Budování a využívání menší podnikové počítačové sítě

Transkript

1 Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Katedra informačního a znalostního inženýrství Budování a využívání menší podnikové počítačové sítě (BAKALÁŘSKÁ PRÁCE) Autor práce: Pavel Holubička Vedoucí práce: PhDr. Otakar Pinkas Praha 2009

2 Prohlášení Prohlašuji, ţe jsem bakalářskou práci zpracoval samostatně a ţe jsem uvedl všechny pouţité prameny a literaturu, ze kterých jsem čerpal. V Praze dne 30. června 2009 Pavel Holubička

3 Poděkování Tímto bych chtěl poděkovat PhDr. Otakaru Pinkasovi za pomoc, připomínky a vedení práce. Děkuji také kamarádovi Honzovi Pospíšilovi za rady během konfigurace serveru.

4 Abstrakt Hlavním cílem této práce je popsat postupné budování, vyuţívání a rozšiřování konkrétní podnikové počítačové sítě v české společnosti VHL s.r.o. Stěţejním úkolem bylo nejen sepsání, ale v praxi i rozšíření sítě o server, bezdrátový segment a o propojení dvou vzdálených počítačových sítí s ohledem nejen na funkčnost, ale i na bezpečnost. K dosaţení výsledků bylo proto zapotřebí skloubit teorii s praxí. Byly zkoušeny, testovány a hodnoceny jednotlivé postupy práce. Při negativních výsledcích musel být celý proces i několikrát opakován. V bakalářské práci se objevují mnohé návody, jak postupovat při zřizování jednotlivých síťových sluţeb a zároveň jak dbát na jejich zabezpečení. První kapitola se věnuje teoretickým znalostem o sítích LAN a WLAN. Blíţe jsou popsány jednotlivé standardy, síťové prvky a jejich charakteristiky a poskytované sluţby. Druhá rozebírá vývoj od samotných počátků sítě aţ do současnosti. Detailněji je popsáno rozšiřování o bezdrátovou síť, její výstavba, zabezpečení a testování. Cílem třetí kapitoly je podat celkový pohled na problematiku rozšíření o síťový server. Popisuje volbu hardware pomocí multikriteriálního výběru a výběr, zhodnocení a instalaci operačního systému. Následně se zabývá hardwarovým i softwarovým zabezpečením serveru a propojením dvou vzdálených sítí prostřednictvím nástroje VPN. V závěru je několik slov věnováno potenciálním inovacím. Klíčová slova síť, server, bezpečnost, sluţby

5 Abstract The main aim of this work is to describe the gradual building, exploitation, and dissemination of specific enterprise computer network in the Czech company VHL Ltd. The pivotal challenge was not only write down the process, but in practice also the extension of the network by server, the wireless segment, and the connection of two remote computer networks with reference not only to functionality, but also for safety. To achieve the results it was therefore necessary to combine theory with practice. Individual work procedures have been tried, tested and evaluated. In the negative results the whole process had to be repeated several times so. In the bachelor s thesis, there are many instructions on what to do in setting up individual network services as well as ensure their security. The first chapter deals with the theoretical knowledge about LAN and WLAN networks. More closely are describe various standards, network elements and their characteristics, and provided services. The second examines the evolution from the beginnings to the present network. More detailed is describe the enlarging of the wireless network, its construction, security, and testing. The point of third chapter is to give overall view of the extension by network server. It describes the choice of hardware with using multicriterial selection, and the selection, evaluation and installation of the operating system. Subsequently, it deals with hardware and software security of the server and with connection of the remote networks through VPN instrument. In conclusion, there are attended a few words to the potential innovation. Keywords network, server, security, services

6 Obsah Úvod Lokální počítačové sítě Sluţby, které mohou lokální sítě poskytnout Síťový komunikační model OSI Aplikační vrstva Prezentační vrstva Relační vrstva Transportní vrstva Síťová vrstva Linková vrstva Fyzická vrstva Standardy sítí LAN IEEE Ethernet IEEE WLAN Aktivní síťové prvky Zesilovač (repeater) Rozbočovač (hub) Most (bridge) Přepínač (switch) Směrovač (router) Brána (gateway) Přístupové body (access point) Síťové karty Síťové protokoly Aplikační vrstva Transportní vrstva Síťová vrstva Podniková síť společnosti Původní topologie sítě První inovace sítě Druhá fáze vývoje a rozšíření o bezdrátový segment... 23

7 2.4 Rozšíření o směrovače a následná konfigurace Bezpečnost Rozšíření o bezdrátovou síť Moţnosti připojení Zabezpečení bezdrátové sítě Realizace Testování bezdrátové sítě Současná podoba sítě Poskytované síťové sluţby Rozšíření sítě o server Výběr serveru NAS server Tower server Sestavovaný server Multikriteriální výběr Výběr konkrétního hardware pro server Výběr operačního systému Debian Gentoo Slackware Windows Server 2003 (Standard Edition) Windows Server 2008 (Standard Edition) Instalace a konfigurace Debianu a dalších sluţeb Propojení sítí přes VPN Zabezpečení serveru Závěr Seznam použitých zkratek Seznam použitých zdrojů Seznam použitých obrázků... 56

8 Ú v o d S t r á n k a 9 Úvod Téma budování a vyţívání menší podnikové sítě jsem si vybral z důvodu dlouholetého zájmu o vyuţívání počítačových sítí. Jiţ několik let spravuji síť ve společnosti VHL s.r.o. 1, a proto nebudu popisovat obecné principy budování a vyuţívání sítí, ale zaměřím se na konkrétní podnikovou počítačovou síť. K vysvětlení praktické části je nutné znát alespoň základní teorii. Ta je nastíněna v první kapitole. Zaměřuje se především na bezdrátové a kabelové sítě LAN 2. Obecně jsou také popsány moţnosti a výhody pouţívání sítí. Hlavní část bakalářské práce se však věnuje postupnému vývoji a změnám počítačové sítě ve firmě, včetně jejího rozšíření o bezdrátovou síť a následného testování spojení. Druhou hlavní částí je inovace o síťový server. Ta byla důleţitá pro následné propojení dvou vzdálených sítí. Detailněji je zde popsán postup výběru serveru, včetně zhodnocení jednotlivých variant. Následuje konfigurace a zabezpečení jednotlivých sluţeb a realizace propojení dvou vzdálených sítí. Tato bakalářská práce se stala podnětem pro reálnou inovaci počítačové sítě v daném čase. Proto bylo prvořadým cílem v co nejkratší době a s určitým finančním rozpočtem rozšířit počítačovou síť na centrále v Praze 2 o zmiňovaný souborový server, rozšířit síť o bezdrátový segment, a vymyslet a realizovat propojení centrály s výrobním střediskem nacházející se v Obrubech u Mladé Boleslavi. Smyslem bylo také popsat postupný vývoj celé podnikové sítě. Pro dosaţení cílů bylo třeba zmapovat trh s nabídkou hardwaru a softwaru. Pročítáním článků a recenzí bylo s ohledem na rozpočet vybráno pokud moţno nejlepší řešení. Na základě studia a pochopení odborné literatury, aplikačních dokumentací, návodů či pročítáním diskusních fór, a také z praktických zkušeností, byly zkoušeny jednotlivé kroky konfigurace a nasazovaní sluţeb. Při negativních výsledcích musel být pozměněn postup práce a znovu otestován nový způsob realizace. Vzhledem k tomu, ţe je práce svým tématem dosti rozsáhlá, musely být některé pasáţe zestručněny. 1 Oficiální stránky < 2 Local Area Network; označuje místní síť

9 1 L o k á l n í p o č í t a č o v é s í t ě S t r á n k a 10 1 Lokální počítačové sítě Tato kapitola se bude věnovat teorii lokálních počítačových sítí s ohledem na praktickou část. Při pohledu na počítačové sítě je nutno na začátku rozlišit dvě základní skupiny. Sítě typu peer-to-peer (P2P) se vyznačují tím, ţe všechny počítače jsou si navzájem rovny. Kaţdý z nich můţe mít funkci pouhé pracovní stanice nebo stanice v kombinaci se serverem. Tento typ se pouţívá v malých sítích, zhruba do 10 počítačů. [2] Jako servery slouţí většinou výkonnější počítače, které nabízejí své sluţby (např. sdílený prostor na disku, sdílenou tiskárnu či připojení k internetu). Výhodou je jednoduchá správa a lacinost řešení. Nevýhodou je špatný přehled o datech při větším počtu stanic, nízká ochrana dat a závislost na stanicích sdílicích své funkce. Druhou skupinou je klient-server řešení. Hlavní funkcí je soustředit vše (data, sluţby apod.) do jednoho místa v síti, do dedikovaného 3 serveru. Ten řádně zabezpečit a odsud nabízet sluţby všem klientským stanicím. Na serveru musí být operační systém, který bude jednotlivé funkce zajišťovat. Výhodou tohoto řešení je vysoká bezpečnost dat, přehlednost a kvalitní konfigurovatelnost jednotlivých sluţeb. Nevýhodou jsou pořizovací náklady na potřebný hardware a software a potřebné znalosti na správu serveru. 1.1 Služby, které mohou lokální sítě poskytnout Sdílení diskového prostoru Slouţí ke sdílení prostoru jako takového (ne diskové jednotky). [1] Uţivatelům bývají obvykle nastavena práva k jednotlivým souborům a sloţkám na zápis, čtení a spouštění. Kromě dat mohou být sdíleny např. databázové aplikace nebo drahé programové vybavení. Sdílení tiskáren Vybavit kaţdý počítač tiskárnou by bylo příliš nákladné, a proto se pouţívá funkce sdílení tiskáren. Uţivatelé mají na svých pracovních stanicích přesměrované své lokální tiskové porty na tuto tiskárnu a pracují s ní, jako kdyby byla připojena přímo k jejich počítači. Konverzace mezi uživateli V dnešní době velice oblíbené VOIP 4 telefonování, nebo konverzace přes různé komunikační programy (např. Skype, ICQ, Jabber atd.). Vzdálené zavádění operačního systému Kdyţ je ethernetová karta vybavena dostatečnou pamětí EPROM 5, můţe se vyuţít funkce vzdáleného zavádění operačního systému. Disková jednotka ve stanici tak bude slouţit pouze pro data. [1] 3 vyhrazený pro speciální účely, bez přímého přístupu uţivatelů 4 Voice over Internet Protocol

10 1 L o k á l n í p o č í t a č o v é s í t ě S t r á n k a 11 Sledování a řízení provozu v síti U kvalitní a rychlé administrace by v ţádném případě neměla chybět vzdálená správa síťových zařízení. V současnosti existují různé způsoby vzdáleného přístupu, včetně jejich zabezpečení. Ochrana dat a zvýšení bezpečnosti provozu Nadefinováním uţivatelů a uţivatelských skupin lze dostatečně řídit práva pro jednotlivé úkony v síti. Zajímavým omezením je také nastavení doby přístupu jednotlivých uţivatelů. Pro správce sítě jsou důleţité tzv. prověřovací záznamy, kde získá kompletní informace o všech činnostech, které sledovaní uţivatelé na síti prováděli. Kromě softwarové bezpečnosti dat lze do jisté míry pouţívat i ochranu hardwaru. Např. pomocí přepěťových ochran, zálohovacích zařízení (UPS 6 či diesel generátory) nebo některé z metod RAID Síťový komunikační model OSI Protoţe počítačové sítě vyvíjelo více firem, narůstala postupně jejich nekompatibilita a význam slova síť začal postrádat smysl, jelikoţ sítě slouţí k vzájemnému propojování. Bylo zapotřebí stanovit pravidla pro přenos dat v sítích a mezi nimi. Proto Mezinárodní ústav pro normalizaci ISO 8 vypracoval referenční model OSI 9. OSI model vznikl v roce [1] Popisuje síťovou komunikaci, která by nám měla umoţnit spojení navzájem si nepříliš podobných sítí. Síťovou práci rozděluje na sedm vrstev. Vyšší vrstva přebírá úkol od podřízené, zpracuje ho a předa vrstvě nadřízené. Tato (vertikální) spolupráce je věcí výrobce. Model však doporučuje, jak by měla probíhat spolupráce mezi vrstvami horizontálně. To znamená, ţe dvě stejné vrstvy modelu musejí mezi různými sítěmi (nebo mezi různými síťovými prvky) spolupracovat. [2] Model slouţí především pro výrobce síťových komponent. Pro pochopení principů práce jednotlivých síťových prvků ho však představím Aplikační vrstva Je jedinou vrstvou, k níţ má uţivatel přímý přístup. Zde jsou data, která chceme předat jiné stanici, převáděna do počítačové podoby pomocí aplikačních programů. Během přenosu je posílána spolu s daty tzv. hlavička aplikační vrstvy, coţ je datová struktura identifikující vysílací a cílový počítač Prezentační vrstva Zpráva, zaznamenaná v aplikační vrstvě je převedena do formy vhodné pro přenos, která je srozumitelná pro cílový počítač. Někdy se provádí i komprese a kódování. Ke zprávě se připojuje hlavička s údaji o pouţité kompresi a kódovací metodě a o formě zápisu dat. 5 Erasable Programmable Read-Only Memory; Jde o semipermanentní typ paměti typu ROM-RAM, jejíţ obsah je mazatelný ultrafialovým zářením. 6 Uninterruptible Power Supply 7 Redundant Array of Independent Disks. Specifikace viz 8 International Standards Organization 9 Open Systém Interconect

11 1 L o k á l n í p o č í t a č o v é s í t ě S t r á n k a Relační vrstva Vrstva zajišťující zabezpečení (synchronizace přenosu, ošetření násilně ukončeného přenosu, řízení komunikace apod.) vlastního spojení mezi síťovými stanicemi. Zde se také rozhoduje o způsobu relace. Můţe být realizována poloduplexně, tj. počítače se střídají ve vysílání a přijímání, nebo plně duplexně, kdy počítače zároveň vysílají a přijímají. Volby jsou opět posílány v hlavičce Transportní vrstva Tato vrstva má na starosti ochranu přenášených dat. Data jsou rozdělena na menší části pakety 10. Ve vrstvě jsou prováděny kontrolní součty, které umoţňují následnou kontrolu správnosti přenosu. V případě neúspěšného přenosu dat jsou zde prováděny záloţní kopie přenášených dat, a tak můţe být přenos opakován Síťová vrstva Účel této vrstvy je vybrat optimální cestu (směrování routing), po níţ bude zpráva putovat k cílové stanici. K datům jsou přidávány jednotlivé meziadresy ve formě hlavičky Linková vrstva Linková neboli spojová vrstva uskutečňuje přenos po fyzickém médiu a kontroluje vlastní přenos paketů. V této vrstvě se obvykle drţí kopie paketů aţ do okamţiku, kdy je bezchybný přenos potvrzen následující mezistanicí. Kdyţ dojde k chybě během přenosu, musí tato vrstva zajistit opětovný přenos. Pakety jsou v této vrstvě přetvářeny na tzv. rámce, coţ jsou pakety vybavené navíc příslušnými adresami a posloupnostmi dat potřebnými pro synchronizaci síťových adaptérů na spolupracujících stanicích. [2] Fyzická vrstva Definuje elektrické, mechanické a funkční vlastnosti zařízení. Například specifikuje vlastnosti kabelů, tvar konektoru, způsob rozeznání začátku bitu přijímací stanicí apod. Hlavní funkcí je navazování a ukončování spojení s komunikačním médiem a konverze digitálních dat na signály pouţívané přenosovým médiem. 1.3 Standardy sítí LAN Aby spolu různě sestavené sítě mohly správně komunikovat, musely být přijaty normy standardy, které definují základní poţadavky na technické provedení a komunikaci sítí. Normalizací se zabývá mezinárodní institut IEEE 11. Kvůli tomu nesou jednotlivé normy její označení. Jelikoţ standardů existuje velké mnoţství, které by při popisu přesáhlo rozsah práce, a protoţe se v praktické části práce zabývám především bezdrátovými sítěmi a standardy sítě Ethernet 12, zaměřím se pouze na normu IEEE a IEEE Značí blok přenášených informací. 11 Institute of Electrical and Electronics Engineers; Nezisková organizace usilující o rozvoj technologie související s elektrotechnikou. 12 Definuje technologie pouţívající se pro budování LAN.

12 1 L o k á l n í p o č í t a č o v é s í t ě S t r á n k a IEEE Ethernet Se vznikem Ethernetu se setkáváme v 70. letech, kdy tamní vědci v laboratořích firmy Xerox měli za úkol zabezpečit spojení mezi počítači, a nově vzniklému řešení dali název Ethernet. [29] Klasický Ethernet pouţíval sdílené médium, kde všichni slyší všechno, a v kaţdém okamţiku můţe vysílat jen jeden. Pro přístup ke sdílenému přenosovému médiu se pouţívá metoda CSMA/CD 13, neboli metoda mnohonásobného přístupu s nasloucháním nosné a detekcí kolizí. Stanice (síťová karta), která potřebuje vysílat, naslouchá co se děje na přenosovém médiu. Pokud je v klidu, začne stanice vysílat. Můţe se stát, ţe dvě stanice začnou vysílat přibliţně ve stejný okamţik. Jejich signály se pochopitelně navzájem zkomolí. Tato situace se nazývá kolize a vysílající stanice ji poznají podle toho, ţe během svého vysílání zároveň zjistí příchod cizího signálu. Stanice, která detekuje kolizi, vyšle krátký signál. Poté se všechny vysílající stanice odmlčí a později se pokusí o nové vysílání. Pokud se během šestnácti pokusů nepodaří rámec odvysílat, stanice své snaţení ukončí a ohlásí nadřízené vrstvě neúspěch Přenosová média Dnešní lokální počítačové sítě pouţívají především kroucené dvojlinky a optické kabely. Pro úplnost však neopomenu koaxiální kabely, které ve své době byly velmi populární. Koaxiální kabel V současnosti se koaxiální kabely objevují spíše výjimečně. Pouţívaly se jako jedny z prvních kabelů k realizaci spojení v sítí. Původní Ethernet byl propojován tzv. tlustým koaxiálním kabelem a označoval se jako 10Base5. Na kabel byly instalovány tranceivery 14, které se připojovaly na AUI porty síťových karet. [7] K masovému pouţívání Ethernetu došlo se zavedením tzv. tenkého koaxiálního kabelu. Tato varianta se označuje jako 10Base2. Propojovací kabely se zakončují terminátory a mezi ně se vkládají odbočky ke stanicím BNC-T konektory. Kroucená dvoulinka Tento kabel je v současnosti nejrozšířenějším typem média. Rozvod kroucené dvojlinky v budovách se nazývá strukturovaná kabeláţ. Kaţdá zásuvka (často kombinuje konektory RJ- 11 a RJ-45) je propojena s centrálním rozvaděčem samostatným kabelem, který umoţňuje její vyuţití i pro jiné účely (např. telefon). Ethernet pouţívající kroucenou dvojlinku se označuje příponou T nebo TX. Kabely mohou být nestíněné - UTP 15 a stíněné STP 16, které se pouţívají v průmyslovém prostředí, kde bývá časté rušení. Pouţívá se stínění celého kabelu, nebo i jednotlivých párů. Provedení strukturované kabeláţe se dělí na kategorie podle svých elektrických a přenosových vlastností. Na kategorii závisí maximální moţná přenosová rychlost. 13 Carrier Sense with Multiple Access and Collision Detection 14 Síťový prvek umoţňující překlad toku informací z jednoho typu sítě na jiný. 15 Unshielded Twisted Pair 16 Shielded Twisted Pair

13 1 L o k á l n í p o č í t a č o v é s í t ě S t r á n k a 14 Optický kabel Je poměrně novým typem média pouţívající se pro připojení k Ethernetu. V závislosti na poţadované rychlosti a vzdálenosti se pouţívají buď jednovidová 17, nebo mnohovidová 18 vlákna. Oproti výše zmíněným typům je draţší, ale díky nízkému útlumu umoţňuje přenos na větší vzdálenosti. Další jejich výhodou je absolutní odolnost proti elektromagnetickému rušení. Data nejsou přenášena elektricky v kovových vodičích, ale světelnými impulsy v optických vláknech. Díky tomu je zajištěna vysoká bezpečnost přenášených dat, protoţe optické signály nejde odposlouchávat. [2] Jejich vyuţití najdeme při budování LAN sítí mezi budovami a vzdálenými lokalitami. Skleněná vlákna jsou zakončena media konvertory, které převedou optický signál na elektrický. Převodník bývá obvykle součástí přepínače jako rozšiřující modul. Pro kaţdý spoj se pouţijí dvě vlákna - pro kaţdý směr jedno. Lze pouţít také pouze jedno. Pak se vyuţívá dvou vlnových délek pro přenos informací. [7] V praxi se pokládá vţdy několik vláken navíc jako rezerva pro rozšíření nebo poruchu. Rychlost přenosu můţe být od 10 Mbps aţ po 10 gigabitové rychlosti. Optický Ethernet se označuje v příponě písmenem F či FX, poslední dobou ale přípon výrazně přibylo (SX, LX, EX a další) Typy Ethernetu Ethernet se v zásadě nechá rozdělit na čtyři skupiny dle přenosové rychlosti. Na klasický Ethernet (10 Mbps), na Fast Ethernet (100 Mbps), na Gigabitový Ethernet a Desetigigabitový Ethernet. Značení Ethernetu pouţívá přísná pravidla. Číslice na začátku značí rychlost, BASE signalizační metodu a písmeno na konci popisuje kabel (F optický kabel, T kroucená dvojlinka). Číslice na konci naopak značí pouţití koaxiálních kabelů a maximální moţnou délku jednoho kabelového segmentu. Ethernet (10 Mbps) Je nejstarší a dnes jiţ skoro nepouţívanou skupinou. 10Base5 - Původní Ethernet zaloţený na tlustém koaxiálním kabelu RG-11, jehoţ segment mohl dosahovat maximální délky 500 m. Pouţívala se sběrnicová topologie, kde se jednotlivé stanice připojovaly ke speciálním tranceiverům pomocí AUI konektorům (tvořeny konektory DB15). [26] 10Base2 Ve své době velice rozšířený standard, pouţívající tenký koaxiální kabel RG-58. Koaxiální kabel tvoří sběrnici, ke které se připojují jednotlivé stanice pomocí členů T, nebo zásuvek EAD. Délka kabelového segmentu mohla dosahovat maximálně 185 m a mít maximálně 30 uzlů. Délka celé sítě pak maximálně 910 m. [2] Konce kabelů musely být opatřeny zakončovacími odpory, tzv. terminátory. 10Base-T - Jako přenosové médium pouţívá kroucenou dvojlinku. Vyuţívá dva páry strukturované kabeláţe ze čtyř. Základem byl rozbočovač, později přepínač, který 17 Single Mode Fiber; Kabelem prochází jeden paprsek bez lomů a ohybů. 18 Multi Mode Fiber; Má horší vlastnosti, protoţe dochází k lomům světelného paprsku.

14 1 L o k á l n í p o č í t a č o v é s í t ě S t r á n k a 15 vytvářel hvězdicovou topologii. Maximální moţná délka kabelu mezi počítačem a rozbočovačem byla 100 m. 10Base-F První typ pouţívající optická vlákna. Pouţívá se pro spojení na větší vzdálenost, nebo spojení mezi objekty (10Base-FP pro připojení stanic, 10Base-FL pro propojení stanic s rozbočovači, 10Base-FB pro páteřní rozvody mezi budovami), kde nelze pouţít kroucenou dvojlinku. Tvořila obvykle tzv. páteřní síť, která propojuje jednotlivé menší celky sítě. Fast Ethernet Dnes je stále ještě nejrozšířenější formou v domácnostech a v malých a středních podnicích. Pomalu, ale jistě ho však vytlačuje jeho rychlejší nástupce GB Ethernet. 100Base-TX Pouţívá kroucenou dvojlinku, nestíněnou nebo stíněnou, kategorie 5 s vyuţitím dvou párů. Maximální délka segmentu můţe dosahovat 100 m. 100Base-T2 Pracuje obdobně jako předchozí typ. Navíc komunikuje i se staršími kategoriemi kabelů, a proto je vhodná pro starší rozvody strukturované kabeláţe. 100Base-T4 Starší norma pouţívající všechny čtyři páry kabelu. Umí pracovat s kroucenou dvojlinkou kategorie 3, 4, 5. Opět vhodná pro starší rozvody strukturované kabeláţe. 100Base-FX Komunikaci zajišťují optické kabely. Pro vícevidovové kabely a poloviční duplex můţe být délka segmentu aţ 412 m. Při pouţití jednovidového kabelu a duplexního reţimu aţ 10 km. Gigabitový Ethernet Tato kategorie zaţívá v této době velký rozmach, jelikoţ zařízení podporující tuto rychlost jsou jiţ cenově dostupné. 1000Base-T Pro tento typ byla vyvinuta nová kategorie kroucené dvojlinky, kategorie 5e. Ta vychází z kategorie 5, ale pouţívá mnohem přísnější podmínky jak pro konektorování, tak na provedení všech součástí kabeláţe. Jsou vyuţívány všechny čtyři páry kabeláţe do vzdálenosti 100 metrů. 1000Base-CX Nepříliš pouţívaný standard na bázi měděného vodiče. Je určen pro propojování skupin zařízení na krátké vzdálenosti. 1000Base-SX Pouţívá levnější mnohavidové optické vlákno. Zdrojem krátkovlnného světla (850 nm) můţe být LED dioda nebo laser. Je určen pro páteřní propojení do vzdáleností několik set metrů. 1000Base-LX Přenáší světlo delších vln 1130 nm skrz jednovidové optické vlákno. Zdrojem světla je laser. Výhodou je překlenutí větších vzdáleností - aţ několika desítek kilometrů. Desetigigabitový Ethernet [2] Tato norma je pouţitelná nejen pro sítě LAN, ale i MAN 19 a WAN 20. Předurčuje ji k tomu dlouhá přenosová vzdálenost dosaţená pomocí jednovidového optického kabelu. 19 Metropolitan Area Network; Rozlehlá počítačová síť obvykle ve městě. 20 Wide Area Network; Síť pokrývající velké geografické území.

15 1 L o k á l n í p o č í t a č o v é s í t ě S t r á n k a 16 10GBase-T - Vyuţívá 4 páry S/FTP (jednotlivé páry jsou stíněné metalickou fólií + metalický oplet kolem všech párů) kabeláţe kategorie 6A (šířka pásma je 500 MHz). Definován je do vzdálenosti 100 metrů. 10GBase-SR Pouţívá mnohovidový kabel určený pro krátké vzdálenosti od 26 m do 82 m. 10GBase-LX4 Při uţití mnohavidového kabelu překoná vzdálenost 300m a při jednovidovém aţ 10 km. 10GBase-LR ( ER) Pracuje s jednovidovými kabely na vzdálenost dosahující 40 km IEEE WLAN Je standard pro lokální bezdrátové sítě. Podobně jako u Ethernetu probíhal vývoj v jednotlivých společnostech odděleně, čímţ vznikla nekompatibilita. Bylo proto nutné zavést normu, která zajistí vzájemnou komunikaci. Hlavní výrobci bezdrátových technologií se dohodli a zaloţili alianci WECA 21. Ta stanovila poţadavky na zařízení a zjistila tak vzájemnou kompatibilitu. Kaţdý výrobek splňující podmínky obdrţí certifikát WiFi, čímţ je potvrzena kompatibilita. Norma je odvozena z Ethernetu, a proto s ním má podobné znaky. Pouţívá přístupovou metodu CSMA/CD a obdobné rozloţení paketu. Stejně jako u Ethernetu existuje i u bezdrátových sítí LAN několik standardů. Zaměřím se na ty nejzajímavější IEEE a Vyuţívá pásmo 5 GHz a jeho maximální přenosová rychlost můţe dosahovat 54Mbps. Oproti následujícím dvěma standardům je stabilnější a výkonnější. Má větší povolený vyzařovací limit a lze ho pouţívat do maximální vzdálenosti okolo 15 km (existují tři varianty lišící se mimo jiné povoleným výkonem) IEEE b Standard byl schválen v roce 1999 a oproti původnímu standardu navyšuje přenosovou rychlost na 11 Mbps v pásmu 2,4 GHz IEEE g Rozšiřuje předchozí standard a je s ním zpětně kompatibilní. Vysílá ve stejném frekvenčním pásmu, ale s vyšší maximální přenosovou rychlostí 54 Mbps IEEE h Je doplňujícím standardem pro IEEE a. Je navrţen s ohledem na evropské podmínky, aby bylo moţné vyuţívat síť mimo budovy. Řeší problémy s rušením od ostatních zařízení (např. radary nebo satelitní systémy). Při detekci rušení umoţňuje dynamický přechod na jiný kanál nebo omezí vysílací výkon IEEE n Standard by měl vzniknout koncem roku 2009 a má za cíl dosáhnout reálných rychlostí přes 100 Mbps. Maximální přenosová rychlost na fyzické vrstvě můţe teoreticky dosahovat aţ 600Mbps. Standard bude pouţívat pásmo 40MHz. [8] 21 Wireless Ethernet Compatibility Alliance; Sdruţení zabývající se kompatibilitou bezdrátového Ethernetu.

16 1 L o k á l n í p o č í t a č o v é s í t ě S t r á n k a Aktivní síťové prvky Tyto prvky aktivně ovlivňují dění v sítí. Vybírají trasu přenosu, kontrolují správnost paketů, rozhodují do jaké sítě má paket projít a kam ne, a mnoho dalších úkolů Zesilovač (repeater) Pouţíval se u koaxiálních sítí jako zesilovač (opakovač) signálu. Proto je i nejjednodušším aktivním prvkem. Pouţívá se tam, kde je kabel uţ tak dlouhý, ţe by na konci nebyl dostatečný signál. Podobně pracuje i převodník (transceiver), který navíc funguje jako redukce mezi jednotlivými typy kabelů Rozbočovač (hub) Pouţívá se v sítích s hvězdicovou topologií. Jejich vyuţití bychom našli především v malých domácích nebo podnikových sítích. V dnešní době však jejich místo víceméně přebraly přepínače, a to hlavně díky nízkým cenám a efektivnějšímu vyuţití (viz kapitola Přepínač). Hub pracuje na 1. (fyzické) vrstvě modelu OSI. Mezi nevýhody rozbočovačů patří zbytečné zatěţování sítí tím, ţe všechny stanice v síti vidí síťová data. Chová se jako opakovač a kopíruje veškerá přicházející data na ostatní porty bez ohledu na to, kterému počítači data náleţí. Většina rozbočovačů má typické problémy, jako jsou například nadměrné kolize na jednotlivých portech. K tomu, aby byly počítače schopny kolize detekovat, je počet hubů pro jednotlivé rychlosti omezen. Kvůli tomuto omezení je vidět, ţe v praxi by ve větších sítích mohlo dojít k překročení limitu Most (bridge) Jeho hlavním úkolem je oddělení síťových segmentů. Zařízení pracuje na 2. (linkové) vrstvě modelu OSI a díky tomu je schopné propojit dvě sítě různých standardů (neovlivňují ho fyzické odlišnosti sítí). Další důleţitou funkcí je filtrace paketů. Most si přečte cílovou adresu paketu a zašle ho do určité části sítě, kam má být doručen. Tím se podstatně sniţuje zatíţení sítě Přepínač (switch) Je nástupcem síťových rozbočovačů. Propojuje jednotlivé segmenty sítě a síťový provoz inteligentně směruje. Má přehled o tom, který počítač je připojený ke kterému portu a data následně odesílá pouze na daný port. Pracuje na 2. (linkové) vrstvě modelu OSI (některé novější pracují uţ na 3. vrstvě). Switche nabízí nejen vyšší výkon, ale i vyšší bezpečnost. Médium jiţ není sdíleno, ale data putují přímo od odesílatele k příjemci. Přepínače si plní tabulku identifikující cílová rozhraní pro jednotlivé adresy, a to z fyzických adres odesílatelů uvedených v rámcích, které do switche přicházejí. Oproti rozbočovačům mají nevýhodu v moţnosti tvorby smyček v síti a ochromení tak celé skupiny uţivatelů sítě. Tento problém řeší některá zařízení mechanismem Spanning Tree protokol, který dokáţe smyčky rozpoznat a potlačit je. Postupně přestane pouţívat některé trasy a tvoří minimální kostru sítě. V dnešní době nabízejí i některé pokročilejší funkce jako například podporu virtuálních sítí VLAN, vzdálenou správu zařízení přes HTTP 22 a TELNET 23 či monitoring stavu přes SNMP Hypertext Transfer Protocol

17 1 L o k á l n í p o č í t a č o v é s í t ě S t r á n k a Směrovač (router) Je inteligentní aktivní prvek pracující na 3. (síťové) vrstvě modelu OSI. Dokáţe shromaţďovat informace o připojených sítích a následně vybírá nejvhodnější cestu pro posílaný paket. Disponuje filtrací paketů, kterou doplňuje o inteligentní směrování. U sítí LAN se s ním setkáme především při připojování k síti Internetu Brána (gateway) Brána pracuje na nejvyšší, tj. na 7. (aplikační) vrstvě modelu OSI. Slouží k připojení k připojování sítí LAN na cizí prostředí, například k sálovým počítačům IBM. [2, s. 25] Přístupové body (access point) Slouţí jako vysílací nebo přijímací zařízení WiFi sítě. V současnosti bývají přístupové body v kombinaci s přepínači, směrovači nebo modemy Síťové karty Síťové karty jsou zařízení slouţící k připojení počítačů do počítačové sítě. Mohou mít různé podoby. Například karta, která se zasouvá do příslušné sběrnice (ISA, PCI, PCI-E) na základní desce, nebo můţe být integrovaná na základní desce či externí, která se připojuje pomocí USB konektoru, rozhraní PCMCIA nebo Express Card slotu. Kaţdá karta má přiřazenou svojí unikátní adresu zvanou MAC 25, která slouţí k identifikaci počítače v síti. V paměti karet je uloţen firmware 26, který provádí funkce řízení logického spoje a řízení přístupu na média ve 2. (linkové) vrstvě modelu OSI. Karty se vyrábí jak pro bezdrátové připojení, tak pro klasické kabelové připojení. 1.5 Síťové protokoly Protokoly definují komunikační pravidla, jimiţ se řídí výměna dat. Je nutné, aby pro správnou funkci pouţívaly jednotlivé stanice stejný protokol. U sítí LAN se kdysi pouţívaly protokoly NetBEUI 27 a IPX/SPX 28. Dnes se pouţívá sada protokolů TCP/IP 29 a na tu se také zaměřím. Z funkčního hlediska lze TCP/IP rozdělit na tři vrstvy. Aplikační vrstva pracuje s konkrétními aplikacemi, transportní s protokoly TCP a UDP 30 a síťová s protokolem IP. Poţadavek na spojení přichází z aplikační vrstvy. Transportní vrstva zorganizuje dopravu dat a vrstva síťová přenos. Čtvrtou vrstvou, pro kterou autoři modelu nedefinovali ţádná pravidla a standardy, je vrstva síťového rozhraní. Vše, co je standardizováno v rámci RM ISO/OSI modelu pro fyzickou a 23 Telecommunication Network; Protokol pouţívaný pro spojení klient-server. 24 Simple Network Management Protocol; Protokol slouţící potřebám správy sítě. 25 Media Access Control; Jedinečný identifikátor síťového zařízení. 26 Programové vybavení integrováno do elektronického zařízení. 27 NetBIOS Extended User Interface 28 Internetwork Packet Exchange/Sequenced Packet Exchange 29 Transmission Control Protocol/Internet Protocol 30 User Datagram Protocol

18 1 L o k á l n í p o č í t a č o v é s í t ě S t r á n k a 19 linkovou vrstvu, převzala tato vrstva. To znamená, ţe síťový model TCP/IP umoţňuje funkčnost sítě na libovolných technologických prostředcích. [4] Aplikační vrstva Aplikační vrstvu tvoří mnoţina protokolů, která spolupracuje s jednotlivými aplikačními programy. Například protokol HTTP slouţí pro komunikaci různých prohlíţečů s webovými servery. Protokolů existuje celá řada (FTP,SMTP, POP3 apod.) Transportní vrstva Tato vrstva přebírá data od vrstvy aplikační tak, ţe pouţije rozhraní aplikačního portu. [4] Jejím úkolem je rozdělení dat na segmenty a dle poţadavku kontrola správnosti doručení. Z toho vyplývá, ţe zajišťuje přenos spolehlivý (TCP) nebo nespolehlivý (UDP) TCP protokol Přebraná data od aplikační vrstvy rozdělí na segmenty, očísluje je a seřadí podle pořadí odeslání. K datům přiřadí hlavičku, která se skládá ze zdrojového a cílového portu. Hlavička s daty pak tvoří TCP datagram. Před výměnou dat TCP zahájí relaci s transportní vrstvou protější strany. Poté začne s vysíláním a potvrzováním jednotlivých datagramů. Po odeslání provádí kontrolní součty, zda byl přenos úspěšný, nebo jestli má být proveden znovu. [31] Vše funguje i v opačném směru, s rozdílem, ţe jsou datové segmenty přebrány od síťové vrstvy a následně seřazeny protokolem TCP. Ze segmentů sloţí ve správném pořadí data, která jsou prostřednictvím aplikačního protokolu předána některému z programů. Pokud některý ze segmentů chybí, je o něj znovu vyţádáno UDP protokol Protokol UDP funguje na stejném principu, ale je jednodušší a méně spolehlivý. Před přenosem nevytváří s protější stranou relaci a nekontroluje přijetí datagramů protějškem. Vyuţívají ho některé programy pro rychlý a nenáročný přenos dat (např. aplikace pro přenos hlasu nebo videa) Síťová vrstva Jak jiţ bylo řečeno, tato vrstva pracuje s protokolem IP. Obdrţená data od nadřazené transportní vrstvy rozdělí do IP paketů. K paketům připojí vlastní hlavičku a vytvoří datagram IP. V hlavičce IP se nachází IP adresa příjemce a odesílatele, coţ znamená, ţe protokol provádí adresování a směrování datagramů mezi počítači. Datagramy IP jsou poté předány vrstvě síťového rozhraní, která zajistí vlastní přenos. [4] Protokol IP nevytváří před zahájením výměny dat relaci, ani nijak nekontroluje předání paketů. Správné seřazení očíslovaných paketů by měla zaručit vyšší transportní vrstva, konkrétně protokol TCP.

19 2 P o d n i k o v á síť s p o l e č n o s t i S t r á n k a 20 2 Podniková síť společnosti Následující kapitola bude věnována historii a jednotlivým krokům vývoje počítačové sítě. Důraz bude kladen na zabezpečení a rozšíření o bezdrátový segment. 2.1 Původní topologie sítě Původní počítačová síť fungovala pouze na centrále firmy v Praze 2, a to od roku Síť byla propojena, v té době nejvíce pouţívaným médiem, tenkým koaxiálním kabelem, který byl zakončován terminátory. Přenosová rychlost sítě byla pouhých 10 Mbps, takţe síť pracovala s verzí Ethernetu 10BASE2. Komunikační pravidla, jimiţ se řídila výměna dat, byla definována protokolem NetBEUI. Jeho konfigurace byla velmi jednoduchá, protoţe se zadal pouze název připojené stanice a název pracovní skupiny (případně domény). Síť obsahovala dva stolní počítače (desktopy) s procesory Intel Pentium o frekvenci 200 MHz, jeden tiskový server (printserver), tiskárnu a jeden přenosný počítač (notebook) značky LEON s procesorem Intel Počítače pouţívaly operační systém Microsoft Windows 95. Tiskový server slouţil ke sdílení jediné tiskárny všem počítačům v kterémkoli čase. Připojení k internetu, v té době ještě k vytáčenému od společnosti Volný, a.s. (kdysi Czech On Line, a.s.), dosahující maximální přenosové rychlosti 56 Kbps, zajišťoval modem instalovaný na stolním počítači, který dále své připojení sdílel s ostatními stanicemi. Později byla síť rozšířena ještě o další stejný přenosný počítač, viz následující obrázek. terminátor BNC-T konektor Obrázek 2.1: Původní síť Jak je vidět z obrázku, síť pouţívala sběrnicovou topologii (bus topology). Její největší výhodou té doby byla jednoduchost. Díky pouţití spojovacích prvků (T-konektorů) se dá říci, ţe síť pouţívá jeden kabel. Při pouţití této topologie posílá stanice svou zprávu, která je určena jiné stanici, zároveň i všem v síti zapojeným stanicím a stanice, které je určena, si ji ze zpráv pohybujících se na síti sama vybere. Při poruše stanice nebyl provoz sítě příliš ovlivněn díky

20 2 P o d n i k o v á síť s p o l e č n o s t i S t r á n k a 21 způsobu zapojení kabelu. Kdyţ stanice nevysílaly, byly díky vysoké impedanci pro síťové médium jakoby neviditelné. Díky této skutečnosti patří mezi výhody také snadné připojení nové stanice. Nevýhodou je vysoké mnoţství spojů, coţ bylo jednou z příčin poruch. Při přerušení kabelu nemohl ţádný z uzlů dále komunikovat, a to znamenalo havárii celé sítě. Tyto skutečnosti nastávaly díky špatnému zacházení s kabely, například při přílišném ohybu, a šlo je obtíţně lokalizovat. Síť byla provozována reţimu peer-to-peer a umoţňovala následující sluţby: Vzájemné sdílení dat mezi stanicemi, sdílené internetové připojení, sdílení periferních zařízení, sdílení tiskárny, konverzaci mezi uţivateli. 2.2 První inovace sítě V roce 2000 se postupně stávala počítačová síť, se stoupajícími nároky jednotlivých aplikací i se stoupajícími nároky jednotlivých uţivatelů při komunikaci po síti, nedostačující. Tehdy byla inovace provedena jednou nejmenovanou dodavatelskou firmou. Původní koaxiální kabely byly odstraněny a zaměněny za nestíněnou kroucenou dvojlinku (UTP) kategorie 5 a 5e. Na konci kabelů byly pouţity koncovky RJ-45, které jsou aţ dodnes nejčastěji pouţívány pro zapojení ethernetových kabelů. Také topologie prodělala podstatné změny, protoţe se přešlo ze sběrnicové k hvězdicové. Výhodou je nízká náchylnost k chybě, a kdyţ porucha nastane, tak není ovlivněn celý chod sítě (pokud nedojde k poruše na rozbočovacím zařízení), ale pouze určité stanice. Chyba je většinou lehce lokalizovatelná. Pracovní stanice té doby vyuţívaly procesory Intel Pentium II (266 MHz), Celeron (330 MHz) a některé i Pentium III (600 MHz). Pouţíván byl operační systém Microsoft Windows 98. Díky novějším síťovým kartám značky Micronet a pouţití strukturované kabeláţe došlo ke změně Ethernetu na 100BASE-TX. V této době jiţ také vzniká počítačová síť ve výrobním středisku v Obrubech, která má stejnou konfiguraci jako praţská síť, s rozdílem niţšího počtu počítačů. V centru obou hvězdicových sítí stály přepínače (switche) pracující na 2. spojové vrstvě. Jelikoţ tyto počítačové sítě pracovaly jiţ na protokolu TCP/IP, bylo třeba zajistit adresaci a konfiguraci sítě. Existuje sice sluţba DHCP 31 serveru, jenţ zajišťuje automatické přidělování IP adres a konfiguraci, [27] ale bohuţel tyto přepínače ji v sobě nemají integrovanou, a tak musela být kaţdá stanice včetně tiskových serverů konfigurována ručně. První stanice měla přidělenou IP adresu Kaţdá další stanice pak o jednu hodnotu vyšší. Maska podsítě byla nastavena na Většina sítí (i tato síť) pracuje podle normy Ethernet, která pouţívá přístupovou metodu CSMA/CD. Nevýhodou této metody je postupné zahlcování sítě pakety. A přepínač právě tuto nevýhodu řeší. Namísto posílání paketů na všechny stanice, vytvoří přepínač mezi stanicemi 31 Dynamic Host Configuration Protocol

21 2 P o d n i k o v á síť s p o l e č n o s t i S t r á n k a 22 spojení oddělené od ostatních stanic. Komunikující stanice nejsou zahlcovány cizími pakety, nedochází ke zpomalování sítě a výměna dat můţe probíhat maximální moţnou rychlostí. [2] Vzdálené sítě v Praze ani v Obrubech spolu nebyly nijak propojeny a vzájemná komunikace a předávání souborů probíhalo pouze přes elektronickou poštu nebo převáţením medií. Nutno poznamenat, ţe obě sítě stále pouţívaly pro přístup na internet vytáčené připojení, které zajišťovala stále společnost Volný, a.s. (4) (2) (1) Praha Obruby (3) (2) (5) Obrázek 2.2: První inovace sítě

22 2 P o d n i k o v á síť s p o l e č n o s t i S t r á n k a 23 Vysvětlivky č. Název produktu Funkce Typ Ethernetu Počet portů RJ-45 (1) LEVEL ONE FSW-0807TX přepínač 10/100BASE-TX 8 (2) Micronet SP721 tiskový server 10BASE2/10BASE-T 1 (3) Planet FSD-803 přepínač 10/100BASE-TX 8 (4) HP LaserJet 1100(MS) tiskárna - - (5) HP LaserJet 4L tiskárna - - Síť byla provozována stále v reţimu peer-to-peer a disponovala v podstatě stejnými sluţbami jako síť předcházející. 2.3 Druhá fáze vývoje a rozšíření o bezdrátový segment V roce 2004 bylo na centrále v Praze 2 aktivováno připojení přes ADSL 32. Poskytovatelem se stal Český Telecom, a.s. Rychlost připojení byla maximálně 512 Kbps pro stahování a 128 Kbps pro nahrávání. IP adresa sítě WAN byla veřejná a dynamická. K internetu se připojovalo pomocí USB modemu Sagem F@st 840, jenţ byl propojen s počítačem, který připojení dále sdílel. Další inovace přišla v roce 2006, kdy byl zřízen ADSL internet i ve výrobním středisku v Obrubech. V Praze, kde došlo k výměně za USB modem, i v Obrubech byl do sítě navíc instalován směrovač D-Link DSL-584T 33 s integrovaným ADSL (konkrétně ADSL2/2+) modemem zajišťující připojení k internetu všem počítačům najednou bez závislosti běhu jedné (sdílející) stanice. Internetové připojení zajišťovala společnost Telefónica O2 Czech Republic, a.s. a dosahovalo maximální rychlosti 512 Kbps pro stahování a 128 Kbps pro nahrávání (během jednoho roku byla rychlost navýšena na 2 048/128 Kbps). IP adresy WANu byly stále veřejné a dynamické. Směrovač jiţ také podporoval funkci DHCP serveru, čímţ byla zjednodušena adresace v síti. Kromě změny připojení k internetu došlo také k inovaci hardwaru na pracovních stanicích a k výměně notebooků za výkonnější. Změněn byl také operační systém. Přešlo se na Microsoft Windows XP - Home edition. K větším změnám došlo na konci roku 2007 a byly rozšiřovány aţ do současnosti. Kromě zvýšení počtu pracovních stanic, notebooků a tiskáren, došlo k rozšíření o bezdrátovou lokální (WLAN) síť. V roce 2008 byl také změněn poskytovatel ADSL internetu na Volný a.s. a navýšena rychlost na 8 192/512 Kbps. Přechod byl uskutečněn kvůli lepší ceně a kvůli přidělení statických IP adres pro WAN. 32 Asymetric Digital Subscriber Line; Technologie umoţňující připojení k vysokorychlostnímu internetu pomocí stávajícího telefonního vedení. 33 Směrovač podporuje Ethernet 10/100BASE-TX a má 4 porty.

23 2 P o d n i k o v á síť s p o l e č n o s t i S t r á n k a Rozšíření o směrovače a následná konfigurace Původní směrovač (D-Link DSL-584T) nepodporoval ani na centrále, ani ve výrobním závodě bezdrátové připojení k místní síti. Vlivem výpadků elektrické energie došlo postupně k poškození obou směrovačů, coţ způsobilo občasné havárie sítě (problémy s připojením k internetu a nefunkčnost DHCP serveru). Proto se budu zabývat jiţ popisem nově instalovaných směrovačů (viz kapitola 2.6 Současná podoba sítě) s podporou WiFi. Konfigurace probíhá pomocí internetové aplikace a u většiny výrobků je dost podobná (s rozdílem nabízejících sluţeb). Prvním krokem je změna přihlašovacího hesla, a pokud to jde, tak i jména. Pro kvalitní nastavení není vhodné pouţívat průvodce konfigurace, ale rovnou přejít na pokročilé nastavení. Jako první nastavuji IP adresu, masku podsítě a DHCP server. Ten velice ušetří čas, protoţe obstarává přidělování IP adres jednotlivým stanicím. Protoţe není síť příliš velká, volím rozsah 30 dynamických adres k přidělení. Kromě počítačů, které mají nastaveno automatické získávání adres od DHCP serveru, mají tiskárny, tiskové servery, server a přístupové body nastavenou statickou IP adresu. Důvod je prostý. Aby měly vţdy jedinečnou adresu, pod kterou by byly snadno identifikovány. Zařízení se statickou IP adresou zaznamenám do seznamu statických adres DHCP serveru. To proto, aby tyto adresy server vyloučil z moţných přidělovaných adres a nedošlo tak ke kolizi (zjištění dvou stejných adres) IP adres u přístrojů. Dále je třeba nastavit připojení k ADSL. Návody je moţné najít na oficiálních internetových stránkách poskytovatelů. Některá zařízení mají jiţ přednastavené poskytovatele a stačí vybrat toho správného. Poté jen zadat přihlašovací údaje, které ISP 34 přidělil. V zařízeních se obvykle nachází sluţba NAT 35, která slouţí k překladu adres. To znamená, ţe jsou jednotlivé místní adresy počítačů překládány na veřejnou IP adresu a je třeba pro přístup k jednotlivým sluţbám na daném stroji povolit ve směrovači poţadovaný port pomocí směrování portů (portforwarding). Například u serveru (viz kapitola 3 Rozšíření sítě o server) je nastaven port TCP/22 na SSH přístup a port UDP/1194 na VPN. Další sluţbou, kterou nemůţu opomenout, je DNS 36. DNS slouţí k překladu IP adres na názvy a naopak. Tato sluţba není v ani jedné síti pouţívána Bezpečnost Oba směrovače jsou zároveň přístupovými body na internet, a proto je nutné dbát na zabezpečení. Jak jiţ bylo řečeno, základem je změna hesla. Poté by mělo následovat nastavení brány firewall, která slouţí k blokování přístupu neověřených uţivatelů k síti nebo síťovým prostředkům. Obsahuje například ochranu proti DoS 37 útokům nebo proti skenování portů. Dále pravidelně kontrolovat logy, kde lze zjistit pokusy o útok, a natavit přístup k internetu v určitou dobu. Ke kaţdému zařízení lze přistupovat vzdáleně přes místní drátovou či bezdrátovou síť nebo přes internet. U místní sítě stačí zadat jen rozsah IP adres, ze kterých je moţné nebo naopak nemoţné k zařízení přistupovat. S přístupem přes internet je to jiţ horší. 34 Internet Service Provider; Poskytovatel internetového připojení. 35 Network Address Translation 36 Domain Name System 37 Denial of Service; Snaţí se přehltit síť poţadavky a tím zajistit nefunkčnost.

24 2 P o d n i k o v á síť s p o l e č n o s t i S t r á n k a 25 Zde je nutné dbát zvýšené opatrnosti. Kromě webového přístupu, který není nijak šifrován, lze většinou povolit přístup přes FTP, ICMP, SNMP, TELNET, TFTP a SSH. FTP (File Transfer Protocol) je protokol aplikační vrstvy vyuţívající porty TCP/20 a TCP/21. Port 21 slouţí k přenášení příkazů a port 20 k vlastnímu přenosu dat. Z bezpečnostního hlediska není však tento způsob správy vhodný kvůli nešifrované komunikaci. ICMP (Internet Control Message Protocol) protokol pouţívá nástroj ping, který posílá ICMP zprávy aby určil, zda je cílový počítač dosaţitelný a jak dlouho trvá paketům přenos. Protokol však neumoţňuje zařízení (směrovač) nastavovat. SNMP (Simple Network Management Protocol) protokol umoţňuje sběr informací a jejich následné vyhodnocování. Směrovač bude stranou monitorovanou a přistupující klient stranou monitorující. Vzájemná komunikace se označuje jako SNMP operace. TELNET (Telecommunication Network) vyuţívá port TCP/23. Vzdálenou správu lze provádět pomocí terminálu s příkazovým řádkem. Hlavní nevýhodou je absence šifrování, a proto je opět nevyhovující. TFTP (Trivial File Transfer Protocol) je protokol určený pro přenos souborů. Obsahuje základní funkce protokolu FTP. Kvůli nedostatečnému zabezpečení je nebezpečné pouţívat tento protokol k výměně dat přes internet. SSH (Secure Shell) je jakousi náhradou za telnet. Poskytuje šifrování přenášených dat, coţ umoţní bezpečný přenos přes internet. V současné době směrovače vzdáleně nespravuji, ale s postupným rozvojem sítě to jiţ bude potřeba. Jako moţné řešení bych volil tunelování portu 80 (HTTP) pomocí SSH. Další způsob je přistupování přes webové rozhraní pouze z konkrétních IP adres. To má však mnohé nevýhody. Zařízení by šlo spravovat pouze z konkrétních míst, přenos by nebyl šifrován a potencionální útočníci by mohli heslo odposlechnout. Nastavení bezdrátové sítě nebudu v této kapitole zmiňovat, protoţe bude obdobné jako na přístupových bodech, coţ bude zmíněno v následující kapitole. 2.5 Rozšíření o bezdrátovou síť Rozšíření o bezdrátový segment proběhlo na konci roku 2008 ve výrobním středisku v Obrubech. Bylo třeba propojit pobočku, která je vzdálena 380 metrů pozemní cestou a 340 metrů vzdušnou čarou od výrobní haly, na které je zřízen internet. Zakopávat kabel do země nepřicházelo v úvahu, jelikoţ se pobočka nachází za třemi asfaltovými cestami, které by bylo nutné podhrabat. Proto bylo ideálním řešením bezdrátové propojení Možnosti připojení Bezdrátovou síť lze provozovat na frekvenci 2,4 GHz a na frekvenci 5 GHz (viz kapitola 1.3.2). 2,4 GHz je nelicencovaná frekvence, kterou lze pouţívat bez regulací pravidel Českého komunikačního úřadu (ČTÚ), s podmínkou dodrţení stanoveného maximálního výkonu. Nevýhodou je, ţe na této frekvenci současně pracuje mnoho dalších zařízení (např. bezdrátové telefony, mikrovlnné trouby, Bluetooth technologie apod.), coţ způsobuje rušení přenosu. [2]

25 2 P o d n i k o v á síť s p o l e č n o s t i S t r á n k a 26 Pásmo 5 GHz naopak normám ČTÚ podléhá a je nutné je striktně dodrţovat. Výhodou je vyšší povolený vyzařovací výkon, a tím moţnost propojení na větší vzdálenosti. Komunikace můţe probíhat dvěma způsoby. Tzv. AD HOC, kdy vzájemně komunikuje 2-5 počítačů bez jakéhokoliv přístupového bodu. Nevýhodou jsou malé moţnosti zabezpečení (pouze WEP) a spojení na kratší vzdálenosti. Druhý způsob je infrastrukturní mód, jehoţ centrem je přístupový bod. [30] Ten pracuje jako prostředník, přes kterého proudí veškeré datové toky mezi jednotlivými klienty. Výhodou je vyšší míra zabezpečení a vyšší počet klientů Zabezpečení bezdrátové sítě Bezpečnostní rizika jsou v bezdrátových i kabelových sítích vesměs obdobná, aţ na jeden podstatný rozdíl. Bezdrátová síť nenabízí ţádné fyzické zabezpečení a můţe ji v zásadě sledovat kdokoli, protoţe nepotřebuje fyzický přístup ke komunikačním kabelům. Nejprve by mělo být změněno jméno bezdrátové sítě, tzv. SSID 38. To se skládá z řetězce ASCII 39 znaků dlouhého maximálně 32 znaků a slouţí jako logický identifikátor určité bezdrátové podsítě. Standardně má kaţdý výrobce nastaveno určité primární SSID, které se jednoduše nechá zjistit na internetu. Z tohoto důvodu by mělo být změněno, aby nikdo cizí nezadal lehce jeho jméno a nedostal se do sítě. Další způsob jak zvýšit bezpečnost je vypnutí vysílání SSID. V závislosti na bezdrátovém softwaru se uţivateli síť buď neukazuje, nebo je zobrazená jako nepojmenovaná síť. Klient se pak na jméno sám dotáţe. [2] Dalším vylepšení je MAC filter. Umoţňuje povolit přístup do sítě vybraným stanicím na základě vypsání fyzické adresy jejich bezdrátových síťových karet. Nutno podotknout, ţe by sice měly být adresy jedinečné, tudíţ by nikdo jiný neměl mít přístup, ale zároveň existuje funkce klonování adres, čímţ vzniká teoretická moţnost ohroţení. Kromě autentizace, která kontroluje oprávněnost přístupu klientů, je nutné zajistit kódování a šifrování přenášených dat. K dispozici je několik ochranných metod, které se postupně zdokonalují a zapracovávají do standardů WiFi WEP (Wired Equivalent Privacy) Je integrován do všech WiFi zařízení od protokolu b. Jeho princip spočívá v tom, ţe jsou data na vysílači určitým klíčem zašifrována a stejným klíčem jsou u přijímače rozšifrována. Tento klíč je sdílený, tzn. ţe musí být znám jak všem klientským stanicím, tak i vysílací stanici. Z toho vyplývá, ţe pracuje na symetrickém principu, kdy je pro šifrování i dešifrování pouţíván stejný klíč. [5] WEP neověřuje samotného uţivatele, ale pouze fyzickou adresu jeho síťové karty. Původní 40bitový klíč byl později rozšířen o 24bitový inicializační vektor 40, který je tvořen pseudonáhodným sledem znaků, a který se na straně vysílače přidá k tajnému klíči (tím vzniká 64bitový RC4 klíč, jímţ je zpráva zašifrována). Tento inicializační vektor je posílán také přijímači, bohuţel však v nezakódovaném stavu, coţ je jedna z hlavních nevýhod WEP, protoţe můţe být snadno odposlechnut. Přijímač tento vektor přiřadí ke svému tajnému klíči a pouţije k dešifrování. Podobně pracuje 128bitový WEP, s rozdílem pouţití 104bitového klíče. [2] 38 Service Set Identifier 39 American Standard Code for Information Interchange; Jde o kódovou tabulku jednotlivých znaků. 40 Část klíče, která je přenášena v hlavičce datového paketu.

26 2 P o d n i k o v á síť s p o l e č n o s t i S t r á n k a 27 V současné době není WEP povaţován za bezpečný šifrovací nástroj a pouţívá se spíše na zařízeních, které nepodporují novější technologii. Kromě nevýhody posílání klíče v nezakódovaném stavu, má i další nevýhody. Pouţívá neměnící se klíč. Změna musí být provedena manuálně na obou stranách (na přijímači a vysílači). Jelikoţ je autentizace pouze jednostranná, můţe dojít k útoku Man in the middle (MITM), kdy se útočník vydává za důvěryhodnou stranu a odposlouchává komunikaci mezi účastníky. Známým je také FMS útok, který byl popsán jiţ v roce 2001 trojicí autorů Scott Fluhrer, Itsik Mantin a Adi Shamir v dokumentu Weaknesses in the Key Scheduling Algorithm of RC4. [6] Tento útok počítá s existencí inicializačních vektorů, které vedou k odhalení vlastností privátní části klíče. Moţný je téţ útok hrubou silou (brutal-force attack), který postupně zkouší všechny moţné hodnoty šifrovacího klíče. Nicméně tento útok není příliš elegantní z důvodu časové náročnosti. [9] x Velmi brzy byly zjištěny nedostatky protokolu WEP. Proto se začalo pracovat na nové normě, která měla umoţnit lepší přihlašování uţivatelů na základě šifrování a distribuce klíčů. Vznikl protokol 802.1x, který se skládá ze tří stran. Ţadatel (klasický klient bezdrátové sítě), autentizátor (zajišťuje komunikaci mezi klientem a autentizačním serverem) a autentizační server. Autentizační server bývá jiţ běţně implementován ve vysílacích zařízeních. Například velice známý RADIUS nebo vyspělejší verze DIAMETER. Nově se také objevuje protokol EAP 41 blokující přístup do sítě neoprávněným uţivatelům. V praxi to vypadá následovně. Vysílač pouţívá k přístupu do sítě dva virtuální porty. Řízený umoţňuje přístup do sítě autorizovaným uţivatelům, kteří jsou ověřeni protokolem RADIUS (nebo jiným autentizačním serverem). Ten má za úkol identifikovat jednotlivé uţivatele podle seznamu povolených klientů. Druhý port je neřízený a blokuje veškerý provoz kromě EAP rámců. Tudíţ nejdříve komunikuje klient s autentizátorem přes neřízený port a po vyhodnocení RADIUS serverem a povolení či nepovolení přístupu dojde k přepnutí do řízeného - autorizovaného stavu. Výhodou 802.1x je také dynamičnost šifrovacích klíčů TKIP 42, jeţ jsou známy pouze stanici, ke které se uţivatel připojuje, a které se po odhlášení maţou [2]. Bohuţel ani toto opatření nezabránilo průniku do sítě. Existují bezpečnostní díry jak prolomit heslo, a proto to také není nejideálnější řešení WPA (Wi-Fi Protected Access) Zabezpečení WPA vytvořila WiFi Aliance 43 jako reakci na nedostatky objevené v předchozím bezpečnostním systému WEP. Z důvodu protaţení práce na normě i vznikl v roce 2002 jako dočasná náhrada WEP do doby, neţ bude standard dokončen. Data jsou zašifrována stejně jako ve WEP pomocí proudové metody RC4 s tím rozdílem, ţe se pouţívá 128bitový klíč a 48bitový inicializační vektor. Zásadní vylepšení oproti WEP 41 Extensible Authentication Protocol 42 Temporal Key Integrity Protocol 43 Oficiální stránky <

27 2 P o d n i k o v á síť s p o l e č n o s t i S t r á n k a 28 zabezpečení spočívá v pouţití TKIP. Díky dynamičnosti šifrovacích klíčů a mnohem delšímu inicializačnímu vektoru tak odolává útokům, kterým WEP podléhá. Kromě autentizace a šifrování, WPA také vylepšuje kontrolu správnosti dat, tedy integritu. Oproti WEP pouţívající metodu cyklického kontrolního součtu CRC-32, která je sama o sobě málo bezpečná, protoţe je moţné pozměnit zprávu a kontrolní součet bez znalosti WEP klíče, pouţívá WPA bezpečnější MIC 44 metodu. MIC metoda pouţívá algoritmus Michael a zahrnuje počítadlo rámců, které chrání před útoky snaţícími se zopakovat předchozí odposlouchanou komunikaci. Při detekci pokusu o prolomení TKIP dočasně zablokuje komunikaci s útočníkem. [10] Algoritmus Michael představuje co moţná nejsilnější věc, co mohli autoři WPA pouţít při zachování kompatibility se staršími síťovými kartami i V roce 2004 došlo ke schválení standardu IEEE i neboli WPA2. Architektura obsahuje komponenty IEEE 802.1x pro autentizaci (pouţívá tedy autentizační server a protokol EAP), RSN 45 pro udrţování záznamu asociací a MAC. Místo dřívější proudové šifry se jiţ pouţívá bloková šifra AES 46. Na AES je zaloţený CCMP 47 poskytující utajení, integritu a autentizaci. Standard i umoţňuje také tzv. Key-caching, kdy se klíče uloţí do cache 48, aby při odpojení a následném připojení klientů nebylo nutné provádět 802.1x autentizaci Realizace Pro řešení bezdrátového spojení byl vybrán standard g o frekvenci 2,4 GHz. V tomto pásmu je maximální vysílací výkon omezen Českým telekomunikačním úřadem v Generální licenci č. GL-12/R/2000 na 100 mw (miliwattů), čili na 20 dbm. [11] Proto musel být brán zřetel, aby tento limit nebyl překročen. Ve výrobním středisku bylo zapotřebí zřídit přístupový bod. Bylo vybráno zařízení OvisLink WL-5460AP, které kromě funkce AP, umoţňuje také pracovat v reţimu Client, WDS, Bridge a další. Jelikoţ jeho součástí je pouze malá všesměrová anténa se ziskem 2 dbi, která je schopna pokrýt signálem pouze pár desítek metrů, bylo nutné přikoupit směrovací anténu. Nejprve byla vybrána od firmy GainMaster YAGI se ziskem 11 dbi. Zařízení je umístěné na půdě a anténa na komínu, odkud směřuje na pobočku. Anténa je spojena se zařízením 5 metrovým koaxiálním kabelem a pojištěna bleskojistkou. To proto, aby při zásahu bleskem nedošlo k poškození celé počítačové sítě, ale pouze k poškození bleskojistky. V této fázi bylo nutné upravit vysílací výkon zařízení tak, aby splňoval normy ČTÚ. Obecně se vysílací výkon počítá následovně: Výstupní výkon vysílače a antény (+) Útlum kabelů, konektorů, bleskojistek, pigtailů (-) 44 Message Integrity Code 45 Robust Security Network 46 Advanced Encryption Standard 47 Counter Mode with Cipher Block Chaining Message Authentication Code Protocol 48 Vyrovnávací paměť

28 2 P o d n i k o v á síť s p o l e č n o s t i S t r á n k a 29 Při sčítání hodnot jsem došel k výsledku: Výkon OvisLink WL-5460AP + 18 db Útlum kabelu Belden H155 5m - 2,5 db Útlum konektorů - 2,5 db Útlum pigtail (redukce konektorů) - 2 db Útlum bleskojistky OvisLink WLP-90MBF - 0,3 db Zisk antény GainMaster YAGI + 11 db Celkem 21,7 dbm Je vidět, ţe výsledný výkon je vyšší neţ připouští norma, a proto musel být výkon přístupového bodu sníţen na 16 db. Po testu dostupnosti signálu (proveden notebookem) na střeše pobočky bylo zjištěno, ţe signál není příliš silný a kolísá mezi 25-30% (měřeno programem WirelessMon). Uvnitř budovy se signál však jiţ ztrácel kvůli útlumu stěn. Na řadu přišla výměna antény u AP. Pořízena byla výkonnější síťová směrová anténa Pacific PW15 se ziskem 15 dbi. Kvůli tomu musel být opět poníţen výkon AP. Po opětovném testu na střeše jiţ byl signál silnější (35%), ale uvnitř budovy stále negativní. Poté bylo na pobočku zakoupeno zařízení OvisLink WMM-3000AP, instalováno a zapojeno do reţimu WDS repeater. Dalo by se říct, ţe tento reţim plní sluţbu klienta a zároveň přístupového bodu. Protoţe zařízení mělo dvě antény, byla jedna z původních zaměněna za směrovou GainMaster YAGI a namířená na přístupový bod nacházející se ve výrobní hale. Druhá anténa měla slouţit pro šíření signálu v budově. Bohuţel toto celé řešení pohořelo. Spojení nebylo stabilní a problém se nacházel také v tom, ţe přístupový bod nedokázal pracovat s jednou anténou pouze na klientský reţim a s druhou pouze na vysílací reţim, ale pouţíval vţdy obě antény na obě funkce. OvisLink WMM-3000AP byl proto zaměněn za dva OvisLinky WL-5460AP. Jeden z nich pracuje v reţimu klienta a druhý jako přístupový bod pro šíření signálu na pobočce, protoţe na pobočce doposud nejsou vytvořené kabelové rozvody pro připojení stanic. K posílení signálu je doplněn směrovou interiérovou anténou OvisLink WAI100PA se ziskem 10 dbi. Poznámka: Teoreticky by bylo možné použít pouze jedno zařízení a provozovat ho v režimu WDS repeater, ale k tomu by byla potřeba po předchozích zkušenostech všesměrová anténa, která by signálem dosáhla na přístupový bod a zároveň pokryla pobočku. Problémem by bylo zamořování okolí signálem a z toho vyplývající vyšší bezpečnostní riziko. Další možnost propojení sítí mezi výrobou a pobočkou by byl režim Bridge. Tím by se vytvořil most mezi jednotlivými zařízeními, který by fungoval obdobně jako režim AP a Client. Po zapojení a nakonfigurování sítě bylo třeba upravit výkony vysílačů, aby byl splněn limit ČTÚ. Výpočty uvádím níţe: AP ve výrobní hale Výkon OvisLink WL-5460AP + 10 db Útlum kabelu Belden H155 5m - 2,5 db

29 2 P o d n i k o v á síť s p o l e č n o s t i S t r á n k a 30 Útlum konektorů - 2,5 db Útlum pigtail - 2 db Útlum bleskojistky OvisLink WLP-90MBF - 0,3 db Zisk antény Pacific PW db Celkem 17,7 dbm Klient na pobočce Výkon OvisLink WL-5460AP + 16 db Útlum kabelu Belden H155 5m - 2,5 db Útlum konektorů - 2,5 db Útlum pigtail - 2 db Útlum bleskojistky OvisLink WLP-90MBF - 0,3 db Zisk antény GainMaster YAGI + 11 db Celkem 19,7 dbm AP na pobočce Výkon OvisLink WL-5460AP + 13 db Útlum kabelu Belden H155 3m - 1,5 db Útlum konektorů - 1 db Útlum pigtail - 2 db Útlum bleskojistky OvisLink WLP-90MBF - 0,3 db Zisk antény OvisLink WAI100PA + 10 db Celkem 18,2 dbm Poznámka: Kromě softwarové regulace výkonu existuje tzv. asymetrický útlumový člen (cirkulátor). V mém případě nebyl použit, protože je AP schopný regulovat výstupní výkon. Některé přístupové body však touto funkcí nedisponují. Potom lze výkon zregulovat právě pomocí tohoto prvku, které jsou navíc dvoucestné, takže mají jedním směrem útlum větší než směrem druhým. Teoreticky je také moţné spočítat moţnou maximální přenosovou rychlost bezdrátové sítě (v ideálním stavu). Vypočte se následovně: Celkový výstupní výkon AP a zisk přijímací antény (+) Útlum trasy, kabelů, konektorů, bleskojistek a pigtailů na přijímací straně (-) AP ve výrobní hale Celkový výstupní výkon AP + 17,7 db Útlum 300 m trasy - 90 db Útlum kabelu Belden H155 5m - 2,5 db Útlum konektorů - 2,5 db Útlum pigtail - 2 db

30 2 P o d n i k o v á síť s p o l e č n o s t i S t r á n k a 31 Útlum bleskojistky OvisLink WLP-90MBF - 0,3 db Zisk přijímací antény Pacific PW db Celkem - 68,6 dbm Citlivost OvisLink WL-5460AP je při 25 C následující: [12] -70 dbm (54 Mbps) -82 dbm (24 Mbps) -87 dbm (6 Mbps) Protoţe výsledek je menší číslo neţ minimální citlivost OvisLink WL-5460AP pro 54 Mbps, je teoreticky moţné dosáhnout s tímto hardwarem spojení s rychlostí 54 Mbps. Poznámka: Bohužel jsou všechny výsledky pouze teoretické. V praxi nebyly ověřeny žádným měřicím přístrojem! V pásmu 2,4 GHz je jednou z hlavních podmínek pro kvalitní spojení přímá viditelnost. Není to však podmínka postačující. Pro kvalitní přenos musí být volná (bez překáţek) ještě tzv. Fresnelova zóna. Zjednodušeně si ji lze představit jako velký doutník mezi dvěma zařízeními. V prostoru této zóny by se neměla vyskytovat ţádná překáţka, ani by do ní neměla zasahovat. [32] d..vzdálenost mezi vysílači b..poloměr zóny Obrázek 2.3: Fresnelova zóna [o1] Poloměr, respektive průměr, lze vypočítat, ale často postačí tato stručná přehledová tabulka. Vzdálenost km 0,1 0,2 0,3 0,5 0,7 1 1,2 1,5 2 2,6 3 4 Průměr m 1,8 2,5 3,1 4 4,7 5,6 6,2 6,9 8 9,1 9,8 11,3 V mém případě by pro kvalitní přenos byla třeba zóna o průměru cca 3,1 metrů. Bohuţel však do zóny částečně zasahují dva stromy, coţ sniţuje kvalitu přenášeného datového toku. Naštěstí zásah není moc velký, protoţe kdyby nebylo volných alespoň 60% průměru zóny, docházelo by jiţ k výrazné degradaci kvality spoje.

31 2 P o d n i k o v á síť s p o l e č n o s t i S t r á n k a 32 Ostatní přístupové body v síti, jak na centrále, tak ve výrobním středisku, pouţívají standardní všesměrovou anténu (obvykle se ziskem 2 dbi), která je součástí balení, a s kterou je signál šířen do okolních dvou aţ třech místností, kam se obvykle dochází s notebooky. Bezdrátové sítě v Praze i v Obrubech zabezpečuji tak, ţe je zakázáno vysílání SSID a přístup je povolen pouze klientům s danými MAC adresami. Obě zabezpečení odradí spíše laiky, ale pro zkušenější nebude problém je překonat. Proto je třeba volit ještě kvalitní nastavení zabezpečení komunikace. Volím protokol WPA2 s dostatečně dlouhým a silným heslem. V současné době je stále náročné prolomit ho v krátké době. Nevýhodu jsem shledal pouze po marných pokusech o připojení se k sítí některými mobilními telefony. Problém byl v dlouhém hesle, kde byly kombinovány různé znaky. Po zjednodušení hesla se jiţ úspěšně připojily. Telefony se naštěstí do sítě skoro nepřipojují, a proto bylo ponecháno silnější heslo Testování bezdrátové sítě Hovořit budu o testu provedeném na síti mezi výrobní halou a pobočkou. Věnovat se budu především rychlosti internetu a místní sítě a jejich latenci, respektive odezvě. Velmi okrajově jsem testoval i bezpečnost. Test rychlosti a odezvy probíhal na třech místech. Ze sítě LAN ve výrobním středisku, z klienta (OvisLink WL-5460AP) na pobočce a po připojení k přístupovému bodu na pobočce. Rychlost místní sítě byla jednak měřena programem Axence NetTools 3.0 a jednak přenášením souboru o velikosti 100 MB. Odezva příkazem ping na stejný počítač (ve výrobě), na který byl přenášen soubor. Odezva a rychlost internetu byla měřena na serveru Měření bylo provedeno pětkrát a poté byly hodnoty zprůměrovány. Jednotlivé výsledky jsou v následujících tabulkách. Měření z místní sítě Místní síť Internet Odezva Nahrávání Stahování Odezva Nahrávání Stahování < 1ms 6,5 MBps 7 MBps 46 ms 110 Kbps 1,8 Mbps Měření z klienta (OvisLink WL-5460AP) Místní síť Internet Odezva Nahrávání Stahování Odezva Nahrávání Stahování 2 ms 3,5 MBps 3,6 MBps 54 ms 100 Kbps 1,8 Mbps Měření po připojení k AP na pobočce Místní síť Internet Odezva Nahrávání Stahování Odezva Nahrávání Stahování 3 ms 3 MBps 3,2 MBps 54 ms 100 Kbps 1,75 Mbps Z výsledků měření je patrná zhruba poloviční ztráta rychlosti mezi pobočkou a výrobou, která je způsobena vzdáleností mezi zařízeními. K dalšímu poklesu dochází na pobočce kvůli útlumu stěn. Rychlost internetového připojení není víceméně ovlivněna. Doba odezvy s prodluţující délkou spojení narůstá, ale ne nijak extrémně. Celkově mohu konstatovat, ţe s ohledem na vzdálenost je niţší rychlost komunikace přijatelná. Test bezpečnosti doposud neprošel ţádným z různých útoků (útoky hrubou silou, man MITM, DoS apod.). Kontrola byla provedena pouze pokusy o připojení stanic, které nebyly

32 2 P o d n i k o v á síť s p o l e č n o s t i S t r á n k a 33 povoleny v seznamu MAC adres, a kterým bylo známo SSID a přístupové heslo. Test dopadl pozitivně. 2.6 Současná podoba sítě Jedním z cílů práce bylo v praxi rozšířit síť v Praze o server, který přemění práci v síti z reţimu peer-to-peer na reţim klient-server. To znamená, ţe se stanice sdílející svá data transformují na klienty přistupující k serveru, který se stane centrálním datovým uloţištěm. Kromě rozšíření proběhlo také propojení dvou vzdálených sítí přes internet. Postup rozšíření o síťový server a propojení sítí je však popsán v další kapitole, a proto ho nebudu nadále blíţe popisovat. Kdyţ zahrnu do současného pohledu na síť toto rozšíření, celkový stav vypadá následovně: Obrázek 2.4: Současná podoba sítě

33 2 P o d n i k o v á síť s p o l e č n o s t i S t r á n k a 34 Vysvětlivky č. Název produktu Funkce Typ Ethernetu Počet portů RJ-45 (1) D-Link směrovač, ADSL modem, DSL-2641B AP (54Mb/s) 10/100BASE-TX 4 (2) Edimax EW-7209APg přepínač, AP (54Mb/s) 10/100BASE-TX 5 (3) Micronet SP721 tiskový server 10BASE2/10BASE-T 1 (4) LEVEL ONE FSW-0807TX přepínač 10/100BASE-TX 8 (5) Server - 10/100/1000BASE-T 1 (6) HP OfficeJet Pro tiskárna, fax, skener, L7680 kopírka 10/100BASE-TX 1 (7) HP LaserJet 1100(MS) tiskárna - - (8) Edimax směrovač, ADSL modem, AR-7084gB AP (54Mb/s) 10/100BASE-TX 4 (9) OvisLink přepínač, AP (54Mb/s), WL-5460AP reţim AP 10/100BASE-TX 2 (10) OvisLink přepínač, AP (54Mb/s) WL-5460AP reţim klient 10/100BASE-TX 2 (11) Planet FSD-803 přepínač 10/100BASE-TX 8 (12) HP LaserJet 4L tiskárna - - U obou sítí jsou aktivním prvkům přidělovány IP adresy a výš. Sluţby DHCP serveru zajišťují směrovače (jsou i výchozími branami), které přidělují počítačům IP adresy v intervalu od do Maska podsítí je IP adresa sítě WAN je pro Prahu XX a pro Obruby XX. Jak jiţ bylo řečeno, obě adresy jsou veřejné a statické. Pracovní stanice vyuţívají k připojení do sítě integrovaných síťových karet s podporou 10/100BASE-TX. Vybavené jsou v průměru 1GB DDR2 paměťovými moduly a procesory od společnosti AMD (některé jednojádrové a některé dvoujádrové) o frekvenci 2GHz. Přenosné počítače vyuţívají k připojení buď WiFi karty nebo ethernetové karty s podporou 10/100BASE- TX a novější i 1000BASE-T. Jejich hardwarová výbava lze zařadit do kategorie pro kancelářské pouţití. V současné době tedy síť pracuje s maximální moţnou rychlostí 100Mbps. V budoucnu by se však mohla navýšit. Znamenalo by to dokoupení síťových karet a výměnu aktivních prvků, které by podporovaly 1000Mbps přenosovou rychlost. Inovace sítě by stála odhadem Kč. Při pohledu na obrázek 2.4 je vidět, ţe síť pouţívá topologii rozšířené hvězdy (extended star). Ta se skládá z jednotlivých hvězd, které se spojují dohromady. Kabelové rozvody jsou stále tvořeny z UTP kabelů kategorie 5 a 5e. Poznámka: Počítačová síť na centrále v Praze 2 je rozmístěna do 5 místností včetně chodby. Celková rozloha celého prostoru je zhruba 120 m 2. Mezi místnostmi jsou použity klasické zděné příčky, takže propustnost WiFi signálu je zhruba do sousedních dvou místností.

34 2 P o d n i k o v á síť s p o l e č n o s t i S t r á n k a 35 Počítačová síť v Obrubech je (co se týče rozmístění) složitější. Směrovač je umístěn ve výrobním středisku v prvním patře, odkud šíří WiFi signál do okolních místností. Odtud vede strukturovaná kabeláž do přízemí (k přepínači) a na půdní prostory (k přístupovému bodu). Na obě strany jsou vedeny zhruba 40 m dlouhé kabely. Od přepínače vedou rozvody kabelů do dalších třech místnostní k jednotlivým stanicím a tiskárnám. Na pobočce je bezdrátové připojení šířeno do třech místností, mezi kterými jsou opět klasické zděné příčky Poskytované síťové služby Sdílené připojení k internetu, sdílení tiskáren, centralizace dat s vyuţitím práv k přístupu jednotlivým skupinám a uţivatelům, sdílení periferních zařízení, konverzace mezi uţivateli, sledování a řízení provozu, ochrana dat a síťového provozu, automatické přidělování IP adres počítačům, propojené vzdálené sítě, vzdálená administrace. Programové vybavení doposud sdíleno není. (V budoucnosti však firma plánuje evidenci skladových zásob, která by kromě pořízení požadovaného programu, šla realizovat vytvořením intranetové webové aplikace. Databáze a webový server by se zprovoznily na serveru. Aplikace by se následně obsluhovala přes webové prohlížeče na klientských stanicích.)

35 3 R o z š í ř e n í s í t ě o s e r v e r S t r á n k a 36 3 Rozšíření sítě o server Doposud byla počítačová síť na centrále v Praze provozována v reţimu peer-to-peer, tudíţ všechny pracovní stanice si byly rovny. Sdílení dat probíhalo poněkud krkolomně. Jelikoţ se na pracovních stanicích pouţívají operační systémy Windows XP - Home edition, nejde nastavit pro jednotlivé uţivatele individuální přístupová práva ke sloţkám a souborům, ale pouze obecná pro všechny uţivatele. Další nevýhodou bylo zapínání počítače, na kterém byla sdílena data a to i přes to, ţe daný zaměstnanec nebyl v práci. Nutno poznamenat, ţe se zaměstnanci na pracovních stanicích nestřídají, ale kaţdý pouţívá jen tu svoji. Proto jedním z hlavních úkolů, který bylo nutné vyřešit, bylo rozšíření sítě v Praze o síťový dedikovaný server, který bude především slouţit jako souborový server (fileserver). Variant je v dnešní době několik a na českém trhu je jiţ také mnoho firem nabízejících různé typy serverů. Nyní popíšu postup výběru serveru z hlediska hardwarového i softwarového řešení. 3.1 Výběr serveru Jelikoţ není společnost příliš velká, neklade vysoké poţadavky na server, protoţe, jak jiţ bylo řečeno, bude slouţit především ke sdílení souborů. Hlavními kritérii pro výběr byla cena, spotřeba elektřiny, mnoţství poskytujících sluţeb a velikost serveru. V úvahu připadaly tyto zařízení NAS server Hodně rozšířenými a oblíbenými se v dnešní době stávají tzv. NAS 49 servery, slouţící převáţně jako síťové souborové servery. NAS je síťové zařízení, do kterého je moţno připojit většinou dva aţ čtyři pevné disky. Poté stačí pomocí webové aplikace nastavit zařízení dle uţivatelských potřeb. Většina zařízení kromě datového uloţiště podporuje funkci RAID, FTP, HTTP a funkci tiskového serveru. Za výhody povaţuji relativně nízkou cenu, poměrně velkou nabídku na českém trhu a jednoduchost instalace díky nepotřebnému operačnímu systému. Naopak mezi nevýhody malé mnoţství nabízených sluţeb. Ceny zařízení se rámcově pohybují od Kč do Kč bez pevných disků. [13] Konečná sestava pro firemní účely by se cenově pohybovala kolem Kč Tower server Zajímavé řešení, které se pohybuje od Kč do Kč. [14] Vzhledově vypadá jako klasická pracovní stanice, pouze poţívá jiné hardwarové komponenty. Výhodou je, ţe většina sestav je testována pro nepřetrţitý provoz, a tudíţ je zvolen kvalitní hardware. I velikost skříní (case) je přijatelná a nebude zabíráno příliš prostoru. Za nevýhodu povaţuji často neměnnou konfiguraci HW, vyšší spotřebu a pro dané firemní účely i vyšší cenu Sestavovaný server Server, který bude slouţit ve firmě, nebude příliš náročný na hardware, a proto se nabízí velká moţnost výběru jednotlivých komponent. Jelikoţ bude server provozován nepřetrţitě Network Attached Storage

36 3 R o z š í ř e n í s í t ě o s e r v e r S t r á n k a 37 hodin denně, je nutné dbát na spotřebu elektřiny jednotlivých komponent. Potřeba budou také kvalitnější disky s vyšší dobou ţivotnosti, a které jsou určené pro RAID. Výhody tohoto řešení jsou niţší náklady na pořízení a moţnost výběru vlastních komponent. Nevýhodou můţe být v budoucnu nedostatečný výkon, přehřívání nebo poruchovost serveru při špatně zvoleném hardwaru. Rackové 50 a barbone 51 servery jsem vyřadil ze hry, jelikoţ se ve společnosti nevyskytuje racková stanice, do které by se daný server nainstaloval, a také kvůli vyšší ceně pohybující se od Kč do Kč (v případě barbone bez operační paměti, disků a procesoru). 3.2 Multikriteriální výběr Pro snadnější rozhodnutí mezi jednotlivými typy serverů jsem pouţil multikriteriální výběr. Srovnávat budu produkty v rozmezí od Kč do Kč. Srovnávat totiţ servery z této cenové kategorie s produkty od Kč a výše by bylo nemoţné nebo spíše bezvýznamné. Dále nebudu srovnávat jednotlivé výrobky, jelikoţ by jejich výčet byl příliš velký, ale porovnám tři výše uvedené kategorie, u kterých jsem vţdy hodnoty zprůměroval a vybral tak přibliţný střed. Kritéria K1 Cena Ceny jsem bral v úvahu bez DPH a pochází z dubna Váha tohoto kritéria je nejvyšší, protoţe se snaţím dohledat server za nejniţší cenu. K2 Spotřeba Kvůli nepřetrţitému provozu serveru budu také klást důraz na co moţná nejmenší spotřebu elektrického proudu. Proto budu hledat minimální hodnotu tohoto kritéria. K3 Výkon Výkon serveru hraje jistě také důleţitou roli, avšak pro potřeby firmy ne tak velkou. K4 Moţnosti rozšíření Jedná se především o rozšíření serverových sluţeb nebo rozšíření o jednotlivé komponenty (např. optická mechanika, přídavné zásuvné moduly apod.). K5 Velikost V tomto kritériu hledám co moţná nejmenší rozměry serveru z důvodu úspory místa. Tabulka 3.1 Stanovení kritérií pro hodnocení serverů a jejich vah Kritérium Jednotky Optimum Váha - V(j) K1 Cena Kč Min 40 % K2 Spotřeba W (watty) Min 25 % K3 Výkon Známka z rozsahu <0-1> Max 15 % K4 Moţnosti rozšíření Číslo Max 15 % K5 Velikost Ohodnocení velikosti Min 5 % 50 Rack je standardizovaný systém umožňující montáž síťových zařízení do uzamykatelného rámu. 51 Barbone servery jsou bez procesorů, operačních pamětí a disků.

37 3 R o z š í ř e n í s í t ě o s e r v e r S t r á n k a 38 Kritérium K3 nabývá vyšší známky s vyšší výkonností. Kritérium K4 se navyšuje o 1 s přibývajícími sluţbami (např. softwarové rozšíření sluţeb +1, rozšíření o přídavnou kartu +1 apod.) Velikost (K5) hodnotím stupnicí 1, 2, 3 s tím, ţe znamená 1 malý, 2 střední, 3 velký. Tabulka 3.2 Hodnoty kritérií serverů Model K1 K2 K3 K4 K5 (Kč) (W) <0-1> (číslo) (číslo) NAS server ,2 2 1 Tower server Sestavovaný s ,6 6 1 Jednotlivé hodnoty uvedené v tabulce 3.2 se normalizují, tj. převedou se R(i,j) v intervalu <0, 1> s vyuţitím následujících vztahů, čímţ vznikne tabulka 3.3. pro maximalizační kritéria: R i,j = (Yi,j - Dj) / (Hj - Dj) a pro minimalizační kritéria: R i,j = (Hj - Yi,j) / (Hj - Dj) Vysvětlení symbolů ve vzorcích: R i,j... normalizovaná hodnota, Y i,j... původní hodnota, D j... nejniţší hodnota v daném kritériu, H i... nejvyšší hodnota v daném kritériu, i... řádek matice hodnot, j... sloupec matice hodnot. Normalizace kritéria K1 R 1,1 = ( ) / ( ) = 0,857 R 1,2 = ( ) / ( ) = 0 R 1,3 = ( ) / ( ) = 1 Normalizace kritéria K2 R 2,1 = (90-25) / (90-25) = 1 R 2,2 = (90-90) / (90-25) = 0 R 2,3 = (90-40) / (90-25) = 0,769 Normalizace kritéria K3 R 3,1 = (0,2 0,2) / (1 0,2) = 0 R 3,2 = (1 0,2) / (1 0,2) = 1 R 3,3 = (0,6 0,2) / (1 0,2) = 0,5 Normalizace kritéria K4 R 5,1 = (2 2) / (8 2) = 0 R 5,2 = (8 2) / (8 2) = 1 R 5,3 = (6 2) / (8 2) = 0,666 Normalizace kritéria K5 R 4,1 = (2-1) / (2-1) = 1 R 4,2 = (2-2) / (2-1) = 0 R 4,3 = (2-1) / (2-1) = 1

38 3 R o z š í ř e n í s í t ě o s e r v e r S t r á n k a 39 Tabulka Znormalizované hodnoty kritérií serverů K1 K2 K3 Model (Kč) (W) <0-1> K4 (číslo) K5 (číslo) NAS server 0, Tower server Sestavovaný s. 1 0,769 0,5 0,666 1 Z hodnot nacházejících se v tabulce 3.3 odvodíme tabulku 3.4, kde normalizované hodnoty vynásobíme příslušnými vahami. Body v řádku sečteme a následně vyhodnotíme pořadí. Produkt, který získá vice bodů je lepší. Tabulka 3.4 Vyhodnocení vybraných serverů K1 K2 K3 Model (Kč) (W) <0-1> K4 (číslo) K5 (číslo) Body Pořadí NAS server 0,343 0, ,05 0, Tower server 0 0 0,15 0,15 0 0,3 3. Sestavovaný s. 0,4 0,192 0,075 0,099 0,05 0, Zhodnocení Po multikriteriálním výběru dopadl nejlépe server, který by se sestavil z jednotlivých komponentů. Kdyby byly váhy stanoveny jinak a nebyl dán tak velký důraz na cenu, ale třeba na výkon, moţná by byl na prvním místě tower server. 3.3 Výběr konkrétního hardware pro server Díky multikriteriálnímu výběru i osobním preferencím jsem zvolil server, který jsem sestavoval. Dlouho jsem rozmýšlel výběr co moţná nejmenšího, nejspořivějšího a zároveň nejvýkonnějšího řešení. V dnešní době je velice zajímavá a rozměrově také malá kategorie mini-itx. A zde jsem také vybíral. Základní desku (motherboard) jsem zvolil Little Falls 2 od společnosti Intel, osazenou velmi spořivým (8W) dvoujádrovým procesorem Intel Atom 330 o frekvenci 1,6 GHz. Za nevýhodu povaţuji zastaralý 32 bitový PCI slot, který dosahuje maximální přenosové rychlosti pouze 133 MB/s (Původně jsem rozmýšlel rozšíření sestavy o hardwarový RAID řadič komunikující s disky přes Sata II rozhraní, které dosahuje maximální přenosové rychlosti až 300 MB/s. Díky sběrnici PCI by však rychlost rapidně klesla). Další nevýhodou je poněkud ţravý chipset Intel 945GC. Jeho maximální udávaná spotřeba výrobcem je 22,2 W. Operační paměť jsem vybral od firmy Kingston o velikosti 1024 MB a frekvenci 667 MHz. Sestavu jsem doplnil optickou DVD mechanikou a dvěma pevnými disky, celkem o velikosti 1 TB, řady RE2-GP od společnosti Western Digital. Tato profesionální řada určená pro RAID se vyznačuje vysokou hodnotou střední doby poruchovosti o velikosti 1,2 miliónu hodin. Hlavní předností GP modelů je výrazně niţší spotřeba dosahující maximálně 6 W při čtení či zápisu. [15] Všechny komponenty jsem vsadil do počítačové skříně o velikosti 264 x 112 x 230 mm. Celková cena sestavy činila necelých Kč včetně DPH.

39 3 R o z š í ř e n í s í t ě o s e r v e r S t r á n k a 40 Naměřené hodnoty spotřeby pomocí wattmetru dosahovaly 50W při zavádění systému, 45W při maximálním vytíţení procesoru s pouţitím optické mechaniky, 37W v běţném provozu a 32W po hibernaci disků. 3.4 Výběr operačního systému Vhodný výběr operační systému je velice důleţitý pro následnou budoucí administraci, správu a funkčnost serveru. Na začátek bylo nutné poloţit si otázku, zda investovat do komerčního či nekomerčního softwaru. Kaţdá varianta má své pro a proti. Jelikoţ jsem neměl moc velké zkušenosti s linuxovými systémy, nebylo by ideální investovat do některé komerční distribuce (např. Turbo Linux, RedHat, Caldera, Mandriva). Proto komerční operační systém připadal v úvahu pouze od společnosti Microsoft. Naopak nekomerční pouze od Linuxu Debian Debian GNU/Linux je nekomerční svobodný operační systém, který je vyvíjen velkým mnoţstvím dobrovolníků z celého světa. Mezi administrátory je velice populární k nasazování na servery. Debian je k dispozici ve třech větvích: stabilní (stable), testovací (testing) a nestabilní (unstable). [3] Stabilní nabízí verze balíčků měnící se za poměrně dlouhou dobu (rok a déle). Naopak nestabilní větev vychází velmi často a jsou v ní nejaktuálnější programy, bohuţel však na úkor spolehlivosti. Testovací větev je někde mezi a obsahuje částečně odzkoušené a prověřené balíčky. Na server není vhodné nasazovat nestabilní větev z důvodu, ţe jsou balíky neotestované a mohou např. po aktualizaci způsobit dokonce i pád celého systému. Nestává se to sice moc často, ale nebezpečí tu je. Pro neaktuálnost bude nejvhodnější větev testovací, která nabídne jiţ odzkoušené balíky nebo pak verze stabilní, která však nebude tak aktuální. Velkou výhodou je jak grafické, tak textové rozhraní určené pro zkušené. Textové proto, ţe na serveru je zbytečné pouţívat grafické rozhraní, které bude zbytečně zatěţovat hardware Gentoo Obrázek 3.1: Logo distribuce Debian [o2] Stejně jako Debian je tato distribuce vyvíjena širokou veřejností. Rozdíl je, ţe se nepracuje s bínární podobou balíčků, ale se zdrojovými kódy, které si uţivatel sám přeloţí do spustitelné podoby. Výhodou tohoto přístupu je maximální moţnost nastavení jednotlivých aplikací a součástí dle potřeb uţivatele, přehledná konfigurace systému, časté aktualizace a optimalizace pro konkrétní hardware. Nevýhodou je, ţe kvůli překládání balíků během instalace nebo aktualizace dochází k razantnímu zvyšování náročnosti na výpočetní výkon, a s tím rostoucí spotřebovaný čas na instalaci. Ten se můţe protáhnout aţ na několik hodin při pouţívání nepředkompilovaných balíků. [16] Obrázek 8.3: Logo distribuce Gentoo