Evropský polytechnický institut, s.r.o. 1. soukromá vysoká škola na Moravě Kunovice
POČÍTAČOVÉ SÍTĚ
Prof. Ing. Imrich Rukovanský, CSc. Ing. Marek Horváth 2011
Evropský polytechnický institut, s.r.o. 1. soukromá vysoká škola na Moravě Kunovice
POČÍTAČOVÉ SÍTĚ
Prof. Ing. Imrich Rukovanský, CSc. Ing. Marek Horváth
Kunovice, 2011
Autoři: © prof. Ing. Imrich Rukovanský, CSc. © Ing. Marek Horváth
Vydavatel: © Evropský polytechnický institut, s.r.o. Kunovice, 2011 Neprošlo jazykovou úpravou ISBN: 978-80-7314-231-5
Obsah: ÚVOD ........................................................................................................................... 9 1
ZÁKLADNÍ RYSY POČÍTAČOVÝCH SÍTÍ ................................................. 15
1.1 CÍLE KAPITOLY .............................................................................................. 15 1.2 ZÍSKANÉ DOVEDNOSTI ................................................................................... 15 1.3 KLÍČOVÁ SLOVA ............................................................................................ 16 1.4 HISTORIE A FILOZOFIE VZNIKU POČÍTAČOVÝCH SÍTÍ ...................................... 16 1.4.1 Dávkové zpracování .................................................................................. 16 1.4.2 Host/terminál ............................................................................................ 17 1.4.3 Terminálové sítě ........................................................................................ 17 1.4.4 Éra izolovaných počítačů .......................................................................... 18 1.4.5 Model file server/pracovní stanice............................................................ 19 1.4.6 Model klient/server ................................................................................... 19 1.4.7 Vznik počítačových sítí .............................................................................. 20 1.5 ROZDĚLENÍ POČÍTAČOVÝCH SÍTÍ .................................................................... 21 1.5.1 Dělení podle velikosti, podle toho jak jsou počítače mezi sebou vzdálené21 1.5.2 Dělení podle funkčního vztahu .................................................................. 22 1.5.3 Dělení podle účelu, ke kterému síť slouží ................................................. 22 1.5.4 Podle vlastnictví sítě ................................................................................. 22 1.5.5 Podle použité přenosové techniky ............................................................. 23 1.5.6 Dělení sítí podle jejich topologie .............................................................. 24 1.5.7 Dělení sítí podle řízení provozu ................................................................ 26 1.6 INTERNET ...................................................................................................... 28 1.6.1 Historie internetu ...................................................................................... 28 1.6.2 Princip činnosti internetu ......................................................................... 28 1.6.3 Připojení k internetu ................................................................................. 29 1.7 OTÁZKY A ÚKOLY .......................................................................................... 31 1.8 SAMOSTATNÍ PRÁCE STUDENTA ..................................................................... 31 2
PŘENOS DAT MEZI UZLY SÍTĚ .................................................................. 33 2.1 CÍLE KAPITOLY .............................................................................................. 33 2.2 ZÍSKANÉ DOVEDNOSTI ................................................................................... 33 2.3 KLÍČOVÁ SLOVA ............................................................................................ 33 2.4 STANDARDY A SÍŤOVÉ MODELY ..................................................................... 34 2.5 ISO REFERENČNÍ MODEL SÍŤOVÉ ARCHITEKTURY .......................................... 34 2.5.1 Fyzická vrstva ........................................................................................... 36 2.5.2 Spojová (linková) vrstva ........................................................................... 36 2.5.3 Síťová vrstva ............................................................................................. 36 2.5.4 Transportní vrstva ..................................................................................... 37 2.5.5 Relační vrstva............................................................................................ 37 2.5.6 Prezentační vrstva ..................................................................................... 37 2.5.7 Aplikační vrstva ........................................................................................ 37 2.6 KOMUNIKACE VRSTEV ................................................................................... 37 2.6.1 Propojovací prvky ..................................................................................... 37 2.6.2 Propojovací služby .................................................................................... 40 2.7 TCP / IP......................................................................................................... 41 2.7.1 Vrstva síťového rozhraní ........................................................................... 41 2.7.2 Síťová vrstva ............................................................................................. 42 2.7.3 Transportní vrstva ..................................................................................... 43 2.7.4 Aplikační vrstva ........................................................................................ 43 2.8 OTÁZKY A ÚKOLY .......................................................................................... 45
2.9 3
SAMOSTATNÍ PRÁCE STUDENTA:.................................................................... 45
PŘENOSOVÉ PROSTŘEDKY SÍTĚ.............................................................. 47 3.1 CÍLE KAPITOLY .............................................................................................. 47 3.2 ZÍSKANÉ DOVEDNOSTI ................................................................................... 47 3.3 KLÍČOVÁ SLOVA ............................................................................................ 48 3.4 SPOJE PEVNÉ .................................................................................................. 48 3.4.1 Koaxiální kabely ....................................................................................... 48 3.4.2 Symetrická vedení - UTP,STP................................................................... 49 3.4.3 Optické kabelové spoje ............................................................................. 52 3.4.4 Zvyšování kvality přenosu a přenosových rychlostí ................................. 57 3.5 BEZDRÁTOVÉ SPOJE ....................................................................................... 61 3.5.1 Radiové přenosy........................................................................................ 62 3.5.2 Optické spoje ............................................................................................ 65 3.5.3 Družicové spoje ........................................................................................ 67 3.6 OTÁZKY A ÚKOLY ......................................................................................... 67 3.7 SAMOSTATNÍ PRÁCE STUDENTA ..................................................................... 68
4
PŘÍSTUPOVÁ SÍŤ ............................................................................................ 69 4.1 CÍLE KAPITOLY .............................................................................................. 69 4.2 ZÍSKANÉ DOVEDNOSTI ................................................................................... 69 4.3 KLÍČOVÁ SLOVA ............................................................................................ 69 4.4 MODELOVÁNÍ PŘÍSTUPOVÝCH SÍTÍ................................................................. 71 4.4.1 Model přístupové sítě typu bod-bod ......................................................... 71 4.4.2 Kaskádní model přístupové sítě ................................................................ 72 4.5 OPTICKÉ PŘÍSTUPOVÉ SÍTĚ............................................................................. 73 4.5.1 Uspořádání optické přístupové sítě .......................................................... 73 4.5.2 Specifika přenosu optického signálu v přístupové síti .............................. 74 4.5.3 Pasivní optické přístupové sítě ................................................................. 75 4.5.4 Aktivní optické přístupové sítě .................................................................. 76 4.5.5 Uplatnění technologie DWDM a CWDM v optických sítích. ................... 77 4.6 OTÁZKY A ÚKOLY ......................................................................................... 79 4.7 SAMOSTATNÍ PRÁCE STUDENTA ..................................................................... 79
5
LOKÁLNÍ POČÍTAČOVÉ SÍTĚ .................................................................... 81 5.1 CÍLE KAPITOLY .............................................................................................. 81 5.2 ZÍSKANÉ DOVEDNOSTI ................................................................................... 81 5.3 KLÍČOVÁ SLOVA ............................................................................................ 82 5.4 KLASIFIKACE LAN ........................................................................................ 82 5.4.1 Dělení podle topologie .............................................................................. 82 5.4.2 Dělení sítí podle jejich architektury ......................................................... 83 5.4.3 Dělení sítí podle technologie .................................................................... 84 5.5 PŘÍSTUPOVÉ METODY .................................................................................... 84 5.5.1 Přístupová metoda CSMA/CD .................................................................. 84 5.5.2 Přístupová metoda Token Passing............................................................ 86 5.6 ETHERNET ..................................................................................................... 87 5.6.1 Vývoj Ethernetu ....................................................................................... 88 5.7 DALŠÍ PŘEDSTAVITELÉ LOKÁLNÍCH SÍTÍ ........................................................ 96 5.7.1 Počítačová síť 100 VG-AnyLAN ............................................................... 96 5.7.2 Síť FDDI ................................................................................................... 98 5.8 VIRTUÁLNÍ POČÍTAČOVÉ SÍTĚ VLAN ............................................................ 99 5.8.1 Způsoby tvorby virtuálních LAN ............................................................. 100 5.8.2 Některé praktické výhody VLAN ............................................................ 101
5.9 OTÁZKY A ÚKOLY ........................................................................................ 102 5.10 SAMOSTATNÍ PRÁCE STUDENTA ................................................................... 103 6
BEZDRÁTOVÉ A MOBILNÍ POČÍTAČOVÉ SÍTĚ .................................. 105 6.1 CÍLE KAPITOLY ............................................................................................ 105 6.2 ZÍSKANÉ DOVEDNOSTI ................................................................................. 106 6.3 KLÍČOVÁ SLOVA .......................................................................................... 106 6.4 OBECNĚ O BEZDRÁTOVÝCH SÍTÍCH .............................................................. 106 6.4.1 Klasifikace bezdrátových počítačových sítí ............................................ 107 6.4.2 Kategorie bezdrátových sítí podle normy IEEE...................................... 109 6.5 BEZDRÁTOVÉ LOKÁLNÍ SÍTĚ ........................................................................ 109 6.5.1 Přechod od Ethernetu ............................................................................. 109 6.5.2 Architektura bezdrátových lokálních sítí ............................................... 110 6.6 STANDARD IEEE 802.11 WLAN ................................................................ 112 6.6.1 IEEE 802.11b .......................................................................................... 113 6.6.2 IEEE 802.11a .......................................................................................... 113 6.6.3 IEEE 802.11g .......................................................................................... 114 6.6.4 DSSS versus OFDM ................................................................................ 115 6.6.5 Další rozšíření a některé nové normy: Standardy 802.11. ..................... 116 6.7 BEZDRÁTOVÉ OSOBNÍ SÍTĚ .......................................................................... 117 6.7.1 Bluetooth ............................................................................................... 118 6.7.2 WiMedia .................................................................................................. 118 6.7.3 UltraWideBand ....................................................................................... 119 6.7.4 MBOA ..................................................................................................... 119 6.7.5 DS-UWB .................................................................................................. 119 6.7.6 ZigBee ..................................................................................................... 120 6.7.7 WirelessUSB ........................................................................................... 120 6.8 BEZDRÁTOVÉ METROPOLITNÍ SÍTĚ ............................................................... 120 6.8.1 WiMAX versus ADSL .............................................................................. 121 6.8.2 Mobilita ................................................................................................... 122 6.8.3 Potenciál WiMAX.................................................................................... 122 6.9 DALŠÍ NORMY IEEE 802 K BEZDRÁTOVÝM SÍTÍM ........................................ 123 6.9.1 Bezdrátový přístup v pohybu ................................................................... 123 6.9.2 Bezdrátové regionální sítě ...................................................................... 124 6.9.3 Koexistence různých bezdrátových sítí ................................................... 124 6.10 SÍTĚ MOBILNÍCH OPERÁTORŮ....................................................................... 124 6.10.1 Technologie GSM ................................................................................ 124 6.10.2 Technologie GPRS .............................................................................. 125 6.10.3 Technologie EDGE ............................................................................. 126 6.10.4 Technologie HSCSD ............................................................................ 127 6.10.5 Technologie CDMA ............................................................................. 127 6.10.6 Standard UMTS ................................................................................... 128 6.11 OTÁZKY A ÚKOLY ........................................................................................ 128 6.12 SAMOSTATNÍ PRÁCE STUDENTA ................................................................... 129
7
SÍŤOVÉ SLUŽBY ........................................................................................... 131 7.1 CÍLE KAPITOLY ............................................................................................ 132 7.2 ZÍSKANÉ DOVEDNOSTI ................................................................................. 132 7.3 KLÍČOVÁ SLOVA .......................................................................................... 132 7.4 OBECNÉ VLASTNOSTI SERVERŮ ................................................................... 132 7.4.1 Operační systém ...................................................................................... 133 7.4.2 Hardware serveru ................................................................................... 133 7.4.3 Software serveru ..................................................................................... 134
7.4.4 Různé formy poskytovaných služeb ......................................................... 135 7.5 WEBOVÝ SERVER ........................................................................................ 136 7.5.1 Obecné vlastnosti .................................................................................... 136 7.5.2 Zdroj poskytovaných informací .............................................................. 136 7.5.3 Software .................................................................................................. 137 7.6 SOUBOROVÝ SERVER ................................................................................... 138 7.6.1 Průběh komunikace ................................................................................ 139 7.6.2 Computer storage ................................................................................... 140 7.6.3 Dělení storage podle přístupu k datům ................................................... 140 7.6.4 DAS - Directly Attached Storage ............................................................ 140 7.6.5 NAS - Network Attached Storage ............................................................ 141 7.6.6 SAN - Storage Area Network .................................................................. 142 7.7 DATABÁZOVÝ SERVER................................................................................. 143 7.7.1 PostgreSQL ............................................................................................. 144 7.7.2 Firebird ................................................................................................... 144 7.7.3 MySQL .................................................................................................... 145 7.7.4 SQLite ..................................................................................................... 145 7.7.5 IBM DB/2 Express-C .............................................................................. 145 7.7.6 Oracle XE ............................................................................................... 145 7.7.7 Sybase ASE Express Edition ................................................................... 146 7.7.8 Apache Derby ......................................................................................... 146 7.7.9 HSQLdb .................................................................................................. 147 7.8 TISKOVÝ SERVER ......................................................................................... 147 7.9 MAIL SERVER .............................................................................................. 148 7.10 DNS SERVER (DOMAIN NAME SYSTEM) ....................................................... 149 7.10.1 Jak DNS funguje.................................................................................. 149 7.10.2 Složení doménového jména ................................................................. 149 7.10.3 DNS servery ........................................................................................ 150 7.10.4 Nejčastěji používané jsou následující typy zdrojových záznamů: ....... 150 7.11 FAXOVÝ SERVER ......................................................................................... 150 7.12 PROXY SERVERY .......................................................................................... 151 7.12.1 HTTP proxy ......................................................................................... 153 7.12.2 SOCKS proxy ...................................................................................... 153 7.12.3 Intercepting proxy ............................................................................... 154 7.12.4 Anonymní proxy servery...................................................................... 154 7.13 APLIKAČNÍ SERVER ..................................................................................... 155 7.14 OTÁZKY A ÚKOLY ....................................................................................... 156 7.15 SAMOSTATNÍ PRÁCE STUDENTA ................................................................... 156 8
SPRÁVA SÍŤOVÝCH OPERAČNÍCH SYSTÉMŮ .................................... 157 8.1 CÍLE KAPITOLY ............................................................................................ 157 8.2 ZÍSKANÉ DOVEDNOSTI ................................................................................. 158 8.3 KLÍČOVÁ SLOVA .......................................................................................... 158 8.4 SÍŤOVÉ OPERAČNÍ SYSTÉMY ........................................................................ 158 8.5 FUNKCE OPERAČNÍHO SYSTÉMU .................................................................. 159 8.6 VLASTNOSTI OPERAČNÍCH SYSTÉMU ........................................................... 160 8.6.1 Systémy Unixového typu ......................................................................... 160 8.6.2 Windows .................................................................................................. 161 8.6.3 Novell ...................................................................................................... 162 8.7 POUŽÍVÁNÍ VIRTUÁLNÍCH KONZOL .............................................................. 163 8.7.1 Textové shelly a příkazy .......................................................................... 163 8.7.2 Secure shell (SSH) .................................................................................. 163
8.7.3 SSH1 ........................................................................................................ 164 8.7.4 SSH2 ........................................................................................................ 164 8.8 PŘÍKAZY A PRÁCE SE SOUBORY V UNIXU ................................................... 164 8.8.1 Adresářová struktura .............................................................................. 164 8.8.2 Struktura povelů ...................................................................................... 167 8.8.3 Práce se soubory ..................................................................................... 167 8.9 UŽIVATELSKÉ ÚČTY..................................................................................... 168 8.9.1 Lokálny uživatelé .................................................................................... 169 8.9.2 Group ...................................................................................................... 169 8.9.3 Účet administrátor .................................................................................. 170 8.9.4 Účet guest................................................................................................ 170 8.10 ŘÍZENÍ A SLEDOVÁNÍ PROCESŮ .................................................................... 170 8.10.1 Pojmy proces a úkol ............................................................................ 170 8.10.2 Procesy a jejich správa ....................................................................... 171 8.11 ZÁLOHOVÁNÍ DAT ....................................................................................... 171 8.11.1 Důvody pro zálohování ....................................................................... 172 8.11.2 Metody zálohy dat ............................................................................... 172 8.11.3 Zálohovací média ................................................................................ 173 8.12 PROTOKOL IPV6 .......................................................................................... 174 8.12.1 Výhody IPv6 ........................................................................................ 174 8.12.2 Přechod na IPv6. ................................................................................. 175 8.12.3 Nastavení operačních systémů ............................................................ 178 8.13 OTÁZKY A ÚKOLY ........................................................................................ 178 8.14 SAMOSTATNÍ PRÁCE STUDENTA ................................................................... 179 9
INTERNETOVÁ TELEFONIE A VIDEOKONFERENCE ....................... 181 9.1 CÍLE KAPITOLY ............................................................................................ 181 9.2 ZÍSKANÉ DOVEDNOSTI ................................................................................. 182 9.3 KLÍČOVÁ SLOVA .......................................................................................... 182 9.4 INTERNETOVÁ TELEFONIE A VOIP ............................................................... 182 9.4.1 Obecné principy přenosu dat a hovoru v sítích ...................................... 183 9.4.2 Komunikační protokol H.323 .................................................................. 184 9.4.3 Komunikační protokol SIP ...................................................................... 187 9.4.4 Hlavní rozdíly mezi H.323 a SIP............................................................. 190 9.4.5 Způsob spojení ........................................................................................ 191 9.4.6 IP telefony ............................................................................................... 192 9.4.7 Spojeni VoIP a klasické telefonní sítě PSTN(GSM) ................................ 192 9.4.8 Výhody a nevýhody VoIP ........................................................................ 194 9.5 VIDEOKONFERENCE ..................................................................................... 196 9.5.1 Historie, vznik a vývoj ............................................................................. 196 9.5.2 Přínosy videokonference ......................................................................... 197 9.5.3 Principy ................................................................................................... 197 9.5.4 Používaný software pro video chat ......................................................... 200 9.6 OTÁZKY A ÚKOLY ........................................................................................ 201 9.7 SAMOSTATNÁ PRÁCE STUDENTA.................................................................. 202
10
BEZPEČNOST POČÍTAČOVÝCH SÍTÍ .................................................. 203
10.1 CÍLE KAPITOLY ............................................................................................ 204 10.2 ZÍSKANÉ DOVEDNOSTI ................................................................................. 204 10.3 KLÍČOVÁ SLOVA .......................................................................................... 204 10.4 ZPŮSOBY NARUŠENÍ POČÍTAČOVÉ SÍTĚ ........................................................ 204 10.4.1 Průzkumné útoky ................................................................................. 205 10.4.2 Útoky na získání přístupu .................................................................... 205
10.4.3 Zastavení provozu služeb .................................................................... 206 10.4.4 Viry, červi, trojské koně ...................................................................... 207 10.4.5 Útoky na aplikační vrstvu ................................................................... 208 10.4.6 Útoky na protokoly řízení .................................................................... 208 10.5 ZABEZPEČENÍ SÍTĚ POMOCÍ HARDWARE....................................................... 208 10.5.1 Systémy detekce a prevence průniků ................................................... 209 10.5.2 Bezpečnostní úkoly směrovačů............................................................ 209 10.6 ZABEZPEČENÍ SÍTĚ POMOCÍ SOFTWARE ........................................................ 210 10.6.1 Firewall ............................................................................................... 210 10.6.2 Aplikační proxy server ........................................................................ 211 10.6.3 Paketový filtr ....................................................................................... 211 10.6.4 Stavový paketový filtr .......................................................................... 211 10.7 ZABEZPEČENÍ SÍTĚ NA ÚROVNI PROTOKOLU ................................................ 211 10.7.1 Úprava FTP protokolu ........................................................................ 212 10.7.2 Zabezpečení komunikace pomocí SSL................................................. 212 10.7.3 Zabezpečení komunikace pomocí IPsec .............................................. 212 10.8 BEZPEČNOST BEZDRÁTOVÝCH POČÍTAČOVÝCH SÍTÍ..................................... 214 10.8.1 Filtrování MAC adres ......................................................................... 214 10.8.2 Šifrování datového přenosu ................................................................ 214 10.8.3 WEP (Wired Equivalent Privacy) ....................................................... 216 10.8.4 WPA (WiFi Protected Access) ............................................................ 217 10.8.5 WPA2 .................................................................................................. 218 10.8.6 NetworkLogin 802.1x + EAP .............................................................. 218 10.8.7 Radius server....................................................................................... 220 10.9 ANALÝZA PROBLEMATIKY BEZPEČNOSTI POČÍTAČOVÝCH SÍTÍ .................... 221 10.9.1 Falešná identita zdroje........................................................................ 221 10.9.2 Man-in-the-middle............................................................................... 222 10.9.3 Útoky na přístupová hesla................................................................... 222 10.9.4 Odposlech............................................................................................ 222 10.10 JAK ZABEZPEČIT SÍŤ ................................................................................. 223 10.10.1 Základní kroky k zabezpečení sítě ....................................................... 223 10.10.2 Největší chyby administrátorů ............................................................ 224 10.11 ANALÝZA BEZPEČNOSTNÍCH HROZEB A RIZIK VOIP TELEFONIE ............... 224 10.11.1 Příjem a modifikace hovoru ................................................................ 224 10.11.2 Odposlech............................................................................................ 225 10.11.3 Přerušení hovoru................................................................................. 227 10.11.4 Sociální hrozby .................................................................................... 228 10.11.5 Zneužití služby ..................................................................................... 229 10.12 ANTIVIROVÝ PROGRAM ........................................................................... 230 10.12.1 Rozdělení ............................................................................................. 230 10.12.2 Principy a funkce................................................................................. 230 10.12.3 Virové slovníky/databáze .................................................................... 231 10.12.4 Nebezpečné chování ............................................................................ 231 10.12.5 Další metody ....................................................................................... 232 10.12.6 Antivirové programy ........................................................................... 232 10.13 OTÁZKY A ÚKOLY .................................................................................... 233 10.14 SAMOSTATNÁ PRÁCE STUDENTA .............................................................. 233 LITERATURA ........................................................................................................ 235
ÚVOD Předkládané učební texty“ Počítačové sítě“ slouží studentům prezenční i kombinované formy studia oboru Elektronické počítače a Ekonomická informatika na Evropském polytechnickém institutu, s.r.o. v Kunovicích. V průběhu studia si student ověří informace z tohoto textu jednak v průběhu svého studia ve svém malém studijním týmu, ale také v průběhu praxí a při vypracování bakalářské práce. Pro absolventy může být tento studijní text denním pomocníkem v běžných pracovních situacích. Studenti kombinované formy studia mohou informace z tohoto textu průběžně aplikovat ve své práci u svého zaměstnavatele. Učební text je koncipován tak, aby co nejlépe vystihl současnou úroveň počítačových sítí, jejich charakteristické vlastnosti, úroveň technického (hardware), tak i programového (software) vybavení. Celá problematika je rozvržena do deseti samostatných kapitol a uzavřena přehledem použité i doporučené literatury související s problematikou probranou v dané kapitole. První kapitola je zaměřena na historii a filosofii vzniku počítačových sítí. Vychází z principů dávkového zpracování, terminálových sítí až po propojování samostatných počítačů a vznik počítačových sítí. Na to navazuje výčet nejrůznějších členění sítí podle různých hledisek, např. podle topologie, podle použité přenosové techniky, podle řízení provozu a dalších hledisek. Kapitolu uzavírá stručná zmínka o internetu, principech činnosti, jakož i o možnostech připojení koncového uživatele. Druhá kapitola je zaměřena na standardy umožňující komunikaci mezi uzly počítačové sítě. Zabývá se principy otevřených a uzavřených systémů, řízením komunikace mezi uzly. Popisuje ISO referenční model síťové architektury, protokoly a funkce jednotlivých vrstev. V návaznosti na to se rozebírají vlastnosti propojovacích prvků – opakovačů, mostů, směrovačů a bran. Po výčtu propojovacích služeb (se spojením, bez spojením, spolehlivé apod) dochází k popisu rodiny protokolů TCP/IP. Jedním z nejdůležitějších prvků počítačové sítě jsou jednoznačně přenosová média zajišťující přenos dat mezi všemi složkami sítě. Dělíme je do dvou základních skupin a to na spoje pevné a spoje bezdrátové. V kapitole jsou uvedeny vlastnosti typických pevných spojů: koaxiálního kabelu, kroucené dvojlinky až po optické kabely, včetně významu strukturované kabeláže. V návaznosti na to je zmínka o možnostech zvyšování kvality přenosu a přenosových rychlostí, zejména o síti integrovaných sužeb ISDN a modemových technologií xDSL. Druhá část kapitoly je zaměřena na bezdrátové spoje, zejména na rádiové přenosy. Jsou diskutována volná a licenční pásma. Navazuje využitelnost vzdušných optických spojů – směrových i všesměrových. V závěru je zmínka o družicových spojích. Samostatná kapitola se věnuje přístupovým sítím, jakožto části telekomunikační sítě, které přenášejí elektrické, optické a radiové signály prostřednictvím metalických, optických přenosových médií a volného prostoru a poskytují bohatou nabídku účastnických rozhraní. Pátá kapitola je věnovaná lokálním počítačovým sítím (LAN). Klasifikace LAN, dělení podle topologie, architektury, použité technologie, apod. Těžiště kapitoly se zaměřuje na Ethernet, na různé varianty, končící přepínaným, gigabitovým a desetigigabitovým Ethernetem. Navazuje stručná zmínka o dalších typech LAN 9
(sítě 100VG-AnyLAN, síť FDDI) a zvláště pak o virtuálních VLAN. Šestá kapitola je zaměřena na bezdrátové a mobilní počítačové sítě. Je provedena klasifikace sítí dle mnoha hledisek (podle způsobu použití, podle typu signálu, podle způsobu přenosu, podle typu spojovaných dat, atd.). Kategorie bezdrátových sítí dle normy IEEE. Standardy IEEE 802.11. Bezdrátové osobní sítě, bezdrátové metropolitní sítě, bezdrátové regionální sítě. Sítě mobilních operátorů (technologie GSM, GPRS, EDGE, HSCSD, CDMA a UMTS). Další kapitola se zaměřuje na síťové služby, které v síti zajišťují servery. Služby, které server poskytuje v síti může být například sdílení disků, tiskáren, služby DNS, e-mail, a další. Stručně se popisují různé typy nejrozšířenějších serverů: webový, souborový, tiskový, faxový, FTP server, proxy server apod. Osmá kapitola je zaměřena na vlastnosti síťových operačních systémů. Na výčet hlavních funkcí NOS (Network Operating Systems) obecně navazuje charakteristika typických, v našich podmínkách nejvíce využívaných NOS – Linux, Windows a Novell. Jsou vyzvednuté významné funkce související s řízením a sledováním procesů, zálohováním dat, vedením uživatelských účtů, využíváním virtuálních konzol a další. V závěru kapitoly je rozebírán vysoce aktuální problém a to zavádění protokolu IPv6. Navazující – devátá kapitola je věnována otázkám IP telefonie a videokonferencím. Jedná se o významnou oblast uplatnění počítačových sítí v současnosti. Pozornost je věnována komunikačním protokolům H.323 a protokolu SIP. Je uveden význam kodeků v daných aplikacích. První část kapitoly uzavírají analýzy porovnávající výhody a nevýhody IP telefonie. Mnoho společných rysů pak se volně objevuje v druhé části kapitoly při popisu principu videokonferencí. Poslední kapitola předložených skript je zaměřena mimořádně důležité problematice a to bezpečnosti počítačových sítí. Kapitola ilustruje skutečnost, že komplexní zajištění bezpečnosti sítě je mimořádně složité. Proto v jednotlivých podkapitolách lze vysledovat metody a formy ochrany sítě, které jsou rozebírány krok po kroku a to jak na úrovni hardware, tak i software. Zvláštní pozornost je věnována bezdrátovým a mobilním sítím. Je uveden stručný výčet postupů jak síť zabezpečit. Závěr kapitoly je zaměřen na antivirovou ochranu. Předložené učební texty si kladou za cíl poskytnout studentům zevrubný přehled o současné úrovni počítačových sítí. Shromáždění podkladů a vlastní zpracování v rekordním čase by nebylo možné bez účinné pomoci našich spolupracovníků a studentů oboru EP a EI. Studijní text je součástí ucelené technologie (teorie, cvičení, samodiagnostické testy, studijní texty, podpůrné materiály studenta, praxe, řešení bakalářské práce), cílem této technologie je u studenta vybudovat následující znalosti, dovednosti a kompetence: Znalosti: Ucelený přehled o současných počítačových sítích, a to na úrovni technického i programového vybavení. Student je seznámen s úrovní veškerých technologií, které poskytují špičkové firmy nabízející návrh a instalaci sítí (Cisco, 3Com, a další). Dokáže se orientovat v odborné literatuře, disponuje s aktuálním názvoslovím, 10
dokáže číst v příslušné dokumentaci a tuto dokumentaci tvořit. Zná dodavatele nejnovějších technologií a dokáže díky svým znalostem vybrat vhodné komponenty pro eventuální návrh nové sítě. Dovednosti: Student bude schopný navrhnout počítačovou síť. Dokáže identifikovat kolize a také je odstranit, správně určit atributy a nastavení sítě pro konkrétní požadavky. Mezi jednotlivými sítěmi dokáže student samostatně navrhnut vzájemné propojení a určit jejich přenosové vlastnosti. Student bude schopný do navrhnuté sítové architektury vkládat aktivní prvky, jako jsou router, GSM brána nebo bezdrátové propojení různé technologie. Student prokáže schopnost pracovat s IP telefony a navrhnout tak moderní telekomunikační řešení. Naučí se pracovat s routovacími protokoly a provádět na síti propojení dle zadání. Závěrem budou studenti schopni pracovat se síťovýma operačními systémy Microsoft, Novell a Linux a zvládnou principy bezpečnosti počítačových sítí. Cílové kompetence: Student po absolvování předmětu bude schopen samostatně: Projektovat PC sítě. Instalovat serverové operační systémy. Zapojovat kabeláž v plném rozsahu počítačové sítě. Umět pracovat s aktivními prvky sítě (router, server, switch, a další). Pracovat s bezdrátovými POS (WiFi,...). Uplatňovat zavedené normy IEEE 802.11 (b, g, n). Konfigurovat a rekonfigurovat aktivní i pasivní prvky sítě vzhledem k požadavkům dané aplikace. Instalovat VoIP telefonii a zajišťovat provoz. Rozhodovat o instalaci optimálních technických nebo softwarových prostředků pro zajištění bezpečného chodu sítě. Témata cvičení: Téma č. 1.: Projektování počítačové sítě LAN v programu a následná dokumentace prvků v příslušném SW Výstupem tohoto cvičení bude dokument, který bude obsahovat návrh počítačové sítě podle zadání. Student uloží dokument do svého adresáře. Téma č. 2.: Zprovoznění naprojektované sítě v laboratoři datové komunikace, zapojení konektorů do kabeláže, nastavení aktivních prvků. Výstupem tohoto cvičení protokol o funkčnosti aktivních a pasivních prvků sítě. Student uloží dokument do svého adresáře. Téma č. 3.: Způsoby zabezpečení sítě LAN a WLAN, ověření zabezpečení na sestavené síti. Připojení různou technologií a pomocí konfigurace přístupových bodů optimalizovat rychlost. Výstupem tohoto cvičení dokument, který bude obsahovat popis aktuálně používaných způsobů zabezpečení lokální sítě. Student uloží dokument do svého adresáře. Téma č. 4.: V laboratoři navrhněte bezdrátový páteřní spoj (bod-bod) pro zařízení standardu IEEE 802.11g. Frekvenci volte f = 2,45 GHz. Navrhněte spoj tak, aby zařízení mezi sebou komunikovala rychlostí 54 Mbit/s. Při návrhu počítejte s útlumovou rezervou Rez = 4 dB. Bod B je bodem vysílacím, bod A je bodem 11
přijímacím. Výstupem tohoto cvičení protokol obsahující navrhnutou specifikaci páteřního spoje. Obsahem protokolu bude také měření skutečně dosažené rychlosti studentem zřízeného spoje. Student uloží dokument do svého adresáře. Téma č. 5.: Pomocí testovacího nástroje Iperf otestujte propustnost sítě pro nastavení sítových adaptérů v režimu 10Mbit/s, 100Mbit/s a 1000Mbit/s mezi dvěma počítači zapojenými v architektuře hvězda pomocí switche 1Gbit. Výsledky zapište do tabulek. Výstupem tohoto cvičení protokol obsahující tabulku s naměřenými hodnotami, popřípadě uveďte návrhy na zvýšení propustnosti vámi navrhované sítě. Student uloží dokument do svého adresáře. Téma č. 6.: Navrhněte vhodné bezpečnostní nastavení bezdrátové sítě pro bezpečné připojení klienta. Zabezpečenou síť zprovozněte na zařízení WiFi v režimu AP. Otestujte připojení každého navrhnutého bezpečnostního řešení. Výstupem tohoto cvičení bude dokument, ve kterém bude opsané stupene zabezpečení hifi sítě. Student uloží dokument do svého adresáře. Téma č. 7.: Instalujte serverový operační systém a optimalizujte je pro: Firewall Antivir, Antispam Výstupem tohoto cvičení nainstalovaný (vhodně zvolený) operační systém. V systému budou nakonfigurované důležité aplikace jako například firewall, antivir, popřípadě webový server. Téma č. 8.: Instalujte sítový operační systém a optimalizujte je pro: Routing Firewall Sdílení služeb v síti proxy brána paketový filtr Výstupem tohoto cvičení bude nainstalovaný (vhodně zvolený) operační systém. V systému budou nakonfigurované důležité aplikace jako například firewall, proxy brána, paketový filtr. Téma č. 9.: Navrhněte telefonní síť na základu VoIP a nastavte QoS v aktivním prvku. Zjistěte propustnost sítě a odchytávejte průběžné komunikační pakety. Výstupem tohoto cvičení bude dokument osahující vámi navrhnutou VoIP síť. Student uloží dokument do svého adresáře. Téma č. 10.: Navrhněte konfiguraci a vhodné technologické zázemí pro GSM bránu. Výstupem tohoto cvičení bude dokument osahující vámi navrhnutou GSM bránu. Student uloží dokument do svého adresáře. Při řešení „Samostatné práce studenta“ a „Kontrolních otázek“ úzce spolupracujte s profesionálními partnery z podniku v němž vykonáváte praxi nebo v němž pracujete. V případě potíží při studium využijte dokument „Podpůrný materiál studenta“ nebo se poraďte s přednášejícím předmětu management. 12
Po prostudování textu, absolvování přednášek a cvičení, zvládnutí samodiagnostických testů, vypracování semestrálního projektu a aplikací teorie do praxe si překontrolujte, zda jste dosáhli výše uvedené plánované znalosti, dovednosti a kompetence.
13
14
1 Základní rysy počítačových sítí Obsah kapitoly: 1.1 Cíle kapitoly 1.2 Získané dovednosti 1.3 Klíčová slova 1.4 Historie a filozofie vzniku počítačových sítí 1.4.1 Dávkové zpracování 1.4.2 Host/terminál 1.4.3 Terminálové sítě 1.4.4 Éra izolovaných počítačů 1.4.5 Model file server/pracovní stanice 1.4.6 Model klient/server 1.4.7 Vznik počítačových sítí 1.5 Rozdělení počítačových sítí 1.5.1 Dělení podle velikosti, podle toho jak jsou počítače mezi sebou vzdálené 1.5.2 Dělení podle funkčního vztahu 1.5.3 Dělení podle účelu, ke kterému síť slouží 1.5.4 Podle vlastnictví sítě 1.5.5 Podle použité přenosové techniky 1.5.6 Dělení sítí podle jejich topologie 1.5.7 Dělení sítí podle řízení provozu 1.6 Internet 1.6.1 Historie internetu 1.6.2 Princip činnosti internetu 1.6.3 Připojení k internetu 1.7 Otázky a úkoly 1.8 Samostatní práce studenta
1.1 Cíle kapitoly Cílem kapitoly je přiblížit vývoj ve formě využívání počítačů počínaje od sálových počítačů, přes terminálové sítě až po počítačové sítě. Je vyzvednuta role vzniku a zavádění osobních počítačů, zvláště pak počítačů kompatibilních s IBM PC. Vznik a vývoj počítačových sítí, definice, principy. Navazuje pak dělení počítačových sítí podle různých hledisek, které dnes známe; podle topologie, podle toho, jak jsou počítače mezi sebou vzdálené, podle použité přenosové techniky, podle řízení provozu, apod. Kapitolu uzavírá stručný přehled historie vzniku internetu, základní principy činnosti a nakonec přehled současných možností připojení koncového uživatele k internetu.
1.2 Získané dovednosti Student získává vstupní informace o vývoji počítačových sítí, ale také o možnostech terminálových sítí, jakož i o významu sálových počítačů pro specifické aplikace. Dovede se rozhodnout pro některou variantu připojení koncového uživatele 15
k internetu.
1.3 Klíčová slova Počítačová síť, terminálová síť, internet, intranet, přepojování zpráv, přepojování paketů, IP adresa, provider, topologie, protokol TCP/IP, URL adresa, protokol http.
1.4 Historie a filozofie vzniku počítačových sítí Vznik počítačových sítí
Vývoj probíhal postupně v několika etapách. Na počátku, když síť neexistovala, se údaje přenášely mezi počítači na příslušných médiích (štítky, děrné pásky, diskety, disky apod.). Takovéto systémy jsou označovány jako nespražené (off-line). Uživatelé však volali po komunikaci v reálném čase prostřednictvím tzv. spražených (on-line) systémů. Pro tyto účely se velmi rychle začaly využívat sériové a paralelní porty pro dvojbodové propojení počítačů, což představovalo podstatně rychlejší způsob přenosu dat. Později byly budovány terminálové sítě, jež umožňovaly práci více uživatelů na jednom, obvykle sálovém počítači (mainframe). Neinteligentní terminály byly postupně nahrazovány emulovanými inteligentními terminály na bázi PC. Nevýhodou této koncepce však byla úplná závislost terminálů na ústředním počítači. Klasický princip komunikace v terminálové síti typu mainframe - terminál představoval hvězdicové uspořádání s centrálním uzlem. Postupná převaha lokálních úloh si později vyžádala vzájemný distribuovaný, decentralizovaný přístup uživatelů a budování počítačových sítí. [44; 76] 1.4.1
Dávkové zpracování
Historicky nejstarší výpočetní model je dávkové zpracování (batch processing). Byl vynucen dobou, (ne)dokonalostí technologické základny, malými schopnostmi SW i HW (nebyla systémová podpora multitaskingu), vysokými náklady, potřebou „kolektivního“ využití dostupné výpočetní techniky. Dnes ještě není mrtvý, i když jeho použití se omezuje zpravidla na speciální případy. Dávkového zpracování má řadu nevýhod. Uživatel nemá bezprostřední kontakt se svou úlohou, chybí interaktivita, uživatel nemůže reagovat na průběh výpočtu (volit varianty dalšího průběhu, opravovat chyby), doba od odevzdání vstupní dávky do počítače k okamžiku získání výstupní sestavy bývá relativně dlouhá. Dávkového zpracování má však řadu výhod. Dokáže (relativně) dobře vytížit dostupné zdroje, vychází vstříc intenzivním výpočtům (hodně „počítavým“ úlohám, s minimem vstupních a výstupních operací). Dávkového zpracování se používalo v prostředí sítě vzdálené zpracování úloh (Remote Job Execution, Remote Job Entry). Uživatel na jednom uzlu připravil dávku a poslal ji ke zpracování na jiný uzel.
16
1.4.2
Host/terminál
Uživatelé sálových počítačů začali volat po jednodušším a rychlejším způsobu komunikace s počítačem. Objevily se první terminály: zařízení, která slouží k zadávání údajů do počítače a zobrazování výsledků jeho činnosti. Terminály obsahují klávesnici, jejímž prostřednictvím se údaje do počítače vkládají, a monitor, na jehož obrazovce se zobrazují výsledky výpočtů. Terminál je propojen s počítačem pomocí kabelu, jehož délka může dosahovat i několika kilometrů. Dalším výpočetním modelem je host/terminál. Vznikl jako reakce na neinteraktivnost dávkového zpracování. Dokáže uživatelům zajistit přímý kontakt s jejich úlohami a interaktivní způsob práce, dokáže „obsloužit“ více uživatelů současně. Realizace byla umožněna zdokonalením SW a HW, především vznikem SW mechanismů pro sdílení času (time sharing) a uživatelských pracovišť (terminálů). Pod pojmem host rozumíme počítač, který je „hostitelem“ systémových zdrojů, procesoru, paměti, V/V zařízení, programů, dat, systémových utilit apod. Podstatou modelu host/terminál je, že vše je „na jedné hromadě“, programy (úlohy) běží na hostitelském počítači a data se zpracovávají v místě, kde se nachází (nedochází k přenosům velkých objemů dat). Mezi hostitelským počítačem a terminály se přenáší pouze výstupy na obrazovku uživatele a vstupy z uživatelovy klávesnice. Terminály mohou být umístěny v různé vzdálenosti tj. buď blízko (místní, lokální terminály), nebo daleko (vzdálené terminály) či kdekoli v síti. Model host/terminál je způsob fungování, kdy hostitelský počítač je v roli, ve které nějaký konkrétní počítač vystupuje jako střediskový počítač, mainframe. Přitom mainframe může fungovat dávkově (používá dávkové zpracování), nebo v režimu sdílení času. Jako hostitelský počítač může fungovat např. PC s Unixem (rozhodující je charakter OS, nikoliv HW). Koncepce host/terminál má řadu výhod. Má centralizovaný charakter, správu stačí zajišťovat na jednom místě, snazší sdílení dat, programů. Relativně snadná implementace neklade příliš velké nároky na aplikace a neklade velké nároky ani na přenos dat mezi hostitelským počítačem a terminály protože se přenáší pouze výstupy na obrazovku uživatele a vstupy z uživatelovy klávesnice. Nevýhody modelu host/terminál jsou v prvé řadě v iluzi uživatele, že má hostitelský počítač výhradně ke své dispozici, ale ve skutečnosti má k dispozici jen n-tou část jeho výkonnosti! 1.4.3
Terminálové sítě
V době největšího rozmachu střediskových počítačů se budovaly celé rozsáhlé terminálové sítě využívající specializovaný prvků (řadičů, koncentrátorů, Front – End-Procesorů). Terminálová síť je pouze (rozsáhlý) terminálový rozvod, nikoli skutečná počítačová síť. Filosofii terminálové sítě převzala síťová architektura SNA firmy IBM
17
WWW
http://www.earchiv.c z/a96/a606k150.php 3
Obr. 1.1. Princip terminálové sítě Zdroj: [44]
Terminálová relace je vztah vznikající mezi terminálem a aplikací běžící na hostitelském počítači. Rozeznáváme tak lokální a vzdálené terminálové relace. Při lokální (místní) terminálová relaci jsou data přenášena jen po terminálové síti daného hostitelského počítače naproti tomu při vzdálené terminálová relaci jsou data přenášena po skutečné počítačové síti. Původní podstatou vzdálené terminálové relace byla skutečnost, že terminál jednoho hostitelského počítače se dostával do postavení terminálu jiného hostitelského počítače, tzn., že šlo o vzdálený terminál, kdy cílem bylo využívat zdroje (aplikace, data) vzdáleného počítače. 1.4.4
Éra izolovaných počítačů
Postupně se výpočetní technika stávala čím dál tím lacinější, zrodily se minipočítače, ale výpočetní model se nezměnil. Stále bylo nutné (z ekonomických důvodů), aby více uživatelů sdílelo jeden počítač. Zlom nastal až s příchodem osobních počítačů, kdy už bylo ekonomicky únosné přidělit každému uživateli jeho vlastní počítač, k výhradnímu použití. Vzniká nový výpočetní model, éra izolovaných osobních počítačů. Od příchodu osobních počítačů si lidé slibovali především vyšší komfort, větší pružnost a flexibilitu, nezávislost na ostatních (žádnou potřebu sdílení). Tyto 18
požadavky se v zásadě podařilo splnit, ale objevily se jiné problémy. Základním problémem izolovaných počítačů je, že dříve se každý problém řešil jednou, na jednom místě, nyní se každý problém řeší n-krát na n-místech. Uživatelé jsou mnohem více odkázáni na sebe, vznikají problémy se sdílením dat a programů. 1.4.5
Model file server/pracovní stanice
S vyšším využíváním osobních počítačů se musel začít řešit kompromis mezi přísnou centralizací danou modelem host/terminál a izolovanými osobními počítači. V životě většinou vítězí rozumný kompromis a proto i zde se postupně nalezl kompromis, kdy něco se dá každému do výhradního vlastnictví a něco se naopak bude sdílet.
File server ´/ pracovní stanice
Každý uživatel může mít vlastní výpočetní kapacitu, která je již relativně laciná a tudíž lze vytvořit uživateli příjemné pracovní prostředí tj. vlastní pracovní místo (klávesnici, monitor, myš, apod.) a některé programy a data. Naopak vzniká potřeba sdílet drahé periferie např. laserové tiskárny, plottery, scannery, společná data, firemní databáze, sdílené dokumenty, event. některá „soukromá“ data, např. kvůli zálohování. Proto jsou nutné dostatečně rychlé přenosové technologie a mechanismy sdílení musí být implementovány transparentně. S těmito požadavky vznikají první sítě LAN řešící především potřebu sdílení souborů (programů, dat) a periferií (tiskáren). Vznikají první rozlehlé sítě WAN, na kterých kvůli omezeným přenosovým možnostem (pomalým přenosům) nelze dosáhnout transparentního sdílení. Proto případné sdílení je řešeno netransparentně a tím si uživatelé si uvědomují rozdíl mezi „místním“ a „vzdáleným“ připojením. Model souborový server / pracovní stanice lze snadno implementovat v případě, že tomu operační systém vychází vstříc, tj. když operační systém dokáže rozlišit požadavek na místní a vzdálený soubor. 1.4.6
Model klient/server
Nevýhodou modelu souborový server / pracovní stanice je, že v některých situacích je hodně neefektivní, způsobuje zbytečný přenos a může snadno dojít k zahlcení sítě. Důvodem jsou data, která jsou zpracována jinde, než jsou umístěna (a proto musí být přenášena), nebo programy, které musí přenést obrovské množství dat pro svoji funkci. Příkladem je práce s databází, kdy je potřebné prohledat databázový soubor velikosti 10 MB, ve kterém se nachází položka XY. Řešením je model klient/server. Základní myšlenkou je ponechat zpracování dat tam, kde se data nachází a naopak výstupy pro uživatele generovat tam, kde se nachází uživatel. Musí pak dojít k rozdělení původně monolitické aplikace na dvě části tj. na serverovou část, zajišťující zpracování dat a klientskou část, zajišťující uživatelské rozhraní. Základní vlastnosti modelu klient/server je, že klient a server si posílají data představující dotazy a odpovědi. Pokud se klient a server dobře dohodnou, mohou 19
Klient/server
účinně minimalizovat objem přenášených dat, tím mají výrazně menší přenosové nároky a mohou pracovat i v prostředí rozlehlých sítí. 1.4.7
WWW
http://natura.baf.cz/n atura/2002/3/200203 03.html
Vznik počítačových sítí
Uživatelé začali zjišťovat, že na různých osamocených sálových počítačích a minipočítačích jsou k dispozici ohromná množství dat, avšak jejich dostupnost a přenos mezi jednotlivými počítači jsou problematické. Začala éra propojování velkých počítačů. Státní a vojenské organizace, univerzity a velké výrobní společnosti zejména ve Spojených státech řešily problém dostupnosti informací a jejich přenosu budováním vlastních privátních sítí, a tak v průběhu sedmdesátých let vznikla celá řada projektů: síť americké armády ARPANET, v jejímž rámci byla vyvinuta i protokolová sada TCP/IP, kterou dnes používá internet, DECnet firmy Digital, síť univerzity na Havaji ALOHA, z níž čerpala technologie Ethernet, a řada dalších. Koncem sedmdesátých let začalo docházet i ke vzájemnému propojování dílčích sítí, zejména akademických – vznikl internet. V roce 1981 do hry vstoupila firma IBM se svým prvním komerčním mikropočítačem nesoucím označení IBM PC, tedy osobní počítač IBM. Používal mikroprocesor Intel 8086 a oproti většině tehdejších mikropočítačů obsahoval několik důležitých vylepšení, která z něj jako celek činila to, čemu dnes říkáme otevřený systém. Šlo především o otevřenost jeho architektury. Osobní počítač IBM nebyl ve skutečnosti úplný počítač, ale pouze jakési výpočetní jádro, které bylo možné prostřednictvím standardní sběrnice vyvedené na konektory doplňovat o další prvky. Vznikl tak otevřený výpočetní systém s neomezenou variabilitou a rozšiřitelností. Výpočetní jádro bylo možné optimalizovat z hlediska výpočetní výkonnosti a výkonnosti rozhraní jak vzhledem k uživateli, a tudíž i k programům, tak i vzhledem k rozšiřujícím modulům. Vstup IBM PC na trh vyvolal řetězovou reakci. Výrobci mikropočítačů přehodnotili svoje strategie, opustili firemní architektury a začali vyrábět počítače používající architekturu IBM PC a označované jako počítače kompatibilní s IBM PC. Vzhledem k tomu, že společnost IBM zveřejnila architekturu svého osobního počítače a firma Microsoft zase uvolnila definici rozhraní pro uživatelské programy, vzniklo během nesmírně krátké doby pro IBM PC nepřeberné množství programů. Doslova během několika let se „pécéčka“ rozšířila tak, že se začaly objevovat hlasy prorokující konec éry sálových počítačů a minipočítačů. Prakticky každý úředník, výzkumník či manažer měl na stole osobní počítač, na němž si udržoval svá data a prováděl svoje výpočty. Počítač se tak stal dostupným kdykoli, odpadla pracná příprava programů a dat. Technologie a s ní i výkonnost osobních počítačů zatím neustále rostly, což vedlo ke stejnému fenoménu jako předtím u sálových počítačů. I v rámci nevelkého podniku či pracovní skupiny byly postupně značné objemy různorodých dat rozprostřeny po několika počítačích a začaly vznikat problémy s jejich vyhledáváním a přenosem. Přišla druhá vlna propojování počítačů – propojování osobních počítačů do lokálních sítí. Na základě zkušeností a již odzkoušených technologií vznikly technologie nové, orientované právě na lokální sítě: Ethernet, ARCnet, Token Ring a další. Nejhorší z těchto technologií, Ethernet, díky masivnímu marketingu a rozsáhlé podpoře výrobců integrovaných obvodů nakonec zvítězila, aby nedlouho poté, jak uvidíme 20
později, vyvolala celou řadu problémů. Vznikaly jak firmy orientující se výlučně na vývoj a výrobu síťových prvků a komponent, tak firmy zabývající se vývojem programového vybavení pro řízení sítí a síťovými operačními systémy. Počítačová síť je podle výše uvedených definic distribuovaným výpočetním systémem, tvořeným soustavou vzájemně propojených počítačů a dalších výpočetních prostředků. Jednotlivé počítače a další prvky, z nichž se počítačová síť skládá, se nazývají uzly sítě (angl. Node). Uzly jsou propojeny komunikační infrastrukturou. [18; 34; 35; 44]
1.5 Rozdělení počítačových sítí V současné době se setkáváme s členěním počítačových sítí do různých skupin podle nejrůznějších kritérií. Příkladem kritéria může být dosah sítě, architektura sítě, role (postavení) uzlů sítě účel, kterému síť slouží, vlastnické vztahy k síti, použité přenosové techniky, použité přenosové technologie, použitá přenosová média, mobilita uživatelů apod. Všechna tato kritéria nemusí být exaktně definována, ani výsledné kategorie („škatulky“) nemusí být přesně vymezeny, hranice mezi nimi nemusí být ostré a konkrétní klasifikace může mít i subjektivní složku neboť kritéria nejsou vzájemně disjunktní. Výsledné „škatulky“, představující dělení podle různých kritérií, se mohou vzájemně prolínat, jedna a tatáž síť může patřit do různých „škatulek“ současně (při uvážení různých kritérií). Pokusme se nyní objasnit některá kritéria. 1.5.1
Dělení podle velikosti, podle toho jak jsou počítače mezi sebou vzdálené
PAN (Personal Area Network) – velmi malá osobní síť – tyto sítě se využívají pouze v rámci jedné budovy. Jak vyplývá již z názvu, jsou to malé, osobní, víceméně dočasné sítě a zpravidla sloužící výhradně jedné osobě. Typické využití je při propojení mobilu a počítače, PDA nebo notebooku. Vzdálenost je malá. Na propojení se zpravidla používají bezdrátové rádiové technologie v dosahu pár metrů (WiFi, IrDA, BlueTooth).
LAN (Local Area Network) – lokální počítačová síť ve většině případů jde o počítače, které jsou blízko sebe, jsou v jedné budově anebo v nedalekých budovách. Vzdálenost může být pár stovek metrů, anebo maximálně pár kilometrů. Typickým přenosovým médiem je metalické vedení, nebo optické a bezdrátové rádiové spoje. Tento typ sítě nevyužívá prostředky dálkového přenosu dat (jako jsou např. modemy). Přenosové rychlosti se pohybují v rozmezí od 10Mbps do 10Gbps.
MAN (Metropolitan Area Network) – městská metropolitní počítačová síťtento typ spojuje vícero LAN sítí do jedné sítě. Vzdálenost mezi sítěmi je menší geografické území, převážně několik budov, v některých případech rozsah území města. Přenosovým médiem je metalické a optické vedení. V poslední době se rozšiřuje použití bezdrátových radiových technologií. Přenosové rychlosti se pohybují řádově v rozsahu od 100kbps až 1 Gbps. 21
Dělení sítí dle velkosti, funkce a dalších hledisek
WAN (Wide Area Network) – rozsáhlá globální počítačová síť- tato síť propojuje sítě typu LAN a MAN po celém světě. Vzdálenost je neomezená, jsou v rozsahu států a kontinentů. Uplatňují se zde všechna typy přenosových médií, metalické, optické, a také rádiové spoje. Tento typ sítě využívá technologii Ethernetu jen výjimečně. Využívají se hlavně technologie ISDN, ATM, Frame Relay a další. Přenosové rychlosti se pohybují řádově od 100 kbps až 1 Gbps.
Internet vznikl propojením různých LAN, MAN a WAN sítí.
1.5.2
Dělení podle funkčního vztahu
klient-server – u této sítě je počítač, který poskytuje služby a soubory ostatním počítačům v síti je server. Na tomto počítači jsou nainstalované všechny programy, resp. aplikace a ostatní počítače se pouze připojují k tomuto uzlu a využívají jeho služby (klienti). Klientské počítače nemají na svých discích síťové aplikace a většinou také údaje zapisují na pevný disk serveru. Tyto druhy sítí se uplatňují převážně tam, kde se pracuje s databázemi. Server disponuje s víceuživatelským a víceúkolovým síťovým operačním systémem. Používá se například v prodejnách obchodních domů, v lékárnách apod.
peer-to-peer (p2p) – u této sítě žádný z počítačů nemá nadřazené postavení. Vzájemně mohou sdílet soubory a poskytovat prostředky každý s každým. Počítače mohou jednou vystupovat jako servery, jindy jako klienti. Programy a aplikace jsou nainstalované na každém počítači. Soubory se ukládají na lokální pevné disky každého počítače, i když není vyloučená možnost síťové instalace. V sítích se využívají prostředky jednotlivých počítačů – disky, modemy a tiskárny.
1.5.3
Dělení podle účelu, ke kterému síť slouží
Intranet – síť sloužící k potřebám fungování vlastní organizace. Intranet zpravidla není přístupný navenek. Technicky intranet obvykle využívá internetové technologie uvnitř podnikových sítí pro informační systémy a sdílení informací. Extranet - je takové využití sítě, které sleduje „vnější“ cíle tj. prezentaci firmy, podniku, instituce atd. směrem navenek. Jedná se hlavně o obchodování (marketing a reklama, dojednávání a uzavírání obchodů, placení a dodávání zboží) a další aktivity zahrnující součinnost externích subjektů. Po technické stránce je Extranet založen na technologiích Internetu, využívá přenosových infrastruktur Internetu a jejich služeb. 1.5.4
Podle vlastnictví sítě privátní počítačové sítě - vlastníkem, provozovatelem i uživatelem je tentýž subjekt i když některé části mohou být pronajaty od jiných subjektů a ten, kdo síť vybudoval a uvedl do provozu, může být jiný subjekt. 22
veřejná (datovou) síť - vlastníkem i provozovatelem sítě je určitý subjekt, který sám není uživatelem své sítě, a vlastní uživatelé mohou být jiné subjekty. Služby sítě jsou poskytovány na komerčním principu, mohou být nabízeny zájemcům bez omezení (skutečně „veřejně“) a nabízené služby mají nejčastěji charakter pouhého přenosu dat.
U (polo)privátní sítě je vlastníkem i provozovatelem sítě určitý (stejný) subjekt, který sám není uživatelem své sítě. Uživateli mohou být jiné subjekty a služby sítě jsou jim poskytovány na komerčním principu a služby sítě jsou nabízeny jen určitému omezenému okruhu uživatelů, například jen vlastním zákazníkům. Důvodem pro poskytování služeb jen omezenému okruhu zájemců jsou obchodní strategie a záměr provozovatele a nemožnost získání licence na veřejné poskytování.
Virtuální privátní síť je samostatnou podsítí jiné sítě, typicky veřejné datové sítě. Technicky a provozně jde o součást „mateřské“ (veřejné) sítě a z pohledu uživatele jde o samostatnou síť (uživatel si může myslet, že síť je jen jeho a je mu plně k dispozici). Smyslem takového řešení je, že uživatel chce mít vlastní síť, ale nevyplatí se mu ji budovat a provozovat, neboť na to nemá lidi, znalosti, zázemí a je to pro něj takto výhodnější.
1.5.5
Podle použité přenosové techniky
Podle použité přenosové techniky můžeme sítě rozdělit na sítě s přepojováním okruhů, nebo sítě s přepojováním paketů. Další členění je dle toho, jak velké „kusy“ dat jsou přenášeny najednou a to přepojování zpráv (velké bloky dat), přepojování paketů a rámců (velké bloky dat) a přepojování buněk (malé bloky dat). Konečně na jaké úrovni se realizuje přepojování. Buď na úrovni síťové vrstvy (paketů), nebo přepojování na úrovni linkové vrstvy (rámců a buněk). Základní způsoby přenosu lze porovnat se známými poštovními službami. Při variantě „telefon“ vzniká mezi příjemcem a odesilatelem (fyzicky) přímá, souvislá linka a komunikace probíhá v reálném čase. Představa je taková, že od odesilatele vede až k příjemci linka, přenášená data se nikde nehromadí a data nemusí být příjemci explicitně adresována. Jedná se o přepojování okruhů (circuit switching). Tato metoda pochází ze „světa spojů“ (funguje tak telefonní síť) a je výhodná pro „rovnoměrné“ přenosy např. pro multimediální formáty (živý zvuk a obraz). Používá se např. v sítích ISDN. Při variantě „dopis“ mezi příjemcem a odesilatelem nevzniká žádná souvislá vyhrazená cesta a na cestě od příjemce k odesilateli existují přestupní body, které si zásilku postupně předávají, a jsou schopny ji nakonec dopravit až k příjemci. Přenášená data cestují podle principu „store & forward“ kdy jednotlivé přestupní uzly nejprve přijmou celý přenášený blok dat, a teprve pak jej předají dál (komunikace neprobíhá v reálném čase). Přenášená data musí být explicitně 23
adresována a musí nějak identifikovat svého příjemce. Jedná se o přepojování paketů (packet switching). Metoda přepojování paketů pochází ze „světa počítačů“ a je výhodná pro „nárazové“ přenosy, např. přenosy souborů a nevhodná pro zvuk a obraz. Takto fungují prakticky všechny sítě LAN i WAN. Při přepojování paketů (packet switching) mohou být přenášené bloky různě velké a maximální velikost paketu je omezena. Navíc musí být předem známo, jak veliká vyrovnávací paměť musí stačit. Přepojování rámců (frame relay) je odlehčenou verzí přepojování paketů (na úrovni linkové vrstvy), velikost rámce je proměnná, ale omezená. Maximálně odlehčené přepojování (na linkové vrstvě) je přepojování buněk (cell relay). Buňky jsou velmi malé a mají pevnou velikost. Příkladem může být technologie ATM, která vyhovuje potřebám telekomunikací i požadavkům IT. [84] 1.5.6
Dělení sítí podle jejich topologie
Pod pojmem topologie sítě si můžeme představit způsob propojení počítačů mezi sebou tak, aby výsledkem byla fungující síť. Každá topologie má svá specifika, která se liší především typem používané kabeláže, použitím a typem aktivních či pasivních prvků a maximální rychlostí sítě. Sběrnice (Bus) Všichni účastníci sítě jsou připojeni paralelně na společnou sběrnici. Výhodou této metody je hlavně lehká instalace a připojení nových účastníků do sítě. Nevýhodou je, že porucha libovolného počítače způsobí výpadek celé sítě. Tato topologie je zobrazena na obr. 1.2.
Obr. 1.2 - Síť se sběrnicovou topologií Zdroj: vlastní
Výhody: médium odolné proti rušení – pasivní připojení další stanice bez nákladů na další spoje žádný problém při výpadku stanice přímé vysílání ze zdroje k cíli snadnost vysílání všem (broadcasting) nebo skupině (multicasting) Nevýhody na médiu nejvýše jedna zpráva současně nesnadnost realizace pomocí světlované techniky 24
poměrně krátká délka segmentů bez opakovačů (max. do 500m)
Hvězda (Star) Jednotlivé počítače jsou propojené navzájem pomocí rozvětvovačů (hubů). Výhodou této koncepce je lehké rozšiřování sítě a velký dosah sítě. Příklad této koncepce zobrazuje obr. 1.3.
Obr. 1.3 - Síť s hvězdicovou topologií Zdroj: vlastní
Výhody: snadnost rozšíření malý počet spojů konstantní počet dílčích cest pro dané spojení výpadek jedné stanice nezpůsobí problémy Nevýhody při výpadku spoje je daná stanice zcela vyloučena z kumonikace při výpadku uzlu selhává kompletní komunikace velké náklady na centrální uzel u větších sítí Kruh (Ring) Jednotlivé počítače sítě jsou spojené přenosovým médiem do kruhu, takže signál prochází postupně přes všechny počítače sítě. Nevýhodou však je podstatně horší instalace sítí a skutečnost, že porucha libovolného počítače může způsobit neprůchodnost sítě. Kruhovou topologii zobrazuje obr. 1.4.
25
Obr. 1.4 - Síť s prstencovou topologií Zdroj: vlastní
Výhody: snadno rozšiřitelná struktura malý počet spojů minimální nárůst počtu spojů při rozšiřování není třeba centrální stanice Nevýhody totální výpadek při poruše jednoho spoje nebo stanice (lze vyřešit záložním okruhem) 1.5.7
Dělení sítí podle řízení provozu
Sítě typu Ethernet (IEEE 802.3) Ethernet je dnes bezesporu nejrozšířenější implementací počítačové sítě. Jeho popularita tkví především v jednoduchosti protokolu a tím i snadné implementaci a instalaci. Původní Ethernet protokol měl přenosovou rychlost 10 Mbit/s. Na jeho vývoji se podílely firmy DEC, Intel a Xerox, v roce 1976. Jeho použití bylo primárně využito v kancelářských aplikacích. Institut IEEE ho později přijal jako normu IEEE 802.3, načež byla tato norma převzata i organizací ISO, a to pod číslem ISO 8802-3. Původní verze Ethernetu byla později upravena a vznikl tak další protokol s názvem Ethernet II, jehož cílem bylo dosáhnout vyšší kompatibility. Rozdíl mezi 26
specifikacemi Ethernet a Ethernet II je ve formátu rámce. Původní Ethernet používal sdílené médium, reprezentované sběrnicí, kde všechna připojená zařízení slyší veškerý provoz na síti. V jednom okamžiku může však data vysílat jen jedno zařízení. Jednotlivé stanice jsou zde identifikovány svými hardwarovými adresami (MAC adresami). Když stanice obdrží paket s jinou než vlastní adresou, zahodí jej. Pro přístup ke sdílenému přenosovému médiu (sběrnici) je použita metoda CSMA/CD (Carrier Sense with Multiple Access and Collision Detection = metoda mnohonásobného přístupu s nasloucháním nosné a detekcí kolizí). Síť typu ARCNet ARCNET je poměrně rozšířená technologie lokální sítě (LAN), svou stavbou se podobá protokolům Ethernet či Token Ring. ARCNET byl svého času jednou z prvních technologií, která byla široce dostupná pro síťovou komunikaci mikropočítačů a stala se populární zejména v osmdesátých letech pro použití v automatizaci kancelářských prací. Od té doby se její uplatnění přesunulo na trh s vestavěnými systémy (embedded systémy). Síť typu Token Ring (IEEE 802.5) Principem sítě Token ring je předávání vysílacího práva pomocí speciálního rámce (tokenu) mezi adaptéry, zapojenými do logického kruhu. Fyzicky je síť zapojena do hvězdicové topologie, ale centrální hub slouží pouze jako spoj pro uzly v sousedních ramenech hvězdy. Řízený způsob přístupu ke sdílenému médiu zajišťuje vyšší robustnost a odolnost sítě při přetížení, než může nabídnout stochastický přístup Ethernetu. Původní přenosová rychlost sítí Token Ring byla 4 Mbit/s, v roce 1989 vznikla zařízení s rychlostí 16 Mbit/s a norma byla patřičně rozšířena. Další rozšíření technologie přinesly postupně rychlosti 100 Mbit/s a 1 Gbit/s.. Zpočátku byla tato technologie poměrně úspěšná, ale počátkem 90. let byla postupně vytlačována technologií Ethernetu. Síť typu 100BaseVG -AnyLAN (IEEE 802.12) Jedná se o síť od firmy Hewlett-Packard. Rychlost této sítě je 100 Mbit/s. Maximální délka segmentu je 7,7 km, počet stanic není omezen, záleží na počtu hubů. Médiem je kroucená dvojlinka a optický kabel. Je zde použita bezkolizní přístupová metoda, umožňující dvě úrovně priority (nízkou a vysokou). Používají se zde huby k větvení sítě a síť lze rozšiřovat připojováním podřízených hubu na centrální hub. Na 7,7 km je jeden rozbočovač. Za každý další rozbočovač je nutno odečíst 1.1 km vzdálenosti. Síť typu FDDI (ISO/IEC 9314) Celým názvem Fiber distributed data interface. Je to síť s kruhovou topologií. Byla to první síť s přenosovou rychlostí 100 Mbit/s a byla původně navržena pro sítě MAN. Byla vyvinuta institutem ANSI někdy v 80. letech s mezinárodním označením ISO 9314. Kruhové uspořádání je tvořeno dvěma kruhy pro opačné směry přenosu (jeden je záložní pro případ poruchy). Obnovení funkčnosti je založeno na automatickém uzavření smyčky v nejbližších uzlech, ve kterých došlo k poruše. Délka kruhu je tak skoro dvojnásobná a stejně i počet uzlů. [76; 35; 38; 42]
27
1.6 Internet Internet je rozsáhlá síť počítačů, propojených mezi sebou datovými spoji. Jde o obrovské množství počítačů (desítky milionů) a pracuje s nimi několik stovek milionů uživatelů. 1.6.1
WWW
http://natura.baf.cz/n atura/2002/3/200203 03.html
Historie internetu
Vývoj internetu začal kolem roku 1969 v rámci projektu „nezničitelné“ počítačové sítě pod názvem Arpanet. Projekt byl financován z vojenských zdrojů USA. Nezničitelnost této sítě spočívala v tom, že neměla žádné centrum, žádný řídicí bod a také v tom, že spoje mezi jednotlivými uzly byly realizovány více cestami, aby vyřazení části spojů neznamenalo úplné znemožnění komunikace. Obě tyto vlastnosti – neexistence centrálního řízení a odolnost sítě proti výpadkům - přetrvaly i do dnešního Internetu. Sít Arpanet po několika letech přešla plně do akademických rukou a postupně se k ní připojovaly další a další počítače i celé sítě. Vznikla soustava sítí, které byly mezi sebou propojeny (Inter Network) s názvem Internet. V osmdesátých letech minulého století to byla akademická síť propojující školy a vědecké ústavy po celém světě. V devadesátých letech přešel Internet do komerčního provozu a kolem roku 1995 začal hrát úlohu globální sítě. Vojenské sítě jsou od něho zcela odděleny. [75; 96; 105; 124] 1.6.2
Princip činnosti internetu
Jak již bylo řečeno, internet je síť počítačů propojených mnoha datovými spoji po celém světě. Komunikují mezi sebou využitím paketového způsobu přenosu dat a síťového přenosového protokolu označeného zkratkou TCP/IP – Transmition Control Protocol / Internet Protocol. Každý počítač, který pomocí tohoto protokolu komunikuje, musí mít svoji jednoznačnou IP adresu. Tato adresa jednoznačně určuje zařízení, které přes internet komunikuje. Každá informace, která se má přes internet přenést, je rozdělena do paketů a poslána z jedné IP adresy na druhou. Paket obsahuje hlavičku, ve které je uvedeno které počítače mezi sebou komunikují a vlastní data. V síti jsou zařazeny směrovače (routery), které pakety přebírají, čtou si adresy v nich obsažené a posílají správným směrem. Zapamatovat si však IP adresy (např.: 195.216.57.255) nebylo možné a proto se dnes používá jmenný princip adres URL (Unixe Ressource Locator – jednoznačné určení zdroje). K překladu jmenných názvů na IP adresy slouží DNS servery. Těch je v internetu mnoho a vytvářejí stromovou strukturu (hierarchii). Jak již bylo řečeno, TCP/IP protokol (skupina protokolů) zajišťuje fyzický přenos paketů mezi počítači. Jednotlivé služby internetu pak používají své vlastní (nadstavbové) aplikační protokoly, např. web používá protokol HTTP, e-mail protokoly SMTP, POP3, a další. Tyto protokoly používají ke komunikaci systémové porty. Například web používá port 80, pošta odchází zpravidla z portu 25, a přichází přes port 110. 28
URL adresa se skládá z jednotlivých doménových názvů, např. www.zive.cz. Rozeznáváme domény prvního, druhého a třetího řádu. V adrese www.zive.cz je doména prvního řádu: cz, doména druhého řádu: zive, a doména třetího řádu: www. Domény prvního řádu jsou přidělovány většinou na národním principu; doména cz obsahuje české weby, doména sk slovenské, atd. Doménu prvního řádu spravuje v každé zemi správce národní domény. V Česku je to sdružení CZ.NIC (www.nic.cz), které registruje placené domény druhého řádu. Internet nikdo neovládá a žádná instituce nic neurčuje. Ale v zájmu zajištění plynulého chodu internetu se největší firmy a nekomerční organizace dohodly na standardech, podle kterých má internet fungovat. Vytvořily organizaci ISOC (Internet Society – www.isoc.org), která publikuje dohodnutá technická i organizační pravidla. Správu IP adres a kořenových DNS serverů má na starosti také nekomerční organizace ICANN (Internet Corporation For Assigned Names and Numbers – www.icann.org) 1.6.3
Připojení k internetu
Datové spoje mezi uzly internetu jsou realizovány metalickými nebo optickými kabely, případně bezdrátově, pomocí radiového nebo optického přenosu. Nejsou všechny stejně rychlé, nemají stejnou kapacitu. Nejrychlejší spoje tvoří páteř (backbone) internetu, která spojuje nejdůležitější uzly sítě. Ty se většinou nacházejí ve velkých městech, z nichž se rozbíhají další linky po celém státě. Tyto linky provozují jednotliví poskytovatelé internetu (též zvaní provideři, z anglického Internet Service Provider), kteří své linky pronajímají dalším, místním poskytovatelům. Ti pak připojují jednotlivé uživatele – firmy a domácnosti – realizují připojení poslední míle. [44; 84] Koncové uživatele lze k internetu připojit využitím některého z těchto principů: Dial-up připojení (Vytáčený internet) uskutečňuje se standardním modemem po analogové telefonní lince rychlost připojení závisí od kvality modemu a telefonní linky, maximální rychlost 56kbit/s modem: základní charakteristikou je komprese (protokol v90, v42) modem: může být externí, interní, a softwarový – kompresi provádí procesor
Dial-up ISDN připojení ISDN = Integrated Services Digital Network uskutečňuje se ISDN modemem po ISDN telefonní lince přibližně dvojnásobná rychlost ve srovnání se standardní dial-up (2 kanály po 64kbit/s) vysoká odolnost vůči chybám ISDN telefonní linka je digitální a má dva nezávislé kanály (je možné současně telefonovat a surfovat na internetu, nebo využívat internet prostřednictvím dvou linek)
ADSL připojeni ADSL = Asymetric Digital Subscriber Line uskutečňuje se po digitální telefonní lince (jako ISDN) 29
Technologie připojení do internetu
WWW
odehrává se na vyšších frekvencích než je frekvence používaná pro přenos hlasu, proto se s telefonním provozem nedělí, je možné současně telefonovat i surfovat na internetu připojení je stálé asymetrické připojení směrem k uživateli je mnohem rychlejší, než směrem od něho (download je větší než upload) telefonní vedení od uživatele k ústředně nesmí být moc dlouhé (nejvíce 2-3 km)
Leased-line pripojení pevná linka uskutečňuje se po speciálním kabelu, který je vyhrazen výhradně pro připojeného účastníka připojení je stálé, není třeba se přihlašovat kvalita a cena závisí od přenosové kapacity, rychlosti pronajaté linky a vzdálenosti od uzlu cena se účtuje za časové období – zpravidla měsíc
Satelitní připojení (mikrovlnní) bezdrátový přístup k síti vysoká rychlost a spolehlivost podmínkou je dobrý / kvalitní signál (na rušení může mít vliv i počasí) parabolická anténa vysoká cena
Bezdrátové připojení (WiFi) jsou zapotřebí speciální síťové karty s konektorem na anténu tyto karty jsou schopny zajistit vysílání a příjem signálů klient se připojuje na Access Point Access Point se připojuje dál do sítě poměrně malá bezpečnost - sítě je třeba kódovat a šifrovat využívají se v kavárnách na letištích
Připojení přes GSM síť síť mobilních telefonů zatím drahé (platí se za dobu připojení) možnosti použít mobil jako softwarový modem (většina z nich již má zabudovaný) rychlost 9kbit/s, 18kbit/s
GPRS = General Purpose Radio Services trvalý datový kanál (data se přenášejí pouze tehdy, kdy se odesílají) platí se pouze za přenesená data jde o integrovanou funkci mobilního telefonu
UMTS = Universal Mobile Telecommunications System (3G) velice rychlý datový kanál je schopen přenášet audio, video a datové přenosy přes GSM síť také funkce mobilního telefonu
http://tomas.richtr.cz /mobil/gsmstrukt.htm
30
1.7 Otázky a úkoly 1. Uveďte, jaké důvody vedly ke vzniku počítačových sítí. 2. V čem spočívá princip přepojování fyzických okruhů, přepojování zpráv a přepojování paketů? 3. Vyjmenujte prvky terminálové sítě. 4. Podle čeho můžeme klasifikovat počítačové sítě? 5. Charakterizujte lokální počítačovou síť LAN. 6. Uveďte výhody a nevýhody sběrnicové topologie sítě. 7. Čím se vyznačuje metropolitní síť MAN? 8. Popište princip přepojování paketů. 9. Porovnejte výhody a nevýhody hvězdicové topologie. 10. Uveďte charakteristické vlastnosti sítě Ethernet. 11. Historie internetu; ARPANET 12. Funkce IP adresy 13. K čemu slouží DNS servery? 14. Z čeho se skládá URL adresa? 15. Jakou má funkci Internet Service Provider? 16. Jaké jsou podmínky pro bezdrátové připojení k síti?
1.8 Samostatní práce studenta
Vyberte si vhodní software pro návrh sítě a navrhněte síť o 10 uživatelích. Využijte aktivní prvky switch, adsl modem, 10 pc stanic, 1 síťová tiskárna. Naučte se používat pracovní pomůcky pro tvorbu kabeláže, zejména krepovací kleště pro metalický kabel a koncovky RJ11 a RJ45. Naučte se zapojit kabel pro telefonní přípojky, pak klasický a křížený kabel pro Ethernet síť.
31
32
2 Přenos dat mezi uzly sítě Obsah kapitoly: 2.1 Cíle kapitoly 2.2 Získané dovednosti 2.3 Klíčová slova 2.4 Standardy a síťové modely 2.5 ISO referenční model síťové architektury 2.5.1 Fyzická vrstva 2.5.2 Spojová (linková) vrstva 2.5.3 Síťová vrstva 2.5.4 Transportní vrstva 2.5.5 Relační vrstva 2.5.6 Prezentační vrstva 2.5.7 Aplikační vrstva 2.6 Komunikace vrstev 2.6.1 Propojovací prvky 2.6.2 Propojovací služby 2.7 TCP / IP 2.7.1 Vrstva síťového rozhraní 2.7.2 Síťová vrstva 2.7.3 Transportní vrstva 2.7.4 Aplikační vrstva 2.8 Otázky a úkoly 2.9 Samostatní práce studenta
2.1 Cíle kapitoly Kapitola je zaměřena na výklad zásad zajištění vzájemné spolupráce různých zařízení od různých výrobců v síti. Je zdůvodněna standardizace této komunikace. K řízení komunikace mezi jednotlivými uzly sítě je zapotřebí celá množina technických a programových prostředků. Filosofii řízení této komunikace definuje tzv. síťová architektura. Je uveden princip ISO- referenční model síťové architektury včetně příslušných vrstev. Popisem jednotlivých vrstev uzlu - sedmivrstvového modelu je přiblížená vlastní komunikace mezi nimi. Konkrétní propojení pak fyzicky zajišťují propojovací prvky. Je provedeno srovnání vrstev OSI a TCP / IP.
2.2 Získané dovednosti Pochopením síťové architektury si student dovede navrhnout jednoduchou síť a správně si zvolit příslušné komponenty s ohledem na zadané vlastnosti koncových uzlů.
2.3 Klíčová slova standardy, síťová architektura, propojovací prvky, koncové uzly, opakovač. most, směrovač, brána, protokoly TCP/IP. 33
2.4 Standardy a síťové modely ISO / OSI referenční model
Vzájemnou spolupráci různých zařízení od různých výrobců v oblasti datových a počítačových sítí zajišťují tzv. standardy. Týkají se všech aspektů činností, od konektorů až po přenos souborů. Umožňují tak sestavení otevřených systémů (Open Systems), které vyhovují různým standardům. Většinou jde o standardy, které vydávají standardizace komise (např.: ISO) nebo o standardy některých výrobců (DNA model firmy DEC) převzaté i jinými výrobci. Systémy, které nedodržují standardy a umožňují propojovat jen podsystémy, resp. zařízení jednoho výrobce se označují jako uzavřené systémy (Closed Systems). V současnosti převažuje nasazování otevřených systémů, a to hlavně v souvislosti s rozvojem různých typů distribuovaných systémů založených na veřejných a privátních datových sítích. Na řízení komunikace mezi jednotlivými uzly sítě je zapotřebí celá množina technických a programových prostředků. Filosofii řízení této komunikace spolu s technickými a programovými prostředky definuje tzv. síťová architektura. Řízení komunikace představuje rozsáhlý problém. Jako nejlepší řešení se ukázalo dekomponování tohoto problému do hierarchicky uspořádaných vrstev. Toto řešení poskytuje větší flexibilitu vzhledem ke změnám v síťové architektuře. [19; 15; 44; 76] Každá vrstva má specifikované funkce tvořící část z řízení komunikace, jakož i definovaný způsob komunikace se sousední nižší a vyšší vrstvou. Tím je specifikované rozhraní (interface) mezi vrstvami. Vyšší vrstva je vždy žadatelem o provedení nějaké služby, nižší vrstva je zase poskytovatelem služby pro vyšší vrstvu. Komunikace v síti probíhá mezi dvěma uzly, přitom mezi sebou komunikují rovnocenné vrstvy (peer-to-peer). Rovnocenné vrstvy komunikují mezi sebou na základě přesně dohodnutých pravidel, s definovaným formátem vyměňování datové entity - protokolové datové jednotky PDU (Protocol Data Unit). Soubor pravidel, procedur a formátů pro komunikaci tvoří komunikační protokol. Každá vrstva obsahuje alespoň jeden protokol. Jednotlivé části protokolů popisují komunikační funkce. Příkladem komunikační funkce je funkce řízení směrování v síti, funkce detekce chyb v přenosu, komprimace dat, atd. Ke každé vrstvě modelu lze přiřadit soubor protokolů, protože stejné komunikační funkce mohou být implementovány různými způsoby. Ze souboru protokolů lze vytvořit protokolový zásobník, ve kterém i-ta položka odpovídá jednomu protokolu na i-té vrstvě modelu. V každém modelu lze vrstvy rozdělit do skupin: síťově závislé aplikačně orientované
2.5 ISO referenční model síťové architektury WWW
http://www.earchiv.c z/anovinky/ai1552.p hp3
V oblasti počítačových sítí byl organizací ISO (International Standards Organization) přijat jako mezinárodní standard referenční model síťové architektury propojování otevřených systémů - standard ISO 7498. Tento standard se označuje jako RM OSI nebo ISO / OSI. Model je sedmivrstvový, specifikuje pouze činnosti jednotlivých vrstev a volně popisuje rozhraní mezi vrstvami. Konkrétní protokoly a služby jednotlivých vrstev vznikaly a vznikají postupně jako samostatné standardy ISO, resp. jiných institucí (IEEE, CCITT, ...).
34
Obr. č.. 2.1: Referenční model OSI a tok dat mezi jeho vrstvami. Zdroj: vlastní
Přenos dat mezi dvěma aplikacemi, např. mezi vysílajícím procesem A a přijímajícím procesem B probíhá tak, že na straně vysílače se postupně v každé vrstvě přidává k údajům z vyšší vrstvy, resp. aplikace, hlavička obsahující řídící informace a na straně příjemce se postupně hlavičky odebírají. Řídicí informace lze rozdělit do dvou skupin podle toho, komu jsou určeny: nižší vrstvě na straně vysílače, která jejich odebere a provede požadované činnosti stejné vrstvě na straně příjemce Na úrovni spojové vrstvy se přidává i ukončení, které se používá k zabezpečení dat proti přenosovým chybám. Do skupiny síťově závislých vrstev patří spodní tři vrstvy, jejich funkce jsou závislé na konkrétním typu sítě. Tyto vrstvy "vidí" část nebo celou skutečnou topologii sítě. Do skupiny aplikačně orientovaných vrstev patří horní tři vrstvy, pro které je typ sítě transparentní a používají se jako programová podpora aplikačním procesem. Rozhraní mezi těmito skupinami tvoří transportní vrstva
35
Obr. č. 2.2: Srovnání vrstev OSI a TCP / IP Zdroj: vlastní
Nyní si podrobněji všimneme činnosti jednotlivých vrstev. 2.5.1
Fyzická vrstva
Poskytuje služby spojové vrstvě, zajišťuje sériový přenos bitů mezi dvěma uzly pomocí fyzické přenosové cesty. Zabývá se rozhraním (mechanické a elektrické parametry, specifikace konektorů, kabelů, apod..) Mezi dvěma síťovými uzly. 2.5.2
Spojová (linková) vrstva
Využívá služby fyzické vrstvy pro přenos bloků dat - rámců (frames). Fyzická vrstva přenáší do spojové vrstvy pouze souvislý řetězec bitů, Spojová vrstva musí umět rozeznat začátek a konec rámce, jeho jednotlivá pole. Zajišťuje také detekci poruch, které mohou vyskytnout na přenosové cestě a projevují se změnou hodnot některých bitů. Odpovídající vrstvě na straně vysílače potvrzuje přijetí rámců, v případě chybných rámců vyžaduje opětovné vysílání. Řídí také tok dat mezi dvěma uzly, aby nedošlo k lokálnímu stavu uváznutí komunikace. Poskytuje služby síťové vrstvě. 2.5.3
Síťová vrstva
Využívá služby spojové vrstvy, poskytuje služby transportní vrstvě. Zajišťuje směrování v síti, a tím přenos datových bloků - paketů mezi libovolnými uzly sítě. Síťová vrstva je jediná, která "vidí" skutečnou topologii sítě. Také v některých případech řídí tok dat a zabezpečuje přenos proti chybám
36
2.5.4
Transportní vrstva
Využívá služby síťové vrstvy, poskytuje služby relační vrstvě. Poskytuje pět tříd služeb různé kvality pro různé typy sítí. Třída 0 je nejjednodušší, zajišťuje jen základní funkce potřebné pro vytvoření spojení a přenos dat. Předpokládá se, že síťová případně Spojová vrstva umí ošetřit případné chyby, že chybovost v síti je malá. Třída 4 je nejsložitější, má navíc funkce pro řízení toku a zabezpečení proti chybám. Předpokládá se, že nižší vrstvy se nevědí zotavit z chyb a síť může mít velkou chybovost (WAN sítě). Zabývá se komunikací pouze mezi koncovými uživateli, tj. mezi vysílajícím uzlem a koncovým uzlem (end-to-end communication). Tady se již vytváří představa úplné topologie - představa, že každý uzel má přímé propojení s libovolným uzlem. Při vysílání zajišťuje segmentaci dlouhých zpráv do paketů a při příjmu složení paketů do původní zprávy. 2.5.5
Relační vrstva
Využívá služby transportní vrstvy, poskytuje služby prezentační vrstvě. Navazuje, udržuje a ruší logické spojení - relace mezi koncovými účastníky. V případě polo duplexní komunikace řídí směr komunikace. Zajišťuje vkládání bodů návratu do přenášených bloků dat, které v případě některých nedostatečnému slouží k označení místa v posloupnosti přenášených dat, odkud se bude přenos opakovat 2.5.6
Prezentační vrstva
Využívá služby prezentační vrstvy, poskytuje služby aplikační vrstvě. Stará se o prezentaci údajů, jejich bezpečnost a například i kryptování 2.5.7
Aplikační vrstva
Využívá služby prezentační vrstvy, poskytuje služby koncovým uživatelům aplikačním procesem. Zajišťuje uživatelské rozhraní k síťovým informačním službám, které zahrnují například přenos souborů, elektronickou poštu, práci se vzdálenými soubory, ... Aplikační vrstva v podstatě zahrnuje tu část z uživatelských procesů, která používá společné, resp. všeobecně použitelné přístupy. Například při přenosu souborů jejich kódování do vhodného přenosového formátu, vytvoření logického spoje - asociace s adresátem, zrušení asociace, ... Služby poskytované vrstvou vlastně odlehčují uživatele od implementace procedur přístupu do prostředí sítě.
2.6 Komunikace vrstev 2.6.1
Propojovací prvky
V uzlech koncových uživatelů je obvykle implementován celý sedmivrstvový model. Fyzická a spojová vrstva jsou obvykle realizovány na úrovni technického vybavení (hardware, maximálně firmware) a ostatní na úrovni programového vybavení. Propojovací resp. spojovací prvky mezi uzly rozeznáváme tyto: 37
na úrovni fyzické vrstvy - opakovače (repeaters) na úrovni spojové vrstvy - mosty (bridges) na úrovni síťové vrstvy - směrovače (routers) - tyto již vědí propustit jen určité protokoly na úrovni aplikačně orientovaných vrstev - brány (gateway) - spojují více různých sítí
Obr. č.. 2.3. Umístění spojovacích prvků sítí v RM OSI Zdroj: vlastní
Opakovač (repeater) Zařízení pracující s vrstvami OSI
V důsledku útlumu na vedení vykazují spojovací vodiče ztrátu signálu. Pokud pracujeme s vyšší rychlostí, například 10 Mbit / s, tak použitelná maximální vzdálenost například při koaxiálním kabelu, je přibližně 500 metrů. Při větší vzdálenosti musí být elektrické resp. optické signály revitalizované pomocí opakovače. Můžeme použít jen omezený počet opakovačů, protože maximální délka sítě je také omezená. Opakovač není vybaven žádnou inteligencí, jen zesiluje elektrické signály, které přijal. Vůbec nezávisí na protokolech, data předává bez změny a tok dat nesleduje. Uživatel nevidí, že síť obsahuje nějaké opakovače. Segmenty, které jsou spojeny do sítě se jeví jako jedna velká síť. Nedostatek inteligence určuje umístění opakovačů v ISO modelu na fyzickou vrstvu. Vnitřně vykonává opakovač funkce odpovídající maximálně fyzické vrstvě. Segmentu, na který je připojen alespoň jeden uzel sítě říkáme aktivní segment. Segment, na který není nic v tomto smyslu připojeny a slouží pouze k překlenutí vzdálenosti, se nazývá pasivní segment. Je řada různých typů opakovačů. Ten nejjednodušší prostě spojuje dva segmenty v jeden. Nejmodernější obsahují dva poloopakovače. Mezi těmito dvěma polovinami může být optický spoj o délce i více kilometrů. Tím se výrazně zvětší dosah sítě. Když se zvětšuje lokální síť, přerůstá do sítě WAN. Okamžik přechodu však nelze přesně určit 38
Mosty (Bridges) Spojení mezi dvěma stejnými sítěmi (např. Ethernet s Ethernetem) se realizuje pomocí mostu. Nejdůležitějším úkolem je, že rozšiřuje funkci sítě na vzdálené stanice v jiné síti. Most je obdoba opakovače. I tady jsou spojeny segmenty sítě, ale most obsahuje určitou inteligenci a zajišťuje spojení dat v liniové vrstvě modelu OSI. To znamená, že celý datový rámec je přenesen na druhou stranu mostu, přičemž most musí zajistit vzájemně rozlišitelné adresaci. Most kontroluje datový rámec a případně provádí potřebné změny. Tyto změny jsou pouze na úrovni linkové vrstvy. Most může být použit ve dvou situacích: logické oddělení dvou segmentů sítě. Tak budou mít obě sítě k dispozici s stejně řešenou liniovou vrstvou. Most může kontrolovat toky dat na obou segmentech a propouštět pouze data, jejichž adresát je umístěn na druhém segmentu. To výrazně zvýší výkonnost sítě spojení dvou segmentů různých linkových vrstev. V tomto případě má most na každé straně jiný linkový protokol. Tak můžeme například spojit sítě Ethernet a Token Bus Mosty se někdy skládají ze dvou polovin, které mohou být spojeny optickým kabelem a mohou být od sebe vzdáleny i více kilometrů (i desítky). Programové vybavení mostu má určitou inteligenci. Když je most umístěn do sítě, zkoumá tok dat a ukládá si adresy uzlů na jednotlivých segmentech. Může se tak naučit, které adresy jsou na které straně. Proto je jeho instalace snadná. Směrovače (routers) O krok výše v OSI modelu je směrovač. Také spojuje dvě sítě, ale v síťové vrstvě. Směrovač je řízen programově a udržuje si tabulky obsahující aktuální informace o síti. Směrovače vědí vyhledat nejvhodnější možnou cestu pro směrování paketů v síti. Směrovač může být použit ve dvou variantách: použití v síti pro svou směrovací kapacitu, protože díky směrovacím tabulkám zná informace o cestách a uzlech v síti použití na propojení dvou sítí s různými síťovými vrstvami. Směrovač může provádět změny na úrovni síťové vrstvy. Může například provádět změny mezi dvěma sítěmi, které umísťují adresu v datových rámcem odlišným způsobem. Směrovací tabulky známe dvojího typu: statické a dynamické. Statické směrovací tabulky jsou předem definovány, resp. naprogramované, a během běhu se dynamicky nemění. Toto má sice za následek vyšší rychlost směrování, ale menší flexibilitu v případě dynamických rekonfiguraci sítě. Dynamické směrovací tabulky se flexibilně přizpůsobují změnám v síti, za což se ale platí pomalejším zpracováním dat. Brány (gateways) Nejdůmyslnější spojení dvou sítí je použití brány. Pojem "brána" se často nesprávně používá k označení spojení dvou různých sítí. Zde bude znamenat brána zejména 39
spojení na úrovni transportní vrstvy. Zařízení na této vrstvě modelu OSI se nazývá také konvertor protokolů. Brána je komplexní zařízení, které obsahuje i technické i programové vybavení. Umožňuje spojit dvě různé sítě, které se od sebe významně liší způsobem provozu a protokolem. Může simulovat zcela různé sítě na obou stranách. Brána příliš nezapadá do modelu OSI. a to hlavně proto, že dokáže podporovat i protokoly, které tomuto modelu neodpovídají. Jsou brány, které spojují sítě DNA (Digital DEC - dnes COMPAQ) a SNA (IBM). Obě tyto sítě se velmi liší architekturou a také neodpovídají standardu OSI Jsou také brány, které převádějí protokoly OSI na protokoly, které neodpovídají OSI standardu. Výhodou brány je i to, že síti stačí jen jedno spojení s vnějším světem. Tento systém významně zvyšuje bezpečnost připojení dané sítě k okolí Z hlediska komunikace může být snaha o ochranu vnitřní sítě před nepovolanými zásahy zvenčí. Tento problém ve větším měřítku vyplul na povrch rozsáhlejší využívání Internetu firmami. Za účelem ochrany se pak oddělují lokální sítě od Internetu směrovačem, na kterém je spuštěn speciální program - firewall. Technologie firewallů není zatím standardizována, ale zpravidla spočívá v zákazu přímé komunikace mezi lokální a globální sítí. Cílem je chránit síť nejen před bezprostředními útoky, ale i utajit její skutečnou strukturu. Vedlejším produktem je možnost použít v chráněné síti 'classeless' adresy, takže se ušetří adresný prostor. Komunikace pak probíhá přes Proxy server, který je součástí lokální sítě. Komunikace některých aplikací směrem z chráněné sítě do Internetu používá Proxy servery, ale mohou být použity i uvedeny brány 2.6.2
Propojovací služby
Jednotlivé vrstvy poskytují různé typy služeb, které lze charakterizovat jako: služby se spojením (connection oriented) služby bez spojení (connectionless) služby s potvrzením (confirmed) služby bez potvrzení (unconfirmed) služby spolehlivé (Reliable) služby nespolehlivé (unreliable) Při službě se spojením třeba nejdříve (před vlastním přenosem dat) navázat spojení s adresátem. Po ukončení přenosu je třeba spoj zrušit. Při službách bez spojení se jednotlivá data přenášejí jako samostatné jednotky, z nichž každá má připojenou adresu konečného příjemce. Přenášejí se jako vzájemně nezávislé části, které mohou po síti posílat různými směry. Služby se spojením jsou výhodnější než přenos většího množství dat, protože režie na vlastní přenos je poměrně malá ve srovnání s režií při službách bez spojení. Služby s potvrzením, kdy příjemce potvrzuje vysílači příjem bezchybných nebo chybných datových bloků, se využívají v prostředích s větší pravděpodobností rušení přenosu, případně tam, kde ztráta některých datových bloků je nepřípustná. Služby bez potvrzení mají nízkou režii, používají se proto tam, kde lze spíše dovolit příjem vadných bloků než ztrátu bloků v důsledku časové režie, která je značná při potvrzování (např. přenos hlasu či videa). Spolehlivá služba zajišťuje bezztrátový přenos, nespolehlivá služba zaručuje bezztrátový přenos pouze 40
s jistou pravděpodobností. Za cenu zvýšení rychlosti přenosu může dojít ke ztrátám přenášených bloků.
2.7 TCP / IP Rodina protokolů TCP / IP obsahuje sadu protokolů pro komunikaci v počítačové síti Protokoly a je hlavním protokolem celosvětové sítě Internet. Komunikační protokol je množina pravidel, které určují syntaxi a význam jednotlivých zpráv při komunikaci. [91; 76; 44] Architektura TCP / IP je členěna do čtyř vrstev (na rozdíl od referenčního modelu OSI, který má sedm vrstev): aplikační vrstva (application layer) transportní vrstva (transport layer) síťová vrstva (network layer) vrstva síťového rozhraní (network interface)
Obr. č.2. 4: Schéma zapouzdření aplikačních dat na vrstvách TCP / IP Zdroj: vlastní
2.7.1
Vrstva síťového rozhraní
Nejnižší vrstva umožňuje přístup k fyzickému přenosovému médiu. Je specifická pro každou síť v závislosti na její implementaci. Příklady sítí: Ethernet, Token ring, FDDI, X.25, SMDS. Vlastnosti a FUNKCE protokolů jsou: ADSL (Asymmetric Digital Subscriber Line) je v současnosti nejčastěji využíván typ DSL. Vyznačuje se asymetrickým připojením, kdy je rychlost dat přenášených k uživateli (anglicky download) vyšší, než rychlost dat odcházejících od uživatele směrem do Internetu (anglicky upload). Asymetrie naprosté většině uživatelů vyhovuje, protože odpovídá jejich běžným potřebám. Na druhou stranu může bránit rozvoji Webu 2.0 nebo videokonferencím, kde je nutné přenášet více dat oběma směry (viz dále).
41
PPP (Point-to-Point Protocol) je v informatice komunikační protokol linkové vrstvy, používaný pro přímé spojení mezi dvěma síťovými uzly. Umožňuje autentizaci, šifrování a kompresi přenášených dat. Lze jej použít nad asynchronním sériovým (vytáčené připojení) nebo synchronním (ISDN) médiem. Slouží jako oborový standard, všechny víceprotokolové verze HDLC jsou lokální, takže lze propojení typu point-to-point mezi zařízeními různých dodavatelů vytvořit pomocí protokolu PPP. 2.7.2 WWW
http://www.earchiv.c z/a92/a219c110.php 3
Síťová vrstva
Vrstva zajišťuje především síťovou adresaci, směrování a přenos datagramů. Protokoly: IP, ARP, RARP, ICMP, IGMP, IGRP, IPSEC. Je implementována ve všech prvcích sítě - směrovačích i koncových zařízeních. Vlastnosti a FUNKCE protokolů jsou: ARP Address Resolution Protocol se používá k nalezení fyzické adresy MAC podle známé IP adresy. Protokol v případě potřeby vyšle datagram s informací o hledané IP adrese a adresuje ho všem stanicím v síti. Uzel s hledanou adresou reaguje odpovědí s vyplněnou svou MAC adresou. Pokud hledaný uzel není ve stejném segmentu, odpoví svou adresou příslušný směrovač. Příbuzný protokol RARP (Reverse Address Resolution Protocol) má za úkol najít IP adresu na základě fyzické adresy. IP Internet Protocol je základní protokol síťové vrstvy a celého Internetu. Provádí vysílání datagramů na základě síťových IP adres obsažených v jejich záhlaví. Poskytuje vyšším vrstvám síťovou službu bez spojení. Každý datagram je samostatná datová jednotka, která obsahuje všechny potřebné údaje o adresátovi i odesílateli a pořadovém čísle datagramu ve zprávě. Datagramy putují sítí nezávisle na sobě a pořadí jejich doručení nemusí odpovídat pořadí ve zprávě. Doručení datagramu není zaručeno, spolehlivost musí zajistit vyšší vrstvy (TCP, aplikace). Tento protokol se dále stará o segmentaci a znovu sestavení datagramů do rámců podle protokolu nižší vrstvy (např. ethernet). ICMP Internet Control Message Protocol slouží k přenosu řídících hlášení, které se týkají chybových stavů a zvláštních okolností při přenosu. Používá se například v programu ping pro testování dostupnosti počítače, nebo programem traceroute pro sledování cesty paketů k jinému uzlu. DHCP (Dynamic Host Configuration Protocol) je v informatice aplikační protokol z rodiny TCP / IP. Používá se pro automatické přidělování IP adres jednotlivým osobním počítačům v počítačových sítích, čímž zjednodušuje jejich správu. DHCP protokol umožňuje prostřednictvím jediného DHCP serveru nastavit všem stanicím sadu parametrů potřebných pro komunikaci v sítích používajících rodinu protokolů TCP / IP včetně parametrů doplňujících a uživatelsky definovaných. Významným způsobem tak zjednodušuje a centralizuje správu počítačové sítě 42
(například při přidávání nových stanic, hromadné změně parametrů nebo pro skrytí technických detailů před uživateli). DHCP servery mohou být sdruženy do skupin, aby bylo přidělování adres odolné vůči výpadkům. Pokud klient některým parametrům nerozumí, ignoruje jejich. Parametry nastavitelné pomocí DHCP: IP adresa maska sítě brána (anglicky default gateway) DNS servery (seznam jedné nebo více IP adres DNS serverů) a další údaje, např. servery pro NTP, WINS, atd. 2.7.3
Transportní vrstva
Transportní vrstva je implementována až v koncových zařízeních (počítačích) a umožňuje proto přizpůsobit chování sítě potřebám aplikace. Poskytuje spojované (protokol TCP, spolehlivý) nebo spojované (UDP, nespolehlivý) transportní služby. Vlastnosti a FUNKCE protokolů jsou: TCP Transmission Control Protocol vytváří virtuální okruh mezi koncovými aplikacemi, tedy spolehlivý přenos dat. Vlastnosti protokolu: Spolehlivá transportní služba, doručí adresátovi všechna data bez ztráty a ve správném pořadí. Služba se spojením, má fáze navázání spojení, přenos dat a ukončení spojení. Transparentní přenos libovolných dat. Plně duplexní spojení, současný obousměrný přenos dat. Rozlišování aplikací pomocí portů.
WWW
http://www.earchiv.c z/b06/b0300001.php 3
UDP User Datagram Protocol poskytuje nespolehlivou transportní službu pro takové aplikace, které nepotřebují spolehlivost, jakou má protokol TCP. Nemá fázi navazování a ukončení spojení a už první segment UDP obsahuje aplikační data. UDP je používán aplikacemi jako je DHCP, TFTP, SNMP, DNS a BOOTP. Protokol používá podobně jako TCP čísla portů pro identifikaci aplikačních protokolů. 2.7.4
Aplikační vrstva
Vrstva aplikací. To jsou programy (procesy), které využívají přenosu dat po síti ke konkrétním službám pro uživatele. Příklady: Telnet, FTP, HTTP, DHCP, DNS. Aplikační protokoly používají vždy jednu ze dvou základních služeb transportní vrstvy: TCP nebo UDP, případně obě dvě (např. DNS). Pro rozlišení aplikačních protokolů se používají tzv. porty, což jsou sjednána číselné označení aplikací. Každé síťové spojení aplikace je jednoznačně určeno číslem portu a transportním protokolem (a samozřejmě adresou počítače).
43
WWW
http://www.earchiv.c z/a92/a227c110.php 3
Vlastnosti a FUNKCE protokolů jsou: SMTP Simple Mail Transfer Protocol je internetový protokol určený pro přenos zpráv elektronické pošty (e-mailů) mezi přepravci elektronické pošty (MTA). Protokol zajišťuje doručení pošty pomocí přímého spojení mezi odesílatelem a adresátem; zpráva je doručena do tzv. poštovní schránky adresáta, ke které pak může uživatel kdykoliv (off-line) přistupovat (vybírat zprávy) pomocí protokolů POP3 nebo IMAP. Jedná se o jednu z nejstarších aplikací, původní norma RFC 821 byla vydána v roce 1982 (v roce 2001 ji nahradila novější RFC 2821). SMTP funguje nad protokolem TCP, používá port TCP/25. FTP File Transef Protocol - protokol používaný pro přenos souborů mezi vzdálenými počítači. Pokud chci s tímto protokolem pracovat, je nutné, aby na počítači, ke kterému se připojujeme byla spuštěna služba FTP server. POP3 (Post Office Protocol version 3) je internetový protokol, který se používá pro stahování emailových zpráv ze vzdáleného serveru na klienta. Jedná se o aplikační protokol pracující přes TCP / IP připojení. POP3 protokol byl standardizován v roce 1996 v RFC 1939. POP3 je následníkem protokolů POP1 a POP2 (označení POP už dnes téměř výhradně znamená POP3). V současné době používají téměř všichni uživatelé elektronické pošty pro stahování emailů programy využívající POP3 nebo IMAP. Ze vzdáleného serveru se stáhnou všechny zprávy, například i ty, které uživatel číst nechce, nebo spam (pokud ho již nefiltruje poštovní server). Většina POP3 serverů sice umožňuje stáhnout i pouze hlavičky zpráv (a následně vybrat zprávy, které se stáhnou celé), ale podpora v klientech vesměs chybí. Tuto nevýhodu může odstranit protokol IMAP, který pracuje se zprávami přímo na serveru. HTTP (Hypertext Transfer Protocol) je internetový protokol určený pro výměnu hypertextových dokumentů ve formátu HTML. Používá obvykle port TCP/80, verze 1.1 protokolu je definována v RFC 2616. Tento protokol je spolu s elektronickou poštou tím nejvíce používaným a zasloužil se o obrovský rozmach internetu v posledních letech. V současné době je používán i pro přenos dalších informací. Pomocí rozšíření MIME umí přenášet jakýkoli soubor (podobně jako e-mail), používá se společně s formátem XML pro tzv. webové služby (spouštění vzdálených aplikací) a pomocí aplikačních bran zpřístupňuje i další protokoly, jako je např. FTP nebo SMTP. HTTP používá jako některé další aplikace tzv. jednotný lokátor prostředků (URL, Uniform Resource Locator), který specifikuje jednoznačné umístění nějakého zdroje v Internetu. K protokolu HTTP existuje také jeho bezpečnější verze HTTPS, která umožňuje přenášená data šifrovat a tím chránit před odposlechem či jiným narušením. DNS (Domain Name Systems) - decentralizované mapování jmen a IP adres.
44
2.8 Otázky a úkoly 1. 2. 3. 4.
Čím je zajištěno řízení komunikace mezi jednotlivými uzly sítě? Čím je tvořen komunikační protokol? K čemu slouží standardy v oblasti datových sítí? Jak se projevují u tzv. otevřených Open Systems) a uzavřených (Closed Systems) systémů? 5. Definujte standard označovaný jako RM OSI, nebo ISO/OSI. 6. Které tři vrstvy patří do skupiny tzv. síťově závislých vrstev? 7. Které vrstvy patří do skupiny tzv. aplikačně orientovaných vrstev? 8. Vyjmenujte všech sedm vrstev. 9. Uveďte základní vlastnosti opakovače (repeater). 10. Čím se vyznačují směrovače (routers) a na které vrstvě pracují? 11. Jakou funkci v síti zastávají brány (gateways)? 12. Jednotlivé vrstvy poskytují různé typy služeb; co znamenají služby se spojením a bez spojení co znamenají služby s potvrzením a bez potvrzení? 13. Uveďte do kterých čtyř vrstev (na rozdíl od modelu OSI) se člení architektura protokolu TCP/IP? 14. Čím je specifická vrstva síťového rozhraní (nejnižší vrstva) TCP/IP? 15. Uveďte příklady protokolů, které patří do aplikační vrstvy.
2.9 Samostatní práce studenta:
Vytvořte přístupovou síť. Na serveru nastavte přístupový systém DHCP, Statické DHCP a pevnou IP. Porovnejte dobu připojení. Určete jaký typ je vhodný pro společnost o 100 uživatelích. Na jaké vrstvě se řeší přidělování IP adres do dané sítě? Pomocí Access pointu – přístupového bodu vytvořte jednak přístupový bod a jednak opakovač.
45
46
3 Přenosové prostředky sítě Obsah kapitoly: 3.1 Cíle kapitoly 3.2 Získané dovednosti 3.3 Klíčová slova 3.4 Spoje pevné 3.4.1 Koaxiální kabely 3.4.2 Symetrická vedení - UTP,STP 3.4.3 Optické kabelové spoje 3.4.4 Zvyšování kvality přenosu a přenosových rychlostí 3.5 Bezdrátové spoje 3.5.1 Radiové přenosy 3.5.2 Optické spoje 3.5.3 Družicové spoje 3.6 Otázky a úkoly 3.7 Samostatní práce studenta
3.1 Cíle kapitoly Kapitola je zaměřena na současné komunikační prostředky a to jak pevné, tak i bezdrátové. Dochází k členění jednotlivých druhů propojovacích prvků na základě využívaných technologií, na aplikačních možnostech v praxi, jakož i podle poskytovaných přenosových rychlostí. U spojů pevných vycházíme od symetrických vedení které známe ve formě kroucené dvojlinky (twisted pair), jak je známe z telefonních kabelů jako nejlevnější přenosové médium. V této souvislosti je zmínka o uplatnění známých konektorů, o významu strukturované kabeláže. K moderním přenosovým prostředkům patří optické spoje – které dělíme na kabelové a bezdrátové. U kabelových vysvětlujeme princip jednovidových a mnohavidových optických vláken, včetně využití optických konektorů. Jelikož neupravený datový signál není vhodný pro přímý přenos datovým kanálem, stručně se zmiňujeme o úpravách signálů vhodných pro přenos dat (časový, kmitočtový multiplex). Rozebíráme možnosti zvyšování kvality přenosu a přenosových rychlostí (technologie ISDN, xDSL). V důsledku nových požadavků na komunikační technologie (bezdrátový a mobilní přístup do sítě). Procházejí bouřlivým vývojem, dochází k jejich standardizaci, klesají jejich pořizovací náklady, zvyšují se přenosové rychlosti mezi uzly sítě. Cílem je přiblížit význam radiových spojů, licenčních a bezlicenčních pásem. V závěru kapitoly je popsána role družicových spojů.
3.2 Získané dovednosti Student získá ucelený přehled o všech diostupných komunikačních prostředcích pro návrh a výstavbu pevných i bezdrátových sítí. Dokáže pro danou aplikaci zvolit optimální spoje zaručující požadované přenosové rychlosti za přijatelnou cenu.
47
3.3 Klíčová slova Spoje pevné, bezdrátové, kroucená dvojlinka, koaxiální kabel, strukturovaná kabeláž, jednovidová vlákna, mnohavidová vlákna, optické kabely, kmitočtový multiplex, časový multiplex, ISDN, xDSL, radiové spoje, licenční pásmo, bezlicenční pásmo, družicové přenosy.
3.4 Spoje pevné Koaxiální UTP optické kabely a jiné
Jedním z nejdůležitějších prvků počítačové sítě jsou jednoznačně přenosová média zajišťující přenos dat mezi všemi složkami sítě. [76; 84] Dělíme je do dvou základních skupin a to na spoje pevné a spoje bezdrátové. V minulosti se používaly převážně koaxiální kabely. Nyní již koaxiální kabely nahrazují symetrická vedení ve formě kroucené dvojlinky s označením UTP. Nejnovějšími pevnými přenosovými médii jsou optická vlákna, která přináší řadu výhod, především však vyšší přenosové rychlosti. 3.4.1
Koaxiální kabely
Nesymetrická vedení (koaxiální kabely) dovolují využití pásma 0 - 150 MHz v základním pásmu (kódovaný datový signál) a pásma 50 - 750 MHz v přeloženém pásmu (modulovaný signál). V základním pásmu lze dosáhnout přenosové rychlosti v rozmezí 1 - 50 Mb/s, v přeloženém pásmu lze vytvořit skupinu přenosových kanálu s přenosovou rychlostí až 20 Mb/s. Při přenosu v základním pásmu omezují elektrické vlastnosti vedení překlenutou vzdálenost na stovky metru, proto jsou často používány drahé speciální kabely (jako je tomu např. u sítě Ethernet). Přeložené pásmo lze využít pro přenos na kilometrové vzdálenosti, podstatnou výhodou je možnost použít kabely a další prvky určené pro kabelovou televizi. Koaxiální kabel byl po dlouhou dobu typickým médiem lokálních sítí, má relativně dobrou odolnost proti rušení.
Obr. 3.1. Koaxiální kabel Zdroj: [161]
V souvislosti s připojováním koaxiálních kabelů do sítě se využívají speciální konektory. Konektor BNC se používá se s koaxiálním kabelem u Ethernet 10Base2. Název pochází z prvních písmen příjmení jeho autorů: Bayonet-Neill-Concelnan. Spojení probíhá zasunutím jeho závěru na konektor a pootočením vnějšího prstence. 48
Obr. 3.2. Konektor BNC Zdroj: [161]
Konektor BNC-T se používá pro vytvoření přípojného místa na sběrnici. Sběrnice jím prochází v přímém směru T a na třetím konektoru je připojena síťová karta. Dalším využívaným prvkem je Terminátor - odporový prvek (50Ω) používaný k zakončení sběrnice, bez něj je síť nefunkční.
3.4.2
Symetrická vedení - UTP,STP
Symetrické vedení ve formě kroucené dvojlinky (twisted pair), jak ho známe z telefonních kabelů, je nejlevnějším přenosovým médiem. Ve většině případů jde o stíněný (STP - Shielded Twisted Pair) nebo nestíněný (UTP - Unshielded Twisted Pair), jednoduchý nebo dvojitý dvoudrát, který dovoluje bez problému přenášet signály rychlých sítí jako jsou Ethernet 100BASE-T, FDDI a ATM na vzdálenost 100 m; přenosové rychlosti jsou zde do 155 Mb/s. [76] Vlastnosti kabelů s kroucenými páry jsou definovány normami, nejpoužívanější standard EIA/TIA 586 (z roku 1991) definuje vlastnosti kabelu UTP se čtyřmi dvoudrátovými vedeními. V současné době se převažně používají kabely odpovídající UTP Cat.5. Kabely UTP Cat.5 dovolují přenos signálu do kmitočtu 100 MHz. Kabely UTP se stávají i alternativou ke kabelům STP (Shielded Twisted Pair) pro kruhové sítě IBM Token Ring. V poslední době se objevují čtyřpárové kabely se společným stíněním označované jako FTP (Foiled Twisted Pair – fólií stíněné zkroucené páry) nebo S (FTP) (Screened Foiled Twisted Pair - FTP s ochranným opletením) odolnější proti vlivu vnějšího rušení a omezující vyzařování přenášených signálu. Kabely UTP (a jejich modifikace FTP a S(FTP)) se dnes považují za univerzální materiál pro kabeláže, které kombinují přenos dat s přenosem telefonních signálu (strukturované kabeláže). Neustálý růst požadavků na vyšší přenosové rychlosti způsobuje adekvátný rozvoj nových kabeláží. Pro dokonalejší přenos u gigabitového Ethernetu na celkovou vzdálenost 100 m dochází ke zpřísnění parametrů kabeláže Cat.5 a vzniká její modernizované provedení pod označením Cat.5E. Maximální využitelná šířka pásma zůstává na 100 MHz. Další zvýšení přenosové rychlosti poskytuje kabeláž UTP Cat.6 u níž je zaručena šířka přenosového pásma 200 MHz. Vyžaduje mimořádně vysoké nároky na instalaci a montážní postupy (vetší prostory na uložení kabelu, dodržovat maximální dovolené poloměry ohybu, namáhání v tahu, apod.). 49
I moderní komunikační jednotky s vysokorychlostními přenosy jsou v mnoha případech vystaveny zvýšenému riziku poruch, zejména však v průmyslových areálech, v blízkosti elektrických trakcí vn a vvn vedení a v objektech s častým působením atmosférických výbojů. Těmto podmínkám vyhovují například odolné kabeláže proti všem druhům rušení, přepětí a rázu označené FTP Cat 5E Power Cat 250 MHz a FTP/SFTP Cat 6 350 MHz systém. Šířka přenosového pásma v rozsahu 600 MHz zaručuje kabeláž označovaná Cat.7. Celý systém je již značné komplikovaný co se týče náročnosti instalace. Kabel Cat.7 má až o polovinu vetší průměr než kabel Cat.6. Zatím však tento systém nelze dnes reálné instalovat. Chybí mj. vhodné měřící přístroje v rozsahu 700 MHz, a zatím též chybí příslušné normy a standardy.
Obr.3.3. UPT, STP síťový kabel Zdroj: [161]
Stručný přehled parametrů a kategorií nestíněné kroucené dvojlinky UTP (Unshielded Twisted Pair) je uveden v TAB.3.1 Kategorie 1 Kategorie 2 Kategorie 3 Kategorie 4 Kategorie 5 Kategorie 5e Kategorie 6 Kategorie 6a Kategorie 7
Slouží v telekomunikacích + ISDN
Rychlost přenosu dat až 4 4 kroucené páry, využit v Mbit/s sítích token ring Rychlost přenosu Použitelný pro 4 kroucené páry, 3 dat až 10 Mbit/s frekvence do 16 zkruty na stopu, MHz Ethernet Rychlost přenosu Použitelný pro 4 kroucené páry, dat až 16 Mbit/s frekvence do 20 token ring MHz Rychlost přenosu Použitelný pro 4 kroucené páry, dat až 100 Mbit/s frekvence do 100 Fast Ethernet MHz Rychlost přenosu Použitelný pro 4 kroucené páry, dat až 1000 Mbit/s frekvence do 100 Fast+Gigabit MHz Ethernet Rychlost přenosu Použitelný pro 4 kroucené páry, dat až 1 Gbit/s frekvence do 250 Gigabit Ethernet MHz Rychlost přenosu Použitelný pro 4 kroucené páry, dat až 10 Gbit/s frekvence do 550 lOGigabit Ethernet MHz Rychlost přenosu Použitelný pro 4 kroucené páry, dat až 10 Gbit/s frekvence do 600 lOGigabit Ethernet MHz"
TAB.3.1. Přehled kategorií a parametrů nestíněné kroucené dvojliky. Zdroj: vlastní
50
V souvislosti s některým typem kroucené dvojlinky se setkáváme s využitím konektoru RJ-45. Konektor má tvar malého kvádru, do kterého se zastrčí všech osm vodičů kroucené dvojlinky, a poté se speciálními kleštěmi provede vtlačení kontaktů přes izolaci každého vodiče. Konektor je pak v zásuvce nebo síťové kartě zafixován pomocí pojistné páčky. Vyrábějí se v několika variantách podle toho, zda jsou použity pro DTP, STP, drát nebo lanko. Setkáváme se zde také s konektorem AUI, který je tvořen konektorem DB 1 5 (2řadý, lichoběžníkový konektor Cannon, s 8+7. Strukturovaná kabeláž Je charakteristická jednotnou UTP kabeláží pro telefony a data svedena do jednoho centra – umožňuje pružně přepojovat a přizpůsobit topologii potřebám zásuvka se může stěhovat s uživatelem
Obr. 3.4. Princip strukturované kabeláže. Zdroj: [161]
WWW
http://www.earchiv.c z/b05/b0900001.php 3
51
3.4.3
Optické kabelové spoje
Optické spoje obecně můžeme dělit do různých kategorií. Předně na bezdrátové a kabelové, dále pak na tzv. spoje poslední míle a dálkové spoje. Také je možné rozdělit podle toho zda jsou určené pro páteřní spoj, redundantní spoj nebo spoj obsluhující menší počet účastníku nebo samostatného uživatele. [28; 94] Zde se zaměříme na optické spoje kabelové. Jejich hlavním stavebním prvkem jsou optická vlákna. Rozeznáváme optická vlákna jednovidová a mnohavidová. Optická vlákna využívají infračervené a viditelné oblasti světelného spektra pro přenos dat rychlostmi přes 2,5 Gb/s na kilometrové vzdálenosti. Výhodou optických vláken je vysoká přenosová kapacita při nízké ceně média a velká odolnost proti rušení, nevýhodou je vysoká cena prvků rozhraní, konektorů a náročné spojování kabelů. Optické vlákno je název pro skleňené nebo plastové vlákno používáné na přenos informace pomocí světelných impulsů. Optické vlákno je složeno ze tří základních prvků. Jádra, pláště a primární ochrany. Princip spočívá v přenosu optické informace díky totalnímu(pravoúhlému odrazu) na rozhraní dvou různych prostředí (plášť, jádro) s různými indexy lomu.
Obr.3.5. Optické vlákno Zdroj: [161]
Mnohavidová optická vlákna Mnohavidová optická vlákna jsou tvořena vnitrním jádrem o průměru do 100 µm a vnějším obalem z materiálu o nižším indexu lomu. Na rozhraní obou materiálu dochází k poměrně dokonalému odrazu přenášeného signálu. Materiálem jádra je převážně speciální sklo, obalem bývá sklo nebo plastická hmota. V technologických aplikacích jsou používána vlákna s plastovým jádrem i obalem. Vlákna jsou označována jako mnohavidová, protože světelný paprsek se médiem šíří s více úhly odrazu (více vidy). Takových diskrétních hodnot jsou u mnohavidových vláken 52
tisíce. Důsledkem odlišných úhlu odrazu je rozdíl v absolvované délce cesty vláknem a z toho vyplývající rozptyl světelného výkonu v čase na výstupu z vlákna. Mluvíme o vidové disperzi, ta je hlavním limitem překlenutelné vzdálenosti. Např. běžně vícevidové optické vlákno 62,5/125 µm má šířku pásma 160 MHz/km při vlnové délce 850 nm a šířku pásma 500 MHz/km při vlnové délce 1300 nm. Mnohavidová optická vlákna se používají hlavně na kratší optické spoje <600 m. Jejich hlavní výhodou je nižší cena oproti jednovidovým vláknům. V standarizačním procesu jim byla přidelena certifikace pro 100 Mbit/s ve vzdálenosti do 2 km, 1 Gbit/s ve vzdálenosti 220– 550 m, and 10 Gbit/s ve vzdalenosti do 300 m. Hlavní aplikací těchto vláken jsou vnitřní instalace uvnitř budov pří instalací konečných uživatelů. U mnohavidových optických vláken jsou na výběr dvě základní možnosti, vlákno s jádrem 62,5 μm a vlákno 50 μm. Na počátku vývoje vláken kolem roku 1976 se používalo vlákno 50/125μm, v Japonsku a Evropě bylo toto vlákno standardizováno a využíváno telekomunikačními firmami. V Severní Americe bylo v roce 1986 vyvinuto vlákno typu 62,5/125 μm, které začaly ve svých kabelážních systémech pro lokální sítě LAN používat firmy jako IBM a AT&T. Odtud se tento typ také dostal do dalších standardů jako IEEE 802.3 Ethernet, ale i do standardu pro kabelážní strukturované systémy. Vlákno 62,5/125 μm má větší numerickou aperturu (lepší schopnost navázání paprsku do vlákna; numerická apertura je určena max. úhlem, pod kterým světlo dopadající na vlákno skrze něj projde) a větší průměr jádra ve srovnání s vláknem 50/125 μm, proto je možné do něj vměstnat více výkonu z vysílacích diod LED (prakticky o 3,5 až 4,5 dB více). Také kvalita optických konektorů, svarů a spojů nehraje takovou roli jako u vlákna 50/125 μm. Nicméně s vláknem 50/125 μm lze dosáhnout velmi vysoké přenosové rychlosti, u vláken 62,5/125 μm je přenosová rychlost závislá na vidové disperzi. Jednovidové vlákno Dosahují menší disperze a díky tomu mohou dosahovat vyšších frekvencí což umožnuje zvětšit přenosovou kapacitu. Jednovidová optická vlákna lze provozovat v celé šíři různých vlnových délek. Podle toho, jak se začaly jednotlivé oblasti vlnových délek postupně využívat, jsou jednotlivá optická pásma rozdělena do segmentů Rozdělení optických jednovidových vláken podle doporučení ITU, které je používané asi nejčastěji, skupina G: Vlákno typu G.652 je standardní optické jednovidové vlákno 9/125 μm, které je také někdy podle specifikace firmy Corning označováno zkratkou USF (Unshifted Fiber) a označením SMF-28. Jako nový typ je dnes k dispozici vlákno typu G.652.C, které lze na rozdíl od běžného vlákna G.652 provozovat v celém rozsahu vlnových délek a využít všechna dostupná přenosová pásma. 53
Vlákna typu G.653 se také označují jako vlákna DSF (Dispersion Shifted Fiber). Používala se pro vyšší přenosové rychlosti na velké vzdálenosti s jedinou provozovanou vlnovou délkou. Optická vlákna typu G.654 (Cut-Off shifted) byla vyvinuta jako speciální varianta vláken typu G.652. Jsou nákladná, používají se téměř výhradně k extrémním dálkovým přenosům pro podmořské kabely bez zesilovačů na trase. Vlákna typu G.655 jsou určeny k provozu technologie DWDM (Dense Wavelenght Division Multiplexing – viz dále) a pro vysoké přenosové rychlosti (více než 10 Gb/s). Optická vlákna byla rozdělena do tříd: OM1, OM2, OM3 a OS1; zavedla je nová verze druhého vydání normy ISO/IEC 11801 pro strukturovanou kabeláž. Vlákno typu OS1 je standardní běžné optické jednovidové vlákno 9/125 μm. Vláknu typu OM1 odpovídá dnešní běžné vlákno 62,5/125μm a parametry typu OM2 splňuje dnes běžně používané vlákno 50/125 μm. Vlákno typu OM3 může být realizováno pouze vlákny 50/125 μm. Tento nový typ vláken využijeme hlavně pro aplikace l0gigabitového Ethernetu; bude pracovat plnou rychlostí až do vzdálenosti 300 m, tedy po celé páteři budovy, nebo v celé optické centralizované kabeláži s jediným optickým centrálním rozvaděčem. Pro kratší vzdálenost do 300 m vyhovuje vícevidové optické vlákno, nejlépe 50/125 μm vlákno typuOM2. U vzdáleností nad 300 m a přenosu vyšších rychlostí je vhodné zvážit použití vlákna jednovidového. Porovnání základních parametrů optických vláken uvádí TAB.3.2. Název
Rychlost přenosu
Velikost jadra (µ)
Jednovidové vlákno
2,5 GB/s
7-10
Vzdál enost (km) 1
Mnohavidové se skokovým indexem lomu Mnohavidové s plynulým indexem lomu
50 Mb/s
50-80
<2
1 GB/s
50-80
<2
TAB.3.2. Porovnání vybraných parametrů optických vláken. Zdroj: [129]
Implementace technologie optických vláken. Při implementaci technologie optických vláken se setkáváme se těmito základními komponenty: Vysílačem, který vytvárá a kóduje světelné signály. Optickými kábly určenými pro přenos těchto signálů Optickým opakovačem, který se využívá k zesílení světelného signalu (na dlouhých vzdálenostech). Optickým přijímačem, který přijímá a dekóduje světelné signály 54
Optickými konektory
Vysílač Rostoucí nároky síťových aplikací vedly k opuštění původně používaných LED diod a k přechodu na rychlejší ale i dražší technologie založené na laserech. Vysílač je blízko vlákna a může dokonce obsahovat čočky na zaostření světelného svazku do vlákna. Lasery poskytují vyšší výkon v porovnání s LED diodami, ten je však teplotně závislý. V současnosti byla uvedena technologie VCSELs (Vertical Cavity Surface Emitting Lasers), která poskytuje stejný výkon jako lasery, ale za nižší cenu. Optické kabely Optické kabely mohou být rozděleny např. na vnitřní venkovní bezgelové lamelové samonosné (s nosným lankem) a další Vnější plášť kabelu je vyroben buď z PVC nebo LSZH (Low Smoke Zero Halogen, tzv. "bezhalogenový" kabel). Při požáru jsou z PVC uvolňovány jedovaté dusivé zplodiny, proto se při rozsáhlejších instalacích používají kabely LSZH, které tyto zplodiny minimalizují. Jedna přenosová cesta potřebuje minimálně dvě optická vlákna (pro příjem a vysílání). V každém optickém kabelu by měly být navíc ještě min. dvě vlákna jako rezerva pro případ poškození během montáže apod. U vícevláknového kabelu je lepší ponechat v rezervě více vláken. Instalace optických kabelů a volba technologie pokládky je prováděna v závislosti na požadovaných délkách optických tras a prostředí instalace. Ve vnitřních prostorách je optický kabel ukládán podle situace do plastových instalačních lišt, protahován trubkami (plast nebo ocel) nebo ukládán v kabelových kanálech na roštech nebo lávkách. Pro venkovní instalace je kabel protahován kabelovými chráničkami nebo samonosně zavěšován za ocelové lano. Optický kabel je do trasy buď volně ukládán, nebo zatahován pomocí závlečného lana nebo pro dlouhé trasy bez převýšení může být zvolena i technologie zafukování. Obecně je vždy třeba vybrat vhodný kabel nejen podle požadované aplikace, ale i podle prostředí, do kterého má být instalován. Instalace by neměla probíhat při teplotách pod bodem mrazu a běžné datové kabely by neměly být vystavovány dlouhodobému působení UV záření. Kabely plněné gelem nejsou doporučovány pro vertikální instalaci, neboť gel může z kabelu vytékat. Konce kabelu musí být zajištěny proti vniknutí vlhkosti
55
Obr.3.6. Struktura optického kabelu. Zdroj: vlastní
Optická vlákna jsou jako dielektrikum imunní proti rušení elektromagnetickým polem. Při přenosu také žádné elektromagnetické pole nevyzařují. Optické vlákno může být bez problémů položeno souběžně se silovou instalací i v zarušených průmyslových provozech. A také rozdílné zemní potenciály ve stíněných kabelážích nejsou překážkou. Protože optické vlákno nevyzařuje žádné elektromagnetické pole, je velice obtížné odposlouchávat provoz běžící na tomto vlákně. Na rozdíl od metalických kabelů nelze získat použitelný optický signál, aniž by se nesnížil přenášený výkon v průběžném traktu. Snížený výkon detekuje koncové zařízení. Optické vlákno samotné má větší pevnost v tahu než měděný vodič o stejném průřezu. Z hlediska ohybů je optický kabel také více odolnější na vícenásobný ohyb. Optický kabel neobsahuje žádné korodující prvky (na rozdíl od měděného kabelu). Je možné jej namáhat až šestkrát větší silou, než je maximální zatahovací síla pro metalické kabely Pro výrobu optických vláken nejsou zapotřebí žádné strategické suroviny (křemičitany, které tvoří základ optických vláken, jsou obsaženy např. v písku) na rozdíl od metalických kabelů (Cu). Pokud srovnáme cenu kabelu typu CAT5 a dvouvláknového optického kabelu, vychází optický kabel dvakrát až třikrát dražší. Pokud budeme ale hovořit o stíněných metalických kabelech typu CAT6 a CAT7, bude cena již srovnatelná. Opakovače Při přenosu světla otickým vláknem dochází na dlouhých vzdálenostech k útlumu signálu. Tento jev je evidentní a nežádoucí při podmořských káblech. Pro vyloučen tohoto jevu je zapotřebí podél celého kabla rozmístnit opakovače, které utlumený optický signál opět zesílí. Optický opakovač obsahuje optická vlákna se speciální vrstvou na povrchu. Ta zvětší zeslabený signál pomocí laseru. Jakmile signál dorazí do této vrstvy, energie dodaná laserem umožní molekulám, aby emitovaly nový, silnější světelný signál, který má stejný charakter jako zesílený slabý signál. Opakovač je v podstatě laserový zesilovač vstupního signálu. 56
Optický prijímač Optický přijímač (transceiver) slouží k dekódování příchozího digitálního světelného signálu, k jeho transformaci na elektrický signál a následně k zaslání do počítače. Přijímač používá k detekci světla fotodiodu. V přijímači se k detekci velice slabých signálů využívají lavinové fodiody (APD – Avalanche Photo Diode). Optické konektory Nejnáročnější částí instalace optických vláken je jejich spojování a zakončování. Vlákno se zakončuje optickými konektory, u kterých zatím norma nepředepisuje přesný typ a využívají se různé průmyslové standardy. Nejčastěji se setkáme s konektory ST (kulaté s bajonetem), SC (hranaté s plastovým pojistným mechanismem) nebo LC (miniaturní SC). Při instalaci musíme konec vlákna kolmo zalomit, vložit vlákno do keramické vodicí vložky (ferrule), zajistit pryskyřicí a jemně zabrousit. Tento postup je náročný na přesnost práce a čas, proto se s oblibou využívá konektor s předem instalovaným kusem vlákna (pigtail), který svaříme s koncem optického kabelu. Podobně je výhodné kupovat i hotové propojovací optické kabely (patchcordy). Patch Cordy jsou optické kable různých délek v provedení simplexní nebo duplexní s připevněnými konektory pro obousměrnou komunikaci. Slouží zpravidla pro propojování optických prvků na krátké vzdálenosti, typicky 5 m.
Obr.3.7. Pigtail Zdroj: [129] Obr. 3.8. Propojovací optický kabel (Patch Cord ). Zdroj: [129]
3.4.4
Zvyšování kvality přenosu a přenosových rychlostí
Zajištění kvality přenosu Neupravený datový signál není vhodný pro přímý přenos datovým kanálem. Obsahuje stejnosměrnou složku, jejíž přenos je v některých případech obtížné zajistit. Stejnosměrné složky se můžeme zbavit a doplnit o změny usnadňující jeho příjem vhodným kódováním. Kód NRZI se používá u sítí pracujících v základním pásmu a ve spojení s modulací i v sítích širokopásmových. Fázovou modulaci NRZ (označovanou též jako kód Manchester)používá například síť Ethernet. [76; 42] Zajištění vzájemné synchronizace vysílače a přijímače mají za úkol metody bitové 57
synchronizace. Tu lze zajistit několika způsoby. Mohli bychom například vedle vlastního datového signálu přenášet signál hodinový, který označuje místa, ve kterých máme vzorkovat. Rozumnější je však vybavit přijímač samostatným generátorem hodin a tento generátor fázově synchronizovat s přijímaným signálem. CDMA FDMA TDMA
Sdílení přenosového média Pokud přenosové médium poskytuje větší šíři pásma (větší přenosovou rychlost) než je potřebné pro realizaci jediného přenosového kanálu, lze médium sdílet více přenosovými kanály. V lokálních sítích se používá jak kmitočtový (frekvenční) multiplex, tak časový multiplex (obr. 3.7.). U moderních radiových sítí se setkáme s multiplexem kódovým (CDMA - Code Division Multiple Access). f
f 1
2
3
4
5
6
6 5 4 3 2 1 t
t Obr. 3.9. Princip kmitočtového a časového multiplexu. Zdroj: [76]
rámec (frame)
Kmitočtový multiplex (FDMA - Frequency Division Multiple Access) využívá skutečnosti, že pro přenos dat s danou přenosovou rychlostí vystačíme s určitou šíří frekvenčního pásma. Je-li šíře pásma, kterou nám poskytuje přenosový kanál, větší, lze kanál rozdělit na více podkanálů a každý z nich použít nezávisle. Pro převod datového signálu do daného frekvenčního pásma a zpátky používáme modemů vybavených selektivními filtry. Kmitočtový multiplex je základem širokopásmových lokálních sítí. Při časovém multiplexu (TDMA - Time Division Multiple Access) přidělujeme přenosový kanál postupně jednotlivým stanicím. Každé stanici je vyhrazen časový úsek (slot), ve kterém může vyslat paket určité délky. Časové úseky jednotlivých stanic se pravidelně střídají s periodou, kterou obvykle označujeme jako rámec (frame). Nevýhodou pevného rozdělení kapacity sdíleného kanálu TDMA (synchronní časový multiplex) je neschopnost přizpůsobit využití kanálu nárazovému charakteru požadavků jednotlivých stanic. Časový multiplex je dnes snadněji realizovatelný než multiplex kmitočtový, a jeho adaptivní formy (sdílení datového kanálu takovým způsobem, aby bylo maximálně využito jeho kapacity) jsou principem převážné většiny lokálních sítí a sítí integrovaných služeb ISDN (Integrated Services Digital Network). Sítě integrovaných služeb ISDN Systémy ISDN mají svůj původ v systémech PCM a v rychlých přenosových systémů (STM – Synchronous Transfer Mode).
58
synchronních
Zde si všimněme systémů časového multiplexu pro přenos digitalizovaného hovorového signálu. Hovorový signál je pro přenos vzorkován s periodou 125 s, je tak získáno 8000 vzorků za sekundu. Digitalizovaný signál je doplněn o řídící informace a sdružen do rychlých kanálů časovým multiplexem. Systémy používané v Evropě se od systémů používaných v Severní Americe a Japonsku poněkud liší. V Americe a Japonsku jsou řídící informace přenášeny jako osmý bit v jednotlivých kanálech a těch je sdruženo 24 v první úrovni multiplexu. Vzniká tak digitální signál o přenosové rychlosti 1.544 Mb/s označovaný jako T1 (nebo J1). V Evropě jsou řídící informace přenášeny v samostatných kanálech, v první úrovni multiplexu jsou k třiceti hovorovým kanálům přidány dva kanály řídící. Vzniká digitální signál o přenosové rychlosti 2.048 Mb/s označovaný jako E1. Digitální signály T1 a E1 jsou pak sdružovány ve vyšších úrovních multiplexu, přenosové rychlosti uvádí tab. 3.3. Europe
America
Japan
T1
J1
T2
J2
E1 E2 J3 E3 T3
Number of 64 kb/s circuis 24 30 96 120 480 480 672
Digital Rate (Mb/s) 1.544 2.048 6.312 8.448 33.064 34.368 44.736
TAB.3.3. Systémy časového multiplexu Zdroj: [76]
Digitálních kanálů časového multiplexu se používalo po dlouhou dobu pouze uvnitř telekomunikačních systémů. Jako zvláštní telekomunikační služba byl k dispozici pronájem kanálů T1 a E1, využívaný pro propojování lokálních sítí na větší vzdálenosti. Zpřístupnění digitálních kanálů koncovému uživateli v síti integrovaných digitálních služeb ISDN (Integrated Service Digital Network) znamenalo důležitý mezník. Koncový účastník ISDN získává základní připojení (Basic Rate ISDN) dvěma duplexními kanály o rychlosti 64 kb/s (B)a jedním kanálem řídícím o rychlosti 16 kb/s (D). Pro rychlejší komunikace lze využít primární připojení (Primary Rate ISDN) odpovídající kanálu E1 s rychlostí 2.048 Mb/s. [76] Modemové technologie xDSL S postupným vývojem internetu začali uživatelé pomalu, ale jistě zjišťovat, že rychlost jejich připojení je vzhledem ke stále vzrůstajícím potřebám, resp. obsahu a možnostem internetu nedostačující. Rychlost modemu ne větší než 56 kB/s je poměrně nízkým stropem pro stahování jakéhokoliv většího objemu dat. Snaha využít moderní digitální modulační metody k vysokorychlostním přenosům na stávajících telekomunikačních vedeních vedla k rozvoji skupiny modemových technologií obecně označovaných xDSL (Digital Subscriber Line). Rychlosti spojení, resp. přenosu dat jsou přímo závislé na použité modulaci a kvalitě (stáří) telefonního vedení. Digitalizace telefonní sítě umožnuje přenášet jak hlasový signál, tak data, text, grafiku, hudbu, video apod. a to prostřednictvím standardních existujících telefonních linek. 59
WWW
http://www.earchiv.c z/b02/b0301001.php 3
DSL není označení pro fyzické metalické spojení, ale pro modemové zařízení - či spíše pro dvě zařízení, na každé účastnické straně jedno. Pár DSL modemů tvoří Digital Subcriber Line, ale nikoli síť. Při zakoupení a aktivaci „DSL přípojky“ je pak zprostředkováno spojení přes síť některého z operátorů, který telefonní síť vlastní nebo si ji pro tyto účely pronajímá. DSL modemy přenášejí data duplexně, to znamená v obou směrech a najednou; není tak třeba čekat, až se přestanou data odesílat. To zrychluje komunikaci a například také dobu odezvy. xDSL je v podstatě několik různých standardů, které se postupem času vyvíjely a vylepšovaly. Každý z nich má od ITU-T (International Telecommunications Union-Telecommunication) své kódové označení. Jedná se vlastně o normu, jež definuje vlastnosti, které by mělo dané spojení splňovat. Z pohledu uživatele jde především o množství a rychlost dat, která putují k němu a od něj. V dokumentu je toho však mnohem více, například je zde specifikován druh kódování informací, šířka pásma, ve kterém se data přenášejí, dělení na podpásma, jejich šířka, vzájemné odstupy (aby nedocházelo k rušení) a mnoho dalších technických parametrů, nutných k realizaci xDSL spojení. Do rodiny xDSL patří tyto druhy spojení: High data rate digital subscriber line - HDSL; Single line digital subscriber line - SDSL; Asymetric digital subscriber line - ADSL; Multi-rate digital subscriber line - MDSL; Rate-adaptive digital subscriber line - R-ADSL; Very high speed digital subscriber line - VDSL. V poslední době patří k nejzajímavějším druhům spojení HDSL, ADSL, a VDSL. HDSL neboli High data rate digital subscriber line je technologie popsaná ITU-T jako standard G.991.1. Přenosové rychlosti je možné nadefinovat, a to tak, aby byly násobkem 64 kb/s, tedy n x 64kb/s, a to až do rychlosti 2048 kb/s. Tato data jsou pak vedena dvěma nebo třemi páry duplexně, což je obousměrný provoz, který probíhá najednou. Aplikace tohoto standardu je častá v případech připojení pobočkové ústředny, připojení podnikové sítě, vzdáleného přístupu, propojení sítě LAN a propojení vysílačů celulárních služeb (GSM). V případě, kdy potřebujeme překlenout větší vzdálenost, než nám dovoluje standard, je nutné pro rekonstrukci signálu a jeho intenzity použít opakovače. Ty zajistí, že signál dorazí v pořádku až k cíli vzdálenému desítky kilometrů. VDSL čili Very high speed digital subscriber line je technologie popsaná standardem G.993.1. Dokáže poskytnout nejvyšší přenosové rychlosti a může pracovat v symetrickém i nesymetrickém režimu, přičemž je v podstatě dalším vývojovým stupněm ADSL. V symetrickém režimu je maximální uvažovaná přenosová rychlost až 26 Mb/s v obou směrech, v nesymetrickém režimu potom až 52 Mb/s ve směru od poskytovatele k účastníkovi (downstream) a 6,4 Mb/s ve směru od účastníka k poskytovateli (upstream). Přenosová rychlost není pevně dána a stejně jako u ADSL závisí na řadě faktorů (např. na útlumu vedení). Systém VDSL pracuje v přeloženém pásmu v rozsahu frekvencí 138 kHz až 30 MHz, a je tedy možný současný přenos analogového telefonního signálu nebo signálu ISDN. Pro oddělení směrů přenosu se u VDSL používá metoda frekvenčního dělení FDD (Frequency Division Duplex). ADSL neboli Asymetric digital subsciber line používá existující telefonní vedení 60
k připojení uživatelských terminálů - osobních počítačů a televizí - do mnoha služeb veřejných a privátních sítí s daleko větší rychlostí, než s jakou by to bylo realizovatelné při nasazení ISDN. Asymetrický charakter ADSL poukazuje na to, že je zde rozdíl v downstreamu a upstreamu, což je zařízeno pomocí frekvenčního dělení šířky pásma. Několik studií ukázalo, že dobrého „výkonu“ na internetu se dosáhne poměrem downstream/upstream 10 : 1. Ve většině případů je tedy upstream menší než downstream. [108] Proto má ADSL pásma rozdělena následujícím způsobem: od 25 do 250 kHz pro upstream a od 250 kHz do 1,1 MHz pro downstream - což je přesně to, co uživatel pro internet potřebuje. Podíváme-li se podrobně na tyto technologie, zjistíme, že představují jednu z nejlepších a hlavně nejdostupnějších možností připojení k internetu. Množství dat a rychlost spojení, kterých můžeme díky těmto technologiím dosáhnout, jsou plně dostačující pro přenos digitální televize v nižší kvalitě či videa z webkamery, nemluvě o stahování filmů a jiného multimediálního obsahu.
3.5 Bezdrátové spoje V poslední době došlo k prudkému rozvoji telekomunikační techniky. Vyvíjejí se stále nové technologie, které dovolují přenášet nejen data ale i video, hlas, což poskytuje fundamentální podmínky pro vznik a využívání rozsáhlých počítačových sítí a informačních systémů. [78; 129] Nejnovějším požadavkem, kladeným na telekomunikační sítě je, aby uživatel nebyl odkázán na fixní připojení k síti a navíc, pokud možno, aby se svým koncovým zařízením měl možnost mobilního přístupu ke všem službám sítě z libovolného místa. Využívají se bezdrátové spoje. Procházejí bouřlivým vývojem, dochází k jejich standardizaci, klesají jejich pořizovací náklady, zvyšují se přenosové rychlosti mezi uzly sítě. Možnost rychlého a jednoduchého bezdrátového připojení koncových uživatelů k síti způsobuje jejich nasazení všude tam, kde instalace pevných spojů je buďto nemožná, nebo alespoň komplikovaná (stavebně komplikované oblasti, terén, konferenční místnosti, městská zástavba, a pod). Pro bezdrátové přenosy se využívá šíření elektromagnetických vln, které jsou charakteristické především svou frekvencí a od ní odvozenou vlnovou délkou.
61
Frekvenční spektrum a jeho rozdělení
Obr.3.10. Využití celého elektromagnetického spektra pro bezdrátové přenosy Zdroj [189]
Z obr.3.10 je patrné, že do tohoto spektra zapadají radiové přenosy, mikrovlnné, satelitní, laserové a optické. 3.5.1
Radiové přenosy
K realizaci bezdrátového přenosu dat slouží radiové vlny takových kmitočtů, které se efektivně šíří volným prostorem. V praxi je tento typ sítí nejrozšířenější a lze je použít pro všechny typy sítí (PAN, LAN, MAN i WAN). Signál se šíří všemi směry a může procházet překážkami. V závislosti na použité frekvenci se mění vlastnosti rádiových vln, to znamená, že při nižších frekvencích mohou vlny "obcházet" terénní překážky, ale jejich síla rychle klesá se vzdáleností od vysílajícího zdroje. Na druhou stranu s rostoucí frekvencí se elektromagnetické vlny šíří velmi přímočaře ale mají tendenci odrážet se odnejrůznějších překážek. Mnohem více jsou také závislé na povětrnostních vlivech. Aby nedocházelo k nežádoucímu vzájemnému ovlivňování či „prolínání" jednotlivých přenosů je velmi důležitá koordinace konkrétních frekvencí a dílčích frekvenčních pásem. Proto také je v oblasti rádiových vln relativně nejpřísnější a nejsilnější centrální dohled nad přidělováním jednotlivých frekvencí a jejich využíváním. K masovému nasazení technologie bezdrátových datových spojů v lokálních datových sítích došlo teprve nedávno, zejména po vytvoření a přijetí standardu IEEE 802.11. Tento velmi rozsáhlý soubor norem upravuje mimo jiné velmi podrobně podmínky pro datové komunikace v tak zvaném ISM (Industrial, Scientific, Medical) pásmu 2.4 GHz, ohraničeném zdola kmitočtem 2400 MHz a shora kmitočtem 2483,5 MHz. 62
Citovaná norma 802.11 definuje pro radiové přenosy dva způsoby řízení nosného kmitočtu: Direct frequency spread spectrum (DSSS) Frequency hoopping spread spectrum (FHSS) Každá z těchto metod má své přednosti i nevýhody a její výběr by měl být součástí řešení a optimalizace projektu daného datového spoje. Volná a licenční pásma Pod pojmem volné pásmo se rozumí pásmo kmitočtů, ve kterém je povolen radiový provoz bez licenčních poplatků držitelům homologovaných zařízení, přičemž jejich počet není předem omezen. Tito provozovatelé pak mohou sdílet při provozu celé vyčleněné pásmo, ovšem bez nároku na ochranu proti rušení. Ve volných (bezlicenčních) pásmech není prováděna evidence jednotlivých spojů ani ústřední plánování, spoje jsou budovány na základě tzv. Všeobecných oprávnění, který vydal Českým telekomunikační úřad (dále jen ČTÚ). Volné pásma jsou dostupné zcela zdarma, a proto se hodí zejména pro malé sítě, kde rozhoduje ekonomické hledisko. Hlavní nevýhodou volného pásma je velký počet sítí, které pracují na frekvencích 2,4 a 5 GHz. Tento fakt má za následek vzájemné rušení a interference od jiných spojů v dané lokalitě a platí zde pouze pravidlo, že případné rušení musí odstranit ten, kdo vybudoval spoj později. Volné pásma jsou také vzhledem k extrémnímu “zarušení“ zcela nepoužitelné pro firemní zákazníky požadující spolehlivé a kvalitní datové služby. Možnosti využití frekvenčních licenčních pásem pro bezdrátovou komunikaci reguluje v ČR Český telekomunikační úřad, který licence v těchto pásmech spravuje a přiděluje. Zároveň se tedy stává garantem pro omezené využití spektra pouze jediným operátorem, díky čemuž na těchto spojích nedochází k rušení a lze zaručit vysokou kvalitu nabízených datových i hlasových služeb. Pro provoz v regulovaných pásmech je třeba nejdříve od regulačního orgánu (ČTÚ) zajistit přidělení nevyužitých pracovních kmitočtových "kanálů" v dané lokalitě. Instalace, povolení k provozu spoje a následně provozovatel spoje hradí regulačnímu orgánu roční poplatky za využívání přidělených kmitočtových kanálů. Provozovatel spoje má zajištěnu ochranu proti rušení, způsobenému provozem jiných spojů v dané lokalitě. Zde je potřeba upozornit na obecně zažitou ale zcela nesprávnou představu, že provozovatel spoje má současně zajištěnu i ochranu proti zastínění paprsku spoje novými stavbami apod. Tuto ochranu si lze plně zajistit pouze Územním rozhodnutím o ochranném pásmu, vydaném příslušným stavebním úřadem na základě žádosti provozovatele spoje. Výhodou licencovaných frekvenčních pásem je fakt, že v nich nemůže dojít k rušení, nebo přetížení jelikož každý operátor má stabilně vyhrazenu určitou část pásma v obou směrech, se kterou nakládá dle potřeby. Licenční pásmo placené ale garantované pásma pro datové sítě – 3,5 GHz, 26 a 28 GHz mobilní sítě GSM – 900 a 1800MHz 63
televizní a radiové vysílání profesionální datové sítě FWA
Bezlicenční pásmo pásmo ISM(Industrial, Scientific and Medical) Počet uživatelů není omezen Problém rušení majitel mikrovlnného připojení nemusí žádat o licenci ECA definuje následující frekvenční rozsahy jako ISM: 9 - 15kHz, 24 - 24.05GHz, 24.05 - 24.25GHz, 40.66 - 40.7MHz, 59.362GHz, 433.05 - 434.79MHz, 2400 – 2450MHz, 2450 - 2483.5MHz, 2483.5 – 2500MHz, 5725 – 5830 MHz, 5830 - 5850MHz, 5850 - 5825MHz, 6765 – 7000kHz, 13410 – 13570kHz, 26175 – 27500kHz
Využití frekvencí v praxi
Přehled často využívaných pásem. 2,4 GHz – je „volné“ pásmo, určené pro datové spoje point-to-point a point-tomultipoint, pracující v režimu tzv. rozprostřenho spektra. V důsledku masového nasazení těchto spojení se zvláště ve velkých aglomeracích se projevují velké problémy se vzájemnou interferencí spojení. 3,5 GHz – je regulované pásmo určené pro datové a telekomunikační spoje, převážně point-to-multipoint. Toto pásmo je z větší části rozdělené mezi několik velkých providerů veřejných telekomunikačních služeb s celorepublikovou působností (FWA – Fixed Wireless Access). Ti pak si amostatně v rámci své části pásma regulují kanálové využití. Podmínkou přidělení této frekvence je poskytování veřejných telekomunikačních služeb. 5GHz – je „volné“ pásmo určené pro datové spoje typu point-to-point a point-tomultipoint, pracující v režimu tzv. rozprostřeného spektra. V tomto pásmu je možné provozovat Wi-Fi a je vhodné převážně pro interierové aplikace; možné však jsou i externí aplikace. Ve větších městech je situace v tomto pásmu obdobná jako v pásmu 2,4 GHz. 6GHz – je regulované pásmo, určené pro RR spoje, point-to-point zvláště s vysokými přenosovými kapacitami a na dlouhé vzdálenosti. V porovnání s ostatními regulovanými pásmy jsou v tomto pásmu nízké provozní poplaty ČTU. 7 GHz - je regulované pásmo, určené pro RR spoje point-to-point a to zvlášť na veľké vzdialenosti, z hľadiska obsadenia kanálov tu vzniká technické obmedzenia pre realizáciu spojov s vysokou prenosovou kapacitou. 10 GHz - je "volné" pásmo, určené pro RR spoje point-to-point na krátké i dlouhé vzdálenosti, vysílací výkon je je zde omezený na max 2 mW. Dalším omezením je maximální šířka obsazeného kanálu 28 MHz. Vlivem masového nasazení pro distribuci internetu se objevují již ve velkých městech lokality, ve kterých je z důvodu vzájemného rušení instalace dalších spojů problematické. 11 GHz - je regulované pásmo pro RR spoje point-to-point na střední i delší vzdálenosti a pro vyšší přenosové kapacity. Ve srovnání s ostatními regulovanými pásmy jsou v tomto případě nízké provozní poplatky ČTÚ. 13 GHz – je regulované "univerzální" pásmo, určené pro RR spoje point-to-point. 15 GHz – bývalo regulovaným "univerzálním" pásmem pre RR spoje, ale v současnosti se nepřiděluje ; v budoucnosti bude využito výhradě pro vojenské účely. 18 GHz – je regulované "univerzální" pásmo, určené pro RR spoje point-to-point. 23 GHz – je regulované pásmo, určené pro RR spoje point-to-point a je vhodné pro střední a kratší vzdálenosti a vyšší přenosové kapacity. 64
24 GHz - je "volné" pásmo, určené pro různé aplikace monitorování , dálkového ovládání , apod. Možno ho využít také pro přenosdat point-to-point velmi krátkého dosahu. 26 GHz - je regulované pásmo, určené datové a telekomunikační spoje pevážně point-to-mltipoint. Tro pásmo je z větší části rozděleno mezi několik velkých poskytovatelů veejných telekomunikačních služeb s celorepublikovou působností, kteří si samostatně regulují frekvenční příděly. Malá část pásma je určena aké pro RR spoje point-to-point na kretších vzdálenostech. 38 GHz – je regulované pásmo, určené pro RR spoje point-to-point, vhodné zvláště pro kratší spoje napřílad v rámci města a pro vysokokapacitní spoje. 40 GHz – je regulované pásmo, určené převážně pro point-to-multipoint spoje se širokými možnostmi uplatnění (univerzální pásmo - Multimedia Wireless Systems MWS) pro aplikace telekomunikační, datové , video a smíšené aplikace. 80 GHz – je "volné" pásmo, určené pro point-to-point spoje pro vzdálenosti do 2 km a velmi vysoké přenosové kapacity. Vyzařovací výkon anténou může dosahovat max. 45 dBW. Shrnutí: Volná pásma : 2.4 GHz, 5 GHz, 10 GHz, 24 GHz, 60 GHz, Platená pásma: 900MHz, 3 GHz, 5 GHz, 7GHz, 8GHz, 11 GHz, 13 GHz, 18 GHz, 23 GHz, 26 GHz, 38 GHz 3.5.2
Optické spoje
Rádiové spoje v oblasti bezdrátového propojování lokálních sítí a připojování mobilních zařízení mají dnes převahu. Je však možné se setkat i s technologií, která využívá vzdušných optických spojů – směrových i všesměrových. [72] Směrové optické spoje se používají pro propojení částí lokálních sítí. Zařízení využívající LED diod (v oblasti infračerveného záření) postačí pro nižší přenosové rychlosti (do 16 Mb/s, tedy pro pomalejší sítě Ethernet a sítě Token Ring) na vzdálenost stovek metrů (a pochopitelně přímou viditelnost). Pro větší rychlosti a vzdálenosti (až 150 Mb/s do zhruba 2 km) se využívají infračervené polovodičové lasery (GaAlAs) nevyžadující zvláštní povolení. Světelné směrové spoje lze budovat velice rychle, je nutné se vyhnout silným zdrojům infračerveného záření ve směru k vysílači – např. zapadajícímu Slunci, nepříjemný je i vliv povětrnostních podmínek – mlhy, deště a sněžení). Směrové optické spoje jsou vhodné hlavně jako dočasná řešení. Pro připojování mobilních zařízení k základnovým stanicím lze využít i všesměrové optické spoje, které dovolí zvládnout vzdálenosti do 10 m. Proti rádiovým spojům mají menší dosah a požaduje se přímá viditelnost mezi mobilním zařízením a základnovou stanicí. Jejich použití však může být výhodné vzhledem k omezení interferencí a větší bezpečnosti. S použitím optických všesměrových spojů počítá i standard IEEE 802.11 (uvažuje přenosovou rychlost 1 Mb/s). WWW
Ronja Technologie Ronja vznika v České republice, za jejiž vznikem stojí několik bývalých studentů Matematicko-fyzikální fakulty UK. RONJA (Reasonable Optical Near Joint Access) je optické zařízení, které umožňuje 65
http://owebu.bloger. cz/Internet/RONJAopticky-bezdratovyprenos-dat
bezdrátové spojení dvou bodů počítačové sítě až na vzdálenost 1400m, při zachování konstantní přenosové rychlosti 1OMb/s, v režimu full duplex. Technologie je volně dostupná pod volnou licencií GFDL. Připojuje se do ethetnetovej karty anebo switche pomocí konektoru RJ45.
Obr.11. Optické zařízení RONJA Zdroj [188]
Technologie potřebuje ke své činnosti přímou viditelnost. V případě rušení paprsku, dochází také k rušení signálu. Nejčastější rušení je způsobeno hustou mlhou nebo sněžením. Tato technologie má různé modely: Tetrapolis – dosah 1,4km, používa červené viditelné světlo, rozhraní RJ45. 10M Metropilis – dosah 1.4km, používa červené viditelné světlo, rozhraní AUI Inferno – dosah 1.25km, infračervené světlo, rozhraní RJ45 Benchpress – je využívaný pro měření a vývoj Tetrapolis Tento model technologie Ronja podporuje úplný obousměrný přenos, který může být přepnut i do poloduplexního provozu. Standardní dosah je 1.4km při 130mm čočce. Minimální vzdálenost mezi přijímačem a vysílačem je ¼ nominálního dosahu. Vlnová délka, kterou využívá vysílač je 625nm ve viditelném spektru. Optický výkon zmíněného vysílače je 17.2mW. Inferno Model podporuje úplný obousměrný přenos a také poloduplexní provoz. Maximální dosah je 1,25km s 130mm a 90mm čočkou. Minimální vzdálenost je stejná jako u modelu Tetrapolis. Vlnová délka používaná zařízením je 875nm v infračerveném spektru. Optický výkon zařízení je 30mW. 10M Metropolis Model podporuje pouze obousměrný přenos. Jeho dosah je 1.4km s 130mm čočkou. Minimální vzdálenost mezi přijímačem a vysílačem je shodná s modelem Tetrapolis. Minimální vzdálenost lze snížit výměnou dvou pasivních komponent v přijímači. Vlnová délka vysílače je 625nm ve viditelném spektru. Optický výkon je shodný s modelem Tetrapolis.
66
3.5.3
Družicové spoje
Tato oblast komunikace prochází v posledních letech stádiem rychlého technického rozvoje, začíná tvořit dominantní součást družicových systémů a začleňuje se do systémů globálních telekomunikačních soustav. Jedním z hlavních cílů satelitních projektů je vytvoření podmínek pro realizaci spojení mezi účastníky na libovolném místě na Zemi pomoci mobilních stanic konstruovaných s minimálními rozměry, hmotností a spotřebou energie. [78] Mezi první systémy mobilní družicové komunikace, dnes nazývané systémy 1. generace, s opravdu celosvětovým dosahem, patří systém INMARSAT. Tento systém využívá geostacionární družice na 4 pozicích a dodnes tvoří páteřní soustavu celosvětové mobilní služby v námořní, pozemní i letecké dopravě. Systém je v provozu od roku 1982, stále je používán a nadále je rozvíjen. Od roku 1992 jsou navíc původní analogové systémy doplněny o systémy digitálního přenosu. V několika posledních letech se začíná výrazně rozvíjet nová aplikace družicových komunikací, konkrétně družicové personální komunikační služby S-PCS (SatellitePersonal Communications Services). Tyto systémy jsou dnes řazené k systémům druhé generace a převážně využívají nestacionárních družicových drah v různých výškách nad zemským povrchem. V roce 1998 byla takto uvedena do provozu družicová síť IRIDIUM, v provozu je již síť GLOBALSTAR a několik dalších systémů je ve stádiu příprav. Vývoj v oblasti mobilních komunikací spěje k perspektivním univerzálním mobilním telekomunikačním systémům UMTS, jejichž součástí je také družicová složka S-UMTS. Tyto systémy jsou v současné době předmětem zájmu standardizačních organizací.
3.6 Otázky a úkoly 1. Uveďte vlastnosti koaxiálního kabelu a vyjmenujte typy používaných konektorů. 2. Symetrická vedení – UTP a STP; charakteristické vlastnosti, přenosové rychlosti. 3. V čem spočívá význam strukturované kabeláže? 4. Fyzikální principy optických kabelových spojů. 5. Mnohavidová optická vlákna; vlastnosti, aplikace. 6. Výhody jednovidových optických vláken; dělení do tříd. 7. Popište strukturu optického kabelu. 8. Optické konektory; příklady. 9. Uveďte principy kmitočtového a časového multiplexu. 10. Sítě integrovaných služeb ISDN- principy. 11. Modemové technologie xDSL; principy, rodina xDSL (ADSL – současné využití) 12. Bezdrátové spoje; druhy spojů – výhody/nevýhody. 13. Charakterizujte volná a licenční pásma; výhody/nevýhody bezlicenčního pásma. 14. Vzdušné optické spoje – směrové i všesměrové; principy. 15. Popište technologii Ronja. 16. Družicové spoje – personální služby.
67
Kosmická komunikace
3.7 Samostatní práce studenta
V laboratoři datové komunikace změřte propustnost datových médií. Ethernet, optické vlákno, koaxiální kabel. Spočítejte útlum na metalickém kabelu a zjistěte požadavky na použití aktivního prvku – opakovače.
68
4 Přístupová síť Obsah kapitoly: 4.1 Cíle kapitoly 4.2 Získané dovednosti 4.3 Klíčová slova 4.4 Modelování přístupových sítí 4.4.1 Model přístupové sítě typu bod-bod 4.4.2 Kaskádní model přístupové sítě 4.5 Optické přístupové sítě 4.5.1 Uspořádání optické přístupové sítě 4.5.2 Specifika přenosu optického signálu v přístupové síti 4.5.3 Pasivní optické přístupové sítě 4.5.4 Aktivní optické přístupové sítě 4.5.5 Uplatnění technologie DWDM a CWDM v optických sítích. 4.6 Otázky a úkoly 4.7 Samostatní práce studenta
4.1 Cíle kapitoly Cílem kapitoly je podtrhnout význam přístupových sítí jako součástí komunikační sítě. Přístupová síť vystupuje jako, prostředek zajišťující spojení mezi koncovými uživateli a poskytovateli služeb. Vyznačuje se bohatou nabídkou účastnických rozhraní pro zpracování různých typů informačních toků. Kapitola je zaměřena na principy optických přístupových sítí, na specifika přenosu optického signálu v přístupové síti. Diskutují se různé topologie (výhody-nevýhody). U volby topologie je limitujícím faktorem maximálně přípustná délka optické cesty. K eliminaci konfliktů při časovém sdílení optického se vkládá mezi jednotlivé časové kanály definovaná ochranná doba.
4.2 Získané dovednosti Student získá informace o začlenění přístupové sítě do komunikační sítě, která se skládá z:. hlavní (páteřní), uživatelské, a přístupové sítě. Z technického hlediska telekomunikační sítě přenášejí elektrické, optické a radiové signály prostřednictvím metalických, optických přenosových médií a volného prostoru. Dovednosti a znalosti se částečně překrývají s náplní předešlé kapitoly.
4.3 Klíčová slova Komunikační síť, koncový účastník, přenosová média, komutační uzly, přístupová síť model přístupové sítě, optické přístupové sítě, pasivní sítě, aktivní sítě. Přístupová síť je součástí komunikační sítě, která spojuje koncové účastníky k jejich okamžitému poskytovateli služeb. Telekomunikační sítě jsou realizované pomocí technických a programových prostředků a slouží k přenosu informací z místa 69
zdroje do místa určení, jinak řečeno z místa vysílání do místa příjmu. [70; 84; 90; 95; 150] Z funkčního hlediska můžeme technické prostředky telekomunikačních prostředků sítí rozdělit na: Koncová zařízení (KZ) Přípojky (PV) Komutační uzly (KU) Přenosová média (PM) složení přístupové sítě
Obr.4.1. Telekomunikační síť. Zdroj: vlastní
Telekomunikační síť se skládá ze tří hlavních částí: hlavní (páteřní), uživatelské, a přístupové sítě. Z technického hlediska telekomunikační sítě přenášejí elektrické, optické a radiové signály prostřednictvím metalických, optických přenosových médií a volného prostoru. Přístupová síť by měla poskytovat bohatou nabídku účastnických rozhraní pro zpracování různých typů informačních toků:
Obr.4.2. Přístupové body k telekomunikační síti. Zdroj: vlastní
70
přenos hlasu v reálném čase zpracování a přenos obrazu v reálném čase (videokonference, apod.) přenos datových signálů přístup k síti internet broadcasting apod.
Budoucnost přístupové sítě je bez diskuze spojena s optickými vlákny a kabely. Jedinou překážkou v jejich rychlém rozvoji zatím zůstává cena za vybudování. Zvláště v České republice si tedy na optickou přípojku až do domu asi ještě chvilku počkáme. Ekonomické aspekty tak dávají další šanci stávající přístupové síti, která je postavena na symetrických párech. Metalické přístupové sítě, díky technologii xDSL, zažívají své znovuzrození. Provozování nové technologie v síti s historicky odlišnou koncepcí není věc jednoduchá. Operátoři řeší řadu problémů. Pomoci v jejich řešení jim mají laboratorní simulace a analytické modely.
4.4 Modelování přístupových sítí Modelování reálné přístupové sítě lze rozdělit do tří hlavních oblastí. První oblastí je modelování vlastností symetrického páru a modelování kompletní topologie metalického kabelu v přístupové síti. Druhou oblastí je modelování vysílacích parametrů koncových zařízení jednotlivých technologií. Třetí oblastí je simulace vzájemných přeslechových vazeb mezi jednotlivými symetrickými páry v kabelu respektive mezi jednotlivými technologiemi. První a třetí oblast spolu velmi úzce souvisejí. Na způsobu a na přesnosti, s jakou chceme modelovat přeslechové rušení, záleží metoda simulace topologie přístupové sítě. Při požadavku na vetší reálnost výsledků se reálná přenosová cesta musí modelovat jako kaskádně řazené úseky metalických vedení o různé nominální délce a různém průměru. U každého úseku vedení je nutné definovat, zda se jedná o hladký úsek vedení nebo o tzv. nezakončenou odbočku vedení (bridged tap). Budeme-li chtít modelovat situaci v přístupové síti co nejpřesněji, bude nezbytné modelovat přeslechové vazby metodou kombinace jednotlivých technologií a topologii účastnického vedení modelovat pomocí kaskádních modelů s respektováním vzájemné polohy jednotlivých párů. 4.4.1
Model přístupové sítě typu bod-bod
Při modelování bod-bod považujeme účastnické metalické vedení za homogenní vedení. Předpoklad homogenního vedení výrazně zjednodušuje modelování celé topologie svazku metalického kabelu pouze na modelování jednotlivých symetrických párů. Kabel se symetrickými páry vychází z přístupového multiplexoru (DSLAM) u místní ústředny poskytovatele připojení (HOST), respektive z hlavního rozvodu ústředny. Kabelový svazek může také vycházet od některé ze vzdálených účastnických jednotek ústředny (RSU). Délka a struktura metalického kabelu je závislá na místních podmínkách a typu přenosové technologie. Při modelování přeslechových vazeb mezi jednotlivými páry se předpokládá, vzhledem k zjednodušenému modelování celé topologie, využití modelových profilů rušení 71
síť typu BOD/BOD
organizace ITU-T. Provozovatel může stanovit své vlastní podmínky modelování a zejména přeslechové parametry na základě situace ve své přístupové síti. Velmi zjednodušená topologie přístupové sítě je ukázána na obr. 4.3., kde server BAS – Broadband Access Server plní funkci autentifikace, autorizace a další.
Obr. 4.3. Jednoduchá struktura přístupové sítě Zdroj: [42]
4.4.2
Kaskádní model přístupové sítě
Topologii uživatelského vedení nelze nikdy v reálné přístupové síti považovat za homogenní. Vzhledem k postupnému budování přístupové sítě a například i vzhledem k provedeným opravám v síti se reálné účastnické vedení může skládat z kaskády různých délek a typů symetrických párů. Navíc instalace uživatelského vedení může obsahovat tzv. nezakončené odbočky vedení, které podle své délky negativně ovlivňují výkonnost přenosu systému xDSL. Nezakončená odbočka je paralelně k účastnickému vedení připojený úsek symetrického páru zakončený naprázdno. Nezakončená odbočka tedy může vzniknout například z paralelních telefonních přípojek, neoprávněnou úpravou v domácím rozvodu účastníka nebo poruchou a následnou opravou v svazku kabelu. Obr. 4.4. ukazuje strukturu reálné přístupové sítě.
Obr. 4.4. Struktura účastnického vedení v reálné přístupové síti Zdroj: [42]
Obdobně jako při modelování bod-bod vychází účastnické vedení z multiplexoru DSLAM přes hlavní rozvaděč. Mezi hlavním rozvaděčem (MDF) a následným síťovým rozvaděčem (NDF) se předpokládá svazek homogenních metalických vedení. Vedení od síťového rozvaděče směrem k účastníkovi může být tvořeno kaskádou různých typů a průměrů vedení.
72
4.5 Optické přístupové sítě Realizace přístupu k telekomunikačním službám pomocí optického vlákna je aktuální vzhledem k požadovaným přenosovým rychlostem do koncových bodů sítě, které dosahují u velkých zákazníků až stovky Mbit/s. V těchto případech ani použití jiného přenosového média není reálné. Mluvíme pak o optických přístupových sítích OAN (Optical Access Network). Optická vlákna je výhodné přivést až k velkým zákazníkům buď tak, že tvoří součást vyšší úrovně přístupové sítě nebo separátním optickým spojem. V mnohých případech jsou již dnes někteří uživatelé připojeni takovým způsobem především v metropolitních sítích, hlavně strategičtí (business) zákazníci a obchodní centra. V další fázi je očekávat také v přístupových sítích vytvoření optické vrstvy sítě s optickými zesilovači a dalšími aktivními prvky v podobě: zesilovacích modulů vestavěných do síťových produktů, jako jsou digitální přepínače a SDH multiplexory, systémů s vlnovým dělením DWDM obsahujících transpondéry, DWDM multiplexory, optické přepojovače (cross-connect). 4.5.1
Uspořádání optické přístupové sítě
Pronikání optických technologií do přístupových sítí se děje v první fázi přes vyšší úroveň vedoucí k distribučnímu uzlu. S ohledem na topologii existuje několik variant instalace optického vlákna v této sekci: aktivní hvězda (jednotlivé optické trasy ukončené v distribučním uzlu) kruh (SDH kruhová síť) pasivní optická síť (PON) Základními funkčními celky optických přístupových sítí jsou : optická linková zakončení (OLT), zajišťující funkce síťového rozhraní mezi přístupovou sítí a sítěmi telekomunikačních služeb, optická distribuční síť (ODN), což je soubor optických přenosových prostředků mezi OLT a jednotkami ONU, optické ukončující jednotky (ONU), zabezpečující funkce účastnického rozhraní mezi koncovými zařízeními účastníků a přístupovou sítí. Dále může navazovat síťové zakončení NT. Uspořádání těchto jednotek v rámci přístupové sítě je vidět na obrázku.
73
Optické sítě
Obr. 4.5. Uspořádání optické přístupové sítě. Zdroj: vlastní
Podle způsobu umístění ukončujících jednotek ONU optických přístupových sítí a způsobu jejich provedení, tj. podle toho, kde je v síti optické vlákno ukončeno, se rozlišují různé typy optických přístupových sítí OAN, z nichž jako základní jsou obvykle uváděny: FTTC (Fibre to the Curb), které přivádějí optická vlákna k účastnickému rozváděči, k němuž jsou koncové body sítě připojeny metalickými kabely, FTTB (Fibre to the Building), které přivádějí optická vlákna až do budov účastníků, kteří jsou připojování pomocí vnitřních účastnických rozvodů, FTTO (Fibre to the Office), u kterých jsou optická vlákna zavedena do prostor důležitých zákazníků s velkými nároky na přenosovou kapacitu, FTTH (Fibre to the Home), u kterých jsou optická vlákna zavedena až ke koncovým bodům sítě, tj. až na účastnické zásuvky. Systémy FTTC a FTTB se prakticky od sebe liší jen provedením skříní pro umístění koncového zařízení účastnického systému. Zařízení systémů FTTC jsou navrhována pro umístění na volném prostranství, což mimo jiné znamená i zvýšené požadavky na klimatickou odolnost. Zařízení obou koncepcí FTTC a FTTB lze v jedné síti kombinovat. 4.5.2
Specifika přenosu optického signálu v přístupové síti
Transportní funkce přístupových sítí musí poskytovat duplexní přenosové prostředí. Signály pro oba směry přenosu mohou být v přístupových sítí přenášeny: simplexně s dělením SDM (Space Division Multiplexing), tj. pro každý směr přenosu je použito jedno vlákno, duplexně s dělením WDM (Wavelength Division Multiplexing), kdy jsou signály přenášeny po jednom vláknu, jeden směr v oblasti 1310 nm a druhý v oblasti 1550 nm, duplexně s dělením FDM (Frequency Division Multiplexing), kdy jsou signály v obou směrech přenášeny po jednom vláknu v jedné oblasti vlnových délek a směry přenosu jsou odděleny kmitočtově. Nejčastěji je přenosové médium sdíleno celou řadou účastníků, kdy se může při vytváření linkových signálů přenášených v sestupném směru (downstreem) od OLT k jednotlivým jednotkám ONU používat skupinování s časovým dělením TDM nebo 74
s dělením kmitočtovým, označovaným v těchto aplikacích ne FDM, ale SCM (SubCarrier Multiplexing). Obdobně ve vzestupném směru (upstreem) od jednotlivých jednotek ONU k OLT je přístup buď s časovým dělením TDMA, nebo s kmitočtovým dělením SCMA. Možné jsou i kombinace uvedených způsobů, tj. např. uspořádání TDM/SCMA nebo SCM/TDMA. Důležitým aspektem, určujícím charakter přístupové sítě, je převažující typ přenosových traktů využívaných v distribuční části sítě: bod-bod PTP (Point-to-Point), např. jednotlivé SDH trakty mnohabodové PTM (Point-to-Multipoint), např. pasivní optická síť. Mnohabodová optická distribuční síť ODN umožňuje pomocí pasivních nebo i aktivních rozbočovacích prvků, tzv. splitterů, rozdělit signály přenášené jedním vláknem z optického linkového zakončení OLT ústředny nebo vydělovacího zařízení ADM primární části přístupové sítě do více vzdálených jednotek ONU a sdružovat a transportovat signály i v obráceném směru z ONU do OLT. Podle provedení optických rozbočovačů a jednotek OLT a ONU mohou být mnohabodové optické přístupové sítě OAN principiálně uspořádány dvěma základními způsoby: aktivní přístupová síť AON (Active Optical Network), která s využitím aktivních síťových prvků propojuje ukončující jednotky ONU přes terminál OLT na centra telekomunikačních služeb. pasivní přístupová síť PON (Passive Optical Network). 4.5.3
Pasivní optické přístupové sítě
Distribuci signálu k účastníkům zajišťují pasivní rozbočovače (splitter), který ovšem pracuje i v opačném směru (slučuje signály od účastníků). Rozbočovač pouze rozdělí optický signál do požadovaného počtu dílčích směrů, neprovádí zesilování ani jiné úpravy. Každá účastnická ukončující jednotka ONU obdrží kompletní multiplexovaný signál od linkového zakončení OLT a vybere z něj pouze jí příslušející kanál. Základní topologie pasivních optických distribučních sítí ODN jsou následující: jednostupňová hvězda dvoustupňová hvězda sběrnice kruh Každá z uvedených topologií má své výhody i nevýhody jak z hlediska investičního, tak i provozního hlediska. Uvedené základní topologie lze různě kombinovat, samozřejmě při respektování vlastností optických rozhraní použitých jednotek OLT a ONU. Při návrhu topologie sítě ODN je limitujícím faktorem maximálně přípustná délka optické cesty mezi OLT a nejvzdálenější ONU. Metodologie návrhu sítě ODN vychází z překlenutelného útlumu optických rozhraní jednotek OLT a ONU a zohledňuje typy a počty splitterů, spojek, konektorů a vlastnosti použitého optického vlákna. Důsledkem různých vzdáleností mezi OLT a jednotkou ONU jsou 75
různé i útlumy příslušných vláken. Proto se provádí vyrovnávání optických výkonů v síti. Dalšími limitujícími faktory je u některých druhů provozu útlum odrazu optické cesty a maximálně přípustný rozdíl vzdáleností ONU-OLT mezi jednotlivými jednotkami ONU a terminálem OLT, který je podmíněn technikou vyrovnání různých dob zpoždění signálů ve vzestupném směru mezi různě vzdálenými jednotkami ONU a OLT. K eliminaci konfliktů při časovém sdílení optického se vkládá mezi jednotlivé časové kanály ochranná doba, která musí být větší než maximální diference dob šíření (záleží na rozdílu vzdáleností nejbližší a nejvzdálenější ONU.
ONT
A
ONT
B V
ONT
C
ONT
D V
WWW
A B V
OLT
http://access.feld.cvu t.cz/view.php?cislocl anku=2005070401
C D V
Rozděleno na 32 ONT Rozděleno na 32 ONT
V
Dosah 20 km
Obr. 4.6. Pasivní optická síť. Zdroj: vlastní
4.5.4
Aktivní optické přístupové sítě
Aktivní přístupové sítě tvoří základ tzv. hybridních sítí, protože na optickou část sítě ve vyšší úrovni navazuje nižší úroveň tvořená dalšími technologiemi (xDSL, CATV, radiové prostředky). Hlavní výhodou aktivních přístupových sítí AON v porovnání s pasivními sítěmi PON je možnost zajištění podstatně větších dosahů, tj. překlenutelných vzdáleností mezi OLT a ONU a použití větších dělících poměrů v distribučních bodech. Nevýhodou je nutnost zajištění napájení aktivních síťových prvků použitých v distribuční síti, tj. rozbočovačů nebo muldexů. Z hlediska minimalizace nákladů na provozní údržbu se proto jeví výhodnější pasivní přístupové sítě PON. Aktivní optická síť AON obsahuje aktivní síťové prvky v podobě digitálního přenosového zařízení a bývá realizována nejčastěji technologií SDH. Je pak tvořena kruhem STM-1 či STM-4 se synchronními vydělovacími muldexy ADM (add-dropp muldex), jak je ukázáno na obrázku. Na muldexy ADM se napojují účastníci různým způsobem (sekundární úroveň - PON, ISDN, B-ISDN, HDSL, ASDL apod.). Díky tomu se AON označují i jako integrované přístupové systémy, protože tvoří společnou, zastřešující platformu pro ostatní přístupové systémy.
76
Obr. 4.7. Aktivní optická síť. Zdroj: vlastní
4.5.5
Uplatnění technologie DWDM a CWDM v optických sítích.
Hustý vlnový multiplex DWDM (Dense Wavelength Division Multiplexing) se používá hlavně na dálkových optických trasách a vyžaduje precizní laserové chlazené zdroje a ostatní náročné optické komponenty, jako jsou optické zesilovače EDFA, kompenzátory disperze apod. Doporučení ITU T G.694.1 „Spectral grids for WDM applications: DWDM frequency grid“ specifikuje jednotlivé přenosové kanály v oblasti vlnových délek v rozsahu od 1490 nm (200,95 THz) do 1620 nm (186,00 THz), (tzv. S, C a L pásmo). Pro další použití v metropolitních sítích je vhodné omezit technologii DWDM pouze na využití „C“ pásma v oblasti 1530 až 1565 nm, kdy existují vhodné cenově dostupné komponenty (výměnné transceivery DWDM v provedení SFP, XFP a Xenpak a EDFA zesilovače pro C pásmo). Technologie CWDM Coarse Wavelength Division Multiplexing) je forma vlnového multiplexu, která využívá větší odstup mezi jednotlivými přenosovými kanály, než je tomu u klasické technologie hustého multiplexu DWDM. Samotný princip CWDM není nový. Již v doporučení ITU-T G.671 bylo specifikováno, že CWDM multiplex by měl mít odstup jednotlivých kanálů menší než 50 nm a větší než 1000 GHz (což je přibližně 8 nm pro vlnovou délku 1550 nm). Teprve příchod pevné specifikace jednotlivých vlnových délek dal základ pro velký rozvoj a hromadné nasazení této technologie. Standardizační komise ITU (International Telecommunication Union), skupina T (Telecommunication standardization sector ITU-T) vydala 13. června roku 2002 doporučení: ITU-T G.694.2 - Spectral grids for WDM applications: CWDM wavelength grid. Standard ITU-T G.694.2 definuje velikost odstupu jednotlivých kanálů vlnových délek pro použití CWDM technologie tak, aby bylo možné jako zdroje záření použít laserové diody bez nároku na chlazení. Jednotlivé vlnové délky byly také zvoleny tak, aby byly kompatibilní s klasickými používanými vlnovými délkami 1310 nm a 1550 nm. Jednotlivé vlnové délky CWDM technologie jsou definovány v rozsahu 1270 nm až 77
1610 nm se vzájemným odstupem 20 nm.
TAB.4.1. Tabulka vlnových délek CWDM. Zdroj" [129]
Vlastní standard G.694.2 předpokládá použití nechlazených laserových zdrojů s celkovou tolerancí od nominální střední vlnové délky v rozsahu */- 6 až 7 nm. Vzhledem k toleranci, která je povolena standardem, se v praxi ustálila šířka pásma v rozsahu 6,5 nm, jak pro používané CWDM filtry, tak i pro toleranci vlnových délek laserových diod pro celý rozsah pracovních teplot. Pro konstrukci CWDM filtrů se používá osvědčená technologie tenkovrstvých filmů, která byla již ověřena při použití technologie DWDM. Prakticky to znamená menší počet potřebných napařených vrstev a tedy i nižší cenu, než v případě filtrů pro technologii DWDM. Na rozdíl od hustého vlnového multiplexu DWDM tady máme širší propustné pásmo 6,5 nm od střední vlnové délky optického kanálu. Vzhledem k teplotnímu posunu vlnové délky optického transceiveru (DFB laseru, pro rozsah pracovních teplot od 0°C do +70°C) se v praxi používá vlnová délka optického multiplexeru vždy větší o 1nm, než je nominální vlnová délka laseru. Střed CWDM kanálu pro nominální vlnovou délku 1550 nm je tedy ve skutečnosti 1551 nm. Technologii CWDM lze v případě potřeby vhodně zkombinovat s technologií hustého multiplexu DWDM. Pro technologii DWDM se používají EDFA optické zesilovače, které se běžně dodávají pro práci v pásmu C nebo L, případně pro obě pásma dohromady. Pokud budeme dopředu uvažovat o plném využití systému DWDM, je vhodné již na začátku použít CWDM Multi/Demultiplexer s pouze čtyřmi vlnovými délkami 1470/1490/1590/1610 nm (nebo ještě lépe se šesti kanály 47/49/51/57/59/61) s vyvedeným expanzním portem. Na tento expanzní port je vyveden zbytek použitého spektra a je tak dispozici skoro celé C pásmo pro systém DWDM (celkem 32 kanálů).
78
4.6 Otázky a úkoly 1. 2. 3. 4. 5. 6. 7.
Uveďte tři hlavní části telekomunikační sítě. Popište model přístupové sítě typu bod-bod. Optické přístupové sítě; principy, struktura. Specifika přenosu optického signálu v přístupové síti. Pasivní optické přístupové sítě; základní topologie – popište. Aktivní optické přístupové sítě; návaznost na xDSL, CATV a další. Technologie CWDM a DWDM; principy – rozdíly, aplikační možnosti.
4.7 Samostatní práce studenta
Vytvořte přístupovou síť typu bod-bod. Zabezpečte komunikaci výhradně jenom mezi dvěma uživateli. Zajistěte zabezpečení i pomocí MAC access listu. Využite ke komunikaci zabezpečenou verzi jednotlivých protokolů. Vytvořte síť typu server-klient. Podobně jako u předchozího úkolu, síť zabezpečte využitím MAC access listu. Navrhněte možnosti útoků na dané sítě a taktéž navrhněte možnost jejich zabezpečení.
79
80
5 Lokální počítačové sítě Obsah kapitoly: 5.1 Cíle kapitoly 5.2 Získané dovednosti 5.3 Klíčová slova 5.4 Klasifikace LAN 5.4.1 Dělení podle topologie 5.4.2 Dělení sítí podle jejich architektury 5.4.3 Dělení sítí podle technologie 5.5 Přístupové metody 5.5.1 Přístupová metoda CSMA/CD 5.5.2 Přístupová metoda Token Passing 5.6 Ethernet 5.6.1 Vývoj Ethernetu 5.7 Další představitelé lokálních sítí 5.7.1 Počítačová síť 100 VG-AnyLAN 5.7.2 Síť FDDI 5.8 Virtuální počítačové sítě VLAN 5.8.1 Způsoby tvorby virtuálních LAN 5.8.2 Některé praktické výhody VLAN 5.9 Otázky a úkoly 5.10 Samostatní práce studenta
5.1 Cíle kapitoly Kapitola je zaměřena na jednu z nejrozšířenějších typů počítačových sítí – sítí LAN. Po stručné definici LAN je provedeno členění lokálních sítí podle různých hledisek. Aby nedocházelo ke kolizím na společně používaném médiu více uzly sítě jsou k disposici přístupové metody. Po úvodních informacích je pozornost zaměřena na typického představitele lokálních sítí – na Ethernet. Jsou uvedeny hlavní verze Ethernetu od původní až po 10GbitEthernet. Počáteční verze založené na využití koaxiálního kabelu, další pak kroucené dvojlince postupně přechází na uplatnění optických spojů. V souvislosti s Gigabitovým Ethernetem je k dispozici celá škála přepínačů umožňujících vytvářet rozsáhlé počítačové sítě. K nejzajímavějším patří přepínače společnosti 3 Com pokrývající celou škálu síťových aplikací. Disponuje také s optickými porty. U mnohovidového optického vlákna zaručuje přenos do stovek metrů. U portů s jednovidovými vlákny umožňuje přenos do desítek kilometrů. Přepínače se uplatňují hlavně při budování gigabitových páteřních sítí, jakož i pro připojování serverů. V návaznosti na předešlé pasáže se v kapitole dále zaměřujeme na další typy LAN počítačová síť 100 VG-AnyLAN, kruhovou síť FDDI. V závěru kapitoly je vysvětlen princip virtuálních počítačových sítí, jejich význam, jakož i realizace.
5.2 Získané dovednosti Předložena kapitola dává ucelený přehled o současných lokálních počítačových sítích. V kontextu na předešlé kapitoly, zaměřené na komunikační prostředky sítí je 81
student schopen se orientovat při návrhu konkrétní topologie zadané aplikačními podmínkami.
5.3 Klíčová slova Lokální síť, Ethernet, Fast Ethernet, síť 100 VG-AnyLAN, síť FDDI, Token Bus, Token Ring, kolize, přístupová CSMA/CD metoda. Lokální síť LAN (Local Area Network) označuje počítačovou síť, která propojuje počítače na kratší vzdálenosti (řádově stovky metrů až kilometry). Nejčastěji se používá v omezeném prostoru. Tyto sítě pokrývají oddělení, pracoviště, budovy, podniky a tam zajišťují sdílení lokálních prostředků (např. tiskáren, aplikací, dat). Velikost této sítě je omezena vzdáleností jednotlivých počítačů. U sériového zapojení omezuje velikost sítě i vzdálenost mezi prvním a posledním počítačem v síti. Síť je složena z aktivních a pasivních prvků. Aktivní prvky (switch, router, síťová karta) se aktivně podílejí na komunikaci. Pasivní prvky se na komunikaci podílejí pouze pasivně (nevyžadují napájení). Patří mezi ně propojovací kabel, konektory, ale i pasivní HUB. Lokální sítě propojují koncové uzly typu počítač, tiskárna, server. LAN jsou vždy v soukromé správě a působí na malém území. Připojená zařízení pracují v režimu bez navazování spojení, sdílí jeden přenosový prostředek (drát, radiové vlny), ke kterému je umožněn mnohonásobný přístup. Sítě LAN topologie architektura technologie
Mezi lokální počítačové sítě můžeme řadit: Ethernet, Fast Ethernet, Gigabit Ethernet (IEEE 802.3) ARCNET (už mrtvá technologie) Token Bus (IEEE 802.4) Token Ring (IEEE 802.5) IsoEthernet (IEEE 802.9) Bezdrátové sítě (Wi-Fi, IEEE 802.11) 100VG-AnyLAN (IEEE 802.12) Fiber Distributed Data Interface (FDDI) (ISO/IEC 9314, ANSI X3.x) Fibre Channel (ANSI X3.x) a další [11; 33; 44; 59; 76] Klasifikace LAN dle různých kategorií s podle různých hledisek zapadá do obecně platného dělení všech počítačových sítí, diskutovaných v kap. 1.2. Rozdělení počítačových sítí. Nyní provedeme stručnou rekapitulaci klasifikace LAN dle tří kategorií: dle topologie, dle architektury a dle technologie.
5.4 Klasifikace LAN 5.4.1
Dělení podle topologie
Pod pojmem topologie sítě si můžeme představit způsob propojení počítačů mezi 82
sebou tak, aby výsledkem byla fungující síť. Každá topologie má svá specifika, která se liší především typem používané kabeláže, použitím a typem aktivních či pasivních prvků a maximální rychlostí sítě. Podrobné dělení LAN podle topologie bylo provedeno v kapitole 1 těchto učebních textů. 5.4.2
Dělení sítí podle jejich architektury
Klient - server Filozofie tohoto řešení je jednoduchá. Soustředit vše (data, služby, údaje o uživatelích…) do jednoho bodu v síti. Ten důkladně zabezpečit a odsud nabízet služby všem síťovým stanicím. Počítač kam údaje soustřeďujeme, nazýváme server (sluha). Protože musí obsluhovat mnoho požadavků v krátkém čase, je zde ukládáno mnoho dat, je nutné, aby to byl počítač kvalitní a rychlý. Navíc na něm musí být nahrán speciální program – síťový operační systém, který bude organizovat ukládání dat, přidělovat přístupová práva k složkám a souborům, vést evidenci o tom kdo se může k serveru přihlásit a co bude moci na serveru dělat. Celkově lze síť klient – server charakterizovat takto: Výhody: vysoká bezpečnost dat, přehlednost, snadná konfigurovatelnost. Nevýhody: spočívají v nákladech na nákup serveru a síťového operačního systému, v nutnosti mít vysoce kvalifikovaného pracovníka, který bude umět obsluhovat síťový operační systém. Nejrozšířenější síťové operační systémy pracující na serveru jsou pro sítě LAN tři: Od firmy Microsoft to je Microsoft Windows Server 2003 a jeho předchůdce Microsoft Windows 2000 Server. Dalším síťovým systémem je NetWare firmy Novell. I ten existuje ve více verzích. Tou poslední je Novell NetWare 6,5, jeho předky byly verze 6 a 5, můžeme se setkat s dožívajícími verzemi 4 (hlavně 4.11). Různé distribuce Linuxu. (Linuxovým serverům se v poslední době věnuje také firma Novell). Peer - to - peer Tato síť je tvořena jednotlivými síťovým stanicemi (počítači), které si jsou navzájem rovné. Znamená to, že počítače si mezi sebou nabízí své služby. Například mohou být na počítači zpřístupněny určité složky, do nichž je povolen přístup jiným uživatelům, nebo můžeme dovolit tisk na jedné tiskárně více stanicím. Jako vše má takovéto řešení své přednosti a nedostatky: Výhody: Pro správu sítě nejsou třeba žádné velké znalosti. Jde o řešení levné, není nutné kupovat server ani žádné síťové operační systémy (peer to peer síť je obsažena ve Windows). Nevýhody Při větším počtu počítačů je velmi obtížné udržet přehled o datech (na kterém počítači je to uloženo?). Data jsou jen málo chráněna proti zneužití. Konfigurace přístupových práv (kdo může co číst) je u peer to peer jednoduchá (a méně bezpečná), navíc se musí aplikovat (a dodržovat) na všech stanicích, což bývá téměř neuskutečnitelné.
83
5.4.3
Dělení sítí podle technologie
Sítě typu Ethernet (IEEE 802.3) Ethernet je dnes bezesporu nejrozšířenější implementací počítačové sítě. Jeho popularita tkví především v jednoduchosti protokolu a tím i snadné implementaci a instalaci. Síť typu ARCNet ARCNET je poměrně rozšířená technologie lokální sítě (LAN), svou stavbou se podobá protokolům Ethernet či Token Ring. ARCNET byl svého času jednou z prvních technologií, která byla široce dostupná pro síťovou komunikaci mikropočítačů a stala se populární zejména v osmdesátých letech pro použití v automatizaci kancelářských prací. Síť typu Token Ring (IEEE 802.5) Principem sítě Token ring je předávání vysílacího práva pomocí speciálního rámce (tzv. tokenu) mezi adaptéry, zapojenými do logického kruhu. Fyzicky je síť zapojena do hvězdicové topologie, ale centrální hub slouží pouze jako spoj pro uzly v sousedních ramenech hvězdy. Řízený způsob přístupu ke sdílenému médiu zajišťuje vyšší robustnost a odolnost sítě při přetížení, než může nabídnout stochastický přístup Ethernetu. Síť typu lOOVG-AnyLAN (IEEE 802.12) Jedná se o síť od firmy Hewlett-Packard. Rychlost této sítě je 100 Mbit/s. Maximální délka segmentu je 7,7 km, počet stanic není omezen, záleží na počtu hubů. Médiem je kroucená dvojlinka a optický kabel. Je zde použita bezkolizní přístupová metoda. Síť typu FDDI (ISO/IEC 9314) Celým názvem Fiber Distributed Data Interface. Je to síť s kruhovou topologií. Byla to první síť s přenosovou rychlostí 100 Mbit/s a byla původně navržena pro sítě MAN. Byla vyvinuta institutem ANSI někdy v 80. letech s mezinárodním označením ISO 9314.
5.5 Přístupové metody Při práci v síti mohou všichni uživatelé přijímat zprávy najednou. U vysílání zprávy je však nutno zajistit, aby na přenosovém médiu (kabel) byla současně zpráva pouze od jednoho uživatele. Jinak by mohlo dojít ke kolizím a tedy vzájemnému rušení, případně zkreslování odesílaných zpráv. Odesílání dat pouze jedním uživatelem sítě zajišťují přístupové metody. V současné době se používají základní přístupové metody a to CSMA/CD a Token Passing. 5.5.1 WWW
http://www.earchiv.c z/a93/a333c120.php 3
Přístupová metoda CSMA/CD
(Carrier Sense Multiple Access / Collision Detection) - též metoda s vícenásobným přístupem s detekcí kolize se zakládá na tom, že síťový uzel bude předtím, než zahájí vysílání, naslouchat, není-li již síť nějakým jiným uzlem využívána (část CSMA). Je-li tomu tak, musí uzel, který chce vysílat, se svým pokusem o vysílání vyčkat. Čekat bude náhodně zvolený interval. 84
Jestliže uzel zjistí, že je na síti klid, pokusí se vyslat svou zprávu a současně se snaží zjistit, nedošlo-li ke kolizi, tj. nezačal-li současně vysílat nějaký jiný uzel (část CD). To zjistí tak, že současně s vysíláním naslouchá. Neuslyší-li interferenci s cizí zprávou zkomolený signál, pokračuje ve vysílání. Dojde-li ke kolizi, pak první stanice, která kolizí zdeformovaný signál zachytila, přestane vysílat a vyšle na síťové médium tzv. kolizní signál (JAM), který signalizuje všem ostatním stanicím v síti vznik kolize (viz obr. 5.1.). To způsobí, že i ostatní vysílající stanice přestanou vysílat a zopakují pokus o vysílání opět po náhodně zvolené časové prodlevě.
Start
Volnost sběrnice JAM Začátek vysílání
Nastala kolize
Vysílání dat
Obr.5.1. Kolizní metoda CSMA/CD Zdroj: [76]
Pro tuto metodu je charakteristický zápas, resp. boj o sběrnici. Po detekci kolize je doba nového vstupu stanic různá, odvozená z generátoru náhodných čísel. To vyjadřuje nedeterministický přístup (stochastický charakter). Doba čekání je definována jako n-násobek doby potřebné k odeslání 512 bitů (Slot Time), která je 51,2 s při rychlosti 10 Mb/s, a kde je n náhodně vybrané celé číslo. Pokud rámec není odeslán ani po 16-ti pokusech, je hlášena chyba. Metoda CSMA/CD není posledním krokem v oblasti metod náhodného řízení. Dalšího zlepšení vlastností (zvýšení průchodnosti a snížení doby doručení zprávy) dosahují metody, které po zjištění kolize nejdříve zajistí přenos zpráv pro stanice, které se kolize zúčastnily, a teprve potom dovolí přístup stanic ostatních. Metody jsou označovány jako CSMA/DCR (Carrier-Sense Multiple Access with Deterministic Collision Resolution), mluvíme o deterministickém řešení kolize. Nejjednodušší metodou řešení kolize je vyhledávání aktivních stanic v binárním stromu. Dojde-li ke kolizi v režimu CSMA/CD, stanice, které se kolize účastnily, se rozdělí do dvou skupin (například podle nejvýznamnějšího bitu adresy). Stanice z prvé skupiny se pokusí o vyslání zprávy, stanice druhé skupiny počkají na ukončení přenosů stanic v prvé skupině. Dojde-li v prvé skupině opět ke kolizi, 85
postup dělení skupiny se opakuje. Po konečném počtu kroků je ve skupině jediná stanice, která odvysílá svůj rámec. U dosud popisovaných metod jsme neuvažovali potřebu potvrzování přijatých rámců (přesněji řečeno, neuvažovali jsme, že potvrzení budou muset soupeřit o přidělení kanálu). Na potvrzení se můžeme dívat jako na nutnou přídavnou zátěž, která pouze v určitém poměru sníží čistou průchodnost sítě. Chceme-li eliminovat nepříjemný vliv této přídavné zátěže na soupeření stanic o kanál, můžeme pro potvrzení rezervovat časový interval bezprostředně navazující na vyslání datového rámce a zajistit, že žádná ze stanic nesmí v tomto intervalu zahájit vysílání rámce nového. Taková modifikace bývá označována jako CSMA/CA (Collission Avoidance). Další úpravu CSMA/CA nalezneme u rádiových sítí podle IEEE 802.11. Zde je vyčleněna vedle potvrzování ještě prioritní komunikace s prodlevou kratší než pro běžný provoz. Protože se stanice nemusí navzájem slyšet, lze navíc pro vysílání delších rámců využívat mechanismus označovaný jako RTS/CTS. Stanice před startem vlastního vysílání požádá o přidělení kanálu krátkým rámcem RTS a dostane od základnové stanice souhlas CTS. Ten slyší všechny stanice. Podobný postup je používán u sběrnice AppleTalk. 5.5.2
Přístupová metoda Token Passing
Přístupová metoda Token Passing představuje bezkolizní metodu s odevzdáváním povolovacího vysílacího práva. Ve stavu klidu, tj. když žádná stanice nepožaduje právo na vysílání, mezi stanicemi cyklicky putuje rámec Token - vysílací právo. Libovolný počítač sítě může začít s vysíláním dat až tehdy, když získá vysílací právo. Tato metoda má podle použité topologie dvě varianty. Metoda se váže k fyzickému kruhu (Token Ring) nebo ke sběrnici (Token Bus). Varianta Token Ring Jak již bylo řečeno tato varianta přístupové metody Token Passing se váže k typickému kruhu. Jednotlivé stanice jsou uspořádány fyzicky, ale i logicky, do kruhu (Ring), tj. po poslední stanici, jež dostala povolení k vysílání, získává oprávnění opět první stanice. Token takto putuje vždy ve stále stejném pořadí v jednom směru od jedné k sousední stanici. Pokud stanice o vysílání nemá zájem, odevzdá Token další stanici, která následuje v pořadí. Jakmile ho získá, může začít vysílat datový rámec, což je část vysílané zprávy. Pokud je zpráva delší než je přípustná délka rámce vysílají se postupně rámce za sebou a to tak, že vysílající počítač uvolní Token pro vyslání rámce z jiné stanice. Po úplném cyklu v kruhu čeká stanice opět na povolení vyslat následující rámec zprávy. Rámce postupují přes jednotlivé počítače sítě, rekonstruují se, až se dostanou k adresátovi. Po přijetí zprávy odesílatelem dojde k přenosu zprávy. Rámec dokončí celý cyklus, vysílač vyhodnotí přenos rámce a odevzdá povolovací vysílací právo dalšímu počítači sítě. Výhodou této metody je, že každý počítač má zaručeno získání vysílacího práva určitého času. Poněvadž data jsou dopravovaná jen jedním směrem, nevznikají kolize dat tak, jak se vyskytují v síti s metodou CSMA/CD. Tyto sítě jsou proto vhodné i na řízení technologických procesů, kde se vyžaduje řízení v reálném čase. Metoda se osvědčila zejména v sítích s kruhovou topologií ale využívá se i ve smíšených sítích. 86
Varianta Token Bus Základem metody Token Bus - odevzdávání vysílacího práva po sběrnici je tzv. logický kruh, který je virtuálně vytvořen na fyzické sběrnici sítě. Logický kruh se skládá z posloupnosti uzlů uspořádaných vzestupně podle adres. Uzel sítě vždy odesílá vysílací právo tomu uzlu, který má nejbližší vyšší adresu. Každý uzel proto musí znát nejen adresu nejbližšího uzlu v logickém kruhu, ale i adresu předcházejícího uzlu, od kterého přijímá vysílací právo Token. Logický kruh je tak vlastně tvořen obousměrně. V případě zapojení další stanice do sítě, musí být kruh rekonfigurován, poněvadž se musí vzestupná posloupnost adres uzlů aktualizovat podle nové adresy: Začlenění stanice do kruhu - tento proces probíhá tak, že stanice, která disponuje vysílacím právem, před jeho odevzdáním vysílá na síť periodicky výzvu určenou stanicím, jejichž adresy leží mezi jeho adresou a adresou následujícího uzlu v logickém kruhu. Pokud na danou výzvu odpoví některá ze stanic, je automaticky začleněna do kruhu a je jí odesláno vysílací právo. V případě, že na výzvu odpoví několik stanic současně, hodnotí se tento stav jako kolize a nastartuje se algoritmus binárního vyhledání nejbližšího uzlu. Naopak, pokud na výzvu neodpoví žádná stanice, pokračuje se s odevzdáváním práva podle existujícího kruhu. Odebrání stanice z kruhu - v tomto případě informuje aktivní stanice, která ukončuje činnost v kruhu, předcházející uzel a odevzdá řízení následujícímu uzlu. Pro případy, že uzel následkem poruchy nebo z jiných příčin neodpovídá na vysílané pověření do stanoveného času, odevzdá pověření nejbližšímu vyššímu uzlu v kruhu. Neodpovídající uzel je přitom automaticky vyloučen z logického kruhu.
5.6 Ethernet Ethernet je v informatice souhrnný název pro nejrozšířenější technologie pro budování počítačových sítích typu LAN (tj. domácí nebo firemní sítě). Ethernet se stal standardem pro svoji jednoduchost a nízkou cenu a vytlačil z trhu ostatní alternativní technologie. Původně byl Ethernet použitelný jen na velmi krátkou vzdálenost - stovky metrů podle konkrétní verze z důvodu sdíleného média a nutnosti řešení vzniku kolizí. Novější verze Ethernetu (gigabitový a 10GE) však již fungují na dvoubodových spojích, které navíc mohou být plně duplexní (umožňující komunikaci v obou směrech současně). To znamená, že ke kolizím již nedochází. Není je nutné řešit a striktní omezení na dosah odpadají. Z technologie, která byla právě kvůli omezenému dosahu použitelná jen v lokálních sítích (LAN), se stala technologie použitelná i v mnohem větších sítích - metropolitních (MAN) a rozlehlých (WAN). V současné době se používá nejčastěji verze Ethernetu s přenosovým mediem kroucenou dvojlinkou (přenosová rychlost 100 nebo 1000 Mbps), dříve byla velmi rozšířená verze používající koaxiální kabel (10 Mbps). Pomocí kroucené dvojlinky jsou počítače propojeny do hvězdy s rozbočovacím prvkem switchem. Ethernet a jeho síťová rozhraní (resp. síťové karty) pracují pouze s tak zvanými „ethernetovými rámci“ (802.2, 802.3, Ethernet II, Ethernet SNAP). Běžné síťové protokoly (např. dnes nejrozšířenější rodina protokolů TCP/IP) jsou přenášeny v datové části ethernetových rámců a síťová karta jim sama o sobě nerozumí. Síťovou kartu ovládá v počítači ovladač, který je součástí jádra operačního systému. 87
Sběrnicová Kruhová Hvězdicová topologie
V současné době rozlišujeme tyto verze Ethernetu. Ethernet - původní varianta s přenosovou rychlostí 10 Mbit/s. Definována pro koaxiální kabel, kroucenou dvojlinku a optické vlákno. Fast Ethernet - rychlejší verze s přenosovou rychlostí 100 Mbit/s definovaná standardem IEEE 802.3u. Převzala maximum prvků z původního Ethernetu (formát rámce, algoritmus CSMA/CD apod.), aby se usnadnil, urychlil a zlevnil vývoj. V současnosti ji lze považovat za základní verzi Ethernetu. Je k dispozici pro kroucenou dvojlinku a optická vlákna. Gigabitový Ethernet - zvýšil přenosovou rychlost na 1 Gbit/s. Opět recykloval co nejvíce prvků z původního Ethernetu, teoreticky i algoritmus CSMA/CD. V praxi je ale gigabitový Ethernet provozován pouze přepínaně s plným duplexem. Důležité je především použití stejného formátu rámce. Původně byl definován pouze pro optická vlákna (IEEE 802.3z), později byla doplněna i varianta pro kroucenou dvojlinku (IEEE 802.3ab). Desetigigabitový Ethernet - představuje zatím poslední standardizovanou verzi. Jeho definice byla jako IEEE 802.3ae přijata v roce 2003. Přenosová rychlost činí 10 Gbit/s, jako médium zatím slouží hlavně optická vlákna a opět používá stejný formát rámce. Algoritmus CSMA/CD byl definitivně opuštěn, tato verze pracuje vždy plně duplexně. V současnosti (2008) byla vyvinuta jeho specifikace pro kroucenou dvojlinku s označení IEEE 802.3an. Začíná se zavádět. 5.6.1
Vývoj Ethernetu
Lokální počítačová síť Ethernet byla vytvořena pod vedením Dr. Roberta Metcalfeho z firmy Xerox koncem sedmdesátých let. Pod jeho vedením se řešila pilotní úloha vzájemně propojit 100 minipočítačů firmy na vzdálenost 1000 m. Propojení bylo realizováno prostřednictvím koaxiálního kabelu jako propojovací sběrnice o rychlosti 2,9 Mb/s, přičemž přístup ke sběrnici zabezpečovala přístupová metoda odvozená od rádiových sítí ALOHA s názvem CSMA. V roce 1982 bylo firmami Digital, Intel a Xerox navrženo řešení publikované jako mezifiremní standard označený DIX Ethernet. Následně v roce 1985, byla specifikace DIX převzata pracovní skupinou mezinárodní organizace IEEE 802, jako samostatná norma pro lokální sítě typu Ethernet IEEE 802.3. Specifikace fyzické vrstvy sítí Ethernet Norma IEEE 802.3 na rozdíl od původní specifikace DIX, dovoluje variantní výběr fyzické vrstvy pro síť Ethernet. Uživatelé mají potom pro sítě Ethernet možnost volit podle vlastních potřeb a možností přenosová média, jako je např. koaxiální kabel, kroucená dvoulinka, optické vlákno a topologie, jako je např. sběrnice, hvězda apod. Fyzické připojení koncového uzlu do sítě Ethernet je specifikováno v normě IEEE 802.3 prostřednictvím složek s vrstvovou strukturou. Jednotlivé složky a jejich návaznost je vyjádřena na obrázku 5.2. DTE (Data Terminal Equipment) je koncové datové zařízení sítě Ethernet. DTE zabezpečuje vlastní přístupovou metodu CSMA/CD, formátování dat do rámců a jejich přenos. AUI (Attachment Unit Interface) je rozhraní mezi síťovou kartou DTE a prvkem MAU. Jedná se o přesně definované rozhraní pro přenášení signály mezi DTE a MAU. pomocí rozhraní je zpravidla realizováno i napájení jednotky MAU, a to zejména u externích typů. Rozhraní je fyzicky 88
realizováno 15 kolíkovým konektorem Canon. MAU (Medium Attachment Unit) je jednotka připojení na přenosové médium. Jedná se o elektrické obvody vysílače a přijímače dat, které jsou závislé na typu použitého přenosového média a na tom samozřejmě závisí systém detekce kolize. V původních doporučení DIX se zařízení MAU označovalo jako Transceiver. Jednotka MAU je přímo součástí síťové karty, nebo je realizována jako samostatná externí jednotka. MDI (Medium Dependent Interface) je jednotka přímého připojení na médium. Jedná se o přesně definovaný konektor pro konkrétní médium sítě.
Popsaná struktura umožňuje použití libovolného typu přenosového média v síti Ethernet podle výběru a možností zákazníka. Vazbu na konkrétní médium zabezpečí příslušná jednotka MAU připojená interně na konektor Canon DTE s rozhraním AUI.
Ethernet MAC Interface (CSMA/CD)
DTE
PC DTE
koncový uzel (stanice)
AUI MAU
MAU
přenosové médium
Obr.5.2.. Blokové schéma připojení koncového uzlu do sítě Ethernet. Zdroj: [42]
Sběrnicové sítě Ethernet 10Base5, 10Base2 Síť 10Base5 představuje původní klasický Ethernet, tak jak byl specifikován. Základem sítě je sběrnice tvořená tzv. silným (žlutým) kabelem, na niž jsou paralelně připojeny prostřednictvím externích jednotek MAU samostatnými kabely AUI jednotlivé stanice sítě DTE. Síť můžeme charakterizovat následovně: Médium pro přenos je koaxiální kabel s průměrem 10mm a impedancí Z=50, tlumením 8.5 dB při 8.5 MHz a 4 násobným opletením. Maximální délka kabelového segmentu sběrnice je 500 m se zakončením terminátory s impedancí 50. MDI připojení na sběrnici je provedeno pomocí konektorů vampír, které umožňují připojení k médiu bez přerušení sběrnice. MAU využívá externí tranceiver pro tlustý kabel. Připojuje se přímo přes konektor vampír k médiu. Vzdálenost mezi sousedními jednotkami MAU nesmí být menší než 2.5 m. Připojení MAU k DTE je realizováno 8 žilovým externím kabelem AUI s maximální délkou 50m, zakončeným 15 kolíkovým konektorem Canon. Na jeden segment je možno připojit maximálně 100 zařízení MAU a tedy i DTE.
89
WWW
http://www.earchiv.c z/a97/a719k150.php 3
Max. 500 m MDI
2.5 m externí jednotky MAU
AUI, 50 m STANICE 1
2
DTE
. . . 100
Obr. 5.3. Struktura sítě 10 Base 5. Zdroj: [42]
Výhodou původního Ethernetu byla jeho robustnost, vysoká odolnost proti rušení, větší dosah sítě a počet přípojných bodů. Nevýhodou byla vyšší cena, složitější instalace a nutnost použít externí transceivery MAU. Sítě tohoto typu se uplatnily zejména v původních řešeních páteřních sítí tzv. BACKBONE. Topologie sítě 10Base5, dokumentuje obrázek 5.3. Síť 10Base2 (IEEE 802.3a) má nižší cenu a umožňuje jednodušší instalaci. Uživatelé požadovali využití lacinějších a už existujících koaxiálních rozvodů s tzv. TV kabelem. Původní koncepce sběrnicové topologie u této sítě zůstala nezměněna. Použil se levnější typ kabelu s menší tloušťkou opletení. Celkovou koncepci můžeme shrnout takto:
Médium pro přenos je tvořeno tenkým koaxiálním kabelem s impedancí Z=50, tlumením 8,5 dB při 8,5 MHz a s dvojnásobným opletením. Maximální délka segmentu se zakončením terminátory s impedancí 50 je 185 m. MDI představuje konektor BNC, připojený přes tzv. T-článek na koaxiální kabel (pasivní rozbočení). MAU je interní jednotkou zabudovanou přímo do sítové karty DTE. Minimální vzdálenost mezi jednotkami MAU je 0,5 m a maximální počet je 30 přípojných bodů (MAU-DTE uzlů) na sběrnici. Max. 185 m 0.5 m T-článek MAU STANICE
DTE
Obr. 5.4. Uspořádání sítě 10 Base 2. Zdroj: [42]
Sítě 10Base2 se výrazně prosadily zejména díky nízké ceně a nenáročné instalaci zejména v menších podnicích. Jejich nevýhodou je však menší dosah sítě, nižší odolnost proti rušení, nižší spolehlivost pro velký počet konektorů a kontaktní chyby při přímém připojení sběrnice k DTE. Topologii sítě, naznačuje obrázek 5.4. Sítě Ethernet 10BaseT Nedostatky sběrnicových sítí a to zejména jejich malá spolehlivost, nemožnost centrálního řízení sítě a nepružné rozšiřování sítě, podmínily další vývoj technologie 90
IEE 802.3, který vyústil do specifikace sítě 10BaseT IEEE 802.3i. Síť 10BaseT využívá kabeláž na bázi kroucených párů UTP a STP kategorie 3 až 5 (normované typy kabelů bez a se stíněním kroucených párů) a hvězdicovou topologii sítě s aktivními rozbočovači tzv. Ethernet hub. Uzly DTE jsou připojeny prostřednictvím vysílacího a přijímacího páru na Ethernet hub, který má funkci multiportového opakovače. Při vysílání dat stanicí hub automaticky vysílá na přijímací páry ostatních stanic stejný signál, čímž je zabezpečen režim broadcast média požadovaný Ethernetem. Kolize je v tomto případě detekována jako současné vysílání a příjem na obou párech. Koncepce sítě: Médium pro přenos využívá kroucenou dvoulinku odpovídající specifikaci EIA/TIA UTP kategorie 3 (25 MHz) a vyšší. Dosah UTP segmentu mezi DTE a rozbočovačem je 100 m, přičemž skutečná délka závisí na kvalitě kabelu. MDI konektorem je telefonní konektor. MAU využívá interní UTP transceiver, který zabezpečuje vysílání a příjem po samostatných párech. Propojení dvou MAU je definováno jen pro dvoubodový režim a pro systém přenosu s úplným duplexem Full-Duplex (zde se používají separátní přenosové cesty). Ethernet hub představuje mnohobodový opakovač (multiport), zabezpečující broadcast režim a vícebodovou komunikaci. Vždy se jedná o dvoubodová propojení mezi stanicí (DTE-MAU) a Ethernet hub (MAU-REPEATER) přes tzv. linkový segment UTP (STP). Signál z jednoho linkového segmentu je automaticky regenerován a přenášen do ostatních segmentů. Počet portů je volitelný (4,8,16,48), přičemž výrobci obyčejně podporují kromě UTP portů i volitelný AUI port pro připojení opakovače na jiný typ segmentu. Topologie sítě, blokové schéma Ethernet hub (EH) a možnosti vzájemného propojení jsou na obrázku 5.5. EH – Ethernet hub (Multiport)
10Base2 EH 1
EH 2
OPAKOVAČ
MDI
MAU
MAU
MAU
10BaseT
AUI
EH 3 stanice
UTP, 100m MAU DTE
MAU DTE
MAU DTE
stanice
stanice
stanice
Obr.5.5. Blokové schéma a příklad topologie sítě 10BaseT Zdroj: [42]
Sítě 10BaseT, patří v současnosti k nejpopulárnějším zejména cenovou výhodností, spolehlivostí, možností centrální správy, použitím levných UTP kabelů s přímou podporou pro strukturovanou kabeláž a s možností pružných dynamických změn přípojných bodů. Sítě Ethernet 10BaseFX Z hlediska vývoje jde o nejmladší sítě specifikované normalizační komisí IEEE 802.3. Jsou založeny na použití optických vláken. Optická vlákna se zpočátku využívala k překlenutí větších vzdáleností případně k propojení vzdálených budov 91
při jejich vzájemné elektrické izolaci. Používaná řešení, označovaná jako FOIRL (Fiber Optic Inter Repeater Link), sloužila jen na propojení opakovačů sítě a nebyla primárně určena k propojení jednotlivých koncových uzlů. Avšak nutnost propojení vzdálených úseků, resp. komunikace přes rušená prostředí, si rychle vyžádala specifikaci plnohodnotného Ethernetu na bázi optických vláken. V současnosti je pro optické sítě Ethernet k dispozici samostatná specifikace 10BaseFx IEEE 802.3j s variantami 10BaseFL, 10BaseFB, 10BaseFP. Síť 10BaseFL poskytuje zpětnou kompatibilitu s doposud používanými systémy FOIRL. Slouží na vytváření dvoubodových, resp. hvězdicových propojení prostřednictvím optického Ethernet hub. Médium pro přenos se zakládá na bázi mnohovidového optického vlákna se samostatným vysílacím a přijímacím vláknem, kterými se signál šíří prostřednictvím modulovaných světelných impulsů. Celkový dosah linkového segmentu je při propojení 10BaseFL-10BaseFL 2000 m a při 10BaseFLFOIRL 1000 m. MAU představují externí optické transceivery označované jako FORMAU (Fiber Optic MAU), které jsou připojeny prostřednictvím AUI kabelu na 15 kolíkový konektor Canon rozhraní AUI na DTE. Systém přenosu je fullduplex po samostatném vysílacím a přijímacím vlákně. FO EthernetHub jsou optické rozbočovače a zabezpečují obdobné funkce jako hub 10BaseT s tím rozdílem, že používají optické jednotky MAU (FOMAU). Síť 10BaseFB je specifikace optického Ethernetu pro vytváření páteřních (Backbone) propojení. Speciální synchronní režim přenosu dovoluje použít větší počet opakovačů a tvorbu páteřních sítí na bázi optiky. Linkový segment 10BaseFB může dosahovat až 2000 m, přičemž propojuje výhradně opakovače a optické rozbočovače. Síť 10BaseFP využívá pasivní optický systém bez opakovačů a rozbočovačů. Segment může překlenout vzdálenost maximálně 500 m a propojit až 30 DTE. Síť 100BaseT (Fast Ethernet) Požadavky na zvýšení propustnosti sítě ze strany nových aplikací (přenos velkých souborů, grafika, multimédia), u nichž již nepostačovala původní šířka pásma 10 Mb/s, vedly k vývoji vysokorychlostních technologií, navazujících na úspěšný Ethernet. V roce 1993 byly navrženy vysokorychlostní sítě 100BaseT a 1000VGAnyLAN označované souhrnně jako Fast Ethernet. Po podrobné analýze byl ze strany komisí IEEE 802.3 akceptován systém 100BaseT, který oproti 100VG.AnyLAN podporuje nejen typy rámců Ethernetu, ale i vlastní přístupovou metodu CSMA/CD. Technologie 100BaseT navazuje na vlastnosti a koncepci osvědčené sítě Ethernet 10BaseT. Podporovaná je podobná topologie sítě, typy kabeláže, použitá přístupová metoda a typy rámců MAC. Změny se promítly jen do implementace fyzické vrstvy, která musí zabezpečit desetinásobné zkrácení doby přenosu signálu, z čehož samozřejmě vyplývají odpovídající změny v signálním schématu a v celkovém dosahu sítě. Vlastnosti a koncepci sítě (viz obrázek 5.6.)
92
KONCOVÉ ZAŘÍZENÍ
DTE (100Mb/s MAC CSMA/CD)
MII Interface
PHY MULTIPORTOVÝ OPAKOVAČ
100BaseTx 100BaseT4 100BaseFx
100Mb/s OPAKOVAČ
Obr.5.6. Koncepce sítě 100 Base T. Zdroj: [42]
Můžeme shrnout do následujících bodů. Tato technologie podporuje: tandardní rámce sítě Ethernet (Ethernet II, 802.2, 802.3), přístupovou metodu CSMA/CD, výhradní použití hvězdicové topologie, založené na opakovačích, využití kabeláže UTP, STP kategorie 3, 5 a optických vláken, volbu duálních rychlostí 10/100Mb/s a systému Full Duplex.
DTE (Data Terminal Equipment) je koncové zařízení přenosu dat v síti Fast Ethernet realizující vysílání a příjem dat v podobné definovaných rámců s využitím kolizní přístupové metody CSMA/CD. Zařízení DTE vlastně představuje rozhraní pro síť Ethernet (Ethernet interface). MII (Medium Independent Interface) je nově koncipované volitelné rozhraní, které zabezpečuje nezávislost na použitém typu média a signálů. Jedná se o specifikaci elektrických obvodů rozhraní mezi DTE a PHY (MAU Transceiver). Rozhraní MII zabezpečuje konverzi signálů přijatých z různých typů linkových segmentů vrstvy PHY na digitální signál pro DTE. Rozhraní MII je implementováno interně v rámci DTE nebo externě 40-kolíkovým konektorem, umožňujícím připojit externí jednotky PHY (MAU) odpovídajícího typu segmentu přes 0,5 m MII kabel. Technologie podporuje obě rychlosti 10/100 Mb/s. PHY (Physical Layer Device) je entita závislá na použitém typu fyzického média a použitých signálů. Jedná se vlastně o obdobou jednotky MAU Transceiver společně s příslušným konektorem MDI, protože zabezpečuje vysílání, příjem a detekci kolize na příslušném linkovém segmentu specifikovaném 100BaseTx, T4, Fx. Repeater (Fast Ethernet Hub) je podobně jako v síti 10BaseT multiportový opakovač zajišťující funkčnost Broadcast média sítě Ethernet, protože automaticky zabezpečuje regeneraci přijímaného signálu z jednoho portu a jeho vysílání na ostatní porty.
Filosofie sítě 100BaseT umožňuje na straně entity PHY a opakovačů volbu rychlosti mezi režimem 10 Mb/s, 100 Mb/s a Full Duplex. Tato možnost ulehčuje zejména postupný přechod u zařízení ze sítě 10BaseT na 100BaseT. Celkový dosah sítě je omezen jednak přenosovou rychlostí, ale hlavně metodou CSMA/CD a zpožděním v opakovačích. Např. přepínaná varianta Fast Ethernetu 100BaseFX umožní propojit 93
dva přepínače na vzdálenost 412 m a při režimu fullduplex až na vzdálenost 2000 m. Propojení sítě 100BaseT s původními technologiemi 10BaseT,2,5 zabezpečí propojovací prvek – Bridge 10/100 Mb/s, který bývá některými výrobci implicitně podporován opakovači 100BaseT. Fast Ethernet a jiné standardy
Fast Ethernet - definován standardem IEEE 802.3u, vyznačuje se přenosovou rychlostí 100 Mbit/s. Má několik specifikací: IQOBase-TX Tato varianta má přenosovou rychlostí 100 Mbit/s. Používá též dva páry UTP, nebo STP kabelu kategorie 5. 100Base-T2 Tento typ je odlišný pouze v tom, že lze použít starší rozvody strukturované kabeláže s kategorií 3, 4 nebo 5. 00Base-T4 Tato specifikace může, stejně jako předchozí, využít starších rozvodů kabeláže, ale používá všechny čtyři páry kroucené dvojlinky. IQOBase-FX Jak již název napovídá, tato specifikace používá stejně jako v případě lOBase-FL jako přenosové medium optická vlákna. Technologie je prakticky stejná jako u výše jmenované. Přepínaný Ethernet Původní koncepce sítě Ethernet vychází z kolizní metody CSMA/CD a společného přenosového média o kapacitě 10 Mb/s. Při pracích na specifikaci 100BaseT a zrychlení přenosové rychlosti na 100 Mb/s byly testovány možnosti eliminace vlivu metody CSMA/CD, která způsobuje nejen kapacitní omezení vlivem kolizí, ale i celková omezení dosahu sítě. Jednou z metod je technologie přepínání rámců (Frame Switching). V tomto případě aktivní prvek sítě nepracuje v režimu multiportového opakovače, ale přenos rámců probíhá jen mezi příslušnými porty komunikujících stanic, čímž je celé přenosové pásmo Ethernetu 10 Mb/s, 100 Mb/s vyděleno pro komunikující stanice. Z tohoto principu je odvozeno i označení metody přepínaný Ethernet (Switched Ethernet). Aktivní prvky sítě, které zabezpečují vlastní přepínání, se potom nazývají přepínače (Switching Hubs). Výhodou této koncepce, je, že na straně komunikujících uzlů nejsou potřebné žádné změny. Metoda přepínání (Store-and-Forward) je metoda odvozená z propojovacích prvků-mostů (Bridge) a standardu IEEE 802.1. Každý rámec se načítá do vnitřní paměti (Buffer Port), zkontroluje se jeho bezchybnost podle CRC a podle cílové adresy se následně přesune na odpovídající výstupní port. Tato metoda umožňuje i přepínání mezi porty, které pracují s odlišnou rychlostí nebo strukturou rámců. Nevýhodou této metody je větší zpoždění. Metoda rychlého přepínání (Cut Through). Rychlejšího přepínání se dosahuje tím, že do paměti se načítá jen záhlaví rámce Ethernet a podle odpovídající adresy je rámec přímo přesouván (přepnout) na výstupní port. Nevýhodou je skutečnost, že metoda umožňuje přenášet i poškozené rámce. Úplné duplexní propojení. Vzhledem k tomu, že metody přepínání vytváří vydělená dvoubodová propojení s plnou rychlostí Ethernet sítě, není vlastně ani třeba využívat metodu CSMA/CD. Naopak je možné vytváření plně duplexních propojení typu Full Duplex, kdy obě stanice mohou současně vysílat a přijímat. Kromě využívání 94
komunikace typu Peer-to-peer je metoda vhodná i na vytváření páteřních sítí, protože nepřenáší kolize a kolizní oblasti (Collision Domain) dokonce odděluje. Páteř vytvořená na principu přepínaného Ethernetu (hvězdicová topologie) se označuje jako Collapsed Back bone, přičemž poskytuje, v porovnaní s klasickými řešeními páteře na bázi koaxiálního segmentu, větší propustnost a odolnost proti výpadku při vyšších nárocích na kabeláž. Gigabitový Ethernet V současnosti je nejaktuálnější specifikací sítě Ethernet IEEE 802.3z, označovaná pod názvem Gigabitový Ethernet (viz. obr. 5.7.). Byla ratifikována až na podzim roku 1998. Vlastní název sítě vychází z navrhované přenosové rychlosti 1 Gb/s. Síť je určena pro tvorbu páteřních sítí (Back bone) založených na technologii Ethernet, které by umožnili propojení přepínačů Ethernetu a Fast Ethernetu. Toto řešení nahrazuje vysokorychlostní propojení Ethernet přepínačů nákladnějšími síťovými technologiemi s náročnější správou infrastruktury, jako je např. ATM nebo FDDI. Gigabit Ethernet můžeme charakterizovat takto: struktura rámců je podle IEEE 802.3, přístupová metoda je CSMA/CD, vysokorychlostní rozhraní FCI (Fiber Channel Interface), 1,05 Gb/s. V souvislosti s Gigabitovým Ethernetem je k dispozici celá škála přepínačů umožňujících vytvářet rozsáhlé počítačové sítě. K nejzajímavějším patří přepínače společnosti 3 Com pokrývající celou škálu síťových aplikací. Nejvýkonnější je přepínač Super Stack 3 Switch 4900. Na bází až 28 portů gigabit Ethernetu s podporou optické kabeláže, metalické kabeláže, nebo jejich kombinace. Metalické porty disponují s automatickou detekcí přenosových rychlostí 10/100/1000. Díky kvalitní kabeláži (Cat. 5 a vyšší) umožňuje gigabitové přenosy až do vzdálenosti 100m. Disponuje také s optickými porty. U mnohovidového optického vlákna zaručuje přenos do stovek metrů. U portů s jednovidovými vlákny umožňuje přenos do desítek kilometrů. Přepínače se uplatňují hlavně při budování gigabitových páteřních sítí, jakož i pro připojování serverů. 1Gb/s
1Gb/s
Přepínače
1Gb/s Gigabitová páteř Fast Ethernet switch/hub 100Mb/s
Stanice
Stanice
Obr.5.7. Gigabit Ethernet Zdroj: [42]
95
Gigabitový Ethernet je standardizován pro optické spoje nebo pro kroucenou dvoulinku (4 páry) Gigabit Ethernet - stejné jako u předchozích specifikací, je i zde několik podskupin: IQOOBase-T Ethernet s rychlostí 1000 Mbit/s. Využívá 4 párů UTP kabeláže kategorie 5, maximální délka segmentuje 100 metrů. IQOOBase-CX Gigabitový Ethernet vedený pomocí měděného stíněného vodiče pro krátké vzdálenosti (25 m), určený především pro propojování skupin zařízení s menšími vzdálenostmi a vysokými nároky na přenos dat. IQOOBase-LX Specifikace používající jednovidové optické vlákno. Je určen pro vzdálenosti kolem cca 5 kilometrů. IQOOBase-SX Ethernet postavený na mnohavidovém optickém vlákně. Primárně je využíván pro páteřní sítě a rozvody do vzdáleností 275 - 550 metrů s velkou propustností dat. Desetigigabitový Ethernet Desetigigabitový Ethernet představuje zatím poslední standardizovanou verzi. Jeho definice byla jako IEEE 802.3ae přijata v roce 2003. Přenosová rychlost činí 10 Gbit/s, jako médium zatím slouží hlavně optická vlákna a opět používá stejný formát rámce. Algoritmus CSMA/CD byl definitivně opuštěn, tato verze pracuje vždy plně duplexně. V současnosti byla vyvinuta jeho specifikace pro kroucenou dvojlinku s označení IEEE 802.3an.
5.7 Další představitelé lokálních sítí 5.7.1
Počítačová síť 100 VG-AnyLAN
Síť 100 VG-AnyLAN byla vyvinuta firmou Hewlett Packard ve stejném období jako technologie 100BaseT. Síť 100 VG-AnyLAN je založena na přístupové metodě DPP (Demand Priority Protocol), s prioritním přístupem k médiu. Umožňuje přenosy rámců sítí Ethernet a Token Ring po klasické UTP a STP kabeláži. Využití kabeláže UTP kategorie 3 při přenosové rychlosti 100 Mb/s se odrazilo i v samotném názvu sítě 100 VG.AnyLAN, kde písmeno A (Any) naznačuje funkčnost sítě na libovolných hlasových linkách zkroucených párů VG (Voice Grade). Topologie sítě je hvězdicová a je založena na aktivních prvcích, opakovačích 100 VG-AnyLAN Hub, podle obrázku 5.8. OPAKOVAČ
100 VG-AnyLAN Hub
KABELÁŽ UTP k.3-5 (100m)
stanice
100 Mb/s
stanice
Obr. 5.8. Typické uspořádání sítě 100VG-AnyLAN Zdroj:[42; 76]
96
stanice
Na přenos dat se z důvodu kompatibility s nejrozšířenějšími sítěmi LAN používají osvědčené rámce sítí Ethernet a Token Ring. V jedné síti 100VG-AnyLAN však nelze současně použít oba typy rámců. Pro komunikaci se používá vždy jen jeden z nich. Zachován je nejen systém adresace koncových uzlů sítě, ale i typové označení a způsob kontroly přenosu rámců prostřednictvím cyklického kódu CRC. U datových rámců se u sítě 100VG-AnyLAN využívají i speciální rámce, které slouží na testování koncových zařízení sítě a identifikaci jejich funkcí v průběhu etapy sestavování spojení. Koncové zařízení vysílá testovací rámec vždy směrem k opakovači 100VG-AnyLAN Hub. Topologie sítě je výhradně hvězdicová. Opakovače 100 VG-AnyLAN HUB jsou vybaveny výstupními porty (Down-Link Port) pro připojení koncových zařízení a propojovacím portem (Up-Link Port), sloužícím na připojení k vyššímu 100 VGAnyLAN HUB v kaskádě. Porty mohou být konfigurovány jako privátní a neprivátní. Privátní porty přijímají jen rámce s odpovídající MAC adresou, zatímco neprivátní přijímají všechny vyslané rámce, což je nutné například u propojovacích prvků – mostů. Opakovače bývají volitelně doplňovány vnitřním propojovacím prvkem 10/100 Bridge, který umožňuje připojení na klasické sítě Ethernet. Maximální konfiguraci sítě uvádí obrázek 5.9., kde jsou zřetězeny až tři opakovače a s takto vytvořenou trojúrovňovou kaskádou je možné překlenout vzdálenost 600 m (UTP kat. 3), nebo 900 m (UTP kat. 5 na obrázku je údaj v závorce). Na obrázku je naznačen příklad instalace sítě 100 VG-AnyLAN, v němž je síť 100 VG-AnyLAN ve formě dvouúrovňové hvězdy. Vyšší 100 VG-AnyLAN HUB tvoří vlastně jakousi páteř, na niž jsou propojeny servery a 100 VG-AnyLAN HUB nižší úrovně, propojující jednotlivé uzly. Vysokorychlostní síť je přes modul Bridge 10/100 připojena na klasickou lokální síť Ethernet, z níž je možné propojení do WAN.
OPAKOVAČ 100 m (150 m) 100 m (150 m)
100VG-AnyLAN
100VG-AnyLAN 100 m (150 m)
W
100VG-AnyLAN DTE
100 m (150 m) 100VG-AnyLAN DTE
OPAKOVAČ 600 m (900 m)
DTE
100 m (150 m)
100VG-AnyLAN DTE
OPAKOVAČ
100 m (150 m)
100VG-AnyLAN HUB 100 Mb/s 100VG-AnyLAN HUB
BridgeModul 100/10 Mb/s
UTP, 100m
10 Mb/s
Server
Stanice
Obr. 5.9. Příklad uspořádání sítě 100VG-AnyLAN. Zdroj:[42]
Síť 100 VG-AnyLAN, na rozdíl od přepínané verze 100BaseT, není vhodná pro tvorbu vysokorychlostních páteřních sítí. Tvůrci předpokládali její použití v menších pracovních skupinách s aplikačními požadavky na velkou šířku pásma a citlivost na zpoždění (grafika, multimédia, interaktivní video.) Propojení vysokorychlostních pracovních skupin bylo ponecháno na osvědčené sítě FDDI, nebo páteřová řešení na bázi přepínačů ATM. 97
5.7.2 WWW
http://www.earc hiv.cz/a97/a750 k150.php3
Síť FDDI
Kruhová síť FDDI (Fiber Distributed Data Interface) byla navržena pro přenos dat vysokou rychlostí (přenosová rychlost 100 Mb/s) s možností pokrýt i rozsáhlejší území. Může propojit až tisíc stanic, limit délky spojů v kruhu je 200 km. Je definována standardem ANSI X3T9.5 a pozdějším ISO 9314 a určena pro propojení vysoce výkonných stanic a pro vytváření páteřních sítí propojujících pomalejší, ale levnější sítě Ethernet nebo Token Ring. V názvu sítě se odráží fakt, že primárním přenosovým médiem jsou optická vlákna provozovaná na vlnové délce 1350 nm. Běžné používaná mnohavidová optická vlákna 62.5/125m dovolují dosáhnout vzdálenosti mezi stanicemi až 2 km (limit útlumu mezi stanicemi je 11 dB). Standard FDDI však předpokládá i použití alternativních médií. Jako alternativní média lze použít levný kabel UTP Cat.5 (na vzdálenost do 100 m), jednovidová vlákna 8/125m (až do 60 km), nebo synchronní telekomunikační kanály (STM-1/OC-3 s přenosovou rychlostí 155.52 Mb/s). Síť FDDI využívá deterministickou přístupovou metodu s odevzdáváním přístupového práva po kruhu tzv. Token Passing, která je obdobou specifikace Token Ring IEEE 802.5. Na rozdíl od Token Ring však síť FDDI dokáže přenášet rámce od několika stanic současně. Pokud pro metodu Token ring mohl uzel po přijetí Tokenu vyslat jen jeden rámec a odeslat právo Token k vysílání až po oběhu rámce celým kruhem, v případě FDDI uzel vysílá Token hned po odvysílání posledního rámce z dávky rámců uvolněných přijetím předešlého Tokenu. Síť FDDI využívá výhradně kruhovou topologii, v níž jsou jednotlivé uzly propojeny prostřednictvím protisměrných kruhů. Oba kruhy pracují s přenosovou rychlostí 100 Mb/s, přičemž je obvykle jeden kruh aktivní (Active Ring), přenášejí se po něm rámce komunikujících uzlů, zatímco druhý slouží jako záložní (Standby Ring). Při poruše, například při přerušení optického vlákna nebo při poškození uzlu, může být v součinnosti se sekundárním kruhem vytvořen rekonfigurovaný kruh a funkčnost sítě tak zůstane zachována. Rekonfigurovaný kruh je vytvořen propojením primárního a sekundárního kruhu. V síti FDDI se používají tyto typy uzlů (viz. obr.5.10.): mosty (Bridge), koncové stanice DAS, SAS (Dual/Single Attachement Station), koncentrátory DAC, SAC (Dual/Single Attachement Concentrator).
98
Obr.5.10. Typická konfigurace a prvky sítě FDDI. Zdroj: [42]
Mosty – se využívají na připojení jiných typů sítí LAN na síť FDDI a jejich vzájemnou komunikaci. Pracují na úrovni LLC jako heterogenní mosty, poněvadž umožňují nejen přizpůsobení rychlostí (Token Ring/FDDI 4,16/100 Mb/s, Ethernet/FDDI 10/100 Mb/s), ale i konverzi jednotlivých typů rámců a přístupových metod. Obvykle jsou dodávány jako zařízení DAS se dvěma LAN porty (Ethernet). Dnes už se dodávají i víceportové mosty označované jako FDDI přepínače. Koncové stanice – jsou určeny pro přímé připojení uzlů k síti FDDI. Obvykle jsou to uzly, které požadují vysokou propustnost a šířku pásma jako například různé servery, výkonné pracovní stanice atd. Koncové stanice se mohou použít ve formě DAS, jako uzel se dvěma vstupními a vstupními porty pro oba kruhy, nebo SAS, jen s jedním portem pro jednodušší topologii a bez možnosti rekonfigurace. V úloze koncových stanic SAS, DAS mohou vystupovat nejen servery a výkonné pracovní stanice, ale rovněž i samotné směrovače a mosty s připojením na jiné typy sítí. Koncentrátory – mají na rozdíl od koncových stanic několik portů, takže umožňují připojení několika stanic DAS, SAS v místě jednoho přímo připojeného aktivního prvku sítě FDDI. Používají se na připojení koncových uzlů /PC, serverů, stanic osazených rozhraním FDDI obvykle ve formě SAS.
Použití různorodých přenosových médií na úrovni fyzické sítě zabezpečuje podvrstva PMD (Physical Medium Dependent). Předepisuje způsob kódování a signály přenášené po médiu.
5.8 Virtuální počítačové sítě VLAN U lokálních počítačových sítí LAN dochází výraznému přesunu od klasických sdílených technologií LAN k přepínaným řešením na bázi přepínačů, pracujících na linkové vrstvě RM-OSI. Použití přepínačů umožnilo dělit sítě LAN do 99
Virtuální síť
samostatných segmentů. Komunikace mezi segmenty je pak založena na přepínání prostřednictvím technologie transparentního bridgingu, podle normy IEEE 802.1d. Takto koncipované sítě podávají podstatně vyšší výkon, eliminují vliv kolizní metody CSMA/CD. Přepínaná síť však představuje jedinou logickou síť (broadcast doménu), v které se šíří veřejné rámce do všech segmentů. Při rozsáhlejších sítích (nad 200 počítačů) dochází při intenzívnějším vysílání k zahlcování sítě. K eliminaci uvedených nedostatků přepínaných sítí se používá technologie virtuálních počítačových sítí VLAN (Virtual Local Area Network). Virtuální počítačová síť je chápaná jako samostatná skupina počítačů logicky definovaná v rámci přepínané sítě nezávisle na jejich fyzickém umístnění. Dominantní vlastností virtuálních počítačových sítí je zejména skutečnost, že každá síť představuje samostatnou logickou broadcast doménu. V přepínané síti s režimem VLAN, potom mohou přímo komunikovat jen počítače té samé virtuální sítě. Při filtraci broadcast provozu jsou virtuální sítě navrhované též za účelem: zvýšení bezpečnosti komunikace (přímá komunikace jen v rámci VLAN), vyšší výkonnosti (je filtrován nežádoucí broadcast provoz sítí ), nezávislostí počítačů uživatelů na jejich fyzickém umístnění v síti, jednodušších změn v rámci infrastruktury sítě při migraci uživatelů. 5.8.1
Způsoby tvorby virtuálních LAN
Jak již bylo řečeno virtuální počítačovou síť můžeme definovat jako samostatnou logickou skupinu počítačů, které tvoří broadcast doménu. Podle způsobů definice příslušnosti počítačů k síti VLAN rozlišujme přiřazení prostřednictvím: portů přepínačů – kdy na každém z portů přepínačů sítě definujeme jeho příslušnost k určité virtuální síti. Nevýhodou je, že daný port může patřit jen do jedné virtuální sítě a je-li na daný port připojen opakovač/hub, jsou všechny jeho počítače automaticky členy té samé VLAN. MAC adres – definováním virtuální sítě jako logické skupiny zvolených MAC adres. Nevýhodou při aplikaci takovýchto sítí je zejména degradace výkonu na portech s opakovači, jejichž počítače přísluší do různých VLAN. Síťové vrstvy – definováním virtuální sítě prostřednictvím identifikátoru protokolu vyšší vrstvy, respektive přímo síťové adresy vybraného síťového protokolu. Přepínače musí identifikovat příslušné informace již na úrovní síťové vrstvy, přičemž však nezabezpečují plnohodnotné směrování jako směrovače skupinových (multicast) adres – přiřazením skupinových adres definovaným virtuálním sítím. I v tomto případě se jedná o použití informací z vyšší síťové vrstvy, proto takto definované sítě VLAN jsou protokolově závislé. Virtuální počítačové sítě byly původně vytvářeny firemním způsobem, který byl implementován jen na přepínačích daného výrobce. Snaha o vytváření otevření komplexních řešení si později vyžádala standardizace virtuálních sítí. Standard, který řeší problematiku bezpečnosti komunikace ve sdílených LAN/MAN je označen IEEE 802.10. Zabezpečuje vkládání dodatečných identifikačních záhlaví VLAN do rámců přenášených na linkách mezi přepínači. Z identifikačních záhlaví přepínač určí příslušnost rámce k definované virtuální síti. Po identifikaci virtuální sítě přepínač záhlaví odstraní a odešle původní rámec na porty příslušející 100
k identifikované virtuální síti. Nemá-li přepínač k dané virtuální síti přiřazen žádný port, je tento rámec jednoduše odstraněn. Plnohodnotný standard pro vytváření sítí VLAN, byl vypracován komisí IEEE 802.1 (Internetworking Subcommittee), podobně jako standard pro transparentní bridging (přepínané sítě) IEEE 802.1d. Na rozdíl od standardu IEEE 802.10, pokrývá nejen samotnou identifikaci sítí VLAN přenášených rámcích mezi přepínači, ale definuje též celkovou architekturu virtuálních sítí. 5.8.2
Některé praktické výhody VLAN snížení broadcastů - hlavní vyhodou VLAN je vytvoření více, ale menších, broadcastovych domén. Tedy zlepšení vykonu sítě snížením provozu (traffic). zjednodušená správa - k přesunu zařízení do jiné sítě stačí překonfigurovat zařazení do VLANy, tedy správce konfiguruje SW (zařazení do VLAN) a ne HW (fyzické přepojení), zvyšení zabezpečení - oddělení komunikace do speciální VLANy, kam není jiny přístup. Toho se dá samozřejmě dosáhnout použitím samostatných switchů, ale často se toto uvádí jako bonus VLAN, oddělení speciálního provozu - dnes se používá řada provozů, které nemusí byt propojeny do celé sítě, ale přesto jej potřebujeme dostat na různá místa, navíc nechceme, aby nám ovlivňoval běžny provoz. Příkladem je například IP telefonie, komunikace mezi AP v centrálně řízeném prostředí, management (zabezpečení správcovského přístupu k zařízením). Například pro IP telefonii, kde je použití VLAN naprosto běžné, nám stačí jediná zásuvka, kam přivedeme VLAN pro telefonii i VLAN s přístupem do sítě a v telefonu se komunikace rozdělí. Navíc VLANy můžeme použít spolu s QoSem pro zaručení kvality komunikace (obsazení pásma), snížení HW - samozřejmě se nám nesnižuje potřebný počet portů (až na speciální případy jako IP telefonie), ale tím, že mohou být různé podsítě na stejném switchi, jej můžeme lépe využít (například pro propojení tří zařízení nepotřebujeme speciální switch, který má minimálně 8 portů).
101
WWW
http://www.earchiv.c z/b06/b1100001.php 3
Obr. 5.11. Příklad uspořádání VLAN Zdroj: Vlastní
5.9 Otázky a úkoly 1. 2. 3. 4. 5. 6. 7. 8. 9.
Uveďte rozdíl mezi deterministickými a stochastickými přístupovými metodami. Popište princip přístupové metody CSMA/CD. Řešení kolize. Co rozumíte pod pojmem deterministické řešení kolize? Uveďte princip bezkolizní metody Token Passing. Vysvětlete variantu Token Passing u kruhové topologie sítě (Token Ring). Jak se uplatňuje varianta Token Passing u sběrnicového uspořádání (Token Bus)? Jaké jsou charakteristické rysy sítě Ethernet dle normy IEEE 802.3? V čem spočívá rozdíl mezi sítí Ethernet 10 Base 5 a variantou 10 Base 2? Které nedostatky předchozích variant sítě Ethernet řeší koncepce sítě Ethernet 10 Base T. 10. Co převratného přináší koncepce sítě Ethernet 10 Base FX vůči předchozím variantám sítě Ethernet? 11. Uveďte různé modifikace sítě Ethernet 10 Base FX. Čím jsou jednotlivé alternativy specifické? 12. Převážně jaká aplikace si vynutila vytvoření sítě 100 Base T (Fast Ethernet)? Popište koncepci uspořádání sítě. 13. Popište princip činnosti přepínaného Ethernetu. Jaká nová koncepce se zde uplatňuje ve srovnání s dřívějšími variantami sítě? 14. K čemu je předurčena filosofie Gigabitového Ethernetu? Podrobněji rozveďte vlastnosti přenosového média, topologie, jakož i použité přístupové metody.
102
5.10 Samostatní práce studenta
Vytvořte síť hvězdicové topologie. Využijte pasivní síťový prvek HUB a pak SWITCH. Udělejte zátěžový test a jednotlivé prvky porovnejte. Navrhněte datový spoj řešený optickým datovým médiem. Navrhněte zapojení aktivních i pasivních prvků sítě. Určete propustnost celé sítě.
103
104
6 Bezdrátové a mobilní počítačové sítě Obsah kapitoly: 6.1 Cíle kapitoly 6.2 Získané dovednosti 6.3 Klíčová slova 6.4 Obecně o bezdrátových sítích 6.4.1 Klasifikace bezdrátových počítačových sítí 6.4.2 Kategorie bezdrátových sítí podle normy IEEE 6.5 Bezdrátové lokální sítě 6.5.1 Přechod od Ethernetu 6.5.2 Architektura bezdrátových lokálních sítí 6.6 Standard IEEE 802.11 WLAN 6.6.1 IEEE 802.11b 6.6.2 IEEE 802.11a 6.6.3 IEEE 802.11g 6.6.4 DSSS versus OFDM 6.6.5 Další rozšíření a některé nové normy: Standardy 802.11. 6.7 Bezdrátové osobní sítě 6.7.1 Bluetooth 6.7.2 WiMedia 6.7.3 UltraWideBand 6.7.4 MBOA 6.7.5 DS-UWB 6.7.6 ZigBee 6.7.7 WirelessUSB 6.8 Bezdrátové metropolitní sítě 6.8.1 WiMAX versus ADSL 6.8.2 Mobilita 6.8.3 Potenciál WiMAX 6.9 Další normy IEEE 802 k bezdrátovým sítím 6.9.1 Bezdrátový přístup v pohybu 6.9.2 Bezdrátové regionální sítě 6.9.3 Koexistence různých bezdrátových sítí 6.10 Sítě mobilních operátorů 6.10.1 Technologie GSM 6.10.2 Technologie GPRS 6.10.3 Technologie EDGE 6.10.4 Technologie HSCSD 6.10.5 Technologie CDMA 6.10.6 Standard UMTS 6.11 Otázky a úkoly 6.12 Samostatní práce studenta
6.1 Cíle kapitoly Vysvětlit důvody vedoucí k bezdrátovým a mobilním sítím. Rozvoj komunikačních technologií dává prostor reagovat na rostoucí nároky kladené na sítě. Jde především o zajištění mobilního přístupu k počítačovým sítím, zejména internetu. Vedle nesporných výhod jsou v kapitole uvedena různá úskalí, která spolu se zaváděním 105
bezdrátových sítí souvisí (kvalita přenosu v bezlicenčních pásmech, někdy přímá viditelnost, a další). Je provedena klasifikace bezdrátových sítí podle různých hledisek: podle způsobu použití (bezdrátové osobní, lokální, metropolitní, sítě mobilních operátorů), podle typu signálu (radiové, optické bezdrátové, infračervené), podle typu spojování (komutované, paketové spojování). Kategorie bezdrátových sítí podle normy IEEE, bezdrátové lokální počítačové sítě. Normy a standardy IEEE 802.11. Bezdrátové osobní sítě, sítě mobilních operátorů (technologiemi: GSM, GPRS, EDGE, a UMTS).
6.2 Získané dovednosti Získané dovednosti poskytují dostatečný prostor k tomu, aby bylo možno pro dané aplikační podmínky vybrat nejvhodnější technologie. Vedle klasických bezdrátových a mobilních sítí, bezdrátových osobních počítačových sítí se dají vědomosti uplatnit při výběru „chytrých“ mobilních telefonů za účelem komunikace se sítí.
6.3 Klíčová slova Bezdrátová síť, mobilní síť, bezdrátové lokální sítě, bezdrátové metropolitní sítě, osobní sítě, normy IEEE (IEEE 802.11a, IEEE 802.11.b, g), licenční pásmo, bezlicenční pásmo, bezdrátové regionální sítě, sítě mobilních operátorů. [3; 10; 29; 62; 77]
6.4 Obecně o bezdrátových sítích Klasifikace bezdrátových sítí
V poslední době došlo k prudkému rozvoji telekomunikační techniky. Vyvíjejí se stále nové technologie, které dovolují nejen přenos dat, ale i video, hlas, a další, což poskytuje fundamentální podmínky pro vznik a využívání rozsáhlých počítačových sítí a informačních systémů. Nejnovějším požadavkem, kladeným na telekomunikační sítě je, aby uživatel nebyl odkázán na fixní připojení k síti a navíc, pokud možno, aby se svým koncovým zařízením měl možnost mobilního přístupu ke všem službám sítě z libovolného místa. Vznikají bezdrátové počítačové sítě. Ve firmách se běžně zavádějí vedle kabelových LAN bezdrátové lokální sítě WLAN – Wireless LAN. Procházejí bouřlivým vývojem, dochází k jejich standardizaci, klesají jejich pořizovací náklady, zvyšují se přenosové rychlosti mezi uzly sítě. Možnost rychlého a jednoduchého bezdrátového připojení koncových uživatelů k síti způsobuje jejich nasazení všude tam, kde instalace pevných spojů je buďto nemožná, nebo alespoň komplikovaná (stavebně komplikované oblasti, terén, konferenční místnosti, městská zástavba, a pod). Bezdrátovou počítačovou sítí můžeme tedy definovat jako síť propojených počítačů, které ke vzájmenému propojení uzlů místo pevných spojů využívají k přenosu informací rádiových nebo optických spojů.
106
K nejvýznamnějším výhodám bezdrátových sítí bezesporu patří mobilita. Poskytují nám svobodu pohybu. S notebookem nebo PDA můžeme surfovat na internetu třeba z náměstí našeho města. Uživatelé, kteří jsou v neustálém pohybu, mohou mít neustále přístup ke svým souborům nebo elektronické poště, mohou si vytisknou svou prezentaci na tiskárně, aniž by byli připojeni jediným kabelem. Vyznačují se rovněž vysokou flexibilitou. Bezdrátové počítače, PDA, nebo mobilní telefony se mohou dostat na místa, kde s kabelem není možno se dostat. Staré domy nebo kanceláře nemají k dispozici jednoduše přístupné prostory ve stěnách či stropech. Podniky, které jsou umístěny ve více budovách mohou být propojeny nejsnadněji pomocí bezdrátových spojů, bez nutnosti instalace kabelových vedení. Umožňují nám prakticky nonstop mobilní přístup k internetu díky stále hustějším bezdrátovým přístupovým bodům u benzinových pump, na letištích, nádražích, v metru, veřejných budovách, obchodních domech, restauracích a kavárnách. Stejné výhody podskytuje možnost přístupu do podnikových sítí hostům nebo zákazníkům různých firem využitím svých PDA nebo notebooků. Nezanedbatelná je také úspora nákladů vyloučením instalace kabelových rozvodů. Vedle prokazatelných výhod je třeba také uvést některé nevýhody bezdrátových sítí. K nejzávažnějším patří problémy související s kvalitou přenosu v bezlicenčním pásmu, kde může docházet ke vzájemnému rušení jednotlivých sítí. Další nevýhodou je možnost odposlechu přenášených dat, pokud není síť zabezpečena. Využívání licenčních pásem zase znamená prodražení komunikace v síti. U některých forem bezdrátové komunikace se vyžaduje přímá viditelnost mezi spoji. 6.4.1
Klasifikace bezdrátových počítačových sítí
V bezdrátových počítačových sítích se aplikuje několik typů bezdrátových technologií. Můžeme je dělit podle několika kritérií: Podle způsobu použití: bezdrátové osobní sítě (např. Bluetooth, ZigBee, UWB WiMedia, Wireless USB) bezdrátové lokální sítě (např. WIFI) bezdrátové metropolitní sítě (např. Hiperman, WiMAX) sítě mobilních operátorů (GSM, GPRS, EDGE, UMTS, CDMA, HSDPA) a další Podle podpory mobility uživatelů: Mobilní – mobilní bezdrátové sítě umožňují transparentní pohyb uživatele a jeho zařízení v rámci jedné bezdrátové sítě i mezi více sítěmi. Fixní – umožňují pouze pevné připojení k bezdrátové síti. Podle typu signálu: Rádiové sítě – jsou to nejčastější bezdrátové sítě a mají různý dosah. Jsou vhodná pro domácí uživatele i širokopásmový přístup. Rádiový signál proniká zdmi i stropy, ovšem některé tyto sítě potřebují přímou viditelnost bez překážek. Rádiová síť pracuje v rámci rádiových buněk, tj. prostorových 107
oblastí, v nichž mohou stanice komunikovat prostřednictvím základové stanice nebo přístupového bodu. Optické bezdrátové sítě – tyto sítě mají dosah řádově stovky metrů v přímé viditelnosti. Jsou vhodné pro podnikové sítě, pro komunikaci mezi budovami nebo pro domácí sítě pro přístup k Internetu. Infračervené sítě – přenos vyžaduje přímou viditelnost, tzn. vysílač a přijímač musí na sebe vidět a nesmějí mezi sebou mít žádnou překážku, která je pro infračervený paprsek nepropustná. Infračervená komunikace se hodí na vnitřní použití, protože propojuje zařízení na velmi krátké vzdálenosti a signál neproniká zdmi, takže poskytuje i vysokou bezpečnost, nicméně infračervený signál negativně ovlivňují překážky i v podobě pohybujících se lidí nebo vlhkosti. Patří sem například Bluetooth, IRDA. Satelitní sítě – nabízejí velkou kapacitu a celosvětové pokrytí. Družicová komunikace se uplatnila nejdříve v mezikontinentálním měřítku, ale ovládnutím kmitočtových pásem nad 10 GHz začala postupně pronikat i do regionálních, národních a soukromých sítí, a to jak v rámci monopolních provozovatelů, tak i soukromých provozovatelů nebo jednotlivců. Podle způsobu přenosu: Simplex (simplexní přenos) – Komunikace mezi uživateli probíhá vždy jen jedním směrem a využívá se pro ni jen jeden kanál. Tohoto se využívá pro distribuci informací jako např. jednosměrný paging. Poloduplex (poloduplexní přenos) – v tomto případě může komunikace probíhat dvěma směry, ovšem ne současně. I zde postačí jeden kanál. Jedním z nejčastějších je využití v rádiovém spojení služeb (policie, apod.) Duplex (plněduplexní přenos) - komunikace probíhá současně oběma směry a z tohoto důvodu je zapotřebí vymezit dva kanály. Aby bylo možno zabezpečit obousměrný provoz, je nezbytné oddělení kanálů. Toto oddělení lze provést, podobně jako v případě výše zmiňovaných přístupových technik, v oblasti kmitočtové a časové. Podle typu spojování dat: Komutované spojování (s přepínáním okruhů) - při komutovaném spojování se vytváří datový okruh, který je k dispozici po celou dobu komunikace a po skončení přenosu se rozpadá. Pro komunikaci s jiným zařízením se vytváří nový okruh. K sestavení spojení je potřebná jistá doba (set-up). Takovýto druh spojování je vhodný zejména pro přenos hlasu a velkých objemů dat. Používá se například v sítích GSM. Paketové spojování - v tomto případě je přenášená zpráva rozdělena na menší části, které se opatřují záhlavím. Takto vznikají pakety, jež se vysílají do sítě. V přepojovacím uzlu se pakety uloží, podle záhlaví identifikují a zařadí do čekací fronty pro odeslání. Výhodou paketové sítě je, že zde neexistuje doba vytváření spojení a síť je prakticky neustále připravená přijímat data. Mezi nevýhody patří problematické využití při komunikaci v reálném čase, např. při přenosu hlasu. Paketový přenos můžeme rozdělit na tzv. službu bez spojení a službu se spojením. V prvním případě obsahuje záhlaví s adresami každý paket a v síti se mohou pakety pohybovat po různých fyzických kanálech. U služby se spojením obsahuje adresu první neboli vyhledávací paket. Mez oběma zařízeními vyznačí trasu, tzv. virtuální okruh, po které se zbývající pakety přenášejí. Tato varianta je vhodnější pro přenos velkých objemů dat. 108
6.4.2
Kategorie bezdrátových sítí podle normy IEEE
Bezdrátové počítačové sítě, jak již bylo řečeno jsou hitem v mobilní komunikaci hlasové i datové. Provedením mohou být nejen rádiové, ale také optické či infračervené. Nyní se podíváme na standardy IEEE, organizaci, která se v rámci svého výboru 802 zabývá specifikací počítačových sítí a pracuje na řadě zajímavých norem. IEEE (Institute of Electrical and Electronics Engineers) je mezinárodně uznávaná organizace sdružující elektro-inženýry (v současnosti je jich kolem čtvrt milionu ze 150 zemí světa). Členství v IEEE je individuální, otevřené všem dobrovolníkům. Kromě vzdělávací a publikační činnosti vytváří IEEE důležité technické normy (IEEE Standards Association, IEEE-SA). Ve svém portfoliu má přes 870 schválených norem a přes 400 ve vývoji. Asi nejznámější normy IEEE se týkají oblasti komunikačních sítí: výbor IEEE 802 normalizoval prakticky všechny lokální a metropolitní sítě (LAN a MAN), jako 802.3 (normalizovaný Ethernet), 802.5 (normalizovaný Token Ring). Výjimkou je pouze FDDI (Fiber Distributed Data Interface) a Fibre Channel, které spadají do působnosti ANSI (American National Standards Institute). [25] IEEE se specifikací bezdrátových počítačových sítí zabývá teprve od roku 1990. V současnosti pracují tyto podvýbory: IEEE 802.11 - Bezdrátové lokální sítě (Wireless Local Area Network, WLAN) IEEE 802.15 - Bezdrátové osobní sítě (Wireless Personal Area Network, WPAN) IEEE 802.16 - Širokopásmový bezdrátový přístup (bezdrátové metropolitní sítě) IEEE 802.19 - Koexistence různorodých sítí (Koexistence různých bezdrátových sítí) IEEE 802.20 - Bezdrátový přístup v pohybu (Mobile Broadband Wireless Access) IEEE 802.22 - Bezdrátové regionální sítě (Wireless Regional Area Networks WRAN) Poznámka: Normy IEEE 802 jsou v současnosti volně k dispozici ke stažení (zpřístupněny po šesti měsících od schválení, dříve je možné je zakoupit v elektronické nebo tištěné podobě). Stav přípravy a publikování norem lze zjistit v celkové zprávě IEEE Standards Status Report nebo konkrétně vyhledat.
6.5 Bezdrátové lokální sítě 6.5.1
Přechod od Ethernetu
Proč vlastně pro bezdrátovou variantu LAN nepoužít zase Ethernet, který je odzkoušený a levný? Důvodů je několik - jsou totiž vlastnosti, které Ethernet nemá nebo neumí, ale které jsou pro vlastní fungování lokální bezdrátové sítě se sdíleným médiem naprosto podstatné. [36]
109
Tyto důvody jsou zejména následující: Detekce kolize (Collision Detection). Detekce kolize by vyžadovala plně duplexní radiový kanál, což by stejně nepomohlo při detekci kolize na straně přijímače. Detekce nosné (Carrier Sense). To, že stanice neslyší žádný provoz neznamená, že žádný provoz není (stanice se nemusí vzájemně slyšet). Problém rozdělení. Jak rozdělit dvě lokální sítě v jedné lokalitě (překrývající se)? Mobilita. Jak řešit přecházení v rámci sítě i mezi sítěmi? Bezpečnost. Kabel může připojit jen povolaná osoba, ale do dosahu rádiového signálu se může mnohdy dostat kdokoliv. Požadavky na šetření energií. Valná většina využití se předpokládá z mobilních zařízení (notebooky, PDA) která musí šetřit energií baterie. [77; 104] 6.5.2 WWW
http://www.earchiv.c z/b07/b0300001.php 3
Architektura bezdrátových lokálních sítí
U bezdrátové lokální sítě rozlišujeme dvě základní topologie. První z nich je tzv. ad-hoc bezdrátová síť, která je svým způsobem specifická. Využívá se v ní totiž přímého propojení mezi několika koncovými zařízeními (počítači) bez jakéhokoliv dalšího centrálního prvku. Částečně jako při „kabelové“ síti byla možnost provozu peer-to-peer, zde však může být zařízení vyšší počet, než jen dvě. Ale i tak je tento režim práce určený spíše pro sítě v rozsahu do tří počítačů, např. v obýváku a dětském pokoji, které navíc nemají připojení do internetu, případně pro takové sítě, které vznikají na přechodnou dobu kvůli určité potřebě. Druhá - bezdrátová síť u níž počítače komunikují prostřednictvím přístupového bodu (AP, Access Point) lze přirovnat k bezdrátovému hubu. Jinými slovy bezdrátové stanice (station, STA) spolu nikdy nekomunikují přímo (jako u ad-hoc sítí), ale vždy prostřednictvím přístupového bodu. Přístupový bod AP pokrývá signálem základní oblast služeb (BSA, Basic Service Area), stručně řečeno vytváří buňku. Skupina stanic v jedné buňce, připojených k jednomu AP, vytváří základní soubor služeb (BSS, Basic Service Set). Oblast pokrytí jednoho AP (access pointu) je samozřejmě geograficky limitována a pro pokrytí větší oblasti je potřeba více AP. Tyto AP jsou propojeny prostřednictvím distribučního systému (DS, Distribution Systém) a dohromady vytvářejí rozšířenou oblast služeb (ESA, Extended Service Area). Stanice v této oblasti pak tvoří rozšířený soubor služeb (ESS, Extended Service Set). Buňky se mohou překrývat částečně (např. BSA#3, BSA#4) a umožňují pak roaming, tzn. plynulý přechod mobilní stanice z jedné buňky do druhé bez ztráty spojení, nebo úplně (BSA#5, BSA#6, BSA#7). Pak mohou jednotlivá AP (collocated AP) sdílet zátěž (load sharing). V jedné oblasti mohou existovat i naprosto nezávislé sítě, aniž by o sobě teoreticky musely vědět. Pro připojení (association) k buňce je nutné znát jedinečný identifikátor (tzv. ESSID), kterým se každá stanice musí „prokázat“ během 110
připojování k AP. Pokud více sítí v jedné lokalitě používá jiný identifikátor, pak tyto sítě fungují de facto jako fyzicky oddělené (ESA/ESS #1, ESA/ESS #2). Mimo připojení (association) k AP patří k základním službám přepojení (reassociation) z jednoho AP na druhé během roamingu a odpojení (dis-association) při přechodu z jedné buňky do druhé. Fyzická vrstva Jako všechny standardy řady 802.x zahrnuje popis první a druhé vrstvy OSI modelu, přesněji řečeno fyzické a MAC vrstvy
Obr. 6.1. Fyzická a MAC vrstva . Zdroj:[77]
Pro fyzickou vrstvu je definován přenos pomocí infračerveného světla a rádiový přenos v rozprostřeném spektru a to technikou přímé sekvence (DSSS, Direct Sequence Spread Spectrum) nebo technikou přeskoku kmitočtů (FHSS, Frequency Hopping Spread Spectrum). Systémy pracující infračerveným přenosem pracující v pásmu 850 – 950 nm jsou schopny pokrýt prakticky jen jednu místnost, protože pevné překážky infračervené světlo nepropouští, a z tohoto důvodu nejsou příliš zajímavé. Co si představit pod pojmem rozprostřené spektrum? Šířka pásma vysílaného signálu je mnohem větší než šířka pásma originálního přenášeného datového signálu zprávy. Vysílaný signál je určen datovou zprávou a rozprostírací funkcí (kódovou sekvencí, Spreading code), nezávislou na datové zprávě a známou jen vysílači a určenému přijímači. Co to znamená v praxi? Tyto systémy jsou imunní vůči interferencím generovaným jinými signály, ať už rozprostřenými nebo úzkopásmovými, přítomnými ve stejném frekvenčním pásmu. Také jsou obtížně zachytitelné. V důsledku mohou být systémy s rozprostřeným spektrem umístěny v jednom místě bez nutnosti koordinace, jinými slovy bez přidělování frekvencí. Výsledkem toho je, že jejich provoz není zpoplatňován. Pro bezlicenční provoz je nejen u nás vyhrazeno pásmo 2,4 – 2,4385 GHz. U DSSS jsou jednotlivé bity přenášeny pomocí jedenácti tzv. chipů. Důsledkem toho je, že zpráva je přenášena v širším frekvenčním spektru, každý datový bit je reprezentován známou sekvencí a ne všechny chipy jsou tudíž potřebné pro správnou 111
demodulaci. Použití odlišných sekvenčních kódů pak umožňuje umístění více DSSS systémů v jednom místě. U FHSS je jako sekvenční kód použita sekvence až 78 možných frekvencí. Datová zpráva je tak vysílána pomocí mnoha nosných frekvencí tzv. hops. Vysoké spolehlivosti je dosaženo díky tomu, že nepotvrzené tj. chybně přenesené rámce jsou znovu přenášeny s jinou nosnou frekvencí tj. v dalším hopu. Umístění více systémů v jednom místě je umožněno použitím různých sekvencí v každém systému. Standard podporuje rychlosti 1 a 2 Mbps pro oba systémy. Nový standard 802.11b definuje rychlost 11Mb; 5,5Mb; 2Mb a 1Mbps, ale pouze pro systémy pracující DSSS technikou. Oba systémy mají své výhody a nevýhody: FHSS umožňuje koexistenci více systémů (System Collocation) v jedné lokalitě. Teoreticky až 26, prakticky cca 15. U DSSS jsou to pouze 3 systémy bez vzájemného rušení. Je to dáno tím, že pro koexistenci více systémů by byl nutný větší počet chipů, např. pro 16 systému by to bylo 255 chipů. To by znamenalo požadavek na mnohonásobně rychlejší rádiový přenos což je prakticky nemožné. DSSS systém má větší propustnost. FHSS spotřebovává část času na přeskok a synchronizaci na jinou frekvenci. FHSS má menší problémy s vícecestným šířením signálů. DSSS pracuje s vyšší modulační frekvencí, tím pádem s kratšími symboly a je tak více citlivý na různá zpoždění přijímaných signálů. DSSS systém je schopný si poradit s vyšší úrovní interferencí. Při silném rušení, které blokuje některé frekvence, je naopak FHSS systém schopný fungovat na nerušených frekvencích. Totéž platí pro tzv. near/far problém, kdy blízký zdroj interferencí může způsobit zablokování přijímače. FHSS systém může dále fungovat na neblokovaných frekvencích. DSSS používá pro příjem a vysílaní různá oddělená pásma, může tak i v plném duplexu používat pouze jednu anténu s filtrem na vstupu přijímače. Pokud jde o složitost rádiové části a tím de facto i ceny, platí trochu zjednodušeně, že implementace FSK (Frequency Shift Key) pro FHSS je jednodušší než PSK (Phase Shift Key) používané DSSS systémy.
Standardy bezdrátových sítí
6.6 Standard IEEE 802.11 WLAN První bezdrátové lokální sítě IEEE 802.11 (1997) mohou být fyzicky řešeny jedním ze tří způsobů: přenos rádiových vln o kmitočtech v pásmu od 2,4 do 2,4835 GHz metodou přímo rozprostřeného spektra (Direct Sequence Spread Spectrum, DSSS) DSSS vysílač přeměňuje tok dat (bitů) na tok symbolů, kde každý symbol reprezentuje skupinu jednoho či více bitů. Za použití modulační techniky jako QPSK (Quadrature Phase Shift Keying) vysílač moduluje nebo násobí každý symbol pseodonáhodnou šumovou sekvencí (na tzv. čip). Tato operace uměle zvětšuje použitou šířku pásma v závislosti na délce sekvence. DSSS dělí pásmo na 14 kanálů po 22 MHz, které se částečně překrývají (pouze tři z nich se nepřekrývají vůbec). Sítě 802.11 založené na DSSS nabízejí povinně 112
rychlost 1 nebo 2 Mbit/s (nižší rychlost je jako záloha pro případy s rušeným prostředím); přenos rádiových vln o kmitočtech v pásmu od 2,4 do 2,4835 GHz metodou rozprostřeného spektra s přeskakováním kmitočtů (Frequency Hopping Spread Spectrum, FHSS) - FHSS vysílá jeden nebo více datových paketů po jednom kmitočtu (pásmo se dělí do 75 podkanálů, každý o jednom MHz), pak přeskočí na jiný kmitočet a vysílá dál. Způsob přeskakování mezi kmitočty se jeví jako náhodný, ale ve skutečnosti se jedná o periodické pořadí známé vysílači i přijímači. Různé konverzace ve WLAN se odehrávají podle odlišných klíčů, aby se minimalizovala možnost současného využití téhož podkanálu. FHSS nabízí povinně rychlost 1 Mbit/s, volitelně 2 Mbit/s. přenos infračerveným zářením (Diffused Infrared, DFIR) - povinně rychlostí 1 Mbit/s, volitelně 2 Mbit/s. Infračervená varianta lokální datové komunikace je zásadně omezena na jedinou kancelář nebo jiný souvislý prostor, neboť infračervené paprsky neprocházejí pevným materiálem, a naopak dochází k odrazu. (Řešení na bázi infračerveného záření je podstatně dražší než u rádiových sítí, takže se tato varianta používá jen zřídka.)
Volné kmitočtové pásmo 2,4 GHz využívají zařízení jako bezdrátové telefony, mikrovlnné trouby i Bluetooth (průmyslová specifikace bezdrátové osobní sítě), takže může docházet ke vzájemnému rušení. 6.6.1
IEEE 802.11b
Největším problémem původní normy pro WLAN (802.11) byla nízká přenosová rychlost. „Rychlé rozšíření“ (High Rate, HR) základní normy IEEE 802.11b (1999), IEEE.802.11 přezdívané také Wi-Fi (Wireless Fidelity), poskytuje vyšší rychlosti v pásmu 2,4 GHz, a to až 11 Mbit/s. Pro jejich dosažení využívá nový způsob kódování, tzv. doplňkové kódové klíčování (Complementary Code Keying, CCK) v rámci DSSS na fyzické vrstvě. Norma specifikuje, že podle momentální rušivosti prostředí se dynamicky mění rychlost na nižší nebo naopak na vyšší: 11 Mbit/s, 5,5 Mbit/s, 2 Mbit/s až 1 Mbit/s. Maximální rychlost na fyzické vrstvě je sice 11 Mbit/s, ale užitná rychlost je nižší, protože 30-40 procent teoretické kapacity tvoří režie. Testovaná uživatelská rychlost se udává kolem 6 Mbit/s. Dosah sítě je kolem 100 m, ale výkonnější vysílač může tuto vzdálenost přesáhnout. Bezdrátové lokální sítě (WLAN) podle 802.11b (WiFi) se rychle ujímají vlády nad místní komunikací, ať firemní nebo domácí. Aby však skutečně mohly zvítězit na plné čáře, několik „drobností“ jim chybí. Především jde o přenosovou rychlost, která se pohybuje u 802.11b v řádu jednotek Mb/s. Kromě tohoto problému u nich mohou nastat potíže s rušením s jinými zařízeními v otevřeném pásmu 2,4 GHz. V neposlední řadě 802.11b nezajišťuje kvalitu služeb (QoS) a dostatečnou bezpečnost komunikace. Z těchto důvodů se IEEE zabývá řadou doplňků k IEEE 802.11 (802.11d, e, f, h, i, j) a dalších variant WLAN, jako 802.11a a 802.11g. 6.6.2
IEEE 802.11a
WLAN podle normy IEEE 802.11a (norma byla schválena 1999 - práce na ní byla 113
zahájena dříve než na 802.11b, ale vyžádala si delší čas vzhledem ke složitějšímu způsobu přenosu na fyzické vrstvě). Na rozdíl od 802.11b pracuje již v licenčním pásmu 5 GHz a s výrazně vyšší teoretickou rychlostí: 54 Mb/s (skutečná přenosová rychlost se pohybuje do 30-36 Mb/s, v tzv. turbo režimu a podle použitých antén a kabelů). Pro její dosažení se poprvé v paketových komunikacích používá ortogonální multiplex s kmitočtovým dělením (Orthogonal Frequency-Division Multiplexing, OFDM). Jedná se o přenosovou techniku pracující s tzv. rozprostřeným spektrem, kdy je signál vysílán na více nezávislých frekvencích zároveň, což zvyšuje odolnost vůči interferenci. Dosud se uplatňoval pouze ve systémech jako DAB (Digital Audio Broadcasting) nebo DVB (Digital Video Broadcasting). Výhoda 802.11a oproti 802.11b není ale jen ve vyšších rychlostech, ale také v použitém kmitočtu. Kmitočet 5 GHz je méně vytížen a dovoluje využití více kanálů bez vzájemného rušení. Rozdílně využívané kmitočty u obou typů WLAN znemožňují jejich vzájemnou spolupráci. Verze 802.11a nabízí až osm nezávislých, nepřekrývajících se kanálů. Kmitočet 5 GHz nutný pro IEEE 802.11a je ale v Evropě přidělen konkurenční bezdrátové lokální síti a to HIPERLAN/2. Zatímco výrobky (produkty) pro tvorbu sítí dle 802.11b jsou již ve značné míře k dispozici a otestovány WECA (Wireless Ethernet Compatibility Alliance) na vzájemnou spolupráci, o prvcích pro 802.11a se totéž říci nedá. Testy se zatím připravují pod označením Wi-Fi5. Proto stávající sítě 802.11b zřejmě nebudou v rámci modernizace přecházet na 802.11a, ale budou čekat na specifikaci a produkty 802.11b vylepšené podle 802.11g. 6.6.3
IEEE 802.11g
Příznivci bezdrátové technologie mohou již také využívat WLAN podle normy 802.11g. Všeobecně se ví, že jde o rychlejší Wi-Fi, pracující v pásmu 2,4 GHz a umožňující spolupráci s klienty WiFi. Ovšem méně se ví o tom, jaký vliv tato spolupráce má na výkonnost sítě a jakou rychlost mohou uživatelé 802.11g skutečně očekávat. IEEE 802.11g-2003 (Higher Speed Physical Layer (PHY) Extension to IEEE 802.11b), norma pracuje ve stejném bezlicenčním pásmu 2,4 GHz jako WiFi (802.11b), ovšem maximální rychlostí na fyzické vrstvě dosahující 54 Mbit/s (podobně jako u 802.11a). Obdobně jako 802.11b může podporovat maximálně tři nepřekrývající se kanály; podobnost je i v dosahu sítě (u stejných rychlostí, s vyššími rychlostmi dosah u 802.11g klesá až na 30 metrů). 802.11g je zpětně slučitelná s 802.11b, takže v jedné síti mohou pracovat klienti obou typů sítí. Obě specifikace se ovšem liší řešením fyzické vrstvy: WiFi používá DSSS a 802.11g OFDM (pro spolupráci s Wi-Fi navíc také DSSS).
114
Porovnání existujících norem IEEE pro WLAN ukazuje následující tabulka. Typ Kmitočet Kapacita na Reálná Mechanismus fyzické vrstvě uživatelská přenosu rychlost 802.11b 2,4-2,485 GHz 11 Mbit/s Do 6 Mbit/s DSSS 802.11g 2,4-2,485 GHz 54 Mbit/s Do 22 Mbit/s OFDM DSSS 802.11a 5.1-5,3 GHz 54 Mbit/s Do 30 Mbit/s OFDM 5,725-5,825 GHz Tabulka 6. 1. Porovnání parametrů WLAN Zdroj:[77]
6.6.4
DSSS versus OFDM
Připomeňme, že 802.11b používá na fyzické vrstvě metodu rozprostřeného spektra DSSS (Direct Sequence Spread Spectrum) s klíčováním CCK (Complementary Code Keying). CCK mapuje čtyři bity na symbol (na 8 Mbit/s) a současně mírně zvyšuje přenosovou rychlost symbolů na 1,375 Msymbol/s, čímž se dosáhne na fyzické vrstvě maximální rychlost 11 Mbit/s. WiFi nabízí celkem čtyři podporované rychlosti na fyzické vrstvě: vedle 11 Mbit/s ještě 5,5 Mbit/s, 2 Mbit/s a 1 Mbit/s. Pro všechny WLAN totiž platí, že se přenosová rychlost na fyzické vrstvě podle situace mění: snižuje se s růstem chybovosti nebo zvyšuje při zlepšení podmínek prostředí, takže maximální rychlost jednotlivých WLAN lze předpokládat pouze na krátkou vzdálenost v prostředí bez rušivých vlivů na přenos. Tedy maximální rychlost WiFi na fyzické vrstvě je 11 Mbit/s, rychlost užitečná (pro uživatelská data) je ale nižší (viz též tabulka TAB. 3.1), protože 30-40 procent teoretické kapacity spolkne režie protokolu MAC, která je např. ve srovnání s Ethernet/802.3 (také sdílené médium) u WLAN vyšší. Je také potřeba si uvědomit, že WLAN pracují v režimu polovičního duplexu - buď data vysílají, nebo přijímají (na rozdíl od 802.3, kde je možný režim plného duplexu, tj. současně stanice může data vysílat i přijímat). Uživatelská datová rychlost u WiFi proto dosahuje maximálně 6 Mbit/s. Pro dosažení vyšší rychlosti se u 802.11g používá ortogonální multiplex s kmitočtovým dělením OFDM (Orthogonal Frequency Division Multiplex), jedna z přenosových metod MCM (MultiCarrier Modulation), kdy se data k vysílání nejprve rozdělí do několika paralelních toků bitů o mnohem nižší bitové rychlosti. Každý z toků se používá pro modulaci jiné nosné. Zatímco tradiční kmitočtový multiplex dělí kmitočtové pásmo do N nepřekrývajících se kmitočtových subkanálů vzájemně oddělených ochranným kmitočtovým pásmem (guard), OFDM používá překrývající se subkanály, takže kmitočtové pásmo se využívá účinněji. Přísně vzato není OFDM modulační metoda, ale metoda pro generování a modulaci více nosných současně, každé s malou částí datového toku. Jako konkrétní modulace lze pak použít jakýkoli typ digitální modulace včetně QPSK (Quadrature Phase Shift Keying), 16-QAM (Quadrature Amplitude Modulation) či 64-QAM. 115
Metoda rozprostřeného spektra
Způsobem paralelního vysílání se OFDM účinně brání zkreslení při přenosu signálu různými cestami (multipath distortion), protože každý přenášený symbol trvá na dílčí nosné déle, takže se prakticky vyloučí nepříznivý dopad zpoždění signálu delší cestou. Navíc se používá více úzkopásmových nosných a jejich vzájemné rušení ovlivní jen velmi malou část signálu. Přenosových rychlostí umožňovaných standardem 802.11g je víc než u WiFi. Rychlosti podporované pomocí OFDM jsou následující (v závislosti na modulaci): 54, 48, 36 a 24 Mbit/s (16-QAM); 18 a 12 Mbit/s (QPSK), 9 a 6 Mbit/s (BPSK, BiPhase Shift Keying). Další rychlosti jsou v souladu s 802.11b a vyžadují použití DSSS a 11 Mbit/s; 5,5 Mbit/s; 2 Mbit/s a 1 Mbit/s. 6.6.5
Další rozšíření a některé nové normy: Standardy 802.11.
Pro ilustraci uvedeme pouze některé z nich. Rozsáhlejší popis jednotlivých norem naleznete v učebních textech EPI Kunovice – Rukovanský-Kratochvíl: Bezdrátové počítačové sítě. Práce na vylepšení a nových specifikacích pro WLAN podle 802.11 pokračují, takže se podívejme, co která specifikace přináší/přinese (v abecedním pořadí). IEEE 802.11c Tento dokument řeší práci komunikačních mostů v rámci podvrstvy MAC (Media Access Control) 802.11 a je doplňkem k mezinárodní normě IS 10038 (IEEE 802.1D) o transparentních mostech (konkrétně protokolu Spanning Tree Protocol, STP). Doplněk byl schválen v roce 1998. IEEE 802.11d Norma IEEE 802.11d upravuje 802.11b pro jiné kmitočty s cílem umožnit nasazení WLAN v místech, kde pásmo 2,4 GHz není dostupné. Většina zemí tento kmitočet na základě doporučení ITU-T, International Telecommunications Union Telecommunications Standardizartion Sector, uvolnila. Norma, která je někdy nazývána jako „internacionalizace“ 802.11, byla schválena roku 2001. IEEE 802.11e Norma IEEE 802.11e doplňuje podporu pro kvalitu služeb QoS (s využitím Time Division Multiple Access, TDMA) a opravu chyb do podvrstvy MAC na podporu všech fyzických vrstev používaných v IEEE 802.11 sítích, kromě ad hoc typů sítí. Norma měla být schválena už v loňském roce, ale momentálně se návrh doplňku reviduje. IEEE 802.11f Nový projekt IEEE 802.11f vylepšuje mechanismus předávání stanic (roaming) při přechodu mezi dvěma rádiovými kanály nebo z jedné sítě do sousední s připojením k jinému přístupovému bodu. Protokol IAPP (Inter-Access Point Protocol) má umožnit spolupráci přístupových bodů od různých výrobců ve WLAN s distribučním systémem na základě specifikace informací, které si musí při předávání stanic vyměňovat. IEEE 802.11h Doplněk IEEE 802.11h vylepšuje řízení využití kmitočtového spektra (výběr kanálu a řízení vysílacího výkonu) a doplňuje 802.11a. Evropští regulátoři požadují pro schválení produktů 802.11a použití dynamického výběru kanálu (Dynamic Channel Selection, pro venkovní i vnitřní komunikaci) a řízení vysílacího výkonu (Transmit Power Control) u zařízení pracujících na kmitočtu 5 GHz. 116
IEEE 802.11i Standard IEEE 802.11i doplňuje bezpečnost do podvrstvy MAC na podporu všech fyzických vrstev používaných v IEEE 802.11 sítích; místo WEP (Wireless Encryption Privacy) použije nový způsob šifrování: Advanced Encryption Standard (AES). IEEE 802.11j Norma IEEE 802.11j představuje záměr IEEE pro řešení koexistence 802.11a a HIPERLAN/2 na stejných vlnách. HIPERLAN/2 je evropská norma (ETSI – viz. Zpravodaj 2) využívající pásmo 5 GHz a podporující rychlosti (na fyzické vrstvě) do 54 Mb/s. Mezi výhody HIPERLAN/2 patří, že používá OFDM a má zabudovanou podporu pro QoS (řešení fyzické vrstvy). IEEE 802.11k Radio Resource Measurement Jejím úkolem je lépe práci WLAN přizpůsobit momentálním podmínkám bezdrátového prostředí, jinými slovy dobře porozumět podmínkám jednotlivých kanálů, šumu, zahlcení, vzájemnému rušení a následně optimalizovat nastavení klientů a konfiguraci sítě tak, aby byla výkonnost rádiového spoje co nejlepší. Popularita WLAN, za niž vděčí pohodlí a nízkým nákladům, s sebou nese nebezpečí vzájemného rušení překrývajících se WLAN i dalších technologií pracujících ve stejném bezlicenčním pásmu, typicky 2,4 GHz. K dalším standardům IEEE 802.11 patří: IEEE 802.11m, IEEE 802.11n, IEEE 802.11p, IEEE 802.11r, IEEE 802.11s, IEEE 802.11u, IEEE 802.11v, IEEE 802.11w a další
6.7 Bezdrátové osobní sítě Standardizací bezdrátových osobních sítí WPAN (Wireless Personal Area Networks) se zabývá pracovní skupina IEEE 802.15. Tyto sítě jsou určeny zejména pro komunikaci a propojování přenosných a mobilních zařízení jako jsou například malé osobní počítače, PDA, mobilní telefony, pagery, různé periférie a spotřební elektronika. Do této kategorie patří několik dílčích skupin: IEEE 802.15 Dříve byl používán název WPAN a označení 802.15 pouze pro Bluetooth. IEEE 802.15.1 WPAN/Bluetooth Správný standard pro technologii Bluetooth je tedy IEEE 802.15.1, který vychází ze specifikace Bluetooth verze 1.1 (IEEE 802.15.1a) Standard 802.15.1 již neodpovídá novější specifikaci Bluetooth 1.2 a úkolem této skupiny je tedy provést úpravu standardu aby odpovídal této nové specifikaci. (IEEE 802.15.2) Skupina, která se zabívala koexistencí bezdrátových sítí osobních (WPAN) a lokálních (WLAN). V roce 2003 vydala dokument IEEE 802.15.2-2003, ve kterém jsou popsána doporučení pro vzájemné soužití technologií v bezlicenčním pásmu a v současné době je práce pozastavena. IEEE 802.15.3 WPAN High Rate Pro rychlé bezdrátové osobní sítě v pásmu 2,4 GHz se používá název WiMedia, který vychází ze specifikace 802.15.3. Je určen zejména pro digitální techniku a multimediální aplikace. 117
IEEE 802.15.3a Skupina 802.15.3a pracuje na poskytnutí ještě rychlejší verze WiMedia na bázi technologie UltraWideBand (UWB). (IEEE 802.15.3b) Začínající skupina, která má za úkol vylepšit implementaci a přidat univerzálnost na vrstvě přístupu k médiu (MAC) při zachování zpětné kompatibility. IEEE 802.15.4 WPAN Low Rate Pro nízko rychlostní řešení osobních sítí, které by díky tomu mohly být provozovány měsíce až roky na jednu baterii, byla založena skupina 802.15.4 a pro název technologie se používá ZigBee. (IEEE 802.15.4a) Skupina zabývající se možnosti použití různých fyzických vrstev pro 802.15.4. (IEEE 802.15.4b) Na úpravě a opravě 802.15.4 také pracuje skupina 802.15.4b, která má za úkol opravit některé chyby, zjednodušit a zefektivnit tento standard. (IEEE 802.15.5) Skupina, která se snaží najít funkčnost, kterou je nutné dodat do fyzické vrstvy a do vrstvy pro přístup k médiu aby bylo možné vytvořit smyčkové (mesh) sítě. 6.7.1 WWW
http://www.earchiv.c z/l218/nahled.php3?l =23&me=1
Bluetooth
Bluetooth je specifikace bezdrátové komunikace určené zejména jako náhrada kabelů pro komunikaci na malou vzdálenost mezi různými prvky sítě. Mezi jeho klíčové vlastnosti patří miniaturní velikost, nízká cena, robustní spojení, krátký dosah, malý příkon, automatická konfigurace, komunikace bez přímé viditelnosti. Bluetooth komunikuje v bezlicenčním pásmu 2,4 GHz (Industrial-Scientific-Medical band - ISM), konkrétně v rozsahu 2,400 GHz - 2,4835 GHz. Komunikační kanály jsou od sebe vzdáleny 1 MHz, což znamená, že kanálů použitelných aplikacemi Bluetooth je celkem 79. Za účelem potlačení interference s dalšími signály, používá metodu kmitočtových skoků (FHSS) s rychlostí 1600 skoků za sekundu (po 625 mikrosekundách). Frekvence se mění po každém přenosu a příjmu a tím je zajištěna větší kvalita spojení. Modulace signálu je prováděna pomoví Gaussovské modulace s frekvenčním klíčováním (GFSK). Maximální přenosová rychlost hlasu je realizována synchronním spojením o rychlosti 64 kbit/s v obou směrech. Data jsou přenášena v asynchronním režimu a to buďto asymetricky - jeden směr rychlostí 723 kbit/s a opačný směr 57,6 kbit/s, nebo symetricky s rychlostí 432,6 kbit/s pro oba směry. Maximální dosah Bluetooth se liší podle třídy (Class), do které zařízení spadá. Tyto třídy jsou definovány podle maximálního výstupního výkonu a to Třída 1 s dosahem 100 m a maximálním výkonem 100 mW, Třída 2 s dosahem 10 m a max. výkonem 2,5 mW a Třída 3 s dosahem 1 m a max. výkonem 1 mW. 6.7.2 WiMedia Technologie WiMedia je založena na standardu IEEE 802.15.3 WPAN High Rate a slouží především k připojování různých zařízení spotřební elektroniky z oblasti digitálního obrazu a zvuku. Konkrétně se jedná například o digitální fotoaparáty, videokamery, MP3 přehrávače či LCD displeje. 118
O správnou implementaci WiMedia se stará sdružení firem s názvem WiMedia Alliance, které združuje nejen výrobce samotných čipů, ale z důvodů primárního určení technologie, také výrobce spotřební elektroniky jako LG Electronics, Samsung, Kodak, Philips, Sharp. Jednou z důležitých činností této aliance je vydávání WiMedia certifikátů, které potvrzují interoperabilitu koncových zařízení od různých výrobců. Rychlost Pro WiMedia je definováno několik možných rychlostí přenosu. Konkrétně se jedná o hodnoty 11, 22, 33, 44 a 55 Mbit/s. Dosah Maximální dosah se pohybuje v řádech desítek metrů: například u 55 Mbps je to až 50 m a při rychlosti 22 Mbps až 100 m. Určení - WiMedia je určena zejména pro použití v oblasti multimedií jako například pro přenos živého obrazu a zvuku. Zabezpečení – Pro zabezpečení je možné volitelně použít kódování komunikace za pomocí AES 128 (Aadvanced Encryption Standard). 6.7.3
UltraWideBand
Technologie UWB je určena pro širokopásmové přenosy na velmi krátkou vzdálenost. Dobře se snáší s jinými rádiovými technologiemi, není náchylná na rušení a je velice bezpečná vůči odposlechu. O vytvoření nového standardu pro velmi rychlé (od 110 Mbit/s) osobní bezdrátové sítě se stará sdružení firem WiMedia Alliance (tedy stejná jako u WiMedia). Pracovní skupina IEEE 802.15.3a, která má za úkol vytvořit jeden standard pro UWB, v roce 2003 vyhlásila soutěž o řešení fyzické vrstvy pro UWB. Zadáním bylo nabídnout rychlost 110 Mbit/s na vzdálenost minimálně 10 m (a 480 Mbit/s do 1 m), s využitím pásma o šířce 500 MHz z kmitočtového intervalu 3,1 GHz až 10,6 GHz. V současné době se rozhoduje mezi dvěma návrhy: MBOA a DS-UWB. 6.7.4
MBOA
Návrh skupiny pod názvem MultiBand OFDM Alliance (MBOA) představuje řešení MB-OFDM (MultiBand Orthogonal Frequency Division Multiplexing), které je kombinací metody přeskakování mezi kmitočty s ortogonálním multiplexem a kvadraturní modulací (QPSK). Má tak nabídnout rychlost 110 Mbit/s na vzdálenost 20 m a rychlost 200 Mbit/s na vzdálenost 14 m. Předpokládá se také rozdělení celé šířky pásma na dvě části, aby se vyhnulo pásmu 5 GHz, používanému 802.11a. 6.7.5
DS-UWB
Radikálnější návrh předložila skupina, která pod názvem DS-UWB prezentuje metodu DS-CDMA (Direct-Sequence Code-Division Multiple Access) přímé posloupnosti vícenásobného přístupu s kódovým dělením a s použitím binární fázové modulace (BPSK). Toto řešení je výkonnější než konkurenční MBOA, ale má menší dosah. Umožňuje přenos jen do vzdálenosti 2-3m, ale zato rychlostí až 1,3 Gbit/s.
119
Nové síťové standardy
6.7.6
ZigBee
Standard ZigBee je u IEEE veden pod označením 802.15.4 WPAN Low Rate. Jeho primárním úkolem je poskytnout co nejjednodušší prostředek pro bezdrátové spojení se zaměřením na velmi nízkou spotřebou a to tak nízkou, aby zařízení vydrželo s běžnými tužkovými bateriemi i několik měsíců (a dokonce i let) v provozu. O rozvoj a podporu standardu se stará ZigBee Aliance a sdružuje přední výrobce elektronických součástek. V současné době má sdružení přes 120 členů a mezi hlavní patří společnosti Philips, Motorola, Samsung, Freescale Semicoductor, Ember, Invensys Mitsubishi Electric Corporation a Honeywell. Rychlost - maximální rychlost dosahovaná u ZigBee je závislá na použitém pásmu. 2,4 GHz – 250 kbit/s 868 MHz – 20 kbit/s 6.7.7
WirelessUSB
WirelessUSB je registrovaná ochraná známka pro bezdrátové řešení pro propojování USB zařízení od firmy společnosti Cypress Semiconductor. Ta vyvinula vlastní protokol, který umožňuje bezdrátové připojení periferních zařízení ovládaných člověkem (HID), jako jsou například bezdrátové klávesnice a myši. Je určeno jako náhrada klasického kabelového USB, přičemž počítač nepotřebuje žádný speciální software pro obsluhu tohoto bezdrátového připojení. Jelikož je technologie určena především pro přenos informací z myši a klávesnice, je pro ni maximální dosahovaná rychlost 62,5 kbit/s dostačující. Základní dosah je pouhých 10 m, ale zvýšením výkonu lze dosáhnout maximální vzdálenosti až 100 m. Stejně jako u ZigBee je použita metoda přímo rozprostřeného spektra (DSSS) a tak dosahuje nižší spotřeby než-li u Bluetooth. Šetření energie je také dosahováno tím, že zařízení spolu komunikují pouze, když je potřeba (nepřenáší se žádné synchronizační údaje jako u Bluetooth). WirelessUSB zařízení se mohou nacházet v 5-ti operačních stavech a mají tak různou spotřebu (až pouhý 1 mikroA v uspaném stavu). Firma Cypress Semiconductor dodává komerčně 2 typy zařízení. WirelessUSB LR DSSS Radio – maximální dosah 50m, rychlost 62,5 kbit/s WirelessUSB LS DSSS Radio – maximální dosah 10m, rychlost 62,5 kbit/s
6.8 Bezdrátové metropolitní sítě Bezdrátový širokopásmový přístup zaznamenává významný milník: po pevném bezdrátovém přístupu pro podniky či domácnosti podle normy 802.16 byla schválena specifikace 802.16e označovaná jako mobilní WiMAX. WiMAX (Worldwide Interoperability for Microwave Access Forum) je stále úspěšnou mediální hvězdou, ale naštěstí se očekávání a naděje vkládané do specifikace bezdrátového širokopásmového přístupu nové generace pomalu promítají v realitu. Počáteční nadšení sice opadlo, ale trh může být spokojen 120
i s realističtějším pohledem na moderní bezdrátovou technologii. WiMAX byl vždy prezentován jako řešení, které má (alespoň nějakou) šanci konkurovat zavedeným DSL a kabelovým přípojkám, ale především jako řešení tam, kam slušné přípojky po drátech a kabelech prostě ne(po)vedou. Takže i když málokde s reálnými cenami může WiMAX vytlačit DSL, stále zbývá spousta potenciálních zákazníků, pro něž je DSL nedostupné a kteří mohou WiMAX plně využít nejen pro datové služby, ale i pro telefonování. Základní norma IEEE 802.16 (Air Interface for Fixed and Mobile Broadband Wireless Access Systems) pro pevný WiMAX (Worldwide Interoperability for Microwave Access), bezdrátovou metropolitní síť, byla schválena v roce 2004. V roce následujícím byl schválen doplněk normy 802.16e zahrnující kromě pevného přístupu také podporu pro mobilní uživatele. WiMAX je technologie pro bezdrátový přístup k rozsáhlým datovým sítím typu MAN spadající díky propracovaným technickým specifikacím do 3. generace mobilních technologií pro datové přenosy. Svými vlastnostmi WiMAX předčí mobilní datové technologie 2. a 2,5. generace typu GPRS, CDMA, Edge a zároveň odsouvá důležitost současně velmi rozšířené bezdrátové technologie Wi-Fi pro malé poskytovatele internetu ISP. WiMAX je výsledkem vývoje nových čipů pro bezdrátové datové přenosy, jehož vývoj iniciovala firma Intel. Firma Intel je rovněž zakladatelem tzv. WiMAX fóra, které koordinuje technické specifikace v oblasti vývoje WiMAX a vychází ze specifikací IEEE 802.16. WiMAX bývá často nazýván technologií poslední míle, jakýmsi bezdrátovým DSL a v neposlední řadě také bezdrátovou technologii pro metropolitní sítě. Tyto ambice jsou dány zejména díky následujícím charakteristikám: Buňková infrastruktura podobná GSM síti, existuje vždy jedna nebo více základnových stanic (BS) a s nimi pak komunikují klientské adaptéry (CPE) Dosah základnové stanice v otevřeném terénu až 50km, dosah v zastavěné oblasti až 5km Teoretická propustnost 75Mb/s, reálná propustnost až 40Mb/s Pro připojení uživatelů sítě není třeba přímá viditelnost Velmi propracovaná fyzická vrstva rádiového přenosu s modulací typu OFDM a s širokým rozsahem adaptivních modulací ACM typu QPSK a QAM. Podpora řízení kvality služby (QoS), což WiMAX předurčuje pro možnost nasazení IP telefonie WiMAX používá přístupovou metodu TDM/TDMA, což výrazně napomáhá efektivnímu využití kanálů pro každého klienta a dosažení výše avízované propustnosti. Definován systém tzv. chytrých antén, které výrazně napomáhají šíření signálu mezi uživatelem a základnovou stanicí Podpora výstavby síťové topologie typu MESH Rychlá implementace infrastruktury díky výše popsaným vlastnostem 6.8.1
WiMAX versus ADSL
Propustností je WiMAX zhruba na úrovni ADSL, ale samozřejmě novějším technologiím jako ADSL2+ či VDSL se rovnat nemůže. Na druhou stranu má svou 121
výhodu nejen v bezdrátovém řešení, což mimo jiné znamená, že není třeba se vázat na telekomunikačního dominantního či nastupujícího provozovatele. Ale největší technologickou výhodou je „modernost“ WiMAX, která spočívá na jedné straně v zabudované podpoře kvality služby (QoS, Quality of Service), což jinými slovy znamená, že hlasové přenosy, případně živé video, nečiní problém (vyjma možného kapacitního omezení v případě videa). Na druhé straně se novost technologie pozitivně promítá také ve zvládnutí současných požadavků na bezpečnost uživatelů i vlastního bezdrátového přenosu. 6.8.2
Mobilita
Pevný WiMAX pracuje v pásmech 2-11 GHz, s dosahem do 50 km a agregovanou kapacitou do 70 Mbit/s. Naproti tomu mobilní WiMAX pracuje v nižších pásmech 26 GHz a celkem pochopitelně nabízí nižší rychlost, zhruba 3-5 Mbit/s (maximálně 15 Mbit/s). Mobilní WiMAX je založen na technologii S-OFDMA (Scalable Orthogonal Frequency Division Multiple Access). Jako koncové zařízení lze předpokládat laptop s omezenou možností napájení, takže 802.16e má zabudovánu podporu řízení napájení a podporuje režim spánku. Mobilita v podání 802.16e bude stačit rychlosti 150 km/h v lokálním až regionálním dosahu. Mobilní WiMAX má ale svoji konkurenci, kromě 3G/HSDPA také vznikající IEEE 802.20 S podporou mobility se neodbytně vnucuje otázka řešení roamingu (předávání uživatelů technicky, zabezpečeně a zpoplatněně podle určitých pravidel mezi buňkami i různých provozovatelů), proto vzniklo sdružení WGRA (WiMAX Global Roaming Alliance). Díky řešení mezinárodního roamingu by se podle jeho zakladatelů mělo podařit nabídnout WiMax jako globální plně konkurenční mobilní službu, nejen jako doplněk k 3G. 6.8.3
Potenciál WiMAX
WiMAX bude řešením pro bezdrátovou první míli nejen sám o sobě, ale využijí jej také poskytovatelé jiných typů přípojek pro dosažené většího pokrytí a získání dalších zákazníků. Týká se to především provozovatelů kabelových sítí, kteří jsou schopni bezdrátově překlenout vzdálenost ke svému distribučnímu uzlu, případně i poskytovatelé optických přípojek pro „přiblížení“ uživatelů k optické síti. WiMAX ale má výhodu také v tom, že jeho uplatnění se zdaleka neomezuje pouze na řešení rychlého přístupu k Internetu, tedy zvládnutí první míle (prvních metrů přístupové sítě, viděno z pohledu koncového zákazníka). Uplatňuje se pro propojení veřejných přístupových bezdrátových míst (hotspoty), tedy veřejných WLAN (typicky 802.11g/a). Ale jako bezdrátová technologie bude sloužit také pro efektivní prodloužení mobilních sítí 3G. Mobilní WiMAX tak má podle ABI Research otevřenou cestu k tomu, aby se stal součástí sítí 3G zejména pro odlehčení zátěže sítě v městských oblastech.
122
V současnosti se odhadují počty uživatelů širokopásmového bezdrátového přístupu na pět milionů a tento počet se má zvyšovat ročně o 60 procent do roku 2012.
6.9 Další normy IEEE 802 k bezdrátovým sítím 6.9.1
Bezdrátový přístup v pohybu
Vedle mobilního širokopásmového přístupu v pojetí WiMAX (802.16e) se pracuje na MBWA (Mobile Broadband Wireless Access) v rámci projektu IEEE 802.20. Připravovaná norma by měla umožnit mobilním uživatelům pohybujícím se rychlostí až 250 km/hod (vhodné jak pro automobily, tak pro rychlostní vlaky) připojení s maximální kapacitou směrem k uživateli nejméně 1 Mbit/s a maximální kapacitou od uživatele minimálně 300 kbit/s. V jedné buňce o průměru kolem 15 km má být agregovaná rychlost 4 Mbit/s dopředně a 800 kbit/s zpětně. 802.20 se zaměřuje na licenční kmitočtová pásma pod 3,5 GHz. Cílem je podporovat všechny moderní služby včetně interaktivních hlasových, obrazových a datových. V porovnání s připravovaným 802.20 schválený doplněk 802.16e podporuje mobilitu do rychlosti 120 km/h v lokálním až regionálním dosahu, přičemž k postupnému snižování kapacity dochází od rychlostí nad 60 km/s kvůli předávání uživatelů mezi základnovými stanicemi. Pracuje v pásmu 2-6 GHz zahrnující licenční i bezlicenční kmitočty a nabízí rychlost 3-5 Mbit/s (maximálně 15 Mbit/s). Práce ve skupině IEEE 802.20 nebyla v roce 2002 ale nijak hladká a s platností od počátku června byla dočasně pozastavena. Nadřízený orgán pro všechny normalizační aktivity v rámci IEEE, IEEE-SA Standards Board, uvádí pro toto výjimečné rozhodnutí dva hlavní důvody. Prvním oficiálním důvodem bylo, že tato relativně nová normalizační skupina byla od svého založení terčem mnoha nespokojených formálních připomínek až útoků (appeal) ze strany jiných normalizačních aktivit a stále jich přibývalo. Od samotného počátku byl záměr na novou normu pro MBWA kritizován jako potenciálně konkurenční zejména vůči mobilnímu WiMAX (802.16e). Nicméně 802.20 si svoje místo uhájila a byl jí dán mandát k práci na zbrusu novém technickém řešení pro skutečnou mobilitu uživatelů i v rychle se pohybujících dopravních prostředcích. Druhým důvodem pro pozastavení prací na 802.20 bylo, že v pracovní skupině docházelo ke konkurenčním bojům, tahanicím a dalším nesrovnalostem, které vedly ke ztrátě průhlednosti práce a šly daleko za rámec běžných sporů a diskusí nad technickým zněním specifikací. Poprvé se tak připustila existence dominance některých silných společností, které mají na vývoji nové normy pro MBWA eminentní zájem. Normy ale musí vznikat v rámci spravedlivého a otevřeného procesu, takže IEEE-SA Standards Board musel nejprve odstranit bariéry, které tomuto procesu v rámci 802.20 brání. V září 2006 byla skupina opět svolána s tím, že práce na nové normě se obnoví za podmínky úplného nahrazení členů výboru a ostatních administrátorů podvýboru. Dalšími požadavkem schůdné práce je veřejné ohlášení příslušnosti (zaměstnanecký nebo externí pracovní poměr jednotlivých členů 802.20). Samozřejmostí pro dosažení konsenzu nad technickým řešením bude rychlé odhalení snah o dominanci v prosazování (vlastních) technologií.
123
Firmy jako je Intel, Microsoft Airwave a další stojí za vytvářením standardu 802.21 sloužícímu ke spolupráci mezi WLAN, WiMAX a 3GSM. 6.9.2
Bezdrátové regionální sítě
Podvýbor 802.22 se zabývá využitím kmitočtového spektra lokálně nepoužívaných televizních kanálů pro širokopásmové služby v regionálních bezdrátových sítích, zejména venkovských oblastech. (Standard for Wireless Regional Area Networks (WRAN) - Specific requirements Part 22: Cognitive Wireless RAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications: Policies and procedures for operation in the TV Bands). Již byl přijat technický návrh řešení, na jehož základě bude postavena budoucí norma. V současné době jsou na stole stále ještě návrhy dva, které zůstaly z původních deseti, představených na podzim roku 2005. Dva návrhy se nakonec naštěstí bez větších problémů spojily do jednoho. Připravovaná norma bude specifikovat vzdušné rozhraní pro pevné regionální sítě s dosahem i kolem 40 km v nevyužitých TV pásmech pro pevný přístup. Od normy si mnozí slibují zmírnění digital divide mezi městem a venkovem, protože její využití je zaměřeno na vzdálené, venkovské a řídce osídlené oblasti, kde je a bude nedostatečná nabídka rychlého přístupu k Internetu. 6.9.3
Koexistence různých bezdrátových sítí
Poradní skupina Wireless Coexistence TAG (Technical Advisory Group) se zabývá politikami koexistence různých bezdrátových sítí. Má za úkol specifikovat různé metriky a vytvářet normy pod označením IEEE 802.19 TAG se zabývá technickým prověřováním dokumentů dokladujících koexistenci nových bezdrátových norem IEEE a vyvíjí doporučené metody pro zhodnocení této koexistence. Související specifikace by měla být dokončena v roce 2008. Recommended Practice for Information Technology - Telecommunications and Information Exchange between systems - Local and Metropolitan networks – Specific requirements - Part 19: Methods for assessing coexistence of wireless network.
6.10 Sítě mobilních operátorů 6.10.1 Technologie GSM GSM technologie
Převaha původně evropské technologie, lépe řečeno dnes již trochu rozptýlené rodiny s GSM spřízněnými technologiemi: GSM, GPRS, EDGE, a UMTS dominuje globální mobilné komunikaci, přičemž svoji pozici neustále upevňuje. Na GSM přecházejí mnozí mobilní operátoři z CDMA a TDMA na americkém kontinentu. Tento trend se rozšířil i dále, když platformu CDMA opustil australský operátor TELSTRA, aby přešel na síť UMTS. Úspěch GSM udržuje i jeho inovace v podobě EDGE a UMTS. Dnes více než 100 operátorů v 65 zemí světa provozuje komerční EDGE sítě a dalších 83 sítí 124
plánovaných nebo ve stadiu zkušebního provozu.To reprezentuje více než polovinu (830 mil.) zákaznické báze. GSM vzniklo s ideou komunikace v sítích ISDN a proto služby v sítích GSM tvoří vlastně podmnožinu služeb ISDN. Datové služby GSM probíhají v současné době rychlostí pouze 9 600 bps, což je dané specifickými vlastnostmi celulární síte a mobilního terminálu, kdy musí za každých okolností nastat správný přenos dat při přechodech z jedné buňky do druhé. Speciálně vybavený terminál GSM může být spojen s ISDN, paketovými sítěmi (Packet Switched and Circuit Switched Public Data Networks), Internetem a stanicí Client/Server. K službám GSM patří také přenos faxových zpráv, videotex a také teletex.Zvláštní postavení má služba SMS (Short Message Service). K další užitečné vlastnosti patří možnost vysílat zprávy do jedné nebo vybrané skupiny buněk sítě GSM. Mobilní sítě jsou budované na tzv. buňkovém (celulárním) principu Elementárním prvkem sítě je buňka, která bývá schematicky znázorněna jako šestiúhelník. Poloměr této buňky bývá různý podle osídlení pokryté oblasti. Několik těchto buněk vytváří tzv. provozní oblast (location area). Jedna nebo více provozních oblastí podléhá působnosti jedné MSC (Mobile Services Switching Center), která už může obhospodařovat celé město nebo i stát. Nadřízenou oblastí je oblast národní sítě GSM (tou se rozumí síť jednoho operátora). Komunikaci mezi jednotlivými subsystémy poskytují speciální rozhraní a definované komunikační protokoly. I přesto, že na dveře již delší čas klepe UMTS, mobilní operátoři vidí stále veliký potenciál v sítích GSM. Dnes provozované sítě GSM 2,5 té generace nejenže nepatří do starého železa, ale hrají důležitou roli při zavádění nových multimediálních služeb a do jisté míry přebírají agendu sítí UMTS. V tomto trendu napomáhá pokrok ve vývoji vysokovýkonných techhnologií v oblasti polovodičových pamětí, CCD senzorů pro digitální fotoaparáty v mobilních telefonech, ale i kvalitní barevné displeje. Datové přenosy GPRS (General Packet Radio Service), které jsou fakticky podmínkou zavádění různých multimediálních služeb v sítích GSM jsou již rozšířené ve většině zemích a pravidlem je i mezinárodní roaming při využívání těchto datových přenosů. 6.10.2 Technologie GPRS Technologie GPRS (General Packet Radio Service) je systémem přenosu dat, při kterém je přenosová rychlost několikrát vyšší v porovnání se sítí GSM. Může dosáhnout až 171,2 kbit/s, což se již alespoň zdaleka blíží k rychlostem 125
poskytovaným ADSL spojem. V některých případech může dosáhnout přenosové rychlosti až 300 kbit/s (teoreticky). V praxi se počítá s použitelnou rychlostí v rozmezí 20 – 80 kbit/s a tedy srovnatelná rychlost s ISDN připojení. Vše začalo u zrodu sítě GSM. Ta nejdříve sloužila jen jako hlasové služby (běžné telefonické hovory). Později se objevila novinka s tajuplným názvem SMS. Operátoři upravili síť tak, aby mohla sloužit také pro přenos SMS. Později byly uvedeny na trh faxové služby. Nakonec se začaly používat i datové služby, které umožňovaly přístup internetových a intranetových sítí rychlostí 9,6 kbit/s. Byla snaha vytvořit něco lepšího a v roce 1998 byla prezentovaná síť GPRS na Světovém kongrese. Demonstrovaly se zde možnosti GPRS – přenos videa, připojení k internetu a intranetu. Operátoři se snažili od této chvíle přizpůsobovat své sítě této nové technologii. To by však nestačilo, pokud by se na trhu neobjevily mobilní telefony podporující GPRS, kterých je dostaečně velký počet, jakož i další zařízení, jako jsou modemy (fungují obdobně jako klasické modemy) zpřístupňující internet přes GPRS. Hlavní rozdíl mezi způsobem přenou dat u GPRS a GSM spočívá v tom, že při přenosu přes GPRS se data rozdělí na menší části – balíčky (resp. pakety), které potom nezávisle na sobě nejvýhodnějšími cestami putují po síti (využívají nezávislé kanály). Pakety se sejdou na požadovaném místě, jsou opět spojené ve správném pořadí dohromady tak, aby jejich koncové zařízení je uměly přijmout a zpracovat. Čím více kanálů se při přenosu využívá, tím rychleji jsou data přijímaná a odesílaná. Pro běžné uživatele je hlavní výhodou GPRS ta skutečnost, že umožňuje neomezené připojení do internetu. Znamená to v podstatě možnost on-line připojení 24 hodin denně, přičemž uživatel zaplatí pouze za přenesená data. 6.10.3 Technologie EDGE WWW
http://www.earchiv.c z/a99/a910c700.php 3
Technologie EDGE (Enhanced Data for Global Evolution) je jedním z možných využití sítě druhé generace – GSM. Ve velké míře vylepšuje možnosti GSM/GPRS sítí. Několikanásobně zvyšuje propustnost a rychlost přenosu dat a současně vylepšuje síťovou kapacitu pro přenos dat v rádiové části GPRS/EDGE sítě. Teoreticky může být EDGE nasazena do dvou prostředí: pro dial-up služby – a v tom případě vzniká upgrade technologie na ECSD (Enhaced Circuit – Switched Data , anebo pro služby založené na paketovém přenosu dat – proběhne upgrade na technologii EGPRS (Enhanced General Packet Radio Service) Společnost T-Mobile využívá technologii EGPRS, resp. kombinaci sítě dvaapůlté generace GPRS modulovanou možnostmi standardu EDGE. Kombinaci standardů GPRS/EDGE aplikuje většina evropských i světových operátorů a snaží se tím zlepšovat právě systém datových paketových služeb. V případě kombinace EDGE/GPRS je výhodou, že rozhraní rádiové části technologie EDGE disponují se stejnou strukturou timeslotů jako při technologii GPRS. Většina signalizačních protokolů a dokonce veškeré protokoly na uživatelské úrovni (IP, UDP, TCP a další) jsou pro technologie GPRS a EDGE stejné. Dále je třeba si uvědomit činnost EGPRS – pracuje totiž stejně jako standardní technologie GPRS – 126
data jsou před odesláním rozložené na pakety a ty se posílají po různých kanálech a potom se znovu spájejí do původního datového celku. Výhodnou EDGE je ta skutečnost, že navíc využívá nové modulační techniky přenosu dat a také vylepšený mechanismus pro opravu ztracených nebo poškozených paketů dat. Technologie EDGE a WiFi. Signál EDGE lze přijímat na mobilních telefonech, k WiFi potřebujeme datovou kartu. EDGE má širší územní pokrytí, zatímco WiFi lze přijmat jen na určitých místech, budovách nebo ve vyhrazených areálech. Pokud jde o rychlosti, tak naprosto převažuje Wifi. 6.10.4 Technologie HSCSD Technologie HSCSD (High Speed Circuit Switched Data) je standardem dvaapůlté generace. Je založena na principu přepojování okruhů (Circuit Switched). Maximální přenosová rychlost HSCSD je 57,6 kbps. Na jednom GSM kanálu běží souběžně několik hovorů. Ke každému hovoru, nebo přenosu jsou přidělené určité časové úseky. Při normálním telefonování využíváme pouze dva timesloty – jeden na vysílání, druhý na příjem. A zde se dostáváme k principu HSCSD. Když zabezpečíme na straně mobilního telefonu - a současně také na straně BTS, aby pro přenos dat bylo přiděleno více timeslotů, typicky tři nebo čtyři, můžeme zvýšit rychlost přenosu až na čyřnásobek základní přenosové rychlosti, tj. maximálně na 43,2 kbps.. Na straně mobilního operátora jde hlavně o úpravu software, protože přidělování timeslotů pro klasické hovory lehce zvládají. Teoreticky je možno na jeden přenos přidělit až 8 timeslotů. Jelikož HSCSD přenos je určen hlavně pro přístup na internet, implicitně se předpokládá asymetrický přenos. Výhodou technologie HSCSD je, že si uživatel může zvolit kolik chce timeslotů přidělit na směr odchodu a kolik na směr příchodu a to podle toho zda například bude chtít odesílat mnoho příloh k e-mailům nebo naopak, zda bude chtít stahovat z webu soubory. 6.10.5 Technologie CDMA Standard CDMA (Coded Division Multiple Access) využívá dělení komunikačních kanálů pomocí kodování pseudonáhodným kódem. Vyskytuje se více variant – pro sítě 2. a 3 generace GSM využívá časové dělení kanálů (TDMA). V rámci různých regionů bylo vyvinuto několik typů přístupů založených na CDMA. Technologie CDMA využívající techniky rozprostřeného spektra (Spread spectrum) vykazuje v porovnání s přístupy TDMA (Time Division Multiple Access) nebo FDMA (Frequency Division Multiple Access) používanými u mobilních sítí předchozích generací několik výhodných vlastností. Technologie CDMA může výrazně konkurovat ADSL a dalším typům širokopásmového připojení. V porovnání s fixním připojením má CDMA výhodu, že lze s počítačem v oblasti libovolne pohybovat. Avšak vzhledem omezenému vysílacímu výkonu terminálu se nedosahují srovnatelné přenosové rychlosti. 127
6.10.6 Standard UMTS Standard UMTS (Universal Mobile Telecommunication System) mobilních sítí třetí generace je schopen teoreticky dosáhnout propustnost (rychlost) až 1920 kbitps, přičemž současné UMTS sítě disponují propustností v ideálních podmínkách až 384 kbit/s. Známe možnosti nadstavby UMTS sítě (podobně jako EDGE u GSM). Jde o technologie HSDPA a UMTS TDD. Všichni tři čeští mobilní operátoři již vlastní licence na sítě třetí generace (alias UMTS), do kterých investovali opravdu nemalé peníze. Technologie UMTS, neboli sítě třetí generace, se především v Evropě nestaly takovým hitem, jak bylo očekáváno, a miliardy vynaložené za licence jsou spíše přítěží než vhodnou investicí. V tomto prostředí, kde vlastně není jasné, k čemu by běžný uživatel měl pro každodenní používání potřebovat mobil s rychlými daty (mobilní videokonference to asi opravdu nebude), a kdy současné potřeby pro mobilní uživatele relativně bez problémů pokryje GRPS+EDGE, je orientace na čistě datové služby poměrně logická. To platí především pro země, které jsou z hlediska penetrace vysokorychlostního Internetu rozvojové - tedy například ČR, která se může v rámci EU pochlubit pěkným třetím místem od konce. I proto se zde dříve spouští datové služby v rámci UMTS než hlasové - zatímco v ČR je hlad po připojení k Internetu a operátoři nemají problém s kapacitou GSM pro hlasové služby, v jiných zemích to je naopak, a tam je UMTS vhodným navýšením hlasových kapacit. V současné době je na světě přes 1.5 mld GSM uživatelů (650 sítí ve více než 200 zamí světa) a EDGE se dá využít už v 180 sítí na světě. Počty uživatelů UMTS jsou na první pohled skromné. Nejvíc UMTS uživatelů na našem kontinetě je v Itálii a ve Velké Británii. Podle všeho má již UMTS nejhorší roky za sebou a má šanci zopakovat úspěch GSM. Je rovněž důležité, že se objevují první zprávy o nasazování rychlejší technologie HSDPA (Highspeed Downlink Packet Access), které je podobným zdokonalením UMTS jako bylo v případě GSM a EDGE. Budou-li ceny telefonátů a také ceny mobilních telefonů nastavené alespoň zčásti na současné ceny v GSM, má UTMS šanci na úspěch. S použitím technologie UMTS TTD vzniká možnost vcelku kvalitního připojení na internet.
6.11 Otázky a úkoly 1. 2. 3. 4. 5. 6. 7. 8. 9.
Uveďte výhody bezdrátových a mobilních počítačových sítí. Podle jakých kritérií lze klasifikovat bezdrátové sítě? Vysvětlete princip simplexního a duplexního přenosu. Role IEEE při standardizaci a specifikace bezdrátových sítí. Proč pro bezdrátovou variantu LAN se nepoužívá zase Ethernet? Architektura bezdrátových lokálních sítí; Uveďte standardy pro bezdrátové LAN. Bezdrátové osobní sítě; uveďte příklady a příslušné standardy. Metropolitní bezdrátové sítě. 128
10. Charakterizujte WiMAX - technologii pro bezdrátový přístup k rozsáhlým datovým sítím. 11. Bezdrátové regionální sítě. 12. Bezdrátový přístup do počítačové sítě v pohybu; principy, normy, standardy. 13. Sítě mobilních operátorů; technologie GPRS, standard UMTS.
6.12 Samostatní práce studenta
Vytvořte WLAN pro použití alespoň 5 uživatelů. Zabezpečte tuto síť systémem WEP2 a začleňte MAC access list. Najděte vhodný software pro odhalování klíčů dané sítě a zjistěte, zda je možné do dané sítě proniknout.
129
130
7 Síťové služby Obsah kapitoly: 7.1 Cíle kapitoly 7.2 Získané dovednosti 7.3 Klíčová slova 7.4 Obecné vlastnosti serverů 7.4.1 Operační systém 7.4.2 Hardware serveru 7.4.3 Software serveru 7.4.4 Různé formy poskytovaných služeb 7.5 Webový server 7.5.1 Obecné vlastnosti 7.5.2 Zdroj poskytovaných informací 7.5.3 Software 7.6 Souborový server 7.6.1 Průběh komunikace 7.6.2 Computer storage 7.6.3 Dělení storage podle přístupu k datům 7.6.4 DAS - Directly Attached Storage 7.6.5 NAS - Network Attached Storage 7.6.6 SAN - Storage Area Network 7.7 Databázový server 7.7.1 PostgreSQL 7.7.2 Firebird 7.7.3 MySQL 7.7.4 SQLite 7.7.5 IBM DB/2 Express-C 7.7.6 Oracle XE 7.7.7 Sybase ASE Express Edition 7.7.8 Apache Derby 7.7.9 HSQLdb 7.8 Tiskový server 7.9 Mail server 7.10 DNS server (domain name system) 7.10.1 Jak DNS funguje 7.10.2 Složení doménového jména 7.10.3 DNS servery 7.10.4 Nejčastěji používané jsou následující typy zdrojových záznamů: 7.11 Faxový server 7.12 Proxy servery 7.12.1 HTTP proxy 7.12.2 SOCKS proxy 7.12.3 Intercepting proxy 7.12.4 Anonymní proxy servery 7.13 Aplikační server 7.14 Otázky a úkoly 7.15 Samostatní práce studenta
131
7.1 Cíle kapitoly
Servery a operační systém
Kapitola je zaměřena na problematiku poskytování služeb sítí. K zabezpečení zmíněných služeb jsou k dispozici serverové operační systémy. Nejvíce rozšířená je platforma Microsoft Windows Server, Unix, Linux a jeho varianty či Solaris. Z praxe známe dále ještě NetWare společnosti Novell. Mezi nejznámější výrobce serverů se řadí společnosti HP, DELL, IBM a SUN. V této kapitole rozebíráme speciální vlastnosti jednotlivých serverů, které v sítích poskytují celou školu služeb. Jde o webový server, souborový server, databázový server, tiskový server, mail server, proxy server a další. Cíle kapitoly spočívají ve specifikaci vlastností jednotlivých serverů tak, aby z uživatelského hlediska bylo možno do počítačové sítě zařadit uzel plně pokrývající požadavek kladený na síť. Důkladný popis parametrů jednotlivých serverů umožní správnou volbu, přičemž v některých případech jeden server může zastat více funcí.
7.2 Získané dovednosti Důkladné osvojení si vlastností jmenovaných serverů – hardware i software jsou pak podmínkou správné volby. Vedle definovaných požadavků na funkce serveru je student obeznámen také s nejnovějšími typy serverů od špičkových výrobců.
7.3 Klíčová slova webový server, souborový server, databázový server, tiskový server, proxy server, aplikační server, mailový server, DNS server, firewall,
7.4 Obecné vlastnosti serverů Server je v informatice obecné označení pro počítač (tedy hardware) nebo software, který poskytuje nějakou službu dalším počítačům nebo programům. Termín „Server“ byl údajně převzat ze slova „Serve (sloužit)“, proto slouží uživatelům v celé síti k zajištění různých služeb jako tisku, jako souborový server pro aplikace nebo data, může zabezpečovat přístup do internetu jako proxy server, sloužit jako nějaký portál či intranetový informační kanál, faxový server, poštovní server, databázový server, internetové servery (překlad adres DNS - Domain name server, webové servery, ftp), Mail Exchange Server pro řešení poštovních služeb mobilních uživatelů a zprostředkovávat mnoho dalších služeb. Díky tomu pak mohou uživatelé sítě prostřednictvím svých pracovních stanic či jiných zařízení tyto nabídnuté prostředky využívat. Takto lze docílit mnohostranně výhodného sdílení hardwarových a softwarových prostředků i datových souborů. Servery mimoto zajišťují vlastní chod sítě a realizují jednotlivé síťové funkce. Z nejvýznamnějších lze, kromě již uvedeného poskytování souborových a tiskových služeb uživatelům, dále jmenovat zajištění komunikace s ostatními stanicemi sítě, ochranu dat uložených v síti, řízení sdílených prostředků a správu síťového prostředí. Vzhledem k činnostem, které provádějí, na ně bývají kladeny vysoké požadavky, co 132
se týče spolehlivosti a rychlosti. V síti může pracovat jeden nebo více serverů. Jejich počet závisí především na typu sítě. Pro plnohodnotnou činnost sítě je třeba, aby v ní byl spuštěn alespoň jeden server. Servery jsou dnes tam, kde jsou potřeba zajistit služby pro ostatní uživatele v síti. Většina serverů je vyhrazena pro tento účel, ale mohou být využívány i k jiným účelům. Například v malé kanceláři, výkonný desktop může sloužit pro obojí najednou. Jako stanice pro uživatele a zároveň jako server pro skupinu dalších počítačů. Na jednom fyzickém serveru může být provozováno několik SW serverů nebo virtuálních serverů. [12; 32; 80]
Obrázek č.7.1: Servery umístněné ve skříni (tzv. rack). Zepředu a zezadu. Zdroj: [114]
7.4.1
Operační systém
K zabezpečení zmíněných služeb jsou k dispozici serverové operační systémy. Nejvíce rozšířená je platforma Microsoft Windows Server, Unix, Linux a jeho varianty či Solaris. Z praxe známe dále ještě NetWare společnosti Novell. Ve světě Unixu se softwarový server nazývá „démon“ (anglicky „daemon“), v Microsoft Windows se nazývá „služba“ (anglicky „service“). Služba může být nabízena v rámci jednoho počítače (obsluha připojené tiskárny, správa automatických aktualizací, apod.) nebo i počítačové sítě (sdílené disky, síťová tiskárna, WWW server, autentizací server, a další). Poskytování služby je pak realizováno pomocí aplikačního síťového protokolu. Počítač nebo proces, který službu využívá, se nazývá klient, architektura, která používá tento princip, se nazývá klient-server. Server je v tomto případě vyhražený (dedicated). V počátcích se používal ještě princip rovný s rovným (peer-to-peer) bez vyhraženého serveru (non dedicated). [24]
7.4.2
Hardware serveru
Server může být postaven z běžného hardwaru, který se používá u stolních počítačů. Samozřejmě mnohem častěji se používá specializovaný hardware optimalizovaný pro potřeby serveru v souvislosti se službami, které ať už skupina uživatelů či společnosti různých velikosti využívají. Dále jde o spolehlivosti. Servery většinou běží 24 hodin
133
denně 7 dní v týdnu 365 dnů v roce nonstop. Kvalita či spolehlivost serverového provedení souvisí také s tím, že při výpadku serveru může vzniknout společnosti, která ho používá, velká finanční či dokonce nenahraditelná ztráta. To má za následek mnohem vyšší pořizovací náklady serverového řešení s propracovaným zálohováním ať už samotného datového objemu (Datová pole, úložiště, škálovatelná datová pole, zálohovací zařízení) tak samotných HW komponent (Redundantní provedení). Mezi nejznámější výrobce serverů se řadí společnosti HP, DELL, IBM a SUN. Používají hardware, který si sami otestují a zaručují spolehlivost. Ke svým výrobkům dále poskytují ať už přímou nebo partnerskou účastí servis, kdy již v běžných záručních podmínkách a nebo dále podle uzavřené rámcové smlouvy se zavazují k odstranění závady v předem daném časovém horizontu. Problém nastává snad jen u některých speciální komponent, kdy může zejména u starších zařízení dojít k zastavení výroby či podpory komponent. Z toho důvodu může být problémem i požadavek rozšíření. Pro umístění serverů bývají vyhrazené, uzavřené a specielně vybavené místnosti. Tyto jsou upraveny tak aby odpovídali všem bezpečnostním a technickým parametrům. Zejména se jedná o zamezení přístupu nepovolaným osobám, klimatizované prostředí na optimální teplotu okolo 21°C a pod. Většinou je provoz ve společnostech upraven přísnými vnitřními předpisy. Dále mívají společnosti odděleně od těchto prostor trezor pro ukládání datových záloh. Trezor samozřejmě odpovídá parametrům tak aby i při úplném vyhoření prostor a dosažení tavných teplot nedošlo ke ztrátě dat. Jak vyplývá z výše uvedeného jsou data to nejcelejší co na serverech bývá. Je v nich schováno neocenitelné množství práce a informací. Proto by mohl být i pro malou společnost či jednotlivce velký hazard nevhodný a nebo podceněný výběr techniky. V současné době výše zmiňovaní výrobci nabízejí nepřeberné množství variant a komponentů. Pro okrajové hrubé objasnění jen několik informací: Procesory (CPU) jsou jednou z nejdůležitějších hardwarových částí serverů. Musí řešit spoustu dotazů od uživatelů a je zapotřebí, aby měli co nejmenší chybovost. V serverech je často používáno více procesorů, dnes místo více procesorů se čím dál častěji používají procesory s více jádry. Mezi nejznámější serverové procesory patří Xeon společnosti Intel a Opteron od firmy AMD. Volbou procesoru je pak ovlivněn výběr základních desek s vhodným chipsetem. Nejnovější servery většinou obsahují obyčejnou léty prověřené integrovanou grafickou kartu a nevěnují se multimediálnímu vybavení, protože taková zařízení jsou pro chod serveru zcela zbytečná. Dále jde o běžnou mechaniku např.CD/DVD-ROM, o síťové adaptéry a další velmi důležitou volbou je dostatečné množství rychlé operační paměti s technologií opravy chyb a o samotnou koncepci a kapacitu diskového systému s pevnými disky (řadič, pole, disky). Vždy musí být celé zařízení kvalitně chlazeno. Server by měl být vybaven zálohovacím zařízením a nebo by mělo být takové zařízení ze serveru snadno dosažitelné, protože zálohování je naprosto nezbytnou součástí prevence proti ztrátě dat.
7.4.3
Software serveru
Hlavní rozdíl mezi osobním počítačem a serverem je ve vybavení programy (software). Současné operační systémy jsou obvykle univerzální a mohou sloužit jako osobní počítač i jako server. Rozdíl je pak v jejich nastavení, kdy u osobních počítačů je preferována interaktivita (počítač rychle reaguje na požadavky uživatele) a u serverů se klade důraz na škálovatelnost (schopnost dosažení co nejvyššího výkonu). Z obchodního hlediska jsou některé komerční produkty odlišovány (Windows Vista a Windows Server 2008, produkty firmy Microsoft). Cílem je dosáhnout vyšší ceny 134
u produktů, které jsou určeny pro firemní prostředí a naopak nižší ceny u produktů, které jsou určeny pro běžného uživatel (srovnej např. Windows Vista Starter, Home Basic, Bussines, Ultimate). Z hlediska softwarového vybavení jsou u serverové edice navíc některé programy, které zajišťují poskytování síťových služeb. Stejně tak u produktů určených pro domácí prostředí chybí komponenty nutné pro použití ve větších (firemních) sítích. Open source software jako je Linux, FreeBSD, Solaris a další, umožňují uživateli volně měnit nastavování operačního systému nebo přidávat doplňující aplikace (a všechny údaje jsou volně k dispozici). I přes to jsou například některé distribuce Linuxu rozlišeny pro desktop a na server. Serverové mohou mít například delší dobu podpory, desktopové se orientují na vyšší pohodlí uživatele. Internetové servery jsou umístěny buď přímo ve firmách, školách nebo domácnostech, avšak často jsou umisťovány do specializovaných hostingových datových center, kde je zajištěn nepřetržitý dohled, záložní zdroje elektrické energie, klimatizace, vysokorychostní zálohované připojení k Internetu a podobně. Servery mohou být pronajímány i částečně, například pro poskytování některé služby (webhosting), případně v poslední době i jako virtuální stroje, kdy jeden fyzický počítač vystupuje jako více počítačů pro různé zákazníky, aniž si mohou navzájem škodit.
7.4.4
Různé formy poskytovaných služeb
Jak již bylo řečeno, služby server poskytuje klientům, což označujeme jako arcitektura klient-server (odlišné modely jsou peer-to-peer nebo friend-to-friend). Služby mohou být nabízeny v rámci jednoho počítače (lokálně) nebo více počítačům pomocí počítačové sítě (síťové služby). Lokální službou může být například obsluha připojené tiskárny, správa automatických aktualizací a podobně. Služby, které server poskytuje v lokální síti (LAN) může být například sdílení disků, tiskáren nebo schopnost ověřit uživatele podle jména a hesla (autentizace). Ve větších sítích, jako je Internet, servery uchovávají a nabízejí webové stránky a poskytují další služby (DNS, e-mail atd.). Poskytování služby zajišťuje speciální program. Podle toho, jestli je server vyhrazen jen pro poskytování služeb, nebo může sloužit i uživatelům servery rozlišujeme na: dedikovaný – vyhrazený pro speciální účely, bez přímého přístupu uživatelů nededikovaný – server slouží uživateli zároveň jako obyčejný počítač Služby jsou v počítačové síti poskytované prostřednictvím těchto typů serverů: Webový server – především v síti Internet poskytuje WWW stránky Souborový server – slouží např. v podnikové síti jako centrální úložiště dat (dokumentů) Databázový server – slouží jako úložiště strukturovaných dat (databází) Tiskový server – zpřístupňuje počítačové tiskárny Faxový server – zpřístupňuje uživatelů, sdílený fax Mail server – zpřístupňuje emailovou komunikaci uživatelů DNS server – server, který prokládá jmenné názvy na IP adresy Proxy server – zprostředkovává přístup do jiné sítě (např. Internet) Aplikační server – počítač specializovaný na provoz nějaké aplikace jiné Některé z uvedených serverů rozebereme podrobněji. 135
Co všechno potřebujeme na spuštění serveru
7.5 Webový server Web servery, jejich služby a využití
Webový server je počítačový program, který je odpovědný za vyřizování požadavků HTTP od klientů - programů zvaných webový prohlížeč. Vyřízením požadavků se rozumí odeslání webové stránky. Webové stránky jsou obvykle dokumenty HTML. [82] 7.5.1
WWW
http://www.earchiv.c z/a97/a701k130.php 3
Obecné vlastnosti
Jednotlivé webové servery se mohou v různých jednotlivostech značně lišit. Přesto mají několik společných vlastností. Každý webový server je připojen k počítačové síti a přijímá požadavky ve tvaru HTTP. Tyto požadavky vyřizuje a počítači, který požadavek vznesl, vrací odpověď. Odpověď obvykle představuje nějaký HTML dokument. Může to být ale i dokument v jiném formátu - text, obrázek apod. Součástí odpovědi je i tzv. Stavový kód odpovědi. Ten udává, zda byl požadavek vyřízen v pořádku, či zda došlo k nějakým obtížím. Běžným stavovým kódem, označující stav OK je 200. Dále jsou to řády: 3xx - problémy spojené s přesměrováním 4xx - chyby související s vyřízením požadavku (stránka není dostupná, apod.) 5xx - interní chyby serveru Obvykle server nějakým způsobem protokoluje přijímané požadavky. To pomáhá správci webového serveru vytvářet statistiky a podle typu a množství požadavků optimalizovat obsah, způsob uložení i způsob prezentace požadovaných dat.
Obrázek č.7. 2: Schéma komunikace serveru. Zdroj:[130]
7.5.2
Zdroj poskytovaných informací
Webový server má v zásadě dvě možnosti, jak získávat informace, které vrací 136
klientům: jsou to buď předem připravené datové soubory (HTML stránky), které webový server bez změny poskytne klientovi (tzv. statický obsah) teprve na základě požadavku klienta jsou data shromážděna (přečtena ze souboru, databáze, nebo nějakého koncového zařízení), zformátována a připravena k prezentaci ve formátu HTML a poskytnuta webovému prohlížeči (tzv. dynamický obsah) K dynamickému vytváření obsahu se používá celá řada různých technologií (Perl, PHP, ASP, ASP.NET, JSP apod.). Statický obsah je schopen server poskytnout významně rychleji než dynamický. Na druhé straně pomocí dynamického obsahu lze poskytovat mnohem větší obsah informací a lze reagovat i na různé „ad hoc“ dotazy klientů. Proto se v praxi v mnoha případech oba způsoby poskytování obsahu kombinují - například pomocí cachování . 7.5.3
Software
Nejrozšířenější programy, které zabezpečují službu webového serveru, jsou: Apache server Internet Information Services Sun Java System Web Server Hypertext Transfer Protocol HTTP (Hypertext Transfer Protocol) je internetový protokol určený původně pro výměnu hypertextových dokumentů ve formátu HTML. Používá obvykle port TCP /80, verze 1.1 protokolu je definována v RFC 2616. Tento protokol je spolu s elektronickou poštou tím nejvíce používaným a zasloužil se o obrovský rozmach internetu v posledních letech. V současné době je používán i pro přenos dalších informací. Pomocí rozšíření MIME umí přenášet jakýkoli soubor (podobně jako e-mail), používá se společně s formátem XML pro tzv. webové služby (spouštění vzdálených aplikací) a pomocí aplikačních bran zpřístupňuje i další protokoly, jako je např. FTP nebo SMTP . HTTP používá jako některé další aplikace tzv. jednotný lokátor prostředků (URL, Uniform Resource Locator), který specifikuje jednoznačné umístění nějakého zdroje v Internetu. K protokolu HTTP existuje také jeho bezpečnější verze HTTPS, která umožňuje přenášená data šifrovat a tím chránit před odposlechem či jiným narušením. HTTPS je v „nadstavba“ síťového protokolu HTTP, která umožňuje zabezpečit spojení mezi webovým prohlížečem a webovým serverem před odposloucháváním, podvržením dat a umožňuje též ověřit identitu protistrany. HTTPS používá protokol HTTP, přičemž přenášená data jsou šifrována pomocí SSL nebo TLS a standardní port na straně serveru je 443. Protokol http souvisí s udělováním certifikátů společnostmi certifikační autorit. Apache server Apache server je softwarový webový server s otevřeným kódem pro GNU/Linux, BSD, Solaris, Mac OS X, Microsoft Windows a další platformy. V současné době dodává prohlížečům na celém světě většinu internetových stránek. 137
Obrázek 7. 1 - Administrace Apache serveru – Windows Zdroj: vlastní
Obrázek 7.4 - Administrace Apache serveru – Linux Zdroj: vlastní
7.6 Souborový server
Souborový server (zkratka FS, anglicky File Server) je v informatice označení pro Souborové počítač (server), který je připojen k počítačové síti a jeho hlavním úkolem je servery, jejich poskytovat přístup k souborům, které jsou na něm uloženy (model klient-server). služby a využit 138
Výhodou souborového serveru je centralizovaná správa, úspora nákladů, snadnější zálohování, údržba, podpora sdílení dat a podobně. [14; 99]
Obrázek č. 7.4.: Příklad počítačové sítě s využitím souborového serveru. Zdroj: [162]
7.6.1
Průběh komunikace
1. Klient (uživatelský počítač) nejčastěji nejprve provede autentizaci pomocí uživatelského jména a hesla (lze využít i jiné mechanizmy, které uživatele identifikují a povolí mu k nabízeným službám přístup). 2. Klient si připojí ze serveru nabízenou adresářovou strukturu, která se pomocí vhodné mezivrsvy operačního systému uživateli (a jeho aplikacím) jeví jako lokální adresáře a soubory. S připojeným síťovým adresářem a soubory klient dále pracuje pomocí standardních funkcí jako s lokálně uloženými adresáři soubory, avšak zmíněná mezivrstva provádí transformaci na funkce, které slouží pro komunikaci se souborovým serverem. 3. Klient posílá přes síť serveru požadavky na manipulaci se soubory a adresáři ve formě funkcí nějakého aplikačního protokolu (NCP, SMB, NFS, FTP, …). Server na základě předchozí autentizace (viz výše) požadavky zpracuje (převede je na funkce používané pro klasický přístup k souborům a adresářům). Při jejich použití jsou obvykle respektována oprávnění v systému souborů, která jsou na dané soubory a adresáře aplikována (i když má přistupující uživatel povoleno se serverem komunikovat, neznamená to ještě, že může pracovat se všemi nabízenými soubory). 4. Výsledek operace je zaslán klientovi
139
7.6.2
Computer storage
Computer storage je oblast, která se věnuje uchovávání dat v počítačovém prostředí. Od lokálně připojených zařízení po síťová řešení vzdálených úložišť. Storage device (zařízení pro ukládání dat) může být pevný disk, diskové pole, pásková nebo optická jednotka pro zálohování, apod. Článek pouze stručně popisuje základní architektury připojení storage (DAS, NAS a SAN), zmiňuje protokoly (FCP, SCSI, NFS, SMB/CIFS) a rozhranní (PATA, SATA, SAS, FC, SCSI). 7.6.3
Dělení storage podle přístupu k datům
Základní rozdělení datových úložišť je podle způsobu, jakým přistupují k uloženým datům. Mohou získávat soubory (adresují soubory) pomocí souborově založených (file-based) protokolů jako NFS nebo SMB/CIFS. Nebo přistupovat přímo k médiu a číst diskové bloky, které převádí na soubory, což je běžné u lokálně připojených disků nebo SAN sítí.
Obrázek č. 7.5. Dělení storage podle přístupu k datům. Zdroj: [186]
7.6.4
DAS - Directly Attached Storage
Přímo připojené disky (zařízení) k počítači. Jedná se o disky, které jsou připojeny přímo k internímu nebo externímu diskovému řadiči. Tedy buď disky v počítači, nebo jednoduché diskové pole, které je připojené k počítači spojem Point to Point. V praxi se používá rozhranní SCSI, SAS nebo SATA.
140
Obrázek č. 7.6. : DAS - Directly Attached Storage. Zdroj: [186]
7.6.5
NAS - Network Attached Storage
Datové úložiště připojené po síti, vychází z myšlenky souborových serverů (file servers). Je reprezentováno serverem nebo speciálním hardwarem, ke kterému je připojeno diskové polem (často DAS). Data se pomocí sdílení (sharing) připojují k různým počítačům. Čili pokud na jednom PC vytvoříme sdílený adresář, který na jiném počítači připojíme, využívám NAS v jeho jednoduché formě. Vedle toho jsou vytvořena speciální storage zařízení (skládají se z NAS hlavy, která vytváří rozhranní k uživateli, a diskového pole), která fungují na principu NAS a přináší řadu výhod pro větší prostředí.
Obrázek č. 7.7.: NAS - Network Attached Storage. Zdroj: [186]
Při sdílení dat do sítě se využívá několik (souborově založených) protokolů. Původní byl Server Message Block (SMB) vyvinutý v IBM a používaný v Dosu a prvních Windows. Již před delší dobou upravil Microsoft tento protokol a vytvořil Common Internet File System (CIFS), který je používán dnes. Na druhé straně vedle SMB vytvořil Sun protokol Network File System (NFS), který je dnes používán v prostředí Linuxu a dalších OS. Další možné protokoly jsou FTP, HTTP a podobné.
141
WWW
http://www.earchiv.c z/a93/a337c110.php 3
7.6.6
SAN - Storage Area Network
Nejvýkonnější řešení vzdáleného připojení storage. Využívá samostatné dedikované sítě pro storage komunikaci. Používají se protokoly, které pracují přímo s diskovými bloky.
Obrázek č. 7.8. SAN - Storage Area Network. Zdroj: [186]
Základem je SCSI protokol (tím nemluvíme o SCSI rozhranní), který je zabalen pro přenos přes Fibre Channel (FC) pomocí Fibre Channel Protocol (FCP) nebo pro přenos přes TCP/IP pomocí Internet Small Computer System Protocol (iSCSI). Případně některé další protokoly, které nejsou nyní příliš rozšířené jako Fibre Channel over Ethernet (FCoE), SCSI over Ethernet nebo další. Z výše uvedeného plyne, že disk (zařízení) připojený přes SAN v systému vypadá, jako by byl přímo připojený. SAN diskové pole se skládá z kotroleru a diskových polic. Na kontroleru se vytváří určité diskové prostory - virtuální disky (identifikují se pomocí Logical Unit Number - LUN), které se přiřadí určitým serverům. Pokud chceme stejný LUN sdílet více servery, tak se musí ošetřit nějakou speciální metodou, jinak dochází ke kolizím (poškození dat). SAN přes Fibre Channel (FC) Původně jediný typ SAN sítě. Využívá se optických vedení Fibre Optics (v současnosti o rychlosti 4Gbps) a protokolu FCP. Jsou potřeba speciální FC switche (pokud nemáme pouze spojení Point-to-Point) a servery musí mít Fibre Channel Host Bus Adapter (HBA), který nahrazuje SCSI řadič. Každý HBA má svoji unikátní adresu World Wide Name - WWN (obdoba MAC adresy u síťové karty), HBA může mít jeden nebo více portů, každý port má svou port WWN (WWNP) adresu a celý HBA má node WWN (WWNN) adresu. HBA zajišťuje komunikaci po síti a zapouzdřuje SCSI do FCP (a opačně) [4]. SAN přes TCP/IP - iSCSI SAN přes FC je značně drahá záležitost, takže se v době, kdy se začal používat gigabitový ethernet (v té době se používalo FC s rychlostí 2Gbps) objevil standardizovaný protokol Internet Small Computer System Protocol (iSCSI). Ten zapouzdřuje SCSI do TCP/IP protokolu, takže může fungovat na běžné ethernetové síti (podmínkou je minimální rychlost 142
1 Gbps). Teoreticky může fungovat na již existující síti (switchích a síťových kartách), ale v praxi se rozhodně doporučuje vybudovat oddělenou síť pro SAN (pro datový provoz není problém vytížit 1Gbps síť). TCP protokol sice není pro datový přenos, tak dobrý jako FCP protokol, který byl speciálně pro tento účel vyvinut, ale je dostatečný. V dnešní době jsou SAN sítě založené na iSCSI značně rozšířené. Je tu ovšem otázka síťové karty. iSCSI se může provozovat přes klasickou síťovou kartu, ale pak veškeré zpracování (zapouzdřování SCSI do iSCSI) provádí procesor počítače. Druhá možnost je zakoupit speciální iSCSI HBA, který provádí tyto úkony a počítači již předává normální SCSI.
7.7
Databázový server
Vývoj univerzálních databázových systémů začal v šedesátých letech minulého století. S rostoucím počtem uživatelů začal také stoupat zájem o nějaký standard. Tak Databázové vznikla skupina "Database Task Group" uvnitř skupiny CODASYL, jejímž servery, jejich produktem byl standard jazyka COBOL. Přístup skupiny DTG nakonec vedl ke služby a využití standardu, který uchovával data jako zřetězený seznam. Veškeré vyhledávání a zpracování dat se tak odehrávalo sekvenčně. Bylo tedy nutné projít všechna data uložená v databázi, což bylo vzhledem k faktu, že data byla uložena na magnetických páscích, stejně nezbytné. Podobných systémů bylo mnoho. S pevnými disky získaly počítače náhodný přístup k datům a sekvenční přístup začal být neefektivní. Tehdy přišel Edgar Codd, zaměstnanec IBM, s relačním modelem databází a pravidly pro jejich návrh. Coddovy návrhy byly implementovány v komerčních i nekomerčních systémech, jedním z nejdůležitějších byl INGRES, vytvořený týmem profesora Michaela Stonebrakera.
Obrázek č. 7.9.: Aplikace databázového serveru. Zdroj: Vlastní
Během vývoje relačních databází vzniklo pár dotazovacích jazyků, jako byl QUEL, 143
SEQUEL a nakonec SQL, u jehož zrodu stála firma IBM. Jazyk SQL byl standardizován Americkým národním standardizačním institutem (ANSI) a později byl přijat i Mezinárodním standardizačním institutem (ISO). Jazyk SQL umožňuje popisovat strukturu a operace s daty velmi jednoduchým způsobem, a také databáze, v tomto článku testované a popisované, podporují (aspoň částečně) jazyk SQL. Většina databází pracuje se standardem SQL99, který je dnes sice již zastaralý (poslední verze je SQL2003), ale stále velmi oblíbený. [16; 37] 7.7.1
PostgreSQL
Databázový systém PostgreSQL je následovníkem systému POSTGRES, který byl vytvořen týmem profesora Stonebrakera na základě zkušeností s projektem INGRES. Databáze POSTGRES přinesla systémy pravidel, uložené procedury a další pokročilé vlastnosti. Jedna z komerčních odnoží POSTGRESu byla Illustra, která byla posléze koupena firmou Informix, jež je v oblasti databází velmi známá. Illustra (a s ní POSTGRES) byla začleněna do Informix Universal Serveru. Poslední velkou událostí bylo koupení firmy Informix společností IBM, která pokračuje v prodeji a podpoře Informixu. V roce 1995 se dva postgraduální studenti, Andrew Yu a Jolly Chen rozhodli systém POSTGRES rozšířit, nahradili jazyk POSTQUEL jazykem SQL a nakonec systém přejmenovali na Postgres95. Komunita vývojářů začala systém rozšiřovat, opravovat chyby a přidávat automatické testy. Vznikla také dokumentace, která je, dle mého názoru, jedna z nejkvalitnějších. V roce 1997 došlo k přejmenování na PostgreSQL. Vývojáři PostgreSQL tvrdí, že jejich databáze je nejpokročilejší open-source databáze na světě. Netroufám si posoudit, zda je to pravda, faktem je, že databáze podporuje velkou část standardu SQL2003, stejně jako starší verze standardů SQL99 a SQL92 . 7.7.2
Firebird
V osmdesátých letech probíhal vývoj databázových systémů i ve firmě DEC. Zaměstnanec DEC, Jim Starkey, navrhl a implementoval databázi Jrd, která používala multigenerační architekturu, díky které měla tato databáze velmi vysokou propustnost dat. Avšak firma DEC měla ještě další databáze a neměla vůli podporovat je všechny. Nakonec tedy Jim Starkey založil vlastní firmu Groton Database Systems, která byla později přejmenována na InterBase. Díky rychlosti si získala mnoho příznivců, včetně firmy Ashton-Tate, která ji nejprve podporovala a nakonec ji úplně odkoupila. Firmu Ashton-Tate však okolo roku 1990 koupila firma Borland, která tak kromě původního produktu Ashton-Tate dBase získala i InterBase. Ze svých počítačových začátků si dobře pamatuji na databázi dBase jakožto standard, kterému obstojně konkurovala FoxPro. Formát DBF byl používán téměř všemi databázovými systémy a některými tabulkovými procesory. Ačkoli byla InterBase dodávána spolu s Delphi, poprvé jsem se o ní dozvěděl jako o samostatném produktu v roce 1996 v časopise CHIP. Další setkání s ní nastalo až v roce 2000, kdy bylo uvolnění zdrojových kódů bráno jako veliká senzace. Ve stejném roce začala skupina vývojářů uvolněné zdrojové kódy přepracovávat 144
a upravovat, a tím dali vzniknout systému Firebird. Firma Borland si pravděpodobně uvědomila, že databáze InterBase má stále co nabídnout, a tak se rozhodla dále vyvíjet uzavřenou verzi InterBase, která je nyní ve verzi 7.5.1. Firebird byl v podstatě od základů přepsán do jazyka C++, bylo provedeno velké množství oprav a změn a dnes je tento systém velmi stabilní. Poslední stabilní verze (v okamžiku psaní) je 1.5.3, ale verze 2.0 je téměř "za dveřmi". 7.7.3
MySQL
Databáze MySQL vznikla jako reakce na nedostatečnou flexibilitu a rychlost již existující databáze mSQL, která neumožňovala použít vlastní modul pro ukládání dat (ISAM). MySQL tak do velké míry kopíruje API původní mSQL, aby zajistila kompatibilitu aplikací. Na stránkách www.mysql.com je tvrzení, že databáze MySQL je nejpopulárnější databáze na světě. Programátoři PHP ji používají téměř výhradně, přestože, podle mého názoru, postrádá některé důležité vlastnosti. 7.7.4
SQLite
Databáze SQLite je obsažena v malé knihovně a přistupuje se k ní pomocí volaných funkcí. Byla autorem uvolněna jako public domain, což z ní činí naprosto nejvolněji použitelnou databázi. Díky tomu, že má formu knihovny a nepotřebuje naprosto žádné další programy, je často používána i místo interního datového formátu programů. 7.7.5
IBM DB/2 Express-C
Databáze DB/2 byla vyvíjena jako následovník Systemu R, což byla jedna z databází firmy IBM. Firma IBM v té době (devadesátá léta) nevěřila návrhu architektury doktora Edgara Codda, a tak byl systém DB/2 implementován skupinou programátorů mimo Coddovu kontrolu, takže mnoho Coddových pravidel bylo porušeno. Výsledkem jejich činnosti byl mimo jiné jazyk SEQUEL (Structured English QUEry Language). Toto jméno již bylo registrováno, proto byl jazyk přejmenován na SQL (Structured Query Language). První verze DB/2 byly určeny výhradně pro mainframové počítače firmy IBM. Poté byla DB/2 portována pod různé druhy Unixů, Windows a dokonce byla dodávána spolu s několika verzemi operačního systému OS/2. Dalším počinem bylo vytvoření verze pro Linux a dokonce i pro PDA. Současná verze je IBM DB/2 9 Viper. Vytvoření databáze Express-C bylo reakcí na uvedení Oracle XE a MS SQL Server 2005 XE. Tato databáze má omezení na 4 GB RAM a maximálně dva procesory. 7.7.6
Oracle XE
Firma Oracle byla založena Larrym Ellisonem v roce 1977, tehdy pod jménem Software Development Laboratories. Po dvou letech se společnost přejmenovala na Relational Software a uvedla na trh produkt Oracle V2 (V2 není technicky vzato přesné, protože V1 nikdy nebyla na trhu). Databáze podporovala základní SQL, ale 145
neměla transakce. Jméno Oracle nebylo zvoleno náhodou, ale bylo to údajně krycí jméno projektu financovaného CIA, na kterém Larry Ellison ještě s Bobem Minerem a Edem Oatsem pracovali ve firmě Ampex. V roce 1983 se firma přejmenovala na Oracle Corporation. Systém byl přepsán v jazyce C a byly do něj přidány transakce. Postupně byl systém portován pod Unix, převeden na model klient/server a rozšířen o PL/SQL. V roce 1992 byla přidána podpora pro referenční integritu, uložené procedury a spouště (triggery). Postupně byly přidávány vlastnosti jako objektový přístup, podpora internetu, Javy a práce s XML. Mimo základní větve Oracle existuje ještě Oracle Lite, který je určen pro mobilní zařízení. 7.7.7
Sybase ASE Express Edition
Společnost Sybase byla založena roku 1984 Markem Hoffmanem a Bobem Epsteinem v Berkeley v Kalifornii. Databázový systém Sybase je založen, stejně jako mnoho dalších, na původním systému INGRES, který byl obohacen o SQL rozhraní. Databáze Sybase byla do poloviny osmdesátých let minulého století druhou nejpoužívanější databází po Oraclu. Zhruba v této době se Microsoft se Sybase dohodly na sdílení zdrojového kódu a obě firmy tak vyvíjely téměř shodný systém. SQL Server byl uveden pod OS/2, ale v době okolo vzniku verze 4.9 se Sybase a Microsoft neshodly na další spolupráci a obě firmy se vydaly různou cestou. Microsoft nepokračoval ve vývoji unixové části databáze a soustředil se pouze na svou platformu, zatímco Sybase dále podporovala většinu původních platforem. S uvedením Informixu ale Sybase ztrácela své pozice na trhu a nyní je její produkt až za Oraclem, IBM DB/2 a MS SQL Serverem, který paradoxně vychází ze stejných základů. Pozice firmy Sybase se zhoršovala, ale díky novým produktům jako SQL Anywhere Studio se podařilo společnost opět vzkřísit. Původní stěžejní produkt se jmenoval SQL Server, ale byl v roce 1996 přejmenován na Adaptive Server Enterprise. Za zmínku stojí také menší open-source databáze McKoi DB nebo HSQLDB (Hypersonic SQL). První jmenovaná je určena k nasazení a má velmi malé požadavky. Databáze Hypersonic je určena k testování a vývoji, ale její nasazení se nevylučuje. 7.7.8
Apache Derby
V roce 1996 vznikla v Oaklandu v Kalifornii společnost Cloudscape, Inc. Jejím záměrem bylo vyvinutí databázové technologie na platformě Java. Java byla velmi mladá, číslo verze bylo tehdy 1.0 (Java opustila Sun Microsystems teprve v roce 1995). V roce 1997 byla na trh uvedena databáze JBMS, později přejmenovaná na Cloudscape. V roce 1997 byla databáze Cloudscape i s firmou odkoupena společností Informix, kterou v roce 2001 získala firma IBM. Databáze byla přejmenována na IBM Cloudscape a byla dále prodávána společně s dalšími produkty firmy IBM. V srpnu 2004 se firma IBM rozhodla uvolnit zdrojové kódy a celý kód věnovala Apache Software Foundation. Vývoj probíhá nadále komunitním způsobem, firma IBM čas od času vytvoří novou verzi pod původním jménem, ke které zajišťuje placený servis, další podpůrné programy a manuály. Databáze psané v Javě obvykle poskytují vysokou škálovatelnost, podporu standardů a transakcí. Z nejdůležitějších relačních databázových systémů psaných v Javě 146
jmenujme například IBM Cloudscape a Sun Java (dostupná také jako open-source projekt pod názvem Apache Derby), Pointbase nebo rychlá H2 (brzy bude vydána pod open-source licencí, zřejmě MPL). [41] 7.7.9
HSQLdb
HSQLdb je databáze v jazyce Java, původně známá jako Hypersonic SQL. Její autor, Thomas Mueller, byl nucen v roce 2001 její vývoj ukončit kvůli práci ve společnosti PointBase. HSQLdb se vyvinula ve velmi oblíbenou databázi, která je např. používaná kancelářským softwarem OpenOffice.org. Thomas Mueller nadále vyvíjí další databázi psanou v Javě - H2. Výhodou databází psaných v Javě je výborné napojení na knihovnu JDBC nebo O-R mappery (nebo také ORM). Drtivá většina obchodních aplikací (jinými slovy databázových aplikací) vyvíjených v současné době je totiž psaná v Javě.
7.8 Tiskový server Pod pojmem tiskový server existují dvě rozdílné věci. Tou první je malé zařízení, které slouží jako převodník mezi síťovým rozhraním a rozhraním tiskárny ať už LPT, COM nebo modernější USB. Jak funguje? Toto zařízení obsahuje síťovou kartu, modernější jsou vybaveny technologií WiFi, pomocí níž je připojeno do sítě. Dále obsahuje již zmíněné přípojné rozhraní LPT, COM, USB v různých kombinacích a počtech, přes které se připojí jedna či více tiskáren. Konfigurace je možná přes konfigurační software dodávání k zařízení ale většinou přes webové rozhraní. Pomocí tohoto tiskového serveru můžeme částečně spravovat tisk. I když je tak nazýván, dokonce se prodává pod tímto pojmem, tiskový server o který se zajímáme, to není. Ne všechny tiskárny mají totiž již zabudované připojení na síť a technologii WiFi málokterá. Tím se dostáváme k našemu, již zmiňovanému tiskovému serveru. Co to tedy je? Asi málokoho překvapí, že se jedna o výkony počítač, který je stavěný na nepřetržitý provoz a nazývá se server. Samotný počítač na to samozřejmě nestačí, třeba aby na něm běžel operační systém s označením serverový. Nejznámější a nejrozšířenější je Microsoft Windows Server, kde jeho poslední verze je označena jako Windows Server 2008. Avšak není jediný a jeho hlavní nevýhodou je vysoká cena, kde konkurenční OpenSource systémy mají nesrovnatelně nižší cenu, například Red Hat Enterprise Linux a některé jsou dokonce zcela zdarma jako CentOS (Community Enterprise Operating System, jedna se o distribuci Linuxu). Když už máme hardware i software zabezpečený, můžeme říci že se jedna o server, kterému lze přiřadit roli. Role rozhoduje o tom co nám náš server zajišťuje, na co slouží. Můžeme ho využít jako úložiště dat, které budou pravidelně zálohována, udělovat přístupy uživatelům, na základě kterých bude rozhodnuto, kdo kam může zapisovat, co prohlížet, co měnit. Dále můžeme dát našemu serveru roli mailového serveru, kde bude sbírat maily, zálohovat je a na základě ověřování uživatelům zajišťovat přístup k emailem, dokonce i z několika lokalit. V našem případě mě však server roli tiskového serveru a zajišťuje nám funkčnost a jednoduchost tisku, zprávu tisku, zjednodušuje instalaci tiskáren na klientské stanice, sdružování tisku, přiřazování tiskových práv a politik. [14; 122] Tiskový server je tedy zařízení, které slouží jako server věnovaný na připojení 147
tiskárny k síti. Umožňuje uživatelům tisknout nezávisle na souborovém serveru, nepotřebujete už žádný počítač, ke kterému by musela být tiskárna připojena. Jelikož síťový tisk většinou představuje více než polovinu síťové aktivity, nemusí být ekonomické nebo efektivní routovat veškerý tisk přes souborový server, který by mohl být zahlcen požadavky na tisk a způsobovat tak zpomalení celé sítě. Věnovat zvláštní počítač pro připojení tiskárny sice ulehčí zátěži souborového serveru, ale je to drahé řešení, protože vyžaduje koupi hardwaru a softwaru a může být dost složité na instalaci.
Obrázek č. 7.10. : Využití tiskového serveru Axis. Zdroj: [166]
Tiskové servery Axis jsou ideálním řešením pro svou spolehlivost, kompaktnost a cenovou výhodnost, snadnou instalaci a správu. Díky zabudovaným webovým stránkám pro snadnou správu, můžete mít tiskový server Axis v provozu během pár minut. Navíc, jak se bude vaše síť zvětšovat o nové protokoly a tiskárny, budete vědět, že síťové servery Axis budou stále plnit vaše požadavky, protože podporují téměř všechny typy tiskáren a síťových prostředí. Tiskové servery mohou být interní nebo externí. Externí tiskový server je pružnější, protože můžete použít stejný server, i když měníte nebo upgradujete tiskárny. Tiskové servery Axis nejsou větší než přenosný přehrávač CD, jsou tak ideální pro firmy s omezeným místem pro počítačové vybavení.
7.9 Mail server Mailové servery, jejich služby a využití
Mail transfer agent neboli MTA (nazýván také mail transport agent, message transfer agent, mail server nebo mail exchange (MX) v souvislosti s DNS) je počítačový program, který přenáší elektronickou poštu z jednoho počítače na druhý. [80] MTA přijímá zprávy z jiného MTA pomocí mail submission agenta (MSA), který dostane zprávu od mail user agenta (MUA), nebo přímo od MUA, tedy působí jako MSA. MTA pracuje za scénou, mezitím co uživatel obvykle vzájemně komunikuje s MUA. Doručení e-mailu do uživatelské schránky se typicky provádí přes mail delivery agent (MDA); většina MTA má vestavěné základní MDA funkce ale jednoúčelové MDA jako je procmail mohou pracovat důmyslněji. Podle různých průzkumů jsou nepopulárnějšími mail servery Sendmail, Postfix, Microsoft Exchange Server, Exim, IMail (od Ipswitch, Inc.), MDeamon od Alt-N Technologies, MailEnable, Merak Mail Server a qmail. Mnoho organizací používá 148
pro příjem e-mailů služby e-mailové bezpečnosti jako například Postini, MXLogic nebo Contrentric Hosting. Microsoft Exchange Server je softwarový produkt společnosti Microsoft, který slouží pro výměnu e-mailových zpráv a sdílení zdrojů. Tvoří jeden ze základů portfolia Microsoftu v oblasti nabídky firemních systémů. Mezi jeho hlavní vlastnosti patří příjem a odesílání poštovních zpráv, správa kalendáře a kontaktů, sdílení veřejných složek, možnost přístupu do poštovních schránek přes webové rozhraní, přístup k systému pomocí mobilních zařízení a vlastnost datového úložiště.
7.10 DNS server (domain name system) 7.10.1 Jak DNS funguje Jak již bylo uvedeno v kapitole 1 těchto skript, prostor doménových jmen tvoří strom. Každý uzel tohoto stromu obsahuje informace o části jména (doméně), které je mu přiděleno a odkazy na své podřízené domény. Kořenem stromu je tzv. kořenová doména, která se zapisuje jako samotná tečka. Pod ní se v hierarchii nacházejí tzv. domény nejvyšší úrovně (TLD). Ty jsou buď tematické (com pro komerci, edu pro vzdělávací instituce atd.) nebo státní (cz pro Česko, sk pro Slovensko, atd.). [53] Strom lze administrativně rozdělit do zón, které spravují jednotliví správci (organizace nebo i soukromé osoby), přičemž taková zóna obsahuje autoritativní informace o spravovaných doménách. Tyto informace jsou poskytovány autoritativním DNS serverem. Výhoda tohoto uspořádání spočívá v možnosti zónu rozdělit a správu její části svěřit někomu dalšímu. Nově vzniklá zóna se tak stane autoritativní pro přidělený jmenný prostor. Právě možnost delegování pravomocí a distribuovaná správa tvoří klíčové vlastnosti DNS a jsou velmi podstatné pro jeho úspěch. Ve vyšších patrech doménové hierarchie platí, že zóna typicky obsahuje jednu doménu. Koncové zóny přidělené organizacím připojeným k Internetu pak někdy obsahují několik domén – například doména kdesi.cz a její poddomény vyroba.kdesi.cz, marketing.kdesi.cz a obchod.kdesi.cz mohou být obsaženy v jedné zóně a obhospodařovány stejným serverem. 7.10.2 Složení doménového jména Celé jméno se skládá z několika částí oddělených tečkami. Na jeho konci se nacházejí domény nejobecnější, směrem doleva se postupně konkretizuje. část nejvíce vpravo je doména nejvyšší úrovně, např. wikipedia.org má TLD org. jednotlivé části (subdomény) mohou mít až 63 znaků a skládat se mohou až do celkové délky doménového jména 255 znaků. Doména může mít až 127 úrovní. Bohužel některé implementace jsou omezeny více.
149
Doménové servery, jejich služby a využití
7.10.3 DNS servery DNS server může hrát vůči doméně (přesněji zóně, ale ve většině případů jsou tyto pojmy zaměnitelné) jednu ze dvou rolí: Primární server je ten, na němž data vznikají. Pokud je třeba provést v doméně změnu, musí se editovat data na jejím primárním serveru. Každá doména má právě jeden primární server. Sekundární server je automatickou kopií primárního. Průběžně si aktualizuje data a slouží jednak jako záloha pro případ výpadku primárního serveru, jednak pro rozkládání zátěže u frekventovaných domén. Typy záznamů 7.10.4 Nejčastěji používané jsou následující typy zdrojových záznamů:
A (address record) obsahuje IPv4 adresu přiřazenou danému jménu, například když jménu cosi.kdesi.cz náleží IP adresa 1.2.3.4, bude zónový soubor pro doménu kdesi.cz obsahovat záznam AAAA (IPv6 address record) obsahuje IPv6 adresu. Zmíněnému stroji bychom IPv6 adresu 2001:718:1c01:1:02e0:7dff:fe96:daa8 přiřadili záznamem MX (mail exchange record) oznamuje adresu a prioritu serveru pro příjem elektronické pošty pro danou doménu. Tentokrát jsou parametry dva - priorita (přirozené číslo, menší znamená vyšší prioritu) a doménové jméno serveru. NS (name server record) ohlašuje jméno autoritativního DNS serveru pro danou doménu. Bude-li mít doména kdesi.cz poddoménu obchod.kdesi.cz, jejímiž servery budou ns.kdesi.cz (primární) a ns.jinde.cz (sekundární), bude zónový soubor pro kdesi.cz obsahovat SOA (start of authority record) je zahajující záznam zónového souboru. Obsahuje jméno primárního serveru, adresu elektronické pošty jejího správce (zavináč je v ní ale nahrazen tečkou) a následující údaje: Serial — sériové číslo, které je třeba zvětšit s každou změnou v záznamu. Podle něj sekundární server pozná, že v doméně došlo ke změně. Pokud jej zapomenete zvětšit, rozejde se obsah sekundárních serverů s primárním, což rozhodně není dobré. Pro přehlednost často ve formátu YYYYMMDDHH. Refresh — jak často se má sekundární server dotazovat na novou verzi zóny (v sekundách). Retry — v jakých intervalech má sekundární server opakovat své pokusy, pokud se mu nedaří spojit s primárním. Expire — čas po kterém označí sekundární servery své záznamy za neaktuální, pokud se jim nedaří kontaktovat primární server. TTL — implicitní doba platnosti záznamů.
7.11 Faxový server Faxovéé servery, jejich služby a využití
Faxový server umožňuje nahradit klasický faxový přístroj. Inovací je v tomto případě to, že odchozí faxy není nutné tisknout na tiskárně a zpětně je snímat faxovým přístrojem. Samotný fax (data) prochází pouze elektronickou cestou, tudíž nespornou výhodou může být úspora za speciální faxový papír. Funkce faxového 150
přístroje je nahrazena faxmodemem umístěným v serveru, který je sdílen pro všechna klienty zapojené do stejné sítě. [127]
Obrázek č. 7.11.: Faxový server. Zdroj: [127]
Příchozí faxy jsou ukládány jako soubory do sdíleného adresáře či odesílány elektronickou poštou zvolenému adresátovi, přičemž obě možnosti lze kombinovat. Na nový příchozí fax je uživatel (adresát) upozorněn e-mailovou zprávou obsahující základní parametry přijatého faxového dokumentu (odkud, čas, rychlost, doba přenosu, stav přenosu, atd.). Odeslání faxu pak probíhá stejným postupem jako tisk dokumentu, přičemž uživatel pouze zadá číslo cílového faxu. Odesílat faxy tedy lze z jakéhokoliv software, ze kterého lze tisknout. Faxový server poskytuje přehledy o odeslaných a příchozích faxech. Údaje v hlavičce faxu (název spol., tel. číslo) lze nastavit ve webovém rozhraní modulu. Systém může podporovat až 60 faxových linek najednou. Faxový server má také mnoho převzatých (případně vylepšených) vlastností z klasického faxového přístroje, jako jsou: opakované automatické vytáčení při obsazené lince, opětovné navázání spojení po přerušení (odeslání pouze zbývajících nebo chybně odeslaných stránek), upozornění na neúspěšné odeslání, oznámení o přijatém faxu, rezervování linky pouze pro příjem nebo pro odesílání faxů, odeslání více dokumentů v jednom faxu, výtisk faxových reportů. Proxy servery, jejich služby a využití
7.12 Proxy servery Proxy server je aplikace, která vystupuje v roli prostředníka mezi dvěma 151
koncovými systémy. Proxy servery pracují ve firewallu na aplikační vrstvě a oba konce spojení jsou nuceny vést komunikační relaci přes „proxy“. K tomu na firewallu oba dva vytvoří a spustí proces, který zrcadlí danou službu, jako by běžela vždy na tom druhém koncovém uživateli.
Obrázek č.7. 12. Proxy server. Zdroj: [130]
S proxy serverem se původně dvoustranná relace změní v podstatě na čtyřstrannou. Prostřední dva procesy emulují dva reálné hostitele. Protože tyto proxy servery pracují právě na aplikační vrstvě, jsou také nazývány firewally aplikační vrstvy. Pro každý typ internetové aplikace, kterou má daný firewall podporovat, musí běžet samostatná služba proxy – jeden takový server tak slouží pro elektronickou poštu a protokol SMTP (protokol pro odesílání pošty) a druhý pro webové služby a protokol HTTP. Proxy servery jsou téměř vždy jednosměrné a pracují ve směru z vnitřní sítě do vnějších sítí. Jde tedy o to, že jestliže uživatel této vnitřní sítě rozhodne vstoupit na webovou stránku, která se nachází v prostředí Internetu, pak packety jeho požadavku nejprve zpracuje proxy server HTTP a teprve po tomto úkon je odešle do příslušného webového sídla. Pakcety navrácené z webového sídla se opět zpracují v HTTP serveru a teprve po té se předají hostiteli interního uživatele. Stejně jako je tomu u mechanismu NAT se v packtech při jejich odchodu na externí webový server nahradí interní adresa hostitele za IP adresu serveru HTTP. [88] Proxy server znamená soustředění veškeré aktivity určité aplikace do jednoho serveru, a proto je také ideální příležitostí k provádění dalších užitečných operací. Protože aplikace běží přímo na firewallu, lze v pakcetech kontrolovat mnohem více než jen kombinaci zdrojové adresy, cílové adresy a čísla portu. Právě proto v sobě mají ostatně téměř všechny moderní firewally alespoň nějakou architekturu proxy serverů. Jestliže je například nějaký server nastaven výhradně k rozesílání informací směrem ven (například FTP, či poštovní server), lze u všech k němu směrovaných příchozích packetech kontrolovat, jestli náhodou neobsahují příkazy pro zápis dat. Proxy server pak v tomto případě povolí pouze spojení obsahující příkazy pro čtení. Prosy servery jsou dalším příkladem technologie, která může fungovat pouze u kontextově orientovaných firewallů. Jestliže má například určitý firewall podporovat několik tisíc současně pracujících webových spojení, pak musí být zcela schopen také rozlišit, ke které relaci každý jednotlivý z milionu příchozích packetů náleží.[1]
152
7.12.1 HTTP proxy HTTP proxy má kromě podivného předávání jednu celkem zásadní schopnost, díky které se používá dodnes. Když si klient (žadatel) požádá o nějakou stránku, proxy server si ji stahuje k sobě, a pošle ji cílovému klientovi. Co když se ale zeptá jiný klient na tu stejnou stránku? Proxy server si obvykle stažené stránky uchovává nějakou dobu, a takovému dalšímu klientovi pošle ihned stránku, kterou stáhl předtím s tím, že pravděpodobně se na ní nic nezměnilo. Tímto způsobem lze ušetřit značnou část konektivity do internetu, a využít rychlejší vnitřní sítě. Takový server lze potom nazývat Cachující proxy server. V dnešní době těžko potkáte proxy server, který by toto nedělal. Postrádal by smysl. Práce s webem se potom jeví jako rychlejší, protože se neptáte pořád na internetu, ale pouze poprvé.
Obrázek č. 7.13.: Obvyklé operace HTTP Proxy serveru. Zdroj: [77]
Problém nastává s příchodem dynamických stránek, v případě, že jejich autoři práci s cachí neřeší. Potom proxy server neví, jak dlouho může uchovat uloženou stránku, aniž by zastarala. V takovém případě musí vždy stáhnout stránku znovu, aby klientovi zajistil vždy aktuální stránku a ne týden staré "aktuality". V takovém případě místo úspory a zrychlení dojde k mírnému zpomalení, protože na stažení se podílí další server. Proxy server se také může používat kvůli záznamu provozu na internetu, co kdo dělal. Proxy server jakožto prostředník zná celé URL, a může je tedy zaznamenávat do logů. Díky metodě CONNECT může umět navázat i běžné TCP spojení. 7.12.2 SOCKS proxy HTTP proxy má jedno celkem zásadní omezení. Je navrženo pro protokol HTTP a jiné protokoly obvykle neumí (dnes už nemusí být vždy pravda). Co ale dělat, pokud se chci připojit na IRC, Jabber, nebo jiný protokol využívající TCP/IP? K tomu je navržena SOCKS proxy. Umí předat jakékoliv TCP spojení, nejen 153
požadavky na WEB. Takže najendou bylo z privátní sítě možné používat i další internetové programy, jako ICQ, mail, IRC, a všechny další, které ovšem musely umět SOCKS proxy.
Obrázek č. 7.14.: Socks proxy. Zdroj: Vlastní
Nevýhoda SOCKS je, že oproti HTTP proxy nemůže z principu cachovat, protože přenášeným datům nerozumí ani to nemá v popisu práce. Proto SOCKS dnes již není natolik rozšířená. Nejčastěji ji používají různí podvratní živlové, kteří z různých důvodů potřebují mít jinou zdrojovou IP, než jejich vlastní. 7.12.3 Intercepting proxy Postupem času se také vymyslela proxy, která se nemusí nastavovat. Jejím účelem je čistě cachování, tedy zrychlení a odlehčení pomalé linky do internetu. Její princip funguje tak, že na routeru se váš požadavek odchytí a místo cílovému serveru pošle proxy serveru, který se zeptá za vás. Potom si zase uloži odpověď pro vás na delší dobu i pro případné ostatní zájemce. Takové chování se často chybně označuje jako transparentní proxy . 7.12.4 Anonymní proxy servery V mnoho případech se stává, že nějaká aplikace je dostupná jenom z jisté krajiny, popřípadě z jisté IP adresy, nebo naopak vaše adresa je blokována. Pro anonymní přístup kamkoli na internet slouží tzv. anonymní proxy servery, kterých je v online světe dost. Například uvedu anonymouse.org, kde si dokonce můžete zvolit z které krajiny chcete navázat spojení na dané místo. Podobným způsobem fungují 154
i anonymní mail servery, kterých poslední dobou ubývá, hlavně kvůli vyšším zabezpečením řádných mail serverů.
7.13 Aplikační server Aplikační server tvoří vrstvu mezi operačním systémem a aplikacemi. Podobně, jako operační systém poskytuje základní funkce programům (například pro přístup k souborovému systému, nebo ke správě procesů), poskytuje aplikační server často používané funkce enterprise aplikacím. Vytváří další vrstvu abstrakce, aby bylo psaní aplikací jednodušší. Příkladem takových funkcí mohou být podpora transakčního zpracování požadavků, persistence objektů do databáze, výměna zpráv mezi aplikacemi a další. Nabízí se samozřejmě otázka, co to vlastně je enterprise aplikce a jak se liší od běžné aplikace. Není to nic složitého, de facto se jedná o běžnou aplikaci, na kterou jsou kladeny určité nároky co se týče spolehlivosti, dostupnosti, robustnosti, výkonnosti. Typická je také potřeba obsloužit současně velké množství požadavků (klientů). Klasickými zástupci enterprise aplikací jsou moderní webové aplikace a řešení postavená na servisně orientované architektuře (SOA). [114]
Obrázek č.7. 15. Aplikační server. Zdroj: Vlastní
Za velkou výhodu aplikačních serverů bývá považována schopnost integrovat i velmi složité heterogenní prostředí při využití vícevrstvých architektur, především pak díky podpoře mnoha otevřených standardů. Podmínkou komerčního úspěchu aplikačního serveru je také plnohodnotná podpora přístupu k různým datovým zdrojům – ať již přímo do nejvýznamnějších databázových platforem, tak pomocí dalších metod (například přístupových a převodních rozhraní). Drtivá většina dnešních aplikačních serverů vychází z podpory standardu Java 2 Platform Enterprise Edition (J2EE). Mezi oblasti společné všem dnes dostupným aplikačním serverům patří především zajištění propojení mezi jednotlivými stavebními kameny daného řešení, zajištění transformace dat z a do požadovaných formátů, zajištění globální transakční logiky, zajištění správy verzí a automatických aktualizací, zajištění vysokého výkonu a dostupnosti a zajištění části bezpečnostních 155
Aplikační servery, jejich služby a využití
nároků (identifikace uživatelů, případně procesů). Mezi klíčové vlastnosti patří také podpora servisně orientované architektury a webových služeb. Často zmiňovanou výhodou aplikačních serverů je podpora řešení problémů s výkonem, obvykle pomocí různých variant škálování, rozkládání/vyvažování zátěže či speciálních vyrovnávacích pamětí. Samozřejmě nechybí podpora různých úrovní clusterů. S problematikou výkonu také souvisí hit poslední doby, a tím je podpora zpracování ve gridu. Důležité jsou prostředky pro automatickou správu a vnitřní samo-ladění aplikačního serveru. Typické pro současné aplikační servery je těsná integrace s vývojovými nástroji, zejména pak v případě Javy a využívání JSP a Java Servletů. Nemusí se přitom vždy jednat pouze o produkty stejných společností. Mezi hlavní dodavatele patří například společnosti Oracle, BEA Systems či Sun Microsystems.
7.14 Otázky a úkoly 1. Uveďte jaké služby poskytuje počítačová síť prostřednictvím serverů. 2. Servery dedikované a nededikované. 3. Vyjmenujte všechny známé typy serverů. 4. Uveďte podrobně hlavní vlastnosti webového serveru. 5. Vlastnosti souborového serveru; základní rozdělení datových úložišť. 6. Databázový server; databáze MySQL 7. Popište funkci tiskového serveru. 8. Mail server; uveďte příklady nepopulárnějších serverů. 9. DNS servery; primární a sekundární server. 10. Popište vlastnosti faxového serveru; v čem se liší od klasického faxového přístroje? 11. Význam proxy serverů; v čem spočívá užitečnost HTTP proxy? 12. V čem spočívá komerční úspěch aplikačního serveru?
7.15 Samostatní práce studenta
Navrhněte server pro využívání emailu. Konkrétně nainstalujte open source postfix na vhodné distribuci Linuxu. Nastavte konfigurační soubory tak, aby jste zabránili zahlcení serveru. Na firewally před daným serverem nastavte propustnost tak, aby mohli do sítě běžet jenom služby pop3, smtp, imap všetne zabezpečených verzí těchto protokolů.
156
8 Správa síťových operačních systémů Obsah kapitoly: 8.1 Cíle kapitoly 8.2 Získané dovednosti 8.3 Klíčová slova 8.4 Síťové operační systémy 8.5 Funkce operačního systému 8.6 Vlastnosti operačních systému 8.6.1 Systémy Unixového typu 8.6.2 Windows 8.6.3 Novell 8.7 Používání virtuálních konzol 8.7.1 Textové shelly a příkazy 8.7.2 Secure shell (SSH) 8.7.3 SSH1 8.7.4 SSH2 8.8 Příkazy a práce se soubory v UNIXu 8.8.1 Adresářová struktura 8.8.2 Struktura povelů 8.8.3 Práce se soubory 8.9 Uživatelské účty 8.9.1 Lokálny uživatelé 8.9.2 Group 8.9.3 Účet administrátor 8.9.4 Účet guest 8.10 Řízení a sledování procesů 8.10.1 Pojmy proces a úkol 8.10.2 Procesy a jejich správa 8.11 Zálohování dat 8.11.1 Důvody pro zálohování 8.11.2 Metody zálohy dat 8.11.3 Zálohovací média 8.12 Protokol IPv6 8.12.1 Výhody IPv6 8.12.2 Přechod na IPv6. 8.12.3 Nastavení operačních systémů 8.13 Otázky a úkoly 8.14 Samostatní práce studenta
8.1 Cíle kapitoly Cílem kapitoly je vysvětlit význam a principy síťových operačních systémů. Jsou základním řídicím elementem sítě. Síťový operační systém má mnoho funkcí z nichž některé jsou nutné a vyplývají už z definice operačního systému, jiné až tak nutné nejsou a ne každý operační systém je zajišťuje (např. správa paměti, správa procesů, správa periferií, a další). V této části skript je pozornost orientována na tři hlavní typy OS. Mezi víceuživatelské systémy v síťovém prostředí patří systémy Unixového typu. Další velkou skupinou jsou operační systémy rodiny Windows příklad: Windows 9x/ME, Windows NT, Windows 2000/XP. Poslední - Novell NetWare - je 157
síťový operační systém, určený zejména pro správu síťových procesů a file a print serverů. Velmi silnou stránkou tohoto OS je bezpečnost uložených dat, malé HW nároky a stabilita. Samostatné podkapitoly přiblíží problematiku související s řízením a sledováním procesů. Neméně důležitou otázkou v síti zůstává princip zálohování dat a využívání uživatelských účtů. Závěrečná část dané kapitoly se věnuje vysoce aktuální otázce a to postupnému zavádění IPv6 adres. Jsou zde popsány jednak principy a význam nové cerze, ale také ilustrativní postup konkrétní obměny adres IPv4 na adresy IPv6.
8.2 Získané dovednosti Rozhodnout se při návrhu počítačové sítě pro nejvhodnější operační systém je vysoce důležitý krok. Od něho se odvíjí implementace sítě, návaznost dalších softwarových produktů, forma činnosti sítě, rozsah uspokojených požadavků dané aplikace apod. V neposlední řadě na tomto rozhodnutí závisí ekonomická hlediska, rozšiřitelnost a modernizace sítě.
8.3 Klíčová slova Síťový operační systém, systémy Unixového typu, systémy rodiny Windows, Novell NetWare, uživatelské účty, řízení procesů, zálohování dat, adresy IPv6.
8.4 Síťové operační systémy UNIX Windows Novell
Síťový operační systém je takový druh operačního systému, který je určen pro práci v počítačové síti. Může pracovat buď samostatně jako jediný operační systém na stanici, nebo jako součást instalovaného operačního systému. Zpravidla má dvě části a to serverovou a klientskou. Na serveru běží výhradně síťový operační systém, na klientské stanici pak může jako součást lokálního operačního systému pracovat modul "klient", který je součástí síťového operačního systému a zajišťuje nízkoúrovňové služby pro lokální operační systém, pomocí kterých dokáže tento OS komunikovat v počítačové síti. [1; 12; 63; 97] Obecně operační systém zajišťuje: směrování toku dat mezi serverem a klientskou stanicí řízení přístupu v souvislosti s definovanými bezpečnostními požadavky neporušitelnost dat při současném přístupu více uživatelů komunikaci mezi síťovými uživateli spojení mezi různými sítěmi Z pohledu nároků na síťový operační systém rozlišujeme dva základní modely: server - terminál: v tomto modelu se důraz klade na výkon serveru, který zajišťuje podstatnou část HW i SW prostředků potřebných k řešení úkolu. Na straně klienta se předpokládají minimální HW i SW nároky z pohledu OS provádí většinu úkolů OS systém (+ Aplikační SW) na serveru a na klientské stanici se úloha OS omezuje na základní obsluhu systému. Tento model je typický pro sítě se sálových počítačů, výkonnými servery atd.. 158
peer - to - peer: tento model sítě se vyvinul z izolovaných PC. Rozhodující podíl na provádění síťových úkolů má OS instalovaný na lokální stanici a funkce síťového OS se omezuje na zajištění elementárních síťových služeb (vytvoření logické cesty mezi stanicemi, zapouzdření dat do rámců podle pravidel příslušného komunikačního protokolu a udržení, kontrolu a korektní ukončení přenosu dat.
8.5 Funkce operačního systému Operační systém má mnoho funkcí, z nichž některé jsou nutné a vyplývají už z definice operačního systému, jiné až tak nutné nejsou a ne každý operační systém je zajišťuje. Správa paměti představuje vedení evidence vnitřní paměti, přidělování paměti procesům, řešení situací vznikajících při nedostatku paměti, správu virtuální paměti. Správa procesů znamená evidenci spuštěných procesů, plánování přidělování procesoru, sledování stavu procesů, zajišťování komunikace mezi procesy. Správa periferií zahrnuje vytvá ření rozhraní mezi I/O zařízeními a procesy, sledování stavu zařízení, přidělování zařízení procesům a řešení možných kolizí s tím souvisejících. Správa systému – v moderních systémech je obvyklé rozlišování různých režimů práce systému. V uživatelském režimu probíhají běžné činnosti, zatímco privilegovaný režim je určen pro údržbu, instalaci, konfiguraci. Správa souborů znamená nejen vytváření rozhraní umožňujícího procesům přistupovat k souborům jednotným způsobem, ale také udržování informací o struktuře souborů na disku, kontrolu přístupových práv procesů k souborům. Správa uživatelů – systém vede informace o uživatelích systému a jejich činnosti, zajišťuje přihlašování a odhlašování uživatelů. Správa úloh – totéž, co se týká uživatelů, týká se také úloh a jejich průběhu. Uživatelské rozhraní je rozhraní mezi uživatelem a systémem. Jedná se o sadu programů, které slouží ke komunikaci mezi uživatelem a operačním systémem. Programové rozhraní je rozhraní mezi programy a výpočetním a operačním systémem, obvykle se označuje. Většinou je představováno sadou knihoven, které mů že program využívat pro svou práci. Podle složitosti správy uživatelú dělíme operační systémy na: jednouživatelské (monouživatelské) – Windows s DOS jádrem, víceuživatelské (multiuživatelské, multiuser) – unixové systémy, Windows s NT jádrem, mají propracovanou správu uživatelú, která umožňuje v systému pracovat více uživatelúm najednou (tj. ve stejný okamžik) bez vzájemného ovlivňování, uživatele se mohou přihlašovat na terminálech připojených k počítači nebo v případě serveru po síti. Tyto systémy především musí zajistit přísné oddělení prostředkú využívaných rúznými uživateli.
159
8.6 Vlastnosti operačních systému 8.6.1 UNIX, LINUX
WWW
http://www.earchiv.c z/b01/b0803001.php 3
Systémy Unixového typu
Patří sem operační systémy rodiny UNIX / Linux příklad: SCO UNIX, Free BSD, Linux Red Hat, Debian Linux, Suse Linux, Mandrake Linux, Corel Linux. UNIX - je koncipován jako více uživatelský OS pro síťové prostředí, pracuje také pouze v textovém režimu (nadstavba x-window umožňuje pracovat v grafickém prostředí, ale není organickou součástí UNIXu). Protože je navržen pro sítě pracující v terminálovém režimu, umožňuje velmi HW slabým počítačem provádět náročné úkoly, spouštěné na straně serveru. Jeho silnou stránkou je bezpečnost, protože každému souboru je okamžitě určen vlastník, který může přidělit přístupová práva dalším klientům sítě. Správce - root - má práva nejvyšší a řídí server. Je velmi stabilním a dobře zabezpečeným systémem. Používá se hlavně jako operační systém velkých sítí. Je to komerční produkt, a proto není volně dostupný. Údržba systému vyžaduje dobřekvalifikovaných lidí, ale v správně nastaveném systému kromě pravidelné archivace a instalacenových programů vyžaduje jen minimum zásahů do systému. Velkou výhodou je i to, že tento operační systém nevyžaduje antivirovou ochranu, resp. vyžaduje jen takovou, aby dokázal ochránit naněj připojené sítě nebo klienty na bázi Windows od virů. Ty UNIX nemohou napadnout, ale přes síť projdou a mohou napadnout menší servery a klientské stanice, které jsou osazeny produkty Windows. Velkou oblibu v poslední době získala zejména verze Linux - z hlediska poskytnutých služeb a obsluhy je obdobným operačním systémem než UNIX, ale v základní verzi je volně dostupným. Je to finančně málo náročné řešení s podobným komfortem a nároky na obsluhy jako UNIX (používá ho např.. i v NASA v USA). Dnes je jejich použití velmi rozšířené hlavně v oblasti www serverů, kde jejich běžná součást WWW server Apache ve světovém měřítku dominuje. Umožňují i komunikaci s prostředím Windows pomocí serveru SAMBA a dokáží v samostatném okně simulovat i prostředí Windows. [24; 73] Výhody OS Linux je zdarma a instalační soubory jednotlivá distribuční Jsou zcela legálně prostřednictvím internetu dostupné každému zájemci o tento systém. Některé distribuce se sice prodávají, jako např. RedHat Linux či SuSE Linux, ale nejedná se zde o zpoplatnění operačního systému jako takovou, ale o úhradu částky za tištěnou dokumentaci a uživatelskou podporou. Linux je možné legálně nainstalovat na libovolný počet počítačů. Na rozdíl od OS Windows je součastí prakticky všech distribuce OS Linux i řada aplikací, které jsou takové zcela zdarma. K dispozici jsou nejen základen aplikace typu tzv. kancelářských balíků (textový editor, tabulkový kalkulátor a program pro přípravu prezentace), internetových prohlížeč a programů pro zpracování elektronické pošty, ale i software pro správu a sdílení soubor, grafické programy, multimediální přehrávač a mnoho dalších aplikací. [50; 51] Není rozdíl v práci s aplikacemi v prostředí OS Linux a v prostředí OS Windows, alespoň ně pro běžní uživatelé. Ti, kterí si chtějí přizpůsobit operační systém Linux či aplikace svým potřebám, ale k tomu mají na rozdíl od operačního systému Windows možnost. V rámci licence GPL jsou jak k vlastními operačními systému, tak ik aplikace k dispozici zdrojové kódy, který můžete přímo příslušné modifikovat. Nevýhody 160
Většina výrobců počítačového hardware produkuje své výrobky s tím, že jsou určena pro operační systém Windows a s ohledem na to poskytují koncovým uživatelům i příslušné systémové ovladače. Pokud uživatel nemá zcela běžné periferie, např. vlastní nepříliš rozšířený typ tiskárny, muze se stát, že dané zařízení nebude pod OS Linux pracovat. S vyjímkou distribuce SuSE Linux a jeji instalačního rozhraní YaST je instalace OS Linux, aplikací a dodatečně přidávaného hardware, velmi náročná na znalosti uživatele či systémového správce. Probíha převážně v textovém režimu a pro měně zkušeného uživatele je správa tohoto operačního systému prakticky nemožná.
Vzhledem k faktu, že se na vývoji OS Linux prakticky podílu neznámé a nekoordinovaná množství vývojářů, neexistuje žádná centrální podpora pro uživatele. V případě jakýchkoliv problémů je tak uživatel odkázáni především sám na sebe, pokud nemá zaplacenu podporu u dodavatele své distribuce. [48] 8.6.2
Windows
Operační systémy rodiny Windows příklad: Windows 9x/ME, Windows NT, Windows 2000/XP. [30; 67; 86] Windows třídy 95/98/ME - byl koncipován jako jedno uživatelský OS pro izolované PC, postupně byl doplněn o síťové služby na úrovni sítě peer-to-peer. Síťová část obsahuje dva moduly: klient - Umožňuje využívat služby jiných počítačů-serverů - v síti, a server - umožňuje nabídnout vlastní prostředky - složky se soubory, diskové mechaniky a tiskárny - na sdílení. Používá komfortní grafické uživatelské rozhraní, jeho schopnosti jako síťového OS jsou však poplatné způsobu vzniku. Malá bezpečnost, provádění úkolů spočívá na klientských stanicích. Windows NT/2000/XP: Je koncipován jako grafický komplexní síťový operační systém, který skládá ze dvou částí: Windows NT for server a Windows NT for Workstation. Tento systém se vyznačuje poměrně spolehlivým systémem ochran a přístupových práv uživatelů. Používá se zejména pro menší servery [9] Disponuje nástroji pro: Zprávu lokální sítě (systém evidence uživatelů a jejich práv v přístupu k jiným objektům sítě) Propojení s jiným typem lokální sítě Práci s Internetem Vývoj verzí Microsoft Windows NT Server 4.0 Microsoft Windows 2000 Server Microsoft Server 2003 Microsoft Sever 2008 V současné době nejnovější síťový operační systém z rodiny Windows [1; 12] je: Windows Server 2008 a jeho vlastnosti Windows Server 2008 je název serverového operačního systému firmy Microsoft, který následovat radu Windows Server 2003. Do konference WinHEC byl znám pod 161
Windows NT 200 2003 2008 7
kódovým označením Windows Server Longhorn. Bill Gates na zmíněné konferenci uvedl oficiální název Windows Server 2008. Systém obsahuje mnoho nových rozšíření shodný s operačním systémem Windows Vista a dá se říci, že mezi Windows Server 2008 a Windows Vista je podobný vztah, jako mezi Windows Server 2003 a Windows XP. Windows Server 2008 vychází ze stejného kódu jako Windows Vista (jádro Windows NT 6.0 kernel), se kterém sdilej mnoho ze své funkcionality a architektury. Automaticky tak těží z výhod nových technologií spojených s vývojem Windows Vista, jako je přebudován síťový modul (IPv6, nativní podpora bezdrátových siti nebe zvýšení rychlosti a bezpečnosti), lepší podpora instalačních obrazů, spouštění a zálohování, širší možnosti diagnostiky, monitoringu a záznamu událostí serveru, lepší bezpečnostní prvky (BitLocker, ASLR, RODC, vylepšený Windows Firewall), NET Framework 3.0, vylepšení jádra a správy paměti a procesu. Server Core Snad nejvýrazněji novinkou Windows Server 2008 je nová verze instalace označena jako Server Core. Je to zjednodušená instalace, ve Které chybuje Windows Explorer a veškerá nastavení se provádějí pomocí příkazové řádky nebo vzdálená podpora Microsoft Management Console (MMC). Server Core dale postrádá. NET Framework, Windows Internet Explorer a mnohé další prvky. 8.6.3 Novell Netware
Novell
Novell NetWare - síťový operační systém, určený zejména pro správu síťových procesů a file a print serverů. Velmi silnou stránkou tohoto OS je bezpečnost uložených dat, malé HW nároky a stabilita. Na straně serveru běží výhradně tento OS, neumožňuje spouštění žádných aplikací pod jinými OS. Aplikační programy pro Netware jsou orientovány výhradně jako serverové služby, samotný server tedy není možné použít jako pracovní stanici např. pro kancelářské práce. Na straně klienta může být stanice vybavena libovolným OS - MS DOS, UNIX, Windows s nainstalovanou klientskou nástavbou příslušného OS pro Novell Netware. Na lokální stanici běží lokální OS a klient Novell umožňuje přístup k serverům a službám sítě Novell. Novell od verze 5 má implementovány i služby pro Internet. [66] Výhody adresářová služba eDirectory, donedávna označovaná NDS (Novell Directory Services). Slouží k jednotnému centralizovanému definování a správě všech objektů sítě, tzn. uživatelů, serverů, tiskáren, aplikací, licencí, politik atd. Své uživatele upoutá vyzrálostí (objevila se už v NetWare 4), schopností efektivně a spolehlivě spravovat obrovské množství objektů (což je nezbytné např. pro aplikace používané v prostředí Internetu), možností libovolně rozšiřovat množinu typů používaných objektů atd. Za pozornost určitě stojí i skutečnost, že tato služba může být použita nejen v prostředí operačního systému NetWare, ale i v kompatibilních aplikacích. Informace o objektech sítě jsou tak využívány i pro řadu dalších žádoucích účelů (např. v BorderManageru k omezování komunikace uživatelů s Internetem i pro uživatelské účty, nikoli jen IP-adresy). Zřejmě nejvýznamnější předností služby eDirectory je ale její nezávislost na operační platformě. Jejím prostřednictvím je totiž možné jednotně a centralizovaně spravovat nejen sítě 162
NetWare, ale i celé heterogenní sítě, tzn. sítě, v nichž pracují nejen servery NetWare, ale i Windows NT, Windows 2000, Unix apod. Uvedená služba už dokonce ani systém NetWare ke svému životu nepotřebuje, jako operační platforma jí může sloužit i kterýkoli z právě zmíněných systémů. Zmíněné vlastnosti dělají z eDirectory strategický prostředek.
služby souborové, tiskové (tradiční i NDPS), komunikační (DNS, DHCP), licenční, databázové, podpora protokolů IPX/SPX i TCP/IP, webový server, FTP-server, podpora Javy, prostředky pro šifrování a certifikáty, technologie PCI Hot Plug, podpora více procesorů, atd. Například v oblasti souborových služeb nyní NetWare nabízí svůj tradiční souborový systém i nový systém NSS. Rychlost souborových služeb, schopnost zvládat obrovská množství dat a pokročilé funkce tak stále patří k významným přednostem NetWare. Pro získání alespoň náznaku představy o kvalitách systému NSS může posloužit třeba informace o tom, že umožňuje pracovat se soubory až do velikosti 8 TB a že umí dynamicky měnit velikost logických disků podle jejich momentálního zaplnění. náskok v síle zabezpečení síťového prostředí, což je vlastnost, jejíž význam neustále roste. Obsahuje totiž značný počet silných zabezpečovacích prostředků, má zřejmě méně bezpečnostních děr.
Nevýhody Dlouhodobým a závažným problémem systému NetWare jsou však aplikace. Komplexní podporu činnosti pracovních skupin je zde možné zajistit např. produktem GroupWise, centrální automatizovanou správou pracovních stanic, aplikací, serverů a síťové infrastruktury produktem ZENworks, rozhraní privátní sítě a Internetu ošetří BorderManager atd.
8.7 Používání virtuálních konzol 8.7.1
Textové shelly a příkazy
V unixových systémech včetně Linuxu máme vždy mimo grafické prostředí možnost provádět různé operace také v textovém režimu pomocí příkazů. Tento způsob práce se systémem se může zdát nepohodlný, ale je užitečný, pokud chceme operace provádět efektivně, chceme automatizovat a zrychlit určité operace, hodí se také tehdy, když tatáž nastavení provádíme na více zařízeních, chceme, aby určité příkazy a programy spolupracovaly formou předávání vstupů a výstupů, nemů žeme najít v grafickém prostředí místo, kde se určitá věc nastavuje, určitý program nepracuje v grafickém prostředí podle našich představ. 8.7.2
Secure shell (SSH)
Secure shell je kombinace klienta a serveru, pomocí kterých se můžete připojovat na vzdálené servery podobně jako pomocí příkazu "telnet" - s výjimkou toho, že spojení bude šifrované a tudíž bezpečné. V dnešní době je doporučeno používat namísto telnetu výhradně SSH, protože ho zcela nahrazuje a nabízí, kromě šifrování, i další 163
WWW
http://www.root.cz/c lanky/hratky-zradky-pouzivamessh/
vymoženosti. Na Internetu jsou rozšířeny dvě různé verze SSH: komerční ssh, které je za určitých podmínek použitelné i zadarmo a volně použitelné OpenSSH. Princip činnosti a konfigurace jsou stejné nebo velmi podobné. Základem balíčku OpenSSH je démon sshd, jehož úkolem je poslouchat na portu 22 a reagovat na příchozí spojení. Po připojení se vytvoří nový proces na obsluhu požadavky, následuje autentifikace uživatele a pak proces sshd změní identitu na právě přihlášeného uživatele. Na připojení se používá klientský program ssh. Příklad připojení: ssh-l student server.epi.cz nebo ssh
[email protected] Po zadání některého z těchto příkazů se připojíte na server server.epi.cz jako uživatel student. Autentifikace standardně probíhá zadáním hesla pro dané uživatelské jméno a server. Existují dvě verze protokolu SSH označované jako SSH1 a SSH2. 8.7.3 SSH
SSH1
Každý server má vytvořený RSA identifikační klíč (default: 1024 bitů), který jej jednoznačně identifikuje. Při startu démona se navíc vytváří další RSA klíč (default: 768 bitů), který se generuje každou hodinu, pokud byl alespoň jednou použit. Tento klíč se neukládá na disk. Když se klient připojí na démona, ten mu zpřístupní své veřejné klíče RSA. Klient porovná veřejný identifikační RSA klíč serveru se svou uloženou kopií, pokud existuje, detekuje změny klíče ke kterým za normálních okolností dochází vzácně - typicky po přeinstalování SSH serveru. Klient pak vygeneruje náhodné 256-bitové číslo, zašifruje jej oběma veřejnými klíči serveru a pošle mu ho. Ten si ho umí dešifrovat díky privátnímu klíči. Toto číslo používají obě strany jako symetrický klíč během další komunikace symetrické šifrování je mnohem rychlejší než asymetrické - používají se šifry 3DES a Blowfish - šifrovací algoritmus vybírá klient z nabídky serveru. Následuje autentifikace. Klient se pokouší ověřit pomocí Rhosts, Rhosts s RSA autentifikací klientského počítače, čistou RSA autentifikací nebo pomocí hesla. 8.7.4
SSH2
Každý server má identifikační DSA klíč, který jej jednoznačně identifikuje. Při startu démona se však nevytváří serverový klíč. Na základě výměny klíčů DiffieHellmanovým algoritmem získají obě strany klíč, který se použije na symetrické šifrování - používají se Blowfish, 3DES a další – šifrovací algoritmus vybírá klient z nabídky serveru. Protokol SSH2 nabízí dvě přístupové metody: autentizaci veřejným klíčem nebo pomocí hesla. Autentifikace pomocí souborů. Rhosts je nebezpečná a neměla by se vůbec používat ani v případě SSH1.
8.8 Příkazy a práce se soubory v UNIXu 8.8.1
Adresářová struktura
Adresářová struktura OS Linux je velmi podobná adresářové struktuře jiných 164
UNIXů. Soubory jsou na disku obvykle uspořádány odlišným způsobem než v operačních systémech firmy Microsoft, proto orientace na disku může způsobovat začátečníkovi mírné problémy a může se mu zdát chaotická. Hlavní rozdíl mezi uspořádáním souborů v Linuxu a ve Windows je v tom, že zatímco ve Windows se programy obvykle celé instalují do svého vlastního adresáře (tj. spustitelné soubory spolu s konfiguračními, datovými, knihovnami), v Linuxu se obvykle instalovaný program ukládá po celém disku - jeho soubory se nakopírují do různých připravených adresářů. Nevýhodou linuxového uspořádání je zdánlivý nepořádek na disku - na první pohled je těžko zjistit, který soubor patří ke kterému programu. Ještě z dob MS DOSu byly uživatelé zvyklý na "instalování" programů do vlastních adresářů - pak "odinstalace" programu spočívalo jednoduše z výmazu jeho adresáře. Takto postupovat však již není korektní ani ve Windows - sice by se nám možná podařilo vymazat všechny soubory patřící programu, s velkou pravděpodobností by to však nesmazali všechny záznamy o programu v systému (např. z windows registru). Právě linuxové uspořádání však udržuje disk upratanejší, jak by se na první pohled zdálo. Soubory instalovaného programu jsou nakopírovány do adresářů právě podle toho, jakého jsou typu: spustitelné (bin), konfigurační (etc), knihovny (lib). Kromě uspořádání souborů a adresářů je však ještě oproti systémům Windows jeden velký rozdíl. Zatímco ve Windows je uživatel zvyklý, že nejvyšší bod adresářové struktury je disk C:, D:, a pod., v Linuxu je na vrchu adresářové struktury tzv. root (označován /). Vše ostatní se odvíjí od tohoto bodu "kořene" celého systému. Nejdůležitější části adresářové struktury Tady si všimněte, že vždy je na začátku uvedeno lomítko, aby bylo hned zřejmé, že se jedná o adresář, který se nachází v rootu - v hlavním adresáři systému): / bin - adresář obsahuje spustitelné soubory různých programů. V systému se nachází více adresářů s názvem bin. Je to kvůli přehlednosti - jednotlivé bin adresáře obsahují spustitelné soubory k různým typům programů. Adresář / bin obsahuje právě nejzákladnější spustitelné soubory, můžete zde najít např.. programy ls, CAT, chown, chmod atd. / boot - adresář boot obsahuje soubory používané při bootování systému. Nejdůležitější, i když ne jediný nezbytný pro správné nabootování systému je soubor vmlinuz, který obsahuje jádro systému - kernel. Samotný kernel je srdcem celého systému, je to něco jako hlavní část Linuxu. Má za úkol základní věci potřebné pro běh systému správu paměti, řízení procesů, může však již obsahovat i ovladače pro zařízení. Bez kernelu by žádný program nemohl být ani spuštěn. Kromě jádra je důležité znát programy grub a lilo. Tyto programy mají za úkol při bootování počítače nahrát do paměti kernel. Hlavní funkcionalitou jsou si velmi podobné, buď je použit jeden, nebo druhý. / dev - device (zařízení). Jak již z názvu vyplývá, adresář bude obsahovat zařízení systému. Věc lze na první pohled nezajímavá má však pro linux mimořádný význam a je jeho důležitou vlastností. V Linuxu kromě již dobře známé reprezentace dat (texty, obrázky, programy, knihovny) existují ještě speciální typy souborů. Právě jedním typem speciálního souboru je soubor, který reprezentuje určité např. hardwarové zařízení. V adresáři dev tedy můžete najít soubory, které reprezentují např. myš - / dev / mouse, IDE harddisk - / dev / hda, / dev / hdb, SCSI zařízení - / dev / sda, / dev / sdb, floppy disk - / dev/fd0, streamer - / dev/st0, zvukovou kartu - / dev / dsp, atd. Zmíněný systém souborů reprezentujících zařízení systému umožňuje jednotnou práci téměř se vším, co se v systému nachází. / etc - adresář s konfiguračními soubory k jednotlivým programům 165
/ home - adresář obsahuje domovské adresáře všech uživatelů, až na uživatele root, který má domovský adresář / root. / lib - hlavní knihovny systému; obzvláště důležitý je adresář / lib / modules. Čímž má mít operační systém více různých funkcí a podporovat více hardwaru, tím musí obsahovat více různých programů s danou funkcionalitou. Takových programů je ale obrovské množství - od základní síťové podpory až po speciální hardware pro velmi specifické použití. Je zřejmé, že běžnému uživateli budou ovladače na tento typ hardwaru zbytečné. Aby nebylo jádro systému přecpané možná právě zbytečnými programy, je možné jej nějakým způsobem poskládat právě jen z těch částí, které jsou pro nás potřebné. Právě tyto součástky, které se dají podle potřeby obměňovat, se nazývají moduly (modules). Jako příklad modulu mohu uvést ovladač na síťovou kartu, rovněž to však může být podpora určitého síťového protokolu. / media / mnt - budeme nejčastěji používat ve spolupráci se zařízeními z adresáře / dev. Na rozdíl od adresáře / dev adresář / mnt neobsahuje žádné speciální soubory. Co se týče speciálních zařízení adresáře / dev z pohledu uživatele, je důležité znát příkaz mount který připojí některá zařízení do naší adresářové struktury. Obvykle se zařízení připojují právě do podadresáře / mnt, nebo / media. V adresáři / mnt můžete mít vytvořené např. podadresáře floppy a cdrom, do kterých se budou připojovat zařízení představující cdrom a disketovou mechaniku. Připojení zařízení do systému se provede příkazem mount: # Připojení CDROM do adresáře / mnt / cdrom mount / dev / hdc / mnt / cdrom # Připojení diskety do adresáře / mnt / floppy mount / dev/fd0 / mnt / floppy / proc - Obsah tohoto adresáře se nenachází na disku ani na jiném podobném médiu, ale je to jen určitý obraz paměti. Jak bylo zmíněno při adresáři / mnt a mountovaní, do adresáře lze namountovať téměř cokoliv, jen je potřebný program, který to zobrazí ve formě souborů. Obsah adresáře / proc je generován kernelu a obsahuje různé údaje o právu běžícím systému. Je to děláno v reálném čase. Je zřejmé, že právě díky zmiňovanému systému souborů na Linuxu je např. úplně jednoduché udělat program na monitorování stavu paměti, stačí v určitých časových intervalech sledovat hodnoty v souboru meminfo, není zapotřebí žádná speciální programátorská technika. Soubor / proc / bus / pci / devices je vhodné využít například při instalaci nového hardwaru. Vypsáním obsahu souboru zjistíme název požadovaného hardwaru. Pak je třeba najít modul k tomuto hardwaru, v případě potřeby nastavit parametry v souboru / etc / modules.conf a nakonec nainstalovat modul do paměti (příkazem insmod). Kromě zmíněných souborů adresář obsahuje několik podadresářů s číselným názvem. Tyto podadresáře reprezentují procesy běžící v paměti - Název adresáře odpovídá ID procesu (PID). Takto je možné zjistit informace o libovolném běžícím procesu. / root - domovský adresář hlavního uživatele (root-a) / sbin - systémové spustitelné soubory (např. program init) / srv - obvykle obsahuje podadresáře ftp (domovský adresář pro ftp) a www (hlavní adresář apache). / tmp - do tohoto adresáře si různé programy ukládají dočasné soubory. Největší problém je s přístupovými právy. Aby si zde mohl každý program vytvořit pomocný soubor a když ho již nepotřebuje tak ho i mohl vymazat, 166
musí mít v adresáři práva na zápis. Pak však může mazat nejen své soubory, ale i leckterý jiný, takže může poškodit některou běžící aplikaci, kterou on nespustil. Tento problém je vyřešen speciálním atributem označeným písmenem 't'. Atribut znamená, že uživatel může mazat pouze ty soubory, jejichž je vlastníkem. Daný atribut nastavíme následovně: chmod 1777 / tmp / usr - adresář obsahuje soubory, které již nejsou až tak základní pro samotný systém. Na první pohled je zřejmá podobnost podadresářů s adresáři v rootu jsou zde podadresáře bin, etc, lib, sbin ... Samotné podadresáře mají totožný význam jako podadresáře v kořenovém adresáři - sem se ale instalují již konkrétní specifické programy, např.. různé editory, komprimační programy, a pod. V adresáři / usr je podadresář local (/ usr / local /), který zase obsahuje standardní strukturu (bin, lib, ...). Tento adresář je nejvhodnějším kandidátem na vaše instalace různého specifického softwaru. / var - poslední adresář, obsahuje pro nás důležité informace o log (/ var / log), poštu (/ Var / spool / mail) a podobně. O log platí to, co io konfiguračních souborech - je třeba hledat soubor / adresář totožný / podobný s názvem programu. Mnoho programů však používá na logování program syslog, který ukládá výstupy do souboru syslog nebo messmessages. Proto je vhodné při řešení nějakého problému zkontrolovat i tento soubor.
8.8.2 Struktura povelů Příkazy se skla dají z těchto částí: název příkazu byl případně název spustitelného souboru, který tady používáme jako příkaz, muže obsahovat i cestu, v opačném případě je hledání v adresářem Rich uvedených v příslušné proměnné, volby (přepínače) začínající obvykle znakem pomlčka, ve většině Unixových systému je můžeme "shrnout" za jedinou pomlčku, pokud Jsou jednopísmenné, volby obvykle řídí a upřesnují příkaz; existují i "vícepísmenné" volby, aby se odlišili od jednopísemenný, u některých příkaz začínají dvěma pomlčkami, argumenty nezačínej pomlčkou, obvykle příkazu říkají, se kterými daty má práce, například názvy soubor. Příklad u příkazu ls-la nejaky_adr je nazveme řetězec ls, volby Jsou l, a, argument je adresářem ř. nejaky_adr. 8.8.3
Práce se soubory
Abychom mohli efektivně pracovat s daty uloženými v adresářích, musíme vědět, kde se nacházejí a jak se jmenují. Stejně musíme vědět jako s adresáři a soubory manipulovat. Prvním z příkazů potřebných pro práci se soubory a adresáři bude příkaz ls. Příklad: [User @ localhost ~] $ ls / 167
bin dev home lost + found misc net proc sbin srv tmp var boot etc lib media mnt opt root selinux sys usr [User @ localhost ~] $ Jako je vidět, v tomto případě seznam obsahuje názvy. Jedná se o obsah adresáře /, čili kořenového adresáře. V předchozím případě jsme použili příkaz ls /, kde / je parametr příkazu. Prvním slovem je příkaz, následující slova jsou parametry. V případě příkazu ls je prvním parametrem název adresáře, v našem případě kořenového adresáře /. Parametry příkazů se dále rozlišují, jsou to volby * Options + a přepínače * switches +. Příklad příkazu ls-F /: [User @ localhost ~] $ ls-F / bin / dev / home / lost + found / misc / net / proc / sbin / srv / tmp / var / boot / etc / lib / media / mnt / opt / root / selinux / sys / usr / [User @ localhost ~] $ Parametry příkazu modifikují funkci příkazu. V našem případě volba-F má za následek, že v seznamu se označí adresáře přidáním / za název, dále se rozliší speciální soubory, ostatní soubory a programy. Mnoho příkazů v Linuxu se spouští podobně jako popisován příkaz ls. Také mají množství přepínačů a voleb, které se obvykle reprezentují jedním znakem za pomlčkou. Na rozdíl od příkazu ls, některé příkazy při spuštění vyžadují parametry, přepínače a / nebo volby. K vyjádření syntaxe příkazů budeme využívat následující formu: ls [-ARF + * adresář + Když budeme popisovat nový příkaz, budeme na jeho definování používat podobný syntaktický zápis. Prvním slovem je příkaz (v tomto případě ls), pak následují parametry. Volitelné parametry jsou uzavřené v hranatých závorkách. Vždy když bude uveden parametr zapsán v hranatých závorkách, znamená to, že není povinen a uživatel jej nemusí uvádět. Tzv. meta-proměnné jsou uvedené kurzívou - jsou to slova, která musí být nahrazeny skutečným parametrem. V tomto případě je meta-proměnnou adresář. Tato proměnná by měla být nahrazena jménem skutečného adresáře. Používání adresářů může jevit trochu těžkopádné. Nebylo by nejpříjemnější vypisovat vždy celou cestu, pokud se chcete dostat k nějakému souboru. V operačním systému Linux je zaveden pojem aktuální adresář. V příkladech, které jsme doposud použili, byl aktuální adresář / home / user. Pokud chcete zjistit jaký je váš aktuální adresář, napište příkaz pwd * print working directory +, který zobrazí celou cestu vašeho aktuálního adresáře. V některých případech zobrazuje výzva příkazového řádku i jméno počítače - v našem případě localhost. [User @ localhost ~] $ pwd / Home / user [User @ localhost ~] $
8.9 Uživatelské účty Uživatelé administrátoři a hosté
Pokud jste správce sítě nebo domény, potřebujete obvykle spravovat i uživatelů. Tato úloha je velmi důležitá. Nikdo v organizaci nemůže pracovat, používat počítač nebo se připojit na síť bez přístupu k uživatelskému účtu. Uživatelský účet je jako klíč k autu. Bez klíče se nedostanete nikam.
168
User Definice uživatel (user) se vztahuje na autonomní procesy, síťové objekty (zařízení a počítače) a lidí. Člověk může použít systémové zdroje k provedení určité práce, toto ale může udělat i jakýkoli proces, stroj nebo technologie. Proto v systémech Windows je s nimi zacházeno jako s uživatelmi. V krátkosti, bezpečnostní systém Windows Server 2003 nerozlišuje mezi lidmi a zařízeními, kteří používají jeho zdroje. Objekty uživatel jsou odvozeny z třídy uživatel v AD, která je zase děděna z několika rodičů. Účty strojů jsou následně logicky odvozeny z objektu User. Abyjste získali přístup k objektu User, musíte se na něj odvolat jeho významným jménem (Distinguished name - DN). Toto je obvykle řízeno automaticky různými GUI objekty. 8.9.1
Lokálny uživatelé
Termínem lokální uživatel (local user) jsou často označovány dva typy uživatelů: uživatelé na lokálních počítačích a uživatelé kteří jsou lokální na síti nebo doméně. Pojmem lokální uživatel budeme rozumět uživatele, který se umí přihlásit lokálně na PC. Jinými slovy, lokální uživatel se umí přihlásit na počítač, při kterém právě sedí a kde byl účet vytvořen, případně na vzdálený počítač kde bylo povoleno právo na lokální přihlášení, jako například server přes terminálové připojení. Na uživatele v doméně nebo uživatele obecně budeme nahlížet jako na doménových uživatelů (Domain users) nebo členů domény (domain members). Uživatel může být také členem místní domény a takový účet je často nazýván lokální uživatel, toto však není případem domén Windows Server 2003. 8.9.2
Group
Skupiny (groups) jsou kolekce uživatelů, kontaktů, počítačů a jiných skupin (proces známý jako vnoření - nesting). Ve své postatě jsou skupiny redundancí na OU, jsou pozůstatkem z předchozích verzí Windows. Skupiny obsahují přístupová práva objektů User a jiných skupin. Také obsahují samotné objekty User, které sdílejí stejná práva na síťové objekty - sdílení, adresáře, soubory, tiskárny. Vlastnosti uživatelského účtu Účet doménového uživatele obvykle zahrnuje tyto položky: Password security - účet je chráněn heslem, takže pouze autorizovaná osoba může získat přístup do systému. Permissions - jsou to přístupová práva přidělená k uživatelskému účtu. Zahrnují členství v skupinách a specifická nastavení pro přístup ke zdrojům. Identification - uživatelské účty identifikují osobu na systému av síti. User rights - je to nejvyšší právo které může být přiděleny uživateli nebo skupině pro definování nebo omezení jejich možností na systému. Roaming - pomocí něj může uživatel přihlásit na jakýkoliv objekt, který je členem domény. Environment layout - profily súšpecifické pro uživatele a obsahují informaci o vzhledu, desktopu a uživatelském prostředí. Profily můžete nadefinovat tak, že budou dostupné uživatelskému účtu bez ohledu na to, kde se přihlásí k síti. Auditing - Windows Server 2003 může sledovat přístup a užívání doménových uživatelských účtů, pokud to bylo aktivováno. 169
Když Windows Server 2003 je nainstalován automaticky jsou vytvořeny tři účty. Jeden z účtů - Administrator - je používán ke správě systému. Účet Guest je vhodný pro rychlé přidělení co nejnižších práv libovolným uživatelům. Třetí účet je tzv.. HelpAssistant, obvykle pojmenovaný Support_ * náhodné znaky +, který je primárním účtem používaným pro Remote Assistance. Tento účet si řídí služba Remote Desktop Help Session Manager a defaultně je deaktivován. 8.9.3
Účet administrátor
Tento účet je určen pro administraci systému. Je to tedy účet s nejvyššími právy na systém. Proto se ujistěte, že heslo je komplexní a tajné. Administrátorský účet má několik důležitých vlastností: nemůžete jej vymazat nemůžete jej uzamknout nebo deaktivovat můžete (a měli byste) jej přejmenovat i když je možné zadat prázdné heslo, je velmi špatná volba. Obvykle ani některé služby nebudou pracovat dobře, pokud heslo nezadáte 8.9.4
Účet guest
Tento účet můžete použít jako dočasnou metodu pro veřejný přístup. Má minimální přístupová práva a omezené oprávnění na zdroje. Účet Guest má následující vlastnosti: nemůžete jej vymazat můžete ho uzamknout nebo deaktivovat (default je deaktivován) můžete jej přejmenovat může mít prázdné heslo (to je default)
8.10 Řízení a sledování procesů 8.10.1 Pojmy proces a úkol Stavy různých procesů
Zatímco program je jen soubor na vnějším paměťovém médiu obsahující kód a případně nějaká konstantní data, proces je instance programu určená nejen jeho kódem, ale i dalšími vlastnostmi, jako je jeho stav, priorita, identifikační číslo, programový čítač, přidělené prostředky (včetně paměti). Zjednodušeně se dá říct, že proces je běžící program, ale to není úplně přesné. Situace je komplikovanější ve více vláknových systémech. Vlákno je relativně samostatná část procesu vykoná vající svůj vlastní kód. Proces má vždy nejméně jedno (hlavní) vlákno, které vykonává jeho hlavní funkci, a dále může programátor rozdělit běh procesu na více vláken, která pak mohou být vykonávána navzájem nezávisle. Pokud proces vznikl spuštěním z binárního spustitelného souboru, pak tento soubor nazýváme obrazem procesu. Obraz je tedy soubor, z něhož proces získal kód, který provádí. Jestliže spouštíme textový spustitelný soubor (skript), obrazem je ve skutečnosti jeho interpretační.
170
Proces se může nacházet v různých stavech: nový (new) – proces byl právě vytvořen, jsou mu přidělovány prostředky, běžící (running) – proces má právě přidělen procesor, tedy jeho kód je vykonáván, připravený (ready) – čeká na přidělení procesoru, čekající (waiting) – čeká na přístup k I/O prostředku, o který požádal nebo čeká na událost, ukončený (terminated, zastavený) – proces byl ukončen. V rámci některých operačních systémů mohou být definovány i další stavy. Například v unixových systémech mů že být proces navíc v jednom z těchto stavů: pozastavený – provádění programu je pozastaveno (to se provádí signálem SIGTRAP), obvykle požadavkem debuggeru, typicky při ladění programu, zombie – program byl v podstatě ukončen, už nemá žádný kód k provádění a nedostává procesor, ale jeho prostředky (včetně PID) ještě nebyly uvolněny, to se používá například tehdy, když si rodičovský proces tohoto procesu explicitně vyžádal tento typ ukončení, aby měl dost času na „vyzvednutí “ výsledků činnosti tohoto svého potomka, uspaný (sleeping) – proces (častěji vlákno) čeká na splnění podmínky, například uplynutí časového intervalu nebo některou událost. 8.10.2 Procesy a jejich správa Proces je program, který se právě provádí. Provádění je sekvenční: v každém časovém okamžiku se provádí nanejvýš jedna instrukce daného procesu a po jejím provedení se přejde na další instrukci procesu nebo se začne provádět jiný proces. Proces je aktivní, dynamická entita na rozdíl od (textu) programu, který je statickou, pasivní entitou. Procesu odpovídá v daném okamžiku přesně jeden program (ale program procesu se může vyměnit ─ viz např.. Systémové volání exec), ale danému programu může odpovídat více prováděných procesů ─ např. Někteří uživatelé pracují s textovým editorem. Tato diskuse je mírně vychýlen ve prospěch OS typu UNIX. Proces sestává z: - kódu (textu) programu ─ textový segment, - hodnoty registrů (např. hodnota registru IP určuje, kde se provádění nachází v textu programu), - dat procesu, a to: globální data ─ přístupné všem procedurám programu, zásobník ─ implementuje posloupnost volání procedur (call stack) hromada (Heap) ─ implementuje dynamicky přidělovány a vracen data, např. operacemi new a Disposal v Pascalu, - stavu procesu ─ aktivita vykonávaná procesem. Souhrn těchto charakteristik určuje proces v OS.
8.11 Zálohování dat Většina lidí, kteří používají ať už osobní počítač nebo notebook, přichází do styku s daty, jejichž hodnota může být mnohdy nevyčíslitelná (osobní poznámky, emailová komunikace, fotografie, různé textové dokumenty). Při firmách lze cenu dat vyčíslit finančně av nejednom případě tato hodnota představuje téměř celé bohatství společnosti (stavební plány, tajné dokumenty, finanční zprávy, dokumentace k produktům, plány růstu firem). Instituce, organizace nebo jednotlivci, kteří znají cenu svých dat uložených v počítači, nikdy nezapomínají na pravidelné zálohování svých dat. Je však nutno konstatovat, že stále obrovské množství lidí na zálohu 171
WWW
http://www.earchiv.c z/a93/a330c120.php 3
nemyslí, a svůj kapitál poznají, až když o data nenávratně přijdou. 8.11.1 Důvody pro zálohování
Proč a jak zálohovat
Náhodné vymazání - je nejčastější příčinou ztráty Vašich dat. Je úplně jednoduché odstranit údaje buď náhodným vymazáním, nebo přepsáním. K náhodnému vymazání dochází většinou v případě chyb uživatele daného stroje, v menším počtu případů však může nastat i po neočekávané chybě programu. Selhání paměťového média - Každé paměťové médium (pevný disk HDD, SSD disky, USB klíče, externí pevné disky) mají výrobcem určenou střední dobu životnosti, po kterou se odhaduje, že k chybám dojde jen zřídka. Při nových zařízeních jsou Vaše data relativně v bezpečí, ale s rostoucím věkem zařízení však roste i pravděpodobnost ztráty Vašich dat fyzickým poškozením. Přírodní katastrofy - jsou méně časté, pokud však firma disponuje daty obrovské hodnoty, na pravidelné zálohování nesmíte zapomínat. V případě živelní pohromy většinou dojde k selhání všech zařízení umístěných na jednom místě nebo v blízkém okruhu (desítky až tisíce metrů). Tato skutečnost dokazuje nutnost zálohování dat na geograficky dostatečně vzdálené místo. Krádež - O data můžete přijít i při krádeži, kdy útočník získá váš počítač. Hodnota samotného hardwaru může být zanedbatelná proti nevyčíslitelné ceně Vašich dat. Viry - Mezi typické hrozby ztráty dat můžeme zařadit i útoky prováděné prostřednictvím virů. V dnešní době již sice není možné virem vyřadit z provozu hardware, protože komponenty obsahují různé nízkoúrovňové ochrany, ale pokud se škodlivý kód dostane k citlivým souborům, může jejich nenávratně přepsat.
8.11.2 Metody zálohy dat Podle organizace vytváření záložních kopií jednoduché - z originálu se vytváří jediná záložní kopie, která se používá na rychlé zálohování běžných pracovních souborů nepříliš velké důležitosti vícenásobné - z originálu se vytváří několik záložních kopií, uložených na různých médiích používá se k zálohování důležitých dat vícestupňové - z originálu se vytvoří záložní kopie, z původní zálohy se vytvoří záloha druhého stupně atd. Vznikne kaskáda záložních souborů obsahujících projekty v různé fázi rozpracovanosti, kterí se používá pro zálohování důležitých projektů, kde je potřeba mít odloženo různé etapy realizace Podle způsobu ukládání záložní kopie záloha vytvořená přímo na stejném médiu je nejběžnější způsob rychlého zálohování v průběhu práce je rychlé a pohotové, ale neochrání v případě zničení nosiče dat. Mnohé programy umožňují automatické vytváření záložních souborů typu bak vždy při uložení nové verze souboru zálohování na záložním serveru pravidelné zálohování větších objemů dat 172
rychlé, dobře chrání před zničením, hůře chrání před zneužitím (neoprávněné průniky po síti) automatické zálohování obstarává speciální program (často bývá součástí operačního systému) zálohování na externí paměťové média (diskety, výměnný HD, CD, CD RW, JAZ, pásky) důkladné zálohování důležitých dat po ukončení větších fází práce nejspolehlivější, umožňuje velmi bezpečné uložení dat (např. do trezoru), ale nejméně pohotové zálohování musí provést uživatel, automatické zálohování na výměnná média podporují pouze specializované prostředky (pásová mechaniky)
8.11.3 Zálohovací média CD / DVD V době, kdy ještě nebyly rozšířeny USB klíče, se používaly optické média jako nejjednodušší zálohovací prvky. Kapacita těchto pamětí je v rozsahu od 700 MB (CD) do 8,5 GB (dvouvrstvé DVD). Dnešní nároky na zálohování dat jsou daleko vyšší a zmiňovaná kapacita mnohdy nestačí. Jednou z největších nevýhod optických disků je jejich náchylnost na poškození. Mezi další nevýhody patří skutečnost, že data, které máme uložené na médiu, není snadné přepsat. Stejný pevný disk Jeden z nejjednodušších typů zálohování dat je vytvoření si složky na stejném pevném disku, kam si ukládáme pravidelně kopii např. textových dokumentů, na kterých právě pracujeme. Tato záloha chrání naše data vůči náhodnému smazání. USB klíč, jiný pevný disk Rozšířením předchozího typu zálohy dat je použití fyzicky odděleného paměťového zařízení, např. USB klíč, USB HDD nebo jiný pevný disk v počítači. Pokud zálohujeme data na takové paměti, zvyšujeme odolnost našich dat vůči náhodnému smazání a navíc vůči selhání paměťového zařízení. Počítač v lokální síti (FTP, Samba) Mnoho domácností disponuje WiFi routerem, což přímo vybízí k vlastnění více na lokální síti propojených osobních počítačů nebo notebooků. Pokud potřebujeme zálohovat data, můžeme jedno ze zařízení označit jako server a svá data ukládat na tento oddělený počítač. Výhodou tohoto řešení je zvyšování vzdálenosti umístění originálních souborů od kopie dat, což automaticky snižuje pravděpodobnost selhání obou zařízení. Rychlost připojení do lokální sítě často bývá dostatečně rychlé na kopírování obrovských objemů dat. Vzdálený počítač (FTP, Samba) Penetrace vysokorychlostním internetem v naší zemi dosahuje nadprůměrně výsledky, a proto mnoho lidí používá k zálohování dat vzdálený počítač, na kterém běží například FTP server nebo Samba server. Existuje několik programů na automatizaci zálohování dat. Automatické online zálohování Nejpokročilejším způsobem zálohování dat, je využívání některé ze stávajících služeb poskytujících aplikaci pro automatické zálohování a obnovení dat na předem předplacený datovýprostor. Automatická online záloha dat podporuje několik funkcí, 173
jako jsou inkrementačné zálohy, šifrování dat, bezpečné spojení se serverem prostřednictvím SSL spojení.
8.12 Protokol IPv6 Součastné využívání a přechod na IPv6
Na konci ledna 2011 byly sdružením IANA rozděleny všechny bloky centrálního registru IPv4 mezi lokální registry světových regionů. Nyní bude omezený počet posledních volných adres postupně přidělován ISP. Až budou tyto adresy přiděleny, nebude možné připojit žádné další zařízení s veřejnou adresou do sítě. 8.12.1 Výhody IPv6 Výhody nové verze jsou: rozšířený adresní prostor, automatická konfigurace, zjednodušený formát hlavičky a vylepšená podpora pro volby a rozšíření. Mezi další nové vlastnosti patří: lepší podpora mobility a bezpečnosti, vylepšení podpory pro kvalitu služeb (QoS), vestavěná bezpečnost, stavová a bezstavová konfigurace adres. IPv6 hlavička má nový formát, který je navržen tak, aby snížil režii hlaviček na minimum. Toto se dosáhlo přesunutím méně důležitých a volitelných částí hlavičky do rozšiřujících hlaviček, které jsou umístěny za hlavní IPv6 hlavičkou. Úsporné IPv6 hlavičky jsou pak zpracovány v směrovačích efektivněji. IPv6 používá 128 bitové (16 bajty) zdrojové a cílové adresy. Ačkoli 128 bitů dokáže vyjádřit více než 3.4 x 1038 možných kombinací, velký adresní prostor byl navržen tak, aby umožnil několik úrovní subnetů a alokaci adres počínaje páteřní sítě internetu až po individuální podsítě v rámci jedné organizace. V internetu používajícím IPv6 mají páteřní směrovače mnohem menší směrovací tabulky, odpovídající infrastruktuře globálních poskytovatelů internetu. Adresa má 128 bitů anebo 16 bajtů. Je rozdělena do osmi 16-bitových hexadecimálních bloků rozdělených dvojtečkou. Příklad: 2001:DB8:0000:0000:0202:B3FF:FE1E:8329 V každé skupině je možné začáteční nuly vynechat a v případě, že celá skupina obsahuje nuly, lze v zápise tuto skupinu nahradit jednou nulou. Znak "::" nahrazuje zápis nulové skupiny nebo několika nulových skupin jdoucích za sebou, ale může být použit pouze jednou. Příklad: 2001:DB8:0:0:202:B3FF:FE1E:8329 nebo 2001:DB8::202:B3FF:FE1E:8329 Příklad adresy, která mě vícenásobný výskyt nulových skupin, které nejsou vedle sebe. 2001:0000:0000:0056:0000:0000:EF12:1234 – plný tvar zápisu => zkrácené tvary 2001:0:0:0056::EF12:1234 174
nebo 2001::0056:0:0:EF12:1234 Zde musí uplatnit pravidlo právě jednoho znaku "::", jinak by se nejednalo dopočítat správný počet nul pro dva znaky "::". Zabudovaná bezpečnost Podpora IPsec-u je v protokolu IPv6 požadovaná standardem. Tento požadavek poskytuje řešení potřeb síťové bezpečnosti, která zajistí kompatibilitu a spolupráci IPv6 implementací od různých výrobců. IPsec skládá ze dvou typů rozšiřujících hlaviček a protokolu, který sjedná bezpečnostní nastavení. Autentizační hlavička (AH) poskytuje integritu dat, autentizaci a ochranu proti posílání duplicitních zašifrovaných paketů pro celý IPv6 paket (kromě polí, které se v hlavičce mění při přenosu). ESP (Encapsulating Security Payload) hlavička zajišťuje datovou integritu, autentizaci, důvěrnost a ochranu proti posílání duplicitních ESP paketů. Lepší podpora pro kvalitu služeb - QoS Nové datové pole v IPv6 hlavičce definují, jak mají být obsluhované a rozpoznány různé druhy datových toků. Identifikace datového toku pomocí pole Flow Label v IPv6 hlavičce umožňuje směrovačem rozpoznat a zajistit speciální obsluhu pro pakety patřící do jednoho toku. Že identifikace toku dat je uchována přímo v IPv6 hlavičce, podpora QoS je zachována i tehdy, když datový obsah paketu je zakódován pomocí IPsec a ESP. Rozšiřitelnost IPv6 může být snadno rozšířen o nové vlastnosti přidáním tzv. extension hlaviček za IPv6 hlavičku. Narozdíl od protokolu IPv4, který podporoval rozšíření o velikosti 40 bajtů, IPv6 rozšíření jsou omezena na maximální velikost IPv6 paketu.
8.12.2 Přechod na IPv6. Nadešel čas přechodu na IPv6, který nabízí kromě nových možností také obrovský adresní prostor. Je pravděpodobné, že v regionech Evropa či Asie dojdou IPv4 adresy v lokálním registru dříve než např. v Africe a teoreticky bude možné přealokovat nevyužité bloky z jiného regionu. Tento způsob však není legální a je nesystémový. Proto je třeba na IPv6 přejít co nejdříve. Nebezpečí nelegálního obchodu s regionálními rozsahy tkví v urychlení konce IPv4. Došlo by k postupnému „rozdrobení“ subnetu. Směrovací tabulky na routerech by začaly narůstat a provozovatelé by v obraně sáhly k zahazování malých prefixů. Došlo by k velkému růstu zátěže na přepočítání BGP, což by znamenalo konec IPv4. Existují snahy o propagaci zavádění IPv6 formou různých pobídek a zvýhodnění – např. Google by mohl upřednostňovat adresy serverů s IPv6 apod. Je pravděpodobné, že dříve či později se začne řešit zavádění IPv6 na vládní úrovni. Přechod z IPv4 na IPv6 je náročnou operací. Lokální ISP měli dost času na to, aby se na příchod IPv6 připravili, většina z nich však situaci donedávna neřešila, neboť předtím investovaly velké peníze do IPv4 infrastruktury (budování DSLAMů apod.). Uvažme nyní případ, providera, který byl předvídavý a má již dnes páteřní spoje na zařízeních s podporou IPv6. Stojí teď před výzvou jak přeadresovat tisíce koncových 175
zákazníků. Ještě větší problém budou mít provideři, kteří mají u koncových zákazníků jednoduchá pojítka, která podporují pouze IPv4. V souvislosti s přeadresací tak velkého počtu zákazníků bude pro většinu provideru nutné zavést centrální databázi zákazníků s využitím např. Radius serveru a použití technologií na bázi PPPoE. Přechodným řešením bude zřejmě využití IP dualstacku, kdy zákazník ke své veřejné IPv4 adrese dostává také IPv6 /64 nebo /48 IPv6 rozsah. V rámci tohoto subnetu mohou mít všechna zařízení v domácnosti vlastní IPv6 adresu. Stejně tak budou muset dualstack využívat poskytovatelé služeb – Google, Youtube, Facebook, kteří žijí z reklamy a nemohou si dovolit ztratit část zákazníků, kteří ještě využívají IPv4. Usnesení vlády č. 727 z roku 2009 ukládá ministrům a vedoucím ústředních orgánů státní správy, že do 31. 12. 2010 mají být služby státní správy dostupné jak na IPv4 tak na IPv6. U koncových zákazníků snad bude možné využít bezstavovou konfiguraci. IPv6 protokol umožňuje, aby si stanice stanovovaly pomocí mechanismu SLAAC (Stateless Address Autoconfiguration) adresy sami. Pokud zákazník neprovozuje na své IP adrese žádné služby, nebude mu vadit, že bude využívat dynamickou adresu. WWW
http://www.earchiv.c z/anovinky/ai1800.p hp3
U IPv6 (alespoň prozatím) chybí podpora překladu adres pomocí NAT. Pro jeho využití není díky velkému počtu adres důvod. Mohli bychom říci, že struktura vnitřní sítě u zákazníků nás nezajímá a nechat vnitřek sítě v domácnostech u zákazníků zamaskovaný za jednu IP. Domácí spotřební elektronika s IP konektivitou (TV, bluray přehravače apod.) vystačí s link-local adresami. Pokud bychom snad potřebovali, aby bylo některých zařízení za domácím routerem na IPv6, příp. na zařízení přidělit IPv6 pomocí překladu 1:1. Naprostá většina koncových uživatelů přitom bere internet jen jako službu, chce mít dostupný web, mail, icq a je jim jedno, zda fungují na IPv4 nebo IPv6. Pro koncového uživatele IPv6 nemá význam. Podle odhadů je IPv6 v současnosti využito jen na 0,05% zařízení ve světě. Vzhledem k velikosti adresního prostoru se však s podporou NATu u IPv6 nepočítá, protože není důvod. Absence IPv6 je však bolestná pro mnohé firemní sítě. Poskytovatel by firmě přidělil IPv6 subnet. Původní zařízení, které realizoval NAT a filtrovalo tak částečně vnitřní síť od internetu bude nahrazeno směrovačem. Poskytovatel naroutuje subnet na linklocal adresu směrovače. Vnitřní síť bude od internetu oddělovat pouze firewall. Problém však nastává v případě změny poskytovatele a tím pádem i přiděleného rozsahu. U NATované sítě stačilo změnit IP adresu na vnější straně routeru a síť fungovala dál. Pokud však budeme stát před problémem změny přiděleného IPv6 subnetu, bude před námi stát problém v rekonfiguraci všech zařízení uvnitř sítě, DNS, firewallu. Problém je ještě bolestnější, pokud má firma několik poboček propojených VPN. Řešením by mohlo být využití ULA adres – jedná se o tzv. Unique Local IPv6 adresy, které jsou obdobou privátních adres. Pokud však chceme ze stanice s ULA adresou přistupit na internet, musíme ji navíc přidělit také IPv6 adresu z přiděleného rozsahu, příp. využít proxy server. Příp. lze správce adresního prostoru požádat o přidělení PI adres, tedy bloku, který bude přidělen konkrétní organizaci a může být směrován libovolným poskytovatelem. Poslední možností je zkombinovat IPv6 s ULA adresami a mapovat je 1:1. Toto řešení má pravděpodobně nejlepší předpoklady pro budoucnost. 176
Dá se předpokládat, že bude příchod IPv6 pozvolný, navzdory současné medializaci nepředstavuje nedostatek IPv4 adres akutní problém. Vhodnou alokací rozsahů, které mají operátoři přidělen, a není využit, dokážeme v původním adresním prostoru vydržet ještě 2-4 roky. Úplné vypnutí protokolu IPv4 lze očekávat v řádu desetiletí. Předpokládejme hypotetický postup při zavádění IPv6: Provideři Požádájí o přidělení IPv6 prefixu lokální organizaci spravující adresní prostor (RIPE) Zprovozní vlastní autonomní systém, který bude zbytek internetu informovat o rozdělení IPv6 prostoru uvnitř sítě ISP Vedle IPv4 adresace nabídnou zákazníkům IPv6 adresy formou dualstacku. U IPv6 je možné použít pro domácí uživatele dynamické adresování založené na kombinaci SLAAC (Stateless Address Autoconfiguration)+ DHCPv6. Pro přeadresaci velkého množství zákazníků je vhodné použít PPPoE v kombinaci např. s Radius serverem. Pro zákazníky, kteří potřebují nabízet své služby do internetu, je nutné přidělit statickou IPv6 adresu Klíčovým bodem se stávají DNS servery. IPv6 adresy se špatně pamatují. Pro IPv6 adresy se v DNS používají AAAA záznamy. Komunikace s ostatními providery s autonomními systémy na IPv6 probíhají přes IPv6, která je po konfiguraci preferována před komunikací IPv4. Komunikace se zbytkem IPv4 světa bude dále fungovat přes IPv4 autonomní systémy. Dualstackový režim fungování bude nutné využívat, dokud nebudou mít všechna zařízení v internetu IPv6. Teprve poté je možné IPv4 vypnout.
Firmy Firma dostane od providera vedle IPv4 adresy přidělený IPv6 subnet. Problém absence fungování NATv6: Malá firma nemá problém, může rozdělit IPv6 adresy na zařízení v síti – nutná konfigurace firewallu (mnoho firem dosud používalo jako jediný filtr mezi internetem a intranetem pravé NAT. Je možné také využít tzv. ULA adresy, které jsou obdobou privátních adres. Problém je u firem s pobočkami a VPN – tyto firmy by musely po změně providera složitě překonfigurovat všechna zařízení uvnitř v síti, VPNky, firewall, proto mají možnost u lokálního správce adresního prostoru (RIPE) požádat o přidělení tzv. PI adres, tedy bloku, který bude přidělen konkrétní organizaci a může být směrován libovolným poskytovatelem. Organizace si pak zprovozní vlastní autonomní BGP uzel, přes který bude komunikovat do internetu. Jak naloží s adresami za tímto uzlem je zcela v její režii. Tím odpadá závislost na ISP.
Domácnosti budou také využívat dualstack do doby než budou všechny internetové služby dostupné na IPv6 adresách. Pokud má domácí klient zkonfigurovaný dual stack, dotazuje se klientský počítač nadřazeného DNS na internetovou adresu. Pokud je vrácen AAAA záznam, bude jej preferovat před IPv4 záznamem typu A a provoz poteče přes IPv6. Pokud bude u služby jen IPv4 záznam, bude provoz fungovat na IPv4
177
8.12.3 Nastavení operačních systémů MS Windows 7 a Vista Systém Windows Vista se může pochlubit velmi slušnou podporou IPv6, jež je ve výchozím nastavení zapnuta. Obsahuje mimo jiné Teredo, takže poskytne připojení k IPv6 Internetu, ať jste kde jste. Máte-li na svém počítači Visty, jste schopni komunikovat po IPv6. MS Windows XP Tento systém byl prvním z produkce Microsoftu, který nabídl produkční implementaci IPv6 (v Service Packu 1). Jeho používání však nebylo zdaleka rovnocenné s IPv4, navíc se systém bez staršího protokolu neobejde - DNS dokáže řešit jen po IPv4. Linux Implementace se jako první objevila v jádře 2.1.8 v roce 1998, experimentální statut však opustila až v roce 2005 v jádře 2.6.12. Velký podíl na její současné kvalitě má japonský projekt USAGI založený v roce 2000, který nahradil stagnující první generaci IPv6 kódu v oficiálním jádře. Teredo není standardně podporováno, lze však použít Miredo. Program se jednoduše přeloží a spustí. Vytvoří nové rozhraní teredo, přiřadí mu adresu standardním způsobem a nastaví směrování. Adresu používaného Teredo serveru lze zadat v konfiguračním souboru miredo.conf. Cisco Systems Cisco Systems nepodporuje IPv6 na všech platformách, navíc bývá zahrnuto jen do nejvyšší řady IOS. Pokud pořizujete nové vybavení a plánujete podporu IPv6, věnujte výběru konkrétního produktu a verze IOS patřičnou pozornost. Automatická konfigurace u směrovače nepřipadá v úvahu, ten musí naopak poskytovat údaje, podle nichž se automaticky konfogurují ostatní stroje. K tomu je třeba přiřadit adresy jednotlivým rozhraním.
8.13 Otázky a úkoly 1. Uveďte, jaké funkce v síti zajišťuje síťový operační systém. 2. Charakterizujte vlastnosti operačního systému UNIX 3. Uveďte výhody a nevýhody OS Linux. 4. Windows Server 2008 a jeho vlastnosti. 5. Síťový operační systém Novell – uveďte silné stránky tohoto systému. 6. U sysému Novell popište adresářovou službu eDirectory. 7. Jaký význam má použití virtuálních konzol? 8. Adresářová struktura OS Linux; nejdůležitější části adresářové struktury. 9. Vysvětlete význam uživatelských účtů; položky uživatelského účtu. 10. Rozveďte pojmy pojmy proces, úloha; vyjmenujte stavy, ve kterých se může proces nacházet. 11. Uveďte důvody vedoucí k zálohování dat. 12. Vyjmenujte různá média určená k zálohování dat; diskutujte vhodnost médií pro daný účel zálohování. 13. Uveďte v čem spočívá přínos zavedení protokolu IPv6. 178
14. Jak souvisí IPsec s protokolom IPv6? 15. Jak by se mohl odvíjet postup zavádění IPv6 v praxi?
8.14 Samostatní práce studenta
Vyberte vhodnou verzi distribuci Linuxu a nainstalujte na počítač. Vytvořte server, kde poběží služby apache, php, postfix Přesměrujte všechnu internetovou komunikaci vytvořeného serveru přes nadřazený router. Jaký systém pro softwarový router navrhnete?
179
180
9 Internetová telefonie a videokonference Obsah kapitoly: 9.1 Cíle kapitoly 9.2 Získané dovednosti 9.3 Klíčová slova 9.4 Internetová telefonie a VoIP 9.4.1 Obecné principy přenosu dat a hovoru v sítích 9.4.2 Komunikační protokol H.323 9.4.3 Komunikační protokol SIP 9.4.4 Hlavní rozdíly mezi H.323 a SIP 9.4.5 Způsob spojení 9.4.6 IP telefony 9.4.7 Spojeni VoIP a klasické telefonní sítě PSTN(GSM) 9.4.8 Výhody a nevýhody VoIP 9.5 Videokonference 9.5.1 Historie, vznik a vývoj 9.5.2 Přínosy videokonference 9.5.3 Principy 9.5.4 Používaný software pro video chat 9.6 Otázky a úkoly 9.7 Samostatná práce studenta
9.1 Cíle kapitoly Cílem této kapitoly je přiblížit významné současné aplikace počítačových sítí a to IP telefonii a videokonference. V této souvislosti si student uvědomí, že původní záměr sítí spočíval výhradně v datových přenosech. Teprve pak se začalo uvažovat o živých přenosech obrazu a zvuku. Objevily se první technologie umožňující přenos živého lidského hlasu po Internetu, který původně k něčemu takovému nebyl vůbec určen. Obecně se tyto technologie, resp. řešení, které z nich vychází, označují jako VOIP (Voice Over IP). Filosofie VoIP je založena na principu vytvoření digitální reprezentace signálu řeči, jeho speciální kompresi a rozdělení na pakety. V kapitole je popsán význam tzv. kodeků – určených pro digitalizacio a kompresi vstupního hlasového signálu. K největším problémům internetové telefonie patřila vzájemná nekompatibilita různých prvků a zařízení u prvních řešení. Vznikají speciální protokoly; nejpoužívanější pro tyto aplikace jsou: H.323 a SIP. Následně se kapitola věnuje dělení telefonů na různé druhy: na IP telefony jako H.323 nebo SIP endpointy. V druhém případě se jedná buď o počítačovou aplikaci (tzv. softwarový telefon) nebo fyzický telefon. Za určitých okolností lze pro hovor prostřednictvím datových sítí použít i klasický analogový telefon. Výhody a nevýhody VoIP telefonie. Videokonference je moderní způsob komunikace. Přenáší se při něm obraz i zvuk, účastníci si během přenosu mohou vyměňovat také různě zpracovaná a upravená data. Kvalita zvuku ve videokonferenci má přednost před kvalitou ostatních signálů, přitom dosažení její přijatelné úrovně je zároveň často obtížnější.
181
9.2 Získané dovednosti IP telefonie se stává běžným komunikačním prostředkem. Podnikové intranety běžně využívají IP telefonů, existují propojení na klasické telefonní linky prostřednictvím speciálních bran. Zvládnutí úkolů spojených s instalací sestav VoIP v různých variantách.
9.3 Klíčová slova VoIP, kodek, videokonference, protokol H.323, protokol SIP, digitalizace zvuku, šířka pásma, přepojování okruhů, přepojování paketů, QoS (Quality of Services), softwarové IP telefony, videokonferenční jednotky CESNET.
Internetová telefonie VoIP a jiné způsoby komunikace face to face
Ještě nedávno jsme byli svědky toho, že hlavní aktéři počítačových sítí a to spoje na straně jedné a počítačové firmy na straně druhé si hlídaly své zájmy bez ohledu na toho druhého. U spojů se pokračovalo v budování sítí, vycházejících z koncepce veřejné telefonní sítě - tedy sítí fungujících na principu přepojování okruhů, schopných garantovat kvalitu služeb, se značnou inteligencí v síti a minimální inteligencí na jejích okrajích. Naproti tomu ve světě počítačů se vývoj ubíral především cestou budování "hloupých sítí, s chytrými uzly na okrajích". Vznikají počítačové sítě fungující na paketovém principu, bez jakékoli garance kvality přenosových služeb, zato ale s výrazně výhodnějšími ekonomickými ukazateli. Největším příkladem takovéto sítě je právě dnešní Internet. Přitom již v době vzniku jeho technického řešení, tedy v době formování protokolů TCP/IP, byl velký důraz položen na možnost provozovat základní přenosový protokol IP (Internet Protocol) skutečně "kdekoli", nad jakoukoli fyzickou přenosovou technologií. Dnes jsou sklízeny opravdu šťavnaté plody tohoto snažení - dnešní Internet, fungující nad protokolem IP, skutečně může být provozován všude, v jakékoli počítačové síti, po prakticky libovolných spojích a přenosových cestách.
9.4 Internetová telefonie a VoIP
WWW
http://www.earchiv.c z/b06/b0401001.php 3
Tvůrcům Internetu původně šlo především o typické "datové" aplikace, tedy o možnost přenosu souborů, elektronické pošty, o možnost tzv. vzdáleného přihlašování apod.. Uvedené aplikace na nějaké menší časové zpoždění nejsou citlivé, zatímco na živé přenosy zvuku a obrazu tehdy nikdo nemyslel (a také proto nikdo nic neudělal). Kvůli tomu se pak dlouhou dobu předpokládalo, že vzhledem ke způsobu fungování Internetu nebudou hlasové přenosy po této celosvětové síti sítí vůbec možné, alespoň ne v takové kvalitě, která by umožnila jejich praktické používání. Časem ale i toto dogma padlo a objevily se první technologie umožňující přenos živého lidského hlasu po Internetu, který původně k něčemu takovému nebyl vůbec určen. Zajímavý byl i další vývoj těchto technologií - ty se s postupem času nejen zdokonalily, ale také osamostatnily, v tom smyslu že je možné je nasadit všude tam, kde je provozován protokol IP, což zdaleka není jenom Internet. Obecně se tyto technologie, resp. řešení, které z nich vychází, označují jako VOIP (Voice Over IP). Lze je nasadit například i v privátních datových sítích na bázi protokolů TCP/IP, 182
které si budují nejrůznější subjekty pro své vlastní potřeby. Za první společnost, která uvedla na trh službu telefonování pomocí VoIP technologie je považován izraelský Vocaltec (1995). Lidé brzy začali vidět potenciál pro tuto levnou alternativu a experimentovali s různými způsoby využití. Firmy začaly pracovat na zlepšení této technologie a jen v ČR vznikly desítky společností poskytující služby VoIP s různou kvalitou a rozličnou škálou dalších služeb. VoIP již není jen o levných, méně kvalitních službách. V počátcích VoIP bylo možné volat jen z PC na PC. Později se objevila možnost volání z počítače na telefon. Někteří poskytovatelé nabízejí i možnost přidělení geografického, či speciálního, tzv. nomadického čísla, na která se dá dovolat z veřejné pevné i mobilní sítě. Není ani potřeba mít stále zapnutý počítač, pokud se k internetu připojíme přes IP telefon. V současné době je na trhu mnoho obchodních VoIP poskytovatelů, kteří poskytují kvalitní služby, přičemž levněji než ekvivalentní služby od poskytovatelů pevných telefonních linek nebo mobilních operátorů. Skype je pravděpodobně nejznámější z poskytovatelů VoIP služeb. Hovory se Skype z PC na PC jsou zdarma a volání z PC na telefon je relativně levné. [5; 13; 26; 39] 9.4.1
Obecné principy přenosu dat a hovoru v sítích
Jak již bylo uvedeno, klasické telefonní spojení funguje na principu přepínání okruhů, tudíž na začátku spojení se vytvoří cesta, po které potom konstantně přenáší hlas. Naproti tomu datová komunikace funguje na principu přepínání paketů, což znamená, že přicházející data se zabalí do balíčku, označí se hlavičkou a pošlou se sítí. Spojení hovoru na základě přepojování okruhů Tento princip se využívá u klasických telefonních sítí PSTN (Public Switched Telecommunication Networks)., ale zatím zůstává zachován i u sítí pokročilejších mobilních (GSM). V případě přenosu dat při telefonním hovoru se vyhradí kanál od odesílatele (volajícího) až k příjemci (volanému), který je vyhrazen po celou dobu přenosu. To znamená, že každá ústředna, která je po cestě, musí pro tento hovor vyhradit potřebný kanál. Pokud jedna z ústředen po cestě nemůže tento kanál alokovat, volajícímu je odeslán signál znamenající obsazenost linky. Výhodou tohoto typu přenosu je to, že kvalita hovoru nekolísá v závislosti na šířce pásma. Nevýhodou je ovšem zase to, že efektivita takto využívaného pásma může být velmi malá. Přenos hlasu na základě přepojování paketů Oproti tomu v počítačově zaměřených sítích se informace rozdělí na části a tyto části putují po trase, která se může dynamicky měnit. Filosofie VoIP je založena na principu vytvoření digitální reprezentace signálu řeči, jeho speciální kompresi a rozdělení na pakety. Tok paketů je následovně posílán prostřednictvím sítě společně s ostatními daty vycházejícími z počítače. V přijímacím uzlu je celý proces veden opačným směrem, díky čemuž máme zase k dispozici normální signál hlasu. Výhodou tohoto typu přenosu je šetření šířky pásma a obecně levnější technologie, která tento typ přenosu umožňuje. Síť IP může být libovolnou sítí s komutaci paketů včetně Internetu, Intranetu, ATM, Frame Relay nebo sítí závislé na spojení T1 (E1) nebo obyčejné telefonické spojení. Protokol TCP/IP je dnes asi nejvíce rozšířený hlavně kvůli jednoduchosti a univerzalitě. 183
Obr. 9.1 - Cesta hlasu v technologii VoIP Zdroj: [140]
Kodeky audio - video V dobách vzniku klasické telefonie se veškeré přenosy odehrávaly analogově. Vzhledem ke snaze zdigitalizovat přenášení analogového signálu, byly vyvinuty potřebné algoritmy pro digitalizaci a kompresi vstupního hlasového signálu. Cílem takového převodu je získat kodek, který co nejvěrněji zachytí vstupní signál a přitom potřebuje co nejméně bitů k uchování informace. V ideálním případě bychom neměli rozeznat původní vzorek od digitalizovaného. Obecně kodeky dělíme do: waveform kodeky - s vysokým bitratem (počet bitů přenesených za sekundu, kvalitní signál) source kodeky - s nízkým bitratem (výstup zní uměle, je rozdělen na menší části, které se matematicky vyjádří) hybridní kodeky – střední bitrate - bere si z obou technologií Kodeky (KOdér-DEKodér) jsou tedy převodníky pro zvuk (audio) a obraz (video) z analogové do digitální podoby a naopak, resp. převodník různých formátů dat mezi sebou. Nepoužívá se jenom jeden kodek, může být i více a mohou se měnit podle potřeby i během hovoru. Kodeky, které nevyužívají žádnou kompresi dat poskytují nejlepší kvalitu signálu; např. při poslechu zvuku mají minimální zpoždění mezi vstupem a výstupem, za to však při přenosu zabírají poměrně veliké přenosové pásmo. Naopak kodeky s účinnou kompresí mohou zhoršovat poslech zvuku, navíc výpočet komprese vlivem více faktorů může způsobit zpoždění, které způsobí zhoršení subjektivního pocitu z hovoru. Dalším faktorem, který rozlišuje vhodnost použití toho kterého kodeku, je citlivost na výpadky datových bloků (způsobení ztrátou paketů v přetížené síti). Vzhledem k těmto skutečnostem umožňují signalizační protokoly měnit použitý kodek i v průběhu hovoru. [43; 61] 9.4.2
Komunikační protokol H.323
K největším problémům internetové telefonie patřila vzájemná nekompatibilita různých prvků a zařízení u prvních řešení. Jak již bylo řečeno dříve (viz kapitola 2.), proto, aby byla zaručena komunikace mezi zařízeními od různých výrobců slouží komunikační protokoly. Nejpoužívanější protokoly pro danou aplikaci jsou H.323 184
3
a SIP. Protokol H323 Standard H.323 je hlavní standard (sám se odkazuje na celou řadu dílčích standardů), pochází od Mezinárodní telekomunikační unie (ITU), a týká se Internetová telefonie a způsobů multimediálních komunikací v prostředí takových sítí LAN, které nenabízí kodeky žádnou garanci kvality služeb (QoS). Zabývá se poskytováním audio, video a datových komunikací, přičemž povinné jsou audio (hlasové) komunikace, a ostatní jsou nepovinné. Lze jej využít v sítích s prakticky jakoukoli topologií (typu point-to-point, multipoint, nebo třeba sběrnicové topologie se všesměrovým šířením apod.). Lze jej nasadit v jednoduchých segmentech sítí LAN, nebo i ve značně složitých soustavách vzájemně propojených sítí (intranetech i Internetu), a podporuje dokonce i tzv. multicastový způsob přenosu (současné vysílání od jednoho zdroje k více příjemcům). Není vázán na žádnou systémovou platformu, a může tedy být nasazen skutečně kdekoli - dokonce nejen v klasických počítačích, ale také v různých zařízeních typu set-top boxů, IP telefonů apod. Po stránce praktického fungování se standard H.323 zejména snaží vyrovnávat zejména s nepříjemnými efekty, které přináší absence podpory kvality přenosových služeb. Pamatuje však i na možnosti regulace zátěže, kterou takovéto komunikace způsobují přenosovým sítím. H.323 umožňuje pořádat video (audio) konference, které se odehrávají na několika místech najednou. Jedním z videokodeků patřící do této rodiny je H.263. Kodek H.263 byl vyvinut s použitím zkušeností získaných z používání H.261, který tomuto kodeku předcházel a využívá i některé věci z MPEG1 a MPEG2 standardů. Jeho první verze se objevila v roce 1995 a původně navržen pro použití v H.324 (standard pro přenos hlasu, obrazu a dat po analogových linkách). Z toho vyplývá, že hlavní využití tohoto kodeku je v přenosech videa, hlasu a dat v místech, kde není příliš široké pásmo. Následník tohoto kodeku je kodek H.264. (nebo také MPEG4 part 10) Záměrem bylo vyvinout kodek, který by poskytoval dobrou kvalitu obrazu, ale zároveň měl udržet potřebnou šířku pásma na podstatně nižší úrovni než u jeho předchůdce. Jak už bylo řečeno, tak jeden z názvu, pod kterým také bývá uváděn je JVT kodek, což byl název pracovní skupiny, která dokončila práce na jeho vývoji. Tento kodek dokáže například číslování jednotlivých snímků, což umožňuje uchovávat časovou informaci oddělenou od jednotlivých snímků, tj. je možné jednoduchým způsobem zrychlit nebo zpomalit některé záběry bez ovlivnění vlastní obrazové informace. Dále daleko lépe pracuje s předchozími snímky, což mimo jiné znamená u opakujících se scén výrazné snížení datového toku. Jednou z velkých nevýhod tohoto kodeku je mimo jiné, že je zatížen relativně vysokými licenčními poplatky, které platí výrobci zařízení a poskytovatelé služeb, jež tento kodek využívají. V praxi se setkáváme i s dalšími druhy kodeků. Kódovací a dekódovací algoritmy (kodeky), jejichž princip a význam jsme již uvedli, mají různá označení (G.711, G.722, G.723, G.726, G.729, …) a jsou standardizovány a ze značné části i patentovány. Kvalitní kodek speciálně vyvinutý pro VoIP a neomezovaný softwarovými patenty je například SPEEX a kodek iLBC.
185
Architektura H323 Architektura H323 má 4 základní komponenty: terminál gateway gatekeeper MCU (Multipoint Control Unit)
Obr. 9.2. Architektura protokolu H323 Zdroj: [140]
Terminál je základní složkou H.323 sítě. Používá se pro obousměrnou komunikaci v reálném čase. Může to být PC nebo IP telefon. Závazně musí podporovat audio služby, video a data jsou volitelné. Je schopen komunikovat s jinými multimediálními terminály v jiných sítích. Gateway (brána) je volitelnou komponentou, která zabezpečuje spojení H.323 sítě s jinou sítí (např. ISDN), jinými slovy slouží jako překladač protokolů mezi různými sítěmi. Gatekeeper má na starosti velice důležité služby jako překlad telefonních čísel na IP adresy, řízení přístupu, řízení přenosové kapacity, správu zóny atd. Volitelně může mít také na starosti autorizaci a správu hovorů atd. MCU (Multipoint Control Unit) zajišťuje komunikaci tří a více terminálů, zajišťuje konferenční hovory. Jednotka MCU se skládá z modulů MP a MC. MC (Multipoint Controller) řídí sestavování konference tj. zjišťuje vlastnosti terminálů v konferenci, inicializuje a ukončuje kanály pro audio, video a datové přenosy. MP (Multipoint Processor) zpracovává multimediální data přenášená v konferenci. MP je volitelný modul. Pokud jsou MP použity, tak mohou být. Terminálům, bránám a MCU se říká koncová zařízení (ENDPOINTy). Gatekeeper je centrálním řídícím prvkem H.323 sítě. Pokud se nějaké koncové zařízení zaregistruje na gatekeeperu, jsou pro něj veškeré pokyny od gatekeeperu závazné. Skupina zařízení spravovaná jedním gatekeeperem se nazývá zóna.
186
9.4.3
Komunikační protokol SIP
Vývoj protokolu SIP (Session Initiation Protocol) se datuje od roku 1995. SIP K prvnímu schválení došlo v roce 1999. Tento protokol vznikal pod záštitou organizace IETF (Internet Engineering Task Force). Jedná se jednoduchý textový protokol blízký protokolu HTTP. Tělo zprávy je tvořeno textovými položkami ve formě
:, které popisují předávané informace. Textová podstata protokolu napomáhá nejen jednoduchému ladění, ale především snadné rozšířitelnosti. Na rozdíl od H.323, který byl deštníkem nad celou řadou protokolů, je SIP pouze signalizační protokol, který řeší sestavení a ukončení spojení mezi 2 a více účastníky. Dále zajišťuje dohled na toto spojení. Na SIP navazují další protokoly, které řeší řízení hovoru. Takovýmto protokolem je SDP (Session Description Protocol), jehož zprávy jsou zapouzdřeny ve zprávách protokolu SIP. [140] Architektura SIP Podobně jako tomu bylo u protokolu H.323, tak i protokol SIP definuje architekturu v rámci, které funguje a která se skládá z následujících komponent: User Agent User Agent Client User Agent Server Servery Proxy Server Redirect Server Location Server Registrar Server
Obr. 9.2. Architektura protokolu SIP Zdroj: [140]
User Agent User agents (UA) jsou koncovými zařízeními SIP sítě. Starají se o navazování spojení s ostatními UA. Nejčastěji se jedná o SIP telefony (ať už fyzické nebo ve formě aplikací běžících na PC) a brány do jiných sítí. V koncovém zařízení (SIP telefonu) je implementován jak UAC, tak i UAS. 187
User Agent Client má na starosti iniciaci spojení, jeho úkolem tedy je žádat o spojení. User Agent Server reaguje na příchozí žádosti a posílá odpovědi. Servery Servery jsou v SIP architektuře zařízení, jejichž úkolem je zprostředkovat kontakt mezi volajícími a volanými (tedy mezi UA), což ale nevylučuje přímý kontakt koncových zařízení bez účasti serverů. Rozlišujeme tyto typy SIP serverů: Proxy Server, Redirect Server, Location Server, Registrar Server. Jakkoliv jsou tyto servery definovány odděleně, v praxi se často jedná o jednu aplikaci, která přijímá registrace koncových uzlů a podle konfigurace se chová zároveň buď jako proxy nebo redirect server. Proxy Server přijme žádost o spojení od UA nebo od jiného proxy serveru a předá ji dalšímu proxy serveru (pokud volanou stanici nemá ve své správě) nebo přímo volanému UA pokud je tento v rámci jím spravované domény. Redirect Server, stejně jako proxy server přijímá žádosti o spojení od UA nebo proxy serverů. Nepřeposílá je však dále ve směru volaného, posílá tázajícímu informaci, komu má žádost poslat, aby se dostala k volanému. Je pak na dotazujícím se, aby žádost na takto získanou lokalitu (další proxy/redirect server nebo volaný UA) poslal. Location Server pomáhá Proxy a Redirect Serverům hledat cestu k volanému, protože zná umístění jednotlivých SIP terminálů. Proxy a Redirect Servery se ho ptají a on jim na jejich dotazy odpovídá. Location Server spolu s Registrar Serverem většinou tvoří 1 zařízení. Registrar Server server přijímá registrační žádosti od UA a aktualizuje podle nich databázi koncových terminálů, které jsou v rámci domény spravovány. Registrace a služby V předešlé části jsme se věnovali funkcím protokolu SIP, které se vztahují k sestavení spojení. Ať už pomocí proxy nebo redirect serveru. Předpokládali jsme, že tyto servery nějakým způsobem vědí, kde se nacházejí jednotliví klienti náležející do domény pod správou daného serveru. Jakkoli je možná statická konfigurace těchto informací, typičtější je, že klienti o sobě dají vědět sami prostřednictvím registračního serveru. Registrace Prvním krokem při registraci klienta k příslušnému serveru je zjistit, na jaké adrese se nachází. Adresa serveru může být na klientovi konfigurována staticky a nebo je prostřednictvím DNS SRV záznamu získána dynamicky. Poté si klient prostřednictvím metody REGISTER registruje URI, které spravuje. Registrační server poté co požadavek přijme provede aktualizaci na lokační službě (location service) což je databáze, jejíž obsah pak využívají ostatní servery (proxy, redirect). Způsob realizace lokační služby a forma komunikace mezi ní a ostatními servery není nijak specifikována a závisí na konkrétní implementaci SIP serverů.
188
Obr. 9.3. Registrace Zdroj: [42]
Na celém mechanismu je zajímavé to, že uživatel může být během dne registrován z různých lokalit. Po příchodu do práce se zaregistruje ze svého SIP telefonu, když jde během dne něco vyřizovat, registruje si prostřednictvím SIP/GSM brány mobilní telefon a pokud o to stojí může se doma registrovat z domácího SIP telefonu nebo opět prostřednictvím brány zaregistruje PSTN telefon. Je tak pod stejným URI neustále dosažitelný. Na celém mechanismu je pěkné to, že uživatel může být během dne registrován z různých lokalit. Po příchodu do práce se zaregistruje ze svého SIP telefonu, když jde během dne něco vyřizovat, registruje si prostřednictvím SIP/GSM brány mobilní telefon a pokud o to stojí může se doma registrovat z domácího SIP telefonu nebo opět prostřednictvím brány zaregistruje PSTN telefon. Je tak pod stejným URI neustále dosažitelný. Služby Uživatel SIP telefonu, může jít se svých požadavcích na to jak mají být příchozí hovory zpracovávány ještě dál. Může mít např. následující požadavky: chci akceptovat pouze hovory od nejbližších spolupracovníků, vše ostatní skončí na telefonu sekretářky je-li můj telefon obsazený, provede se redirect na záznamník bude-li mezi 14:00 a 22:00 volat Karen, dostane informaci, že mám obsazeno K realizaci podobných požadavků lze využít speciální programy, které využívá proxy server při sestavování hovoru. Přijde-li žádost o sestavení hovoru, proxy server předá potřebné atributy volání příslušnému programu (skriptu) a ten podle toho, jak byl napsán, vrátí informaci o tom, kam hovor směrovat. Bezpečnostní aspekty Autentizace Jednou z důležitých voleb při komunikaci mezi klienty a servery je možnost ověření identity volajícího. SIP pro tyto potřeby převzal opět metody používané v HTTP. Nejběžnější je „authentication digest“, kdy na základě serverem vyslané výzvy obsahující náhodné číslo, posílá klient odpověď obsahující takzvanou hash, tedy výsledek hashovací funkce (obvykle MD5), do níž vstupují jako parametry náhodné číslo a heslo. Tuto hash pak server ověří obdobným výpočtem na své straně. Algoritmus tedy vyžaduje znalost stejného hesla na obou stranách. 189
Důvěrnost a celistvost Pro potřeby utajení obsahu signalizačních zpráv a kontrolu jejich celistvosti může být využito specifikace S/MIME. Tento standard využívá metod asymetrické kryptografie a předpokládá, že každý uživatel má klíčenku veřejných klíčů osob, se kterými chce tímto způsobem komunikovat. Podobně jako je tomu u elektronické pošty, kde se uvedený standard rovněž používá. NAT a firewally Použití privátního adresového prostoru v podnikové infrastruktuře je dnes samozřejmostí vynucenou situací okolo dostupnosti veřejných IP adres. Řešení prostřednictvím nasazení IPv6 asi stále v dohledné době nelze očekávat a tak překlad IP adres (NAT, NAPT) při komunikaci mezi privátní sítí a Internetem je věc, se kterou je nutnou počítat. Bohužel SIP spadá do skupiny protokolů, která se s NATem moc ráda nemá. Pro tyto protokoly je typické, že přenášejí IP adresy a čísla portů i na aplikační úrovni. Tato vlastnost způsobí, že se nezdaří buď už samotná signalizace, ale určitě znemožní doručení RTP streamu mezi účastníky volání. Další nepříjemností je, že v rámci SIP signalizace se dohadují parametry budoucího RTP streamu (čísla portů), jehož pakety jsou pak obvykle na vstupu do firewallu z veřejné sítě blokovány. Quality of Services (QoS) Problémem, se kterým zápolí VoIP je vůbec filozofie spojení. Klasické telefonní spojení funguje na principu přepínání okruhů, tudíž na začátku spojení se vytvoří cesta, po které potom konstantně „teče“ hlas. Naproti tomu datová komunikace funguje na principu přepínání paketů, což znamená, že přicházející data se zabalí do nějakého balíčku, označí nějakou hlavičkou a pošlou se sítí. Na tom by nebylo nic špatného do chvíle, než zjistíme, že počet balíčků, které chceme sítí poslat je větší než samotná kapacita sítě. Telefonní sítě tyto problémy řeší signálem obsazeno. Datové sítě z principu fungování protokolu IP takové mechanismy neobsahují, tudíž se snaží zachovat rovnoprávně vůči všem přenášeným datům (data se sítí šíří pomaleji, což příliš nevadí u služeb typu E-mail apod.). Kvalita přenášeného hlasu se potom může zhoršit. Pojem Kvalita Služby (QoS) je souborem činitelů, které mají vliv na kvalitu služby. Činitele jsou oceňovány na základě úrovní spokojenosti uživatele. Existují tří činitele, které mají základní vliv na kvalitu služby v technologii VoIP: Zpoždění – časová prodleva (Delay) Proměnlivost prodlevy (Jiter) Ztráta paketů (Packet Loss) Ve veřejných telefonních sítích se prodleva pohybuje v rozmezí 50 až 90 milisekund. Při VoIP po Internetu tato hodnota roste a může dosahovat k hodnotě 400 ms. Časovou prodlevu také ovlivňuje tempo hovoru. Do cca 200 ms člověk časovou prodlevu nepozná, hodnoty nad 300 ms jsou už velmi citelné. V síti, která je určena po přenos hlasu, by zpoždění mělo být minimální. 9.4.4 H323 vs. SIP
Hlavní rozdíly mezi H.323 a SIP H.323 je architektura, která specifikuje vše nezbytné pro realizaci multimediálního přenosu paketovou sítí – má vlastní standardy 190
9.4.5
SIP je pouze signalizační protokol – využívá jiné již existující standardy H.225 (signalizační protokol z rodiny H.323) je binární protokol kódovaný pomocí ASN.1 SIP je textově orientovaný protokol H.225 je přenášen přes TCP SIP může využívat jak TCP, tak i UDP (což je obvyklejší) Způsob spojení
Aplikace VoIP můžeme také rozdělit podle toho odkud a kam voláme. Záleží na tom, v jaké lokalitě se právě nacházíme a co je pro nás většinou finančně nejvýhodnější. Z telefonu na telefon Volající se napojí na vhodnou bránu převádějící „telefonní“ podobu hovoru do podoby datové způsobem, který je pro něj dostupný, například přes veřejnou telefonní síť. Podstatné je, že dále pokračuje hovor již v datové podobě po datové síti až co nejblíže k místu svého určení, kde zase musí být analogická brána zajišťující zpětný převod hovoru do jeho „telefonní“ podoby. Podstata ekonomické výhodnosti je opět v tom, že hovor je na co možná největší vzdálenost veden po datové síti, jejíž provoz je levnější. Z počítače na telefon Tato varianta umožňuje vzájemné telefonování jednomu uživateli počítače a jednomu uživateli běžného telefonu (pevného či mobilního). Hovor vždy iniciuje uživatel počítače, přičemž počítač, který využívá, musí být vybaven plně duplexní zvukovou kartou, mikrofonem a sluchátky, a musí být připojen k Internetu. Kromě toho musí být počítač volajícího vybaven vhodným softwarem, schopným navázat spojení s telefonní bránou poskytovatele internetové telefonní služby, a přenášet k této bráně telefonní hovor v jeho „datové“ podobě. Zmíněná brána pak hovor převádí do klasické „telefonní podoby“, a hovor pak pokračuje veřejnou telefonní sítí až na místo svého určení, k uživateli, který je vybaven běžným telefonem. Z počítače na počítač Historicky nejstarší, údajně i výhledově nejperspektivnější variantou internetové telefonie je volání „z počítače na počítač“, neboli telefonování mezi dvěma uživateli počítačů. Nejstarší je proto, že první pokusy o přenos živého hlasu po datových sítích byly zcela zákonitě prováděny mezi počítači, a teprve později se začalo pracovat na vývoji bran, které by umožnily přestup „datového“ hovoru do běžné telefonní sítě a naopak. Nejperspektivnější je pak proto, že telefonování prostřednictvím počítače či zařízení jemu naroveň postavenému skýtá asi nejvíce možností jak prosté telefonování obohatit o nejrůznější další funkce. Ještě větší motivací pak může být snaha sjednotit prostředky, pomocí nichž lidé komunikují – elektronickou poštu, klasické telefonování a další formy elektronické komunikace. Také tato varianta internetové telefonie samozřejmě může být i IP telefonií – místo veřejného Internetu může být k přenosu hovoru použita v zásadě jakákoli datová síť na bázi protokolu IP, tedy třeba i privátní.
191
9.4.6 WWW
http://www.earchiv.c z/b06/b0401005.php 3
IP telefony
IP telefony dělíme podle toho, se kterým přenosovým protokolem spolupracují nebo podle toho o jaký typ zařízení se jedná. V prvním případě IP telefony dělíme na H.323 nebo SIP endpointy. V druhém případě se jedná buď o počítačovou aplikaci (tzv. softwarový telefon) nebo fyzický telefon. Za určitých okolností lze pro hovor prostřednictvím datových sítí použít i klasický analogový telefon. Softwarové IP telefony Pokud se rozhodnete telefonovat pomocí svého PC, tak by vaše PC mělo být vybaveno síťovou a zvukovou kartou. Pokud tyto požadavky vaše PC splňuje, tak již zbývá pouze nainstalovat a nakonfigurovat aplikaci pro VoIP. Podle toho jaký protokol (H.323,SIP,...) chcete používat, by jste si měli vybrat vhodnou aplikaci. Po nakonfigurování a úspěšné registraci již zbývá pouze zastrčit sluchátka a mikrofon do zvukové karty a můžete začít telefonovat. Mezi nejznámejší programy pro VoIP patří například program X-LITE pracující s protokolem SIP. Tento program je jako jeden z mála k dispozici pro platformy Windows, Linux i MAC. Další dobrou aplikací pro VoIP je linuxová aplikace Ekiga, která podporuje H.323 i SIP. Fyzické IP telefony Stejně jako u softwarových telefonů i zde je nutné se zajímat o to, jaký protokol telefon podporuje. I v tomto případě se však najdou telefony, které podporují H.323 i SIP. Mezi tyto telefony patří například telefony Optipoint společnosti Siemens. Zde je podpora protokolů řešena pomocí vnitřního programu telefonu tzv. loadwaru. Podle toho jaký protokol chceme používat, nahrajeme do telefonu příslušný loadware a telefon se následně chová buď jako H.323 (HFA) nebo SIP. Analogová zařízení Pro přenos hlasu prostřednictvým datových sítí lze použít i klasický analogový telefon. Je však nutné pořídit si speciální převodník, do kterého analogový telefon zapojíme. Tento převodník nebo jak to nazvat, se v síti tváří jako IP telefon. Pomocí těchto zařízení lze uskutečnit i faxové přenosy. Jedním takovým zařízenim je AP1120 společnosti Siemens. Stejně jako tomu bylo u IP telefonů této značky, tak i u AP1120 lze pomocí loadwaru nastavit protokol, s jakým bude toto zařízení pracovat. 9.4.7
Propojení internetové telefonie se standardy GSM a PSTN sítí
Spojeni VoIP a klasické telefonní sítě PSTN(GSM)
Jelikož IP telefonie funguje na jiných principech než klasická telefonie, je provázání těchto dvou světů zajišťováno na rozhraní pomocí tzv. bran (gateway). Brány zajišťují nejen připojení do JTS, ale i připojení klasických zařízení (faxy, telefony) v rámci lokální sítě. K připojování do JTS lze provést analogovými moduly (E&M, FXO) nebo digitálními moduly (ISDN BRI i PRI). Připojení klasických analogových zařízení (telefony, faxy) lze provést moduly typu FXS. Buď s nízkou hustotou portů nebo s vysokou hustotou portů. Variabilita je poměrně široká. Sumarizace použití analogových modulů: FXS - telefon (nebo jiné analogové zařízení); FXO - JTS nebo PBX; E&M - PBX. 192
Jako brány lze použít tzv. Voice Enabled směrovače (řady 1750, 1760, 2600, 3600, 3700 7200), specializovaná zařízení (Voice Gateway VG200), kombinovaná zařízení (Catalyst 4224, ICS 7750) nebo jako součást multifunkčních prvků Catalyst 4000 nebo 6000. Spojení počítače a pevné linky (mobilu) Je nesporné, že pro úspěšný rozvoj technologie VoIP, a tedy i IP telefonie jako aplikace VoIP, je zásadní propojení s telefonními sítěmi, ať už pevnými či mobilními. K tomuto účelu se používají VoIP/GSM a PSNT/GSM brány. VoIP umožňuje vzájemné telefonování jednomu uživateli počítače a jednomu uživateli běžného telefonu (pevného či mobilního). Počítač Počítač volajícího musí být vybaven vhodným softwarem, schopným navázat spojení s telefonní bránou poskytovatele internetové telefonní služby, a přenášet k této bráně telefonní hovor v jeho „datové“ podobě. Brána Brána převádí hovor do klasické „telefonní podoby“, a hovor pak pokračuje veřejnou telefonní sítí až na místo svého určení, k uživateli, který je vybaven běžným telefonem.
Obr 9.4. - Propojení sítě VoIP, PSNT a MNT (GSM) Zdroj: [42]
VOIP/ISDN: Brána mívá obvykle dva různé typy rozhraní, někdy ve vícenásobně se opakujícím počtu. Příkladem může být brána se dvěma porty typu Ethernet na VoIP straně a čtyřmi porty typu ISDN BRI. VOIP/GSM:
Obr. 9.5. – Brána VoIP–GSM Zdroj: [152]
Obr. 9.6. – Brána GSM s pobočkovou ústřednou Zdroj: [152]
193
9.4.8
Výhody a nevýhody VoIP
Technologie VoIP má stále několik nevýhod, které způsobily v mnohých přesvědčení, že není hodna velkému rozšíření. Přesto se nárůst VoIP telefonie trvale očekává. [101; 102] Brány GSM ISDN, Fax
Faxy Jednou z nevýhod jsou problémy při odesílání faxových zpráv kvůli softwarovým a síťovým omezením ve většině domácností. Existuje však snaha definovat alternativní řešení přenosu faxů přes IP, jmenovitě protokol T.38. Jiná možnost je považovat faxový systém jako systém přenosu zpráv, který nevyžaduje přenos dat v reálném čase - jako např. přenos faxu jako přílohy e-mailu, případně vzdálený tisk. Koncový systém může uložit kompletní zprávu do vyrovnávací paměti před jejím zobrazením nebo tiskem. Připojení k Internetu Dalším nedostatkem VoIP služeb je (s výjimkou např. vnitrofiremních sítí) jejich závislost na další samostatné službě - internetovém připojení. Kvalita a celková spolehlivost telefonického spojení přes VoIP je velmi závislá od kvality, spolehlivosti a rychlosti použitého internetového připojení. Zejména vysoké latence v sítích mohou vést k výraznému snížení kvality hovoru a způsobit jisté problémy, jako např. ozvěny. Přesto VoIP není vždy závislé na internetovém připojení. Mnozí uživatelé VoIP stále provozují i tradiční analogové telefonní linky, které umožňují volat na nouzová čísla a také bez problémů používat tradiční faxové přístroje. Fax lze přenášet i přes VoIP cestu, s nekomprimovaným kodekem G711, případně s podporou protokolu T.38, pokud jej podporuje SIP VoIP zařízení a TSP (operátor). Požadavky na připojení k Internetu Na veškeré VoIP protokoly (včetně nejnáročnějších G711 a G722 - 64kbit, reálný traffic je zde cca 90kbit) s rezervou dostačuje připojení 100/100 kbps a kvality ADSL. Od 1. 9. 2008 je v ČR nejpomalejší ADSL připojení 8192/512Kbit, tedy problém je vyřešen. Problematická může být konektivita WiFi s výpadky paketů (packetlost), proto požadujte dostatečné záruky minimální šířky pásma a ztráty paketů u poskytovatelů WiFi. Výpadky elektřiny Další nevýhodou VoIP je neschopnost uskutečňovat telefonní hovory během výpadku napájení, tento problém však existuje i u mnohých analogových telefonů (např. přenosné DECT přístroje, přístroje s pokročilými funkcemi a pod., pro které nestačí napájení z telefonní ústředny) a dá se vyřešit bateriovým zálohováním. Stejně tak v mnohých instalacích existuje možnost automatického přesměrování na jiné telefonní číslo (např. na mobilní telefon) v případě nefunkčnosti zařízení. Problémy s implementací Vzhledem k tomu, že UDP neposkytuje mechanismus, který by zabezpečil, že datové pakety budou doručeny ve správném pořadí, nebo poskytl garanci kvality služby, zavedení VoIP čelí problémům s latencí (zpožděním) a jitterem (kolísaním zpoždění). To je obzvlášť citelné při spojeních, kde část trasy probíhá přes satelitní spoje (kvůli dlouhému času šíření signálu). Přijímací uzel se potýká se ztrátou, přehazováním či se zpožděním jednotlivých paketů, přesto však musí zabezpečit co 194
nejlepší kvalitu výsledného hlasového toku. Proto využívá vyrovnávací paměť (buffer), díky čemuž přijímané pakety nejdou na výstup hned, ale zapisují se nejdříve do paměti, ze které se potom můžou číst ve správném pořadí, což však dále zvyšuje zpoždění. Nezájem domácích uživatelů VoIP nevyžaduje nutně širokopásmové připojení k Internetu, nicméně takové připojení umožňuje dosáhnout lepší kvality služby. Velká část domácích uživatelů je dnes připojená přes DSL, které vyžaduje klasickou telefonní linku. Nutnost platit za dvě telefonická připojení redukuje potenciální okruh zákazníků z řad domácích uživatelů. I když ve většině zemí již existuje nabídka internetového připojení přes DSL bez nutnosti platit za klasickou hlasovou službu (často to bylo třeba nařídit zákonem vzhledem k existenci monopolů v dané oblasti), ceny klasických hlasových služeb už nejsou tolik odlišné od cen VoIP služeb, aby došlo k masivnímu náklonu jednotlivých zákazníků k VoIP. Spolehlivost a kvalita služby Různá širokopásmová připojení mají kvalitu nižší než by bylo třeba. Jak se IP pakety ztrácejí nebo zpožďují na libovolném místě v síti mezi koncovými uzly, dochází k výpadkům hlasu. Výsledná kvalita zvuku proto často připomíná spíše GSM v prostředí se slabým signálem než klasickou telefonní linku (kde je přenosová kapacita garantovaná). Tento stav je pozorovatelný především ve velmi zatížených sítích, případně při velkých vzdálenostech a velkých počtech směrovačů na trase. Postupem času se sice situace vylepšuje, konečné řešení je však ještě v nedohlednu. Nouzové volání Povaha protokolu IP prakticky znemožňuje přesné geografické zaměření uživatelů. Nouzové hovory proto nemohou být jednoduše přesměrovány na nejbližší operační středisko záchranného systému. Když není volající schopný udat svojí adresu, nemusí být možné najít ho jiným způsobem. Poskytovatelé VoIP v EU i v ČR tyto funkce umožňují zákonnou povinností (ZOEK) registrace telefonní linky na konkrétní adresu a telefonní obvod (UTO), anebo přidělením negeografického čísla (v ČR prefix 910). Jiná je situace při podnikových pobočkových ústřednách založených na IP, ty obyčejně nemají žádné problémy s implementací nouzových volání. Konkurence mobilních telefonů Telekomunikační operátoři a zákazníci investovali obrovské množství finančních prostředků do mobilních telefonů a souvisejících zařízení. V rozvinutých zemích dosáhly mobilní telefony téměř úplnou penetraci trhu a mnoho lidí používá místo klasické pevné linky výhradně mobily. Za této situace není zřejmé, zda dojde k nárustu poptávky po VoIP mezi spotřebiteli dokud nebudou mít bezdrátové datové sítě podobné pokrytí jako mobilní sítě. V současnosti probíhá však i vývoj technologií jako UMA, které umožní použití "obojživelných" mobilních telefonů (telefon se při nalezení bezdrátového připojení k Internetu přepne ze sítě mobilního operátora do VoIP sítě). Bezpečnost Většina běžných spotřebitelských řešení VoIP zatím nepodporuje šifrování. Proto pro odposlouchávání platí to samé, co pro jiné datové přenosy (např. posílání elektronické pošty) - pro síťové uzly na cestě paketů mezi dvěma účastníky je případný odposlech velmi triviální. Zatím jen málo zařízení podporuje účinné 195
kryptování provozu, natož aby mohlo být použito. Musí ho podporovat koncová zařízení obou (resp. při konferenčních hovorech všech) účastníků komunikace. Update 2008: před koupí nového VoIP zařízení se ujistěte, že zařízení podporuje SRTP (Secure RTP), pokud chcete dbát na bezpečnost. Pro zavedení do podniku se často využívá technologie Voice VPN, která podobně jako při běžných VPN sítích aplikuje na tok (hlasových) dat šifrování s použitím technologie IPSec. [17] Zobrazení čísla účastníka Podpora zobrazování čísla volajícího účastníka (CLIP) je u různých poskytovatelů IP telefonie odlišná - někteří ho podporují úplně, jiní ne, což způsobuje, že se volané straně číslo nemůže zobrazit. V některých případech nedostatečné zabezpečení sítě poskytovatele umožňuje "nafixovat" poskytované číslo, což má za následek možnost při volání do klasické sítě "tvářit se" jako úplně jiný účastník.
9.5 Videokonference Videokonference je moderní způsob komunikace, který se stále častěji využívá v řadě oborů. Přenáší se při něm obraz i zvuk, účastníci si během přenosu mohou vyměňovat také různě zpracovaná a upravená data. Videokonference se uplatňují při poradách managementu podniků, státních organizací i ozbrojených složek. Obohacují odborné semináře a kurzy, firemní školení i výuku na školách. Pravidelně se užívají v medicíně, výzkumu i projekční činnosti. Do videokonference se mohou zapojit i stovky lidí, které technicky vysoce kvalitní přenos budou sledovat v sálech na promítacích plátnech a velkoplošných projektorech. [2] 9.5.1
Historie, vznik a vývoj
Jednoduché analogové videokonference mohly být využívány již od vynálezu televize. V té době takové konference probíhaly propojením dvou televizorů uzavřeným obvodem. Od roku 1936 do roku 1940 existovala taková videokonferenční síť mezi německými poštovními kancelářemi v Berlíně a pár dalších městech. Během prvních pilotovaných letů do vesmíru začala NASA také využívat videokonference. Avšak tehdejší způsob spojování byl velmi drahý na provoz. Až po roce 1980 byly vyvinuty digitální telefonní přenosové sítě, jako ISDN, které zajišťovaly minimální přenosovou rychlost (obvykle 128 kbit/s) pro komprimované video a audio přenosy. Tak jak se ISDN sítě rozšiřovaly po celém světě, začaly se objevovat i první specializované systémy pro videokonference. Jeden z prvních veřejných videokonferenčních systémů byl představen v listopadu 1984 společností PictureTel. Videokonferenční systémy se tak v průběhu 90. let rychle vyvinuly od drahých zařízení, softwaru a vysokých požadavků na sítě, do standardní technologie dostupné široké veřejnosti za přiměřenou cenu. Až konečně v 90. letech se díky IP (Internet Protocol) protokolu stalo využívání videokonferencí podstatně jednodušším. Byla vynalezena mnohem efektivnější videokomprese. V roce 1995 byla provedena první veřejná mezikontinentální videokonference, která spojovala dva veletrhy technologie – jeden v San Franciscu (Severní Amerika) a druhý v Kapském městě (Afrika). Dále pak byla videokonference použita pro část zahajovacího večera Zimních olympijských her v Naganu v roce 1998 – na všech pěti kontinentech současně zazněla Béthovenova 196
Óda na radost. Postupně od roku 2000 byla videotelefonie popularizována prostřednictvím bezplatných internetových služeb, jako je Skype a další programy, které nabízí videospojení za nízkou cenu, ale také nízkou kvalitu. V květnu 2005 byla představena první videokonference v HD (high definition) kvalitě. Bylo to na veletrhu Interop trade show v Las Vegas. Tato konference byla schopná přenést 30 snímků za sekundu v rozlišení 1280×720. Polycom představil svůj první HD videokonferenční systém v roce 2006. HD rozlišení se stalo standardem a pole prodejců videokonferenčních zařízení se dále rozšiřovalo. 9.5.2
Přínosy videokonference
Usnadňují komunikaci a spolupráci Jedním z nejdůležitějších aspektů videokonferenčního přenosu je udržování přímého kontaktu, což je nemyslitelné u audiokonferencí a telefonních hovorů. V průběhu videokonference mohou být souběžně využívány i další komunikační nástroje – sdílení prezentací, dokumentů a aplikací. Při videokonferencích jsou nejčastěji používány prezentace programu PowerPoint. Samozřejmě je možné využívat i další programy jako jsou Microsoft Word, Excel či jiné Windows aplikace. V některých situacích je více než 90% sdělení předáváno prostřednictvím neverbální komunikace. Videokonference umožňuje právě těmto sdělením lépe porozumět.
Videokonfe rence přínosy, historie a budoucnost
Zlepšují komunikaci Více informací je sdíleno a chápáno Posilují informační toky Řeč těla, gestikulace, výrazy obličeje a tón hlasu mohou odhalit téměř vše, co nebylo slovy řečeno. Spolupráce tváří v tvář Urychlují rozhodovací proces a obchodní transakce Snižují náklady a redukují čas strávený na cestách Optimalizují rozmístění zdrojů 9.5.3
Principy
Videokonference není zbrusu novou technologií, ale v souvislosti s vývojem rychlejších a spolehlivějších sítí (od ISDN a ATM ke gigabitovým IP sítím) a moderních kodeků (kompresní algoritmy) došlo k její úplné renesanci. Ve videokonferenci je pro uživatele zásadní součástí obraz, synchronní se zvukem (mnohé konferenční nástroje navíc nabízejí přenos souborů či sdílenou tabuli). Jakkoli by se zdálo, že z dvojice audio/video (A/V) je obtížnější přenášet obraz, není tomu tak zcela. Obraz v nejvyšší kvalitě samozřejmě vyžaduje značnou přenosovou kapacitu (šířku pásma) a přenos videa v reálném čase klade další nároky na síť z hlediska kvality služby (QoS, Quality of Service), zejména vyžaduje minimální ztráty paketů. Obraz a další doplňkové signály lze však většinou přenášet ve značně kompromisní kvalitě, aniž by to mělo významnější dopad na obsahovou část sdělení. Proto je to zvuk, na čem zejména záleží. Pro zachování srozumitelnosti a návaznosti rozhovoru nesmí docházet ke zpoždění a jeho kolísání. Kvalita zvuku ve 197
WWW
www.vcf.cz
videokonferenci má proto přednost před kvalitou ostatních signálů, přitom dosažení její přijatelné úrovně je zároveň často obtížnější než u ostatních typů signálu. Přenos zvuku je vyžadován v plně duplexním režimu, se zásadním problémem vzniku akustických zpětných vazeb při snímání a současné přítomnosti zvuku v uzavřeném prostoru. Proto musí videokonferenční systém obsahovat mechanismy pro potlačení akustické zpětné vazby. [2; 176; 178; 182 Způsoby realizace videokonferencí Způsobů realizace může být více, než zde uvedu, ale já jsem vybral ty nejrozšířenější. Jedná se o realizace videokonferencí pomocí technologie IP, MBone, ISDN a nakonec také ATM. IP videokonference používají jako přenosové médium síť Internet, přesněji řečeno její protokol IP. Jsou jednoduché a snadno implementovatelné a díky široce rozšířené podpoře IP mají zajištěn i značný okruh potenciálních uživatelů. Jejich největším problémem však je, že protokol IP nebyl koncipován pro zajišťování služeb tohoto charakteru. Neručí za to, že dopraví všechna data ve správném pořadí a s jistým maximálním zpožděním. Navíc současný Internet není dimenzován na podobné pokusy, jejichž spotřeba přenosové kapacity je značná. Z toho vyplývá, že čím větší je vzdálenost komunikujících partnerů, tím se zvyšuje riziko zhoršení kvality přenosu. MBone videokonference jsou speciálním případem předchozí skupiny. Také zde se používají služby založené na IP, ovšem pro adresování se používají skupinové adresy a přenášená data jsou v rámci Internetu šířena virtuální sítí MBone. V rámci MBone je vyvíjeno potřebné programové vybavení, které je k dispozici pro řadu platforem. Díky tomu si v IP světě mohou tyto nástroje činit nárok na pozici jistého de facto standardu. ISDN videokonference používají jako přenosové médium síť ISDN. Pro přenos signálu bývá vyhrazeno několik ISDN kanálů (nejčastěji dva), každý s kapacitou 64 kb/s. Na rozdíl od předchozích je zde přenosová trasa vyhrazena a tudíž nabízí zajištěné parametry spojení. Díky tomu může být výsledná kvalita o poznání vyšší. Koncovými body ISDN videokonferencí bývají poměrně často nepočítačová zařízení – speciální „krabičky“ s připojeným televizorem a videokamerou. V takovém případě pochopitelně odpadají veškeré doprovodné služby, jako je sdílená tabule či výměna souborů. Jednoduše je není jak realizovat. ATM videokonference představují špičkovou technologii jak z hlediska kvality přenášeného signálu, tak z hlediska pořizovacích nákladů a nároků na přenosové kapacity. Svým charakterem se velmi podobají ISDN videokonferencím. Data se přenášejí rezervovaným ATM kanálem s definovanými parametry, takže kvalita přenosové infrastruktury je opět zaručena. Obraz a zvuk jsou zpracovávány způsobem podobným digitální televizi (používá se kódování MPEG) a také výsledná kvalita je s ní plně srovnatelná. I přenosové kapacity odpovídají digitální televizi a podle nastavení kvality se pohybují zpravidla v řádu megabitů za sekundu. Tato technologie bývá nasazena tam, kde rozhoduje především kvalita obrazu a zvuku. Jako jeden z příkladů nasazení lze jmenovat videokonferenční přenosy lékařských operací. V krátkosti se dá říci, že IP videokonference jsou na tom nejhůře s kvalitou, ale nejlépe s cenou, což znamená, že jejich uplatnění spočívá především při prvních 198
pokusech uživatele s videokonferencemi. ATM naproti tomu představuje vrchol současné technologie a také kvality. Tomu bohužel odpovídá vysoká cena. Ta je dána nutností připojení k ATM a je také nezbytné pořídit speciální kódovací zařízení, které nelze použít na jiné účely (na rozdíl od počítače v případě IP a MBone). ISDN by se dala nazvat jako levnější a méně kvalitní obdoba ATM. MBone představuje rozumné řešení svou dostupností, cenou a mnohdy dostačující kvalitou. Rozdělení podle účelu a zaměření Videokonferenční systémy pro jednotlivce a pracovní skupiny, tyto systémy najdou uplatnění v každodenní praxi, kdy ze svého pracovního místa (počítače) můžete komunikovat se svým partnerem či partnery. Nabízí dobrou dostupnost, značné rozšíření, přijatelnou cenu a v závislosti na použitém systému a šířce přenosového pásma i solidní kvalitu. K dispozici bývají služby video, zvuk a sdílená plocha. Dají se dále rozdělit podle počtu účastníků konference: komunikace dvou účastníků po síti IP koncová zařízení: multimediální počítače, zařízení ISDN aplikace: např. nástroje MBone, VRVS, MS-Netmeeting, Gnomemeeting, CU-SeeMe, řada komerčních produktů, zařízení ISDN, ... komunikace většího počtu účastníků po síti IP koncová zařízení: multimediální počítače aplikace: nástroje MBone ve spojení s reflektorem, VRVS, ... komunikace většího počtu účastníků po síti IP pomocí multicastu koncová zařízení: multimediální počítače aplikace: nástroje MBone Systémy pro vysoce kvalitní přenos obrazu Tyto systémy se uplatňují pro přenosy s vysokými nároky na kvalitu. Obvykle se používají při propojení dvou míst a při přenosech do velkých přednáškových sálů. V závislosti na použitém systému mohou být velmi drahé a mohou vyžadovat šířku pásma i kolem 20 Mb/s. K dispozici jsou služby video a zvuk. specializované hardwarové kodéry/dekodéry koncová zařízení: např. AVA/ATV pracující nad ATM Broadcast, Media streaming, Video Demand a podpora on-line vzdělávání tyto technologie jsou zaměřeny na vysílání konkrétních událostí do sítě a případně zpřístupnění digitalizovaných záznamů uložených na serveru na požádání (Video on Demand). K dispozici jsou služby video, zvuk a případně poznámkové texty.
streamovací software a servery koncová zařízení: multimediální počítače aplikace: např. Windows Media, Real Video, OpenMash, MPEG4IP, ...
Funkční video: konference naživo Zatímco distribuce videa po síti může být jednosměrná i obousměrná, v případě videokonference má pochopitelně smysl pouze varianta obousměrného přenosu, s možností komunikace dvou (1:1) a více stran (1:N, kdy se video přenáší od jediného účastníka k více cílovým účastníkům, např. při přenosu přednášek nebo operací, nebo N:M, kdy se data přenášejí mezi různým počtem vysílajících i přijímacích účastníků, např. při rozsáhlejších videokonferencích). Často se 199
používají jednotky pro podporu vícebodových videokonferencí (MCU, Multipoint Conferencing Unit). Pro síť je nejnáročnějším řešením plnohodnotné skupinové vysílání (multicast), vyžadující podpůrné protokoly pro správu členů jednotlivých skupin (přihlašování, odhlašování, správa členství) a směrovací protokoly umožňující efektivně vysílat určité komunikační toky pouze do míst, kde je členové skupiny očekávají, a nezatěžovat zbytečnými přenosy zbytek sítě, kde uživatelé nejsou. Na jakémkoli síťovém segmentu se pak neobjeví více než jedna kopie vysílaných dat, bez ohledu na počet připojených účastníků. Řešení infrastruktury pro video po IP Videokonferenční infrastruktura je částí konvergované sítě CESNET2 podporující videokonference i IP telefonii. Signalizace je založena na rodině doporučení ITU-T H.323. Jejím základem jsou dva gatekeepery (software GnuGK) v hierarchickém uspořádání. Jeden slouží jako hraniční prvek sítě, propojuje síť IP telefonie a videokonferencí v rámci CESNET2 a propojuje ji též se zahraničními partnery především pomocí celosvětové akademické infrastruktury GDS. Druhý gatekeeper je určen výhradně videokonferenčním zařízením a jsou k němu připojeny dvě MCU. V bráně jsou registrovány videokonferenční jednotky CESNETu, některých univerzit (ČVUT, ZČU, VŠB) a dalších institucí jako NIDV (Národní institut pro další vzdělávání). Celkem se jedná zhruba o 30 hardwarových a 30 softwarových klientů, jejichž počet roste nárazově. V rámci členů sdružení CESNET je v užívání více jednotek, ale ne všechny jsou zapojeny do infrastruktury. Typicky se na školách využívají k propojování vzdálených pracovišť pro přednášky a konzultace. Zapojení do infrastruktury poskytuje vzájemné propojení, dosažitelnost z IP telefonní sítě, veřejné telefonní sítě a GDS. GDS (Global Dialing Scheme) je číslovací plán vyvinutý ViDeNet pro podporu globální komunikace především pro videokonference v oblasti vědy, vzdělávaní a výzkumu. Je podobný mezinárodnímu telefonnímu číslovacímu plánu a umožňuje přidělení čísla koncovým videokonferenčním zařízením, MCU a branám. V rámci GDS jsou často využívána tzv. virtuální čísla (sice se správným národním kódem, ale využívající mezery v národních číslovacích plánech), která neumožňují propojení přímo s běžnou telefonní sítí ani registraci ENUM. Číslovací plán použitý v CESNET2 využívá pro videokonference prefix 9500 přidělený ČTÚ, což umožnilo například registrovat záznamy ENUM ve veřejném uživatelském stromě e164.arpa. (pro H.323 i SIP). CESNET2 používá také protokol SIP (Session Initiation Protocol): centrálním prvkem této infrastruktury je multidoménový SIP server (software SIP Express Router), který směruje hovory do vnitřních uzlů sítě (klientské jednotky MCU, brány) a vnějších uzlů (okolní SIP sítě) a který funguje jako hraniční prvek infrastruktury SIP pro příchozí hovory. Videokonferenční jednotky, které jsou schopny fungovat jak na SIP tak H.323, mají možnost být registrovány v obou systémech (i současně, pokud to dovolují). 9.5.4 Videochat
Používaný software pro video chat
Microsoft Net Meeting - tento program je součástí novějších verzí Windows, ale je ke stažení i pro verze starší. Je lokalizován do českého jazyka, umožňuje on-line textovou, zvukovou i obrazovou komunikaci mezi 2 účastníky. Stačí se jen přihlásit na komunikační server (například ils.atlas.cz). Dále umožňuje přenos souborů a sdílení plochy - můžete se připojit na PC komunikujícího kolegy. Pokud je komunikace navázána, funguje spolehlivě a můžete s ním například bez problému 200
videotelefonovat ve velmi uspokojivé kvalitě. Ale tento program je prakticky nejstarší a dnes už je překonán. Windows Live Messenger - další poměrně zdařilá služba zdarma, na vyšší úrovni než netmeeting, komunikace přes zabezpečený server, kam se musíte napřed přihlásit. Opět přenos souborů, textová komunikace, hlas a obraz, dále také např. přímé telefonování. Zde je poněkud složitější instalace, spousta přihlašování a popravdě řečeno, pro základní funkce (z našeho pohledu) hlasové a textové komunikace příliš složité. Navíc najdete spoustu lidí, kteří v rámci averze k MS se tam prostě registrovat nebudou. Pomocí služby Windows Messenger je k dispozici poměrně zdařilá možnost videochatu. Majitelé Windows XP mají tuto aplikaci na instalačním CD, ostatní si ji mohou zdarma stáhnout. Jak se Vám bude líbit, necháme na Vás. Skype - dnes snad nejrozšířenější program, slouží pro textovou, hlasovou i videokomunikaci. V české lokalizaci, velmi snadno pochopitelný, stačí si vytvořit Skype účet a můžete začít. Komunikace PC-PC je pro všechny zdarma, pokud si zaplatíte kredit, je možno volat i na pevné linky nebo mobilní telefony. Ale to co nás zajímá - videochat - je zdarma a překvapivě dobré kvalitě. Více se dozvíte na Skype stránkách. V poslední době došlo ke spojení našeho předního portálu Centrum.cz se Skype. Program Skype je poměrně náročný na přenos dat a pokud máte rychlé přímé připojení na internet, stáváte se automaticky tzv. "supernodem" - tedy jakousi ústřednou., přes kterou proudí další hovory. Eyeball Chat - také dobře fungující, malý rychlý, přehledný. A jeho používání je ZDARMA. Umožňuje podobně jako Skype textovou, hlasovou i videokomunikaci. Instalace je velmi jednoduchá, program nemá problémy ani se sw firewally, na rozdíl od některých jiných. K dispozici je "chat rooms", kde jsou do několika kategorií rozděleny místnosti. Česky komunikujicí lidi tam ale moc často nenajdete. Program je poměrně rychlý, kvalita obrazu dobrá, jen jsou někdy potíže s hlavním serverem, ke kterému se připojujete - někdy má výpadky, tak že se dlouhé minuty nelze vůbec připojit. CuSeeMee - opět zprostředkovaná služba, umožňující video konference a přímou komunikaci 1:1, velmi pěkné grafické prostředí, ale instalační procedura vyžaduje odblokování některých zabezpečení Vašeho počítače. Navíc není možná off-line instalace, resp. stažení instalačního programu. Bližší zkušenosti s programem nemáme k dispozici, vzhledem k požadavkům na vypnutí ochran firewallu jsme dále netestovali všechny možnosti použití. Ale například český sw KERIO WinRoute Pro má v podporovaných aplikacích i tento program, včetně návodu, jak nastavit konfiguraci pro uskutečnění videokonference.
9.6 Otázky a úkoly 1. Postup zajištění spojení hovoru na základě přepojování okruhů 2. Přenos hlasu na základě přepojování paketů. 3. Pojednejte o významu algoritmů pro digitalizaci a kompresi vstupního hlasového signálu; kodeky. 4. Jakým způsobem je řešena nekompatibilita různých prvků při internetové telefonii? 5. Popište funkci komunikačního protokolu H.323; architektura. 6. Komunikační protokol SIP; architektura SIP. 7. Porovnejte vlastnosti protokolů H.323 a SIP. 8. Aplikace VoIP; spojení telefon – telefon, z počítače na počítač. 9. Spojení počítače a pevné linky (mobilu). 201
10. Uveďte výhody a nevýhody VoIP. 11. Význam počítačových sítí u videokonferencí. 12. Principy zajištění kvalitního přenosu obrazu. 13. Principy a podmínky pro zajištění přenosu kvalitního zvuku. 14. Uveďte způsoby realizace videokonferencí. 15. Videokonferenční jednotky CESNETu na našich univerzitách (ČVUT, VŠB, a další). 16. Jak pracuje program pro textovou, hlasovou i videokomunikaci- Skype?
9.7 Samostatná práce studenta
Najděte, stáhněte a nainstalujte open source systém asterisk. Nakonfigurujte tento systém na vybrané linuxové distribuci a vyzkoušejte reálný provoz mezi dvěma uživateli v rámci sítě LAN. Udělejte výkonnostní test software Skype při jednoduchém psaní zpráv, při telefonování mezi dvěma uživateli a při telefonické konferenci.
202
10 Bezpečnost počítačových sítí Obsah kapitoly: 10.1 Cíle kapitoly 10.2 Získané dovednosti 10.3 Klíčová slova 10.4 Způsoby narušení počítačové sítě 10.4.1 Průzkumné útoky 10.4.2 Útoky na získání přístupu 10.4.3 Zastavení provozu služeb 10.4.4 Viry, červi, trojské koně 10.4.5 Útoky na aplikační vrstvu 10.4.6 Útoky na protokoly řízení 10.5 Zabezpečení sítě pomocí hardware 10.5.1 Systémy detekce a prevence průniků 10.5.2 Bezpečnostní úkoly směrovačů 10.6 Zabezpečení sítě pomocí software 10.6.1 Firewall 10.6.2 Aplikační proxy server 10.6.3 Paketový filtr 10.6.4 Stavový paketový filtr 10.7 Zabezpečení sítě na úrovni protokolu 10.7.1 Úprava FTP protokolu 10.7.2 Zabezpečení komunikace pomocí SSL 10.7.3 Zabezpečení komunikace pomocí IPsec 10.8 Bezpečnost bezdrátových počítačových sítí 10.8.1 Filtrování MAC adres 10.8.2 Šifrování datového přenosu 10.8.3 WEP (Wired Equivalent Privacy) 10.8.4 WPA (WiFi Protected Access) 10.8.5 WPA2 10.8.6 NetworkLogin 802.1x + EAP 10.8.7 Radius server 10.9 Analýza problematiky bezpečnosti počítačových sítí 10.9.1 Falešná identita zdroje 10.9.2 Man-in-the-middle 10.9.3 Útoky na přístupová hesla 10.9.4 Odposlech 10.10 Jak zabezpečit síť 10.10.1 Základní kroky k zabezpečení sítě 10.10.2 Největší chyby administrátorů 10.11 Analýza bezpečnostních hrozeb a rizik VoIP telefonie 10.11.1 Příjem a modifikace hovoru 10.11.2 Odposlech 10.11.3 Přerušení hovoru 10.11.4 Sociální hrozby 10.11.5 Zneužití služby 10.12 Antivirový program 10.12.1 Rozdělení 10.12.2 Principy a funkce 10.12.3 Virové slovníky/databáze 203
10.12.4 Nebezpečné chování 10.12.5 Další metody 10.12.6 Antivirové programy 10.13 Otázky a úkoly 10.14 Samostatná práce studenta
10.1 Cíle kapitoly Cílem kapitoly je poskytnout ucelený přehled o možnostech narušení bezpečnosti sítě a současně získat přehled opatření zabraňující těmto atakům. Je třeba si uvědomit, že firemní síť je živý systém podléhající změnám, takže je třeba v pravidelných intervalech aktualizovat i jeho zabezpečení. Je třeba věnovat pozornost tzv. průzkumným útokům a útokům na získání přístupu. Největší hrozbu pro uživatele však představují programy a škodlivé kódy, které se šíří prostřednictvím internetu a denně používaných aplikací (počítačové viry, červi, trojské koně). Samostatná část kapitoly je věnována zabezpečení sítě pomocí hardware (bezpečnostní úkoly směrovačů), dále pak zabezpečení pomocí software (aplikační proxy server, paketový filtr), zabezpečení sítě na úrovni protokolu (zabezpečení komunikace pomocí SSL, zabezpečení komunikace pomocí IPsec). Velkým problémem je zajištění bezpečnosti bezdrátových sítí (filtrování MAC adres, šifrování datového přenosu). V závěrečné části kapitoly se věnujeme základním krokům vedoucím k zabezpečení sítě a nakonec antivirovým programům včetně připomenutím nejznámějších antivirových programů.
10.2 Získané dovednosti Získané dovednosti lze uplatnit v několika rovinách. Jednak při návrhu sítě (pevné nebo bezdrátové) a podle toho volit opatření k zajištění bezpečnosti. Na základě celé řady uvedených metod a prostředků lze svysokou pravděpodovností udržovat počítačovou síť v provozu a čelit nástrahám zvenčí.
10.3 Klíčová slova Bezpečnost sítě, průzkumné útoky, počítačové viry, počítačové červi, trojské koně, protokol SSL, protokol IPsec, antivirové programy, prevence průniků, firewall, proxy server, kryptografie, MAC adresy, rizika IP telefonie.
10.4 Způsoby narušení počítačové sítě Narušení a útoky na počítačovou síť
Existuje mnoho způsobů jak prolomit zabezpečení počítačové sítě. Největším problémem při zajištění sítě jsou bezpečnostní díry nebo chyby, které způsobují vývojáři při programování zabezpečovacích programů. Zajištění firemních počítačových sítí chápeme jako komplexní řešení, které neslouží pouze k ochraně přístupových bodů do sítě (internetové připojení) pomocí bran firewall, ale i na ochranu dalších zařízení, ať už před přímým získáním kontroly, nebo infiltrací škodlivého softwaru a trojských koní. [54; 68; 92] 204
Zajištění firemních sítí můžeme rozdělit na: Edge Security - zabezpečení perimetru firemní sítě pomocí bran firewall, přístupových bodů VPN, systémů detekce neoprávněných vniknutí Intrusion Detection. Implementace síťové karantény s možností "uzdravení" ještě před umožněním přístupu do sítě. Endpoint Security - ochrana koncových bodů (pracovní stanice, notebooky, PDA ...) pomocí personálních bran firewall, řešení ochrany proti spyware a škodlivému softwaru. Antivirus Security - antivirové řešení jsou součástí obou výše uvedených oblastí, ale protože je jejich význam pro zabezpečení sítě podstatný, řeší se často v samostatném projektu. Firemní síť je živý systém podléhající změnám, takže je třeba v pravidelných intervalech aktualizovat i jeho zabezpečení. Neméně důležitou součástí zabezpečení sítě je pravidelné a důsledné sledování, které nám umožní zastavit případný průnik již v zárodku. Útoky můžeme rozdělit podle toho jaký cíl následují útočníci, nebo podle toho jaké prostředky byly použity na narušení počítačové sítě. 10.4.1 Průzkumné útoky Průzkumné útoky jsou neoprávněné mapování systémů, služeb a hlavně zjišťování míst, které lze použít k útokům. Jde o shromažďování informací o síťovém provozu a v nejvíce případů tyto útoky předcházejí jiným typem útoků. Mezi tyto útoky můžeme zařadit: průzkum pomocí ping-ů (ping sweeps) - jde o sledování aktivních IP adres pomocí nástrojů, např. fping nebo gping. Využívá se posílání ICMP paketů k cílové stanici a následné čekání na odpověď. Pokud je odpověď poslána, znamená to, že IP adresa cílové stanice je aktivní. skenování portů (port scan) - jde o zjišťování aktivních, otevřených portů na určené IP adrese pomocí nástrojů, např.. Nmap nebo Superscan. odchytávání paketů (packet sniffers) - jde o odchytávání paketů za účelem zjišťování, případně dekódování a analýzu jejich obsahu, např. nástrojem Wireshark. 10.4.2 Útoky na získání přístupu Přístupové útoky využívají známé zranitelnosti autorizačních, ftp nebo webových služeb za účelem přístupu na internetové účty, k databázím a jiným citlivým informacím. K těmto útokům můžeme zařadit: útok na odhalení hesla - jde o opakované pokoušení se uhodnutí hesla. Známe dva typy tohoto útoku: slovníkový útok, kdy se za hesla dosazují slova z připraveného slovníku (souboru slov) hrubá síla, kdy útočník zkouší všechny kombinace znaků na uhodnutí hesla. útok založený na zneužití důvěry (trust exploitation) - cílem tohoto útoku je zkompromitovat důvěryhodný počítač za účelem spuštění útoků na ostatní počítače v síti. přesměrování portů (port redirection) - princip tohoto útoku spočívá 205
v umístnění útočníka, který se z logického hlediska nachází mezi dvěma počítači, které spolu komunikují. S takovou pozicí je útočník velkou hrozbou pro ostatní uživatele a může získat přístup k síti, k soukromým údajům nebo řídit jiné typy útoků. 10.4.3 Zastavení provozu služeb Útok na servery a služby
Tyto útoky jsou nejrozšířenějším druhem útoků zaměřených na servery pro jejich lehkou implementaci a poměrně náročné odhalení. Útočník se snaží zabránit běžnému síťovému provozu zamezením dostupnosti služeb, které server poskytuje. Útoky mohou být cílené na jakékoliv síťové zařízení včetně směrovače, propustnosti linky, přepínače nebo technické prostředky serveru. Využívá se fakt, že tyto prvky mají omezené množství prostředků, jakými jsou výkon CPU, kapacita paměti, propustnost. Projevem DoS (Denial .of Service )útoku je zastavení provozu některé služby. Server přestane přijímat a posílat poštu, neodpovídá na HTTP žádosti a tím pádem se uživateli nezobrazí WWW stránka. Obecný postup je takový, že přetížením některé služby rychlým sledem požadavků dojde k omezení nebo úplnému zastavení poskytování služby. Pátrání po útočníkovi je náročné, protože pro své utajení využívá množství falešných IP adres. Existuje 5 hlavních typů DoS útoků: 1. Vyčerpání výpočetních prostředků, jako jsou propustnost linky, diskový prostor, čas procesoru. 2. Narušení konfiguračních informací, např. směrovací informace. 3. Narušení stavu informací, jakými je nevyžádaná resetování TCP spojení. 4. Narušení síťových prvků fyzické vrstvy ISO / OSI referenčního modelu. 5. Maření komunikace mezi uživatelem a obětí útoku, v důsledku čehož již nemohou adekvátně komunikovat. Nejznámější DoS útoky jsou: ping smrti (ping of death) - využívá zranitelnost starších operačních systémů a síťových zařízení. Při tomto útoku se upravuje hlavička IP paketů ping-u, aby indikovala, že paket obsahuje více dat než ve skutečnosti má. útok záplavou TCP příznaky SYN (SYN flood) - tento útok zneužívá fázi navázání. TCP spojení, a to three-way handshake. Princip spočívá v posílání velkého množství SYN paketů (1000 a více) na cílový server. Ten na každý SYN paket odpoví jako za normálních podmínek SYN-ACK paketem, ale útočník nikdy nereaguje finálním ACK paketem pro úspěšné navázání spojení. Tato situace vyčerpá zdroje serveru, který čeká na potvrzení spojení, v důsledku čehož legitimní požadavky zahazuje.
206
Obr. č.10.1: SYN flood útok Zdroj: [190]
distribuovaný zastavení provozu služeb (Distributed Denial of Service) – princip tohoto útoku je stejný jako u klasických DoS útoků s tím rozdílem, že na cíl útočí několik koncových bodů současně.
Obr. č.10.2: SYN flood útok Zdroj: [190]
10.4.4 Viry, červi, trojské koně Největší hrozbu pro uživatele představují programy a škodlivé kódy, které se šíří prostřednictvím internetu a denně používaných aplikací. Mezi nejznámější typy těchto programů patří:
počítačový virus - v oblasti počítačové bezpečnosti se za počítačový virus označuje program nebo kód, který se dokáže sám šířit bez vědomí uživatele. Aby se mohl rozmnožovat, vkládá kopie svého do jiných spustitelných souborů či dokumentů. počítačový červ - jedná o program se škodlivým kódem, který napadá 207
hostitelský počítač, využívá jeho propojení přes síť s dalšími počítači a prostřednictvím nich se šíří dál. Na rozdíl od počítačových virů, červ nepotřebuje na své šíření hostitelský program. trojský kůň - od počítačového viru se liší v tom, že na první pohled vypadá jako užitečná aplikace, která vykonává požadované funkce, ale ve skutečnosti provádí nežádoucí operace, které umožňují útočníkovi získat přístup k počítači oběti. V současnosti se již trojské koně vyskytují jen zřídka.
10.4.5 Útoky na aplikační vrstvu Tento typ útoků spočívá v napadení známých zranitelností vyskytujících se v aplikacích a systémech, které běží na serveru, resp. cílové stanici. Obvykle jsou to serverové služby, např.. sendmail, PostScript a FTP. Zneužitím těchto slabých míst může útočník získat přístup k počítači s právy, se kterými běží daná napadená služba Často používané a dobré známé porty umožňují provést útoky na služby, které jsou za normálních okolností chráněné firewallem. Nejstarším typem útoku na aplikační vrstvu je trojský kůň, který spustí program s následným vyžádáním přihlašovacích údajů. Tyto si uloží pro svou potřebu nebo jejich zašle e-mailem útočníkovi. K nejnovějším typem útoku na sedmou vrstvu ISO / OSI referenčního modelu řadíme zneužití několika technologií, jakými jsou HTML, funkcionalita internetových prohlížečů nebo protokol HTTP. Tyto útoky v sobě zahrnují použití Java appletů a ActiveX technologie v kombinaci s posláním škodlivých programů a jejich načtením internetovým prohlížečem oběti. 10.4.6 Útoky na protokoly řízení Útoky tohoto charakteru spočívají v napadení a využívání zranitelnosti množiny protokolů řízení. Je úkolem administrátora, aby se vyhnul používání zranitelných a nezajištěných protokolů pro řízení a správu. Největší hrozbu v tomto případě představuje použití protokolu Telnet, který přenáší citlivá data nezašifrované. Ty mohou být kýmkoliv odchycené pomocí programu na odchytávání paketů. Doporučeným řešením a zajištěním vůči těmto útokům je použití nových protokolů (IPsec, SSI-I, SSL), které v sobě implementují šifrování dat a autentizaci odesílatele, resp. příjemce.
10.5 Zabezpečení sítě pomocí hardware Ochrana serverů a služeb před útoky ze sítě
Donedávna se mělo za to, že firewall a systémy detekce průniků IDS(Intrusion Detection Systems) dostatečně chrání síť před nakažením viry, červy, spywarem atd.. I když má každý počítač v síti kompletní aktualizace a zapnutý svůj firewall integrovaný v operačním systému. Stačí jen emailem nebo přes ICQ poslat relativně důvěryhodný link, na který důvěřivý uživatel klikne a vznikne problém. Ani jeden z firewallů totiž nebrání otevření spojení z vnitřní a bezpečné stanice do internetu a přijetí kompromitujícího kódu po tomto spojení zpět. Protože softwarové zabezpečení nezabrání všem způsobem narušení sítě, existují hardwarové zabezpečení, které pomáhají efektivně bránit těmto průnikům. 208
10.5.1 Systémy detekce a prevence průniků Se zvyšujícím se počtem průniků se tyto systémy staly nutnou součástí bezpečnostní infrastruktury, která chrání počítačové systémy a sítě před neautorizovaným přístupem. Pod pojmem detekce průniku se rozumí proces sledování událostí v počítačových sítích a systémech a následné analyzování těchto událostí z hlediska síťových průniků. Intrusion Detection Systems (IDS) nebo též systémy detekce průniku jsou tedy softwarový nebo hardwarová realizace procesu detekce průniku (eventuálně kombinace obou). Intrusion Prevention Systems (IPS) jsou systémy, které mají schopnosti ITS systémů a navíc mají za úkol detekovat bezpečnostní incidenty a následně jim i předcházet. V současnosti se však oba systémy používají současně, proto lze hovořit o systémech detekce a prevence průniků (Intrusion Detection and Prevention Systems - IDPS). IPS (Intrusion Prevention Systems) pracuje na cestě v síti a blokuje chybný provoz. Systém analyzuje aktivní spojení a zachycuje útoky při jejich přechodu, takže narušení provozu nikdy nedosáhne svého cíle. Zařízení obvykle nemají MAC adresu ani IP adresu. Legitimního provozu nebrání v průchodu systémem při plné rychlosti sítě a měli by mít latenci v řádech desítek mikrosekund.
Obr.č.10.3: Více segmentový IPS 3Com TippingPoint 5000 Zdroj: [191]
HP také představilo nový produkt TippingPoint Digital Vaccine Toolkit (DVToolkit), který umožňuje klientům vytvářet jedinečné filtry systému prevence narušení (IPS) pro ještě lepší ochranu vlastních aplikací. Tyto nové řešení z portfolia HP Converged Infrastructure integrují špičkové technologie datového centra a přinášejí jednodušší IT prostředí s vyšší flexibilitou, škálovatelností a nižšími náklady. HP TippingPoint IPS obsahuje tisíce filtrů, které blokují širokou řadu hrozeb namířených proti nejrůznějším oblíbeným aplikacím společností Microsoft, Adobe, RealNetworks a dalších. HP nabízí zákazníkům nejúčinnější metody boje proti útokům cíleným na odepření služby (DoS) - automatické zajištění neobvyklé aktivity, identifikaci nebezpečného chování, následnou oznámení a případné zablokování aktivity. 10.5.2 Bezpečnostní úkoly směrovačů Směrovač (router) je síťové zařízení, jehož hlavním úkolem je propojovat dvě nebo více sítí pomocí přenosu paketů mezi nimi. I v případě směrovačů platí pravidla bezpečnostní politiky zabezpečení podobně jako v případě firewallů. Směrovač se obvykle umísťuje jako vstupní brána (hranový směrovač) do sítě a tedy hraje 209
podstatnou roli v strategii vrstvené bezpečnosti. Asi 80% všech páteřních směrovačů na internetu využívá operační systém Cisco IOS (Internetwork Operating System). Samotný operační systém IOS je možné rozšíří také o funkce FFS (Firewall Feature Set), pomocí kterých dokáže směrovač vykonávat funkce firewallu. Aby mohl daný směrovač fungovat správně, je nutné jej správně nakonfigurovat: Základní konfigurace Jde tu o základní - síťové nakonfigurování směrovače, proto je z hlediska bezpečnosti tato konfigurace nedostačující. Směrovač jako přístupový bod do Internetu Představuje bod v počítačové síti, přes který prochází celá síťový provoz. Směrovač na kontrolu paketů V tomto typu konfigurace je možné provádět pokročilejší filtrování pomocí rozšířené firewallové množiny funkci (FFS). Uvedená konfigurace je z hlediska bezpečnosti nejefektivnější, ale zároveň je konfigurace nejobtížnější. Jádrem FFS je kontextově závislá řízení přístupu CBAC (Context-Based Access Control). CBAC je mechanismus (případně jistý druh přístupových seznamů), který umožňuje realizovat stavovou inspekci paketů prostřednictvím směrovače a tedy činnost filtrování až po aplikační vrstvu RM OSI modelu.
10.6 Zabezpečení sítě pomocí software Ochrana před útoky pomocí software
Tento druh zabezpečení je velmi populární a nejvíce používaný u běžných uživatelů sítě. Jeho popularita je způsobena i tím, že v dnešní době je možnost jednoduše a zdarma si stáhnout antivirový software z internetu a po instalaci jej bez problémů používat ve svém počítači. 10.6.1 Firewall
WWW
http://www.earchiv.c z/b03/b0800001.php 3
Firewall je síťové zařízení nebo software, jehož úkolem je oddělit sítě s různými přístupovými právy (typicky např.. Internet a Intranet) a kontrolovat tok dat mezi těmito sítěmi. Kontrola údajů probíhá na základě aplikování pravidel, které určují podmínky a akce. Podmínky stanoví pro údaje, které lze získat z datového toku (např. zdrojová, cílová adresa, zdrojový nebo cílový port a různé jiné). Úkolem firewallu je vyhodnotit podmínky a pokud je podmínka splněna, provede se akce. Dvě základní akce jsou "povolit datový tok" a "zamítnout datový tok". Po této akce firewall přestane paket zpracovávat. Existují však i jiné akce, které neurčují osud paketu a slouží např. na logování hlaviček paketu, změnu hlaviček paketu a podobně. Další vlastností firewallu, která se často používá, i když nejde o filtrování, je schopnost překladu adres (Network Address Translation - NAT). NAT umožňuje změnit zdrojové a cílové adresy v paketech, čímž se nejčastěji umožňuje komunikace se sítěmi s privátními adresami (např. 10.0.0.0 / 8). I překlad adres probíhá pomocí pravidel. Podle toho, na které vrstvě firewall analyzuje síťový provoz, rozlišujeme v zásadě dva firewally: Aplikační proxy server a paketových filtr. 210
10.6.2 Aplikační proxy server O aplikačním proxy serveru jsme hovořili již v kapitole Proxy server. Jde o filtrování na aplikační vrstvě referenčního modelu OSI, tj. aplikační proxy server dokáže přesně analyzovat celou síťový provoz a význam paketů na nejvyšší vrstvě. Tak může chránit např. před viry nebo různým škodlivým obsahem a umožnit přístup na základě autentizace uživatele. Nevýhodou aplikačního proxy serveru je zpomalení síťového provozu, protože kvůli analýze údajů musí skládat všechny pakety až po aplikační vrstvu. Další nevýhodou je, že aplikační proxy servery nejsou univerzální a většinou třeba používat specifický proxy server pro každý typ komunikace. Typické příklady jsou např. HTTP proxy servery, FTP proxy servery a jiné. 10.6.3 Paketový filtr Paketový filtr umožňuje sledovat síťový provoz po třetí vrstvu modelu OSI (tj. IP adresy a porty). Je mnohem rychlejší než proxy, ale jeho správa je komplikovanější a nemá tolik možností, jak aplikační proxy servery, protože se například nedostane k menu uživatele, kterému patří pakety. Nevýhodou paketového filtru je i to, že někdy musí na serveru fungovat služby, které při komunikaci využívají náhodně vybrané porty (např. při přenosu souborů pomocí FTP). Paketový filtr nevidí souvislosti mezi pakety a každý analyzuje samostatně. Tehdy třeba buď povolit celý rozsah portů (příliš benevolentní), nebo jej zakázat a takové služby nepoužívat (někdy nerealizovatelné). 10.6.4 Stavový paketový filtr Speciálním případem paketového filtru je stavový paketový filtr. Ten dokáže dávat do souvislosti procházející pakety a tak si uchovává stav spojení. Jedno navázáno spojení a všechny pakety, které k němu patří, se nazývá relace nebo session. Stav spojení lze využít v pravidlech a tak například automaticky povolit odpovědi na všechny odeslané pakety povolit spojení, které souvisejí s daným spojením během jeho trvání atd.. Toto se s výhodou používá např.. na řešení již zmíněného problému s FTP.
10.7 Zabezpečení sítě na úrovni protokolu Veškeré údaje, které se posílají po internetu prostřednictvím klasického HTTP protokolu, zda ostatních protokolů, např.. POP3, jsou přenášeny v čitelné podobě, a tedy jejich může získat prakticky kdokoliv. Vzhledem k tomu, že programové nástroje sloužící k zachycování citlivých informací jsou snadno dostupné.
211
Ochrana před útoky pomocí hardware
10.7.1 Úprava FTP protokolu FTP je další z aplikačních protokolů, který může být nezávisle zajištěn šifrou prostřednictvím uživatelských aplikací. Opět jde o to, aby u souborů procházejících přes Internet byla zaručena důvěrnost a integrita. Zajišťuje se pomocí speciálních FTP serverů a klienta s vlastními šifrovacími funkcemi. Klient a server se před vlastním zahájením spojení nejprve přesvědčí, zda skutečné jedná o správného klienta a správný server a ne o jejich podvržené kopie. Pak vygenerují tzv. session key, klíč, kterým budou šifrovat data v tomto spojení. Ten si vymění s použitím asymetrické kryptografie a přenos dat může začít. Pomocí takových aplikací lze zajistit například bezpečnou aktualizaci antivirových aplikací, přístup k firemním serverům ze vzdálených poboček, poskytovat autorizovaný přístup na firemní FTP serveru svým klientům a pod.. Na těchto řešeních mohou být postaveny i aplikace typu homebanking. Klientské aplikace jednotlivé příkazy převedou do formy souboru a ty jsou prostřednictvím zabezpečeného FTP přenosu zaslány na server banky, kde jsou dále zpracovány. 10.7.2 Zabezpečení komunikace pomocí SSL Protokol SSL (Secure Socket Layer) usiluje o bezpečnost rodiny protokolů TCP / IP na transportní vrstvě. Jeho cílem bylo poskytnout bezpečný komunikační kanál mezi dvěma stanicemi internetové stránky na úrovni spojení TCP / IP, který umožní bezpečnou implementaci všech běžných protokolů (např. telnet, ftp http atd.). Asi nejznámějším protokolem, který byl implementován pomocí SSL je protokol HTTPS. Je používán například v produktu Netscape. Protokol je navržen tak, ABY zabezpečoval vysokou míru bezpečnosti. Používá kombinaci kryptografie veřejným klíčem s kryptografii tajným klíčem. Kryptografie veřejným klíčem se používá pro vytvoření klíčů relace. Těmito klíči relace je pak zajištěna samotná komunikace pomocí některého blokového proudového kryptografického algoritmu, jako je 3-DES nebo IDEA. Protokol také zaručuje vzájemnou kryptografickou autentizaci komunikujících obou stran. Při návrhu SSL byla jako jeden z cílů zohledněná i interoperabilita a snadnost rozšiřování protokolu o nové šifrovací algoritmy. SSL protokol založený je na záznamech, které obsahují mnoho různých typů zpráv. Základním pojmem SSL jsou relace, které představují alespoň jedno spojení mezi klientem a serverem na transportní úrovni. Při zřízení relace se může provádět autentizace uživatele a v rámci jedné relace může být současně otevřeno několik zabezpečených spojení mezi klientem a serverem (například HTTP spojení nebo FTP spojení). Každá relace obsahuje vlastní stavové informace, včetně identifikátoru relace, informací o použité kompresi dat, informací o kryptografických algoritmech a o algoritmech použitých pro zajištění integrity dat. Je zde také uložen Klíč relace, sekvenční čítače inicializační vektory pro šifrovací algoritmy. 10.7.3 Zabezpečení komunikace pomocí IPsec Potřeba bezpečnějšího protokolu v síti Internet, jako je protokol IP (Internet Protocol), byla známá již dávno a nový "bezpečný protokol", nazývaný IPsec ([RFC 1825], [RFC 1826], [RFC 1827]), je vyvíjen již delší dobu. Jeho implementace se však objevily až v poslední době. IPsec se skládá ze dvou protokolů. Jeden z nich 212
zajišťuje integritu dat a druhý zajišťuje důvěrnost. Některé rysy IPsec (především zajištění integrity) se vyžadují i v nové verzi IP protokolu IPv6. V protokolu IPsec jsou použity dva nové typy paketů. Zajištění integrity je provedeno pomocí autentizační hlavičky (Authentication Header, AH). Při použití AH každý paket obsahuje zvláštní hlavičku, která obsahuje autentizační informace, následované daty samotného protokolu. Autentizační informace se skládají z výsledku klíčování kryptografického kontrolního součtu (používá se algoritmus SHA nebo MD5), z bezpečnostních parametrů (Security Parametr Index, SPI) a z ukazatele na hlavičku samotného protokolu vyšší úrovně. Položky, které se v hlavičce protokolu vyšší úrovně během přenosu paketu mění, jako je například položka TTL, jsou při výpočtu autentizačních informací ignorovány. Důvěrnost přenášených dat je zajišťována pomocí protokolu ESP (Encapsulated Security Payload). Stejně jako u AH je k paketu protokolu IP dodatečná hlavička, která obsahuje bezpečnostní parametry, a pak následují zašifrovaná data. ESP používá dva režimy činnosti. V transportním režimu obsahuje ESP paket data některého z vyšších protokolů, jako je například TCP protokol nebo UDP protokol. V tunelovacím režimu obsahuje ESP paket pouze datagram na úrovni protokolu IP. Stanice, používající IPsec, si musí spravovat bezpečnostní kontext, který je identifikován hodnotami SPI. Bezpečnostní kontext obsahuje informace o použitém kryptografickém algoritmu, inicializační vektory a šifrovací klíče. Pro IPsec je doporučováno, aby bezpečnostní kontext obsahoval také doby života klíčů a adresy komunikujících stran. Protokol IPsec má několik nevýhod a problémů. IPsec neobsahuje žádné automatizované prostředky pro správu kryptografických klíčů. Kryptografické klíče jsou obvykle distribuovány manuální což nelze považovat za vyhovující. Při praktickém používání protokolu je třeba použít jako AH, tak ESP. Pokud je použit pouze jeden z těchto protokolů, je IPsec náchylný k některým typům kryptografických útoků. Přes tyto nedostatky je však tento protokol lze při zachování určitých bezpečnostních zásad bezpečně používat. IPSec zastřešuje i L2TP. L2TP protokol se tváří jako 2. vrstva ISO / OSI modelu. Ve skutečnosti je však úrovně 5 v ISO / OSI, používá registrovaný port UDP/1701. L2TP však nemá potřebné silné autentizace .
Obr.č.10.4: schéma protokolu IPsec Zdroj: [192]
213
10.8 Bezpečnost bezdrátových počítačových sítí Z hlediska bezpečnosti mají bezdrátové sítě oproti sítím kabelovým velkou nevýhodu v tom, že není technicky možné omezit prostor, kde lze signál zachytit. U kabelových sítí se musíme dostat po kabely, abychom byli schopni odposlouchávat komunikaci, ale u bezdrátových sítí nám stačí být pouze v dosahu signálu vysílače, což v některých případech může být oblast i několik kilometrů od vysílače. Proto je nutné při těchto sítí zavést bezpečnostní opatření, která zabrání potencionálním útočníkům vniknout do sítě, nebo odposlouchávat data. 10.8.1 Filtrování MAC adres
Zabezpečení bezdrátové komunikace
Zabránit uživatelům svévolně připojovat vlastní zařízení do sítě nebo obejít pravidla firewallu změnou IP adresy svého počítače je možno filtrováním fyzických adres Síťové rozhraní, v němž filtr MAC adres může být použit na libovolném síťovém rozhraní firewallu, které je typu Ethernet nebo Wi-Fi. Doporučené je však důkladně zvážit, co chceme docílit, a vybrat jen ty rozhraní, na kterých má být síťová komunikace filtrována. Pokud bychom chtěli například blokovat nežádoucí zařízení v lokální síti, nemá vůbec smysl zapínat filtrování MAC adres na internetových rozhraních. Je tím pouze zbytečně zatěžován firewall, a může tak dojít k blokování internetové komunikace. Filtr MAC adres může pracovat v jednom ze dvou režimů. Blokování počítačů s uvedenými MAC adresami bude filtr blokovat pouze komunikaci počítačů (zařízení) s MAC adresami uvedenými na seznamu. Komunikace všech ostatních počítačů bude povolena. Tento režim lze využít k rychlému zablokování určitých MAC adres, nezabrání však připojení nových, dosud neznámých zařízení. Další nevýhodou je skutečnost, že mnoho systémů a zařízení umožňuje MAC adresu síťového adaptéru změnit. Povolení komunikace počítačů s uvedenými MAC adresami povolí filtr pouze komunikaci počítačů s MAC adresami uvedenými na seznamu, komunikace všech ostatních počítačů bude blokována. Tento režim filtrování je velmi účinný, jsou blokovány všechny neznámé MAC adresy (v jedné fyzické síti nemohou být dvě zařízení se shodnou MAC adresou - zneužití povolené MAC adresy je proto velmi obtížné nebo dokonce nemožné). Při použití tohoto režimu je však třeba vytvořit a udržovat kompletní seznam MAC adres všech zařízení, jejichž komunikace má být povolena. U větších sítí to může být poměrně náročný úkol. 10.8.2 Šifrování datového přenosu Šifrovaní se používa jako ochrana před neautorizovaným únikem informací. Existují 2 základní přístupy k šifrování: Symetricky – soukromým klíčem Asymetricky – dvěma klíči (soukromý a veřejným) Symetrické šifrování při šifrování soukromým klíčem obě strany komunikace sdílejí stejný klíč, který je používán symetricky, co v praxi znamená: pro šifrování i dešifrování. Šifrování je lze využít pro autentizaci, i pro ochranu přenosu dat. Největší omezení používání soukromého klíče je distribuce klíče všem, kteří ho 214
potřebují. Z tohoto důvodu je nutné zajistit bezpečnost samotného klíče při přenosu sítí. Proto musíme klíč často měnit. Na obrázku č.. 10.5 je znázorněn průběh šifrování zprávy. Symetrické šifrování
Obr. č.. 10.5: Zašifrování zprávy pomocí symetrického šifrování Zdroj: [92]
Příklady šifrování soukromým klíčem jsou. DES (Data Encryption Standard) - Používá se 56 bitový klíč na blok dat o délce 64bit. Byl rozluštěn v roce 1997. Dnes se již používá 3DES, který je vylepšením s trojitým použitím klíče DES AES (Advanced EncryptionStandard) – Používá se s délkou klíčů 128, nebo 256 bitů. Používáme ho na šifrování bloků o délce 128, 192, 256. Všechny kombinace délky klíčů a šifrovaných bloků jsou možné. AES nabízí o 1021 více 128 bitových klíčů jako DES. V roce 2001 nahradil DES a stal se normou FIPS (Federal Information Processing Standard). Asymetrické šifrování se s veřejným klíčem vykonává asymetricky. Kdy data zašifrovaná jedním klíčem lze dešifrovat klíčem druhým, oba klíče tvoří jedinečný pár vzájemně korespondujících klíčů. Jeden klíč je přísně soukromý, zatímco druhý je veřejný a je dostupný komukoliv. Asymetrické šifrování tedy neslouží k autentizaci, ale k ochraně přenášených dat. Každé dvě stanice mohou bezpečně komunikovat bez předchozího předávání klíčů dvojitým šifrováním, soukromým a veřejným klíčem. Příklad asymetrického šifrování je RSA, kde spolehlivost závisí na délce klíče, s délkou klíče se zvyšuje, lze použít i pro autentizaci, v elektronické poště, digitálních podpisech nebo pro SSL. Velkou výhodou asymetrického šifrování je snadná správa šifrovacích klíčů, protože pro distribuci veřejných klíčů netřeba zabezpečená komunikace. Soukromý klíč je udržován v bezpečí systému a po síti se nepřenáší, nebo se pro každou transakci generuje nová dvojice klíčů. Nevýhodou šifrování veřejným klíčem je složitost použitého algoritmu. Šifrování soukromým klíčem je podstatně rychlejší. Proto se často přistupuje ke kombinovanému použití. Pomalé asymetrické šifrování se použije na distribuci symetrických klíčů, na základě kterých se pak šifrují data. Rozluštění klíče lze provést buď "hrubou silou", kdy se zkouší nejrůznější 215
WWW
http://www.earchiv.c z/axxxk160/a707k16 2.php3
kombinace pro dešifrování, nebo technikami kryptoanalýza, kdy se studují rozdíly mezi páry zaslepeného textu a získané informace se použijí na prolomení šifry. Na obrázku č. 10.6 je znázorněn průběh šifrování zprávy pomocí dvou klíčů. Asymetrické šifrování
Obr. č. 10.6: Zašifrování zprávy pomocí asymetrického šifrování Zdroj: [92]
10.8.3 WEP (Wired Equivalent Privacy) Zajišťuje šifrování rámci na 2. sítové vrstvě. Šifruje tedy veškeré rámce (blok binárních dat), který vědou od klienta k AP a ně pouze pojištěné určité služby. Pokud je však AP připojen do Internetu, tak mezi AP a internetovým serverem šifrování neprobíhá. Právě použitá šifra je u WEPu Největší problém. [4; 68] K šifrování se používá algoritmus RC4, jehož autorem je R. Rivest a zveřejněn byl v roce 1994. Algoritmus používá proudovou symetrickou šifru s délkou klíče 40, 104 a 232 bitů. Již v roce 2001 však bylo v algoritmu objeveno hned několik bezpečnostních nedostatků. Se symetrickým šifrováním je problém v tom, že někde musí mít klient uložený statický klíč, kterým šifruje a zároveň dešifruje komunikaci. Lepší výrobci chrání přístup ke klíči ve speciální paměti síťové karty (NVRAM), ke které lze přistupovat jen pod heslem. Bohužel tímto způsobem to zdaleka nedělají všichni a najdou se i případy, kdy je klíč uložen v registrech a to v otevřené podobě. Proudová šifra generuje pseudonáhodný stream o stejné délce jakou má zpráva, tzn. délka klíče se podle potřeby nafukuje. Generátor pseudonáhodných čísel, který podle pravidel rozšíří délku klíče, se nazývá PRNG. Šifrování probíhá jednoduchou operací XOR mezi zprávou a klíčovým streamem a dešifrování probíhá reverzně. WEP bohužel nijak neřeší distribuci klíče a tak je musíme ve většině případů manuálně zapsat do konfigurace zařízení. Tím trochu odpadá podstata šifrování. Útočník sice zatím klíč nezná, ale oprávněný uživatel ano a tak pro něj není složité komunikaci dešifrovat, a protože 70% útoků je vedeno zevnitř sítě, tak je tento fakt považován za velký bezpečnostní nedostatek. Ani oprávněný uživatel by o podobě klíče neměl vůbec vědět! 216
Odesílatel i příjemce musí mít stejný klíč používaný k šifrování/dešifrování komunikace. Pro vyšší bezpečnost je nutné klíč průběžně obměňovat. To ale WEP ani RC4 nijak neřeší a tak jediný možný způsob změny klíče je opětovné nahrazení stávajícího v konfiguraci adaptéru. U distribuce klíčů je problém, protože případný útočník může nový klíč při předání získat. Proč se používá právě tato šifra? Jednoduše proto, že ji lze snadno implementovat do hardwaru bezdrátových adaptérů a díky tomu nemá aktivování šifrování téměř žádný vliv na výkon počítače. Zašifrování stejné zprávy symetrickou šifrou totiž pokaždé generuje stejnou šifrovanou zprávu a tím pádem je mnohem jednoduší klíč uhodnout. Proto je součástí WEP ještě inicializační vektor (IV), který se mění s každým paketem a doplňuje klíč o dalších 24 bitů. Při použití WEPu s klíčem dlouhým 128 bitů má klíč pouze 104 bitů + 24 bitů IV. Generování IV zajišťuje vysílací strana, která ho nejenom použije k sestavení šifrovaného streamu, ale přidá ho v otevřené podobě i do záhlaví rámce. Tím by se mohlo zdát, že se pokaždé použije "jiný klíč" a šifra je tím bezpečnější, ale není tomu tak. Unikátních IV je pouze 224, a pokud se tedy odešle 224 paketů, začne se IV opakovat. Inicializačním vektorem se tedy nic neřeší a šifra je stále napadnutelná řadou útoků. Navíc prodloužení klíče má k délce jeho luštění lineární závislost => pro 2x delší klíč je potřeba pouze 2x více času k dešifrování. Integritu šifrované zprávy zajišťuje funkce CRC-32 (Cyclic Redundancy Check), jejíž hodnota je společně s daty zašifrovaná v těle zprávy. Bohužel však díky lineárnosti funkce CRC32 ji lze obelstít určitou formou záměny bitů, které nedokáže odhalit. "Slabina zabezpečení komunikace pomocí WEP je skryta v 24-bitovém inicializačního vektoru (IV). Velikost IV je 24 bitů nezávisle na tom, zda klíč je 40 nebo 104-bitový, tedy nezávisle na tom, zda použijete 64 - nebo 128-bitový WEP " Možností zabezpečení WLAN je použití základní ochrany, právě pomocí WEP. Většina zařízení WLAN tento způsob zabezpečení podporuje. První problém zabezpečení pomocí WEP je fakt, že standardně není zapnut - lidé dnes prostě koupí zařízení, zapojí a používají bez dodatečné konfigurace. WLAN nejsou zabezpečeny od začátku. 10.8.4 WPA (WiFi Protected Access) WiFi Protected Access je to druh zabezpečení bezdrátových počítačových sítí. Jeho vznik zapříčinily právě reakce na bezpečnostní nedostatky, které byly objeveny v předchozím systému WEP. Modernizace většiny zařízení šla udělat jen prostřednictvím softwarových / firmwaru změn. Na konci roku 2002 sdružení výrobců WiFi Alliance představilo WPA, které bylo přijato jako dočasné řešení do doby než bude schválen bezpečnostní doplněk normy IEEE 802.11i. Používá stejný šifrovací mechanismus RC4 jako WEP. Protokol použitý ve WPA (TKIP) má kvůli své vyšší složitosti určitý vliv na výkonnost zařízení. Kromě autentizace a šifrování WPA také vylepšuje kontrolu správnosti údajů a používá algoritmus nazvaný Michael. Díky prodloužení klíčů a inicializačních vektorů, snížení počtu zaslaných paketů s příbuznými klíči a systému ověřující zprávy je těžké WPA prolomit. Algoritmus Michael představuje to nejsilnější, co mohli autoři WPA použít při zachování kompatibility se staršími síťovými kartami. Díky nezbytné slabosti algoritmu 217
Michael obsahuje WPA speciální ochranný mechanismus, který detekuje pokus o prolomení TKIP a dočasně blokuje komunikaci s útočníkem. "Způsob, jak WPA pracuje, závisí od implementace. V případě SOHO proběhne ověřování uživatele na základě hesla, které zná uživatel a přístupový bod. Po ověření dojde k výměně šifrovacího klíče a bezpečná komunikace může začít. " Komunikace ve větší konfiguraci je složitější. Po vzájemném navázání komunikace mezi AP a klientem. 10.8.5 WPA2 WEP WPA WPA2 802.1x Radius server
Přesně v roce 2001 byla sestavena pracovní skupina v institutu IEEE i za účelem zlepšení bezpečnosti šifrování a autentizace dat standardu 802.11. Jako reakci zájmu o bezdrátovou bezpečnost vydala doporučení Wi-Fi Alliance v dubnu roku 2003. V roce 2004 schválili konečné vydání standardu 802.11i, který následně dostal od asociace Wi-Fi Alliance komerční název WPA2. Standard IEEE 802.11i nám přinesl takové základní změny, jako jsou oddělování autentizace uživatele od vynucování integrity a soukromí zprávy, tedy poskytuje stabilní a škálovatelnou bezpečnostní architekturu vhodnou nejen pro domácí sítě ale i pro velké podnikové systémy. Nová architektura pro bezdrátové sítě nese označení RSN a používá autentizaci 802.1X, silnou distribuci klíčů a nové mechanismy pro zajištění integrity a soukromí. Implementuje povinné prvky IEEE 802.11i. Konkrétněji k TKIP a algoritmu Michael přidává nový algoritmus CCMP, který je založen na AES a považuje se za zcela bezpečný. Od 13. března 2006 je certifikace WPA2 povinná pro všechna nová zařízení, která chtějí být certifikována jako Wi-fi. 10.8.6 NetworkLogin 802.1x + EAP Zabezpečení počítačové sítě pomocí funkce NetworkLogin 802.1x umožní aktivnímu prvku bezpečně ověřit uživatele na základě uživatelského jména a hesla a až když se ověří tak ho připustí ke zdrojům sítě. V tomto případě může být aktivním prvkem přepínač, přístupový server, bezdrátový přístupový bod. Ověřovacími autoritou není aktivní prvek sám, ale centrální databáze uživatelů, se kterou jako její klient komunikuje. Tuto databází nazýváme RADIUS. RADIUS server je možné provozovat jako integrovanou službu v Microsoft ActiveDirectory. Je založen na protokolu EAP, který byl původně vyvinut pro PPP LCP (Point-to-Point Protocol Link Control Protocol). Jde o mechanismus přenosu EAP paketů prostřednictvím spojové vrstvy LAN (typu 802): zprávy EAP se zapouzdřuje do rámců 802.1x. Proto se 802.1x označuje jako EAPOL. Celý proces ověření probíhá tak, že stanice se připojí k portu zabezpečenému 802.1x. Svou existenci přepínači dá najevo libovolným paketem, například požadavkem o přidělení IP adresy. Přepínač však přijatý DHCP požadavek nepřeposílá dál, ale obratem posílá žádost o identifikaci zpět na stanici. Stanice odpovídá svým uživatelským jménem a heslem. Přepínač obdržené informace zašifruje do paketu a pošle na ověřovací autoritu. RADIUS server provede vyhodnocení přijatých informací a zpět přepínači odešle potvrzení či odmítnutí uživatele. Přepínač na základě této informace vpustí nebo odmítne stanici přístup do takto zabezpečené sítě. Vzájemné ověření nám zajišťuje EAP, mezi serverem a bezdrátovým klientem a v síťovém datacentru. 218
Dále názorná ukázka s popisem a obrázkem ověření pomocí 802.1 x obrázek 10.7 Jak funguje ověřování v 802.1x Klient pošle na přístupový bod zprávu "žádost o přístup". Přístupový bod požádá o identitu klienta. Klient odpoví identifikačním paketem, který je předán na ověřovací server. Ověřovací server vyšle paket "přijmout" na přístupový bod. Přístupový bod uvede klientský port do schváleného stavu a dovolí výměnu dat.
Obr.č.10.7: Ověřování pomocí 802.1x Zdroj: [42]
Existuje řada ověřovacích algoritmů používaných k ověřování 802.1X. Mezi některé příklady patří: EAP-TLS, EAP-TTLS, PEAP a LEAP. Jedná se takzvaně o metody, jakými se klient identifikuje serveru RADIUS. Typy některých ověřovacích typů: 1. TKIP: Dynamické generování klíčů. Protokol TKIP je určen k řešení hlavních nedostatků WEP. Obsahuje funkce jako je dynamické generování, kontrolu integrity zpráv a číslování paketů na ochranu proti útokům typu replay. TKIP prodlužuje délku zprávy zašifrované pomocí WEP o 12 bajtů: 4 bajty pro rozšířenou informaci a 8 bajtů pro kód integrity zprávy (MIC). 2. TLS: Metoda ověřování, která využívá protokol EAP a bezpečnostní protokol TLS. Metoda EAP-TLS používá certifikáty, které používají hesla. Ověřování EAP-TLS podporuje dynamickou správu klíčů WEP. Protokol TLS je určen pro zajištění ověření komunikace ve veřejné síti prostřednictvím šifrování dat. Signalizační protokol TLS umožňuje serveru a klientovi, aby se vzájemně ověřili a dohodly algoritmus šifrování a šifrovací klíče ještě před přenášením dat. 3. TTLS: Tato nastavení definují protokol a identifikační informace použité k ověření uživatele. V ověřování TTLS používá klient metodu EAP-TLS na ověření serveru a vytvoření kanálu šifrovaného protokolu TLS mezi klientem a serverem. Klient může použít jiný ověřovací protokol. Protokoly založené na hesle typicky ověřují prostřednictvím neveřejného šifrovacího kanálu TLS. Současné implementace ověřování TTLS podporují všechny metody definované protokolem EAP a také řadu dalších starších metod 4. PEAP: Protokol PEAP je nový druh ověřování EAP IEEE 802.1X navržen tak, aby využíval zabezpečení EAP-TLS na straně serveru a podporoval různé 219
metody ověřování včetně uživatelských hesel, jednorázových hesel a karet Generic Token Cards. 5. LEAP: Verze protokolu EAP. Protokol LEAP je proprietární rozšiřitelný ověřovací protokol vyvinutý společností Cisco, který poskytuje ověřovací mechanismus založený na dotazu a odpovědi a dynamické přiřazování klíčů. Tento protokol se dá označit za účinný. Pro lepší popis to vysvětlím teoreticky, že Cisco LEAP (Cisco Light EAP) je ověření server - klient 802.1X prostřednictvím přihlašovacího hesla, které předloží právě uživatel, takže my. Při komunikaci mezi bezdrátovým přístupovým bodem a serverem RADIUS, který má zapnutý protokol Cisco LEAP (Cisco Secure Access Control Server [ACS] server). Protokol Cisco LEAP nám všem poskytuje kontrolu přístupu prostřednictvím vzájemného ověřování mezi klientskými bezdrátovými adaptéry a bezdrátovými sítěmi a poskytuje nám dynamické šifrovací klíče pro jednotlivé uživatele ke zlepšení ochrany přenášených dat. 10.8.7 Radius server Radius server autentizace autorizace
Autentizaci a autorizaci v síti nám umožní právě zmíněný RADIUS protokol. Před připojením mnoho poskytovatelů internetových služeb vyžaduje přihlášení se pomocí uživatelského jména a hesla. Tyto přihlašovací informace jsou poslány pomocí EAP (nebo jinými protokoly - LEAP, PEAP) serveru RADIUS, který ověří platnost přihlašovacích údajů av případě, že jsou správné, povolí přístup danému zařízení do sítě (přidělí mu IP adresu, pošle WEP klíč, případně pošle jiné nastavení). Každý uživatel má vytvořený účet a nastavení, které jsou uloženy v systému. Dají se podle toho třídit uživatelé do skupin a mají jisté nastavení (například v práci - manažeři, vedoucí, zaměstnanci). Toto umožňuje používat různé stupně zabezpečení komunikace a ochrany a manažeři mohou například přistupovat na jejich servery, mají pevné IP adresy (přiřazené podle přihlašovacího jména, nebo MAC adresy počítače), mohou si prohlížet internet bez omezení, zatímco všichni studenti mají přiřazenu IP serverem v stejném rozsahu a mají blokován přístup na určené stránky popřípadě servery. RADIUS protokol je z pohledu zabezpečení wi-fi sítí sloužící k transportu EAP zpráv mezi AAA serverem a bezdrátovým přístupovým bodem. Protokol RADIUS, nám přeposílá zprávy od klienta k autorizačnímu serveru. V některých rysech se však RADIUS podobá EAP protokol, i když je to vlastně naopak, protože RADIUS byl vytvořen dříve. Na obrázku č. 11.8 vidíme komunikaci RADIUS serveru a jak v něm fungují čtyři důležité zprávy v protokolu RADIUS. Access-request - zasláno pakety přístupovým bodem autorizačnímu serveru; Access-challenge - odpověď autorizačního serveru přístupovému bodu; Access-accept - indikace úspěchu; Access-Reject - indikace neúspěšné autentizace.
220
Obr č. 10.8: Komunikace RADIUS serveru Zdroj: [42]
Mnoho výrobců implementuje do svých zařízení právě RADIUS protokol, protože je volně dostupný
10.9 Analýza problematiky bezpečnosti počítačových sítí Bezpečnost sítě se myslí minimalizace zranitelných míst síťových prostředků. Ochranu v síti vyžadují informace a data, služby, zařízení a uživatelé z hlediska svého majetku a identity. Ohrožení bezpečnosti sítě zahrnuje zničení, poškození nebo ztrátu informací, případně zdrojů, odhalení soukromé informace, nebo přerušení služeb. Ohrožení může být jak úmyslné, tak neúmyslné a může být jak zvenčí, tak zevnitř. Na zajištění bezpečnosti sítí je nutno aplikovat správnou bezpečnostní politiku. Bezpečnostní politika je založena na principu rozpoznání autorizovaného a neautorizovaného chování. Provádění této politiky probíhá za použití různých mechanismů, které slouží k prevenci, detekci nebo nápravu. Bezpečnostní politika musí být definována jako součást organizačního řízení, musí podporovat cíle celého podniku a její odpovědnosti musí být jasně deklarovány. Použité bezpečnostní prostředky musí být efektivní nákladově, tak i z hlediska bezpečnosti. K naplnění bezpečnosti v sítích jsou používány bezpečnostní služby. [54; 68; 87] 10.9.1 Falešná identita zdroje Nazvat ho můžeme i address spoofing a tento útok je založen na změně adresy útočníka. Narušitel změní svou skutečnou adresu, která nemá přístup do podnikové sítě, za adresu s přístupem. Útočník s falešnou adresou pak může požadovat služby jako důvěryhodný uživatel, za kterého se vydává. Mezi nebezpečné důsledky falešných adresací patří možnost zjištění informací o oprávněných uživatelích, jejich účtech i heslech a přidání nebo změna konfigurace vnitřního serveru (např. přidání neoprávněných uživatelských jmen). 221
10.9.2 Man-in-the-middle Útok také využívající falšování. Spočívá v tom, že se útočník vydává za jednu z důvěryhodných stran v dané konverzaci. To mu umožňuje zachytávat zprávy, které jsou přenášeny po síti. Útok je úspěšný tehdy, pokud se útočníkovi podaří udržet konverzaci na potřebně dlouhou dobu. Útočník musí být schopen posílat pakety a odposlouchávat odpovědi, proto musí své zařízení umístit na silnici mezi oprávněnými uživatelem a cílovou stanicí, nebo změní cestu mezi oběma stranami tak, aby vedla přes jeho zařízení. Vyhnutí takovému útoku se dá také telefonickým ověřením osob, zda jde o osobu správnou při zveřejnění klíče, nebo použít jiné zajištění. 10.9.3 Útoky na přístupová hesla Analýza bezpečnosti počítačových sítí
V tomto případě lze heslo odhalit různými mechanismy. Pro příklad to může být falešnou IP adresací, nepřímo pomocí prototypu analyzátorů, pomocí keylogger, přímo hrubou silou, čili slovníkovými útokům. Poslední případ je škodlivý nejen v možnosti odhalení hesla, ale i blokováním přístupu ke službám oprávněným uživatelům opakovanými pokusy přihlásit se do systému. Také mohou být útoky provedeny pomocí paket sniffer, kterými následně získáme uživatelský účet a heslo, které se právě přenášejí jako prostý text. Obvykle se tyto útoky provádějí opakujícími pokusy o přihlášení do sdílených zdrojů, jako jsou směrovače nebo servery, aby identifikovali uživatelský účet nebo heslo. Opakované pokusy jsou nazvané také jako slovníkové útoky nebo brute-force útoky (útoky hrubou silou). Útočníci mohou na uskutečnění slovníkového útoku, využít nástroje, jako jsou Cain nebo L0phtCrack. Zmíněné programy se opakující snaží o nové přihlášení, jako uživatel s použitím odvozených slov ze slovníku. Protože uživatelé mají za zvyk zvolit si jednoduché hesla, které jsou jednoduché a jednoslovné, které jsou příliš krátké, které lze snadno předvídat, tehdy slovníkové útoky často uspějí. Možnost využívání rainbow tabulek, kdy v tabulce je každý řetězec vytvořený ze začátku náhodně vybraného hesla a je vyrobena z řetězců možných nešifrovaná hesla. Následně se vytvářejí různé variace. Nástroje pro útok Brute-force je sofistikovanější, pro vytvoření všech možných hesel složených z těchto znaků, protože hledá všechny kombinace znaků. Velkou nevýhodou zde může být, že potřebujeme více času na dokončení tohoto typu útoku. Při útoku vědí nástroje Brute-force, odhalit jednoduché hesla někdy opravdu až lehce, a to pouze v poměrně krátkém čase. Ale při těch složitějších heslech nám to může trvat několik dní a v různých případech i týdnů. Před útoky se doporučuje, bránit se pomocí použití dostatečně dlouhých a složitých hesel. 10.9.4 Odposlech Tuto techniku také nazýváme sniffingu, při které dochází k ukládání a následnému čtení TCP paketů. Používá se zejména při diagnostice systému (sítě) a odposlechu datové komunikace pomocí odposlechu síťové komunikace lze získávat informace o uživatelích, citlivá data a přístupová hesla. Tento útok je velmi běžný u bezdrátových sítí kvůli jejich charakteru. Útočník může být se svým zařízením kdekoli ve volném prostoru mezi dvěma vysílacími body a při špatném zabezpečení sítě může odposlouchávat probíhající komunikaci. Tento způsob je možný v sítích, 222
kde je použit HUB, avšak ne SWITCH, v tomto případě je složitější sniffingu (arpspoofing). Proxy server je ideálním prostředím a o méně více router. Avšak nemusí jít vždy jen o odposlech datové komunikace vzdálených počítačů. Může dojít ke čtení dat, které odesílá a přijímá jiný uživatel téhož počítače.
10.10 Jak zabezpečit síť V dnešní době je mnohem složitější zabezpečit bezdrátovou síť jako klasickou drátovou síť, která byla využívána dlouhá léta před bezdrátovou. Drátová síť má pouze omezené množství pevných přístupových bodů, ale k bezdrátové síti v dosahu sítě se lze připojit z jakéhokoliv místa. [68] 10.10.1Základní kroky k zabezpečení sítě Kroky
Pokud síť dobře nezajistíme, můžeme očekávat ztrátu služeb nebo zneužití sítě právě zabezpečení pro útoky na jiné sítě. Na odstranění děr v zabezpečení sítě využijeme základních síti 6 bodů. 1. Základem je umístění antény k využití uzavřeného bezdrátového přístupového bodu (AP) a to tak, aby zbytečně nepokrývaly oblast větší, než potřebujeme. Anténu neumísťujeme blízko okna, sklo nezablokuje plně propouštění signálu. Ideální je, když umístíme anténu doprostřed prostoru, který potřebujeme pokrýt, ale nejvhodnější je využít sektorové antény s umístěním v rozích. 2. Zapnutí šifrování (WEP), což je v bezdrátové síti standardní metodou pro zašifrování přenosu dat. Sice má WEP své slabé stránky, ale pořád je spolehlivou ochranou. A je lepší mít slabší zabezpečení, jako žádné. Aby se usnadnila výrobcům instalace Wifi zařízení tak je do prodeje dodávají s vypnutým WEP šifrováním. Proto po koupi je potťeba WEP zapnout. Však nejlepší volbou je WPA2. 3. Vypnutí DHCP se může zdát jako zbytečnost, ale v bezdrátových sítích má i toto význam. Tímto budou útočníci donuceni poznat naši přesnou IP adresu, masku sítě a TCP / IP parametry. 4. SSID je identifikační značka používána přístupovým bodem, podle níž se klientská zařízení mohou připojit. Tento identifikátor je od výrobce nastaven na přednastavenou hodnotu. Naše bezdrátové připojení mohou snadno zneužít útočníci, kteří znají přednastavené hodnoty. Nezadávejte jména nebo názvy firem (např.: TESCO-SKLAD), je to pak až příliš jednoduché pro útočníka. Pro každý bezdrátový přístupový, pokud nám to dovoluje zařízení, zamezíme veřejné zobrazování a je nutné bod SSID změnit na unikátní s těžším uhodnutím. Síť se nám nebude zobrazovat v seznamu dostupných síti, ale bude přístupná. 5. Pokud přístupový bod podporuje vzdálené ovládání, tak jej úplně vypněte, jinak útočník takto prolomí přístupový bod, nebo ještě jako další volba je, že zvolíte dostatečně složité heslo. 6. Poslední možností je použití přístupového listu. Pro uzamčení sítě je nejlepší volbou implementovat seznam filtrování přístupů. Manuálně můžeme zadat v seznamu, které klientské zařízení se lze k síti připojit, a pro ostatní to je pak nedostupná. Dle MAC adres zadáváme klientská zařízení.
223
10.10.2Největší chyby administrátorů Většina dnešních přístupových bodů je pro zjednodušení spravovaná přes webové rozhraní. I v dnešní době se najdou AP, které nemají změněné standardní heslo administrátora. Takže může být zabezpečení jakékoliv, útočník se jednoduše připojí na správu AP. Nepovolené AP, které si pro vlastní potřebu připojil některý ze zaměstnanců. Pokud administrátor nekontroluje, zda v jeho síti nepřibyly AP bez jeho vědomí, tak má útočník otevřenou bránu. Zaměstnanci totiž většinou jen připojí AP, bez jakéhokoliv zabezpečení, do sítě, a pokud vše funguje, tak se o něj dál nestarají. Pokud administrátor zablokoval vysílání SSID (názvu přístupového bodu) a tím aktivoval tzv. "neviditelný režim", tak se nic neděje. Tento pokus o zabezpečení je samozřejmě úplně nevhodný, protože SSID lze získat pasivním odposlechem. WiFi a interní síť by měli být jednoznačně odděleny firewallem. Pokud administrátor neučiní jinak, tak není složité zkoumat firemní intranet a tím pádem se dostat k interním informacím, topologii sítě, sdíleným prostředkům. Existují také WiFi sítě, okolo kterých jen projdete, automaticky dostanete IP adresu od DHCP serveru a můžete surfovat na internetu. V případě, že je povolený pouze port 80 (http), tak použije útočník metodu tunneling rulez.
10.11 Analýza bezpečnostních hrozeb a rizik VoIP telefonie Hrozby a rizika VoIP
Bezpečnostní hrozby, podle VOIPSA (VoIP Security Alliance) jsou rozděleny do pěti základních oblastí, resp. tříd: Příjem a modifikace hovoru, Odposlech, přesušení hovoru, Sociální hrozby, Zneužití služby, 10.11.1Příjem a modifikace hovoru Tato třída popisuje metodu, kterou je útočník schopen vidět celou signalizaci a datový tok mezi koncovými body a je schopen měnit provoz jako zprostředkovatel při konverzaci. Patří sem: Call Black Holing, Přesměrování hovoru (Call Rerouting), Změna faxové zprávy (Fax Alteration), Změna hovoru (Conversation Alteration), Degradace hovoru (Conversation Degrading), Falešná prezentace při hovoru a únos hovoru (Conversation Impersonation and hijacking), 224
Falešná identifikace volajícího (False Caller Identification),
Call Black Holing Call Black Holing (případně Call Blackholing) je neoprávněná metoda zahazování, absorbování nebo odmítnutí předání IP paketu nebo jiného základního prvku VoIP protokolu, která má za následek zabránění nebo ukončení komunikace. Call Black Holing zahrnuje všechny VoIP protokoly pro každou formu komunikace - hlas nebo jeho sbližování s ostatními médii včetně videa, textu a obrázků. Přesměrování hovoru (Call Rerouting) Přesměrování hovoru (méně známé i jako Call Sinkholing) je jakýkoli způsob neoprávněného přesměrování IP nebo jiného základního prvku VoIP protokolu s cílem přesměrování komunikace. Důsledkem přesměrování je zahrnutí neoprávněných uzlů odpovídajících neoprávněným osobám nebo jiným entitám do komunikace. Kromě toho může mít za následek vyloučení autorizovaných uzlů, které odpovídají osobám nebo jednotlivým entitám na obou stranách komunikace. Přesměrování hovoru zahrnuje všechny VoIP protokoly pro každou formu komunikace - hlas nebo jeho sbližování s ostatními médii včetně videa, textu a obrázků. Změna hovoru a faxové zprávy (Conversation and Fax Alteration) Změna hovoru (konverzace) je jakákoliv neoprávněná změna paketů, resp. jakékoli informace v audio, video a / nebo textové části komunikace, včetně identity, stavu, nebo informace o přítomnosti mezi dvěma oprávněnými uživateli. Změna faxové zprávy je neautorizovaná modifikace jakékoli informace ve faxu nebo v jiném obrázku dokumentu včetně záhlaví, krycího listu, stavu a / nebo konfirmačních dat. Degradace hovoru (Conversation Degrading) Degradace hovoru je neoprávněné a úmyslné snižování kvality služeb (QoS) jakékoliv komunikace. Degradace hovoru (komunikace) je metoda útoku na QoS, která omezuje nebo zcela překazí komunikaci. Neautorizovaná degradace nezahrnuje legální způsoby snížení kvality služby ze strany provozovatele komunikačního systému potřebného pro správu sítě. Falešná prezentace při hovoru a únos hovoru (Conversation Impersonation and hijacking) Falešná prezentace při hovoru a únos hovoru je vložení, mazání, přidávání, odstranění, substituce, nahrazení nebo jiná modifikace jakékoli části komunikace s informacemi, které mění nějaký její obsah a / nebo identitu, přítomnost, stav některého z účastníků. Falešná prezentace a únos hovoru je metoda útoku, který se vztahuje na všechny typy komunikace včetně hlasu, videa, textu a / nebo obrázkových dat bez ohledu na zapouzdření a kódování. Falešná identifikace volajícího (False Caller Identification) Falešná identifikace volajícího je signalizace nepravdivé identity nebo přítomnosti. 10.11.2Odposlech Odposlech je metoda, kterou je útočník schopen monitorovat celou signalizaci a (nebo) datový tok mezi dvěma nebo více koncovými body VoIP, ale nemůže, 225
případně nemění samotná data. Do této kategorie můžeme zařadit tyto hrozby: Sledování způsobu využívání (Call Pattern Tracking), Zachycení provozu (Traffic Capture), Získávání čísel (Number harvesting), Rekonstrukce konverzace (Conversation Reconstruction), Rekonstrukce hlasové zprávy (Voicemail Reconstruction), Rekonstrukce faxové zprávy (Fax Reconstruction), Rekonstrukce videa (Video Reconstruction), Rekonstrukce textu (Text Reconstruction), Sledování způsobu využívání linky (Call Pattern Tracking) Sledování způsobu využití linky je jakákoli neoprávněná analýza kterékoli části komunikace z nebo do libovolného uzlu nebo více uzlů v síti. Zahrnuje sledování provozu pro jakoukoli signální analýzu nebo analýzu způsobu využívání linky. Sledování využívání linky je technika pro odhalení identity, vztahů, přítomnosti využívání linky. Jedná se o obecnou techniku, která umožňuje neoprávněnou činnost jako jsou vykrádání, vydírání a jiné praktiky včetně pishingu. Zachycení provozu (Traffic Capture) Zachycení provozu je neoprávněné ukládání provozu jakýmikoli prostředky, zahrnuje zaznamenávání paketů, logování paketů pro neoprávněné účely. Je základní metodou pro záznam komunikace bez souhlasu všech účastníků komunikace. Získávání čísel (Number harvesting) Získávání čísel je neoprávněné shromažďování identifikačních údajů, kterými mohou být čísla, řetězce, URL adresy, e-mailové adresy, nebo jiné identifikátory v jakékoli formě, které reprezentují uzly, účastníků nebo jiné entity v síti. Umožňuje následnou neoprávněnou komunikaci, krádež informací a jiné podvodné praktiky. Rekonstrukce konverzace (Conversation Reconstruction) Rekonstrukce konverzace je neoprávněné monitorování, nahrávání, ukládání, rekonstrukce, rozpoznávání, získávání jakékoli hlasové části komunikace, včetně identity, prezence nebo stavu. Rekonstrukce konverzace je prostředkem pro sběr, kopírování a extrahování informací o (i šifrovaném) audio obsahu hovoru, bez souhlasu zúčastněných stran komunikace. Rekonstrukce faxu a hlasové zprávy (Fax and Voicemail Reconstruction) Rekonstrukce faxové zprávy, zda hlasové zprávy v hlasové schránce je neoprávněné monitorování, nahrávání, ukládání, rekonstrukce, rozpoznávání, získávání faxu nebo jakékoliv části zprávy v hlasové poště bez souhlasu komunikace účastníků. Rekonstrukce videa a textu (Video and Text Reconstruction) Rekonstrukce videa a textu je neoprávněné monitorování, nahrávání, ukládání, rekonstrukce, získávání jakékoli části videa, nebo textu v komunikaci, včetně identity, prezence nebo stavu. Může obsahovat buď hlas nebo video, nebo může být v kombinaci. Je prováděno bez souhlasu všech zúčastněných stran komunikace.
226
10.11.3Přerušení hovoru Přerušení hovoru může být náhodné nebo cílené. Cílené přerušení hovoru je aktivním útokem na provoz hlasové komunikace a zajištění poskytování služby jako takové. Vzhledem k faktu, že VoIP sítě představují kombinaci různorodých fyzických sítí, je množství útoků a způsobů přerušení velmi velké. Do této kategorie patří: Odepření služby specifické pro VoIP (Specific Denial of Service DoS), Zahlcení požadavky (Request Flooding): Vadné žádosti a zprávy (Malformed Requests and Messages): Zneužití QoS (QoS Abuse) Zprávy s falešnou identitou (Spoofed Messages): Únos hovoru (Call hijacking): DoS útok na síťové služby (Network Services DoS), DoS útok na operační systém nebo Firmware (Underlying Operating System / Firmware DoS), Distribuovaný DoS útok (Distributed DoS), Fyzický průnik (Physical Intrusion), Ostatní přerušení, případně náhodné: Vyčerpání napájecího zdroje (Resource Exhaustion) Ztráta externího napájení (Loss of External Power) Latence spojení (Performance Latency) Odepření služby specifické pro VoIP (Specific Denial of Service DoS) Zahlcení uživatelského volání (User Call Flooding), pod které patří zahlcení uživatelských volání k dalším zařízením (User Call Flooding Overflowing to Other Devices), zahlcení požadavků koncového bodu (Endpoint Request Flooding), zahlcení požadavků koncového bodu po ustanovení spojení (Endpoid Request Flooding after Call Setup), zahlcení Call Controller (Call Controller Flooding) nebo požadavek slučkovania (Request Looping), zahlcení adresářů (Directory Service Flooding), Vadné žádosti a zprávy (Malformed Requests and Messages), které obsahují zablokování koncových bodů s neplatnými požadavky (disabling Endpoints with Invalid Requests), vkládání neplatných dat do Call Processor (Injecting Invalid Media into Call Processor) nebo chybné zprávy protokolu (Malformed Protocol Messages ), Zneužití QoS (QoS Abuse), Zprávy s falešnou identitou (Spoofed Messages), pod které patří falešná zpráva o odpojení (Fake Call Teardown Message) nebo zfalšované odpovědi (Faked Response), Únos hovoru (Call hijacking), pod který můžeme zařadit únos registrace (Registration hijacking), únos datového toku (Media Session hijacking) a maskování serveru (Server Masquerading). DoS útok na síťové služby (Network Services DoS) Patří sem nejrůznější útoky ze sítě, které mohou narušit nebo degradovat službu VoIP. K útoku proti zařízení VoIP sítě, nebo VoIP služby sítě může dojít prostřednictvím využití přetečení vyrovnávací paměti na specifické síťové komponenty. DoS útok na operační systém nebo Firmware (Underlying Operating System / 227
Firmware DoS) VoIP zařízení (IP telefony, Call Processor, brány a Proxy servery) dědí stejně několik zranitelností operačního systému nebo firmwaru, na kterém jsou postaveny. To znamená, že bez ohledu na skutečné zajištění VoIP aplikace, zůstává aplikace ohrožena, neboť nebyla zajištěna základního operačního systému. Distribuovaný DoS útok (Distributed DoS) Při distribuovaném DoS útoku velké množství počítačů současně generuje požadavky na síť nebo aplikační zdroje. Útok může být proveden ve dvou etapách, přičemž v první infiltruje skrytý kontrolní program, nebo "stealth červa" do počítačů připojených v síti a pak pomocí těchto ovládacích prvků může infikovaný počítač přistoupit k skutečnému DoS útoku. Druhá fáze může zahrnovat přímé akce útočníka, případně může být útok spuštěn automaticky v přesně stanovený čas. Fyzický průnik (Physical Intrusion) Fyzickým průnikem se rozumí průnik přes vstupní, zabezpečovací, sledovací systémy, bezpečnostní služby a může mít vážný dopad na služby VoIP. Fyzický průnik není omezen pouze na zařízení, resp. budovu, v níž se služby poskytují. V úvahu je třeba brát zejména průnik k fyzické vrstvě OSI modelu (ARP spoofing, IP spoofing nekorigovaným změny konfigurace, úmyslné výpadky napájení). Patří sem: Fyzický přístup k zařízením obsahujícím (poskytujícím) síťové služby (prostřednictvím vstupních bodů - oken, dveří, kabelových rozvoden, střechy), Fyzický přístup ke kabelovému a kabelových rozvodů těchto zařízení (Přístup prostřednictvím měděných drátů, přes antény, nebo indukční cívky, prostřednictvím antén v blízkosti cílového systému), Fyzický přístup k systémům a zařízením. Ostatní přerušení, případně náhodné Mezi ostatní, případně náhodné přerušení patří výpadky elektrické energie, vyčerpání zdrojů (např.: nedostatky v software nebo hardware, které jsou následně náročné na procesor, chyby a nedostatky, omezující šířku pásma komunikačního spojení), latence (zpoždění oznamovacího tónu, délka času po vytočení tlf. čísla, ztráta paketů - nesrozumitelný, nebo rozvlákněný hlasový přenos. 10.11.4Sociální hrozby Bezpečnost a soukromí uživatelů jsou důležitými sociálními potřebami. Každopádně jsou ale konfrontovány s finančními možnostmi a návratností investic. Do této skupiny řadíme: Zkreslení identity, práv, obsahu a autority (Misrepresenting Identity, Rights, Content, Authority), Krádež služeb (Theft of Services), Nevyžádaný kontakt (unwanted Contact) - obtěžování (Harrassment), vydírání (Extortion), obtěžování legálním a nelegálním obsahem (unwanted Lawful (unlawful) Content). Zkreslení identity, práv, obsahu a autority (Misrepresenting Identity, Rights, 228
Content, Authority) Zkreslení znamená falešnou nebo zavádějící komunikaci. Zkreslení zahrnuje poskytování informací, které jsou nepravdivé, pokud jde o totožnost, orgán certifikační autority, nebo práva vůči jiným osobám, pokud jde o obsah komunikační informace. Chybná interpretace identity nebo autority - je cílená prezentace s falešnou identitou nebo autoritou s účelem oklamání. Zahrnuje: prezentaci falešného jména nebo čísla volajícího, prezentaci falešného hlasu, jména nebo organizaci v hlasové nebo video zprávě, prezentaci falešného emailu, předložení nepravdivých informací o přítomnosti prezentaci hesel, klíčů, nebo certifikátu, obcházení podmíněného přístupu, falešný nárok na obejití běžné autentizace. Zkreslení práv a obsahu je úmyslné předkládání falešných práv a nepravdivém obsahu, jakoby byly skutečné, s cílem uvést v omyl. Zahrnuje prezentaci hesel, klíčů nebo certifikátů, obcházení podmíněného přístupu a změnu seznamů řízení s úmyslem získat práva, které mu nejsou uděleny, falešné napodobování hlasu nebo slov volajícího, úpravy mluveného, psaného, nebo vizuálního obsahu, zavádějící tištěné texty, obrázky nebo video. Zkreslení práv je základním prvkem útoků typu pishing. Krádež služeb (Theft of Services) Krádež služeb je každé nedovolený odběr ekonomických výhod poskytovatele služeb pomocí prostředků určených zbavit poskytovatele zákonného příjmu nebo majetku. Může začínat od krádeže šifrování klíčů až po neoprávněné vymazání, změna nebo obešli fakturačních záznamů, resp. platebních systémů, neoprávněné platby, odebrání služeb poskytovatele. Nevyžádaný (nechtěný) kontakt (unwanted Contact) Nevyžádaný (nechtěný) kontakt je jakýkoli kontakt, který nevyžaduje kladný souhlas (opt-in) nebo obchází odmítnutí souhlasu (opt-out). 10.11.5Zneužití služby Zneužití služby je kategorie nesprávného použití služeb zahrnuje: Zneužití hlasového spojení (Call Conference Abuse) Podvody se službami se zvýšenou sazbou (Premium Rate Service Fraud) Neoprávněné obcházení nebo upravení fakturace (Improper Bypass or Adjustment to Billing) Další neoprávněné přístupy ke službám. Zneužití hlasového spojení (Call Conference Abuse) Zneužití hlasového spojení prostřednictvím VoIP jako prostředku pro skrytí identity za účelem spáchání podvodu. Podvody se službami se zvýšenou sazbou (Premium Rate Service Fraud) Umělé zvyšování provozu bez souhlasu na maximalizaci finančních účtů prostřednictvím volání na služby se zvýšenou sazbou (např. erotické linky, audio textové hry atd.). Neoprávněné obcházení nebo upravení fakturace (Improper Bypass or 229
Adjustment to Billing) Vyhnutí se oprávněným poplatkům za služby nebo utajení podvodů změnou účtovacích položek. Další neoprávněné přístupy ke službám. Patří sem např..: rekonfigurace koncových bodů - telefonních aparátů, registrační útoky, při kterých dojde ke zneužití zranitelných míst v registraci, formy podvodů pro získání přístupu do autentizačních systémů (např. Active Directory, LDAP, VoIP brány a switche).
10.12 Antivirový program Antivirová ochrana
Antivirový program sleduje všechny nejpodstatnější vstupní/výstupní místa, kterými by viry mohly do počítačového systému proniknout. Pokud jde o viry samotné můžeme říci, že se jedná o nežádoucí a ve většině případů škodící kód, který se cíleně šíří. [31; 103; 110] 10.12.1 Rozdělení Antivirové programy můžeme rozdělit na: On-demand skenery - spouštějí se přes rozhraní OS DOS a jsou určeny pro případ, že systém není z důvodu poškození schopen nastartovat běžným způsobem. Jednoúčelové antiviry - jde o antivirové programy, které jsou zaměřeny na detekci, popřípadě i odstranění jednoho konkrétního viru, popřípadě menší skupiny virů. Tyto antiviry vznikají většinou k likvidaci rozšířeného viru v dané době. Antivirové systémy - jde o komplexní antivirové řešení, které má za úkol ochránit váš počítač před červy šířící se poštou, škodlivými skripty případně zabránit stažení infikovaných souborů. Komplexní nástroj může mít ve výbavě firewall a další specializované nástroje. 10.12.2 Principy a funkce Antivirový program vyhledává a kontroluje data na základě virové databáze. V dnešní době vznikají nové viry a jejich mutace, tak rychle, že výrobce musí na tuto situaci reagovat 24 hodin denně. Tato virová databáze je tedy průběžně aktualizována a je k dispozici uživatelům ke stažení, což se většinou děje automaticky stažením z internetu. Antivirové programy dnes všechna data, ke kterým přistupujeme, kontrolují na pozadí. Tuto činnost většinou nezaregistrujeme, pokud je antivirový skener dostatečně rychlý a samozřejmě pokud soubory neobsahují virus. Antiviry nabízejí také funkci skenování souborů na vyžádání uživatele s nastavitelnou úrovní analýzy souborů. Antivirový program dnes už není jednoúčelovou "černou skřínkou", která hlídá, co si nakopírujete z diskety do počítače. Dnešní komplexní řešení musí čelit rozmanitým nástrahám, která jsou bohužel součástí dnešního světa. Rádi Vám s výběrem poradíme a nezapomeňte, že obezřetný musí být nejen antivirový program, ale také sám uživatel. 230
10.12.3 Virové slovníky/databáze Při kontrole souboru antivirový program zjišťuje, zda se nějaká jeho část neshoduje s některým ze známých virů, které má zapsány v databázi. Pokud je nalezena shoda, má program tyto možnosti: pokusit se opravit/vyléčit soubor odstraněním viru ze souboru (pokud je to technicky možné) umístit soubor do karantény (virus se dále nemůže šířit, protože ho nelze dále používat) smazat infikovaný soubor (i s virem) K dosažení trvalého úspěchu ve středním a dlouhém období vyžaduje virová databáze pravidelné aktualizace, které obsahují informace o nových virech. Pokud je antivirový program neaktualizovaný, představují viry přinejmenším stejné nebezpečí, jako kdyby antivir v počítači vůbec nebyl! Uživatelé mohou sami zaslat svůj infikovaný soubor výrobcům antivirových programů, kteří informaci o novém viru začlení do databáze virů. Antivirový program fungující na platformě databáze virů kontrolují soubory v momentě, kdy je operační systém počítače vytvoří, otevře, zavře nebo je zasílá/přijímá emailem. V takovém případě je virus možné zjistit ihned po přijmutí souboru. Nutno podotknout, že uživatel může naplánovat kontrolu celého systému (pravidelně, nebo na určitý čas). Lze tedy plánovat opakované kontroly všech/části souborů, které se na jednotlivých discích nacházejí. Velmi často je antivirová kontrola naplánována ihned po startu počítače. Ačkoli lze při kontrole za pomoci virových databází virus spolehlivě zničit, tvůrci virů se vždy snaží být o krok napřed v psaní virových softwarů pomocí "oligomorfních", "polymorfních" a stále častěji "metamorfních" virů, které šifrují část sami sebe nebo jinak upravují vlastní kód jako metodu zamaskování před rozpoznáním virovými databázemi. Dalo by se říci, že jde o jakési dynamické mutace klasických virů, které není vždy jednoduché rozpoznat. [112] 10.12.4 Nebezpečné chování Metoda zjištění nebezpečného chování se oproti virovým databázím nesnaží najít známé viry, namísto toho sleduje chování všech programů. Pokud se takový program pokusí zapsat data do spustitelného programu, antivirus například označí toto nebezpečné chování a upozorní uživatele, který je antivirovým programem vyzván k výběru dalšího postupu. Výhodu má tento postup zjištění nových virů v tom, že ačkoli je virus zcela nový, neznámý ve virových databázích, může ho snadno odhalit. Nicméně i tato metoda má své nevýhody. Stává se, že antivirový program hlásí spoustu falešných "nálezů" viru. To může mít za výsledek, že uživatel postupem času přestane vnímat ty "pravé" varování. Pokud tedy uživatel automaticky povolí pokračování programu, je jasné, že v takovém případě antivirus neplní dále svoji funkci varovat uživatele před možným nebezpečím. Z tohoto důvodu tento postup stále více moderních antivirových programů využívá méně a méně.
231
WWW
http://www.root.cz/a ntiviry-viry/
10.12.5 Další metody Určité antivirové programy používají další typy heuristických analýz. Například se může pokusit napodobit začátek kódu každého nového spustitelného souboru tak, že ho systém vyvolá ještě před přenosem do tohoto souboru. Pokud se program chová tak, že použije "samo-modifikační" kód nebo se jeví jako virus (pokud například začne hledat další spustitelné soubory), můžeme předpokládat, že virus nakazil další spustitelné soubory. Nicméně i tato metoda může hlásit falešné pozitivní nálezy. Další metoda detekce virů se týká užití tzv. sandboxu. Sandbox, neboli pískoviště, napodobuje systém a spouští .exe soubory v jakési simulaci. Po ukončení programu software analyzuje sandbox, aby zjistil nějaké změny, ty mohou ukázat právě přítomnost virů. Tato metoda může taky selhat a to pokud jsou viry nedeterministické a výsledek nastane za různých akcí nebo akce nenastanou při běhu - to způsobí, že je nemožné detekovat virus pouze z jednoho spuštění. Existují také antiviry, které varují uživatele před viry na základě toho, jakého typu soubor je. Perspektivní metoda, která si obvykle poradí s malware je tzv. "whitelisting". Spíše než vyhledávání jen známého zákeřného softwaru tato technika předchází spouštění všech kódů kromě těch, které byly již dříve označeny jako důvěryhodný administrátorem (uživatelem). Navíc aplikace v počítači, které jsou označeny jako malware, mají automaticky zakázáno spouštění, jakmile nejsou na "whitelist", tedy seznamu povolených programů. Dnes již existuje velké množství aplikací vytvořených velkými organizacemi, které jsou široce používané a "whitelist" je tedy tvořen především administrátory, kteří software rozpoznávají. Možné provedení této techniky zahrnuje nástroje pro automatické zálohy a whitelist procesy údržby. 10.12.6 Antivirové programy
Antivirové programy
Pro ilustraci si závěrem připomeneme nejznámější antivirové programy. ClamAV – antivirový program šířený pod licencí GNU GPL AVG (antivirový program) – antivirový systém od české firmy Grisoft. AVG prochází různými nezávislými testy, pravidelnými certifikacemi a obdržel řadu významných ocenění. Norton AntiVirus – produkt firmy Symantec pro domácí uživatele Symantec EndPoint Security – antivirové a bezpečnostní řešení pro korporátní sféru ESET NOD32 Antivirus – slovenský komerční antivirový program, který byl magazínem Virus Bulletin již mnohokrát oceněn jako nejlepší antivir McAfee Antivirus – klasický antivirový produkt Kaspersky Antivirus – výrobek ruské společnosti Kaspersky Labs BitDefender – kvalitní antivirový produkt rumunské společnosti SoftWin Avast! – český antivirový program od firmy ALWIL Software. Pro domácí nekomerční použití freeware. Po nainstalování běží 60denní zkušební doba, po které je nutno program zaregistrovat nebo zakoupit. Program pravidelně získává ocenění VB 100% magazínu. Je však i držitelem ocenění SC Magazine, jako jediný zvítězil v obou částech soutěže (soutěž SC awards se dělí na evropskou a americkou část). Dr.Web – ruský antivirus AEC TrustPort – český produkt vyznačující se kvalitní detekcí díky kombinaci dvou antivirových produktů 232
eScan – kvalitní antivirový produkt z Indie Sophos antivirus Norman antivirus F-Secure antivirus eTrust antivirus a další
10.13 Otázky a úkoly 1. Uveďte typické druky průzkumných útoků na počítačovou síť. 2. Vyjmenujte druhy útoků na POS s cílem získání přístupu do sítě. 3. Charakterizujte počítačový virus, počítačový červ a trojský kůň. 4. Na jakém principu jsou založeny útoky na aplikační vrstvu? 5. Jak fungují systémy detekce a prevence průniků? 6. Čím jsou zaručeny bezpečnostní úkoly směrovačů? 7. Firewall – uveďte princip činnosti. 8. Popište roli paketového filtru. 9. Zabezpečení komunikace pomocí SSL. 10. V čem spočívá význam „bezpečného“ protokolu IPsec? 11. Bezpečnost bezdrátových počítačových sítí – problémy, řešení. 12. Šifrování datového přenosu – význam, princip. 13. WEP, WAP, WAP2 14. Útoky na přístupová hesla. 15. Vyjmenujte základní kroky k zabezpečení sítě. 16. Bezpečnostní hrozby a rizika VoIP telefonie. 17. Jaké je dělení antivirových programů?
10.14 Samostatná práce studenta
Nainstalujte systém firewalu – iptables – na systém a nastavte ho tak, aby propouštěl jenom službu http, https. Pomocí vhodného programu vyzkoušejte útok na vaši síť typu man in the midle. Vytvořte na vhodné distribuci systému Linux selfsigned SSL certifikát.
233
234
Literatura [1] [2] [3] [4] [5] [6] [7] [8]
[9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23]
BABARIK, M. Microsoft Windows Server 2008 - Hotová řešení. Praha : Computer press, 2009. ISBN 978-80-251-2207-5. BÁBÍČEK, R. Jak na video, Praha : Computer Press, 2008. ISBN 80-2510830-9. BAKRER, L. Wi-Fi. Brno : Computer Press, 2004. 174 s. ISBN 80-2510346-3. BARKEN, L. Jak zabezpečit bezdrátovou síť Wi-Fi. 1. vyd. Praha : Computer Press, 2004. 174 s. ISBN 80-2510-346-3. BAZALA, D. Telekomunikace a VOIP telefonie. Brno : BEN-Technická literatura, 2006. 222 s. ISBN 80-7300-201-9. BENDÁŘ, V. Linux na firemním PC - možnosti, rizika cena, BEN – technická literatura, 2007, ISBN 978-80-7300-225-1. BITTO, O. Jak zabezpečit domácí a malou síť Windows XP. 1 vyd. Praha : ComputerPress, 2006. 216 s. ISBN 80-2511-098-2. BOAVIDA, F. NETWORKING 2006. Networking Technologies, Services, Protocols; Performance of Computer and Communication Networks; Mobile and Wireless Communications Systems. [New York] : Springer-Verlag Berlin/Heidelberg, 2006, ISBN 9783540341925. BOTT, E.; SIECHERT, C. Mistrovství v zabezpečení Microsoft Windows 2000 a XP, Praha : Computer Press, 2004, ISBN 80-722-6878-3. BRISBIN, S. WI-FI: postavte si svou vlastní wi-fi síť. Praha : Neocortex, 2003. 248 s. ISBN 80-86330-13-3. BUREŠ, L. Moderní technologie pocítacových sítí. Brno : 2009. 12 s. Oborová práce. Masarykova univerzita v Brne. CAFOUREK, B. Správa Windows Serveru 2008, vyd. Grada, 2009, ISBN 978-80-247-2124-8. CAMP, K. IP Telephony Demystified. New York : McGraw-Hill, 2003. 254 s. ISBN 0-07-140670-0. CARTER, G.; TS, J.; ECKSTEIN, R. Using Samba : A File and Print Server for Linux, Unix & Mac OS X, 3rd Edition. USA : O'Reilly Media, 2007. 448 s. ISBN 0596007698. COMER, D. Internetworking With TCP/IP. Volume 1: Principles Protocols, and Architecture, 5th edition, Prentice Hall 2006, ISBN 0-13-187671-6. CONOLLY, T.; BEGG, C.; HOLOWCZAK, R. Mistrovství – Databáze Profesionální průvodce tvorbou efektivních databází, Praha : Computer Press, 2009, ISBN 978-80-251-2328-7. DOČKAL, J., et al. Bezpečnost internetové telefonie. DSM. 2006, 6, s. 3642. ISSN 1211-8737. DONAHUE. A. G. Kompletní průvodce síťového experta. 1. vyd. Praha : Computer Press, 2009. 528 s. ISBN 9788025122471. DOSTÁLEK, L.; KABELOVÁ, A. Velký průvodce protokoly TCP/IP a systémem DNS. Praha : Computer Press, 2000. 426 s. ISBN 80-7226-323-4. DOSTÁLEK, L. M.; KRETCHMAR, J. Administrace a diagnostika sítí pomocí OpenSource utilit a nástrojů. 1. vyd. Praha : Computer Press, 2005. 216 s. ISBN 80-2510-345-5. DOWLA, F. Handbook of RF and wireless technologies. Amsterdam : Elsevier, 2004. 515 s. ISBN 0-7506-76957. DROMS, R.; LEMON, T. DHCP Příručka administrátora. Vyd. 1. Praha : Computer Press, 2004. 528 s. ISBN 80-251-0130-4, EAN: 9788025101308. DWIVEDI, H. Hacking VoIP—Protocols, Attacks, and Countermeasures. 235
[24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44]
San Francisco, USA : No Star Press, 2009. 220 s. ISBN 978-1593271633. ECKSTEIN, R.; COLLIER-BROWN, D.; KELLY, P. Samba Linux jako server v sítích windows 2, Praha : Computer Press, a.s., 2005, ISBN 80-2510649-7. EURASIP journal on wireless communications and networking. : European Association for Sérech, Signal and Image Processing. New York : Hindawi, 2004. ISSN 1687-1472. FRANCISCI, C.; KOVÁČIK, M.; HUDEC, J. Výkladový terminologický slovník elektronických komunikácií - 2010 : (anglicko-slovenský) [online]. Banská Bystrica : Výskumný ústav spojov, 2010 [cit. 2010-11-25] GREGOR, J. VoIP – Bez předchozích znalostí, Praha : Computer press, 2009. ISBN 978-80-251-1458-2. HANUS, S. Bezdrátové a mobilní komunikace. Brno : Vysoké učení technické v Brně, Fakulta elektrotechniky a komunikačních technologií, Ústav radioelektroniky, 2003, 134 s. ISBN 80 – 214 – 1833 – 8. HEROLD, D. Průvodce úplného začátečníka pro Wi-Fi bezdrátové sítě. Praha : Grada, 2006. 334 s. ISBN 80-247-1421-3, 1.vyd. HESTER, M.; HENLEY, C. Windows Microsoft Understaning Shared Folder Permission . illustrated. [s.l.] : John Wiley and Sons, 2010. 600 s. ISBN 0470525398, 9780470525395. HOBER, T.; ODEHNAL, P. Chráníme počítač antivirovým programem AVG . Praha : Computer Press, 2001, 108 s. ISBN 80-7226-215-7. HOLZER, H. Servery. Kunovice : EPI, Semetrální práce z předmětu Počítačové sítě. Akad. rok 2010/2011. HORÁK, J.; KERŠLÁGER, M. Počítačové sítě pro začínající správce : 3.aktualizované vydání. Brno : Computer Press, 2006. 212 s. ISBN 80-2510892-9. HORÁK, J.; KERŠLÁGER, M. Počítačové sítě pro začínajícíc správce. [s.l.] : Computer press, 2008. 327 s. ISBN 978-80-251-2073-6. HORÁK, J. Počítačové sítě, učebnice pro pokročilé 4. aktualizované vydání, Praha : Computer press, 2007, 360 s. HORSKÝ, R. Bezdrátové síte WI-FI v rekordnem čase. Praha : Grada, 2006. 84 s. ISBN 80-247-1790-5. HOTEK, M. Microsoft SQL Server 2008, Praha : Computer Press, a.s., 2008, ISBN 978-80-251-2466-6. JANČÍKOVÁ, Z.; FRISCHER, R. Základy počítačových sítí: učební texty. Ostrava : Vysoká škola báňská - Technická univerzita, 2007, ISBN 802481-3157. JOHNSTON, A. B.; PISCITELLO, D. M. Understanding Voice over IP Security. Boston, USA : Artech House, 2007. 276 s. ISBN 978-1596930506. KABELOVÁ, A.; DOSTÁLEK, Libor. DNS in Action : A detailed and practical guide to DNS implementation, configuration, and administration. [s.l.] : Packt Publishing, April 5, 2006. 196 s. KABIR, M. J. Apache server 2 Praha : Computer Press, a.s., 2003, ISBN 80-251-0319-6. KÁLLAY, F.; PENIAK, P. Počítačové sítě a jejich aplikace sítě /MAN/WAN. 2., aktualizované vyd. Praha : GRADA, 2003. 356 s. ISBN 802470-545-1. KELLY, D.; JENNINGS, C.; DANG, L. Practical VoIP : Using VOCAL. Sebastopol : O'Reilly Media, 2002. 528 s. ISBN 978-0-596-00078-3. KLIMEŠ, C. Počítačové sítě - texty pro distanční studium. Ostrava : 2008. 125 s. Oborová práce. Ostravská univerzita v Ostravě. 236
[45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68]
KOSTRHOUN, A. Stavíme si malou síť. Vyd.1. Brno : Computer Press, a.s., 2001. 216 s. ISBN 80-722-6510-5. KUBELOVÁ, A.; DOSTÁLEK, L. Velký průvodce protokoly TCP/IP a systém DNS : Praha : Computer Press, 2008, 488 s. ISBN 978-80-251-22365 KUNEŠ, J.; DUSÍKOVA, T. Skype 4 –průvodce telefonováním přes internet, Praha : Computer press, 2009. ISBN 978-80-251-2049-1. KYSELA. M, Linux kapesní průvodce administrátora, vyd. Praha : Grada, 2004 ISBN 8024707330, LEIXNER, M. PC zálohování a archivace dat. Praha : Grada, 1993. ISBN 80-85424-73-8. Linux : Dokumentační projekt. 4. aktualizované vydání. Brno : Computer Press, 2008. 1336 s. ISBN 978-80-251-1525-1. Linux : Dokumentační projekt. 4. aktualizované vydání. Brno : Computer Press, 2008. 1336 s. ISBN 978-80-251-1525-1. LITTLE, J.; SHINDER, L. Počítačové sítě. Oxford : SoftPress, 2003. 752 s. ISBN 8086497550. LIU, C.; ALBITZ, P. DNS and BIND. USA : O'Reilly Media, 2006. 648 s. ISBN 0596100574. LOCKHART, A. Bezpečnost sítí na maximum 100 tipů a opatření pro okamžité zvýšení bezpečnosti vašeho serveru a sítě .1 vyd. Praha : Computer press, 2005. 276 s. ISBN 80-2510-805-8. MARK, A.; SPORTACK: Směrování v sítích IP. 1 vyd. Praha : Computer Press, 2004. 368 s. ISBN 80-251-0127-4. MAX, H.; TAYLOR, R. Skype- kompletní průvodce. Praha : Grada, 2009. ISBN 978-80-247-2123-1. NĚMEC, K. Telekomunikace. UTKO, 1998. ISBN 8021411406. ODOM, W. Počítačové sítě –bez předchozích znalostí. 1. vyd. Praha : Computer Press, 2005. 383 s. ISBN 80-2510-538-5. ODOM, W.; HEALY, R.; MEHTA, N. Směrování a přepínání sítí. Autorizovaný výukový průvodce, Praha : Computer Press, 2009. ISBN 97880-251-2520-5. OPPEL, A. Databáze bez předchozích znalostí, Praha : Computer Press 2006, ISBN 80-251-1199-7. PARK, P. Voice over IP Security. Indianapolis, USA : Cisco Press, 2008. 384 s. ISBN 978-1587054693. PECHÁČ, P. Modely šíření vln v zástavbě. Praha : BEN – technická literatura, 2005. 108 s. ISBN 80-7300-186-1. PIRKL, J. Síťové programování pod Windows a programování Internetu. 2001. České Budějovice : KOOP, 2001. 357 s. ISBN 80-7232-145-5. PORTER, T.; GOUGH, M. How to Cheat at VoIP Security : The Perfect Reference for the Multitasked SysAdmin. Massachusetts, USA : Syngress Media, 2007. 432 s. ISBN 978-1597491693. PRATA, S. Mistrovství v C++. 2. aktualizované vydání. Brno : Computer Press, 2004. 1006 s. ISBN 80-251-0098-7. PRICE, B. Active Directory - Optimální postupy a řešení problémů. Praha : Computer press, 2005. ISBN 80-251-0602-0. PROSISE, J. Programování ve Windows pomocí MFC. Vydání druhé. Praha : Computer Press, 2002. 1135 s. ISBN 80-7226-309-9. PUŽMANOVÁ, R. Bezpečnost bezdrátové komunikace, Jak zabezpečit WiFi, Bluetooth, GPRS či 3G. Brno : Computer Press, 2005. 184 s. ISBN 80251-0791-4. 237
[69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87]
[88] [89] [90] [91] [92]
PUŽMANOVÁ, R. Moderní komunikační sítě od A do Z. 2. aktualizované vydání. Praha : Computer Press, 2006. 430 s. ISBN 80-2511-278-0. PUŽMANOVÁ, R. Širokopásmový Internet (Přístupové a domácí sítě). Praha : Computer press, 2004. 384 s. ISBN 80-2510-139-8. RAMASWAMI, R.; SIVARAJAN, K.; SASAKI, G. Optical Networks: A Practical Perspective. USA : Elsevier, Inc, 2010. 928 s. ISBN 0-1237-40924. RAMIREZ-INIGUEZ, R.; IDRUS, S.; ZIRAN, S. Optical Wireless Communications : IR for Wireless Connectivity Vol 9. New York : Taylor and Francis Group, LLC, 2008. 264 s. ISBN 0-8493-1278-7. RAY,D.; RAY. E, Unix - podrobný průvodce, vyd. Praha : Grada, 2009 ISBN 9788024721255. KOCMAN, R.; LOHNICKÝ, J. Jak se bránit virům, spamu a spyware. Computer Press, 2005. 152 s. ISBN 80-251-0793-0. ROUBAL, P. Informatika a výpočetní technika. Brno : CP Books, 2005. ISBN 80-251-0761-2. RUKOVANSKÝ, I.; KRATOCHVÍL, O. Počítačové sítě. Kunovice : EPI, s.r.o., 2001. 144 s. ISBN 80-7314-003-9. RUKOVANSKÝ, I.; KRATOCHVÍL, O. Bezdrátové počítačové sítě. Kunovice : EPI, 2007, ISBN 978-80-7314-112-7. RUMÁNEK, J. Družicové komunikační systémy. Brno : Vysoké učení technické v Brně, Fakulta elektrotechniky a komunikačních technologií. SAVILL, J. THE COMPLETE GUIDE TO WINDOWS SERVER 2008. [s.l.] : Copyright © 2009 Pearson Education, Inc., 2008 . s. ISBN 978-0321-50272-8, 0-321-50272-8 . SHAH, S.; SOZINKA, W. Administrace systému Začíname v Serverech, Průvodce, 2007, ISBN 974-40-231-1694-7. SCHRODER, C. Linux - Kuchařka administrátora sítě. Computer press, 2009. ISBN 978-80-251-2407-9. SILVA, S. Web Server Administration (Web Warrior). USA : Course Technology, 2008. 650 s. ISBN 1423903234. SIMMONS, J. Optical Network Design and Planning. New York : Springer, LTC, 2008. 320 s. ISBN 978-0-387-76475-7. SOSINSKY, B. Mistrovství – počítačové sítě. Praha : Computer Press, 2010. 840 s. ISBN 978-80-251-3363-7, EAN 9788025133637. SPURNÁ, I. Počítačové sítě - Praktická příručka správce sítě. [s.l.] : Computer Media, 2010. 180 s. ISBN 978-80-7402-036-0. STANEK, W. Microsoft Windows Server 2003 - Kapesní rádce administrátora. Praha : Computer press, 2003. ISBN 80-7226-839-2. NORTHCUTT, S.; ZELTSER, L.; WINTERS, S.; KENT, S.; RONALD, F.; RITCHEY, W. Bezpečnost počítačových sítí Kompletní průvodce návrhem, implementací a údržbou zabezpečené sítě. 1. vyd. Praha : Computer Press, 2005. 592 s. ISBN 80-2510-697-7. STREBE, M.; PERKINS, Ch. Firewally a proxy-servery Praktický průvodce, Praha : Computer press, 2003, 472 s., ISBN 80-722-6983-6. Studijní materiály pro studenty SPŠ Hradec Králové. Počítačové sítě. 24. února 2004. SVÍTEK, M.; ZELINKA, T. Telekomunikační řešení pro informační systémy síťových odvětví. Praha : Grada, 2009. 218 s. ISBN: 8024732327. ŠMRHA, P.; RUDOLF, V. Internetworking podpor TCP / IP. České Budějovice : Kopp, 1994. THOMAS, M. Zabezpečení počítačových sítí bez předchozích znalostí. 1. 238
[93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104]
vyd. Komputer press, 2005. 344 s. ISBN: 80-251-0417-6. THOMAS, S. A., IPng and the TCP/IP Protocols: Implementing the Next Generation Internet, JohnWiley & Sons, 1996. ISBN 0 471 13088 5. THYAGARAJAN, K.; GHATAK, A. FIBER OPTIC ESSENTIALS. Canada : John Wiley & Sons, Inc., 2007. 259 s. ISBN 978-0-470-09742-7. TRULOVE, J. Sítě LAN : hardware, instalace a zapojení. [s.l.] : Grada Publishing, a.s., 2009. 384 s. ISBN 978-80-247-2098-2. VÁŇA, V. Počítačové sítě. Praha : Střední průmyslová škola elektrotechnická, 2010. VAVŘEČKOVÁ, Š. Operační systémy, Slezska´ univerzita v Opave, 2011 VEERMAN, E. et al. Microsoft SQL Server 2008 Integration Services : Problem, Design, Solution (Wrox Programmer to Programmer). USA : Wrox, 2009. 480 s. ISBN 0470525762. VELTE, T. J.; VELTE, A. T. Síťové technologie Cisco - Velký průvodce. Brno : Computer Press, 2003. 800 s, ISBN 80-7226-857-0. VOŠ A SPŠE PLZEŇ. CCNA Exploration – základy sítí. Verze: 3.01. Vydala VOŠ a SPŠE PLZEŇ, 2010. Registrační číslo projektu: CZ.1.07/1.1.12/01.0004 WALLACE, K. VoIP : Bez předchozích znalostí. Brno : Computer Press, 2007. 232 s. ISBN 978-80-251-1458-2. WALTER, B.; JANEČEK, V. Telefonujeme přes Internet, 1. vyd., Brno : Computer Press, 2007. ISBN 978-80-251-1631-9. WLFE, P.; SCOTT, Ch.; ERWIN, M. W. Antispam - Metody, nástroje a utility pro ochranu před spamem. Praha : Computer Press, 2005, 376 s. ISBN 80-251-0479-6. ZANDL, P. Bezdrátové sítě Wifi praktický průvodce. první. Brno : Computer Press, 2003.181 s. ISBN 80-7226-632-2.
Internetové odkazy: [105] ZLATUŠKA, J. Elektronická pošta: Doménové adresy sítí propojených s Internetem. Zpravodaj ÚVT MU. 1992, roč. III, č. 2, s. s. 6-7. Dostupný také z WWW: . ISSN 12120901. [106] A/V konference [online]. 2010 [cit. 2011-01-24]. Dostupné z WWW:. [107] Adresářová struktura v Linuxu [online]. 2002 [cit. 2010-11-25]. Dostupné z WWW: . [108] ADSL [online]. 2010 [cit. 2010-05-19]. Dostupné z WWW: . [109] Alexa the Web Information Company [online]. 2010 [cit. 2010-04-07]. Dostupné z WWW: . [110] Antivirová ochrana [online]. 2010 [cit. 2010-12-09]. Dostupné z WWW: . [111] Antivirová ochrana [online]. 2010 [cit. 2010-12-11]. Dostupné z WWW: . [112] Antivirové produkty SYMANTEC [online]. 2010 [cit. 2010-12-09]. Dostupné z WWW: . [113] Apache [online]. 2009 [cit. 2010-11-06]. Dostupné z WWW: . [114] Aplikační server [online]. 2008 [cit. 2010-04-07]. Dostupné z WWW: . 239
[115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129]
[130] [131] [132] [133] [134] [135] [136]
Archív článků [online]. 2004-2010 [cit. 2010-11-25]. Dostupné z WWW: . Bezdrátové přenosy [online]. 2010 [cit. 2010-04-05]. Dostupný z WWW: < http://www.internetprovsechny.cz/clanek.php?cid=226>. Bezdrátové sítě [online]. 2007 [cit. 2010-11-24]. Dostupné z WWW: . Bezdrátové sítě [online]. 2010 [cit. 2010-09-14]. Dostupné z WWW: . Bezdrátové technologie v praxi [online]. 2010 [cit. 2010-05-17]. Dostupné z WWW: . Bezpečnost počítačových sítí [online]. 2000-2008 [cit. 2008-09-21]. Dostupný z WWW: <www.svetsiti.cz>. Cisco produkty [online]. 2010 [cit. 2010-01-06]. Dostupné z WWW: . Co je to tiskový server [online]. 2010 [cit. 2010-04-07]. Dostupné z WWW: . Computer Storage - architektury, protokoly, rozhranní, články [online]. 2010 [cit. 2010-04-07]. Dostupné z WWW: . DNS a domény CZ.NIC [online]. 2010 [cit. 2010-03-20]. Dostupné z WWW: . Dorsum Romania [online]. 2009 [cit. 2010-04-11]. Dostupné z WWW: . DSL - Digitálny svet pod lupou [online]. 2007 [cit. 2010-11-25]. Dostupné z WWW: . Faxový server [online]. 2009 [cit. 2010-04-07]. Dostupné z WWW: . FWA na 26GHz [online]. 2010 [cit. 2010-11-15]. Dostupné z WWW: . HALUZOVÁ, P. Optické kabely pro gigabytový ethernet: Semestrální práce [online]. 2003 [cit. 2010-12-10]. Dostupné z WWW: . HTTP Proxy Server into a Wireless Internet Gateway [online]. 2010 [cit. 2010-04-11]. Dostupné z WWW: . Instalace serveru APACHE [online]. 2010 [cit. 2010-08-17]. Dostupné z WWW: . Internet 2 [online]. 2010 [cit. 2010-11-16]. Dostupné z WWW: . Internet Connection Sharing Using a Proxy Server [online]. 2001-2010 [cit. 2010-04-11]. Dostupné z WWW: . Intranet technologie ESO 9 [online]. 2008 [cit. 2010-04-11]. Dostupné z WWW: . Jak pozastavit proces [online]. 2008 [cit. 2010-11-30]. Dostupné z WWW: . Manuál o zabezpečovaní Debianu [online]. 2010 [cit. 2010-09-17]. Dostupné z WWW: . 240
[137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] [159] [160]
Microsoft Developer Network : MSDN Library [online]. 2009 [cit. 2009-1024]. Dostupné z WWW: . Mobilní připojení [online]. 2010 [cit. 2010-10-01]. Dostupné z WWW: . Moje konference [online]. 2010 [cit. 2011-02-25]. Dostupné z WWW: . O SIPe 1. a 2.časť. [online]. 2010 [cit. 2010-10-05]. Dostupné z WWW: . PC mesh [online]. 2002, 2010 [cit. 2010-04-11]. Anonymous, internet, anonymous internet, socks proxy, socks, proxy. Dostupné z WWW: . Playportal Herní servery [online]. 2009 [cit. 2010-04-11]. Dostupné z WWW: . Počítačové muzeum [online]. 2010 [cit. 2010-01-12]. Dostupné z WWW: . Počítačové sítě [online]. 2003 [cit. 2008-09-21]. Dostupný z WWW: <www.site.the.cz>. Protokol IP v 6 [online]. 2010 [cit. 2010-06-18]. Dostupné z WWW: . Protokoly TCP/IP [online]. 2010 [cit. 2010-01-08]. Dostupné z WWW: . Protokoly TCP/IP [online]. 2010 [cit. 2010-06-17]. Dostupné z WWW: . Přechod na sítový protokol IPv6 [online]. 2010 [cit. 2010-10-05]. Dostupné z WWW: . Přístupové sítě [online]. 2010 [cit. 2010-03-28]. Dostupné z WWW: . Přístupové sítě [online]. 2010 [cit. 2010-05-29]. Dostupné z WWW: . Přístupové sítě [online]. 2010 [cit. 2010-2-14]. Dostupné z WWW: < http://access.feld.cvut.cz/view.php?cisloclanku=2005070401 >. Sdělovací technika [online]. 2010 [cit. 2010-02-12]. Dostupné z WWW: . Sdělovací technika [online]. 2010 [cit. 2010-11-30]. Dostupné z WWW: < http://www.stech.cz/index.php?id_document=401152773 >. Secure Shell SSH Enabled FTP Adapter for BizTalk [online]. 2006 [cit. 2010-12-14]. Dostupné z WWW: . Servery – seznam tld domén [online]. 2010 [cit. 2010-12-04]. Dostupné z WWW: . Seznam provozovatelů wifi sítí v ČR [online]. 2010 [cit. 2010-08-13]. Dostupné z WWW: . Signály a procesy 1 [online]. 2005 [cit. 2010-11-30]. Dostupné z WWW: . Sítě LAN [online]. 1994 [cit. 2010-11-29]. Dostupné z WWW: . Sítě v mobilní komunikaci [online]. 2010 [cit. 2010-04-09]. Dostupné z WWW: . Sítě v praxi [online]. 2010 [cit. 2010-03-24]. Dostupné z WWW: . 241
[161] [162] [163] [164] [165] [166] [167] [168]
[169] [170] [171] [172] [173] [174] [175] [176] [177] [178] [179] [180] [181]
Sítové standardy [online]. 2010 [cit. 2010-02-09]. Dostupné z WWW: . Správa serverů FTP [online]. 2010 [cit. 2010-10-09]. Dostupné z WWW: . Správa serverů HTACCESS [online]. 2010 [cit. 2010-10-09]. Dostupné z WWW: . Srovnání databázových serverů - Linux E X P R E S [online]. 2007-2010 [cit. 2010-04-07]. Dostupné z WWW: . SSH pro správce [online]. 2010 [cit. 2010-11-25]. Dostupné z WWW: . Standardy sítového hardwarů [online]. 2010 [cit. 2010-04-22]. Dostupné z WWW: . Stavíme bezdrátovou síť [online]. 2010 [cit. 2010-08-15]. Dostupné z WWW: . Stavíme poštovní server – 3 (instalace, základní konfigurace Postfixu) [online]. 2009 [cit. 2010-11-06]. Dostupné z WWW: . Strukturovaná kabeláž [online]. 2010 [cit. 2010-02-22]. Dostupné z WWW: . Štandardy a sieťové modely [online]. 2010 [cit. 2010-03-28]. Dostupné z WWW: . Technologie počítačových sítí [online]. 2010 [cit. 2010-28-03]. Dostupné z WWW: < http://www.fi.muni.cz/usr/pelikan/Vyuka/PB157/ Predn12/Prezent.ppt >. Technológie počítaťových sití - sieťové OS [online]. 2003, [cit. 2010-11-29]. Dostupné z WWW: . Top, atop, htop a další [online]. 2010 [cit. 2010-11-30]. Dostupné z WWW: . Topologie LAN [online]. 2010 [cit. 2010-01-25]. Dostupné z WWW: . UMS:Unified Messaging Systems [online]. 1994-2009 [cit. 2010-04-11]. Dostupné z WWW: Video konference naživo [online]. 2010 [cit. 2011-01-25]. Dostupné z WWW: . Video konference v praxi [online]. 2010 [cit. 2011-02-25]. Dostupné z WWW: . Video konference, rozdělení podle účelu a zaměření [online]. 2010 [cit. 2011-02-25]. Dostupné z WWW: http://www.cesnet.cz/videokonference/ zamereni.html#videokonference>. Videokonference Global 360 [online]. 2010 [cit. 2010-11-11]. Dostupné z WWW: . Videokonference společnosti POLYCOM [online]. 2010 [cit. 2010-10-06]. Dostupné z WWW: . Videokonference společnosti TANDBERG [online]. 2010 [cit. 2010-10-06]. 242
[182] [183] [184] [185] [186] [187] [188] [189] [190] [191] [192]
Dostupné z WWW: . Videokonference, zabezpečení a její využití [online]. 2010 [cit. 2010-10-06]. Dostupné z WWW: . Vps-servery.cz - Informace o Virtuálních serverech sítích [online]. 2010 [cit. 2010-04-07]. Dostupné z WWW: . Vysokorychlostní internet [online]. 2010 [cit. 2010-11-25]. Dostupné z WWW: . WEB standardy [online]. 2002 [cit. 2010-12-04]. Dostupné z WWW: Záloha Dát [online]. 2010 [cit. 2010-11-29]. Dostupné z WWW: . Zálohovanie Inkrementálne - Diferenciálne [online]. 2003 [cit. 2010-11-25]. Dostupné z WWW: . Zálohovanie Inkrementálne - Diferenciálne [online]. 2003 [cit. 2010-11-25]. Dostupné z WWW: . Archiv článků Jiřího Peterky, Bezdrátové přenosy. [online]. 2003 [cit. 201011-25]. Dostupné z WWW: . Ax3Soft, expert NIDS [online]. 2003 [cit. 2010-11-25]. Dostupné z WWW: . Svět sítí, Systémy prevence průniků [online]. 2003 [cit. 2010-11-25]. Dostupné z WWW: . Linuxtopia. [online]. 2003 [cit. 2010-11-25]. Dostupné z WWW: .
243
244
Název: Počítačové sítě Autoři: Prof. Ing. Imrich Rukovanský, CSc. Ing. Marek Horváth Vydavatel, vyrobil: Evropský polytechnický institut, s.r.o., Osvobození 699, 686 04 Kunovice Náklad: 100 ks Počet stran: 244 Rok vydání: 2011 ISBN 978-80-7314-231-5
