Budování a využívání menších počítačových sítí

Transkript

1 VYSOKÁ ŠKOLA EKONOMICKÁ V PRAZE Fakulta informatiky a statistiky Katedra informačního a znalostního inženýrství Studijní obor: Aplikovaná informatika Obor: Informatika Budování a využívání menších počítačových sítí BAKALÁŘSKÁ PRÁCE Autor práce: Pavel Nepomucký Vedoucí práce: PhDr. Otakar Pinkas Praha 2014

2 ABSTRAKT Práce se zabývá návrhem malé domácí počítačové sítě. Hlavním cílem je popsat, jak lze rozšířit domácí síť o další prvky a umožnit uživatelům bezdrátové připojení ve vybraných lokalitách. Práci lze rozdělit na dvě části. První teoretická část je věnována základním prvkům sítě a síťové komunikaci. Druhá část je věnována praktické ukázce rozšíření malé domácí sítě o další objekt pomocí bezdrátového spoje. Práce popisuje výběr a nastavení počítačových prvků, včetně testování a vyhodnocení přenosových rychlostí, pokrytí a odezvě mezi bezdrátovými přístupovými body. KLIČOVÁ SLOVA počítačová síť, návrh, síťové prvky, zabezpečení, analýza sítě, přístupový bod, Wi-Fi

3 ABSTRACT The thesis deals with design of small home network. The main goal is to describe extending home network by new network components, which allow users in specific areas to use newly created wireless connection. The thesis is split into two parts. The first one is given for explanation of network components and their comunication. Second one describes practical demonstration of extending home network by a new component providing wireless conection. The thesis decribes a selection and analysis of network components including setting up, coverage and communication between each access point. KEYWORDS computer network, design, network components, network security, access point, Wi-Fi

4 Prohlášení Prohlašuji, že jsem bakalářskou práci na téma Budování a využívání menších počítačových sítí vypracoval samostatně. Použitou literaturu a podkladové materiály uvádím v přiloženém seznamu literatury. V Praze dne:. Podpis:.

5 Poděkování Rád bych zde poděkoval panu PhDr. Otakaru Pinkasovi za cenné připomínky při zpracování bakalářské práce. Dále bych rád poděkoval své rodině za trpělivost, kterou projevili při zapojování nových síťových prvků, které často zapříčinily nedostupnost přístupu k internetu.

6 Obsah Úvod Základní pojmy Druhy počítačových sítí Ethernet Ethernetové rámce Síťové topologie Síťové modely Model ISO/OSI Model TCP/IP Srovnání modelu TCP/IP a modelu ISO/OSI Síťové prvky Kabeláž Metalické kabely Optické kabely Síťová karta Opakovač (Reapeater) Převodník (Transceiver) Rozbočovač (Hub) Přepínač (Switch) Most (Bridge) Směrovač (Router) Access Point Bezdrátové sítě Zabezpečení bezdrátových sítí Zabezpečení pomocí protokolu WEP (Wired Equivalent Privacy) Zabezpečení pomocí WPA, TKIP a AES Filtrovaní MAC adres Skrytí SSID... 18

7 7.2 Typy útoků na bezdrátové sítě Výkon bezdrátové sítě Síťové služby DNS DHCP Popis současného stavu sítě Požadavky na vybudování sítě Situace Připojení k internetu Aktivní prvky Kabeláž Router Zyxel P-660HN-T3A Ubiquiti NanoStation Loco M Ubiquiti NanoStation Loco M Zyxel NBG-419N D-Link DIR Ostatní zařízení Celkové náklady na vybudování sítě Nastavení sítě Síťová adresace Nastavení síťových prvků Zyxel P-660HN-T3A Zyxel NBG-419N Ubiquiti NanoStation Loco M5 - Dům č Ubiquiti NanoStation Loco M5 - Dům č Ubiquiti NanoStation Loco M2 - Dům č D-Link DIR Tiskárna HP 6500A Síťové služby... 32

8 10.4 Nastavení sdílené složky Testování sítě Programy pro sledování sítě inssider Home LAN Speed Test PRTG Network Monitor Ostatní online nástroje Wi-Fi pokrytí Rychlost sítě Zatížení sítě Návrhy na budoucí vylepšení Závěr Bibliografie Seznam obrázků Seznam tabulek Použité zkratky Přílohy... 52

9 Úvod Téma bakalářské práce jsem si vybral z důvodu mého zájmu o počítačové sítě. Cílem této bakalářské práce je popsat, jak lze připojit do počítačové sítě další uživatele a jak lze současné malé domácí nebo podnikové sítě rozšiřovat. Práce je rozdělena na dvě velké části. V první teoretické části se pokusím nejdříve vysvětlit základní počítačové termíny, se kterými se v sítích často setkáváme. Také se pokusím vysvětlit základy počítačové komunikace a bezpečnosti počítačových sítí. Druhá část je věnována popisu rozšíření malé domácí sítě připojením dalšího objektu (domu) a popisu rozšíření možnosti bezdrátového připojení k síti. V této části je prakticky ukázáno, jak a s pomocí jakých aktivních prvků lze rozšiřovat malé sítě. Hlavní prvky sítě pro bezdrátovou komunikaci jsem zvolil NanoStation loco od firmy Ubiquiti. K zařízením není poskytnutá kvalitní dokumentace, proto lze použít tuto bakalářskou práci jako návod, jak tyto zařízení použít v praxi. Po úspěšném nastavení sítě proběhne testování přenosových rychlostí a odezvy mezi jednotlivými zařízeními. Analýza zahrnuje také testování pokrytí jednotlivých přístupových bodů včetně popisu použitých programů. Práce obsahuje celkové vyhodnocení sítě, které v budoucnu pomůže při rozhodování jaký prvek vyměnit nebo jinak síť vylepšit. 1

10 1 Základní pojmy Abychom se mohli dále zabývat problematikou počítačových sítí, je nutné si na samém začátku vysvětlit několik základních termínů, se kterými se budeme v dalších kapitolách setkávat. Počítačová síť Počítačovou síť lze definovat jako propojení mezi dvěma a více počítači za účelem výměny nebo sdílení dat. O počítačové síti můžeme mluvit, pokud zahrnuje tyto komponenty: propojené systémy, propojovací software 1, síťový hardware, fyzická přenosová média 2 a adresní systém pro všechny výše uvedené komponenty. (1) Protokol Termín protokol je v počítačových sítích hojně využívaný. Pokud je zaváděna nová technologie, pak je zapotřebí definovat, jak se s touto technologií bude pracovat. Proto je třeba zavést určitá pravidla, která nám vymezí, co a jak lze v určitých situacích používat. Protokol je soubor pravidel, pomocí kterých jsme schopni s danou technologií správně pracovat či komunikovat. Adresování v síti Každý prvek, který se aktivně podílí na chodu či řízení sítě musí být v síti jednoznačně identifikovaný. Pro identifikaci zařízení v síti se používá síťová adresa. Každé síťové zařízení má od výrobce přidělenou v paměti ROM 3 svojí fyzickou adresu neboli MAC (Media Access Control). Jedná se o 48 bitové číslo, které je pro každé síťové zařízení unikátní. Fyzickou adresu lze softwarově podvrhnout, to znamená, že existují programy, které dokážou manipulovat s touto adresou. Díky této skutečnosti se pak jedno zařízení může vydávat za jiné. Další typ adresy, která slouží pro jednoznačnou identifikaci prvků je IP adresa. Zkratka IP znamená internet protokol. Jedná se o protokol, který má na starosti síťovou komunikaci 1 Propojovací software musí být obsažen ve všech operačních systémech tvořící síť. Jde o software, který dokáže obsluhovat síťovou komunikaci. 2 Fyzické přenosové medium chápeme jako zařízení, které dokáže přenášet elektromagnetický signál. Signálem se rozumí měnící se vzorek amplitudy, pomocí napětí nebo rádiových vln. 3 Pamět ROM (Read Only Memory) je typ paměti, která slouží pouze ke čtení, nelze na ní zapisovat. 2

11 internetu. Pro IP adresu platí, že by také měla být pro každé zařízení unikátní. Lze zaměňovat IP adresy různých zařízení, ale nesmí dojít k tomu, aby měly dva prvky ve stejný okamžik stejné IP adresy v síti TCP/IP. O přidělení adresy se stará síťová služba DHCP nebo lze nastavit IP adresu ručně. IP adresy můžeme rozdělit do různých kategorií, na adresy pevné a adresy dynamické. IP adresa je 32 bitové číslo, zapisované po jednotlivých bajtech oddělenými tečkami. Např V současnosti se používají adresy IPv4, nicméně dochází k jejich vyčerpání. Proto se zavádí nová verze IPv6, která má problém s nedostatkem adres vyřešit díky větší délce adresy. Délka adres IPv6 je 128 bitů a umožňuje až kombinací. Adresa MAC se používá v nejnižší vrstvě síťového modelu. Všechny rámce v síti obsahují MAC adresu, bez ohledu na síťový protokol, na kterém komunikují. Adresy IP jsou umístěny na vyšší vrstvě síťového modelu. Komunikace v sítích Existují dva komunikační modely, které jsou využívány při síťové komunikaci. První komunikační model se nazývá spojované sítě. Tento komunikační typ funguje tak, že se nejdříve před síťovou komunikací vytvoří mezi prvky komunikační kanál, přes který bude probíhat komunikace. Zařízení začnou vysílat až poté, co je komunikační kanál vytvořený. Spojované sítě jsou typické pro telefonní sítě, a u všech sítí, kde nám záleží na pořadí přijímaných dat. Této technologii se říká přepojování okruhů. Druhý model nejdříve data, která jsou určená k přenosu, rozdělí do menších balíčků paketů. V praxi je soubor nejdříve rozdroben na menší kousíčky, které jsou po síti zaslány cílovému počítači, ve kterém jsou tyto pakety opět složeny a tím je soubor opět složen. (2) Pakety jsou zasílány bez naplánované trasy a záleží na každém zařízení, kam dále pakety odešle. Každý paket může k cíli cestovat vlastní cestou a dorazit v jiném pořadí, než ve kterém byl odeslán. Sítě, ve kterých se tento komunikační model uplatňuje, se nazývají sítě nespojované. Tato technologie přenosu se nazývá přepojování paketů. V sítích rozlišujeme 3 druhy přenosu dat. Full-duplex Zařízení mohou komunikovat zároveň v obou směrech, lze přijímat a zároveň vysílat Half-duplex Lze buď přijímat, nebo odesílat, nelze obojí současně 3

12 Simplex Komunikace probíhá pouze v jednom směru, odesílateli nelze odpovědět U kroucené dvojlinky se používají 2 páry pro vysílání a 2 páry pro přijímání, pro plný duplex tedy potřebujeme 8 vodičů. U bezdrátových sítí se pro plný duplex může použít jiná frekvence pro přijímání, než pro odesílání. Tato metoda se nazývá FDD (Frequency Division Duplex). Může se také použít metoda, kdy se vyhradí čas pro příjem a odesílání, této metodě se říká TDD (Time Division Duplex). (3) Paket Jak už bylo zmíněno v odstavci výše, je paket podmnožina dat určená k přenosu. (2) V počítačových sítí typu TCP/IP se používá TCP paket, který se skládá ze 4 částí. V sítích se rozlišují pakety a datagramy. Datagram je paket, který je zaslán službou nespolehlivého přenosu dat při použití protokolu UDP (User Datagram Protocol). (4) Síťový standard Ethernet pracuje s rámci (Ethernet_II, Ethernet ARPA/DARPA, DIX). Port Síťové aplikace pro svoji práci potřebují komunikovat po síti. Aby bylo možné rozlišovat data pro různé typy aplikací, je nutné tato data opatřit identifikační značkou, která rozliší cílovou aplikaci. Pro tento účel se používají porty. Každá aplikace, která komunikuje po síti, využívá některý z portů v rozmezí Čísla portů spravuje organizace IANA 4 (Internet Assigned Numbers Authority). Porty můžeme rozdělit do tří kategorií Dobře známé porty 1 až o Tyto porty jsou přidělené konkrétním aplikacím, jedná se například o služby HTTP, POP nebo SMTP Registrované porty až o Tyto porty lze přidělovat aplikacím jako odchozí port klientských aplikací Dynamické porty až o Porty určené pro soukromé využití, nejsou pevně přiděleny žádné aplikaci 4 Další informace o organizaci jsou na internetové adrese 4

13 Server Server je zařízení, které poskytuje klientům služby nebo data. Většinou se jedná o počítač zapojený do sítě, ve kterém jsou uložená data, která jsou často využívaná. Například obrázky, hudba či databáze. Klient vyšle požadavek na server a server mu odešle požadovaná data nebo klientovi poskytne nějakou požadovanou službu. Nároky na výkon serveru rostou s množstvím požadavků, které jsou na server kladeny. Služby, které na serveru běží a čekají na požadavek klienta, se nazývají démoni. Příkladem činnosti serveru je činnost webového serveru. Klient pošle požadavek na zobrazení webové stránky, server požadavek obslouží a klientovi pošle potřebná data, která se posléze zobrazí u klienta v prohlížeči. (5) 2 Druhy počítačových sítí Počítačové sítě můžeme rozdělit dle mnoha kritérií, například dle počtu připojených zařízení, podle způsobu využití nebo dle omezení uživatelského přístupu v síti. Další možné rozdělení je podle využívaného hardwaru v síti. Kategorií je opravdu mnoho, ve většině případů jsou jednotlivé druhy sítí propojené mezi sebou. LAN (Local area network) Jedná se o síť, která se vymezuje na určitém prostoru. Definice sítě LAN spočívá ve velikosti. Sítě typu LAN mají omezený počet administrativních jednotek, tedy domén nebo podsítí. Pro budování sítě LAN se používá několik standardů. V práci se budu zabývat nejrozšířenějším standardem a tím je Ethernet. WAN (Wide area network) Sítě typu WAN jsou rozsáhlejší a většinou propojují několik menších sítí dohromady. Nejznámějším příkladem sítě tohoto typu je internet. Sítě připojené do WAN mohou být od sebe velice vzdálené. Uživatelé této sítě mohou využívat vzájemně poskytované služby. Například přenášet soubory nebo zobrazovat internetové stránky. Technologie, které se často používají pro přenos dat v síti WAN, jsou například ISDN, DSL, Frame Relay nebo zastaralé vytáčené spojení modemy. MAN (Metropolitan area network) Obvykle se jedná o městské sítě, velikostí je lze zařadit mezi LAN a WAN. Sítě typu MAN často spojují jednotlivé pobočky podniku na území města pomocí zabezpečených linek. 5

14 SAN (Storage area network) Pro potřeby rychle ukládat a přistupovat k datům, jsou budovány speciální sítě, které jsou navrženy na přenos velkých množství dat. Data se v sítí přenášejí mezi jednotlivými úložišti nebo servery. Tento typ sítě je navrhován na vysoký výkon a dostupnost. Bezdrátové sítě - Wi-Fi Jak už je z názvu patrné, jedná se o sítě, ke kterým se dá připojit bez použití kabelu. Nicméně se tyto sítě těžko zabezpečují, přesto však jejich počet každým rokem vzrůstá, díky komfortu a mobilitě, kterou nabízejí. Intranet Termínem se často nazývají webové služby místní sítě dostupné oprávněným uživatelům. Příkladem může být firemní interní systém pro evidenci objednávek. Intranet je dostupný, pouze pro uživatelé dané sítě. Extranet Rozdíl mezi intranetem a extranetem je v jeho dostupnosti. Extranet je dostupný i vnějším uživatelům. Pro přístup do extranetu je obvykle zapotřebí znát přístupové údaje. (6) 3 Ethernet Nejznámější a také nepoužívanější technologií pro budování LAN sítí je bezesporu Ethernet. Ethernet byl vyvinut firmou Xerox v 70. letech 20. století a je standardizován jako norma IEEE Základem Ethernetu je protokol CSMA/CD 5 pro detekci a řešení kolizí. Existuje několik variant Ethernetu, které se od sebe liší svojí maximální možnou rychlostí. V současnosti je nejrozšířenější Fast Ethernet (Ethernet pro rychlost 100Mb/s), který existuje ve třech variantách. V následující tabulce jsou vyjmenovány včetně stručného popisu. 5 CSMA/CD (Carrier Sense Multiple Access with Collision Detection) je protokol, který definuje, jak se má zařízení chovat, pokud chce vysílat na médiu. Moderní varianty Ethernetu používají přepínače s plně duplexním režimem, u kterých již tento protokol není uplatňován, protože každá stanice má vlastní přenosové médium. (22) 6

15 Standard 100BASE-TX 100BASE-FX 100Base-T4 Popis Pracuje se dvěma páry kroucené dvojlinky (kat. 5), lze použít i stíněnou verzi, maximální dosah kabelu je 100m Varianta pro optické kabely, délka kabelu může být až 412m pro vícevidové kabely a poloviční duplex, pro jednovidové kabely až m s plným duplexem Norma pro starší kroucenou dvojlinku (kat 3 a 4), která využívá všechny 4 páry, maximální délka kabelu je 100m TABULKA 1 - VARIANTY FAST ETHERNETU Následníkem Fast Ethernetu jsou standardy, které podporují přenosové rychlosti 1 000Mb/s pro kroucenou dvojlinku a optické kabely. 3.1 Ethernetové rámce Pro přenos dat v Ethernetu se používají rámce, jedná se o obálku pro data, která se popisuje pomocí oktetů. Oktet je osmice bitů. Adresa Preambule SFD Adresa cíle Typ/délka Data/výplň CRC32 zdroje 7x oktet 1x oktet oktetů 6 oktetů 2 oktety oktetů oktety Mezera mezi rámci 12 oktetů oktetů oktetů. OBRÁZEK 1 - ETHERNETOVÝ RÁMEC Preambule slouží k synchronizaci hodin příjemce, SFD (Start of Frame Delimeter) označuje začátek rámce. (7) 4 Síťové topologie Při návrhu počítačové sítě, si vždy musíme rozmyslet, jakým způsobem jednotlivé prvky mezi sebou propojíme, každý typ propojení přináší nějaké výhody, ale i nevýhody. Často se potkáme s kombinací různých topologií, například v síti Ethernet. (8) 7

16 Sběrnice Pro tento typ propojení prvků platí, že využívají jedno společné médium, přes které vzájemně komunikují. Všechny stanice, které jsou do této topologie zapojeny, vidí data odeslaná ostatními stanicemi. Data z jedné stanice na druhou jsou rovněž zaslána i na ostatní stanice. Aby komunikace mohla probíhat rychle, musí být v této topologii nastaveny přísná pravidla pro vysílání. Například je omezená doba, kterou mohou jednotlivé stanice vysílat nebo doba, kterou jsou zařízení připojena ke sběrnici. Výhody této topologie jsou nízké pořizovací náklady, díky úspoře kabeláže (Stanice sdílejí jedno přenosové médium) a velmi snadná montáž. Nevýhody sběrnice jsou v omezeném množství připojených stanic, omezená délka kabeláže a také výpadek celé sítě, v případě problému s kabelem. (9) Kruh V kruhové topologii jsou jednotlivé prvky uzavřené do kruhu, platí, že každý prvek je počátečním a také koncovým bodem datových přenosů. (1) Datové pakety se zde pohybují jedním směrem, který musí být pevně daný, aby nedocházelo ke kolizím. Jednotlivé prvky si data v jednom směru předávají, dokud nedorazí do cílového uzlu, který data přijme. Nejznámějším příkladem kruhové topologie je síť typu Token ring, kterou vyvinula společnost IBM, v síti se předává mezi uzly token, jedná se o identifikátor práva pro vysílání, se kterým má uzel právo vysílat. Výhody kruhové topologie je malá šance vzniku kolize, díky pevně danému směru, kterým lze vysílat. Také je jednoduché přidání nové stanice. Největší nevýhoda kruhu je, že při vyřazení jedné stanice nebo při jakékoliv úpravě sítě přestane síť fungovat. Kruhová topologie je velmi závislá na funkčnosti jednotlivých připojených stanic. Hvězda Velice často používaná topologie je hvězda. V této topologii jsou stanice připojeny k jednomu aktivnímu prvku centrálnímu uzlu. Veškerá data vysílaná v této síti musí projít přes centrální prvek. Výhody hvězdicové topologie jsou nezávislost jednotlivých stanic připojených do sítě. V případě výpadku jedné stanice, není funkčnost sítě nijak ovlivněna. Další výhody této topologie je snadné rozšíření sítě, stačí připojit další centrální prvek s připojenými stanicemi. Nevýhodou této topologie je velké množství potřebných kabelů, každý počítač je připojen přes vlastní kabel k centrálnímu prvku. Porucha centrálního prvku vede k výpadku celé sítě. (1) 8

17 Strom V topologii stromu jsou jednotlivé stanice připojeny hierarchicky do útvaru připomínajícího strom. Musí zde existovat alespoň tři úrovně, protože se dvěma by se jednalo o hvězdicovou topologii. Stromová topologie se používá u rozsáhlých sítí, například ve velkých firmách. 5 Síťové modely S vývojem počítačových sítí nastal v 70. a 80. letech 20. století moment, kdy bylo třeba standardizovat síťovou komunikaci, aby nezavládl chaos mezi výrobci síťových komponent a programátory síťového softwaru. Díky vzájemné spolupráci vznikly síťové modely, které definují pravidla pro síťovou komunikaci. 5.1 Model ISO/OSI Referenční model ISO/OSI 6 definuje 7 vrstev, na kterých probíhá síťová komunikace. Každá vrstva plní jiný účel a vkládá do dat další informace. Jednotlivé vrstvy se číslují od 1 do 7 v tomto pořadí: fyzická, linková, síťová, transportní, relační, prezentační a aplikační. První čtyři vrstvy se věnují síťovému hardwaru a ostatní vrstvy jsou určené pro software. (1) Vrstva Způsob přenosu Stručný popis vrstvy Aplikační Data Síťové spojení mezi aplikací a sítí Prezentační Data Formátování dat, příprava pro aplikaci Relační Data Zajišťování korektního přenosu dat Transportní Segmenty / Datagramy Řídí aspekty vysílání a přijímání dat Síťová Pakety Adresace systémů, mezi kterými probíhá výměna dat Linková Rámce Adresace hardwaru Fyzická Bity Definice přenosového média a jeho použití (kabely, rádiové vlny, optické vlákna) a další metody přenosu. TABULKA 2 - VRSTVY MODELU ISO/OSI Při jakékoliv komunikaci by data měla v systému, který se chystá vysílat putovat zásobníkem ze shora směrem dolů a v přijímacím systému naopak, ze spodu směrem nahoru. V odstavci výše bylo zmíněno, že během přesunu dat mezi jednotlivými vrstvami se k těmto datům 6 Dokumentaci k modelu ISO/OSI můžeme stáhnout na webové adrese 9

18 vkládají další informace, těmto informacím se říká metadata 7. Procesu, kdy metadata přikládáme k datům, se říká zapouzdření a nastává, když data putují síťovým zásobníkem směrem dolů. V opačném směru jsou metadata odebírána, tento proces se nazývá odpouzdření. K datům se také přikládá kontrolní součet algoritmu CRC (Cyclic Redundancy Check). Jedná se o algoritmus, který má za úkol při přijetí dat kontrolovat, zda jsou přijatá data v pořádku. Tato kontrola probíhá nejčastěji na linkové vrstvě, nicméně každá vrstva může mít vlastní kontrolní součet. V praxi však síťové prvky pracují na několika vrstvách současně. Proto je třeba brát model ISO/OSI spíše jako metodu pro popis síťové komunikace. (1) 5.2 Model TCP/IP OBRÁZEK 2 - ZAPOUZDŘENÍ, ZDROJ: (10) Druhým alternativním referenčním síťovým modelem je model TCP/IP, který se skládá ze tří protokolů. Protokol TCP (Transmission Control Protocol) se zabývá vystavením a fungováním spojením mezi systémy na internetu. Dalším protokolem je UDP (User Datagram Protocol), který má na starosti nespojovanou komunikaci. Třetím posledním protokolem je protokol IP (Internet Protocol), který definuje formát paketů v síti. (1) Model TCP/IP je oproti modelu ISO/OSI pouze čtyřvrstvý. 7 Metadata jsou informace, které nám upřesňují data, ke kterým jsou přiložena, říká se, že jsou to data o datech, pro snadné pochopení se s nimi setkáváme nejčastěji u dokumentů, kde nám popisují typ dokumentu, autora, datum vytvoření atd. 10

19 Vrstva Způsob přenosu Stručný popis vrstvy Aplikační vrstva Data Programy (např. Telnet, FTP, DHCP, DNS) Transportní vrstva Segmenty Směrování a přidávání datagramů Síťová vrstva Pakety Přidávány informace o síťových adresách Vrstva síťového rozhraní Datový rámec Přístup k fyzickému přenosovému médiu TABULKA 3 - VRSTVY MODELU TCP/IP 5.3 Srovnání modelu TCP/IP a modelu ISO/OSI Modely jsou si velmi podobné, můžeme říci, že model ISO/OSI popisuje detailněji aplikační vrstvu TCP/IP a také je OSI podrobnější ve vrstvě síťového rozhraní. Největší rozdíl mezi modely je, že model TCP/IP je v praxi využívaný, zatímco model ISO/OSI není a slouží především jako teoretická pomůcka, která napomáhá porozumět síťové komunikaci. Přestože je model TCP/IP podporován v široké škále produktů na trhu, byl model často kritizován za nedostatečnost obecnost, a proto jej, ho nelze aplikovat na sítě, používající některé jiné protokoly. Žádný z obou modelů by neměl být aplikován na reálný svět slepě a bezvýhradně. (1) OBRÁZEK 3 - SROVNÁNÍ MODELU ISO/OSI A TCP/IP, ZDROJ: (11) 11

20 6 Síťové prvky Části, ze kterých se skládá počítačová síť, je celá řada. Jejich výběr ovlivňuje vlastnosti celé sítě, proto si při výběru musíme dát pozor, jestli vybrané síťové prvky splní naše požadavky sítě při její realizaci. Se špatně vybranými síťovými prvky může v budoucnu nastat problém s rozšířením sítě nebo v horším případě s funkčností celé sítě. 6.1 Kabeláž Při navrhování počítačové sítě se musíme rozhodnout, jaký typ kabelu v naší síti použijeme. Jednotlivé druhy kabelů mají svoje jedinečné vlastnosti, které bychom při výběru měli zohlednit. Mezi tyto klíčové vlastnosti patří šířka pásma (propustnost), maximální možná délka rozvodu a pořizovací cena. V zásadě můžeme kabely roztřídit na dvě hlavní kategorie. Do první kategorie řadíme metalické kabely, kde si signál nejčastěji šíří pomocí měděného vodiče. Do druhé kategorie spadají kabely, kde je signál vysílán pomocí světelných paprsků. Samozřejmě v síti můžeme kabely kombinovat, avšak zřídkakdy jsou optické kabely používány pro připojení koncových stanic. Optické kabely se používají spíše pro propojení většího areálu, vysokorychlostního spoje nebo mezi jednotlivými sítěmi Metalické kabely V současných počítačových sítích se nejčastěji používá kroucená dvojlinka. Kabel vyniká díky snadné instalaci, dobrému výkonu a nízké ceně. Existují varianty se stíněnou i nestíněnou verzí. Kroucená dvojlinka se skládá z jednoho nebo více izolovaných vodičů, které jsou zakrouceny dohromady a obaleny pláštěm. Parametry, které nás zajímají, jsou průměr a typ vodičů, počet závitů, izolace a impedance 8. Jako zakončovací konektor se u kroucené dvojlinky nejčastěji používá pro 3 páry šestipinový RJ-11 a pro 4 páry osmipinový RJ-45 konektor. (8) Dříve se používal také koaxiální kabel jako přenosové médium, jeho vlastnosti však už v dnešní době nejsou pro sítě vyhovující Optické kabely Optické kabely oproti metalickým kabelům umožňují mnohem delší délku kabelu a vyšší rychlost. Stávají se stále častější volbou při použití gigabitového nebo desetigigabitového Ethernetu. Optické kabely přenáší signál pomocí světelných paprsků. Mohou být skleněné 8 Charakteristická impedance pro datové UTP kabely je 100, 120, 150 Ω. Většina UTP kabelů má impedanci 100. Stíněná varianta kroucené dvojlinky STP mívá impedanci 100 nebo 150 Ω. TIA/EIA-568-C předepisuje pro Evropu impedanci pro stíněné obvody 100 Ω. (8) 12

21 nebo plastové. Nynější optické kabely používají sloučeniny křemíku. Pro vysílání světla se nejčastěji využívá laserová LED dioda. Většina optických rozhraní je simplexní - dokážou buď vysílat, nebo přijímat, ale ne obojí najednou. (8) Zařízení, které se podílejí na chodu sítě, se nazývají aktivní prvky. Spadají sem zařízení, která mají za úkol řídit síťovou komunikaci, rozhodovat kam má být jaký paket poslán. 6.2 Síťová karta Síťové karty NIC (Network Interface Cards) jsou nezbytnou součástí hardwaru sítě, jedná se o koncové zařízení, které pracuje na linkové vrstvě modelu ISO/OSI. Karta zprostředkovává komunikaci mezi počítačem a sítí podle pravidel daných síťovým standardem. Síťové karty jsou v současné době integrovány téměř u všech základních desek počítačů. 6.3 Opakovač (Reapeater) Jedná se o zařízení, které pracuje na fyzické vrstvě modelu OSI. Jeho úkolem zařízení je zesilovat signál, který jím prochází. Také opravuje sílu signálu, kvalitu a časování. Pomocí opakovače můžeme prodloužit dosah sítě. Nedoporučuje se však příliš prodlužovat kabely v síti, protože se tím zvětšuje kolizní doména. Díky které jsou počítače schopny hůře rozeznat kolizi signálu, díky zpoždění kvůli dlouhé kabeláži. (5) 6.4 Převodník (Transceiver) Převodník plní podobnou roli jako opakovač, umožňuje navíc převod signálu na jiný typ média, například signál z kroucené dvojlinky na světelný paprsek pro optické kabely. Převodník pracuje na fyzické vrstvě. 6.5 Rozbočovač (Hub) Dříve se jednalo o nezbytné zařízení pro sítě založené na hvězdicové topologii. Rozbočovač pracuje na fyzické vrstvě a slouží k větvení signálu. Signál, který vstupuje jedním z portů, je dále rozeslán na všechny ostatní porty. V současnosti jsou rozbočovače nahrazovány přepínači, které poskytují vyšší zabezpečení přenášených dat. (12) 6.6 Přepínač (Switch) Přepínač je zařízení, které vytvoří mezi propojeným uzlem oddělené spojení. Při použití přepínače nedochází k zahlcení sítě jako u rozbočovače. Také nedochází ke kolizím, protože každá stanice má pro komunikaci vyhrazené vlastní přenosové médium. Přepínače pracují na druhé vrstvě modelu ISO/OSI a byly výrazným krokem vpřed. Přepínač po zapojení do sítě 13

22 zmapuje zařízení, která jsou do něj na jednotlivých portech zapojené. Jejich MAC adresy si uloží do paměti. Poté dokáže posílat data konkrétním stanicím, pro které jsou určeny. Pro každou stanici zapojenou do přepínače vzniká vlastní kolizní doména. Některé přepínače dokážou pracovat i na vyšších vrstvách modelu ISO/OSI. To znamená, že dokážou rozhodovat nejen na základu MAC adresy, ale i IP adresy, nebo také dokážou zpracovávat data na základě portů. (8) Přepínač má několik režimů, ve kterých dokáže pracovat: Store and forward Při tomto režimu přepínač spočítá kontrolní součet datového rámce a porovná ho s přiloženým kontrolním součtem. Pokud je rámec v pořádku, pošle ho dál, pokud ne, tak je rámec zahozen. Při tomto režimu dochází ke určitému zpoždění. Cut trough Jakmile přepínač získá dostatečnou velikost rámce, ze které zjistí MAC adresu cílového zařízení, tak data okamžitě přeposílá. Tento režim je rychlejší, ale může se stát, že budou zasílána poškozená data. Fragment free Přepínač čeká, dokud nepřijme prvních 64 bytů, poté začne data posílat cíli. Jedná se o kompromis mezi rychlostí a spolehlivostí. 6.7 Most (Bridge) Most se přidává do sítě, aby oddělil dvě nebo více skupin počítačů. Tyto skupiny se nazývají segmenty. Pokud signál je vyslán ze zařízení ve stejném segmentu jako zařízení cílové, tak most tento signál již nikam neposílá, protože je zřejmé, že signál muselo cílové zařízení již přijmout, protože se nachází ve stejném segmentu. Most funguje podobně jako přepínač, s rozdílem, že rozhodování provádí softwarově oproti přepínači, který provádí přepínaní hardwarově. Dříve se most používal pro propojení dvou sítí různých standardů. 6.8 Směrovač (Router) Zařízení pracující na třetí vrstvě modelu ISO/OSI. Rozhoduje, kam data pošle na základě síťové adresy cílového zařízení. Pomocí směrovače se oddělují různé sítě. Směrovač si vytváří vlastní směrovací tabulku, ve které je seznam s nejlepšími cestami do okolních sítí. Každému záznamu v tabulce je přidělená metrika ohodnocení jednotlivých cest, pomocí kterých pak směrovač vyhodnocuje kudy má data poslat, hledá nejvýhodnější cestu. Směrovací tabulky si směrovače mezi sebou sdílí pomocí protokolu RIP (Routing Information Protocol), OSPF (Open Shortest Path First) nebo BGP (Border Gateway Protocol). 14

23 6.9 Access Point Přístupový bod neboli Access Point, je síťový prvek, který umožňuje bezdrátový přístup do sítě. Access Point (dále AP) se nejčastěji připojuje ke směrovači. Klienti se k přístupovému bodu přihlašují, tím získají přístup do sítě. Při nárůstu počtu přihlášených uživatelů klesá datová propustnost. Vyšší rychlosti se dosahuje zpravidla směrem ke klientovi. Při ztrátě viditelnosti na přístupový bod se výrazně snižuje maximální možná rychlost přenosu. 7 Bezdrátové sítě O rostoucí popularitě bezdrátových sítí se nedá pochybovat. Díky snadnému připojení a výhodě nemuset pokládat kabely, se stává budování počítačové sítě pomocí bezdrátové technologie stále častější volbou. Bezdrátové sítě nám umožňují pohybovat se nezávisle na položené kabeláži. Bohužel však nemůžeme říci, že bezdrátové počítačové sítě přinášejí jenom usnadnění. Tím, že přenos dat probíhá vzduchem pomocí mikrovln, vzniká riziko nežádaného odposlechu. Proto je nutné, aby při realizaci sítě pomocí bezdrátové technologie byl kladen důraz na zabezpečení. Následující tabulka obsahuje přehled bezdrátových technologií pro LAN Technologi e Spektrum Fyzická vrstva Maximální kapacita Dosah rušení a 5 GHz OFDM 54 Mbit/s 120 m ano b 2,4 GHz DSSS 11Mbit/s 100+ m ano g 2,4 GHz OFDM/DSSS 54 Mbit/s 100 m ano n 2,4 / 5 GHz OFDM 150 Mbit/s 250 m ano ac 5 GHz OFDM 866 Mbit/s 250 m ano TABULKA 4 - PŘEHLED BEZDRÁTOVÝCH SÍTÍ 7.1 Zabezpečení bezdrátových sítí Pokud chceme zabezpečit bezdrátovou síť v co největším rozsahu, musíme dodržovat určitá pravidla, která nám pomůžou síť ochránit. Měli bychom vést seznam všech zařízení, která se bezdrátově připojují do sítě, monitorovat jejich provoz a udržovat všechny MAC adresy pro případnou filtraci. Také bychom měli vzdělávat uživatele sítě, seznámit je s bezpečnostní politikou sítě. To znamená, že uživatele by měli být seznámeni, co je v síti zakázané nebo jak se co používá. Zařízení, která umožňují bezdrátový přístup do sítě, by měla být dobře chráněná, aby se zabránilo odcizení nebo zničení. Dále bychom měli hlídat pokrytí signálu, zamezit vysílaní do míst, která mohou útočníci využít k prolomení. Měli bychom si zvolit 15

24 vhodné zabezpečení pomocí WPA/WPA2. Hesla by měla být zvolená tak, aby se omezily útoky hrubou silou, tedy dostatečné dlouhá a také by se v nich měly objevit alfanumerické znaky, aby se zabránilo prolomení na základě slovníku Zabezpečení pomocí protokolu WEP (Wired Equivalent Privacy) Záměrem protokolu bylo zajistit stejné zabezpečení bezdrátové sítě, jako mají sítě metalické. WEP je navržen jako všeobjímající finální bezpečností řešení pro bezdrátové sítě. (13) Bohužel je protokol znám především díky svým nedostatkům, díky kterým je náchylný na několik druhů útoků. Celý proces začíná textem, který protokol WEP má zašifrovat a ochránit. WEP nejprve ze vstupu (textu) vypočítá CRC, což je cyklický redundantní součet, který slouží pro ověření integrity dat. CRC se poté připojí za přenášenou zprávu. Dále se vezme tajný klíč a připojí se k inicializačnímu vektoru (IV). Kombinací inicializačního vektoru a tajného klíče se předá do generátoru pseudonáhodných čísel RC4 9 (PRNG). Výstupem generátoru bude šifrovací klíč. Jedná se o klíč složený z nul a jedniček, který je stejně dlouhý jako původní zpráva s připojeným kontrolním součtem. Dále se provede logický výhradní součet XOR 10 mezi šifrovacím klíčem a původní zprávou s připojeným CRC součtem. Výsledkem je šifrovaný text, před který se přiloží hodnota inicializačního vektoru. Tento šifrovaný text se poté přenáší. (13) OBRÁZEK 4 - UKÁZKA XOR Jedna věc však zde ještě nebyla vysvětlena a to, jak se vytvoří inicializační vektor IV. Bohužel se dostáváme k prvnímu nedostatku protokolu WEP. V protokolu není specifikováno, jak se má vektor IV generovat. Navíc jelikož se jedná o 24 bitovou hodnotu, 9 RC4 je proudová šifra od společnosti RSA. 10 XOR je dvojková logická operace. Operace XOR je ekvivalentní tvrzení, je to pravda pokud jedna hodnota je jiná než druhá a není to pravda, pokud jsou obě hodnoty stejné (dvě nuly nebo dvě jedničky). Pokud známe dvě z hodnot, tak poté si můžeme odvodit hodnotu třetí. Podstatné je, že když použijeme dvojí operaci XOR, tak dostaneme původní hodnotu. (13) 16

25 tak se často stává, že při vysokých přenosových rychlostech se tento prostor brzy vyčerpá, protože k odeslání každého paketu potřebujeme vygenerovat novou inicializační hodnotu. Při vyčerpání všech kombinací jsme nuceni použít znovu inicializační hodnotu, která již byla použita. Použitím stejného klíče porušujeme nejhlavnější pravidlo pro RC4, zakazující použití stejného klíče opakovaně. Následkem toho vznikají kolize. Skutečnost, že byla použitá víckrát stejná hodnota inicializačního vektoru, vede k oslabení zabezpečení sítě. Díky kolizím, může útočník odposlechnout vektor, protože vektor se posílá nešifrovaný. Jakmile je známa šifrovací sekvence může útočník zjistit hodnotu šifrovacího klíče. (13) Dalším problém je problematika se správou klíče. Protokol využívá sdílený klíč, to znamená, že pro šifrování a dešifrování zprávy se používá stejná hodnota. Uživatelé tento klíč musejí znát, aby spolu mohli komunikovat. Jsou nuceni klíč držet v tajnosti, protože pokud útočník klíč zjistí, například odposlechem relace nebo krádeží notebooku, na kterém je již klíč nastavený, může dojít k prolomení. V protokolu se nachází několik slabých míst, nicméně nelze říci, že by se neměl používat. Pokud nelze v sítí použít zabezpečení pomocí protokolu WPA, tak je dobré využít alespoň protokolu WEP. Při použití WEP se doporučuje pravidelně měnit klíč a tím ztížit jeho rozluštění Zabezpečení pomocí WPA, TKIP a AES Nedostatky, které protokol WEP v sobě obsahuje, přinutil pracovní skupinu IEEE i k vývoji alternativy a proto byla vytvořená nová vylepšená verze, která nesla původně název WEP2. Nakonec se však tvůrci shodli na přejmenování protokolu na WPA (Wi-Fi Protected Access), protože nechtěli, aby byl protokol spojován se svým předchůdcem s uvedenými nedostatky. WPA řeší chyby svého předchůdce díky mechanismům TKIP 11 a 802.1x. TKIP můžeme považovat za dočasnou opravu WEPu, která může být lehce implementovaná v mnoha situacích pouze díky upgradu softwaru či firmwaru zařízení. TKIP pracuje se dvěma klíči. Se 128 bitovým klíčem a 64 bitovým klíčem, 128 bitový klíč se nazývá Temporal Key (TK) a slouží jako klíč šifrovací, druhý klíč se nazývá Message Integrity Code (MIC). AES je symetrický algoritmus šifrování se sdíleným klíčem. Klíč slouží pro šifrování i dešifrování dat, může mít délku 128, 196 nebo 256 bitů. Data se při použití algoritmu AES 11 TKIP (Temporal Key Integrity Protocol) 17

26 rozdělí na bloky pevné délky. AES je používané například pro bezdrátové sítě Wi-Fi v rámci zabezpečení WPA2. (14) Filtrovaní MAC adres Velice triviální zabezpečení, které se dá velice snadno obejít. Na zařízení, ke kterému se počítače v síti připojují se vyplní seznam všech MAC adres počítačů, které k síti budou mít přístup. Zařízení, které bude mít jinou MAC adresu, nebude mít povolení připojit se do sítě. Problém zabezpečení pomocí filtrování MAC adres je, že lze MAC adresu softwarově podvrhnout. Stačí odposlechnout MAC adresu autorizovaného počítače a poté využít tuto adresu pro přístup k síti Skrytí SSID Další možností jak zabezpečit bezdrátovou síť je skrytí SSID. Bohužel se však SSID posílá nešifrované a tak není problém ho také odposlechnout. Útočníci při zjištění SSID často používají postup, že se snaží odpojit uživatele od sítě pomocí deautentizačního útoku. Poté se snaží při opětovném připojování uživatelů odposlechnout SSID sítě. 7.2 Typy útoků na bezdrátové sítě Falšování identity (address spoofing) - Během tohoto útoku se snaží útočník vydávat za zařízení, které má povolený přístup do sítě. Nejčastěji se snaží útočník odposlechnout fyzickou MAC adresu zařízení, kterou poté využije a nechá si přidělit IP adresa od serveru DHCP. Nebezpečí tohoto útoku je, že se útočník může dostat k citlivým informacím o ostatních uživatelích v síti. Man-in-the-middle - Útočník se snaží vydávat za důvěryhodný spoj, na který se uživatel připojí s iluzí, že se jedná o bezpečný přístupový bod k síti. Po připojení začne útočník odposlouchávat komunikaci. (15) Odmítnutí služby DoS (Denial of Service) - Smyslem tohoto typu útoku je znepřístupnění některých vybraných síťových služeb. Nejčastěji se tyto útoky provádějí pomocí zahlcení serverů mnoha dotazy, které server nedokáže zpracovat. Existuje mnoho cílů, na které lze provést útok. Ty nejjednodušší útoky bývají zpravidla na nejnižší vrstvy síťového modelu. Často bývají útoky provedeny z více míst, těmto útokům se říká DDoS (Distributed Denial of Service). (16) 18

27 7.3 Výkon bezdrátové sítě Dosah Wi-Fi záleží v podstatě na jediné věci a to na úrovni signálu, který je vysílán. Při cestě může signál, klesnout na úroveň, kdy už ho přijímač nedokáže zpracovat. Český telekomunikační úřad reguluje maximální hodnotu úrovně signálu, kterou může zařízení vysílat na +17 dbm pro systémy s rozšířeným spektrem dle generální licence č. GL- 12/R/ Při úbytku signálu mluvíme o útlumu, přírůstek signálu se nazývá zisk. Většina antén, které mají nějaký zisk bývá směrová. Můžeme se setkat i se všesměrovou anténou, která má zisk, avšak její vyzařovací diagram je rovina nejčastěji umístěná vodorovně. Celkový útlum signálu nebo přírůstkem signálu se vyjadřuje vzorcem uvedeným níže. (17) ( ) ( ) V tabulce je uveden útlum signálu v pásmu 2,4 GHz s přímou viditelností pro některé typické vzdálenosti. Útlum Vzdálenost -74 db 50 m -80 db 100 m -86 db 200 m -94 db 500 m TABULKA 5 - UKÁZKA ÚTLUMU SIGNÁLU V PÁSMU 2,4 GHZ 8 Síťové služby 8.1 DNS Komunikace na internetu probíhá pomocí IP adres. Tyto adresy se však těžko zapamatovávají a tak se začaly používat domény pro snadnější orientaci. Služba DNS (Domain Name System) vede seznam IP adres, pro které bylo vytvořené doménové jméno, zároveň zajišťuje zpětný překlad IP adresy na doménové jméno. Záznamům se říká DNS věty. Jednotlivé databáze těchto seznamů jsou vedené na jmenných serverech (Domain Servers). Počítače mají ve svém síťovém rozhraní přednastavený lokální DNS server. 12 Celé znění licence se nachází na adrese 12R2000_ pdf 19

28 DNS server může plnit jednu z uvedených rolí: Primární - zde vznikají nebo se upravují záznamy, každá doména má jeden primární server Sekundární - kopie primárního serveru, slouží jako záloha Pomocný (Caching Only) server - využívá se pro snížení zátěže systému V DNS servery existuje několik důležitých záznamů SOA (Start Of Authority) určuje jmenný server domény Záznam typu A Tyto záznamy přiřazují doménové jméno prvkům na dané IP adrese, pro IPv6 se používají záznamy AAAA CNAME záznam Pomocí CNAME záznamů se k adresám nastavují další synonyma - aliasy. PTR záznam - Speciální typ záznamu pro reverzní zóny, zajišťuje překlad IP na doménové jméno. Existují i další záznamy, například NX, MX, TXT SPF nebo SRV Jako nástroj pro kontrolu záznamů se nejčastěji používá nslookup. Program bývá součástí Windows i unixových systémů. (18) 8.2 DHCP Služba DHCP (Dynamic Host Configuration Protocol) slouží pro automatické nastavení síťové konfigurace počítačů zapojených do sítě. Základním účelem je jednotlivým zařízením přidělit platnou IP adresu, masku sítě a DNS server. Platnost přidělených údajů je omezená a po uplynutí přidělené doby zařízení musí opět požádat DHCP o aktualizaci. Může se stát, že zařízení dostane jinou IP adresu, než měl původně. Klient komunikuje na portu 68 a server na portu 67. Na DHCP serveru lze nastavit, aby vybraná zařízení dostávala stále stejnou IP adresu. Této adrese se říká rezervovaná. 9 Popis současného stavu sítě Praktická část bakalářské práce je věnována realizaci malé domácí sítě a jejímu zabezpečení. Místo, kde bude síť realizována, se nachází ve Lhotě, ve vesnici kousek od Staré Boleslavi. Jedná se o síť typu LAN mezi dvěma domy, propojené pomocí bezdrátové technologie. V síti jsou nyní zapojeny 4 notebooky, 2 stolní PC, 5 chytrých telefonů, 1 tiskárna a 1 tablet. 20

29 Propojení domů pomocí kabelů by bylo bezpečnější a zároveň stabilnější, bohužel však vnější podmínky ztížily propojení tohoto typu a tak jsem se rozhodl pro využití bezdrátové technologie. Při rozhodování jaké frekvenční pásmo zvolit, zda 2,4GHz nebo 5GHz jsem se rozhodl pro pásmo 5 GHz, které je méně náchylné na rušení ostatními sítěmi, díky existenci více kanálů a také z důvodu nízkého počtu okolních bezdrátových sítí, které pracují na stejné frekvenci. Zároveň také 5 GHz pásmo přenáší data rychleji. Nevýhodou 5GHz bezdrátové sítě je horší překonávání překážek, díky krátké vlnové délce signálu. Stanice na sebe mají přímou viditelnost a tak není žádný důvod 5 GHz pásmo nevyužít. 9.1 Požadavky na vybudování sítě Po rekonstrukci domu č. 2 je třeba tento dům propojit do LAN a umožnit uživatelům přístup na internet. Uživatelé v síti budou mít k dispozici přístup ke sdílené tiskárně. K síti se bude možné připojit bezdrátově v obou objektech. Síť bude zabezpečena proti útokům zvenčí. Dále je potřeba pokrýt bezdrátovým signálem pergolu, která se nachází za domem č. 1. Bude využitá veřejná IP adresa ke spuštění webového serveru Apache s implementovaným databázovým systémem MySQL. Také bude pro síť zakoupena doména nepomucky.net. 9.2 Situace Na pozemku se nachází několik objektů, včetně dalších budov, které zatím nemusejí mít přístup do lokální sítě či přístupu na internet. Stanice, které zajišťují bezdrátové spojení, jsou od sebe vzdáleny 90m. V domě č. 1 je stanice umístěná pod střechou, stanice v domě č. 2 je umístěná na střeše vedle televizní antény. Stanice mezi sebou nemají žádnou překážku, která by zhoršila kvalitu vysílaného signálu. Níže uvedený obrázek popisuje pohled na pozemek včetně ostatních budov (označení B) a objektů (označení O). Za domem č. 1 se nachází pergola, která bude pokryta signálem. OBRÁZEK 5 - SOUČASNÝ POPIS SITUACE OKOLÍ 21

30 Schéma rozmístění síťových prvků je zobrazeno na obrázku č. 2. V domě č. 1 se nachází klíčové prvky sítě a zároveň je v tomto domě přípojka k internetu. Na počítači (PC1) je spuštěn HTTP server Apache s databázovým systémem MySQL a FTP serverem FileZilla. Druhý dům je do sítě připojen za účelem sdílení internetu, přístupu ke sdíleným složkám, přístupu k síťové tiskárně a síťovým službám. Síť není dělená na další podsítě. 9.3 Připojení k internetu OBRÁZEK 6 - SCHÉMA SÍTĚ Síť je připojená k internetu prostřednictvím technologie ADSL. Poskytovatel připojení je společnost Telefónica O2, stávající rychlost připojení je od 4 do 5 Mbit/s. Rychlost odesílání je 324 kbit/s. Uvedená rychlost je v současné době podprůměrná 13, alternativní poskytovatelé internetu pro vybranou lokalitu nabízí připojení pouze pomocí bezdrátové technologie s maximální rychlostí 10 Mbit, tato rychlost však není garantována a proto tento typ připojení nesplňuje požadavky pro síť s garantovanou rychlostí bez častých výpadků. Vyšší váhu jsem při výběru poskytovatele dal na spolehlivost před rychlostí. 9.4 Aktivní prvky Síť se skládá z několika aktivních prvků. Celkem je v síti zapojeno 6 zařízení, které obstarává síťovou komunikaci. Hlavní prvek je směrovač Zyxel P-660HN-T3A, ve kterém je integrován ADSL modem pro připojení k internetu. Dále se v síti nachází router Zyxel NBG-419N, dvě zařízení Ubiquiti NanoStation M5, které zajišťují bezdrátové spojení mezi domy a Ubiquiti 13 Již v roce 2013 byla průměrná rychlost internetu v České republice 9.6 Mbit/s (23) 22

31 NanoStation M2. Tato stanice zajišťuje pokrytí signálem v pergole za domem č. 1. V druhém domě se nachází router D-Link Dir-600, který je použit jako Access Point Kabeláž Pro síť je třeba rozvést v domu č.1 105m strukturované kabeláže. V tabulce č. 6 je uvedeno na co jaké kabely slouží a jaká je jejich délka. Rozhodl jsem se zakoupit balení kroucené dvojlinky 305m dlouhého kabelu od firmy Solarix 14. Zbylý kabel použiji k případným dalším budoucím rozvodům. Jednotlivé kabely si připravím pro síť sám. Výrobce udává životnost kabelu až 30 let, usoudil jsem tedy, že se jedná o kvalitní výrobek. Kabel spadá do kategorie CAT5E a podporuje protokol 1000BaseT, díky uvedeným vlastnostem je kabel vhodný pro vysokorychlostní síť pracující s rychlostí až 1Gbit. V druhém domě byla strukturovaná kabeláž vybudována již během výstavby. V každé místnosti je k dispozici několik zásuvek pro síťové připojení pomocní konektoru RJ-45. Typ kabelu je zde použit stejný jako v domě číslo jedna a to kroucená dvojlinka kategorie 5e s podporovaným protokolem 1000BaseT. Připojená komponenta ZyXel NBG-N19 Ubiquiti NanoStation M5 v domě č. 1 Ubiquiti NanoStation M2 v domě č. 1 Ubiquiti NanoStation M5 v domě č. 2 Ostatní 15 Délka kabelu 20m 10m 30m 15m 30m TABULKA 6 - PŘÍPRAVA KABELÁŽE Router Zyxel P-660HN-T3A16 Pomocí tohoto směrovače je síť připojená k internetu díky vestavěnému ADSL modemu (Annex B). Nastavení směrovače je pomocí jednoduchého webového rozhraní. Konfigurace spojení s poskytovatelem internetu se provádí pomocí automatické synchronizace dle normy TR-069, to znamená, že se zařízení automaticky vzdáleně nakonfiguruje. Směrovač si umí poradit s útoky typu DDOS, LAND a ping smrti. V zařízení je také zabudovaný firewall a možnost zapnout funkci SPI (Stateful packet inspection) neboli stavovou kontrolu paketů. Funkce SPI pouští do sítě pouze pakety, které jsou odpovědí na pakety pocházející z místní sítě. Také je na směrovači zapnutá funkce NAT, která zajišťuje překlad adres. Zařízení dále podporuje nastavení QoS (Quality of service) a díky tomu nastavovat priority pro klíčové 14 Bližší informace o výrobku jsou na adrese 15 Kabely pro připojení tiskáren a koncových zařízení a také kabely pro napájení Ubiquiti stanic pomocí PoE 16 Kompletní manuál k zařízení je na adrese 23

32 služby sítě a tím zvýšit efektivitu sítě. Na zadní straně směrovač jsou 4 porty určené pro LAN s rychlostí 10/100 Mbit a jeden port pro DSL linku, přes kterou se směrovač připojuje pomocí vestavěného modemu k internetu. Bezdrátová síť může být zabezpečená pomocí WEP, WPA a WPA2 s PSK, díky slabému pokrytí a horší anténě je však na zařízení vypnuté vysílání bezdrátové sítě. Podporované standardy pro bezdrátovou síťovou komunikaci jsou IEEE b/g/n. OBRÁZEK 7 ROUTER ROUTER ZYXEL P-660HN-T3A, ZDROJ: (19) Ubiquiti NanoStation Loco M5 Venkovní jednotka pracující v pásmu 5 GHz, propojující domy do místní sítě. Stanice v sobě má integrované 2 sektorové MIMO antény se ziskem 13dBi, jejich vyřazovací úhel je 45 stupňů vertikálně i horizontálně. Zařízení je napájené pomocí PoE (Power over Ethernet) a spravuje se pomocí webového administračního rozhraní. Maximální teoretická přenosová rychlost je 300 Mbps oběma směry (150 Mbps stahovaní, 150 Mbps odesílání) s velmi nízkou latencí. Lze přepínat mezi režimy AP s WDS, klient nebo bridge. Zařízení dokáže pracovat na bezdrátových standardech IEEE a/n. 24

33 OBRÁZEK 8 - NANOSTATION LOCO M Ubiquiti NanoStation Loco M2 Identické zařízení jako NanoStation Loco M5 s rozdílem, že zařízení pracuje na 2,4 GHz, má vyšší vyzařovací úhel 60 stupňů. Stanice byla zakoupena k pokrytí venkovní pergoly, kde se k zařízení budou připojovat notebooky, chytré telefony nebo tablety a proto je vhodné použití stanice, která pracuje na 2,4 GHz frekvenci Zyxel NBG-419N Směrovač byl zakoupen za účelem pokrýt bezdrátovým signálem místnosti v domě č. 1 a zároveň se ke směrovači připojilo pomocí kroucené dvojlinky PC1 v místnosti M1 a všechny nanostanice umístěné na domě č. 1. Podporované standardy bezdrátové komunikace jsou stejné jako předchozího směrovače a to IEEE b/g/n. Zařízení pro bezdrátovou komunikaci využívá dvojici odpojitelných antén se ziskem 2dBi. Na zadní straně jsou k dispozici 4x 10/100 Mbps porty pro konektory RJ-45. Příkon zařízení je 8.5 W D-Link DIR-600 Jednoduchý síťový směrovač, který byl zakoupen za účelem pokrytí bezdrátového signálu v domě č. 2. Výrobce udává rychlost bezdrátového přenosu až 150Mbps, směrovač také zvládá stejné zabezpečení jako Zyxel v domě č. 1. Na zadní straně směrovače jsou 4x LAN 100Mbps porty určené pro připojení strukturované kabeláže, konkrétně konektorů RJ-45, které se nacházejí v místnostech v domě č. 2. Podporované standardy pro bezdrátovou komunikaci jsou IEEE b/g/n. V zařízení je zabudována anténa se ziskem 5 dbi. 25

34 OBRÁZEK 9 - ROUTER DLINK DIR-600, ZDROJ: AUTOR Ostatní zařízení V síti uživatelé stolních počítačů a notebooků používají nejčastěji operační systém Windows ve verzích vista (32 bit), 7 (32bit i 64), 8.1 (64bit). V ostatních zařízení, jako jsou chytré telefony a tablety se používá systém Android v různých verzích a také je zde zastoupen i operační systém ios. V domě č. 1 je do sítě zapojená tiskárna, tiskárna je zapojená pomocí kabelu k směrovači Zyxel P-660HN pomocí kabelu (RJ-45). Druhá tiskárna se plánuje v blízké budoucnosti připojit v domě č. 2 ke směrovači D-Link 600, prozatím však v síti je funkční pouze tiskárna HP OfficeJet 6500A v prvním domě. OBRÁZEK 10 - HP OFFICEJET 6500A, ZDROJ 9.5 Celkové náklady na vybudování sítě Při vybírání aktivních prvků jsem kladl silný důraz na zachování cenové hladiny, která by měla být pro rodiny s průměrnými příjmy přijatelná, to znamená, že většina komponent patří do levnější kategorie určené po menší domácí sítě. Snažil jsem se z části zahrnout i funkčnost u některých aktivních prvků, to znamená, že při výběru byly zahrnuté i podporované technologie. Využil jsem pevné veřejné IP adresy, která je přidělena od poskytovatele internetu a zakoupil doménu od společnosti active24. Doménové jméno bylo zakoupeno pro snadnější přístup do sítě z internetu. 26

35 Název aktivního prvku Zyxel P-660HN-T3A Ubiquiti NanoStation Loco M5 2x Ubiquiti NanoStation Loco M2 Zyxel NBG-419N D-Link DIR-600 HP OfficeJet 6500A 305m UTP Solarix Konektory a kryty pro kabely Doména nepomucky.net Cena celkem TABULKA 7- CELKOVÉ NÁKLADY Cena Kč Kč Kč Kč 600 Kč Kč Kč 500 Kč 250 Kč Kč 10 Nastavení sítě Kapitola obsahuje popis konfigurace a umístění jednotlivých zařízení v síti, včetně zprovoznění síťových služeb. Většina obrázků, na které je zachycená konfigurace prvků, je přiložená v příloze Síťová adresace Na směrovači Zyxel P-660HN-T3A je spuštěný DHCP server, který přiděluje adresy jednotlivým zařízením v síti. Pro uživatelé sítě jsou vyhrazeny adresy v rozsahu až Ostatní prvky, které jsou použity pro konfiguraci sítě, mají rezervovanou IP adresu v uvedeném rozsahu. Při rozhodování, kde využít pevnou IP adresu a kde zvolit adresu dynamickou jsem se rozhodoval dle využití síťového prvku. Pro zařízení důležité pro chod celé sítě a prvky, které se musí častěji kontrolovat, jsem zvolil adresu pevnou, která usnadní jejich správu. Pro stolní počítač (PC1) musí existovat pevná adresa, protože na počítači se nacházejí některé síťové služby. 27

36 Zařízení IP adresa Typ IP adresy Zyxel P-660HN-T3A Pevná Zyxel NBG-N Pevná Ubiquiti NanoStation Loco M5 (dům č. 1) Pevná Ubiquiti NanoStation Loco M5 (dům č. 2) Pevná Ubiquiti NanoStation Loco M2 (dům č. 1) X Dynamická PC Pevná Tiskárna HP 6500A Pevná D-Link DIR-600 X Dynamická Ostatní zařízení X Dynamická Maska sítě TABULKA 8 - IP ADRESY PRO ZAŘÍZENÍ V SÍTI Nastavení domény je velice jednoduché díky webovému rozhraní společnosti, kde byla doména zakoupena. Stačilo se jen přihlásit a změnit A záznam vložením IP adresy od poskytovatele internetu Nastavení síťových prvků OBRÁZEK 11 - ZMĚNA DNS ZÁZNAMU PRO DOMÉNU Pro správný chod sítě bylo nutné jednotlivé aktivní prvky správně nakonfigurovat. Konfigurace probíhala ve většině případů pomocí webového administračního rozhraní, pomocí kterého lze zařízení spravovat. Všem zařízení byla provedena aktualizace firmwaru, kvůli prevenci chyb způsobených na straně zařízení Zyxel P-660HN-T3A Směrovač podporuje automatickou synchronizaci, proto jej není nutné nastavovat pro připojení k internetu. Vysílání bezdrátové sítě je na zařízení vypnuté, jelikož se směrovač nachází v suterénu, které nemusí být signálem pokryté. Protože se jedná o zařízení, které spojuje místní síť k internetu, tak je zde zapnutý firewall. Na směrovači je nastavený DHCP server, který přiděluje adresy jednotlivým zařízením v síti s platností adresy na 3 dny. Také je zde zapnutá funkce přesměrování portů, která přeposílá komunikaci na portech (80, 21, 3306, 443) na IP adresu (PC1), na které běží služby obsluhující tento typ komunikace. 28

37 Na směrovači byla také povolená komunikace na portu 161 pro službu SNMP (Simple Network Management Protocol). Pomocí uvedené služby je možné monitorovat provoz sítě prostřednictvím zařízení, na kterém služba běží. Díky protokolu lze analyzovat data, vytížení nebo výpadky sítě. Protokol funguje na modelu klient/server, což znamená, že v našem případě směrovač, na kterém služba běží, slouží jako server, klient (PC1) poté klade dotazy serveru, tyto data lze pak analyzovat. (20) Zyxel NBG-419N Zařízení bylo přepnuto do módu Access Point a také bylo nakonfigurované vysílání bezdrátové sítě s SSID nepomucky_d1 se zabezpečením WPA2-PSK. Kanál, na kterém bude bezdrátová síť pracovat, byl nastaven na 10 (2457 MHz), který nebyl zatížen bezdrátovými sítěmi v okolí a tak nebude docházet k rušení. Na routeru byla provedena výměna vysílacích antén za TP-LINK TL-ANT2408CL se ziskem 8 dbi, výměna antén byla provedena z důvodu zvýšení kvality signálu v domě č. 1. Také byla provedená aktualizace firmwaru na verzi V1.00(BFQ.7)C Ubiquiti NanoStation Loco M5 - Dům č. 1 Stanice pojmenovaná NanoStation-D1 je nastavená jako Access Point s WDS (Wireless Distribution System - jedná se mód, při kterém AP vysílají na stejném kanálu a jeví se klientům jako jedna síť). Stanice pracuje v mixovaném módu IEEE a/n s šířkou pásma 40 MHz, v okolí nejsou bezdrátové sítě, které by zasahovaly do tohoto pásma, proto jsem nechal nastavené takto široké pásmo. Zařízení si frekvenci, na které probíhá komunikace, reguluje automaticky. SSID, pod kterém zařízení vysílá je nepomucky_host, zebezpečení bezdrátové sítě je zajištěné pomocí WPA2-AES s PSK. Pro zajištění vyšší bezpečnosti před připojením nežádoucího klienta byla na zařízení zapnutá funkce airmax 17, která dovoluje připojení na zařízení jen ze zařízení, která tuto technologii podporuje, navíc také znatelně vylepšuje výkon stanice díky rychlejší odezvě. V zařízení byl aktualizovaný firmware na verzi Zařízení má rezervovanou IP adresu od serveru DHCP a to Ubiquiti NanoStation Loco M5 - Dům č. 2 Pro napojení na nanostanici v domě č. 1 je třeba přepnout stanici do módu station (Wireless Distribution System - jedná se mód, při kterém AP vysílají na stejném kanálu a jeví se klientům jako jedna síť). Stanici byla zapnutá také zapnutá funkce WDS. Při módu station se stanice uzamkne k vybrané síti a pokaždé když je síť k dispozici, tak se na ní pokouší připojit. 17 Více informací o funkci jsou na internetové adrese 29

38 Pro připojení k stanici na domě č. 1 je třeba vyplnit pouze heslo k síti. Název zařízení v síti je NanoStation-D2 a od DHCP má rezervovanou IP adresu Pro zařízení byl také proveden upgrade firmwaru na verzi OBRÁZEK 12 - NASTAVENÍ NANOSTANICE V DOMĚ Č Ubiquiti NanoStation Loco M2 - Dům č. 1 Pro pokrytí bezdrátovým signálem pergolu za domem č. 1 bylo třeba vhodně umístit NanoStanici M2. Stanice byla proto umístěná na zadní stěnu domu č. 1. Zařízení pracuje jako AP v mixovaném módu IEEE b/g/n s šířkou pásma 20 MHz, vyšší šířka pásma není podporována pro většinu zařízení, které se k AP budou připojovat (chytré telefony, notebooky). Kanál, na kterém stanice pracuje je 6 (2437 MHz). V okolí se nachází mnoho bezdrátových sítí a proto bylo nutné zvolit pro stanici vhodný kanál. Název stanice v síti je NanoStation-Pergola a od DHCP je stanici přidělená dynamická adresa D-Link DIR-600 Nastavení zařízení je velice jednoduché, zařízení se pouze přepne do módu AP, poté se už jen nastaví bezdrátová síť pro dům č. 2. SSID je nepomucky_d2. Mód pro bezdrátové vysílání je mixovaný IEEE n/b/g s šířkou pásma, která se automaticky přepíná mezi 20/40 MHz, kanál na kterém probíhá komunikace je 11 (2463 MHz), zabezpečení sítě je pomocí WPA2- PSK, bylo třeba také vybrat volný pracovní kanál kvůli ostatním bezdrátovým sítím v okolí. Zařízení je v sítí pojmenované dlinkrouter a je mu přidělená dynamická IP adresa. 30

39 OBRÁZEK 13 - NASTAVENÍ ROUTERU D-LINK DIR-600 OBRÁZEK 14- VÝBĚR VHODNÉHO KANÁLU POMOCÍ PROGRAMU INSSIDER Tiskárna HP 6500A Konfigurace tiskárny je velice snadná, stačí připojit tiskárnu ke směrovači. V mém případě to bylo k Zyxelu P-660HN-T3A. Tiskárně server DHCP přidělí rezervovanou IP adresu ( ) a poté je již k dispozici v síti. Tiskárně bylo nastavené síťové jméno HPtiskarna-D1. Pro přístup k tiskárně je třeba na každém zařízení, které chce využívat tiskárnu, nainstalovat ovladače. OBRÁZEK 15 - INSTALACE OVLADAČE TISKÁNY POMOCÍ WINDOWS 31

40 10.3 Síťové služby Na počítači PC1 je nainstalovaný XAMPP verze Jedná se o softwarový balíček, který obsahuje webový server Apache, skriptovací jazyk na straně serveru PHP, databázový systém MySQL a FTP server FileZilla. Pro síťové služby byl vytvořen nový oddíl na disku, který bude sloužit pro síťové služby, důvodem je zvýšení bezpečnosti. Jedná se o nejpoužívanější aplikace pro zobrazování dynamických webových stránek. XAMPP je nainstalovaný na PC1, které má rezervovanou IP adresu Na tuto adresu je přesměrována komunikace pomocí funkce Port forwarding z hlavního směrovače, který řídí celou síť. Pro síťové služby bylo využito veřejné IP adresy, pro kterou byla zakoupena doména nepomucky.net 18. OBRÁZEK 16- NASTAVENÍ PŘESMĚROVÁNÍ PORTŮ NA ROUTERU P-660HN-T3A XAMPP se ovládá pomocí jednoduchého kontrolního panelu, díky kterému můžeme jednotlivé služby zapnout/vypnout nebo konfigurovat. Na obrázku níže je zachycen úryvek souboru access.log. Soubor obsahuje informace o uživatelích, kteří přistupovali k webovému serveru z internetu. OBRÁZEK 17 - SOUBOR ACCESS.LOG 18 Doména byla zakoupena od společnosti Active24 s platností jeden rok za 240 Kč včetně DPH 32

41 OBRÁZEK 18 - TEST PORTŮ POMOCÍ APLIKACE WEBOVÉ PENTEST-TOOLS.COM 10.4 Nastavení sdílené složky Na každém počítači byl vytvořen nový logický oddíl se sdílenou složkou. Přistupovat ke složkám, lze pomocí speciálního účtu, který byl na jednotlivých počítačích vytvořený. TABULKA 9 - ZAŘÍZENÍ V SÍTI VE WINDOWS 33

42 OBRÁZEK 19 - SCHÉMA ŘÍDÍCÍCH PRVKŮ SÍTĚ 11 Testování sítě Po vybudování a nastavení sítě jsem provedl její analýzu pomocí programů pro správu a sledování sítě. V následující kapitole je popis programů, které byly pro sběr a vyhodnocení dat použity, včetně analýzy nasbíraných dat Programy pro sledování sítě Pro zkoumání sítě jsem použil několik programů, díky kterým jsem otestoval, zda síť funguje dle předpokladu. Některé aplikace jsou k dispozici ke stažení zdarma, u ostatních jsem využil zkušební doby inssider Home Program je určený pro zobrazení okolních bezdrátových sítí, v programu je vidět na jakém kanálu daná síť pracuje. Také je u sítí zobrazována kvalita a síla signálu včetně ostatních informací jako je typ zabezpečení, maximální rychlost, použitý standard, MAC adresa vysílače. InSSIDer jsem využil při nastavování vhodného kanálu pro vysílání bezdrátové sítě a pro prozkoumání okolních sítí v objektu. 34

43 LAN Speed Test Jednoduchý a přehledný program určený pro testování rychlosti místní sítě. V programu se dá nastavit velikost vysílaného souboru na testované zařízení, včetně počtu opakování. Program posílá na vybrané zařízení data v několika cyklech dle nastavení, zapsaná data poté zkouší přečíst a poté vypíše zprávu o naměřené rychlosti. Program také umí prozkoumat celou síť a zobrazit připojené zařízení včetně jejich MAC adres. Program jsem použil pro testování rychlosti sítě, nejvíce jsem se soustředil na zmapování rychlosti mezi domy, kde mě zajímala maximální dosažitelná rychlost. OBRÁZEK 20- TEST RYCHLOSTI PŘENOSU POMOCÍ PROGRAMU LAN-SPEED TEST PRTG Network Monitor Pro sledování sítě je k dispozici mnoho nástrojů, avšak žádný z nich není tak robustní a jednoduchý na užívání jako je PRTG Network Monitor. S programem lze prakticky sledovat a analyzovat celé dění v síti. Program je k dispozici i v edici Free, která je omezená počtem 10 sond umístěných v síti. Program jsem použil pro monitorování zařízení ZyXEL P-660HN-T3A, přes které síť komunikuje s internetem. Pro synchronizaci se zařízením bylo zapotřebí na směrovači povolit službu SNMP, program pak může zařízení monitorovat. 35

44 OBRÁZEK 21 - UKÁZKA PROGRAMU PRTG NETWORK MONITOR Ostatní online nástroje K dispozici pro testování sítě jsou i nástroje dostupné volně na internetu, já jsem použil Ping.eu, Network-Tools.com a Pentest-tools.com. Pomocí uvedeným aplikací jsem testoval, zda je doména nepomucky.net nastavená správně na veřejnou IP adresu od poskytovatele internetu. Také jsem testoval, zda mám otevřené porty pro síťové služby Wi-Fi pokrytí OBRÁZEK 22 - UKÁZKA VYUŽITÍ ONLINE NÁSTROJŮ K měření kvality signálu v bezdrátové sítě jsem použil program HeatMapper 19, který slouží pro mapování pokrytí signálem vysílaným okolními zařízeními. Do programu lze vložit mapu místa, kde chceme signál měřit a poté se už jen chodí se zařízením, kterým přijímáme signál. Program nám následně zakresluje kvalitu signálu do mapy. Všechna měření byla 19 Program je volně dostupný na adrese 36

45 provedena pomocí notebooku Lenovo EDGE E541, který obsahuje integrovanou síťovou kartu se dvěma anténami se ziskem 2 dbi, podporující standardy b/g/n. V domě č. 1 je pouze jedno zařízení, které vysílá rádiové vlny pro bezdrátovou síť s SSID nepomucky_d1 jedná se o Zyxel NBG-N19. Dům je relativně velký, rozměry jsou 16m na délku a 11m na šířku. Navíc má poměrně silné příčky z cihel (nejsilnější zdi až 30cm), signál se tedy do okolí šiří velmi obtížně. Zařízení je umístěné v přízemí v místnosti M1. Na mapě je vidět, že nejsilnější signál je v okolních místnostech M2, M3 a M4. Tyto místnosti jsou od sebe odděleny poměrně slabými zdmi. Z obrázku je patrné, že po překonání širší zdi dochází k útlumu signálu. Místnosti, které by měly být signálem pokryté, jsou M1-M4, v ostatních místnostech je přístup k bezdrátové síti prozatím zbytečný, protože se jedná o místnosti, které nemusejí mít přístup k síti, avšak i přesto se k síti v těchto místnostech dá připojit se sníženou rychlostí. Vyzkoušel jsem vyměnit obě antény na směrovači za papírově lepší antény TP-LINK TL- ANT2408CL. Tyto antény měly mít o 5 dbi lepší zisk než původní. Nicméně se toto opatření na kvalitě neprojevilo. V budoucnu se však uvažuje o pokrytí místnosti M7. Řešením bude přesunutí směrovače blíže ke středu domu při budoucí rekonstrukci místností nebo přidání dalšího AP na druhou stranu domu. 37

46 OBRÁZEK 23 - POKRYTÍ WI-FI V DOMĚ Č. 1 Rozměry domu č. 2 jsou 10m na délku a 6m na šířku. Dům je oproti prvnímu domu o dost menší, bez silných zdí či jiných překážek, které by tlumily sílu signálu a proto je zařízení D- Link DIR-600 schopné většinu plochy pokrýt, přestože v sobě má zabudovanou pouze jednu anténu o zisku 5 dbi. Signál je všude velmi silný, kromě jedné místnosti, kde je signál menší a to v koupelně M2. 38

47 OBRÁZEK 24 - WI-FI POKRYTÍ V DOMĚ Č. 2 Další měření jsem provedl venku mezi domy, kde jsem zkoumal signál vysílaný zařízením Ubiquiti NanoStation M5 z domu č. 1. Původně jsem chtěl podrobně prozkoumat signál na celém pozemku, bohužel jsem musel z původního plánu trochu ustoupit, jelikož program HeatMapper dokázal zachovat pouze menší počet naměřených bodů, než jsem potřeboval pro důkladné měření celého pozemku. Musel jsem tedy počet bodů omezit, to mělo za následek hrubší výsledek, než jaký jsem si původně představoval. Nicméně je z obrázku patrné, že k většímu útlumu signálu dochází za stodolou, také si můžeme všimnout, že po překonání cca. 70 m signál slábne i přestože se žádná překážka nevyskytuje směrem k domu č. 2. Dle mého názoru je důvodem projevující nízký zisk zabudované antény v notebooku, která má na tuto vzdálenost již problém signál správně přijímat, protože při zobrazení kvality signálu pomocí webového rozhraní na stanici ve druhém domě se zobrazila hodnota -40dBm, která značí vysokou sílu signálu. Velký vliv na kvalitu signálu má také správné nasměrování antény. Myslím si, že signál půjde ještě vylepšit nalezením správného směru. 39

48 OBRÁZEK 25 - WIFI POKRYTÍ MEZI DOMY MĚŘENÉ POMOCÍ NOTEBOOKU OBRÁZEK 26 - KVALITA PŘIJÍMANÉHO SIGNÁLU V DOMĚ Č. 2 Nanostanice M2, která je umístěná na zadní straně prvního domu, pokrývá signálem celý prostor bez slepých míst. Vysílač byl umístěn na zdi, signálu nestojí v cestě žádná překážka, takže nedochází k velkému útlumu signálu. Pro lepší zabezpečení sítě bude výkon vysílače snížen, aby nedocházelo zbytečně k vysílání mimo pozemek. 40

49 OBRÁZEK 27 - POKRYTÍ PERGOLY 11.3 Rychlost sítě OBRÁZEK 28 - SNÍŽENÍ VÝKONU STANICE M2 Po nastavení sítě mě velice zajímalo, jaká reálná rychlost bude mezi domy při použití bezdrátových stanic pracujících v pásmu 5 GHz. Výrobce udává teoretickou rychlost 300 Mbps oběma směry, nicméně je zřejmě, že reálná rychlost bude podstatně menší, jak už to u bezdrátové technologie bývá. Měření jsem provedl pomocí funkce test rychlosti v administračním rozhraní stanice. Funkce otestuje rychlost stanic. Test lze provádět v různých režimech (duplex, half-duplex). Obrázek zachycuje reálnou rychlost při duplexním přenosu (vysílání oběma směry zároveň). Z obrázku je patrné, že oněch 300Mbps je opravdu pouze teoretické, test byl proveden při kvalitě signálu 100% a útlumem -43 dbm. OBRÁZEK 29 - TEST RYCHLOSTI MEZI DOMY 41

50 OBRÁZEK 30 - TESOVÁNÍ ODEZVY MEZI NANOSTANICI M2 NA DOMĚ Č. 1 A NANOSTANICÍ M5 NA DOMĚ Č. 2 Bohužel, díky skutečnosti, že se v místní síti nacházejí aktivní prvky, které dokážou na svých LAN portech komunikovat pouze rychlostí 100 Mbps bude rychlost stanic při použití duplexního vysílání nevyužitá. To vede k úsměvnému zjištění, že bezdrátová síť je v tomto případě rychlejší než kabel. Provedl jsem také klasické kopírování velkého souboru (1,5 GB) v programu Total Commander z PC1, které se nachází v domě č. 1 do notebooku připojeného v domě č. 2 pomocí kroucené dvojlinky. Data putovala mezi domy pomocí bezdrátového spojení. Zajímalo mě tedy, zda dojde mezi stanicemi ke ztrátě rychlosti. Na sítí neprobíhalo během testu žádné jiné vysílání. Pokud by nedocházelo k žádným ztrátám, tak by teoretická rychlost měla být 12,5 MB/s, protože všechny prvky v síti mají maximální rychlost LAN portů 100 Mb/s. Z obrázku je vidět, že dochází k menším ztrátám, které by měly být z větší části způsobeny vlastnostmi kabelu, protože při testování polovičního duplexu na stanicích mezi domy byla rychlost 148 Mb/s. Během přenosu došlo tedy ke ztrátě zhruba 9% maximální možné rychlosti. Je zřejmé, že část této ztráty má na svědomí neustálé zjišťování stavu sítě, operačním systémem a síťovými prvky a také vznikla určitě nějaká menší ztráta při vysílání mezi stanicemi venku. OBRÁZEK 31 - KOPÍROVÁNÍ SOUBORU MEZI DOMY 42