživateli (zařízeními), vícebodové (point-to-multipoint) více než dvěma. řenosy mohou být paralelní nebo sekvenční, a dále synchronní nebo asynchronní. ojmy paralelní a sekvenční jsou zde ve stejném významu, jaký se používá u nám dobře známých periferních zařízení počítače. aralelní přenos znamená přenášení po více bitech najednou (více souběžných vodičů). To se může zdát výhodou vzhledem k rychlosti přenosu, ale nastává zde problém synchronizace dat. aralelní přenos je proto použitelný jen pro malé vzdálenosti, u sítí se téměř nepoužívá. Sekvenční (sériový) přenos znamená přenášení dat po jednotlivých bitech. S pořadím je trochu problém u různých protokolů, například jsou odlišnosti u Ethernetu a Token Ring. 215

228 A.1 LOKÁLNÍ SÍTĚ 216 řenášené bity jsou členěny na znaky (většinou 7 nebo 8 bitů), používáme také pojem oktet, který znamená vždy právě 8 bitů (většinou jsou tyto pojmy ekvivalentní). Sekvenční přenosy jsou v sítích obvyklé. oznámka: ojem Byte sice obvykle označuje skupinu 8 po sobě následujících bitů, ale v určitém kontextu může znamenat 7 po sobě jdoucích bitů, proto tento pojem není z důvodu nejednoznačnosti v oblasti sítí moc používán. oužitelnější je naopak pojem oktet, který má přímo v sobě zahrnut počet 8. Navíc se skloňuje jednodušeji než Byte. L Sériový asynchronní přenos znak je přenášen vcelku, ale mezi jednotlivými znaky mohou být jakkoliv dlouhé časové prodlevy. Arytmický přenos znamená úpravu asynchronního přenosu částečnou synchronizací, používají se speciální značky obklopující data. osloupnost v rámci jednoho znaku: [start-bit] [data znaku] ( ) [paritní bit] [stop-bit] V následujícím nákresu na obrázku A.1 si všimněte pořadí bitů je opačné oproti tomu, na které jsme zvyklí na papíře. řenos znaku ( ) 2 : ST S... paritní bit ST... start bit S... stop bit Obrázek A.1: Sériový asynchronní přenos Sériový synchronní přenos data jsou přenášena v blocích, uvnitř bloků nesmí dojít k časovým prodlevám mezi znaky. Nepoužívají se start-bity ani stop-bity, ale paritní bity mohou být použity. Na začátku bloku je jeden nebo více synchronizačních znaků, na konci bloku také (mohou být vysílány až do začátku dalšího bloku). řenos sekvence dvou znaků ( ) 2 ( ) 2 : SYN SYN SYN... synchronizační bit Typy komunikace v LAN Obrázek A.2: Sériový synchronní přenos 1. unicast jeden zdroj a jeden cíl, paket je odesílatelem adresován příjemci, jde o komunikaci mezi dvěma uzly v síti,

229 A.1 LOKÁLNÍ SÍTĚ multicast tentýž paket je adresován množině uzlů v síti, tj. shodné kopie paketu jsou posílány na více stanovených adres v síti (příjemce stanoví multicast adresu, která obsahuje adresy uzlů příjemců), 3. broadcast tentýž paket je adresován všem uzlům v síti, použije se broadcast adresa, 4. anycast (v Iv6) výběrová adresa; je podobná skupinové (také představuje skupinu zařízení), ale datagram je doručen jen jednomu zařízení ze skupiny (většinou nejbližšímu). Duplex stanoví, kterým směrem komunikace může vést: simplexní spojení pouze jednosměrné poloviční duplex (half duplex) spojení je obousměrné, ale v jednom okamžiku lze přenášet data pouze jedním směrem, plný duplex (full duplex) spojení je obousměrné, v jednom okamžiku mohou komunikovat obě strany zároveň. lný duplex je často sestavován pomocí dvou navzájem opačných simplexů. Tento způsob komunikace je obvykle možný jen na point-to-point spojích. A.1.2 Vlastnosti služeb Spojová služba (connection-oriented) nejdřív naváže spojení a pak teprve posílá data. Komu- nikace má tři fáze: navázání spojení, odeslání dat, ukončení spojení. V rámci navázání spojení se dohodnou podmínky přenosu. Tento typ služby většinou dokáže ohlídat ztrácení paketů. Nespojová služba (connectionless) posílá data bez předchozího navázání spojení. Data mohou být také rozdělena na více částí (paketů, rámců), každý z nich musí být očíslován svým pořadím v původním proudu dat (zprávě) a musí být zřejmé, který je první a který poslední. Tento typ služby může nebo nemusí vyžadovat potvrzení, tedy se dělí do dvou podskupin: nepotvrzovaná služba bez spojení, potvrzovaná služba bez spojení (s potvrzením doručení dat). ři využití potvrzované služby se spojením se potvrzuje přijetí dat (bud po každé přijaté datové jednotce nebo po dohodnutém počtu datových jednotek či oktetů, s tím se setkáme například u pojmu windowing). Dále potřebujeme znát následující pojmy. řenosový kanál (channel) je souhrn prostředků (kabely, bezdrátové cesty, spojová zařízení apod.), které vytvářejí komunikační spojení (jednosměrné). Je charakterizován (fyzikálními) vlastnostmi jako je přenosová rychlost, úroveň šumu, šířka pásma apod. Okruh (circuit) je obousměrné spojení sestavené z komunikačních kanálů. Šířka pásma (bandwidth) je šířka intervalu frekvencí, které je přenosový kanál schopen přenést (jednotka šířky pásma je stejná jako jednotka frekvence). Obecně: čím větší šířka pásma, tím vyšší přenosová rychlost spojení.

230 A.1 LOKÁLNÍ SÍTĚ 218 A.1.3 Multiplexování Multiplexing znamená sdružování různých datových proudů do jedné fyzické komunikační cesty. řenosový kanál s dostatečně vysokou šířkou pásma rozdělíme na více (logických) subkanálů, které se jeví jako samostatné. Multiplexing může probíhat na kterékoliv vrstvě ISO/OSI. Jde vlastně o dvě činnosti: multiplexování probíhá na zdrojovém zařízení (source), demultiplexování probíhá na cílovém zařízení (destnation) na stejné vrstvě jako u zdroje, jde o převod multiplexovaných dat do původního tvaru. K multiplexování slouží multiplexor, k demultiplexování slouží demultiplexor. Základní varianty multiplexingu frekvenční multiplex (frequency division multiplexing, FDM) každý subkanál má přidělen vlastní interval frekvencí; signál je při přenosu posunut do šířky pásma pro daný subkanál a po přenosu je posunut zpět (úpravy signálu se provádějí kmitočtovým filtrem), v současné době se s variantami setkáváme v satelitních, kabelových a některých rádiových sítích, časový multiplex (time division multiplexing, TDM) celý kanál je střídavě (na krátké časové úseky) přidělován jednotlivým subkanálům, používá se například v GSM, statistický multiplex (statistical time division multiplex, STDM) šířka pásma je dynamicky přidělována podle předpokládaných potřeb (statisticky vypočtených z historie); je to vlastně pozměněná asynchronní varianta TDM, která podporuje inteligentní řízení vytížení sítě, vlnové dělení (wavelength division multiplex, WDM) se používá v optických vláknech; pracuje na podobném principu jako FDM, jen místo frekvencí mluvíme o vlnových délkách (také barvách) světla, tuto metodu lze také kombinovat s TDM či STDM, kódové dělení (code division multiple access, CDMA) vzniklo původně pro potřeby armády; spočívá v rozprostření užitného signálu podle daného algoritmu v závistlosti (kromě jiného) na počtu a umístění vysílajících uživatelů, což znesnadňuje odposlouchání signálu (výsledný signál se jeví jako silně zašuměný a bez znalosti způsobu zakódování nelze jednotlivé původní signály oddělit, pro oddělení jednotlivých komunikací je třeba použít programový kód), používá se například v systémech UMTS, ortogonální multiplex s frekvenčním dělením (Orthogonal Frequency Division Multiplexing, OFDM) používá několik stovek až tisíc nosných kmitočtů tak, aby jednotlivé nosné byly navzájem ortogonální (to znamená, že maximum nosných se minimálně překrývá s jinými nosnými). Typické využití je především v bezdrátových sítích (včetně Wi-Fi) a ADSL. Obrázek A.3: Frekvenční, časový a statistický multiplex (statistický: pro ideální případ)

231 A.1 LOKÁLNÍ SÍTĚ 219 Časové úseky, které jsou přidělovány v TDM a STDM, se nazývají sloty (na obrázku A.3 to jsou stejně dlouhé úseky v druhém a třetím podobrázku, do kterých dosazujeme úseky jednotlivých konverzací). A.1.4 řístupové metody Žádná dvě zařízení by neměla zasílat data ve stejném kanálu v jednom časovém okamžiku. CSMA/CD (Carrier Sense Multiple Access, Collision Detect) používá se u Ethernetu. Vychází z toho, že pokud dvě zařízení vysílají data zároveň, dojde ke kolizi. ostup řešení: zařízení, které chce vysílat data, naslouchá, zda jiné zařízení právě vysílá, pokud ne, začne vysílat, po ukončení přenosu jednotky opět poslouchá, zda nedošlo ke kolizím, když zjistí kolizi, vyčká po dobu o náhodně vygenerované délce (tj. každé z kolidujících zařízení zřejmě čeká jinou dobu) a teprve pak začne vysílat znovu. odrobný postup probereme v kapitole o Ethernetu. Čím víc je vysílajících zařízení, tím vyšší pravděpodobnost kolize a tím nižší propustnost. Tento problém se dá částečně řešit přidáním přepínačů (switch), které mohou oddělit jednotlivé oblasti sítě (tzv. kolizní domény) a snížit množství kolizí. CSMA/CA (Carrier Sense Multiple Access, Collision Avoidance) kolizím se přímo předchází (ne doslova, lépe to vystihuje pojem moc neřeší ), stanice jednoduše před vysíláním naslouchá, jestli nevysílá nikdo jiný, tato metoda je určena pro bezdrátové sítě (opět probereme v příslušné kapitole). Token assing je metoda posílání peška tokenu. Token se posílá postupně všem zařízením v síti, pouze to zařízení, které má právě token, může vysílat. okud zařízení dostane token a nemá co vysílat, pošle token dál. okud zařízení dostane token a má co vysílat, provede přenos a až po jeho ukončení pošle token dál. Jiná forma Token assing: token může sloužit jako nosná datová jednotka, tj. pokud je token volný a stanice má co vyslat, přidá svá data a další údaje (včetně cíle) k tokenu a pošle dál, adresát (cíl) si data vyzvedne a token může být využit jiným uzlem v síti. ři stanovené velikosti přenášených dat (velikost rámce nebo paketu) a známém množství zařízení schopných vysílat je možné vypočíst maximální dobu čekání na token, to je výhodou v real-time provozech. oloduplexní a plně duplexní přístup metody CSMA/CD i Token assing jsou samy o sobě z principu poloduplexní. okud přidáme switch, u obou metod lze dosáhnout plně duplexního přístupu, což znamená zvýšení propustnosti. A.1.5 Řízení toku dat v síti Sít ové zařízení (následující se týká mezilehlých sít ových zařízení jako jsou např. přepínače nebo směrovače) potřebuje buffer (cache, vyrovnávací pamět ). Zde ukládá příchozí datové jednotky bit

232 A.2 WAN SÍTĚ 220 po bitu, aby bylo možné takovou datovou jednotku zpracovat (především potřebuje zjistit, na který port má datovou jednotku odeslat, tedy určitá adresa, podle typu zařízení), příp. zkontrolovat, zda je vpořádku (kontrolní součet, platná délka apod.). okud datové jednotky přicházejí příliš rychle a sít ové zařízení je nestačí odbavovat, může dojít k přetečení bufferu (vyrovnávací pamět nestačí). Tedy je potřeba zabránit zahlcení sítě, přetečení bufferu apod. pro tyto účely existují kromě samotné existence vyrovnávací paměti ještě tři základní metody: 1. Zprávy o zahlcení (source-quench messages) přijímající zařízení posílá zdrojovému (tj. vysílajícímu) zařízení žádost o snížení přenosové rychlosti (resp. intervalů) zasílaných paketů. Tato metoda se využívá např. na třetí vrstvě TC/I, existuje ICM zpráva č. 4 Source Quench (zpráva zdroji dat, aby snížil rychlost odesílání). 2. Zahazování paketů přijímající zařízení může zahazovat obdržená data, aby zabránilo přetečení vyrovnávací paměti, zdrojové zařízení po určité době posílá znovu zahozené pakety a postupně opět zvyšuje přenosovou rychlost. Jeden z algoritmů je například Token Bucket (používá se na směrovačích). 3. Windowing zdroj dostane povolení odeslat určitý počet paketů (window size = tento počet), když cíl z nějakého důvodu neobdrží tento počet paketů, zdroj je posílá znovu se sníženou rychlostí přenosu. Obdoba se používá například v protokolu TC, pod názvem Sliding Window (služba se spojením). A.2 WAN sítě A.2.1 Okruhy Víme, že okruh je tvořen několika komunikačními kanály. Okruhů existuje také více druhů. Typy okruhů podle vlastnictví a možnosti užívání: soukromé (private) uživatel (provozovatel) si sám zřídí přenosovou cestu, veřejné (private) zřizuje spojová organizace (obvykle státní nebo monopolní v dané zemi), za poplatek může takové okruhy používat každý, pronajaté (leased) provozovatel potřebuje mít okruh neustále k dispozici, tak si ho pronajme od spojové organizace; zůstává majetkem spojové organizace, ale výhradní právo k užívání má provozovatel. Fyzický okruh je okruh, který zcela souhlasí s fyzickou přenosovou cestou (pořád stejnou) a není přerušen žádným meziuzlem (třeba ústřednou), obvykle je to soukromá přenosová cesta. Virtuální okruh je logický okruh (ne fyzický) přes sdílené přenosové cesty. Je to nejobvyklejší možnost v rozlehlých sítích. Rozlišujeme dva typy virtuálních okruhů: pevný (trvalý, VC) komutovaný (přepínaný, SVC)

233 A.2 WAN SÍTĚ evný virtuální okruh (také non-switched, direct, trvalý, VC permanent virtual circuit), zůstává vyhrazen svému provozovateli po celou dobu vlastnictví/pronájmu. Tento typ okruhu se musí vytvořit manuálně, vytvoření je proto náročnější a pomalejší, jeho používání je obvykle dlouhodobější týdny/měsíce/roky. Tento typ okruhu obchází meziuzly (ústředny apod.), tedy komunikace je rychlejší, a netýkají se jich související poruchy, proto je považován za kvalitnější. 2. Komutovaný virtuální okruh (také switched, dial-up, přepínaný, SVC switched virtual circuit) je dočasně sestaven během navázání spojení, přestane existovat po ukončení spojení (proces sestavení okruhu v ústředně = komutace). Vytváří se automaticky, softwarově, a to takto: zašle se požadavek s potřebnými informacemi, jsou dohodnuty parametry spojení vyhovující všem zainteresovaným uzlům, vysílací uzel obdrží identifikátor jednoznačný pro vzniklý okruh, posílaná data pak neobsahují směrovací informace (stačí tento identifikátor). A.2.2 Komunikace v rozlehlé síti Ve WAN sítích se používají tři základní typy spojení: 1. oint-to-oint 2. řepínání okruhů 3. řepínání paketů oint-to-oint komunikace je jednoduchá komunikace s navázáním spojení přes sít poskytovatele (majitele infrastruktury drátů apod.) realizovaná přepravcem (například telefonní společností). Linka je pronajata od poskytovatele (leased circuit). ři vzniku spojení je trvale vyhrazena dvojice linek pro toto nově vytvářené spojení (plný duplex). řepínání okruhů (Circuit Switching) na začátku komunikace se vytvoří okruh s pevně nastave- nou přenosovou kapacitou (obvykle při spojově orientovaných službách). Narozdíl od předchozího zde okruhy nejsou stálé, ale vznikají a zanikají podle potřeby (komutované, přepínané). Výhodou je jednoduchý způsob účtování, spojení (po navázání) funguje prakticky v reálném čase (bez zastavování v meziuzlech). Nevýhodou je nutnost rezervace přenosových cest, které by mohl využívat také někdo jiný. Toto řešení je obvyklé pro velké veřejné datové sítě (CSDN Circuit Switching ublic Data Network), typický příklad: ISDN. řepínání paketů (acket Switching) data jsou členěna na části (pakety) a posílána sdíleným ka- nálem (obvykle při nespojových službách). Každý paket musí mít informaci o adresátovi (případně také o odesílateli) a další (směrovací) informace, což u předchozích nebylo nutné. Výhodou je, že kapacita přenosových cest může být snadněji sdílena. Nevýhodou je, že rychlost přenosu paketů je závislá na vytížení sítě (v meziuzlech je paket nejdřív uložen do mezipaměti a až po uvolnění linky je poslán dál).

234 A.3 MODEL ISO/OSI 222 Dostupný přenosový kanál Jednotlivé okruhy Dostupný přenosový kanál řenášené pakety Obrázek A.4: řepínání okruhů a přepínání paketů ve WAN Toto řešení je obvyklé pro lokální sítě. okud je použito pro velkou veřejnou datovou sít, mluvíme o SDN (acket Switched ublic Data Network). Variantou (podobně fungující) ke přepínání paketů je také přepojování buněk v X.25 nebo ATM, a přepojování rámců v síti Frame Relay. A.3 Model ISO/OSI A.3.1 rincip ISO/OSI Open System Interconnection Reference Model byl vydán sdružením ISO v roce 1984 jako norma IS Aplikační vrstva (application layer) 6. rezentační vrstva (presentation layer) 5. Relační vrstva (session layer) 4. Transportní vrstva (transport layer) 3. Síťová vrstva (network layer) 2. Linková vrstva (data link layer) 1. Fyzická vrstva (physical layer)... aplikačně orientované vrstvy... přizpůsobovací vrstva... vrstvy orientované na přenos Obrázek A.5: Model ISO/OSI

235 A.3 MODEL ISO/OSI 223 Jedná se abstraktní model určený speciálně pro použití v počítačových sítích. V normě nejsou nikde specifikovány implementace (tj. konkrétní naprogramování), najdeme zde pouze principy, popis přístupových rozhraní a funkcí. Dokonce ani popis komunikačních protokolů není součástí normy, protokoly jsou specifikovány až v navazujících normách ISO a doporučeních ITU-T. rincip je jednoduchý sít ová komunikace na zařízení je rozčleněna do sedmi úrovní (sít ové zařízení však nemusí nutně implementovat všechny vrstvy, jak později uvidíme). Každá úroveň (vrstva) má svou vlastní úlohu a je relativně nezávislá na ostatních. Každá vrstva komunikuje pouze s okolními vrstvami, a to tak, že vrstva poskytuje své služby vrstvě bezprostředně nadřízené a je klientem (využívá služeb) vrstvy bezprostředně podřízené. Na obrázku A.5 vidíme rozložení vrstev. Tedy například linková vrstva je klientem fyzické vrstvy (využívá jejích služeb) a své služby poskytuje sít ové vrstvě. V praxi (především v navazujícím modelu TC/I, ale i jinde) se setkáváme s rozdělením některých vrstev na podvrstvy (obvykle dvě), například právě linková vrstva bývá takto rozdělena (ovšem podle jiné normy, v tomto případě například IEEE). Na obrázku A.5 si také můžeme všimnout barevného rozdělení vrstev do tří zón. Spodní (zelená) zóna zahrnuje vrstvy orientované na přenos, tato zóna se zabývá především technickými detaily přenosu (jak vhodně data upravit, rozdělit apod. tak, aby bylo možné je přenést). Horní (žlutá) zóna obsahuje vrstvy aplikačně orientované (nezabývají se přímo přizpůsobováním dat pro přenos, ale spíše logickými vlastnostmi spojení). Mezi těmito dvěma zónami je přizpůsobovací zóna obsahující pouze transportní vrstvu. A.3.2 ojmy S modelem ISO/OSI souvisejí tyto pojmy: Entita je prvek pracující na konkrétní vrstvě, je to konkrétní prvek, který bud poskytuje službu (je poskytovatel služby) nebo využívá službu některé entity z nižší vrstvy. ro množinu entit, které jsou všechny v rámci jedné vrstvy, se také používá pojem peer entities. řístupový bod služby (SA Service Access oint) je bod na pomezí dvou vrstvev, přes který komunikují dvě entity v sousedních vrstvách. Každý SA má jednoznačnou adresu. řes jeden SA může v jednom okamžiku vést pouze jediná komunikace (ale na druhou stranu entita může v jednom okamžiku komunikovat přes více různých SA k jedné nebo obou sousedních vrstvách). rotokol (obvykle ve spojení komunikační protokol) je sada pravidel a konvencí určujících, jakým způsobem probíhá výměna dat mezi dvěma prvky (počítači v síti). Zahrnuje služby jedné nebo více vrstev v ISO/OSI, obvykle ke komunikaci v rámci jedné vrstvy. Rozlišujeme mezivrstvové protokoly slouží ke komunikaci mezi entitami v sousedních vrstvách v rámci jednoho systému (zařízení), komunikuje se přes některý SA, vrstvové protokoly slouží ke komunikaci mezi entitami na stejné vrstvě, ale v různých systémech (na různých zařízeních), například mezi linkovými vrstvami na dvou zařízeních v síti.

236 A.3 MODEL ISO/OSI 224 Vrstvové protokoly narozdíl od mezivrstvových nefungují přímo, komunikace mezi různými systémy probíhá vždy přes nižší vrstvy obou systémů. Soustava protokolů (rotocol Suite) je skupina protokolů pro konkrétní model. ro tutéž činnost může existovat více alternativních protokolů. rotokolový zásobník (rotocol Stack) Ze soustavy protokolů vybereme pro každou činnost po jednom protokolu (odstraníme alternativy). Je jedním z určujících faktorů implementace architektury sítě. Nejznámější sestavou protokolů je rodina protokolů TC/I. Služba poskytovaná vrstvou je fyzicky zajišt ována entitami v této vrstvě přes body SA. Každá služba je specifikovaná dvěma údaji: primitivum určující základní poskytovanou funkci (žádost o službu nižší vrstvě, oznámení vedoucí k provedení některých kroků, odpověd o splnění kroků v oznámení, potvrzení o splnění žádosti), vše vztažené k jednomu SA, řídicí parametry, které upřesňují informaci danou primitivem. Funkce je konkrétní činnost jedné entity vedoucí k poskytnutí dané služby. DU (rotocol Data Unit) je protokolová datová jednotka stanovený formát dat (s přídavnými informacemi) pro komunikaci s konkrétním protokolem. Typické DU jsou rámce nebo pakety. rotože každý protokol bývá úzce spojen s jedinou vrstvou, DU také souvisejí s touto vrstvou. DU většinou obsahuje záhlaví s řídicími informacemi, obvykle (ne vždy) následované přenášenými daty. Součástí také může být zápatí (pata) s dodatečnými informacemi, typicky kontrolním součtem. Každá DU postupně přechází mezi vrstvami ISO/OSI modelu. ři přenosu směrem dolů je z původní DU vytvořena nová DU jiného protokolu (jiné vrstvy) tak, že může (nemusí) být rozdělena či zřetězena s jinou DU, a dále je připojeno záhlaví (někdy i zápatí) další vrstvy. A.3.3 Vrstvy Na tomto místě si pouze stručně popíšeme vlastnosti jednotlivých vrstev modelu ISO/OSI. odrobně (včetně konkrétního použití a protokolů) se jimi budeme zabývat v následujících kapitolách. Fyzická vrstva (physical layer) definuje elektrické, mechanické, procesní a funkční specifikace pro aktivaci, údržbu a deaktivaci fyzického spojení dvou zařízení (úrovně napětí, časování změn napětí jak dlouho trvá přenos bitu, konektory kolik kontaktů, jaký mají význam, atd.). Do této vrstvy nepatří přímo žádné přenosové zařízení, je nad samotným hardwarem (definuje pouze potřebné vlastnosti zařízení/konektoru, které připojujeme). V této vrstvě pracujeme s jednotlivými bity zasílaných dat (respektive jejich fyzikální reprezentací), pro data není definována žádná datová struktura (žádný paket, rámec ani Byte). Funkce vrstvy souvisejí s přenosem bitů přes fyzické rozhraní. Zajišt uje aktivaci a deaktivaci fyzického spojení, určení duplexu (plného nebo polovičního), provozování okruhů, identifikaci přijímané posloupnosti bitů nebo značek (bity nemůže přeuspořádávat, předává je výše ve stejném pořadí, v jakém je dostala), modulaci a demodulaci.

237 A.3 MODEL ISO/OSI 225 Na této vrstvě se nehovoří ani tak o protokolech, jako spíše o standardech. V tomto textu se jim budeme věnovat jen zběžně. atří zde například standardy, které už známe u konektorů USB, RS-232, BlueTooth, FireWire, dále fyzická rozhraní pro Ethernet, telekomunikační sítě apod. Linková (spojová) vrstva (data link layer) zajišt uje spolehlivý průchod dat z/do fyzické vrstvy. Narozdíl od fyzické vrstvy nebere data jako pouhou posloupnost bitů, ale člení je do rámců (frame), musí umět rozpoznat hranice mezi rámci. orovnává kontrolní součty rámců, při zjištění chyby si vyžádá opakování přenosu rámce. S rámci souvisí typické funkce zahájení a ukončení přenosu, řízení pořadí rámců, detekce a oprava chyb souvisejících s přenosem rámců (které vznikají na fyzické vrstvě), řízení využívání telekomunikačních okruhů ve fyzické vrstvě, fyzická adresace. racuje totiž s fyzickými adresami zařízení (MAC adresy). odle IEEE má linková vrstva dvě podvrstvy: 1. LLC (Logical Link Control) 2. MAC (Media Access Control) Většina lokálních sítí (ale ne všechny) implementuje pouze vrstvy fyzickou a linkovou (případně z ní jen MAC), vyšší vrstvy nejsou potřeba (směrování probíhá podle MAC adres). Typické protokoly: LAB, HDLC,, atd., budeme se jim věnovat poměrně hodně v následujících kapitolách. Sít ová vrstva (network layer) definuje sít ovou adresu zařízení (to může být například I adresa). Zajišt uje směrování (routing) volbu vhodné trasy mezi dvěma sít ovými uzly, tj. pracuje s logickou strukturou sítě. Vyšší vrstvy (nad sít ovou vrstvou) chápou sít uzlů jako plně propojenou, způsob přenosu je nezajímá, nižší vrstvy naopak vidí pouze to propojení, které je určeno sít ovou vrstvou. Hlavní službou této vrstvy je přenos dat mezi entitami transportní vrstvy (na různých systémech), dále zajišt uje sít ové adresování, identifikaci koncových bodů spojení, atd. oskytované služby se dělí na služby se spojením a bez spojení (bud pouze přenos bloků dat nebo kompletní navázání spojení přenos ukončení spojení). Sít ová vrstva pracuje s pakety transportní vrstvy. Typické protokoly: I (bez spojení), X.25 (se spojením), AR, RAR (překlad mezi MAC a I adresou). Do této vrstvy ve skutečnosti nejsou zařazeny směrovací protokoly (i když by se to snad zdálo logické), ty jsou zařazeny do protokolů managementu (řízení) sítě. Transportní vrstva (transport layer) přijímá data z relační vrstvy a člení je na transportní části pakety (packet), které se pak posílají dále do sítě (z pohledu transportní vrstvy směrem k sít ové vrstvě). akety přijaté zdola od sít ové vrstvy naopak seřazuje a skládá v nich obsažená data (jeden proud dat může být, a často bývá, rozdělen do více paketů). Transportní vrstva je především zodpovědná za doručování dat ve správném formátu a pořadí (pakety, do kterých je rozdělen jeden proud dat, mohou v síti putovat různými cestami, a proto je možné, že dojdou v jiném pořadí, než v jakém byly odeslány).

238 A.3 MODEL ISO/OSI 226 Vrstvy pod transportní vrstvou jsou závislé na sít ové implementaci (přenosové metodě, hardwaru, apod.), vrstvy nad ní nejsou závislé na sít ové implementaci. Transportní vrstva tedy plní funkci rozhraní (překladatele) i v tomto smyslu, vyrovnává rozdíly mezi různými implementacemi tak, aby na vyšších vrstvách nebyly patrné. Transportní vrstva poskytuje relační vrstvě dva základní druhy služeb transport bez spojení a transport se spojením. Dílčí služby jsou pak závislé na jedné z těchto základních služeb (například může být poskytována služba detekce a opravy chyb). Každá (komunikující) entita z vyšší, relační, vrstvy dostane svou vlastní transportní adresu. Transport pak probíhá mezi dvěma transportními adresami na různých systémech (tj. z pohledu relační vrstvy mezi dvěma entitami, které využívají některý SA k transportní vrstvě). Mezi dvěma transportními adresami může probíhat (teoreticky) jakékoliv množství transportů. Na transportní vrstvě jsou určeny různé třídy služeb poskytovaných entitám relační vrstvy. Třídy služeb se liší v různých parametrech, například chybovost, propustnost, apod. Na transportní vrstvě najdeme mnoho funkcí, například adresování (transportní adrese je přiřazena sít ová adresa), detekce a oprava chyb, multiplexování, dělení bloku dat nebo naopak jeho skládání, atd. Typické protokoly: přenosové protokoly TC (se spojením) nebo UD (bez spojení). Relační vrstva (session layer) pracuje s relacemi (session), tedy navázanými spojeními. Komuni- kační relace se skládá ze služebních dotazů a odpovědí probíhajících mezi aplikacemi na různých zařízeních v síti. Na této vrstvě jsou implementovány protokoly, ve kterých tato komunikace probíhá. Relační vrstva tedy zajišt uje organizování spojení navazování a ukončování přenosů (posílá příslušné příkazy transportní vrstvě), synchronizaci komunikace, překlad jmen na adresy a naopak, bezpečnost přístupu (něco jako telefonní ústředna v telekomunikacích). Jedna entita relační vrstvy může vést více relací zároveň. Typické protokoly: NFS (sít ový souborový systém), NetBIOS (zpřístupňování dat v menších sítích), SSL (autentizace podpořená šifrováním). rezentační vrstva (presentation layer) se stará o prezentaci dat (tedy jejich vnitřní syntaktickou strukturu). rovádí konverze dat z aplikační vrstvy (převody do jiných typů datové reprezentace) a odpovídá za to, že data z aplikační vrstvy jednoho zařízení budou srozumitelná aplikační vrstvě jiného zařízení. Na této vrstvě se taktéž implementuje šifrování a komprese. Typické funkce jsou dohoda o syntaxi přenášených dat, transformace syntaxe dat, šifrování, komprese, žádost o vytvoření či zrušení relace (pozor žádost, ne samotné vytvoření a zrušení). Do struktury dat lze zasahovat pouze v této vrstvě, ostatní vrstvy mohou data pouze dělit, spojovat nebo obohacovat o další informace. Typické protokoly: SMB (přenos souborů SAMBA), dále šifrovací nebo komprimační protokoly. Aplikační vrstva (application layer) navzdory svému názvu neobsahuje sít ové aplikace, ale s aplikacemi komunikuje. Obvykle zahrnuje identifikaci, zjišt ování dostupnosti zdrojů, synchronizaci komunikace. Konkrétně obsahuje funkce (moduly) využívané aplikacemi jako je ový klient, FT klient,

239 A.4 IEEE webový klient (Internetový prohlížeč), aplikacemi přistupujícími ke vzdáleným databázím, apod. Hlavním úkolem aplikační vrstvy je tedy zajišt ování rozhraní mezi sít ovými aplikacemi a sít ovým komunikačním systémem. Typické protokoly: SMT (posílání pošty), O3 a IMA (stahování pošty), FT nebo TFT (přenos souborů), Telnet nebo SSH (vzdálený přístup), SNM (správa sítě). A.3.4 DU Na různých vrstvách se používají různé DU (protocol data unit, datové jednotky). Rámec se používá na linkové vrstvě. Skládá se ze tří částí: hlavička linkové vrstvy (header), data z vyšších vrstev, patička (trailer), často obsahuje kontrolní součet (CRC). aket se používá na sít ové vrstvě, má podobnou strukturu (hlavička sít ové vrstvy, data z vyšší vrstvy, patička sít ové vrstvy). Datagram (také I datagram) je obdoba paketu v terminologii protokolu I (také na sít ové vrstvě, u nespojové služby), datagram musí být zcela samostatná DU (obsahuje veškeré informace o adresátovi i odesílateli a číslo pořadí ve zprávě vyšší vrstvy). Segment se používá na transportní vrstvě v protokolech TC a UD. Jeho délka obecně není omezena, předpokládá se jeho další rozdělení na nižší (sít ové) vrstvě. Součástí segmentu nebývají adresy zdrojového a cílového uzlu, ty se přiřazují až na sít ové vrstvě. Zpráva (message) její entity jsou nad sít ovou vrstvou (většinou v aplikační vrstvě), je to tedy forma dat pro vyšší vrstvy. Buňka (cell) je prvek o pevné velikosti (obvykle velmi malé) používaný v některých sítích (asynchronních, jako ATM) na linkové vrstvě. A.4 IEEE 802 A.4.1 Skupina standardů IEEE 802 Skupina standardů IEEE 802 se zabývá především lokálními sítěmi, ale také metropolitními sítěmi, funkcí podvrstvy LLC v modelu ISO/OSI, funkcemi fyzické vrstvy a dalšími souvisejícími řešeními. V tabulce A.1 najdeme přehled standardů IEEE se stručným komentářem. Z tabulky lze vypozorovat tyto typy lokálních sítí: Ethernet (IEEE 802.3) používající náhodný (nedeterministický) přístup CSMA/CD, Token Bus (IEEE 802.4) používající deterministický přístup předávání tokenu, už se moc nepoužívá, Token Ring (IEEE 802.5) s deterministickým přístupem předávání tokenu po dvojitém kruhu,

240 A.4 IEEE Higher Layer LAN rotocols Working Group Logical Link Control Working Group Ethernet Working Group Token Bus Working Group Token Ring Working Group Metropolitan Area Network Working Group (rozpuštěná) Broadband TAG (rozpuštěná) Fiber Optic TAG (rozpuštěná) Isochronous LAN Working Group (integr. data+hlas) Security Working Group Wireless LAN Working Group Demand riority Working Group (VG-AnyLAN) Cable Modem Working Group (rozpuštěná) Wireless ersonal Area Network (WAN) Working Group Broadband Wireless Access Working Group Resilient acket Ring Working Group Radio Regulatory TAG Coexistence TAG Mobile Broadband Wireless Access Media Independent Handoff Working Group Wireless Regional Area Networks Tabulka A.1: řehled IEEE 802 IsoEthernet (izochronní Ethernet, IEEE 802.9) používající náhodný přístup CSMA/CD s prioritami pro různé typy signálu, neujal se, WLAN (IEEE ) s náhodným přístupem CSMA/CA na rádiovém signálu, 100VG-AnyLAN (IEEE ) varianta fast Ethernetu s deterministickým přístupem DAM, neujala se. Existují i další typy sítí, ale nejsou často normalizovány sdružením IEEE. Další informace: Seznam aktivních standardů IEEE 802: Seznam s podrobnostmi IEEE standardů pro LAN a MAN: IEEE standardy obecně pro informační technologie: řehled IEEE (Ethernet, CSMA/CD):

241 A.4 IEEE A.4.2 IEEE IEEE obsahuje standardy/doplňky společné pro všechny lokální a metropolitní sítě definované v ostatních skupinách IEEE 802, normy pro propojování sítí a oblast zabezpečení. Standard 802.1D obsahuje podporu prioritního zacházení s rámci rozdělení příchozích rámců do několika front s rozdílnými prioritami, na čemž stojí například QoS (Quality of Service). Standard 802.1Q obsahuje podporu VLAN (virtuálních sítí), rámce MAC podvrstvy mohou obsahovat dodatečná informační pole řídicí doručování v rámci VLAN. Velmi důležitý je standard 802.1X o bezpečnosti komunikace v síti. Umožňuje autentizaci uživatelů, distribuci bezpečnostních klíčů, integritu zpráv, apod. To vše má význam především u bezdrátových připojení. Žadatel je uzel (obvykle bezdrátová stanice), který žádá o přístup do sítě, autentizátor (přístupový bod) zprostředkovává autentizační informaci, autentizační server (například RADIUS) autentizaci provádí. V této komunikaci slouží 802.1X jako zprostředkovatel pro autentizační protokol vyšší vrstvy (EA Extensible Authentication rotocol), pracuje na sít ové vrstvě. Do IEEE patří více standardů, další se ponejvíce týkají VLAN, fungování MAC podvrstvy a autentizace.

242 říloha B ráce s adresami a sítěmi ve Windows V této příloze jsou popsány a demonstrovány příkazy, které se používají ve Windows při práci se sítěmi, Linuxu se věnujeme v další příloze. Můžeme je zatím brát jako inspiraci pro procvičování a taky jako předehru k zatím neexistujícím cvičením z tohoto předmětu. B.1 roblémy při používání příkazů ve Windows V serverových Windows podobně jako v desktopových variantách je možné pro téměř vše použít nástroje grafického rozhraní. Velmi často je však praktičtější použít říkazový řádek příkazy někdy umějí více než nástroje grafického režimu, lze je snadněji používat pro vzdálenou správu a hlavně příkazy je možné skriptovat a tedy automatizovat zpracování některých úloh. Ve Windows je s příkazy pro říkazový řádek podobný problém jako v grafickém rozhraní: různé verze Windows se v tomto směru hodně liší a některé příkazy pracují v různých verzích odlišně. Komplikace se projevují především v heterogenních sítích, ve kterých jsou uzly s různými verzemi a případně variantami (edicemi) Windows (když píšeme skript, musíme dbát na to, aby byl použitelný na všech uzlech, kde ho potřebujeme spouštět). S problémy se setkáme například tehdy, když chceme v rámci skupiny propojit dva počítače, jeden s Windows X a druhý s Windows 7 (mladší vidí staršího, ale ne naopak). Jistou komplikací je také změna funkčnosti RunAs mechanismu od verze Vista sice pořád existuje příkaz runas pro spuštění procesu s odlišnými přístupovými oprávněními (pod jiným uživatelem), ale je problematický. okud chceme ve Windows od Visty výše spustit příkaz s jinými (typicky administrátorskými) oprávněními než pod kterými právě pracujeme, zvolíme v kontextovém menu ikony programu říkazového řádku volbu Spustit jako správce a tedy spustíme s vyššími oprávněními už program cmd.exe. Svým způsobem to může být bezpečnostní problém, protože někteří uživatelé zřejmě budou na říkazovém řádku s vyššími oprávněními pracovat i tehdy, když to není nutné. okud chceme některé úlohy provádět vzdáleně, také můžeme narazit na přístupová oprávnění. Obvykle pomůže používat doménový správcovský účet, který lze využít na všech zařízeních v doméně. 230

243 B.3 RÁCE S ADRESAMI A SÍŤOVÝMI KARTAMI 231 B.2 Soubory související se sítěmi Se sítí souvisí využívání některých (textových) souborů naštěstí není vše v registru, některé z níže uvedených souborů budou zmíněny u popisovaných příkazů. ředevším z důvodu kompatibility se sít ovými protokoly a ne-windows sít ovými klienty existují ve složce...\system32\drivers\etc tyto soubory: networks obsahuje doménové a I adresy lokálních sítí, hosts urychluje mapování I adres na známé doménové adresy (hostitele, anglicky hosts), jakýsi statický zástup DNS služeb, services informace o známých sít ových službách, protocol informace o známých sít ových protokolech, lmhosts.sam tento soubor se dříve používal pro stejné účely jako hosts (ve Windows překlad I adres na NetBIOS názvy), v současné době se už prakticky nevyužívá Ve Windows 7 tyto soubory pravděpodobně nenajdeme vůbec (nebo je vše zakomentováno), v ostatních 64bitových Windows jde o složku...\syswow64\drivers\etc. Vzpomeňte si, že v unixových systémech jsou v adresáři /etc nejrůznější konfigurační soubory včetně sít ových, zde si Microsoft bral inspiraci. Úkoly rohlédněte si obsah souborů networks, hosts, services a protocol zmíněných v této sekci. B.3 ráce s adresami a sít ovými kartami B.3.1 Základní práce s I adresami ipconfig ro zobrazení informací o adresách můžeme použít příkaz ipconfig. ipconfig /? ipconfig /all (nebo ipconfig -?) zobrazí seznam parametrů vypíše podrobné informace (I a MAC adresu, adresu brány, masku podsítě) ipconfig /release název_karty uvolnění I adresy přidělené zadané sít ové kartě (když neuvedeme název karty, jsou uvolněny I adresy všech karet, je možné také použít hvězdičkovou konvenci) ipconfig /renew název_karty obnovení přidělení I adresy pro zadanou sít ovou kartu (když není název karty uveden, provede se pro všechny dostupné karty) ipconfig /displaydns zobrazí záznamy adres přidělených v systému DNS (informace k příslušným DNS jménům včetně hodnoty TTL 1 ), a to jak ve směru doménové jméno I adresa, tak i ve směru opačném (reverzní adresy, ty jsou v záhlaví označeny řetězcem in-addr.arpa ); vždy jsou zobrazeny alespoň dva záznamy (localhost a jeho reverzní adresa) 1 TTL (Time to Live) je čítač uložený v hlavičce I datagramu, který se při průchodu kteréhokoliv směrovače na cestě snižuje (nejméně) o 1. Hlavním účelem je omezení počtu bloudících datagramů. okud hodnota TTL vyprší (klesne na 0), směrovač, který vypršení zjistí, už dál datagram neposílá, ale odešle zdroji datagramu informaci o překročení povoleného TTL.

244 B.3 RÁCE S ADRESAMI A SÍŤOVÝMI KARTAMI 232 ipconfig /flushdns vymaže DNS cache (tj. dotazy na doménové adresy, které takto z cache smažeme, se musejí provádět znovu), použijeme, pokud DNS překlad funguje nekorektně (máme v cache chybné či neaktuální záznamy) říklad Výstup příkazu může vypadat například takto (záleží na verzi Windows, nejdřív ve Windows X): C:\Windows> ipconfig /all Konfigurace protokolu I systému Windows Název hostitele : CRACE rimární přípona DNS : Typ uzlu : neznámý ovoleno směrování I : Ne WINS roxy povoleno : Ne M Adaptér sítě Ethernet řipojení k místní síti: řípona DNS podle připojení... : opis : Broadcom NetXtreme Gigabit Ethernet Fyzická Adresa : 00-0F-FE rotokol DHC povolen : Ne Adresa I : Maska podsítě : Výchozí brána : Servery DNS : Výstup téhož příkazu ve Windows 7 je hodně dlouhý, vyjmeme pouze část výstupu odpovídající jedné ethernetové kartě:... Adaptér sítě Ethernet řipojení k místní síti: řípona DNS podle připojení... : fpf.slu.cz opis : Atheros AR8131 CI-E Gigabit Ethernet Controller (NDIS 6.20) Fyzická Adresa : E0-CB-4E rotokol DHC povolen : Ano Automatická konfigurace povolena : Ano Místní Iv6 adresa v rámci propojení... : fe80::ec8b:a3a6:68bc:9b2f%11 (referované) Adresa Iv : (referované) Maska podsítě : Zapůjčeno : 9. června :25:14 Zápůjčka vyprší : 9. června :25:14 Výchozí brána : Server DHC : IAID DHCv : DUID klienta DHCv : F4-7B-66-E0-CB-4E M Servery DNS : Rozhraní NetBios nad protokolem TC/I : ovoleno...

245 B.3 RÁCE S ADRESAMI A SÍŤOVÝMI KARTAMI 233 Řetězec DUID (DHC Unique Identifier) jednoznačně identifikuje klienta serveru DHCv6 a naopak (je jedinečné pro danou konverzaci s DHC serverem při stanovení konfiguračních parametrů. Všimněte si vazby na MAC adresu. Číslo IAID (Identity Association Identifier) jednoznačně identifikuje sadu adres přidělených DHC klientovi. Klient může mít k danému sít ovému rozhraní více sad Iv6 adres (plus další potřebné adresy, například musí znát adresu DNS serveru), každá taková sada musí mít jiné IAID. říklad okud se nedaří navázat sít ové spojení nebo spojení nefunguje korektně (například tehdy, když naše sít ová karta omylem získala I adresu, která je již přidělena jinému zařízení, a nebo nebyly korektně získány adresy DNS serverů), může pomoci znovuzískání I adresy a souvisejících informací (adresa brány, adresy DNS serverů). oužijeme postupně tyto příkazy: ipconfig /flushdns pročistíme DNS cache, tím se zbavíme starších potenciálně chybných záznamů (tento krok nemusí být nutný) ipconfig /release ipconfig /renew ipconfig /all uvolnění I adresy přidělené všem sít ovým kartám, ale často nebývá nutné obnovení přidělení I adresy všech sít ových karet ověříme si, zda je vše vpořádku Tento postup samozřejmě nebudeme používat, pokud máme pevnou (statickou) I adresu. Kdybychom se o to pokusili, obdržíme chybové hlášení sdělující, že daný adaptér (tj. sít ová karta) není ve službě DHC povolen (proto nemůže žádat na DHC serveru jinou adresu). Když budeme chtít takto obnovit adresu pro jedinou konkrétní kartu, zadáme v příkazech název (můžeme používat i hvězdičkovou konvenci pro zkrácení názvu), například ipconfig /release řipojení*1 (pokud máme sít ovou kartu s názvem řipojení k místní síti 1 ). B.3.2 řeklad adres arp a nslookup AR je protokol převádějící I adresy na fyzické (MAC) adresy. Fyzická adresa je v síti zjišt ována odesíláním tzv. AR paketů s dotazy. Aby nebylo nutné opakovaně posílat tyto pakety, udržuje každé sít ové zařízení (tj. také zvlášt každá sít ová karta) mezipamět, do které ukládá dosud zjištěné dvojice I a fyzických adres (AR tabulky). AR tabulku je možné prohlížet a přidávat i mazat záznamy. Ukážeme si využití příkazu arp, který slouží právě k práci s AR tabulkou. arp -a zobrazí AR tabulku, také vidíme, které záznamy jsou dynamické (automaticky vytvořené z komunikace) a které statické (ručně vložené) arp -a -n zadanou I adresu zobrazí AR tabulku pouze pro sít ovou kartu, která má přidělenu arp -s A přidá se do AR tabulky statický záznam se vztahem zadané I adresy a MAC (fyzické) adresy, MAC adresa se zadává v hexadecimálních číslech s pomlčkami

246 B.3 RÁCE S ADRESAMI A SÍŤOVÝMI KARTAMI 234 arp -d arp -d * odstraní z AR tabulky záznam pro zadanou I adresu odstraní z AR tabulky všechny záznamy Lze přidat parametr s určením I adresy sít ové karty, pro kterou daná AR tabulka platí (každá karta má svou tabulku), to má smysl jen v případě, kdy je v provozu víc než jedna sít ová karta. říklad AR tabulka může vypadat takto (na Windows 7): C:\Windows> arp -a Rozhraní: xb internetová adresa fyzická adresa typ d dynamická e-4f dynamická e-4f-dd-bb-00 dynamická d-ff-ee-11 dynamická f-d dynamická e-4f-aa-11-bb dynamická e-4f-dd-cc-bb dynamická be dynamická e-4f-ee-dd-44 dynamická ff-ff-ff-ff-ff-ff statická e statická e statická e fc statická e-7f-ff-fa statická ff-ff-ff-ff-ff-ff statická... M Ve Windows nižších verzí (především od X níže) je AR tabulka výrazně kratší. V tabulce vidíme dynamické i statické záznamy, u všech je I a MAC adresa. Všimněte si skupinových a všesměrových I a MAC adres (samozřejmě platí, že ke skupinové I adrese bude patřit skupinová MAC adresa a naopak). Zatímco protokol AR slouží k překladu I adresy na MAC adresu, protokol DNS slouží k překladu doménové adresy na I adresu. ro základní přístup k tomuto překladu lze i na klientských stanicích využít příkaz nslookup. říkaz lze využívat běžným způsobem i interaktivně. nslookup vypíše se nejdřív adresa DNS serveru, který poskytl odpověd, a pak samotná odpověd (I adresy a aliasy pro zadaný doménový název) nslookup nslookup reverzní překlad, takto zjistíme doménovou adresu k této I adrese přechod do interaktivního režimu, tento režim ukončíme příkazem exit Měli bychom si především uvědomit, že plnou nápovědu k tomuto příkazu získáme pouze v interaktivním režimu: tedy výše uvedeným příkazem přejdeme do interaktivního režimu a pak zadáme příkaz? nebo help. říklad Ukážeme si práci v interaktivním režimu: nslookup spustíme program nslookup, prompt se změní na symbol >

247 B.3 RÁCE S ADRESAMI A SÍŤOVÝMI KARTAMI 235? zobrazíme nápovědu, je značně podrobnější než nslookup /? vně interaktivního režimu; také lze použít vnitřní příkaz help napíšeme doménovou adresu, získáme I adresu, výstup (v různých verzích Windows se ve výstupech setkáme s více či méně kostrbatou češtinou): Server: decsu.fpf.slu.cz Address: Neautorizovana odpoved: Název: Addresses: Aliases: set all tato forma příkazu set nic nenastavuje, ale informuje nás o momentálním nastavení pro poslední zadanou adresu (v našem případě pro pokud jsme předtím nic nepřekládali, pak obecně platná nastavení), výstup: Vychozí server: decsu.fpf.slu.cz Address: Hostitel = Addresses: Aliases: M M Nastaveni moznosti: nodebug defname search recurse nod2 novc noignoretc port=53 typ=a+aaaa trida=in doba vyprseni casoveho limitu=2 obnoveni=1 koren=a.root-servers.net. domena=fpf.slu.cz MSxfr verze IXFRversion=1 srchlist=fpf.slu.cz/slu.cz Takže se například dozvíme, že se použil rekurzivní dotaz, jedná se o záznam adresy pro Iv4 i Iv6 (typ A+AAAA), atd.

248 B.3 RÁCE S ADRESAMI A SÍŤOVÝMI KARTAMI 236 set norecurse od této chvíle bude požadován iterativní (nerekurzivní) typ dotazů, zpět nastavíme příkazem set recurse ls fpf.slu.cz chceme vypsat adresy (počítače) v zadané doméně, výpis je celkem dlouhý ls -t ns fpf.slu.cz oproti předchozímu se vypíšou pouze doménové servery (typ je NS, name server) ls -t aaaa slu.cz vypíšou se zařízení s Iv6 adresou (tj. záznamy typu AAAA) v zadané doméně B.3.3 Směrování route okud posíláme data na určitou I adresu, pakety obvykle (ne vždy) procházejí přes bránu do Internetu či jiné sítě. roto každý uzel sítě včetně klientských počítačů zná adresu brány a případně další směrovací informace (tj. kterým směrem poslat data do určité (pod)sítě), vede si svou směrovací tabulku. Do tabulky lze vkládat záznamy ručně (statické záznamy) nebo dynamicky (provádějí směrovací protokoly). Ve Windows se s touto tabulkou pracuje příkazem route. route (nebo s jakýmkoliv nesprávným parametrem) zobrazí nápovědu k příkazu route print vypíše směrovací tabulku, v nejnovějších verzích Windows vlastně dvě tabulky zvlášt pro Iv4 a Iv6; na začátku výpisu také máme seznam všech sít ových rozhraní včetně virtuálních, tento seznam může být také užitečný route print 193.* vypíše pouze ty cíle ze směrovací tabulky, které odpovídají zadanému výrazu (můžeme používat hvězdičkovou konvenci, také symbol? pro jeden znak) route add mask metric 4 do tabulky přidá statický záznam určující, že k síti s I adresou a maskou se dá dostat přes bránu s I adresou a metrika (cena trasy) je 8 route -p add mask metric 4 totéž jako předchozí, ale záznam zůstane v tabulce i po restartu systému (bez přepínače -p by byl záznam platný jen do konce činnosti systému) route change mask metric 3 if 2 změna existující položky tabulky (změna platí i po restartu), změnili jsme adresu brány, metriku a navíc jsme nastavili směrování na sít ové rozhraní (kartu) číslo 2, k danému cíli zadáváme vždy jen ty položky, které chceme změnit route del odstraníme záznam z tabulky (lze použít i hvězdičkovou konvenci) Záznamy ve směrovací tabulce lze tímto příkazem také mazat a měnit. Když máme více sít ových karet, lze v příkazu pro přidání do tabulky použít i parametr určující sít ové rozhraní. říklad říkaz route print ve Windows X vypíše tento výstup: =========================================================================== Seznam rozhraní M

249 B.3 RÁCE S ADRESAMI A SÍŤOVÝMI KARTAMI 237 0x1... MS TC Loopback interface 0x f fe Broadcom NetXtreme Gigabit Ethernet - acket Scheduler Miniport =========================================================================== =========================================================================== Aktivní směrování: Cíl v síti Sít ová maska Brána Rozhraní Metrika Výchozí brána: =========================================================================== Trvalé trasy: Žádné V seznamu sít ových rozhraní jsou pouze dvě, jedno je loopback (místní smyčka), druhé je ethernetová sít ová karta. Ve vyšších verzích bychom zde viděli více záznamů (reálné sít ové karty ethernetové, Wi-fi, Bluetooth, ale i virtuální zařízení), a také virtuální počítače si instalují vlastní virtuální sít ové karty. Například pokud používáme virtuální počítač od VMWare, najdeme v seznamu rozhraní podobné záznamy: c VMware Virtual Ethernet Adapter for VMnet c VMware Virtual Ethernet Adapter for VMnet8 Výpis byl pořízen na stroji, jehož sít ová karta (jediná) má přiřazenu I adresu , všimněte si, kde všude se tato adresa v tabulce vyskytuje (například u místních a multicast směrování). Z výpisu vidíme, že žádné statické (trvalé) trasy nejsou definovány. Všimněte si, že poslední řádek tabulky obsahuje informaci o výchozí bráně co není směrováno podle výše uvedených pravidel, to odchází na zadanou výchozí bránu. M okud zadáme sít ové zařízení či název sítě symbolickým názvem, příkaz tento název musí přeložit na I adresu. K tomu využije obsah souboru...\windows\system32\drivers\etc\networks, pokud jde o název cíle směrování (obvykle to bývá sít či podsít ),...\windows\system32\drivers\etc\hosts, pokud jde o bránu (brána je konkrétní uzel v síti, tedy hostitel protokolu, anglicky host). Do těchto souborů můžeme přidávat vlastní symbolické názvy (je to celkem jednoduché, soubory jsou okomentovány). V souboru hosts je vždy nejméně jeden název uzlu, a to localhost. Úkoly 1. Zjistěte svou I adresu, masku, adresu brány, adresu DNS serveru. 2. Máte statickou I adresu nebo ji získáváte dynamicky od DHC serveru? Kde to zjistíte? okud máte dynamickou adresu, uvolněte ji (deaktivujte sít ovou kartu) a získejte novou.

250 B.3 RÁCE S ADRESAMI A SÍŤOVÝMI KARTAMI Zobrazte AR tabulku. 4. Zjistěte I adresu serveru extrahardware.cz. 5. Zjistěte adresu svého DNS serveru, zda při komunikaci s DNS serverem používáte rekurzivní nebo iterativní dotazy, na kterém portu komunikujete, v jaké jste doméně. Vypište seznam uzlů ve vaší doméně. 6. Vypište směrovací tabulku na vašem počítači. B.3.4 Malá sít a skupina (workgroup) Na systémech s Windows se setkáváme také se zkratkou NBT (nebo NetBT, NetBIOS over TC/I). Samotný NetBIOS funguje defacto jako jmenná, spojovací a komunikační služba v malých sítích s Windows (skupiny počítačů v síti typu peer-to-peer). Umožňuje ve skupinách sdílet různé prostředky (složky, tiskárny). Názvy počítačů, které zadáváme v grafickém rozhraní Windows, jsou vlastně názvy podle protokolu NetBIOS. Aby bylo možné názvy NetBIOSu používat i mimo malé sítě, pracuje dnes NetBIOS nad protokoly TC/I ve formě NBT. ro práci s názvy v NBT můžeme využít příkazy hostname a nbtstat: hostname nbtstat zobrazí jméno našeho počítače v NBT zobrazí nápovědu příkazu nbtstat nbtstat -n zjistíme všechny názvy podle protokolu NBT, které souvisejí s tímto zařízením (tj. obvykle jen název našeho počítače, pokud počítač patří do skupiny, tak i název této skupiny), jestliže máme více sít ových karet (tj. více rozhraní), pak se zobrazí zvlášt tabulky pro všechna aktivní rozhraní (která mají přidělenu I adresu), i když u všech najdeme stejný NBT název nbtstat -c nbtstat -a počítač NetBIOS jméno nbtstat -A I_adresa vypíše se seznam ostatních počítačů ve skupině (NetBIOS názvy a I adresy) totéž, ale pro jiný (zadaný) počítač patřící do naší skupiny, zadáváme totéž jako předchozí, ale počítač zadáváme jeho I adresou Také můžeme zobrazit tabulku relací s daným uzlem v síti (skupině). říklad ředpokládejme, že máme dva počítače: pcnotebook s I adresou , pcdesktop s I adresou , oba připojené ve skupině mojeskupina. Na prvním z nich nejdřív vypíšeme tabulku místních NBT názvů: C:\Windows> nbtstat -n řipojení k místní síti: Adresa I uzlu: [ ] ID oboru: [] Tabulka místních názvů systému NetBIOS M

251 B.4 TESTOVÁNÍ A STATISTIKY 239 Název Typ Stav CNOTEBOOK <00> UNIQUE Registrovaný MOJESKUINA <00> GROU Registrovaný CNOTEBOOK <20> UNIQUE Registrovaný Ted na tomtéž počítači vypíšeme seznam dostupných počítačů: C:\Windows> nbtstat -c řipojení k místní síti: Adresa I uzlu: [ ] ID oboru: [] Název vzdálené paměti NetBIOS Tabulka M Název Typ Adr. hostitele Životnost [sek] CDESKTO <20> UNIQUE okud dostaneme jen chybovou hlášku V mezipaměti nejsou žádné názvy, důvodem může být to, že počítače nejsou ve stejné skupině (tj. nevidí se), ale také se tento problém může/nemusí objevit, pokud na těchto počítačích máme různé verze Windows. Můžeme také vypsat NBT tabulku druhého počítače (jsme pořád na tomtéž počítači): C:\Windows> nbtstat -a pcdesktop řipojení k místní síti: Adresa I uzlu: [ ] ID oboru: [] Tabulka názvů vzdálených počítačů NetBIOS M Název Typ Stav CDESKTO <00> UNIQUE Registrovaný MOJESKUINA <00> GROU Registrovaný CDESKTO <20> UNIQUE Registrovaný Adresa MAC = 00-1D-0F Jiný přepínač použijeme, pokud příkaz zadáme s využitím I adresy: nbtstat -A Výstup by byl tentýž jako v předchozím případě. říkaz bohužel nepřijímá regulární výrazy ani hvězdičkovou konvenci, tedy případnou automatizaci (například vypsání údajů pro více různých adres) bychom mohli řešit například příkazem for (viz skripta pro Windows z předmětu Operační systémy). Úkoly okud jste v LAN s více počítači, které jsou ve stejné skupině, vyzkoušejte použití příkazu nbtstat podle ukázek v příkladech. okud ne, vyzkoušejte alespoň výpis NBT názvů na vlastním počítači.

252 B.4 TESTOVÁNÍ A STATISTIKY 240 B.4 Testování a statistiky B.4.1 Testování cesty a průchodnosti To, zda je dostupná doménová nebo I adresa (resp. příslušné zařízení na síti), zjistíme příkazem ping. Tento příkaz odesílá k danému zařízení ICM pakety (zprávy ICM Echo Request) a podle zaslaných odpovědí určuje, zda je počítač dostupný a jaká je odezva připojení (pokud má vzdálený počítač firewall nakonfigurovaný tak, aby požadavky ping byly ignorovány, může se počítač jevit jako nedostupný) ping zjistí, zda je zadaný server dostupný (je dostupný prakticky vždy, tedy pokud se zobrazí hláška, že tomu tak není, zřejmě nejsme připojeni k síti nebo je někde na cestě porucha) ping -n 2 tento parametr omezí (nebo u většího čísla navýší) počet odesílaných testovacích paketů, zde na 2; výchozí hodnota je 4 pakety ping -t počet odesílaných paketů není stanoven, posílají se opakovaně až do přerušení klávesovou zkratkou Ctrl+C říklad říkaz ping můžeme použít i pro otestování funkčnosti vlastní sít ové karty: ping loopback nebo ping říklad Jestliže se sít ové spojení podle parametrů zdá v pořádku, ale ve skutečnosti nefunguje, ověříme, zda je funkční DNS překlad adres (doménových adres na I adresy): ping zřejmě skončí chybovým hlášením, když spojení nefunguje (můžeme použít adresu jakéhokoliv serveru na Internetu, u kterého máme jistotu, že odpovídá na žádosti příkazu ping) ping provedeme totéž, ale použijeme I adresu (zde se jedná o I adresu serveru z předchozího příkazu) okud byl druhý příkaz úspěšný, pravděpodobně máme adresu nefunkčního DNS serveru (nebo nemáme žádnou). Měli bychom tedy reagovat bud zjištěním správné adresy (například u svého poskytovatele připojení) nebo použitím adresy veřejného DNS serveru. Takových serverů již existuje dostatek, například Google má veřejné DNS servery na adresách a , případně můžeme použít DNS servery sdružení CZ.NIC nebo Ve Windows se adresy DNS serverů nastavují v grafickém režimu, v Sít ových připojeních (vlastnostech protokolu TC/I). Návod najdeme například na adrese L

253 B.4 TESTOVÁNÍ A STATISTIKY 241 rogram tracert používáme, když chceme znát cestu, po které procházejí naše datagramy (tj. adresy směrovačů na cestě). Ve Windows se používá metoda ICM paketů posílaných v I datagramech s postupně se zvyšující hodnotou TTL (podrobnosti u protokolů ICM, Iv4 a Iv6 v první kapitole). tracert -? vypíše nápovědu (pozor, unixová syntaxe, přepínače píšeme s pomlčkou) tracert chceme trasu k zadanému serveru, postupně (celkem pomalu) se vypíšou všechny směrovače na cestě včetně odezvy v ms počítané od předchozího uzlu Můžeme zadat také I adresu. Metoda ICM paketů je poměrně pomalá. Navíc některé směrovače jsou z bezpečnostních důvodů nastaveny tak, aby neodpovídaly na ICM pakety (pak od dotyčného uzlu obdržíme informaci o vypršení časového limitu žádosti), také je obvyklé, že se takto nedostaneme přímo ke konkrétnímu serveru, ale jen ke směrovači na okraji sítě, ve které je daný server. rogram pathping slouží k podobným účelům, také dokáže vypsat trasu k zadanému serveru (jednotlivé směrovače) a navíc pro každý tento úsek vypočívává statistiku stejnou jako příkaz ping. racuje na principu zpráv ICM Echo Request a ICM Echo Reply stejně jako příkaz ping. pathping -? vypíšeme nápovědu pathping spustíme výpis směrovačů a výpočet statistik Zjištění uzlů na cestě může být mírně rychlejší než u tracert, ale počítání statistiky naopak zabere více než 100 sekund a opět se nedostaneme moc daleko (dokonce můžeme uváznout v síti poskytovatele Internetu). okud se nám zdá výpočet příliš dlouhý, program lze předčasně ukončit klávesovou zkratkou Ctrl+C. B.4.2 Statistiky v netstatu Velice silný nástroj použitelný pro analýzu statistik souvisejících s protokoly rodiny TC/I je netstat. Stejně jako jiné příkazy pro práci se sítěmi vznikl podle podobně pojmenovaných nástrojů z Unixu, u příkazu netstat se však setkáme se zřejmě největší podobností. říkaz nejen zachovává unixovou syntaxi (přepínače se píší za pomlčku), ale také dokonce umožňuje sdružovat jednopísmenné přepínače k jedné pomlčce. Množina přepínačů je odlišná v různých verzích Windows! netstat vypíše základní statistiku (nevšímá si aplikací, které jen naslouchají, vypisuje pouze TC spojení) netstat -a netstat -a -o netstat -ao vypíše celou statistiku vypíše celou statistiku, přidá sloupec s ID příslušného procesu totéž (přepínače můžeme sdružovat do jediného řetězce) netstat -ano navíc místo doménových vypisuje I adresy, tato forma je velmi používaná a je dobré si ji zapamatovat netstat -ab > seznam.log vypíše všechny procesy (názvy i ID), které právě komunikují se sítí (jakkoliv), výsledek je směrován do zadaného souboru

254 B.4 TESTOVÁNÍ A STATISTIKY 242 netstat -e základní statistika pro Ethernet (počet odeslaných a přijatých paketů, počet chyb apod. týká se protokolů rodiny TC/I) netstat -es podrobná statistika všech protokolů z rodiny TC/I netstat -sp tcp podrobná statistika, přepínač -p s přidaným parametrem tcp určuje, že chceme pouze statistiku protokolu TC (můžeme použít parametr tcp, udp nebo ip) netstat 2 vypisuje svůj výstup opakovaně každé dvě sekundy (můžeme zadat jakýkoliv interval a také kombinovat s jinými přepínači), činnost příkazu lze ukončit jen klávesovou zkratkou Ctrl+C netstat -r zobrazí směrovací tabulku, stejný výstup jako příkaz route print říklad o několika prohlédnutých stránkách v internetovém prohlížeči může statistika protokolu I vypadat takto: C:\Windows> netstat -sp ip Statistika protokolu Iv4 očet přijatých paketů = řijato s chybami hlaviček = 0 řijato s chybami adresy = 3509 ředané datagramy = 0 řijato s neznámým protokolem = 0 Zahozené přijaté pakety = 1078 Doručené přijaté pakety = ožadavky na výstup = Zahozená směrování = 0 Zahozené výstupní pakety = 2 Nesměrovatelné výstupní pakety = 0 Vyžadováno nové sestavení = 0 Úspěšná nová sestavení = 0 Chybná nová sestavení = 0 Úspěšně fragmentované datagramy = 0 Neúspěšně fragmentované datagramy = 0 Vytvořené fragmenty = 0 M Úkoly 1. V předchozím textu najděte I adresy veřejných DNS serverů (jeden od Googlu, jeden od CZ.NIC) a vyzkoušejte na ně příkaz ping. Všimněte si časových údajů ve výpisech. 2. Všimněte si rozdílu (včetně časového) ve výstupech příkazů tracert pathping 3. Zjistěte ID všech procesů, které právě komunikují po síti (případně naslouchají). 4. Vypište statistiku protokolů rodiny TC/I. 5. Vypište podrobnou statistiku protokolu I.

255 B.5 SLUŽBA WMI A ROGRAM WMIC Vypiste podrobnou statistiku protokolu TC (je pravděpodobné, že se ve výpisu objeví i nějaké doménové adresy), přitom nechte zobrazit i sloupec s ID komunikujícího procesu (přidejte přepínač -o, například netstat -osp tcp). Zjistěte, kterým ID (a příslušným procesům) patří řádky s navázaným spojením nebo čekající (time-wait) může to být například Skype, mail klient, webový prohlížeč, antivirový program, apod. O který proces jde u konkrétního ID, zjistíte například ve Správci úloh (zobrazte si sloupec s ID), rocess Exploreru (od Sysinternals.com) nebo ve výstupu příkazu tasklist. B.5 Služba WMI a program wmic rogram wmic (WMI Console) je dostupný od verze Windows X/Server Umožňuje využívat rozhraní WMI na říkazovém řádku. pracuje ve dvou režimech klasickém (externím) a interaktivním. ři použití v klasickém režimu zadáváme příkaz začínající názvem programu (wmic) následovaný parametry, do interaktivního režimu se dostaneme zadáním příkazu wmic bez dalších parametrů (prompt se změní na wmic:root\cli> a zadáváme interní příkazy). Nápovědu získáme bud v grafickém režimu, nebo příkazem wmic /?, a nebo v interaktivním režimu této konzoly příkazem /?. Ještě podrobnější nápovědu zobrazíme příkazem /?:FULL. říkaz wmic je velmi komplexní. Má tuto syntaxi: WMIC přepínače předmět sloveso parametry, kde přepínače nastavují obecné chování příkazu, mohou být například /node:počítač příkaz bude proveden na zadaném počítači (před názvem počítače nebudeme dávat opačná lomítka) /user:uživatel při vyhodnocování bude použit zadaný uživatel s jeho přístupovými oprávněními (budeme dotázáni na heslo) /output:soubor výpis bude směrován do zadaného souboru předmět (také alias) určuje to, s čím chceme manipulovat nebo na co se dotazujeme, následuje zkrácený seznam (všechny možnosti zjistíme v nápovědě): bios bootconfig cpu dcomapp desktop diskdrive fsdir irq job memlogical memhysical netuse NIC NICConfig NTEvent onboarddevice OS pagefile printer process registry service share temperature useraccount sloveso určuje požadovanou akci, která má být provedena s předmětem: LIST toto sloveso lze použít na všechny předměty, zobrazí obecnou informaci o předmětu, můžeme upřesnit, jak podrobné informace chceme (full všechny, brief základní v tabulce, writeable které lze měnit, atd.), GET získání podrobnějších informací o všech nebo vybraných vlastnostech předmětu, SET změna vlastností předmětu,

256 B.5 SLUŽBA WMI A ROGRAM WMIC 244 ASSOC vrátí instance zadaného objektu (tedy s ním asociované), CREATE, DELETE vytvoření nové instance, odstranění instance nebo třídy, CALL spuštění metody zadané třídy WMI. říkaz v neinteraktivním režimu používáme takto: wmic bios list wmic os list brief wmic os list full wmic memorychip get vypíše se informace o BIOSu (úplná) stručná informace o operačním systému úplná informace o operačním systému bude zobrazena tabulka s informacemi o pamět ových čipech wmic memorychip get capacity,devicelocator,name,partnumber vypíše vybrané informace o pamět ových čipech (oproti předchozímu příkazu jen některé sloupce) wmic diskdrive get model,size,interfacetype,mediatype příkaz zobrazí seznam všech pamět ových zařízení (i výměnných), a to vlastnosti z výčtu oddělené čárkou wmic /output:d:\procinfo.txt cpu get do zadaného souboru wmic cpu get > D:\procinfo.txt totéž informace o procesoru (v tabulce) budou uloženy wmic service where state= running get caption, name vypíše seznam běžících služeb (pouze ty vlastnosti, které byly specifikovány), všimněte si syntaxe podobné SQL (ostatně pracujeme s databází) wmic process call create notepad.exe process pro vytvoření procesu) spustí zadaný proces (zavolá proceduru create třídy wmic /node:počítač process call create notepad.exe totéž, ale na jiném počítači (to příkaz start neumí), název počítače se zadává bez úvodních opačných lomítek wmic os call reboot restart systému wmic /node:počítač os call shutdown wmic service spooler call startservice vzdálené vypnutí systému spustí zadanou službu (Zařazování tisku) wmic /node:ucetni process where name= explorer.exe call terminate zadaný proces bude ukončen, a to na uvedeném počítači (vypadá to, že účetnímu bude ukončeno grafické prostředí, ale tento proces se obvykle po ukončení znovu spustí, tedy jde vlastně o restart grafického prostředí) wmic /node:ucetni /user:dadmin process where name= explorer.exe call terminate totéž jako předchozí, ale v příkazu na zadaném počítači vystupujeme s přístupovými oprávněními zadaného uživatele Vidíme, že můžeme používat i dotazy filtrované podle vlastností (where) podobně jako v SQL. okud se jedná o řetězcovou hodnotu, musíme ji uzavřít do uvozovek (například name= explorer.exe, ale čísla nebo hodnoty true/false do uvozovek neuzavíráme. říklad Ukážeme si práci v interaktivním módu.

257 B.5 SLUŽBA WMI A ROGRAM WMIC 245 wmic os /? os list /? os list brief os list full spustíme interaktivní režim, prompt je wmic:root\cli> dotážeme se, co lze použít na předmět os (operační systém) chceme upřesnit parametry pro sloveso list získáme tabulku s několika základními informacemi získáme seznam (už ne tabulku) s dvojicemi vlastnost=hodnota os list free tabulka s hodnotami volného místa (ve fyzické paměti, v stránkovacích souborech, ve virtuální paměti) do souboru se uloží hodně široká tabulka vlastností pro- /output:d:\procinfo.txt cpu get cesoru /output:d:\procinfo.txt cpu list full seznam položek vlastnost=hodnota cpu get /? zeptáme se, co se dá zjistit o procesoru totéž, ale místo široké tabulky máme v souboru cpu get NumberOfLogicalrocessors získáme údaj o počtu logických procesorů (počet jader nebo jeho dvojnásobek, pokud procesor podporuje hyperthreading) cpu get AddressWidth,Caption,CurrentClockSpeed,DataWidth,Description,ExtClock vypíše se tabulka s vybranými sloupci process get vypíše se seznam běžících procesů, u každého je příkaz, kterým byl spuštěn (všimněte si, že v seznamu je i wmiprvse.exe, který zajišt uje vyhodnocování dotazů na WMI) process list brief process where ThreadCount>8 list brief které mají více než 8 vláken service get name,state,servicetype získáme tabulku procesů s některými informacemi získáme seznam interaktivních slu- service where desktopinteract=true get name,state žeb (všimněte si, že u neběžících služeb je ID=0) podobný výstup, ale vypíšou se pouze procesy, tabulka s názvy, stavy a typy služeb service where (desktopinteract=true and startmode= auto ) get name,processid výběrová kritéria můžeme kombinovat (jako v SQL), ale v tom případě je uzavřeme do závorky service where desktopinteract=true get name,processid,status /every:5 takto zajistíme, že dotaz bude automaticky opakován v intervalu 5 sekund (stisknutím některé klávesy opakování přerušíme) quit ukončíme interaktivní režim (funguje také příkaz exit) Mechanismus WMI se hodně používá právě ve skriptu, a to typicky v jazyce VBScript, JScript, erl nebo owershell (je třeba mít nainstalován interpret daného jazyka, což u druhého a zejména třetího uvedeného musíme zajistit sami). ři psaní WMI skriptu bychom měli především zajistit příslušná oprávnění, zvláště když je skript spouštěn na vzdáleném počítači v LAN. Jde o oprávnění v modelu DCOM na daném počítači

258 B.6 FIREWALL VE WINDOWS 246 (WMI je totiž postaveno na COM objektech). roblém lze zjednodušit spouštěním pod některým doménovým správcovským účtem, pak není třeba řešit oprávnění zvlášt na každém počítači. S mnoha WMI skripty se můžeme seznámit například ve zdroji [8] ze seznamu literatury o automatizaci správy a skriptování. Další informace o WMI (včetně WMI skriptů) najdeme například na Directory+with+ADSI+ADO+and+WMI/Chapter+26.+Scripting+with+WMI/ Třídílný seriál o skriptování WMI v owershellu: Úkoly okud máte dostatečná přístupová oprávnění, vyzkoušejte si alespoň vypisovací příkazy z výše uvedeného příkladu. B.6 Firewall ve Windows Firewall ve Windows X je pouze jednosměrný. Ve verzi Vista a Server 2008 se objevil obousměrný firewall, ale filtrování odchozích paketů je v desktopové verzi standardně vypnuto (dá se ale zapnout), tedy funguje jako jednosměrný. Nejznámější firewally pro Windows jsou například Comodo Firewall, Sunbelt ersonal Firewall (dříve Kerio), ZoneAlarm, Norton ersonal Firewall, Avast!, Avira. orty používané konkrétní aplikací (případně na kterých portech naslouchá) zjistíme například v rocess Exploreru v kontextovém menu procesu zvolíme roperties a přejdeme na kartu TC/I (obrázek B.2). Obrázek B.1: Konfigurace pravidel firewallu ve Windows X říklad rohlédneme si konfiguraci firewallu. K firewallu budeme přistupovat ve Windows (zde verze X S2, ve vyšších je to obdobné), a to přes NetShell.

259 B.6 FIREWALL VE WINDOWS 247 Obrázek B.2: Zjistění portů pro aplikaci v rocess Exploreru netsh spustíme NetShell firewall přesun do kontextu firewall, následující příkazy provádíme v tomto kontextu show nejdřív si ověříme, co vše lze zobrazit show config zobrazíme konfiguraci firewallu (je celkem obsáhlá) show state zobrazí se momentální stav firewallu show opmode zobrazí se provozní (operační) režim (porovnejte, co se rozumí stavem z předchozího příkazu a provozním režimem z tohoto příkazu) set? tímto příkazem zjistíme, co vše lze nastavovat příkazem set (tj. daná vlastnost už je definována, ale my ji můžeme změnit) set opmode enable nastavíme provozní mód na dostupný show allowedprogram zobrazí aplikace, které mají povoleno přistupovat ven do sítě add allowedprogram? zajímá nás, jak lze do seznamu přidat další aplikaci show portopening zjistíme porty s nastavenou výjimkou (otevřené) delete portopening? ze seznamu zjistíme, že je v něm port, který by tam neměl být, tedy nás zajímá, jak ho uzavřít show service vypíšou se služby přistupující na sít exit skončíme

a decentralizované pro magisterský stupeň studia Slezská univerzita v Opavě Ústav informatiky

a decentralizované pro magisterský stupeň studia Slezská univerzita v Opavě Ústav informatiky Šárka Vavrečková očítačové sítě a decentralizované systémy pro magisterský stupeň studia Slezská univerzita v Opavě Filozoficko-přírodovědecká fakulta Ústav informatiky Opava, poslední aktualizace 28.

Více

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat. Počítačové sítě Počítačová síť je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat. Základní prvky sítě Počítače se síťovým adaptérem pracovní

Více

Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF

Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF IP vrstva Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF UDP TCP Transportní vrstva ICMP IGMP OSPF Síťová vrstva ARP IP RARP Ethernet driver Vrstva síťového rozhraní 1 IP vrstva Do IP vrstvy náležejí další

Více

4. Síťová vrstva. Síťová vrstva. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si funkci síťové vrstvy a jednotlivé protokoly.

4. Síťová vrstva. Síťová vrstva. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si funkci síťové vrstvy a jednotlivé protokoly. 4. Síťová vrstva Studijní cíl Představíme si funkci síťové vrstvy a jednotlivé protokoly. Doba nutná k nastudování 3 hodiny Síťová vrstva Síťová vrstva zajišťuje směrování a poskytuje jediné síťové rozhraní

Více

6. Transportní vrstva

6. Transportní vrstva 6. Transportní vrstva Studijní cíl Představíme si funkci transportní vrstvy. Podrobněji popíšeme protokoly TCP a UDP. Doba nutná k nastudování 3 hodiny Transportní vrstva Transportní vrstva odpovídá v

Více

Úvod do analýzy. Ústav informatiky, FPF SU Opava sarka.vavreckova@fpf.slu.cz. Poslední aktualizace: 8. prosince 2013

Úvod do analýzy. Ústav informatiky, FPF SU Opava sarka.vavreckova@fpf.slu.cz. Poslední aktualizace: 8. prosince 2013 počítačových sítí Šárka Vavrečková Ústav informatiky, FPF SU Opava sarka.vavreckova@fpf.slu.cz Poslední aktualizace: 8. prosince 2013 Základní pojmy z počítačových sítí Základní pojmy Protokol popisuje

Více

Vlastnosti podporované transportním protokolem TCP:

Vlastnosti podporované transportním protokolem TCP: Transportní vrstva Transportní vrstva odpovídá v podstatě transportní vrstvě OSI, protože poskytuje mechanismus pro koncový přenos dat mezi dvěma stanicemi. Původně se proto tato vrstva označovala jako

Více

Identifikátor materiálu: ICT-3-03

Identifikátor materiálu: ICT-3-03 Identifikátor materiálu: ICT-3-03 Předmět Téma sady Informační a komunikační technologie Téma materiálu TCP/IP Autor Ing. Bohuslav Nepovím Anotace Student si procvičí / osvojí architekturu TCP/IP. Druh

Více

Počítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík

Počítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík Počítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík SŠ IT a SP, Brno frantisek.kovarik@sspbrno.cz Model TCP/IP - IP vrstva 2 Obsah 3. bloku IPv4 záhlaví, IP adresy ARP/RARP, ICMP, IGMP,

Více

Model ISO - OSI. 5 až 7 - uživatelská část, 1 až 3 - síťová část

Model ISO - OSI. 5 až 7 - uživatelská část, 1 až 3 - síťová část Zatímco první čtyři vrstvy jsou poměrně exaktně definovány, zbylé tři vrstvy nemusí být striktně použity tak, jak jsou definovány podle tohoto modelu. (Příkladem, kdy nejsou v modelu použity všechny vrstvy,

Více

Y36PSI Protokolová rodina TCP/IP

Y36PSI Protokolová rodina TCP/IP Y36PSI Protokolová rodina TCP/IP Jan Kubr - Y36PSI 1 11/2008 Program protokol síťové vrstvy IP podpůrné protokoly ICMP RARP, BOOTP, DHCP protokoly transportní vrstvy UDP TCP Jan Kubr - Y36PSI 2 11/2008

Více

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován

Více

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Přednáška 3. Opakovače,směrovače, mosty a síťové brány Přednáška 3 Opakovače,směrovače, mosty a síťové brány Server a Client Server je obecné označení pro proces nebo systém, který poskytuje nějakou službu. Služba je obvykle realizována některým aplikačním

Více

3.17 Využívané síťové protokoly

3.17 Využívané síťové protokoly Název školy Číslo projektu Autor Název šablony Název DUMu Tematická oblast Předmět Druh učebního materiálu Anotace Vybavení, pomůcky Střední průmyslová škola strojnická Vsetín CZ.1.07/1.5.00/34.0483 Ing.

Více

Projekt IEEE 802, normy ISO 8802

Projekt IEEE 802, normy ISO 8802 Projekt IEEE 802, normy ISO 8802 Petr Grygárek rek 1 Normalizace v LAN IEEE: normalizace aktuálního stavu lokálních sítí (od roku 1982) Stále se vyvíjejí nové specifikace ISO později převzalo jako normu

Více

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.) Hodinový rozpis kurzu Správce počítačové sítě (100 hod.) Předmět: Bezpečnost a ochrana zdraví při práci (1 v.h.) 1. VYUČOVACÍ HODINA BOZP Předmět: Základní pojmy a principy sítí (6 v.h.) 2. VYUČOVACÍ HODINA

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován

Více

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu Internet a zdroje (ARP, routing) Mgr. Petr Jakubec Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu 12 26. 11. 2010 (KFC-INTZ) ARP, routing 26. 11. 2010 1 / 10 1 ARP Address Resolution

Více

Počítačové sítě. Lekce 3: Referenční model ISO/OSI

Počítačové sítě. Lekce 3: Referenční model ISO/OSI Počítačové sítě Dekompozice sítě na vrstvy 2 Komunikace mezi vrstvami 3 Standardizace sítí ISO = International Standards Organization Přesný název: Mezinárodní organizace pro normalizaci (anglicky International

Více

JAK ČÍST TUTO PREZENTACI

JAK ČÍST TUTO PREZENTACI PŘENOSOVÉ METODY V IP SÍTÍCH, S DŮRAZEM NA BEZPEČNOSTNÍ TECHNOLOGIE David Prachař, ABBAS a.s. JAK ČÍST TUTO PREZENTACI UŽIVATEL TECHNIK SPECIALISTA VÝZNAM POUŽÍVANÝCH TERMÍNŮ TERMÍN SWITCH ROUTER OSI

Více

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP ÚVOD Analýza sítě je jedním z prostředků potřebných ke sledování výkonu, údržbě a odstraňování závad v počítačových sítích. Většina dnešních sítí je založena na rodině protokolů

Více

Telekomunikační sítě Protokolové modely

Telekomunikační sítě Protokolové modely Fakulta elektrotechniky a informatiky, VŠB-TU Ostrava Telekomunikační sítě Protokolové modely Datum: 14.2.2012 Autor: Ing. Petr Machník, Ph.D. Kontakt: petr.machnik@vsb.cz Předmět: Telekomunikační sítě

Více

Routování směrovač. směrovač

Routování směrovač. směrovač Routování směrovač směrovač 1 Předmět: Téma hodiny: Třída: _ Počítačové sítě a systémy Routování směrovač 3. a 4. ročník SŠ technické Autor: Ing. Fales Alexandr Software: SMART Notebook 11.0.583.0 Obr.

Více

1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model

1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model 1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model Protokoly určují pravidla, podle kterých se musí daná komunikační část chovat. Když budou dva počítače používat stejné komunikační

Více

CCNA I. 3. Connecting to the Network. CCNA I.: 3. Connecting to the network

CCNA I. 3. Connecting to the Network. CCNA I.: 3. Connecting to the network CCNA I. 3. Connecting to the Network Základní pojmy Konvergence sítí (telefony, TV, PC, GSM) SOHO (Small Office and Home Office) nabídka a prodej produktů evidence objednávek komunikace se zákazníky zábava

Více

Počítačové sítě II. 15. Internet protokol verze 6 Miroslav Spousta, 2006

Počítačové sítě II. 15. Internet protokol verze 6 Miroslav Spousta, 2006 Počítačové sítě II 15. Internet protokol verze 6 Miroslav Spousta, 2006 , http://www.ucw.cz/~qiq/vsfs/ 1 IPv6 nejnovější protokol, ve fázi testování řeší: vyčerpání adres zabezpečení (povinně

Více

Architektura TCP/IP je v současnosti

Architektura TCP/IP je v současnosti Architektura TCP/IP - úvod Architektura TCP/IP je v současnosti nejpoužívanější síťová architektura architektura sítě Internet Uplatnění TCP/IP user-end systémy (implementace všech funkčních vrstev) mezilehlé

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován

Více

íta ové sít TCP/IP Protocol Family de facto Request for Comments

íta ové sít TCP/IP Protocol Family de facto Request for Comments Architektura TCP/IP v současnosti nejpoužívanější síťová architektura architektura sítě Internet Uplatnění user-end systémy (implementace všech funkčních vrstev) mezilehlé systémy (implementace spodních

Více

TÉMATICKÝ OKRUH Počítače, sítě a operační systémy

TÉMATICKÝ OKRUH Počítače, sítě a operační systémy TÉMATICKÝ OKRUH Počítače, sítě a operační systémy Číslo otázky : 08. Otázka : Protokolová rodina TCP/IP. Vztah k referenčnímu modelu ISO-OSI. Obsah : 1 Úvod 2 TCP/IP vs ISO-OSI 3 IP - Internet Protocol

Více

Počítačové sítě. Lekce 4: Síťová architektura TCP/IP

Počítačové sítě. Lekce 4: Síťová architektura TCP/IP Počítačové sítě Lekce 4: Síťová architektura TCP/IP Co je TCP/IP? V úzkém slova smyslu je to sada protokolů používaných v počítačích sítích s počítači na bázi Unixu: TCP = Transmission Control Protocol

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován

Více

MODELY POČÍTAČOVÝCH SÍTÍ

MODELY POČÍTAČOVÝCH SÍTÍ MODELY POČÍTAČOVÝCH SÍTÍ V počátcích budování počítačových sítí byly sítě a technické prostředky těchto sítí od jednotlivých výrobců vzájemně nekompatibilní. Vznikla tedy potřeba vytvoření jednotného síťového

Více

Aktivní prvky: brány a směrovače. směrovače

Aktivní prvky: brány a směrovače. směrovače Aktivní prvky: brány a směrovače směrovače 1 Předmět: Téma hodiny: Třída: Počítačové sítě a systémy Aktivní prvky brány a směrovače 3. a 4. ročník SŠ technické Autor: Ing. Fales Alexandr Software: SMART

Více

Počítačové sítě Transportní vrstva. Transportní vrstva

Počítačové sítě Transportní vrstva. Transportní vrstva UDP TCP Rozhraní služeb Rozhraní protokolů 17 6 ICMP IGMP OSPF 01 02 89 SAP Síťová vrstva IP Rozhraní přístupu k I/O ARP Ethernet driver RARP Vrstva síťového rozhraní 1 DATA Systém A Uživatel transportní

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence

Více

Inovace bakalářského studijního oboru Aplikovaná chemie

Inovace bakalářského studijního oboru Aplikovaná chemie http://aplchem.upol.cz CZ.1.07/2.2.00/15.0247 Tento projekt je spolufinancován Evropským sociálním fondem a státním rozpočtem České republiky. Síťové vrstvy a protokoly Síťové vrstvy Fyzická vrstva Lan,

Více

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly. 7. Aplikační vrstva Studijní cíl Představíme si funkci aplikační vrstvy a jednotlivé protokoly. Doba nutná k nastudování 2 hodiny Aplikační vrstva Účelem aplikační vrstvy je poskytnout aplikačním procesům

Více

Komunikace mezi uživateli: možnost posílání dat na velké vzdálenosti

Komunikace mezi uživateli: možnost posílání dat na velké vzdálenosti 1 očítačová síť Je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat. 1.1 Důvody vytváření sítí Sdílení zdrojů: HW (hardwarové zdroje): V/V

Více

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí, 9. Sítě MS Windows MS Windows existoval ve 2 vývojových větvích 9x a NT, tyto později byly sloučeny. V současnosti existují aktuální verze Windows XP a Windows 2003 Server. (Očekává se vydání Windows Vista)

Více

Inovace bakalářského studijního oboru Aplikovaná chemie

Inovace bakalářského studijního oboru Aplikovaná chemie http://aplchem.upol.cz CZ.1.07/2.2.00/15.0247 Tento projekt je spolufinancován Evropským sociálním fondem a státním rozpočtem České republiky. Síťové vrstvy a protokoly Síťové vrstvy Síťové vrstvy Fyzická

Více

Standardizace Internetu (1)

Standardizace Internetu (1) Internet Standardizace Internetu (1) RFC Request for Comments, základní dokumenty identifikovány čísly, po vydání se nemění místo změny se nahradí jiným RFC přidělen stav proposed standard: návrh (ustálené,

Více

Zásobník protokolů TCP/IP

Zásobník protokolů TCP/IP Zásobník protokolů TCP/IP Základy počítačových sítí Lekce 3 Ing. Jiří ledvina, CSc Úvod Vysvětlení základních pojmů a principů v protokolovém zásobníku TCP/IP Porovnání s modelem ISO/OSI Adresování v Internetu

Více

Počítačové sítě. Miloš Hrdý. 21. října 2007

Počítačové sítě. Miloš Hrdý. 21. října 2007 Počítačové sítě Miloš Hrdý 21. října 2007 Obsah 1 Pojmy 2 2 Rozdělení sítí 2 2.1 Podle rozlehlosti........................... 2 2.2 Podle topologie............................ 2 2.3 Podle přístupové metody.......................

Více

L2 multicast v doméně s přepínači CISCO

L2 multicast v doméně s přepínači CISCO L2 multicast v doméně s přepínači CISCO Vojtěch Kotík (KOT0084) Abstrakt: Tento dokument se zabývá šířením L2 multicastu v doméně složené z přepínačů Cisco. Obsahuje stručný popis technologie a jejích

Více

Počítačové sítě II. 14. Transportní vrstva: TCP a UDP. Miroslav Spousta, 2005

Počítačové sítě II. 14. Transportní vrstva: TCP a UDP. Miroslav Spousta, 2005 Počítačové sítě II 14. Transportní vrstva: TCP a UDP Miroslav Spousta, 2005 1 Transportní vrstva přítomná v ISO/OSI i TCP/IP zodpovědná za rozšíření vlastností, které požadují vyšší vrstvy (aplikační)

Více

Analýza aplikačních protokolů

Analýza aplikačních protokolů ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE Fakulta elektrotechnická PROJEKT Č. 4 Analýza aplikačních protokolů Vypracoval: V rámci předmětu: Jan HLÍDEK Komunikace v datových sítích (X32KDS) Měřeno: 28. 4. 2008

Více

Komunikační protokoly počítačů a počítačových sítí

Komunikační protokoly počítačů a počítačových sítí Komunikační protokoly počítačů a počítačových sítí Autor: Ing. Jan Nožička SOŠ a SOU Česká Lípa VY_32_INOVACE_1138_Komunikační protokoly počítačů a počítačových sítí_pwp Název školy: Číslo a název projektu:

Více

ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS

ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS V této části se seznámíte s funkcemi a principy protokolů DHCP, ARP, ICMP a DNS. Síť je uspořádána dle následujícího schématu zapojení. Zahajte

Více

Analýza protokolů rodiny TCP/IP, NAT

Analýza protokolů rodiny TCP/IP, NAT Analýza protokolů rodiny TCP/IP, NAT Počítačové sítě 7. cvičení ARP Address Resolution Protocol mapování IP adres na MAC adresy Při potřebě zjistit MAC adresu k IP adrese se generuje ARP request (broadcast),

Více

5. Směrování v počítačových sítích a směrovací protokoly

5. Směrování v počítačových sítích a směrovací protokoly 5. Směrování v počítačových sítích a směrovací protokoly Studijní cíl V této kapitole si představíme proces směrování IP.. Seznámení s procesem směrování na IP vrstvě a s protokoly RIP, RIPv2, EIGRP a

Více

Počítačové sítě Teoretická průprava II. Ing. František Kovařík

Počítačové sítě Teoretická průprava II. Ing. František Kovařík Počítačové sítě Teoretická průprava II. Ing. František Kovařík SPŠE a IT Brno frantisek.kovarik@sspbrno.cz ISO_OSI 2 Obsah 1. bloku Vrstvový model Virtuální/fyzická komunikace Režie přenosu Způsob přenosu

Více

Síťová vrstva. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Síťová vrstva. RNDr. Ing. Vladimir Smotlacha, Ph.D. Síťová vrstva RNDr. Ing. Vladimir Smotlacha, Ph.D. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Vladimír Smotlacha, 2011 Počítačové sít ě BI-PSI LS

Více

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29 Y36PSI IPv6 Jan Kubr - 7_IPv6 Jan Kubr 1/29 Obsah historie, motivace, formát datagramu, adresace, objevování sousedů, automatická konfigurace, IPsec, mobilita. Jan Kubr - 7_IPv6 Jan Kubr 2/29 Historie

Více

Počítačové sítě II. 12. IP: pomocné protokoly (ICMP, ARP, DHCP) Miroslav Spousta, 2006 <qiq@ucw.cz>, http://www.ucw.cz/~qiq/vsfs/

Počítačové sítě II. 12. IP: pomocné protokoly (ICMP, ARP, DHCP) Miroslav Spousta, 2006 <qiq@ucw.cz>, http://www.ucw.cz/~qiq/vsfs/ Počítačové sítě II 12. IP: pomocné protokoly (ICMP, ARP, DHCP) Miroslav Spousta, 2006 , http://www.ucw.cz/~qiq/vsfs/ 1 ICMP Internet Control Message Protocol doslova protokol řídicích hlášení

Více

Počítačové sítě. Počítačová síť. VYT Počítačové sítě

Počítačové sítě. Počítačová síť. VYT Počítačové sítě Počítačové sítě Počítačová síť Je soubor technických prostředků, které umožňují spojení mezi počítači a výměnu informací prostřednictvím tohoto spojení. Postupný rozvoj během druhé poloviny 20. století.

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence

Více

Aktivní prvky: síťové karty

Aktivní prvky: síťové karty Aktivní prvky: síťové karty 1 Předmět: Téma hodiny: Třída: Počítačové sítě a systémy Aktivní prvky Síťové karty (Network Interface Card) 3. a 4. ročník SŠ technické Autor: Ing. Fales Alexandr Software:

Více

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

POČÍTAČOVÉ SÍTĚ Metodický list č. 1 Metodický list č. 1 Cílem tohoto předmětu je posluchačům zevrubně představit dnešní počítačové sítě, jejich technické a programové řešení. Po absolvování kurzu by posluchač měl zvládnout návrh a správu

Více

Přednáška 9. Síťové rozhraní. Úvod do Operačních Systémů Přednáška 9

Přednáška 9. Síťové rozhraní. Úvod do Operačních Systémů Přednáška 9 Přednáška 9 Síťové rozhraní. 1 Počítačové sítě Sítě jsou složité pro zjednodušení jsou řešeny po vrstvách ISO/OSI model od teorie k praxi příliš se neujal 7 vrstev TCP/IP model od praxe k teorii sada protokolů

Více

Internet. Počítačová síť, adresy, domény a připojení. Mgr. Jan Veverka Střední odborná škola sociální Evangelická akademie

Internet. Počítačová síť, adresy, domény a připojení. Mgr. Jan Veverka Střední odborná škola sociální Evangelická akademie Internet Počítačová síť, adresy, domény a připojení Mgr. Jan Veverka Střední odborná škola sociální Evangelická akademie Počítačová síť počítačová síť = označení pro několik navzájem propojených počítačů,

Více

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování 12. Virtuální sítě (VLAN) Studijní cíl Základní seznámení se sítěmi VLAN. Doba nutná k nastudování 1 hodina VLAN Virtuální síť bývá definována jako logický segment LAN, který spojuje koncové uzly, které

Více

Systémy pro sběr a přenos dat

Systémy pro sběr a přenos dat Systémy pro sběr a přenos dat propojování distribuovaných systémů modely Klient/Server, Producent/Konzument koncept VFD (Virtual Field Device) Propojování distribuovaných systémů Používá se pojem internetworking

Více

Inovace výuky prostřednictvím šablon pro SŠ

Inovace výuky prostřednictvím šablon pro SŠ Název projektu Číslo projektu Název školy Autor Název šablony Název DUMu Stupeň a typ vzdělávání Vzdělávací oblast Vzdělávací obor Tematický okruh Cílová skupina Anotace Inovace výuky prostřednictvím šablon

Více

3. Linková vrstva. Linková (spojová) vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl

3. Linková vrstva. Linková (spojová) vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl 3. Linková vrstva Studijní cíl Představíme si funkci linkové vrstvy. Popíšeme její dvě podvrstvy, způsoby adresace, jednotlivé položky rámce. Doba nutná k nastudování 2 hodiny Linková (spojová) vrstva

Více

Přepínaný Ethernet. Virtuální sítě.

Přepínaný Ethernet. Virtuální sítě. Přepínaný Ethernet. Virtuální sítě. Petr Grygárek rek 1 Přepínaný Ethernet 2 Přepínače Chování jako mosty v topologii strom Přepínání řešeno hardwarovými prostředky (CAM) Malé zpoždění Přepínání mezi více

Více

Abychom se v IPv6 adresách lépe orientovali, rozdělíme si je dle způsobu adresování do několika skupin:

Abychom se v IPv6 adresách lépe orientovali, rozdělíme si je dle způsobu adresování do několika skupin: Adresy v internetovém protokolu verze 6 (I) V tomto a dalším díle IPv6 seriálu se budeme věnovat různým typům IPv6 adres, vysvětlíme si jejich formát zápisu, k čemu se používají a kde se s nimi můžeme

Více

Protokoly TCP/IP. rek. Petr Grygárek Petr Grygárek, FEI VŠB-TU Ostrava, Počítačové sítě (Bc.) 1

Protokoly TCP/IP. rek. Petr Grygárek Petr Grygárek, FEI VŠB-TU Ostrava, Počítačové sítě (Bc.) 1 Protokoly TCP/IP Petr Grygárek rek 1 TCP/IP standard pro komunikaci v Internetu a stále více i v intranetech TCP protokol 4. vrstvy (spolu s UDP) IP - protokol 3. vrstvy 2 Vrstvený model a srovnání s OSI-RM

Více

Počítačové sítě Implementace RM OSI. Počítačové sítě - Vrstva datových spojů 1

Počítačové sítě Implementace RM OSI. Počítačové sítě - Vrstva datových spojů 1 Implementace RM OSI Počítačové sítě - 1 Protokoly, architektura Otevřené systémy Otevřené pro další standardizaci Definují širší kategorie funkcí pro každou funkční úroveň Nedefinují způsob implementace

Více

Definice pojmů a přehled rozsahu služby

Definice pojmů a přehled rozsahu služby PŘÍLOHA 1 Definice pojmů a přehled rozsahu služby SMLOUVY o přístupu k infrastruktuře sítě společnosti využívající technologie Carrier IP Stream mezi společnostmi a Poskytovatelem 1. Definice základních

Více

Zásobník protokolů TCP/IP

Zásobník protokolů TCP/IP Zásobník protokolů TCP/IP Úvod do počítačových sítí Lekce 2 Ing. Jiří ledvina, CSc. Úvod Vysvětlení základních pojmů a principů v protokolovém zásobníku TCP/IP Adresování v Internetu Jmenné služby Protokoly

Více

Aktivní prvky: přepínače

Aktivní prvky: přepínače Aktivní prvky: přepínače 1 Přepínače část II. Předmět: Počítačové sítě a systémy Téma hodiny: Aktivní prvky přepínače část II. Třída: 3. a 4. ročník SŠ technické Autor: Ing. Fales Alexandr Software: SMART

Více

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování Cílem tohoto tematického celku je poznat formát internet protokolu (IP) a pochopit základní principy jeho fungování včetně návazných

Více

L2 multicast v doméně s přepínači CISCO

L2 multicast v doméně s přepínači CISCO L2 multicast v doméně s přepínači CISCO Vojtěch Kotík (KOT0084) Abstrakt: Tento dokument se zabývá šířením L2 multicastu v doméně složené z přepínačů Cisco. Obsahuje stručný popis technologie a jejích

Více

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D. IPv6 RNDr. Ing. Vladimir Smotlacha, Ph.D. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Vladimír Smotlacha, 2011 Počítačové sít ě BI-PSI LS 2010/11,

Více

POČÍTAČOVÉ SÍTĚ 1. V prvním semestru se budeme zabývat těmito tématy:

POČÍTAČOVÉ SÍTĚ 1. V prvním semestru se budeme zabývat těmito tématy: POČÍTAČOVÉ SÍTĚ 1 Metodický list č. 1 Cílem tohoto předmětu je posluchačům zevrubně představit dnešní počítačové sítě, jejich technické a programové řešení. Po absolvování kurzu by posluchač měl zvládnout

Více

Počítačové sítě IP směrování (routing)

Počítačové sítě IP směrování (routing) Počítačové sítě IP směrování (routing) IP sítě jsou propojeny směrovači (routery) funkcionalita směrovačů pokrývá 3. vrstvu RM OSI ~ vrstvu IP architektury TCP/IP (L3) směrovače provádějí přepojování datagramů

Více

GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA GRE tunel APLIKAC NÍ PR ÍRUC KA POUŽITÉ SYMBOLY Použité symboly Nebezpečí důležité upozornění, které může mít vliv na bezpečí osoby nebo funkčnost přístroje. Pozor upozornění na možné problémy, ke kterým

Více

Počítačové sítě ve vrstvách model ISO/OSI

Počítačové sítě ve vrstvách model ISO/OSI Počítačové sítě ve vrstvách model ISO/OSI Vzhledem ke komplikovanosti celého systému přenosu dat po sítích bylo vhodné nahlížet na přenosové sítě v určitých úrovních. Pro představu: Jak a čím budeme přenášet

Více

Základy počítačových sítí Model počítačové sítě, protokoly

Základy počítačových sítí Model počítačové sítě, protokoly Základy počítačových sítí Model počítačové sítě, protokoly Základy počítačových sítí Lekce Ing. Jiří ledvina, CSc Úvod - protokoly pravidla podle kterých síťové komponenty vzájemně komunikují představují

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován

Více

aplikační vrstva transportní vrstva síťová vrstva vrstva síťového rozhraní

aplikační vrstva transportní vrstva síťová vrstva vrstva síťového rozhraní B4. Počítačové sítě a decentralizované systémy Jakub MÍŠA (2006) 4. Technologie sítí TCP/IP, adresace, protokoly ARP, RARP, IP, ICMP, UDP, TCP a protokoly aplikační vrstvy. IP adresa verze 4. Komplexní

Více

Inovace výuky prostřednictvím ICT v SPŠ Zlín, CZ.1.07/1.5.00/ Vzdělávání v informačních a komunikačních technologií

Inovace výuky prostřednictvím ICT v SPŠ Zlín, CZ.1.07/1.5.00/ Vzdělávání v informačních a komunikačních technologií VY_32_INOVACE_31_20 Škola Název projektu, reg. č. Vzdělávací oblast Vzdělávací obor Tematický okruh Téma Tematická oblast Název Autor Vytvořeno, pro obor, ročník Anotace Přínos/cílové kompetence Střední

Více

Úvod do informačních služeb Internetu

Úvod do informačních služeb Internetu Úvod do informačních služeb Internetu Rozdělení počítačových sítí Počítačové sítě se obecně rozdělují do základních typů podle toho, na jak velkém území spojují počítače a jaké spojovací prostředky k tomu

Více

Další nástroje pro testování

Další nástroje pro testování Další nástroje pro testování PingPlotter grafická varianta programu ping umožňuje soustavné monitorování, archivování apod. www.pingplotter.com VisualRoute grafický traceroute visualroute.visualware.com

Více

Architektury komunikujících systémů

Architektury komunikujících systémů Architektury komunikujících systémů Referenční model ISO OSI Petr Grygárek rek 1 Vrstvená architektura komunikujících systémů 2 Vlastnosti vrstvené architektury Cílem dekompozice problému komunikace na

Více

e1 e1 ROUTER2 Skupina1

e1 e1 ROUTER2 Skupina1 Zkouška POS - Vzorové zadání Jméno:... Os.číslo:... Maximální bodový zisk 55b, minimum 30b. Při dosažení 25-29b rozhoduje o uznání zkoušky ústní přezkoušení (další body se při ústní zkoušce nepřidělují).

Více

EXTRAKT z české technické normy

EXTRAKT z české technické normy EXTRAKT z české technické normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním ICS 35.240.60 materiálem o normě. Dopravní telematika Vyhrazené spojení krátkého rozsahu (DSRC) Datová

Více

Počítačové sítě internet

Počítačové sítě internet 1 Počítačové sítě internet Historie počítačových sítí 1969 ARPANET 1973 Vinton Cerf protokoly TCP, základ LAN 1977 ověření TCP a jeho využití 1983 rozdělení ARPANETU na vojenskou a civilní část - akademie,

Více

Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9. Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10

Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9. Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10 Úvod 9 Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9 Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10 KAPITOLA 1 Hardwarové prvky sítí 11 Kabely 11

Více

Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc

Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc VLAN Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc VLAN Virtual LAN Cíl rozdělení fyzicky propojených počítačů do skupin, které fungují tak, jako by nebyly fyzicky propojeny (na rozdíl

Více

Počítačové sítě. IKT pro PD1

Počítačové sítě. IKT pro PD1 Počítačové sítě IKT pro PD1 Počítačová síť Je to soubor technických prostředků umožňujících komunikaci a výměnu dat mezi počítači. První počítačové sítě armádou testovány v 60. letech 20.století. Umožňuje

Více

CAD pro. techniku prostředí (TZB) Počítačové sítě

CAD pro. techniku prostředí (TZB) Počítačové sítě VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ FAKULTA STROJNÍHO INŽENÝRSTVÍ - ENERGETICKÝ ÚSTAV ODBOR TERMOMECHANIKY A TECHNIKY PROSTŘEDÍ CAD pro techniku prostředí (TZB) Počítačové sítě http://ottp.fme.vutbr.cz/cad/

Více

Technologie počítačových sítí 2. přednáška

Technologie počítačových sítí 2. přednáška Technologie počítačových sítí 2. přednáška Obsah druhé přednášky Síťové protokoly Síťové protokoly Typy protokolů Protokol ISO OSI - Fyzická vrstva - Linková vrstva - Síťová vrstva - Transportní vrstva

Více

Počítačová síť a internet. V. Votruba

Počítačová síť a internet. V. Votruba Počítačová síť a internet V. Votruba Obsah Co je to počítačová síť Služby sítě Protokoly a služby TCP/IP model Nastavení sítě ve Windows XP Diagnostika Bezdrátové sítě Co je to počítačová síť? Síť je spojením

Více

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča Analýza síťového provozu Ing. Dominik Breitenbacher ibreiten@fit.vutbr.cz Mgr. Radim Janča ijanca@fit.vutbr.cz Obsah cvičení Komunikace na síti a internetu Ukázka nejčastějších protokolů na internetu Zachytávání

Více

Protokoly přenosu. Maturitní otázka z POS - č. 15. TCP/IP (Transmission Control Protocol/Internet Protocol)

Protokoly přenosu. Maturitní otázka z POS - č. 15. TCP/IP (Transmission Control Protocol/Internet Protocol) Protokoly přenosu konfigurace protokolu TCP/IP adresa IP, maska podsítě, brána nastavení DHCP, DNS TCP/IP (Transmission Control Protocol/Internet Protocol) Rodina protokolů TCP/IP obsahuje sadu protokolů

Více

Počítačové sítě IP multicasting

Počítačové sítě IP multicasting IP multicast mechanismus pro skupinovou komunikaci v IP vrstvě Zdroj vysílá jeden datagram, na multicast směrovačích se jeho kopie vysílají do větví multicast stromu Adresy typu D podpora IP multicastu

Více

CCNA 2/10 Další funkce TCP/IP Aleš Mareček Jaroslav Matějíček 1

CCNA 2/10 Další funkce TCP/IP Aleš Mareček Jaroslav Matějíček 1 CCNA 2/10 Další funkce TCP/IP Aleš Mareček Jaroslav Matějíček xmarec07@stud.fit.vutbr.cz xmatej33@stud.fit.vutbr.cz 1 Obsah: 1. TCP... 3 1.1 Hlavička TCP segmentu... 3 1.2 Přenos dat a potvrzovací proces...

Více

Inovace výuky prostřednictvím šablon pro SŠ

Inovace výuky prostřednictvím šablon pro SŠ Název projektu Číslo projektu Název školy Autor Název šablony Název DUMu Stupeň a typ vzdělávání Vzdělávací oblast Vzdělávací obor Tematický okruh Inovace výuky prostřednictvím šablon pro SŠ CZ.1.07/1.5.00/34.0748

Více