Bankovní institut vysoká škola Praha Katedra informačních technologií a elektronického obchodování
Návrh rozvoje a modernizace sítě ITnet Bakalářská práce
Autor:
Ondřej Kraml, DiS. Informační technologie
Vedoucí práce:
Praha
Ing. Jiří Cais
Červenec, 2009
Prohlášení Prohlašuji, ţe jsem svoji bakalářskou práci zpracoval samostatně a to s pouţitím zdrojů uvedených v seznamu.
Ondřej Kraml, DiS. ve Vimperku dne 15. července 2009
Poděkování Děkuji panu Ing. Jiřímu Caisovi za vedení mé bakalářské práce. Dále děkuji celému týmu, kolegyním a kolegům ze společnosti IT Profi s. r. o. za cenné rady a připomínky při vypracování bakalářské práce.
Anotace Tato bakalářská práce se zabývá problematikou sítí. Pozornost je nejprve věnována problematice datových, metropolitních sítí a sítí WAN. V práci je nejdříve rozebrán aktuální stav sítě, její struktura a pouţité technologie. Cílem mého snaţení je návrh upgradu jednotlivých částí sítě. Poukázání na moţné varianty, nalezení nejvhodnějších technologií a jejich implementace na stávající síť.
Annotation This bachelor thesis deals with the network. Attention is first paid to the data, metropolitan networks, and WAN. The work is first dismantled the current state of the network, its structure and the technologies used. The aim of my efforts is a proposal to upgrade the various parts of the network. Highlight the possible variations to determine the most appropriate technologies and their implementation on the existing network.
ÚVOD ........................................................................................................... 7 I TEORETICKÁ ČÁST ............................................................................... 8 1 Datové sítě ......................................................................................................... 8 1.1 Obecně .............................................................................................................................. 8 1.2 Terminologie .................................................................................................................... 9 1.3 Protokoly ........................................................................................................................ 11
2 Metropolitní sítě ............................................................................................. 12 2.1 Proč MAN sítě ................................................................................................................ 12 2.2 Optické sítě ..................................................................................................................... 12 2.3 Bezdrátové ...................................................................................................................... 13
3 Sítě WAN ......................................................................................................... 15
II POPIS AKTUÁLNÍHO STAVU SÍTĚ ............................................... 16 4 Bezdrátová část ............................................................................................... 16 4.1 Obecně ............................................................................................................................ 16 4.1.1 struktura ................................................................................................................... 16 4.1.2 zabezpečení ............................................................................................................. 17 4.2 Páteřní spoje ................................................................................................................... 17 4.2.1 pouţité technologie ................................................................................................. 19 4.2.2 routování.................................................................................................................. 19 4.3 Zákazníci ........................................................................................................................ 21 4.4 Wimax ............................................................................................................................ 24 4.4.1 ekonomická stránka ................................................................................................. 24 4.4.2 stav .......................................................................................................................... 24 4.4.3 base Station ............................................................................................................. 25 4.4.4 klienti ....................................................................................................................... 26
5 LAN .................................................................................................................. 26 6 Řízení provozu sítě ......................................................................................... 28 6.1 Opteq .............................................................................................................................. 28 6.1.1 struktura ................................................................................................................... 28 6.1.2 základní profily ....................................................................................................... 29 6.1.3 monitoring ............................................................................................................... 31
III NÁVRH KOMPLEXNÍHO ŘEŠENÍ MODERNIZACE SÍTĚ......... 32 7 Upgrade jednotlivých části sítě ITnet ........................................................... 32 7.1 Bezdrátová část .............................................................................................................. 32 7.1.1 hlavní páteřní spoje ................................................................................................. 32 7.1.2 vedlejší páteřní spoje ............................................................................................... 35
7.1.3 zákazníci .................................................................................................................. 38 7.2 Wimax ............................................................................................................................ 39 7.3 Kabelové připojení ......................................................................................................... 39 7.4 Dynamické routování ..................................................................................................... 44 7.4.1 protokol OSPF ......................................................................................................... 44 7.5 Informační systém .......................................................................................................... 46 7.5.1 uţivatelé .................................................................................................................. 48 7.5.2 routery ..................................................................................................................... 49 7.5.3 nagios/monitoring.................................................................................................... 50 7.5.4 statistiky .................................................................................................................. 50 7.5.5 fakturace .................................................................................................................. 51 7.5.6 Netflow .................................................................................................................... 52
Závěr ................................................................................................................... 54 Seznam použitých zdrojů: ................................................................................ 55
Úvod Realizace mnoha podnikatelských záměrů, resp. poskytování nejrůznějších druhů sluţeb je v dnešní době především závislá na zvolení nejvhodnějších technologií. S rostoucími nároky uţivatelů je třeba upgradovat stávající struktury sítí, obohacovat je o novější technologie, expandovat sítě do dalších lokalit pro získání nových zákazníků. Záměrem mé práce je analýza stávajícího stavu sítě, její struktury a pouţitých technologií. Navrţení upgradu jednotlivých částí sítě. Z praktického hlediska je práce rozdělena do třech základních částí. Cílem první části je seznámení s pojmy datová síť, metropolitní síť a síť WAN. Jsou zde obecně popsány datové sítě, terminologie a pouţité protokoly. Jsou zde uvedeny výhody metropolitních sítí. Dle typu sítě rozdělení na optické a bezdrátové. Základní informace o sítích WAN. Ve druhé kapitole je rozebrán současný stav sítě. Rozdělení sítě na bezdrátový a na kabelový přístup k internetu. Je zde poukázáno na jednotlivé technologie, jak hlavních páteřních spojů v pásmu 10GHz, tak vedlejších spojů v pásmu 5GHz. Připojení zákazníků pomocí klientských zařízení, popsání technologie Wimax v pásmu 3,5GHz a informačního sytému pro správu a řízení sítě. Třetí část práce se věnuje komplexnímu návrhu rozvoje a modernizace sítě ITnet. Je zde popsán upgrade jednotlivých částí sítě, modernizace technologií pro větší propustnost a stabilitu, hlavně pro poskytování vysokorychlostního připojení k internetu. Dále je navrhnut rozvoj sítě do dalších lokalit. Porovnání moţné modernizace systému, či nalezení nejvhodnější varianty pro výběr informačního sytému a jeho následné implementaci.
7
I Teoretická část 1 Datové sítě 1.1 Obecně Pojmem "datová síť" (data network) se dnes chápe taková síť, která je určena pro přenos digitálních dat. Takovýto způsob přenosu, tedy po částech (paketech) a nikoli souvisle po jednotlivých bitech a bytech, je zřejmě hlavním rozdílem mezi datovými a hlasovými sítěmi. Hlavní rozdíl mezi datovou sítí a sítí hlasovou je takový, ţe datová síť funguje na principu přepojování paketů (packet switching), zatímco síť hlasová funguje na principu přepojování okruhů (circuit switching). Hlasové sítě původně fungovaly na analogovém principu. Teprve v poslední době přešly tyto sítě na digitální způsob fungování, protoţe se to ukázalo jako výrazně výhodnější a efektivnější. Základní princip fungování, tedy princip přepojování okruhů, se ale nezměnil, stejně tak jako se nezměnilo poslání hlasových sítí - přenášet hlas. Díky tomu se nezměnily ani ekonomické a funkční vlastnosti hlasových sítí, které jsou dány zejména jejich způsobem fungování - tyto sítě dokáţou vyhovět poměrně náročným poţadavkům na kvalitu přenosových sluţeb. Nevýhodou je ovšem vysoká spotřeba dostupných zdrojů, zejména přenosové kapacity. Princip přepojování okruhů totiţ vyţaduje, aby se mezi komunikujícími stranami vţdy nejprve vytvořilo spojení, v rámci kterého je také vyhrazena určitá přenosová kapacita. Tato vyhrazená kapacita pak aţ do následného zrušení spojení nemůţe být přenechána nikomu jinému, ţádné jiné komunikující dvojici, a to ani za situace, ţe ten, komu je vyhrazena, ji fakticky nevyuţívá. Celkový efekt je tedy ten, ţe hlasové sítě, fungující na principu přepojování okruhů, sice dokáţou garantovat poţadovanou kvalitu přenosových sluţeb, ale za cenu vyšších nákladů, resp. vyšší ceny (kvůli větší a málo efektivní spotřebě dostupných zdrojů). Datové sítě, fungující na principu přepojování okruhů, sice nejsou schopné garantovat takovou kvalitu sluţeb, ale na druhé straně efektivněji vyuţívají dostupné zdroje a jejich sluţby, proto mohou být výrazně levnější. Pro většinu tradičních aplikací ze světa počítačů, například pro přenos elektronické pošty, přenos souborů či vzdálené 8
přihlašování, takovýto způsob fungování na principu "maximální snahy, ale nezaručeného výsledku" postačoval, a tak se výrazně projevily zejména ekonomické přednosti datových sítí i celkově větší pruţnost a flexibilita. Samozřejmě postupem času tyto technologie zvládají bez většího problému i přenos hlasu. Jedná se například o technologie typu VOIP (Voice Over IP) vyuţívající protokol IP, nebo o technologie VOFR (Voice over Frame Relay). Umoţňují totiţ datovým sítím poskytovat stejné sluţby, jaké původně nabízely pouze sítě hlasové, navíc díky své větší efektivnosti i za výrazně výhodnějších ekonomických i jiných podmínek. Důsledkem toho je, ţe jiţ není nutné budovat dva oddělené druhy sítí, coţ není výhodné ani z hlediska ekonomického, ani z hlediska jejich správy a údrţby. Výsledkem je trend, označovaný jako "konvergence". Lze jej chápat jako splývání dosud samostatných hlasových a datových sítí a ústící v existenci jednotných univerzálních sítí, schopných poskytovat jak hlasové sluţby, tak i sluţby datové (sluţby přenosu dat). Univerzální sítě budoucnosti se snaţí vycházet vstříc specifickým potřebám zaváděním podpory pro garanci přenosových sluţeb (v této souvislosti se často pouţívá i termín QoS (Quality of Service). Způsob, jakým se tak děje, není dosud ustálen a nejspíše se bude ještě vyvíjet - jednou z moţností je přidělovat různým druhům přenášených dat různé priority, díky kterým s nimi bude specifickým způsobem nakládáno při průchodu přes mezilehlé uzly (datové pakety s vyšší prioritou budou mít přednost oproti paketům s niţší prioritou). S podporou různých priorit přenášených dat počítají i dnes běţně pouţívané protokoly (například protokol IP).[6]
1.2 Terminologie Datovou sítí je v zásadě kaţdá síť slouţící k přenosu dat a fungující na principu přenosu paketů. Tedy lokální síť (síť LAN), propojující počítače například v počítačové učebně. Pod pojmem datová síť si také můţeme představit rozsáhlejší sítě, např. sítě MAN a WAN, které propojují místa na větší vzdálenosti (sídliště ve městech, popřípadě lokality v různých zemích světa). Typickým příkladem WAN sítí, resp. datových sítí, je internet. Je více neţ jisté, ţe datový přenos je pro tuto síť úplnou samozřejmostí. V praxi se pod pojmem "datová síť" nejčastěji rozumí síť propojující více různých lokalit a slouţící potřebám propojení lokálních sítí. Zajímavé pak jsou z toho pohledu 9
i sítě na bázi technologie ATM, která je svou bytostnou podstatou určitým přechodem mezi přepojováním okruhů a přepojováním paketů. Jednorázové vybudování i trvalé provozování datové sítě je něčím, co vyţaduje nemalé lidské zdroje a knowhow. Některé firemní subjekty takovéto zdroje nemusí mít, nebo se jim nemusí vyplatit si je pořídit. Pro ně je pak vhodným řešením outsourcing, neboli řešení zaloţené na externí dodávce. Outsourcing se v případě datových sítí můţe týkat jednorázového pořízení, kdy celou síť někdo "postaví na klíč". Stejně tak se ale můţe týkat i provozu datové sítě, přesněji průběţné správy a systémové péče o chod sítě, podpory uţivatelů atd. Stále se však můţe jednat o ryze privátní datovou síť, protoţe jejím vlastníkem i jediným uţivatelem je stále jeden původní subjekt. V praxi se také nejčastěji setkáme s pojmy veřejná a privátní datová síť. Privátní datová síť je taková síť, která je vybudována určitým subjektem, který ji sám vyuţívá. Síť má vlastního správce, vlastního provozovatele. Uţivatelem této sítě je určitý okruh lidí, kteří se v dané lokalitě pohybují a kteří mají určité věci společné. Úplným opakem je tzv. veřejná síť. Provozovatelem této sítě je takový subjekt, který tuto síť přímo nevyuţívá. Tato síť je otevřená nejširší veřejnosti. Uţivatelem takovéto sítě je více méně kdokoliv. Všichni pouţívají adresy z jednoho společného adresového prostoru, mohou spolu komunikovat, také momentální propustnost celé sítě obvykle závisí na souběhu poţadavků všech uţivatelů. Pro dnešní způsob vyuţívání datových sítí ale něco takového není moc vhodné ani ţádoucí. Většina uţivatelů totiţ raději vyuţívá takovou síť, o které si myslí, ţe ji jiţ nikdo jiný nevyuţívá, která se jeví jako privátní, hlavně z pohledu bezpečnosti. Klasickým případem takovéto sítě je virtuální privátní síť (VPN). Tyto sítě dokáţou vytvořit adresový prostor, principiálně odlišný od adres jiných uţivatelů avšak stejné fyzické sítě, který umoţňuje přímo komunikovat mezi uţivateli této virtuální privátní sítě. Komunikace mimo tuto síť je moţná pouze přes vhodnou bránu. Dále svým uţivatelům garantuje určitou přenosovou kapacitu. Největší předností těchto sítí je bezpečnost, resp. zabezpečení přenášených dat. Při vstupu je třeba data vhodně zakódovat, přenést je a při výstupu ze sítě je odkódovat.[6]
10
1.3 Protokoly Datové sítě byly v minulosti spojovány téměř výhradně s protokoly X.25. S postupem času se ale do oblasti datových sítí začaly prosazovat i jiné protokoly, zejména Frame Relay a ATM. Nedlouho po svém vzniku poslouţila koncepce protokolů X.25 dokonce i jako podklad pro vznik sedmivrstvého Referenčního modelu ISO/OSI, ve kterém pokryla tři nejniţší vrstvy: vrstvu fyzickou, linkovou a síťovou. V zásadě tedy jde o celou skupinu protokolů, z nichţ kaţdý "patří" na jednu z těchto tří vrstev - v praxi se ale často hovoří v jednotném čísle o "protokolu X.25", resp. o "doporučení X.25", které tyto protokoly definuje. Základní charakteristikou protokolů X.25 je to, ţe vychází z principu přepojování paketů (packet switching), kde jsou data přenášena po blocích (paketech) a v jednotlivých mezilehlých uzlech jsou zpracovávána stylem "store & forward". Další důleţitou charakteristikou technologie X.25 je to, ţe usiluje o tzv. spolehlivý přenos. To znamená, ţe pokud při přenosu dojde k nějaké chybě (poškození dat), chápe X.25 jako svou povinnost postarat se o nápravu. V důsledku toho mají protokoly X.25 v sobě zabudovány poměrně silné opravné mechanismy, které se o zajištění poţadované spolehlivosti starají a dělají z X.25 velmi robustní přenosovou technologii. Na druhé straně existence těchto mechanismů s sebou přináší nemalou reţii, projevující se zejména v niţší celkové efektivnosti přenosů. Jiţ několik let se výrazně prosazuje i v oblasti datových sítí internetový protokol IP. IP (Internet Protocol) je datový protokol pouţívaný pro přenos dat přes paketové sítě. Tvoří základní protokol dnešního Internetu. Data se v IP síti posílají po blocích nazývaných datagramy. Jednotlivé datagramy putují sítí zcela nezávisle, na začátku komunikace není potřeba navazovat spojení či jinak „připravovat cestu“ datům, přestoţe spolu třeba příslušný hardware nikdy předtím nekomunikoval. Kaţdé síťové rozhraní komunikující prostřednictvím IP má přiřazeno jednoznačný identifikátor, tzv. IP adresu. V kaţdém datagramu je pak uvedena IP adresa odesilatele i příjemce. Na základě IP adresy příjemce pak kaţdý počítač na trase provádí rozhodnutí, jakým směrem paket odeslat, tzv. směrování (routing). Routování provádějí tzv. směrovače neboli routery. Nejčastěji pouţívaná verze IP je označována číslem 4, resp. nazývaná IPv4. V důsledku pozvolného docházení adres existuje také IP protokol označovaný číslem 6, resp. IPv6. 128bitové adresové prostoty IPv6 poskytují mnohem větší prostor neţ 32bitový IPv4 (pro příklad: IPv4 má miliardu, na rozdíl od IPv6, který má stovky sextilónú moţných adres). 11
Nejnovější verze IPv6 nahradí stávající IPv4,vzhledem k tomu, ţe adresy IPv4 i přes provedená úsporná opatření díky rozvoji internetu stále ubývají a mezi lety 2010 aţ 2011 by se mohly všechny vyčerpat. Nový protokol bude klást určité nároky směrem na vybavenost osobních počítačů i jiných zařízení. Moderní operační systémy (Windows XP, Windows Vista, Mac OS X, Linux) jsou jiţ na implementaci připravené, upravit je ale nutné i všechny síťové aplikace. [6]
2 Metropolitní sítě 2.1 Proč MAN sítě Výhody metropolitní sítě: rychlý přístup k regionálním informacím umístěných v metropolitní síti cenově příznivý přístup k Internetu moţnost propojení firemních sítí s pobočkami nebo mobilními pracovníky (i s volbou kódovaného přenosu dat) informační kiosky – nasazení informačních buněk do různých částí města pro rychlý přístup k informacím kamerový systém – lokální kamerový systém v dané lokalitě videokonference správa dat na dálku vyuţití prostoru pro reklamu a inzerci
2.2 Optické sítě Moderní aplikace kladou stále větší poţadavky na přenosovou kapacitu. S rozvojem multimediálních sluţeb, přenosu videa i audia v reálném čase a zálohování dat výrazně narostla potřeba šířky pásma v komunikačních sítích. Optické přenosy jsou přitom bezkonkurenční s ohledem na kapacitu a spolehlivost. Optická vlákna sdruţená do optických kabelů nabízejí nesrovnatelnou přenosovou kapacitu, řádově aţ terabity za sekundu. Kapacita v kombinaci s vysokou rychlostí je mimořádně zajímavá pro kritické aplikace (on-line bankovní transakce, rezervační systémy apod.) potřebující rychlou 12
odezvu v běţném provozu a také obnovu po případném výpadku sítě. Spolehlivost (měřená např. chybovostí) je u optiky ve srovnání s metalickými nebo bezdrátovými sítěmi hned o několik řádů lepší. Výhodou optické infrastruktury je i jednoduchost síťové architektury, vysoká ţivotnost optického kabelu i jeho odolnost vůči elektrickému rušení, atmosférickým vlivům nebo korozi. To současně znamená niţší náklady na údrţbu samotné infrastruktury optické sítě. Kromě toho je optický kabel odolný proti neţádoucímu odposlechu, takţe i z hlediska tolik hlídané bezpečnosti je velmi výhodný. Rozdíly v počátečních nákladech na optické kabely ve srovnání s metalickým vedením uţ také nejsou tak propastné, jako tomu bylo před patnácti roky. Podstatnou část nákladů však netvoří jen samotná kabeláţ, ale instalace a související povolení na pokládku kabelů. A to můţe být nepříjemné u budování nové infrastruktury uvnitř starších budov a zejména mimo budovy. Optika dnes tvoří značnou část infrastruktury páteřních a metropolitních komunikačních sítí. V rámci postupné modernizace telekomunikačních sítí se ovšem dostává stále blíţe k samotnému uţivateli. Telekomunikační sítě se obecně skládají z několika částí, které se liší zejména kapacitou a mírou zabezpečení proti výpadku pro zajištění maximální dostupnosti a spolehlivosti, coţ se odráţí i ve struktuře pouţitých optických sítí: přístupová síť, metropolitní síť (distribuční síť) se stará o provoz mezi přístupovou a páteřní sítí; páteřní síť je přenosová síť, jejímţ úkolem je starat se o spolehlivý a dostupný přenos na větší vzdálenost. Dálkové trasy a globální přenosové sítě s dosahem stovek aţ tisíců kilometrů jsou dnes jiţ vesměs zaloţené na optické infrastruktuře. [8]
2.3 Bezdrátové Pracovní skupina IEEE 802.16, Broadband Wireless Access (BWA), zahájila svou činnost v roce 1999. První norma 802.16 z roku 2001 definuje fyzickou vrstvu a podvrstvu MAC (Media Access Control) bezdrátové metropolitní sítě. Je určena pro kmitočty v intervalu 10-66 GHz, z čehoţ také vyplývá poţadavek přímé viditelnosti mezi rádiovým vysílačem a přijímačem. Na druhou stranu to ale také znamená slušnou kapacitu sítě: na fyzické vrstvě můţe být kapacita aţ 268 Mbit/s. Přímá viditelnost a pouţité kmitočty ale neudělaly z 802.16 ideálního kandidáta pro širokopásmový bezdrátový přístup. Pro něj se hodí aţ nová specifikace, schválena v roce 2003 pod označením 802.16a, která rozšiřuje původní normu o niţší kmitočty v intervalu 13
2-11 GHz (zahrnující kmitočty jak bez licence, tak s licencí). Tyto kmitočty ve srovnání s vyššími umoţňují levnější pokrytí pro více uţivatelů, i kdyţ s niţšími přenosovými rychlostmi. Toto řešení bude více vyhovovat jednotlivým koncovým uţivatelům, domácím kancelářím nebo malým podnikům pro připojení k Internetu. Kromě vyuţití 802.16a jako řešení přístupu k Internetu pro koncové uţivatele a sítě (domácnosti i podniky), bude specifikace pravděpodobně zajímavým řešením pro propojení veřejných WLAN (tzv. hotspots) podle IEEE 802.11, protoţe dovoluje vytvořit bezdrátovou páteřní síť těchto přípojných míst poskytovatelů bezdrátového přístupu k Internetu (WISP, Wireless Internet Service Provider). Tak by přestaly být veřejné WLAN pouze osamocenými ostrůvky pro uţivatele, ale dosáhly by lepšího pokrytí. 802.16a se spíše uplatňuje v mimoměstských oblastech, které nejsou vybaveny kabelovými nebo DSL sluţbami. V husté zástavbě a obchodním středu měst, kde se jiţ hojně vyuţívá jiný typ širokopásmových přípojek, zájem o přechod na bezdrátovou technologii nelze očekávat. Navíc v husté zástavbě můţe hrozit rušení jinými bezdrátovými technologiemi. 802.16a ale můţe být zajímavou alternativou pro investory do administrativních center, protoţe umoţní širokopásmový přístup pro řadu uţivatelů bez nutnosti pokládat optiku. Výhody: 802.16a jako moderní norma pro širokopásmové metropolitní bezdrátové sítě má své kvality zejména v oblasti pokrytí, schopnosti růstu při zvyšujícím se počtu uţivatelů a také v oblasti podpory QoS. Na rozdíl od technik náhodného přístupu s moţnými kolizemi, CSMA/CA, pouţívaných v jiných bezdrátových sítích (802.11), zajišťuje 802.16a MAC přístup k rádiovému kanálu bez jakýchkoli potenciálních kolizí a navíc garantuje určité maximální zpoţdění. TDM/TDMA také zajišťuje jednodušší podporu pro skupinové vysílání. MAC také podporuje mechanizmy pro úsporné napájení pro přenosné terminály. 802.16a podporuje čtyři úrovně QoS: pro hlasové přenosy (VoIP), přenos v reálném čase na základě výzvy (MPEG video), přenos na základě výzvy nikoli v reálné čase (FTP) a základní sluţbu bez jakéhokoli upřednostňování dat (best effort). 14
802.16a je navrţen pro optimální výkonnost ve všech typech prostředí šíření rádiového signálu: v přímé viditelnosti (LOS), téměř přímé viditelnosti (near-LOS) a NLOS. Vypořádá se spolehlivě i se situacemi, kde vznikají odrazy signálu. 802.16a podporuje pruţné přidělování šířky pásma rádiových kanálů a opětovné vyuţívání kanálů (spektra) pro zvýšení kapacity buňky při růstu sítě. Specifikuje také řízení vysílacího výkonu (TPC, Transmit Power Control) a měření kvality kanálu jako doplňkové prostředky pro plánování buněk a efektivního vyuţívání spektra. Dynamický výběr kmitočtu (DFS, Dynamic Frequecy Selection) je povinný pro práci v bezlicenčních pásmech. Norma podporuje stovky aţ tisíce uţivatelů v rámci jednoho kanálu. Provozovatelé mohou spektrum realokovat prostřednictvím dělení buněk do sektorů podle rostoucího počtu uţivatelů. [7]
3 Sítě WAN WAN (Wide Area Network) je počítačová síť, která pokrývá rozlehlé geografické území (například síť, která překračuje hranice města, regionu nebo státu). Největším a nejznámějším příkladem sítě WAN je síť Internet. Sítě WAN umoţňují komunikaci (přenos dat, hlasu a obrazu) mezi koncovými uzly, stanicemi, lokálními nebo metropolitními sítěmi, zpravidla na velkou vzdálenost. Rozlehlé sítě mohou tvořit přenosovou páteř podnikové sítě. Při poţadavku na komunikaci do velkých vzdáleností se lze rozhodovat mezi vyuţitím veřejných sítí nebo budováním sítě soukromé (na rozdíl od lokálních sítí, které jsou zásadně soukromé nebo podnikové). Veřejné rozlehlé sítě WAN znamenají přesun zodpovědnosti za management sítě ze síťového správce podniku na provozovatele příslušně sítě. Soukromé (privátní) sítě vyuţívají buď vlastní infrastruktury, nebo pronajaté okruhy mezi datovými zařízeními, především přepínači WAN. Veškerá zařízení sítě jsou v majetku vlastníka sítě podobně jako management spojů a zařízení. U všech rozlehlých sítí má pro koncového uţivatele největší význam rozhraní přístupu k síti, jeho vlastnosti, funkce a moţnosti. Proto také většina normalizovaných rozlehlých sítí přesně definuje rozhraní mezi sítí a uţivatelem z hlediska sluţeb, ale ponechává vnitřní uspořádání sítě na samotném provozovateli. [11]
15
II Popis aktuálního stavu sítě 4 Bezdrátová část 4.1 Obecně Wi-Fi (nebo také Wi-fi, WiFi, Wifi, wi-fi, wifi) je standard pro lokální bezdrátové sítě (Wireless LAN, WLAN) a vychází ze specifikace IEEE 802.11. Původním cílem Wi-Fi sítí bylo zajišťovat vzájemné bezdrátové propojení přenosných zařízení a dále jejich připojování na lokální (např. firemní) sítě LAN. S postupem času začala být vyuţívána i k bezdrátovému připojení do sítě Internet v rámci rozsáhlejších lokalit a tzv. hotspotů. Wi-Fi zařízení jsou dnes prakticky ve všech přenosných počítačích a i v některých mobilních telefonech. Jednoznačný klad Wi-Fi přineslo vyuţívání bezlicenčního pásma, coţ má negativní důsledky ve formě silného rušení příslušného frekvenčního spektra a dále častých bezpečnostních incidentů.
4.1.1 struktura Bezdrátová síť můţe být vybudována různými způsoby v závislosti na poţadované funkci. Ve všech případech hraje klíčovou roli identifikátor SSID (Service Set Identifier), coţ je řetězec aţ 32 ASCII znaků, kterými se jednotlivé sítě rozlišují. SSID identifikátor je v pravidelných intervalech vysílán jako broadcast, takţe všichni potenciální klienti si mohou snadno zobrazit dostupné bezdrátové sítě, ke kterým je moţné se připojit (tzv. asociovat se s přístupovým bodem). Nejjednodušším způsobem, jak bezdrátovou síť skrýt, je zamezit vysílání SSID. Připojující se klient pak musí SSID předem znát, jinak se nedokáţe k druhé straně připojit. Protoţe je však SSID při připojování klienta přenášeno v čitelné podobě, lze ho snadno zachytit a skrytou síť odhalit. Ad-hoc sítě V ad-hoc síti se navzájem spojují dva klienti, kteří jsou v rovnocenné pozici (peer-to-peer). Vzájemná identifikace probíhá pomocí SSID. Obě strany musí být v přímém rádiovém dosahu, coţ je typické pro malou síť nebo příleţitostné spojení, kdy jsou počítače ve vzdálenosti několika metrů. 16
Infrastrukturní sítě Typická infrastrukturní bezdrátová síť obsahuje jeden nebo více přístupových bodů (AP – Access Point), které vysílají své SSID. Klient si podle názvů sítí vybere, ke které se připojí. Několik přístupových bodů můţe mít stejný SSID identifikátor a je plně záleţitostí klienta, ke kterému se připojí. Můţe se například přepojovat v závislosti na síle signálu a umoţňovat tak klientovi volný pohyb ve větší síti.
4.1.2 zabezpečení Problém bezpečnosti bezdrátových sítí vyplývá zejména z toho, ţe jejich signál se šíří i mimo zabezpečený prostor bez ohledu na zdi budov, coţ si mnoho uţivatelů neuvědomuje. Dalším problémem je, ţe bezdrátová zařízení se prodávají s továrním nastavením bez jakéhokoliv zabezpečení, aby po zakoupení nemusel zákazník zařízení zdlouhavě konfigurovat a aby zařízení fungovala ihned po zapojení do zásuvky. Nezvaný host se můţe snadno připojit i do velmi vzdálené bezdrátové sítě jen s pomocí směrové antény, i kdyţ druhá strana výkonnou anténu nemá. Navíc většina nejčastěji pouţívaných zabezpečení bezdrátových sítí má jen omezenou účinnost a dá se snadno obejít. Různé typy zabezpečení se vyvíjely postupně, a proto starší zařízení poskytují jen omezené nebo ţádné moţnosti zabezpečení bezdrátové sítě. Právě kvůli starším zařízením jsou bezdrátové sítě někdy zabezpečeny jen málo. V takových případech je vhodné pouţít zabezpečení na vyšší síťové vrstvě, například virtuální privátní síť. [12]
4.2 Páteřní spoje Firma poskytuje internet a další sluţby prostřednictvím sítě ITnet na území města Vimperk a v dalších přilehlých lokalitách pomocí jak bezdrátových, tak kabelových přípojek. Síť můţeme rozdělit do dvou základních částí - z pohledu páteřních spojů - na hlavní a vedlejší. Hlavní páteřní spoje jsou realizovány v pásmu 10GHz a jsou hlavními a nejdůleţitějšími trasami v síti.
17
Obrázek 4.1 Z obrázku (4.1) je zřejmé, ţe hlavní páteřní spoj vede z bodu 1, kde je hlavní ústředna. Hlavní konektivita internetu je přivedena přímo tam, taktéţ technologií 10GHz firmou Terms a.s. Dané pásmo se dnes pouţívá pouze v ČR, je stejně jako např. 2,4GHz a 5GHz pásma volné a na pouţívání a provozování není nutné vlastnit licenci, nicméně je třeba provoz nahlásit (mít ohlášku) na ČTU. Pásmo je kvalitativně rozdílné od předešlých dvou a to především pouţitou technologií, která nevychází z masově vyráběných zařízení, ale je na stejné úrovni jakou jsou profesionální spoje do licencovaných pásem s ohledem na spolehlivost a kvalitu přenášených dat. Technologie je konstruována jako Bod-Bod. Na rozdíl od Wi-Fi je plně duplexní s nezávislým provozem v obou směrech. Pokud tedy WiFi funguje jako klasická vysílačka, která v jeden moment buď přijímá nebo vysílá a musí se dělit o přenosový kanál s protější stranou tak u spojů v pásmu 10 GHz vysílají obě strany neustále, ale na jiných frekvencích (tzv. duplexních kanálech) a kaţdá strana má svůj nezávislý přijímač a vysílač. Při dnešních velice náročných potřebách uţivatele, můţeme nabídnout vysoké rychlosti. Hlavní páteřní spoj vede přes bod 2 a 3 do bodu 4, který je velice důleţitý a strategický pro propojení dalších lokalit. Z kaţdého bodu (v našem případě 1-4) jsou také realizovány spoje do dalších lokalit (části města Vimperk, přilehlé obce a vesnice). Tam kde není moţné dosáhnout přímé viditelnosti je pouţita technologie Wimax v pásmu 3,5GHz. Na přímou viditelnost jsou pouţity spoje v pásmu 5GHz (802.11a). Nároky a potřeby uţivatelů velice rychle narůstají. Zákazník vyuţívá čím dál tím více sluţeb, proto je nutné navrhnout moţné technologie pro zlepšení kvality sluţeb. 18
4.2.1 pouţité technologie V našem případě jsou na hlavní páteřní spoje nasazeny antény od firmy Alcoma s.r.o. Jedná se o minipojítka Alcoma AL10D V90. Orientační dosahy spoje s rezervou na únik 20 dB 44 Mbit/s @ 10 km 66 Mbit/s @ 6 km 90 Mbit/s @ 4 km Vzdálenosti mezi body páteřních spojů nepřesáhnou vzdušnou čarou 4km, takţe v ideálním případě je moţné vyuţít maximální rychlosti do 90Mbit/s. Jak jiţ bylo uvedeno, vedlejší páteřní spoje jsou realizovány v pásmu 5GHz. Kompletní páteřní spoj je realizován ve venkovním provedení deskou RB600A vyuţívající přednastavený RouterOS Mikrotik. Spoj vyuţívá Dual N-Stream s kartami CM9. V době nasazení této technologie do sítě ITnet nebylo pásmo natolik zarušené, proto bylo moţné jednotku přepnout do reţimu Turbo a získat tak přenosovou rychlost aţ 130 Mbps. Tato kapacita byla více neţ dostačující. V dnešní době a při velké konkurenci na trhu je jiţ nutné provést upgrade jednotlivých částí, nabídnout zákazníkům rychlejší a stabilnější internet a kvalitnější sluţby.
4.2.2 routování Routing, česky řečeno směrování. Jedná se o techniku, která slouţí k propojení jednotlivých sítí (přesněji subnetů). Původním zařízením, určeným pro routování byl směrovač (router), ale v dnešní době se velmi vyuţívají L3 switche, firewally nebo pouze servery/počítače. Router přeposílá komunikaci z jedné sítě do jiné. Obrázek (4.2) ukazuje jednoduchý příklad sítě, kde máme subnety A, B a C. Tyto subnety jsou propojeny přes router mezi sebou a také do internetu. Takţe pokud chce například stanice ze subnetu B komunikovat se serverem v subnetu A, tak pošle data na router a ten zařídí doručení do subnetu A. Pokud by stanice chtěla komunikovat do internetu, tak router naopak zašle data na jiný interface.
19
Obrázek 4.2 Dělení sítě na subnety je hierarchické a ve všech propojích musí být router. Při komunikaci pak postupujeme směrem nahoru ve stromu na nejbliţší vrstvu, která propojuje dané subnety, a pak opět dolů. Délka cesty se počítá podle počtu hopů (skok), coţ je kaţdý přechod ze zařízení na zařízení, je to tedy počet routrů v cestě + 1. Přímé spojení dvou počítačů je dlouhé 1 hop. Pouţívá se také termín next hop (další skok) a označuje se jím adresa dalšího routeru v cestě. Na obrázku (4.3) je zachycená situace, kde je znázorněn malý schematický výřez větší sítě (či internetu). Na listech stromu jsou malé routery, ke kterým jsou připojeny switche a počítače. Tyto routery se sdruţují do dalších (větších) a tak dále na několika úrovních. Samozřejmě v praxi jsou větší routery vţdy redundantně, aby byla síť odolná vůči výpadku či kvůli vyvaţování zátěţe. [2]
20
Obrázek 4.3 Důleţité pojmy pro routování: Routing - routování, přeposílání (forwarding) dat mezi sítěmi Route - cesta, která se pouţije, zapsaná v routovací tabulce Router - zařízení, které provádí routování Routing table - routovací tabulka obsahuje záznamy o jednotlivých cestách Routing protocol - routovací protokol slouţí ke směrování routovaného protokolu, určuje nejlepší cestu k cíli a posílá routovací informace dalším routrům Routed protocol - routovaný protokol je IP, IPX atd.
4.3 Zákazníci Pro koncové zákazníky firma poskytuje konektivitu v pásmu 5GHz popřípadě na některých místech je ještě stále vyuţito pásmo 2,4GHz. V nejbliţší době budou všechny přístupové body upgradovány do pásma 5GHz. Technologie pouţitá na vysílání pro zákazníky je zaloţena na platformě Routerboard 433 s OS Mikrotik osazená dvěma miniPCI kartami CM9. Příklad nastavení je vidět na obrázku (4.4).
21
Obrázek 4.4 Výhod RB s ROS je několik, shrnu je do několika bodů: rychlost jednoduchá a pohodlná konfigurace firewall proxy dynamické routování cena Největší výtkou na Mikrotik je rozhodně neposkytnutí zdrojových kódů na svůj systém i přes to, ţe vychází z linuxového jádra. Další velmi nepopulární vlastností je nemoţnost běhu vlastních aplikací v ROS, uţivatel se musí spokojit s jiţ obsaţenými programy. Router OS není nic víc neţ jen síťové nástroj, i kdyţ s širšími moţnostmi. [10] Pro zákazníka jsou pouţita nejrůznější klientská zařízení. Většinou se jedná o klientské outdoor jednotky. Provedení je plně vyhovující a dostačující pro venkovní pouţití. Pro větší vzdálenosti se pouţívají směrové antény, např. PAR24-PRO o průměru 380mm s činitelem směřování do 24dB s miniaturním 5GHz outdoorovým klientem, který lze jednoduše připevnit přímo k anténě s napájením po ethernetovém kabelu. Tím odpadá potřeba pouţití ztrátového koaxiálního kabelu!. Nejrozšířenější jsou produkty od firmy
22
Ubiquity Network, nejvíce pak Wi-Fi UBNT NanoStation5 Outdoor, znázorněný na obrázku (4.5)
Obrázek 4.5 Tato jedinečná venkovní klientská jednotka Ubiquiti NanoStation5 s integrovanou anténou pro pásmo 5 GHz. Jednoduchost instalace jednotky je umoţněna napájením po ethernetu (PoE), softwarovou změnou polarizace integrované antény a univerzálnost zvyšuje moţnost připojení externí antény. Např. NANOBOOT 5 je speciální přídavná anténa pro zařízení NanoStation5, obrázek (4.6), která přidá ke stávající anténě dalších 8dBi dále zůţí vyzařovací charakteristiku na 20° a tím se výrazně zvýší směrovost a prodlouţí dosah. Jednotka má jednoduchou montáţ na stoţár pomocí stahovacích pásek. TCP/IP propustnost je 25 Mbps, jednotka splňuje poţadavky RoHS a CE.
Obrázek 4.6
Pro náročnější uţivatele, spíše pro větší firmy, které mají větší poţadavky a jsou si ochotni připlatit, je nabídnuta konektivita do pásma 3,5GHz. Těchto zákazníků přibývá, a proto je tato technologie vyuţívána stále více a více.
23
4.4 Wimax WiMAX je zkratka anglického označení „Worldwide Interoperability for Microwave Access“. WiMAX je první otevřené řešení pro bezdrátový přístup v pásmech 2–11 GHz, které díky vyspělým technologiím, vyššímu vysílacímu výkonu a pouţití směrových antén nabízí velký dosah signálu – teoreticky kolem 50 km při přímé viditelnosti a několik kilometrů v městské zástavbě při vyuţití spojů bez přímé viditelnosti (NLOS). Výhodou je rovněţ kapacita připojení do 75 Mb/s, kterou lze rozdělit mezi desítky klientů a kaţdému z nich garantovat stabilní přenosovou rychlost. Další vlastností je zabudovaná podpora QoS. Řízení kvality sluţeb umoţňuje na wimaxových spojích provozovat například IP telefonii nebo přenášet video v reálném čase a v dostatečné kvalitě. Hlavním účelem WiMAXu je nasazení vyspělých funkcí v jednotné technologii.
4.4.1 ekonomická stránka Ekonomická stránka rozvoje sítí WiMAX trápí provozovatele v současnosti víc neţ kdy jindy. Technologie se musí dobře „prodat“, aby o ni zákazníci měli zájem, protoţe si dnes jiţ nikdo nemůţe dovolit (jakoukoli) síť prostě postavit a jen doufat, ţe zákazník přijde sám. Ve vysoce konkurenčním prostředí proto vznikají mnohá zajímavá spojenectví mezi dosud tematicky vzdálenými společnostmi, nebo i dřívějšími rivaly. Z finanční krize současnosti promítnuté do telekomunikačního trhu by ale měli v důsledku těţit koncoví uţivatelé. Poskytovatelé sluţeb se totiţ musí hodně snaţit, aby jejich nabídky byly lákavé nejen finančně, ale také obsahově, aby za ně byli zákazníci vůbec ochotni platit. V důsledku to znamená hojně inovovat, přicházet s novými produkty, sluţbami, netradičními kombinacemi, ale také otevírat nové trhy. [14]
4.4.2 stav Ve světě je postaveno 497 sítí ve 133 zemích. Licence na kmitočtové spektrum pro WiMAX byly vydány jiţ celkem ve 140 zemích, a to v počtu 1700. Přibliţně 80 výrobců nabídlo na trh kolem 480 zařízení. Do roku 2011 by mělo být certifikováno tisíc zařízení. V roce 2008 jich bylo 100 a do konce letošního roku 180. I s ohledem na moţnou konkurenci LTE se očekává kolem 133 miliónů uţivatelů WiMAX do roku 2012. 24
Mezi třetím a čtvrtým čtvrtletím 2008 vzrostl počet koncových zařízení certifikovaných podle 802.16e téměř dvojnásobně. Dodnes na trhu s BWA však stále převaţují firemní řešení, přičemţ certifikované systémy podle obou základních norem 802.16 tvoří 43%. Mezi nejběţnější aplikace v komerčních sítích WiMAX patří širokopásmový přístup k Internetu (zhruba u 64% provozovatelů), hlasové sluţby (VoIP, Voice over IP, asi u 32% provozovatelů), video streaming, IPTV (20% provozovatelů nabízí triple-play), virtuální privátní sítě (VPN, Virtual Private Network, nabízí je čtvrtina provozovatelů). Nekomerční aplikace zahrnují e-government, e-learning, e-medicine, bezpečnost veřejnosti a také páteřní propojení. [15]
4.4.3 base Station Základová stanice je realizována pomocí BMAX-MBST-IDU- 2CH-AC BreezeMAX Micro BST indoor jednotky, obrázek (4.7), která je umístěna v RACKU v servrovně.
Obrázek 4. 7
Jedná se o řídící jednotku BS vyuţívající normu 802.16d v pásmu 3,5GHz. Vyuţívá modulaci OFDM a je schopna nabídnout aţ 16 Mbps. Dále je pouţita BMAX-BST-AUODU- 3.5a1 BreezeMAX Base Station, obrázek (4.8).
Obrázek 4.8
Jedná se o outdoor rádiovou jednotku Wimax základové stanice, která je uzpůsobená pro montáţ na stoţár a pro propojení s externí anténou. S vnitřní jednotkou se propojuje přes 25
koaxiální kabel. K tomuto propojení má TNC-female konektor, který je ve spodní části jednotky. Slouţí pro řízení i dohled nad celou sítí (základnová stanice i klientské stanice) a pro připojení bezdrátové sítě k síti provozovatele přes ethernet rozhraní - 10/100BASETX. Management řídící jednotky vyuţívá protokol SNMP, Telnet, popřípadě sériovou komunikaci přes RS-232 port.
4.4.4 klienti Pro připojení klientů, resp. zákazníků se pouţívají klientské WiMAX outdoor rádiové jednotky řady BreezeMAX, typu BMAX-CPE-ODU-PRO-DMe-SA-3.5 s integrovanou anténou se ziskem 17dBi, obrázek (4.9).
Obrázek 4.9
Je určená do pásma 3,5GHz. Obsahuje chipset R2 a je tedy kompatibilní s WiMax normou 802.16d i 802.16e - pouze změnou firmwaru. Umoţňuje připojit tzv. SAU LED indikátor pro zobrazení intenzity přijímaného signálu. Pro napájení je nutné objednat indoor napájecí jednotku - BMAX-CPE-IDU-1D. Propojení s napájecí jednotkou je pomocí STP kabelu kategorie 5 a vyšší.
5 LAN Součástí metropolitní sítě je také několik panelových domů. Konektivita na větší vzdálenost je řešena pomocí spojů v pásmu 10GHz. Hlavní konektivita je přivedena na první panelový dům, na obrázku (5.1) zobrazena červenou linkou, propojení mezi 26
jednotlivými domy jsou řešena pomocí samonosného optického kabelu, na obrázku (5.1) zobrazena ţlutou linkou. Ve výtahové šachtě kaţdého domu je rozvodná skříň s optickou vanou, kde je optika zakončena a připojena do optických konvertorů.
Obrázek 5.1
V kaţdém panelovém domě je vytvořena strukturovaná kabeláţ Cat.5e. Z výtahové šachty je gigabytovým kabelem realizovaný propoj do LAN rozvaděče, do kterého jsou taktéţ svedeny všechny kabely pro potenciální zákazníky, obrázek (5.2).
Obrázek 5.2 27
6 Řízení provozu sítě 6.1 Opteq Opteq international je společnost specializující se na vývoj komplexních síťových management řešení s důrazem na špičkový výkon, bezpečnost a jejich správu. Modulární architektura Opteq iQ, která je vybudovaná na jednotné platformě, nejenţe výrazně odlišuje společnost od ostatních konkurentů, ale zároveň poskytuje jedinečnou robustnost, ovladatelnost a jednoduchost implementace jednotlivých aplikací. Opteq je ideální řešení pro jakýkoliv problém spojený s managementem sítě. Opteq iQ je natolik flexibilní systém, ţe můţe být odpovědí na prakticky veškeré současné výzvy a jako inteligentní systém je otevřen i pro řešení budoucích, dosud neznámých problémů. Samotný produkt Opteq iQ je zaloţen na robustním, optimalizovaném operačním systému, který svojí jednoduchostí správy prostřednictvím web rozhraní odbourává veškeré zaţité představy o sloţitosti síťového managementu při zachování jeho veškerých funkcí a parametrů. Opteq iQ je řešení, které bez jakýchkoliv kompromisů umoţňuje organizacím řídit své sítě takovým způsobem.
6.1.1 struktura Singular i.Q. je jádrem celého systému. Veškeré ostatní moduly systému Opteq iQ běţí nad tímto jádrem a vyuţívají bohatou funkcionalitu poskytovanou tímto modulem. S modulem Singular i.Q. se získá široká sada nástrojů a sluţeb poskytujících podporu pro skutečný síťový management ve firmě. Neustálý nárůst a konvergence řady různých typů provozu v sítích IP způsobuje jejich přetíţení a zvyšuje nároky na jejich management. Modul Bandwith i.Q. řeší tento problém zcela jedinečným způsobem a zároveň zvyšuje výkonnost, spolehlivost a dostupnost takových sítí. Tento modul také zajišťuje měření síťových dat a jejich zpracování.
28
Modul Compress i.Q., zaloţený na standardech, inteligentním a zcela transparentním způsobem redukuje velké mnoţství přenášených dat. Pouţití tohoto modulu prodluţuje významně ţivotnost stávající infrastruktury, významně zlepší výkonnost sítě a tím spokojenost a produktivitu jejích uţivatelů. Prodlouţí také cyklus mezi jednotlivými a nákladnými upgrady sítě a pásma. Firewall i.Q. modul není unikátní pouze tím, ţe je nedílnou součástí integrovaného řešení síťového managementu (řeší úkoly síťové bezpečnosti), ale sám o sobě poskytuje jedinečný a komplexní přístup k bezpečnosti jako celku. Tento modul pokrývá všechny dosud známé hrozby spojené s propojováním sítí a dosahuje těch nejlepších výkonnostních parametrů mezi firewally. Modul Mail i.Q. řeší komplexní ochranu emailové komunikace a její správu. Pokud je třeba ochránit systém od takových hrozeb, jako jsou viry nebo spam, nebo pouze monitorovat, případně řídit emailovou komunikaci, pak tento modul zaručí, ţe organizace obdrţí pouze ty emaily, které poţaduje a nebude vystavena ţádnému nebezpečí spojenému s emailovou komunikací. Úkolem Real Time i.Q. je poskytovat detailní a srozumitelné informace o dění v síti a k ní přípojených zařízeních. Poskytované informace umoţňují provádět hloubkové a detailní analýzy chování sítě, na jejichţ základě je moţné stanovit správný návrh sítě, síťových pravidel, managementu sítě nebo opatření na bázi dalších modulů Opteq i.Q. Modul Web i.Q. umoţňuje organizacím řídit a spravovat veškeré moţné parametry web komunikace v síti. Poskytuje klíčovou ochranu web komunikace a zvyšuje její výkonnost. Zároveň je kladen velký důraz na to, aby způsob zobrazení jednotlivých parametrů a způsob jejich zadávání dovoloval definovat, implementovat a prosadit ta správná a přístupová pravidla. [1]
6.1.2 základní profily V modulu Bandwidth i.Q. v sekci Profiles and Policies je moţné si prohlédnout, editovat nebo mazat profily. Kaţdý profil má určité jméno, které poukazuje, pro co nebo pro jaký okruh zákazníků je profil vytvořen, znázorněno na obrázku (6.1).
29
Obrázek 6.1
V našem případě se profily rozdělují na profily určené pro Wi-Fi zákazníky (H_WIFI_x, F_WIFI_x), kde se dále dělí podle typu zákazníka na firemní a na domácí uţivatele a zákazníky připojené na kabelový internet (H_LAN_x). x je číslo, značící u profilu rychlost poskytovaného inernetu. Příklad na následujícím obrázku (6.2) ukazuje profil nazvaný F_WIFI_1.
Obrázek 6.2
Tento profil je určen pro firemní zákazníky se základní potřebou běţného uţívání internetu, prohlíţení www stránek, posílání emailů apod. Kaţdý profil musí mít své jméno. Nastavuje se rychlost downloadu a uploadu, tj. příchozí a odchozí komunikace. Nezbytně důleţitá je priorita sluţby.
30
Na rozdíl od profilů pro domácí zákazníky jsou firemní odlišné v rychlosti poskytovaného internetu zejména pak vyšší prioritou, tzn. při větším vytíţení sítě jsou zákazníci s vyšší prioritou upřednostňováni. Profily jsou nezbytnou součástí při vytváření pravidel (rules), která jsou jednotlivě přiřazena všem zákazníků v závislosti na poskytované sluţbě, obrázek (6.3).
Obrázek 6.3
6.1.3 monitoring Neméně důleţitá je funkce monitorování jak celé sítě, tak jednotlivých zákazníků, různé statistiky, bps reporty, Pps reporty, bps vs. Pps, skupinový monitoring atd. atd. U kaţdého zákazníka si můţeme vyjet statistiku přenesených dat za určité období, obrázek (6.4).
Obrázek 6.1
31
I kdyţ firma nenabízí tarify s omezenými počty dat měsíčně, kdy kaţdý zákazník není vázán jak časově tak datově, je dobré tyto statistiky mít v případě záporné reakce ze strany zákazníka. Je také dobré znát celkovou vytíţenost linky (ozn. WAN1) nebo jednotlivých linek, pro případ posílení páteřních spojů, případně upgradu vysílačů v jednotlivých lokalitách. Statistiky zobrazují například sumu přenesených dat jak na příchozí tak na odchozí komunikaci (udávanou v bytech) a celkovou a průměrnou rychlost (udávanou v bps). Pro příklad uvedeno na obrázku (6.5)
Obrázek 6.2
III Návrh komplexního řešení modernizace sítě 7 Upgrade jednotlivých části sítě ITnet 7.1 Bezdrátová část 7.1.1 hlavní páteřní spoje Hlavní páteřní spoje jsou nejdůleţitější částí metropolitní sítě ITnet. Jedná se o bezdrátové spoje slouţící na propojení důleţitých lokalit. Pokrytí sítě je zatím jen v oblasti města Vimperk a nejbliţších přilehlých lokalitách. Pro připojení více uţivatelů je třeba síť rozšířit do dalších lokalit. Pokusím se nastínit směr moţného řešení. Hlavní propoje by se týkaly jak přímo města Vimperk, tak do tří, popř. čtyř největších přilehlých obcí, obrázek (7.1), tj. Zdíkov, Stachy, Vacov a popř. Čkyně.
32
Obrázek 7.1 Na obrázku jsem také vyznačil důleţité body 1 a 2 pro umístění technologií. Bod 1 je místo nedaleko Vimperka, kde se nachází vysoký komín bývalé kotelny. Bod 2 je rozhledna v obci Javorník. Tyto dva body nám zaručí přímou viditelnost mezi sebou i do ostatních lokalit. Vzdálenost jednotlivých páteřních spojů nepřesáhne 10km. Moţností se nabízí hned několik. Z licencovaných pásem bych se zaměřil na pásma 11 a 18GHz, popřípadě 26GHz, z nelicencovaných, resp. volných pásem na 10GHz. Největší vzdálenost je mezi hlavními body 1 a 2 , tj. 10km vzdušnou čarou.
Pro tuto skutečnost se nám naskýtají 2 moţnosti: a) spoj v licencovaném pásmu 18GHz – nasazením vysokokapacitní PtP bridge norské společnosti Nera Networks a.s., řady METRO s přenosovou rychlostí 150Mbps Výhody: kvalitní licencované pásmo
spoj lze na přímou viditelnost sestavit aţ na vzdálenost 30 km s latencí menší neţ 1 ms!
vytváření zálohových spojů
navýšení propustnosti se řeší jen upgradem softwaru bez výměny hardwaru 33
Nevýhody: vysoká pořizovací cena
platba za přiřazení licencovaného pásma
b) Spoj ve volném pásmu 10GHz – nasazení mikrovlnného radioreléového spoje AL10F od firmy Alcoma s.r.o. Hlavní rysy:
volné kmitočtové pásmo 10GHz
moţnost softwarového upgradu
adaptabilní modulace, sníţení modulační rychlosti v případě nedostatečné hodnoty RSL a SNR
vysoká provozní spolehlivost a klimatická odolnost
V našem případě (poţadovaná rychlost okolo 150Mbit/s) je nutné na spoj nasadit antény o průměru 1,2m. Je vyuţit kanál 28MHz a modulace 128QAM. Toto je moţné vyuţít aţ na vzdálenost 13km. Po zváţení všech kladů a záporů bych se přiklonil k variantě b) – nasazení spojů v pásmu 10GHz. Pořizovací cena jednoho spoje v pásmu 18GHz v našem případě je cca 880 000,- bez DPH, vč. licence. Tato investice, kde u varianty b) je cena 1 spoje cca 193 000,- bez DPH, nám pokryje náklady zhruba na 4-5 spojů. Ostatní spoje budou realizovány na kratší vzdálenosti, a proto nám budou stačit antény o průměru 65cm pro dosaţení poţadované rychlosti. Nesmíme opomenout upgrade jiţ stávajících spojů, kde se bude jednat jen o výměnu stávajících anténa za antény s větší propustností. Opět bychom pouţili antény typu AL10F od firmy Alcoma s.r.o. Investice vloţené do rozšíření a upgrade stávající sítě by se měly vrátit zhruba do 2 let. V kaţdé nové lokalitě je 900-1300 obyvatel, kdyţ počítáme všechny věkové kategorie. V reálu počítám tak se 400-800 moţnými potenciálními zákazníky v kaţdé lokalitě, kteří budou schopni vyuţívat sluţeb internetu. Technologie pouţité na rozvoj sítě poskytují vysokou spolehlivost a vysokorychlostní internet. Věřím, ţe by to mělo za následek masivní přechod od konkurencí, tím získání nových zákazníků.
34
7.1.2 vedlejší páteřní spoje Upgrade spojů se dá řešit několika způsoby, pouţitím nejrůznějších technologii. Firma IT Profi s.r.o. poskytuje výhradně sluţby připojení bezdrátového internetu. Pro zlepšování kvality sluţeb je nutné všechny vedlejší páteřní spoje upgradovat. Nastínil bych několik řešení pro upgrade spojů.
Nasazení technologie v pásmu 60GHz – a to pouţitím zařízení Gigawawelink GW60-16. Tento páteřní spoj pro spojení bod-bod je schopen do vzdálenosti aţ 2km poskytnout stabilní rychlost, řádově desítek Mbit/s. Hlavními přednostmi jsou malé rozměry, kompaktní provedení a malá váha, vysoká spolehlivost, nízká spotřeba energie
Technologie v pásmech 23, resp. 26GHz – přesněji nasazení minipojítka AL23MPSP, od firmy Alcoma, o výkonu 15dBm, pouţívající modulaci QPSK. Jedná se o zařízení v licencovaném pásmu. Spoj umí nabídnout přenosovou kapacitu aţ 40Mbit/s do 5km.
Po návrhu rozšíření sítě, popsané v bodu 7.1.1, se naskytují další moţnosti připojení menších vesniček, popřípadě obcí, zhruba do 200-400 reálných zákazníků schopných vyuţít nabízených sluţeb. Vzdálenosti jednotlivých dalších menších lokalit počítáme od 1 do 6km. Nasazení technologií v pásmu 60GHz z mého pohledu odpadá, pokud by vzdálenost přesáhla 2km. Nemohli bychom maximálně vyuţít přednosti tohoto spoje. V těchto menších lokalitách nepředpokládám takový masivní nárůst uţivatelů, proto bych asi vyloučil nasazení technologií v licencovaných pásmech a tím sníţil další náklady za placení licencí pro provoz takovýchto zařízení. Doporučil bych pouţití technologií v nelicencovaném pásmu 10GHz od firmy Alcoma s.r.o. Při upgradu stávajících hlavních páteřních spojů, popsáno v kapitole 7.1.1, nasazení nových spojů nám otevírá moţnosti pouţití stávajících minipojítek Alcoma AL10D V90, které na vzdálenost 6km jsou schopny poskytnout rychlosti do 66Mbit/s. Pokrytí všech lokalit bude poměrně náročné, a proto je třeba se řídit jednoduchými zásadami. Několik z nich se pokusím nastínit. Vysílané kmitočty obou zařízení - tzv. kanálové páry podle doporučení ČTÚ mají být laděné po „řádku“, s pevným doporučeným duplexním odstupem 168 MHz. 35
Nikoliv „kříţem“, jak je vidět na obrázku (7.1). Ladění „kříţem“ znehodnocuje efektivní vyuţití pásma, můţe být zdrojem rušení pro ostatní a naopak je vyšší pravděpodobnost, ţe bude zařízení samo rušeno.
Obrázek 7.1 Musíme dbát na vlastnosti jednotlivých spojů, které chceme nasadit. Např. pokud bychom nasadili spoj, který se vlivem tepla sám přelaďuje a zasahuje šířkou pásma do ostatních spojů, můţe vzniknout celkové rušení vlastních i cizích spojů. Pomocí měřících přístrojů, jako je měřící konvertor a měřič úrovně, je třeba důkladně prozkoumat kmitočtové pozadí na celé šíři pásma v obou polarizacích. Důleţité je také zjistit, zda je z bodu na bod zaručena přímá viditelnost a zdali není narušená Fresnelova zóna. Pokud je Fresnelova zóna narušena vertikálně, zvolíme horizontální polarizaci a naopak. Objekt narušující Fresnelovu zónu v lepším případě signál pohltí a způsobí útlum, v horším případě signál přijímaného signálu různě fázově či amplitudově znehodnotí. Jednou z nejdůleţitějších zásad je ujistit se, zda jsou paraboly důkladně nasměrovány a to na hlavní lalok vyzařovacího diagramu antény, nikoli na její boční lalok. Pokud budeme plánovat nasazování parabol na bod, kde je jiţ umístěno více parabol a jsou směrovány přibliţně stejným směrem (obrázek 7.3), je důleţité nasadit takové spoje, které dokáţou vhodně zvoleným filtrem utlumit signál z opačné poloviny kmitočtového spektra. Vysílané kmitočty jsou znázorněny na následujícím obrázku (7.2). [13]
36
Obrázek 7.2
Obrázek 7.3 Další důleţité parametry jsou: a. rezerva na únik by měla být kolem 20dB – logicky spoj na 1 km nemusí mít tak velkou rezervu jako spoj na 20 km b. odstup signálu od šumu – určit tento parametr je velice důleţité, aby nedošlo k situaci, kdy SNR(odstup signál šum) nebyl menší neţ rezerva na únik. Pak by i dost velkou rezervu degradoval na úroveň SNR ţe SNR by měl být pokaţdé větší, maximálně roven, neţ rezerva na únik.
37
7.1.3 zákazníci Po upgradu jednotlivých částí sítě ITnet, zejména kabelových rozvodů v panelových domech (bude rozebráno v kapitole 7.3), bude moţné nabídnout rychlosti řádově 100MBit/s. Pokud je k zákazníkovi přivedena konektivita např. 150Mbit/s a jsou plně vyuţívané bezdrátové technologie pro lokální privátní bezdrátové sítě, doporučil bych začít vyuţívat standard 802.11n. Standard 802.11n byl vytvořen jako doplněk standardu pro bezdrátové sítě IEEE 802.11. Na standardu se začalo pracovat jiţ v roce 2003, o rok později podali členové WiFi Aliance základní návrhy na jeho vytvoření – cílem bylo vyrovnat se tehdejšímu Ethernetu a dosáhnout tak přenosové rychlosti alespoň 100 Mbit/s. Datum jeho předpokládaného dokončení se však několik let odkládal a vzešlo pouze několik návrhů. Finální schválení standardu se očekává v listopadu letošního roku (2009), nicméně na „bezdrátovém trhu“ je jiţ velká spousta zařízení podporujících 802.11n Draft 2.0. Příklady klientských zařízení podporujících tento standard jsou vidět na obrázku.(7.4)
Obrázek 7.4 802.11n významně zvyšuje maximální přenosovou rychlost bezdrátové sítě, upravuje fyzickou vrstvu a část linkové vrstvy, takzvanou Media Access Control (MAC) podvrstvu. Díky tomu lze dosáhnout zvýšení přenosové kapacity na fyzické vrstvě z nynějších 54 Mbit/s na 600 Mbit/s. Současný stav techniky však umoţňuje přenosovou rychlost na fyzické vrstvě „pouze“ 300 Mbit/s při pouţití 40MHz kanálu. Reálná propustnost se pohybuje okolo 130 Mbit/s. V reálu 802.11b sliboval 10 Mbit/s a reálná rychlost je menší neţ 5 Mbit/s. 802.11g nabízel teoretické maximum 54 Mbit/s a poskytuje okolo 20 Mbit/s. I kdyţ tedy 802.11n umoţňuje rychlost „pouze“ 130 Mbit/s oproti slibovaným 300 Mbit/s, v bezdrátové technologii je to i tak velký krok kupředu. Klíčovými vlastnostmi standardu 802.11n jsou MIMO technologie (Multiple-Input Multiple-Output), 40MHz kanál na fyzické vrstvě a funkce shlukování rámců na podvrstvě MAC. 38
MIMO pouţívá více vysílacích a přijímacích antén. Díky tomu se zvyšuje kapacita přenosu informací po více rádiových kanálech, které se ovšem „vejdou“ do šířky pásma kanálu jediného. Další výhody 802.11n jsou diverzita antén a prostorový multiplexing, s čímţ souvisí i prostorové zvýšení dosahu bezdrátové sítě. MIMO technologie počítá s vícecestným šířením signálu. Vícecestné signály jsou odraţené signály, které přicházejí do přijímače s určitým zpoţděním oproti signálům v přímém směru (LOS). [4]
7.2 Wimax Wimax je jeden z velmi stabilních a poměrně klíčových prvků sítě ITnet. Technologie je na vysoké úrovni. Klienti jsou spíše firmy, školy a další větší organizace, které potřebují velice kvalitní sluţby včetně QOS, VOIP připojení ústředen atd. Upgrade této části sítě je velmi důleţitý, a proto bych určitě navrhl přikoupení licence na rozšíření. Jedná se o softwarový klíč pro upgrade základnové WiMAX stanice BreezeMAX. Uvolní základnovu stanici pro připojení aţ 50 klientských stanic. Tento upgrade rozšíří maximálně moţný počet klientských stanic připojených na základnovou stanici z 20 na 50. Pro vygenerování licence je nutné sdělit MAC adresu management portu základnové stanice. Licence není přenosná, je vázaná na daný hardware. Po stále větším zájmu a mnoţství klientů bych dále doporučil maximální rozšíření, zakoupení další licence pro připojení aţ 150 klientských stanic.
7.3 Kabelové připojení V lokalitě, kde je poskytováno kabelové připojení se nachází uskupení panelových domů do sídlišť. V kaţdém panelovém domě i třeba jen v osmitisícovém městě je mnoho moţností pro připojení klientů (zákazníků). Jiţ v průběhu letošního roku firma začala vytvářet strukturu moţných přípojek v jednotlivých panelových domech. Pokusil bych se navrhnout upgrade stávající technologie pouţité pro poskytování internetu právě v těchto lokalitách. Kaţdý zákazník si pod pojmem kabelový internet představí vysokorychlostní a hlavně stabilní internet s moţností bezproblémového „surfování“ po internetu, stahování filmů, hudby, ale samozřejmě také telefonování (VOIP sluţby) a sledování IP televize. Pokud má zákazník na výběr mezi bezdrátovým a kabelovým připojení, ve většině případů volí kabelový internet. Nicméně, pokud poskytovatel internetu má dobře vyřešenou 39
infrastrukturu sítě a zvolené vhodné technologie, není ţádný problém zákazníka přesvědčit i názorně ukázat, ţe bezdrátové připojení je velice stabilní a neméně kvalitní připojení, jako připojení kabelové. Samozřejmě, ţe kabelové připojení má velkou výhodu v tom, ţe je moţné nabídnout mnohem větší rychlosti (řádově aţ stovek Mbit/s), a tak nalákat více zákazníků. A tohle je také jeden z důvodů, proč je nutné v našem případě provést kompletní zasíťování co největšího mnoţství panelových domů. Budeme se zabývat návrhem technologie pro hlavní sídliště v dané lokalitě (obrázek 7.5).
Obrázek 7.5 Červenými linkami jsem znázornil dva hlavní propoje k blokům panelových domů. Vzhledem k faktu, ţe bloky B a C jsou v poměrně větší vzdálenosti a zatím není moţné v dané lokalitě na takovou vzdálenost provádět výkopové práce pro uloţení optických kabelů a také není moţné pouţít stávající metalický rozvod, je nutné zvolit jinou alternativu připojení. Vzdálenosti mezi jednotlivými body jsou do 500m. V tomto případě za daných okolností je jedinou variantou pouţití mikrovlnných spojů. I přes zvyšující se dostupnost optické pozemní infrastruktury (v našem případě není na tuto vzdálenost moţná) získávají tyto technologie nezastupitelnou roli. Rostoucí poţadavky na přenosovou kapacitu ovšem vyţadují šířku pásma, která na běţně vyuţívaných frekvencích není vţdy k dispozici. Tomu vycházejí vstříc nové výkonné technologie, pracující na velmi vysokých kmitočtech. V České republice byly pro pevné rádiové spoje (v dubnu 2008) uvolněny frekvence 74-76 GHz a 84-86 GHz (označované souhrnně jako "pásmo 80 GHz"), a to všeobecným 40
oprávněním Českého telekomunikačního úřadu (ČTÚ) č. VO-R/23/04.2008-4. Podle něj lze stanice v uvedeném kmitočtovém rozsahu provozovat bez individuálního oprávnění, jedná se tedy o tzv. volné pásmo. Výrobců, schopných komerčně nabídnout bezdrátové spoje v pásmu milimetrových vln, není příliš mnoho. Jedním z velice úspěšných je společnost Gigabeam Corporation, která mimo jiné nabízí řešení pro bezdrátovou komunikaci v pásmech 60 a 80 GHz Jednou z variant je vyuţití právě pásma 60GHz. Vzhledem k přenosovým vlastnostem tohoto pásma lze dosáhnout vysokých rychlostí přes 100 Mbps full-duplex s omezením přenosové vzdálenosti na maximálně 2 km. Spoje jsou úzce směrové a dovolují vysokou hustotu nasazení. Řešení je vhodné zejména pro připojení celých budov k optické síti, překonání překáţek (místo překopů ulic, ţelezničních tratí, přemostění vodních toků atd.),tedy přesně to, co potřebujeme v našem případě. Spoje lze také výhodně pouţít jako náhradu nebo zálohu venkovních optických pojítek (FSO). Podmínkou provozu je přímá viditelnost. Zařízení v pásmu 60 GHz jsou rozměrově velmi malá a technologii lze snadno a rychle montovat. U 60 GHz je moţné zajistit vysokou kvalitu přenosu. Technologie pro toto pásmo dovoluje garantované přenosové rychlosti. My ale chceme nabídnout ještě větší rychlosti pro nalákání co největšího počtu zákazníků, proto nejvhodnějším řešení, které bych navrhl, je nasazení spoje GigaBeam WiFiber 1 Gbps Full-Duplex (obrázek 7.6).
Obrázek 7.6
Vyuţitelná přenosová kapacita je aţ 1 Gbps Full-Duplex.!! Kaţdá strana spoje je tvořena venkovní radiovou jednotkou s integrovanou parabolickou anténou průměru 60 cm s radomem, venkovní rozvodnou skříní a 2 redundantními napájecími zdroji. 41
Datový vstup je gigabitová optika, management port je 10/100Mbps Ethernet, napájení 48 V zdroji. Spoj vyhovuje všeobecnému oprávnění VO-R/23/04.2008-4 a umoţňuje realizovat vysokorychlostní spoje na vzdálenost 2 km (omezeno VO ČTÚ, dosah technologie je větší). U takto vysokých frekvencí je pro dosaţení vysokých přenosových rychlostí nezbytné pouţívat velice spolehlivé modulační technologie a velikou šířku přenosového pásma. Konkrétně pro full-duplexní přenos 1Gbps je zapotřebí 2x 1,25GHz pásmo, pojítko pouţívá robustní BPSK modulaci. Pouţité frekvence jsou ovlivňovány hlavně deštěm, mlha ani vzdušná vlhkost přenosové parametry nikterak výrazně neovlivňují. Z tohoto důvodu technologie dosahuje spolehlivost 99,999% (max. výpadek 5minut ročně) na vzdálenost 2 km na 80% území Evropy. Jediný faktor, který můţe ovlivnit stabilitu datových přenosů v pouţitých frekvenčních pásmech, je intenzivní, přívalový déšť. V případě instalace pojítka s projektovanou spolehlivostí 99,999% je spoj navrţený tak, aby odolal dešti o intenzitě přes 80mm vodního sloupce na hodinu, 99,9% je dimenzovaný na déšť 10mm/hod (velmi intenzivní letní bouřka s přívalovým deštěm). Z tohoto důvodu a vzhledem k zaměření výrobce se doporučuje instalovat spoje GigaBeam na vzdálenost do sedmi kilometrů! Nejdelší provozovaný spoj je však 13km. V našem případě vzdálenost nepřesáhne 500m, takţe tímto spojem maximální vyuţíváme dané technologie. Ţlutými linkami jsou pak znázorněny propoje jednotlivých domů, (obrázek 7.5). V době masového vyuţití internetu zaznamenává Česká republika v současné době třetinu domácností připojených k celosvětové síti internet. Proto je více neţ nutné provést zasíťování jednotlivých bloků sídlišť pro připojení zákazníků. Stávající propoje jednotlivých panelových domů, které byly jiţ v minulosti realizovány v bloku C (viz. kapitola 5 LAN), je třeba nahradit novým rozvodem. Zde je moţné vyuţití dvou variant: a. Pouţití stávajícího metalického rozvodu – navrhl bych pouţití VDSL konvertorů typu VC-201A. Tyto konvertory jsou schopny nabídnout aţ 90/90 Mbit/s na vzdálenost do 0,4km. Pro vzdálenost 1,6km velice přijaté parametry – 20/15Mbit/s – tato varianta není tak nákladná, ale dvouvodičové vedení je omezeno rychlostí v závislosti na délce. 42
b. Pouţití optických rozvodů. Samotných variant optických přípojek FTTx je celá řada, např. FTTN (Fiber to the Node), FTTH (Fiber to the home), FTTB (Fiber to the Building), protoţe optická přístupová síť můţe být rozvodnými kabely od rozvaděče dovedena aţ přímo k samotnému uţivateli. Nebo můţe končit u domu, odkud je dále signál rozváděn koaxiálním kabelem nebo kroucenou dvoulinkou, anebo můţe končit u poskytovatele přístupové sluţby (obrázek 7.7). [9]
Obrázek 7.7
V našem případě lze předpokládat masové připojení uţivatelů. Firma chce nabízet velké rychlosti, proto nám varianta a), i kdyţ není tak nákladná, nevyhovuje. Přiklonil bych se k vybudování infrastruktury optických sítí. Při nasazení všech navrhovaných technologií si firma jako poskytovatel internetu můţe dovolit nabídnout velké rychlosti (řádově desítky aţ stovky Mbit/s), tím pádem se vyplatí pustit se do varianty FTTB, kde se optický kabel přivede na patu panelového domu, kde je jiţ realizována strukturovaná kabeláţ pomocí UTP kabelů Cat.5e.
43
Hrubý odhad nákladů na realizaci zasíťování jednotlivých panelových domů: části optická infrastruktura bezdrátová infrastuktura ostatní náklady Celkem (bez DPH)
finance 2 000 tis. Kč 1 200 tis. Kč 200 tis. Kč 3 400 tis. Kč
Parametry sítě: části délka optických kabelů (m) počet objektů propojených optickým kabelem počet bezdrátových spojů
2000 43 2
V průměru jeden panelový dům má 6 pater po 4 bytech, tzn. 24 přípojek. Celková realizace je 43 objektů cca 1030 potenciálních klientů. Nejniţší kabelový tarif, který firma nabízí, je 300,- bez DPH. V ideální situaci by mohl být měsíční příjem 300 000,- bez DPH. Investice by se mohly jiţ za rok vrátit, nicméně se návratnost počítá tak za 2-4 roky.
7.4 Dynamické routování S rozvojem sítě, vzrůstem počtu připojených klientů, přibýváním přípojným míst v daných lokalitách je třeba přejít od statického routování k dynamickému. V případě dynamického routování je routovací tabulka nastavována (a aktualizována) dynamicky (automaticky) podle dění v síti od ostatních routerů. Toto řešení je výhodné ve větších sítích, ve kterých se nachází více routerů, a díky tomuto způsobu lze např. "obejít" výpadek jednoho z nich (v takovém případě dojde automaticky k aktualizování routovací tabulky a pakety budou putovat jinudy).
7.4.1 protokol OSPF Název znamená Open Shortest Path First a jedná se o protokol pouţívaný pro interní routování uvnitř autonomního systému (AS). Autonomním systémem můţe být např. infrastruktura ISP - linky po republice nebo v menším měřítku například Wi-Fi síť v nějaké
44
lokalitě. OSPF a dynamické routování obecně se pouţívá v případech, kdy se cesta ven (default route) dá uskutečnit více neţ jednou trasou. OSPF je tzv. link-state protokol, pomocí kterého si sousední routery prostřednictvím hello paketů vyměňují informace o stavu linek a kaţdý z routerů v dané oblasti zná celou topologii sítě. Výchozí konfigurace je hello paket jednou za 10 sekund a pokud nepřijde ţádná odezva do 40 sekund vyprší dead interval a linka je prohlášena za mrtvou. Poté následuje přepočet a router hledá cestu jinudy, nezapomene však informovat všechny své sousedy. OSPF zjištěné informace předá, ve kterých jsou jiţ známy nové default routy a routy přijaté od sousedů. Příklad dynamického okruhu:
Obrázek 7.8
Na obrázku (7.8) je vidět situace, kdy router A je tzv. hraničním routerem v oblasti, routery B a C jsou routery v různých lokalitách této oblasti. Z obrázku rovněţ vyplývají moţné cesty ven. V tomto případě se tedy postaráme o to, ţe router A bude propagovat ostatním routerům sebe jako default routu. Pomocí cost můţeme určit "cenu" linky a tím určit i preferovanou trasu, nebo můţeme traffic rovnoměrně rozprostřít (load balancing, equal cost multipath) a nechat jej téct více směry. Dokonce můţeme zařídit, ţe směr ven půjde jinou cestou neţ směr dovnitř. V našem případě pouţijeme na všech spojnicích cost 100,
45
tedy všechny tři linky jsou kvalitativně stejné. Neurčujeme ţádnou preferovanou trasu. Platí princip, ţe čím menší cost, tím kvalitnější linka a má přednost. V případě poruchy linky např. mezi routerem A, B se tedy nastaví na routeru B defaultní routa přes C s costem 201 a rovněţ cost na router A bude 200. Na routeru A bude cost na router B 200 a trasa bude přes router C. Samozřejmě, ţe se vzájemně vypropagují i routy na sítě BB a CC. Pro všechny případy je nutné vypnout na routerech RP Filter, aby routerům nevadilo, ţe odpověď na paket odeslaný jedním rozhraním můţe přijít z jiného. Neméně důleţité je také zabezpečení. Pokud by se útočník dostal do sítě a vhodným softwarem by dokázal generovat falešné OSPF pakety, mohl by způsobit změny v routovacích tabulkách, destabilizovat, či úplně přerušit traffic v síti, nebo dokonce nechat směrovat cizí traffic na sebe. Tomu je moţno zabránit autentizací OSPF paketů. Autentizace můţe být provedena dvěma způsoby: buď heslem, které je třeba nastavit na všech routerech, nebo pomocí md5 (Message-Digest algorithm). Pomocí hesla je to méně bezpečné, protoţe heslo putuje po síti a lze jej odposlechnout. MD5 autentizace posílá po síti v OSPF paketu md5 hash, který je vypočten z obsahu OSPF paketu, klíče, router-id a sekvenčního čísla. Po síti se tedy klíč neposílá. Tato metoda je díky sekvenčním číslům odolná proti pozdějšímu přehrávání odchycených paketů (replay attack). Pouţitím md5 autentizace pochopitelně vzrůstá zátěţ procesoru. [3]
7.5 Informační systém Vzhledem k nárůstu uţivatelů a potřeb poskytovatele je třeba stávající informační systém na management sítě (zmíněný v kapitole 6.1) nahradit takovým řešením, které mimo vlastní správu sítě umoţňuje i kompletní administraci, včetně zabezpečení, managementu routeru, podpora QoS a v neposlední řadě i plánování úkolů, servisních zásahů a fakturace a evidence plateb klientů. V současné době firma disponuje pouze informačním systémem na správu sítě a ostatní činnosti související s administrací, jako například fakturace, evidence servisních zásahů, objednání sluţby atd. se řeší softwarem, který je pouţitelný pouze pro jednu konkrétní činnost. Například účetní program Pohoda.
46
Při analýze moţnosti pro navrţení stávajícího informačního systému jsem se seznámil s několika produkty. Jako první mě zaujal produkt s názvem CACTI. Tento produkt je kompletní rozhraní, které ukládá veškeré potřebné informace k vytvoření grafu a zakreslí jej s údaji do databáze. Rozhraní je kompletně řízeno pomocí PHP. K dispozici je také SNMP pro ty, kteří jej pouţívají pro vytváření grafů provozu. Z hlediska monitoringu sítě a grafickému znázornění provozu je tento produkt na vysoké úrovni avšak pro konkrétní potřeby firmy je nedostačující, jelikoţ nezohledňuje komplexní řešení správy sítě a administrativu s ní spjatou. K dalším moţnostem patří i produkt společnosti WILIGEAR (Wireless Linux Gear) WILIS. WILI-S je vhodný na vysokovýkonné a bezpečné ovládání běţných, ale i bezdrátových IP zařízení. V srdci WILI-S řídícího subsystému je jednoduchý konfigurační soubor a RCMS agent, který spolu s RCMS serverem vytváří strukturu pro rychlé síťové rozmístění a řízení. Jednou z nevýhod toho systému je skutečnost, ţe tento informační systém je svojí kompatibilitou nejvhodnější právě jen pro zařízení společnosti Wiligear, tím pádem by muselo dojít k výměně platforem pro jiţ existující zařízení. Řešením naší situace by mohl být systém ISP admin. Vzhledem k nekomplexnosti dvou předchozích systémů jsem se rozhodl k výběru právě tohoto informačního systému firmy NET service solution, s.r.o. ISP Admin je komplexní informační systém, který by měl pokrýt většinu potřeb firmy IT Profi s.r.o.. Tento rozsáhlý projekt zajišťuje zejména: Administraci a celkovou správu sítě ISP Evidenci koncových klientů včetně vykreslování grafů jednotlivých klientů Správu klientských sluţeb, pouţitého materiálu, fotodokumentace, servisních zásahů, apod. Informační zprávy pro klienty s moţností jejich hromadného rozeslání Správa smluv a dokumentů, zálohy a export uţivatelů Sledování zařízení v síti a hlášení o jejich případném výpadku Nagios monitorovací systém Statistiky serveru (např. vytíţení linky, CPU, pamětí a další statistiky) Plánovací modul, který obsahuje podrobné moţnosti plánování činnosti techniků pro jejich efektivní vyuţití 47
Součástí systému je také právě modul fakturace, který dosavadnímu systému chyběl a stále probíhala forma zasílání faktur pozemní poštou. Při nynějším velkém počtu zákazníků by měl systém ISP admin jiţ rozesílat faktury prostřednictvím emailu v elektronické podobě, a tak ušetřit spoustu práce a financí. Kaţdý měsíc se provede automatické vystavení faktur všem klientům. Faktury jsou následně ve formátu PDF odeslány emailem. Systém kontroluje úhrady faktur podle importovaného bankovního výpisu a v případě prodlení úhrady automaticky provede pozastavení sluţby klienta. Vystavené faktury se poté mohou exportovat do účetního programu Pohoda, který firma vyuţívá. Kaţdý klient má přístup do svého uţivatelského portálu, kde má přehledně zobrazené vystavené faktury, úhrady, grafy přenesených dat a informace zasílané provozovatelem systému. Uţivatelské rozhraní je nyní lokalizováno do pěti jazyků. ISP admin celkově zjednodušuje a ulehčuje práci administrátorům sítě a umoţňuje provádět správu i méně technicky zdatným uţivatelům, například obchodním zástupcům, asistentům callcentra, sekretářkám apod. Díky systému ISP admin má poskytovatel okamţitě k dispozici veškeré dostupné informace o klientech, dříve řeší problémy atd.
7.5.1 uţivatelé Administrační systém ISP admin umoţňuje efektivní správu připojených klientů. Klienti jsou přehledně organizování podle routerů, typu připojení, nastaveného tarifu a dalších kritérií. Kaţdý klient má také nastaven tarif z přednastaveného seznamu, který je stejný jako u předchozího IS, je rozdělen na tarify pro WIFI DOMA a WIFI FIRMA a pro uţivatele připojené přes kabelový internet na tarif KABEL. V seznamu uţivatelů je také moţné fulltextově vyhledávat a tím efektivně a jednoduše nalézt potřebné informace. V záloţce úvod jsou obsaţeny informace o uţivateli a stavu vyuţívání systému: Systémové informace (přihlášený uţivatel, licence) Sluţby (obecné informace o sluţbách Internet, VOIP a počtu jejich uţivatelů) Routery (počet online, offline a celkový počet routerů v systému) Plánování (přehled vyřešených a nevyřešených plánovaných úkolů a celkový souhrn) 48
Uţivatelské informace (uţivatelé online, offline, celkem, se sníţenou rychlostí a s pozastavenými sluţbami) Fakturace (počty faktur vystavených, uhrazených, neuhrazených a neuhrazených faktur po splatnosti) Plánování (seznam nesplněných úkolů přihlášeného uţivatele) Nástěnka (rychlý přístup na nástěnku se vzkazy) Pokud je přidán nový uţivatel, systém automaticky provede technické nastavení klienta na routeru. To v praxi znamená, ţe se připojí na cílový router, provede povolení Klientovy IP adresy na firewallu, nastaví QOS, omezení rychlosti a provede nastavení DHCP serveru. U klienta potom stačí aktivovat nastavení síťového připojení přes DHCP a nastavení se provede automaticky.
7.5.2 routery V záloţce routery se provádí monitoring a konfigurace všech routerů, headendů, AP, switchů a ostatních zařízení. Routery jsou rozděleny podle lokalit. Tím je moţné celou síť rozdělit do logických celků. Zobrazení seznamu všech routerů si lze roztřídit podle lokality, typu routeru nebo vyhledat router fulltextovým vyhledávačem. Tímto je moţné jednoduše a přehledně zobrazit poţadované informace Pod moţnostmi hledání je zobrazen informační panel, kde jsou přehledně zobrazeny počty a stavy routerů. Je zde zobrazen celkový počet routerů, počet online routerů, offline routerů, routery, které mají aktuální konfiguraci, počet routerů, které mají neaktuální konfiguraci ( například z důvodu nedostupnosti nebo chybně zadaného hesla ) a routery na kterých právě probíhá update konfigurace. Kliknutím na popis v informačním panelu je moţné zobrazit pouze routery, které nás zajímají. Kaţdé zobrazení routeru je rozčleněno do několika skupin informací. V hlavičce kaţdého routeru je zobrazena statistika ping, grafy přenosů pro celý router. Dále je vidět název routeru (bílou barvou), název lokality (šedou barvou), IP adresa routeru, uptime (jak dlouho je router v provozu), zatíţení CPU, moţnost otestovat spojení, zda je router online, nebo offline, routované sítě, přípojné body WI-FI, přidání síťového rozhraní, headendu,
49
zařízení, editování vlastností routeru a jeho smazání (smazat lze jen tehdy, pokud na routeru není připojeno ţádné jiné zařízení).
7.5.3 nagios/monitoring Optimální a spolehlivý výkon serverů nekončí jejich instalací a konfigurací. Provoz serverů a dalších prvků sítě je třeba neustále sledovat a jejich výkon optimalizovat. Z tohoto důvodu byl do systému ISP admin integrován monitorovací a vizualizační systém Nagios, který automaticky monitoruje jednotlivá zařízení sítě (routery, servery, UPS, …). Nagios také sleduje sluţby, které na nich běţí. Díky tomuto systému je moţné velice rychle reagovat na případné problémy sítě či poţadavky na změnu nastavení. K adminsitračnímu serveru je moţné připojit i hardwarovou SMS bránu, přes kterou je moţné odesílat notifikace o výpadcích. V nastavení systému je potom moţné nastavit notifikační SMS skupinu a přiřadit jakémukoliv routeru nebo zařízení notifikaci. Potom je kaţdé hlášení posíláno přímo přes SMS bránu. Tím je zajištěno okamţité doručení adresátovi i v případě výpadku konektivity do internetu.
7.5.4 statistiky Tato záloţka slouţí k zobrazení všech provozních statistik a informací o běhu celého systému. Zobrazení této záloţky je moţné nastavit v Nastavení / Administrátoři. Zobrazují se zde statistiky vytíţení serveru, přenesená data klientů, informace o přihlašování administrátorů, přidělování MAC adres klientů, statistiky IP telefonů, vyuţití IP rozsahů, zobrazení počtu klientů a tarifů a zobrazení odstraněných uţivatelů. Statistiky serveru zobrazují informace o provozu a vytíţení serveru, na kterém běţí systém ISP Admin. Zobrazují se zde statistiky ethernetu, CPU, počet otevřených souborů, počet běţících procesů, vyuţití paměti a obsazený swap. Podle těchto grafů je moţné zpětně zjistit přetíţení systému a případně nedostatky systémových prostředků. V záloţce data je moţné zobrazit uţivatele podle přenesených dat za určité období. Seznam zobrazených uţivatelů je moţné třídit podle počtu přenesených dat, routeru, jména. V podrobnostech je moţné uţivatele zobrazit podle routerů, typu uţivatele a období. Také je moţné upřesnit, zda se má zobrazit seznam uţivatelů, grafy přenosů popř. data. 50
Systém ISP admin automaticky shromaţďuje informace o routovacích tabulkách na jednotlivých routerech. Na této stránce jsou zobrazeny podrobné informace o vyuţití IP rozsahů. Jsou zde zobrazeny jednotlivé naroutované bloky IP adres na routerech a u obsazených IP adres je zde vţdy zobrazeno jméno klienta, který má IP adresu přidělenou. Díky tomuto systému je moţné jednoduše vybrat naříklad volné rozsahy, které potřebujeme přidělit novým klientům. IP rozsahy, které se mají zobrazovat, se nastavují v systémových nastaveních. Statistika uţivatelů poskytuje podrobné informace o počtech uţivatelů rozdělených podle jednotlivých tarifů, routerů a typu uţivatele. V první tabulce jsou zobrazeny počty uţivatelů za jednotlivé měsíce podle tarifů. Pod počtem uţivatelů je zobrazen také meziměsíční přírůstek nebo úbytek klientů. V dalších tabulkách jsou zobrazeny počty klientů, rozdělené podle jednotlivých routerů a tarifů. Nad těmito tabulkami jsou zobrazeny měsíce, za které jsou statistiky dostupné.
7.5.5 fakturace Modul FAKTURACE kompletně řeší veškeré finanční náleţitosti spojené s poskytováním internetového připojení a ostatních sluţeb. Tento modul je velkým přínosem pro firmu. Systém generuje faktury klientům, které jsou generovány jako PDF dokumenty. Tyto PDF faktury si klient můţe zobrazit ve svém uţivatelském rozhraní. Pokud jsou pravidelně zadávány příchozí platby, mají klienti přehled i o zaplacených fakturách. Generování a přehled vystavených faktur v jednotlivých fakturačních skupinách. V přehledu jsou zobrazeny variabilní symboly pro jednotlivá období, počty faktur, ceny bez a s DPH, datum vystavení a jméno technika, který faktury vygeneroval. Faktury je moţné zobrazit, tisknout, odeslat na mail, hromadně stornovat nebo exportovat do účetního programu Pohoda, který firma vyuţívá. Zobrazení přehledu fakturace pro jednotlivé fakturační skupiny: seznam faktur a informace pro jednotlivá období (celkový počet faktur, uhrazené faktury, neuhrazené faktury, celková suma bez DPH, celkem s DPH, uhrazeno s DPH, zbývá uhradit s DPH, bilance s DPH, datum vystavení)
51
zobrazení vystavených, neuhrazených a uhrazených faktur pro jednotlivé sluţby všech klientů přehled počátečních stavů jednotlivých klientů (klient, zákaznické číslo, variabilní symbol, částka, datum vystavení, splatnosti, úhrady, uhrazeno) Umoţňuje generování a evidenci upomínek jednotlivých klientů. Upomínky lze zobrazit v PDF, nebo odeslat na mail klienta, seznam storno faktur, import plateb atd.
7.5.6 Netflow Neméně důleţitý je protokol netflow. Není součástí základní verze systému ISP admin, nicméně bych doporučil zaktivování toho protokolu ve formě přídavného modulu do systému. Tento protokol byl vyvinut společností Cisco Systems a původně pouţit jako doplněk k cisco routerům. Jeho hlavním účelem je monitorování síťového provozu na základě IP toků, které poskytují administrátorům i manaţerům podrobný pohled do provozu na jejich síti v reálném čase. Provádí zaznamenávání hlaviček všech paketů, kde je uloţena IP adresa, port, čas, typ protokolu atd.... Toto jsou údaje, které potřebuje policie získat v případě, ţe má podezření např. z šíření pornografie nebo neoprávněného sdílení dat. V praxi to funguje tak, ţe se systému ISP admin nastaví "sběr dat" a na hraničním routeru ( většinou Mikrotik, v našem případě je pouţit RB1000 – jedná se o nejvýkonnější routerboard na současném trhu, dokáţe propustit aţ 3.2 Gbps full duplex) se nastaví odesílání "hlaviček" na server. Hraniční router je umístěn před NATem, aby nedocházelo k logování jiţ NATovaných veřejných adres namísto privátních IP adres klientů. [5]
52
Výsledkem je např. vyhodnocování a export dat (v CSV formátu), podrobné statistiky (obrázek 7.9) jako je např. typ protokolu (HTTP, SMTP) v určitých časových intervalech.
Obrázek 7.9 Při přechodu ze stávajícího systému na informační systém ISP admin bude potřeba mimo jiné i vloţit kompletní informace o síti a veškerých zákaznících. Vloţení informací o páteřních routerech a jejich výchozích branách. V neposlední řadě je nutné vytvořit seznam zákazníků, přidělit jim různé typy sluţeb. Nastavení formulářů pro fakturaci a doplnění kompletních údajů o zařízení pouţitém u zákazníka. Před spuštěním systému do provozu je nutné systém otestovat. Testování bude probíhat na virtuálním routeru s pouţitím virtuálního zákazníka, kterému budou přiřazeny postupně veškeré sluţby a bude sledována jejich funkčnost.
53
Závěr Cílem této práce byl návrh komplexního řešení modernizace a rozvoje metropolitní sítě ITnet. Ačkoli v západní Evropě, Spojených státech amerických a Asii se rozvoj metropolitních sítí stával samozřejmostí jiţ před desetiletím, v České republice před rokem 1995 měl o internetu ponětí jen málokdo. Hlavním důvodem byla především absence komerční sféry na tomto poli. Aţ na začátku nového tisíciletí došlo k radikálnímu rozvoji internetu a masivnímu připojení uţivatelů. To mělo za následek budování většího počtu metropolitních sítí, které byly konstruovány pro potřeby uţivatelů. Podle současného trendu by se rozvoj metropolitních sítí měl ještě více přiblíţit evropské struktuře. Můţeme tedy očekávat další investice do modernizací stávajících sítí. Financování těchto projektů je z části moţné čerpat z fondů Evropské unie. Při analýze moţností upgradu metropolitní sítě jsem se seznámil s celou řadou produktů a technologií, které mě zaujali svou funkčností, cenovou dostupností a variabilitou pouţití. Jako nejvhodnější technologii pro bezdrátové spoje jsem vybral zařízení v pásmu 10GHz, pro jeho dostupnou cenu, spolehlivost, propustnost a variabilitu při nasazení. Pro konkrétní řešení kabelových rozvodů jsem se rozhodl pro pouţití optických vláken, která se pouţívají místo kovových vodičů, protoţe signály jsou přenášeny s menší ztrátou, a zároveň jsou vlákna imunní vůči elektromagnetickému rušení. Myslím si, ţe tento návrh inovace je řešení momentálního stavu, jelikoţ v oblasti IT technologií se objevují neustále nové a nové varianty a moţnosti. Proto je důleţité být flexibilní a konkurenceschopný.
54
Seznam pouţitých zdrojů: [1] ANNEXNET.EU, Opteq I.Q.[online] [cit. 2009_03_17] ULR:
[2] BOUŠKA, Petr. TCP/IP - Routing – směrování [online] [2009_04_19] ULR: [3] HOKŮV, Dušan. OSPF-dynamické routování [online] [cit. 2009_01_25] ULR: [4] HRÁČEK, Jiří. IEEE 802.11n - Zrychlete a rozšiřte svou bezdrátovou síť [online] [cit. 2009_03_04] ULR: [5] ISPADMIN Co je to ISP admin? [online] [cit. 2009_06_01] ULR:< http://www.ispadmin.cz/> [6] PETERKA, Jiří. Co jsou datové sítě? [online] [cit. 2008_12_10] ULR: [7] PUŢMANOVÁ, Rita. Bezdrátové metropolitní sítě: 802.16a [online] [cit. 2009_02_17] ULR: [8] PUŢMANOVÁ, Rita. Optické sítě v mnoha podobách [online] [cit. 2009_01_29] URL: [9] PUŢMANOVÁ, Rita. Optické přípojky [online] [cit. 2009_05_20] URL: [10] ŠTRAUCH, Adam. Mikrotik [online] [cit. 2009_06_01] URL: [11] WIKIPEDIA Wide Area Network [online] [cit. 2008_11_29] URL: [12] WIKIPEDIA WI-FI [online] [cit. 2009_01_13] URL: [13] WIKI.PVFREE.NET Instalace spoje Alcoma v pasmu 10GHz [online] [cit. 2009_05_11] URL: [14] WIMAX.CZ Co je to WiMAX? [online] [cit. 2009_03_08] URL:
55
[15] WIMAX.CZ Co přinesl WiMAX World? [online] [cit. 2009_03_09] URL:
56
