Autor: Cepter Data: 28-01-y2k+1 Wersja: 2.0 Temat: Sieci komputerowe Adres: http://www.cepter.eu.org/FAQ-1.html Wszelkie znaki towarowe, jak rowniez nazwy produktow i systemow wymienione w ponizszym tekscie, sa wlasnoscia firm, przez ktore zostaly zarejestrowane. I. Slowo wstepne... Na samym poczatku chcialbym pozdrowic wszystkich qmpli, min: * Axela, Rzoovia, Pienia, Madeya, Rsr66 i Mroovke * oraz wszystkich tych, ktorzy powinni tu byc, a ich nie ma - bo tak * a takze pracowikow firmy HorNET Polska za udostepnienie materialow. * operatora koparki, ktora wyciagnela pol studzienki na powierzchnie razem ze swiatlowodem do routera gdzie wpieta jest moja szkola. Na drugim poczatku chcialbym wyglosic mowe koncowa: Wszelkie zawarte tu informacje sluza jedynie celom EDUKACYJNYM. Jesli nie wiesz co to edukacja, to sie powinienes za nia powaznie wziac. Ale tak serio, to jesli cos sie zepsuje po zastosowaniu przykladow zawartych w niniejszej publikacji, to nie chce zadnych spraw sadowych. Mnie sie nic nie zepsulo... Na trzeci poczatek mam zaszczyt oznajmic, ze to juz koniec poczatkuff. No i na koniec - to dopiero poczatek. --------------------------------------------------------------------- II. Drugie slowo wstepne: Po goracym powitaniu, moze wreszcie sie przedstawie, albo nie... bo nie chce klopotuff. Oki, jestem Cepter, tyle musi wystarczyc. Im mniej wiesz, tym dluzej zyjesz, jak to ktos trafnie zauwazyl. Wnioskujac z tego, w ogole nie powinienes tego czytac bo mozesz sie tu sporo dowiedziec. Mimo wszystko ja zyje (w momencie pisania tego faka). Jesli w miedzyczasie slyszales o moim zgonie, przestan czytac w tej chwili. --------------------------------------------------------------------- III. Wiec nie umarlem! ---------------------------------------------------------------------- IV. Chyba zaczne numerowac po arabsku bo po rzymsku umiem tylko do X. ---------------------------------------------------------------------- V. Spis tresci: 1.1 O czym jest ten fak? 1.2 Czy ten fak jest dla dzieci? 1.3 Kto nie powinien tego czytac? 1.4 A kto powinien? 1.5 Wprowadzenie. 2.1 Sieci komputerowe. 2.1.1 ISO OSI 2.2 LAN 2.2.1 Ethernet 2.2.2 IPX 2.3.3 FDDI 2.3.4 Token Ring 2.3.5 Routing 2.4 WAN 2.4.1 Frame Relay 2.4.2 ATM 2.4.3 PVC i SVC 2.4.4 X.25 2.4.5 SDH 2.4.6 Routing 2.5 ISDN 2.6 T-carrier 2.7 xDSL 2.8 PPP 2.9 NAT i IP Masquerada 2.10 Multicast 2.11 Swiatlowody 3.1 Ciekawe rzeczy 3.2 IP Telephony i AVVID 3.3 Routery sprzetowe a routery software'owe 3.3.1 BSD, Linux jako router 3.3.2 Routery Cisco Systems Inc. i Intel (R) 3.4 Bezpieczenstwo w sieciach 3.4.1 Firewalle 3.4.2 Orogramowanie firmy Cisco Systems Inc. 4.1 Zrodla dodatkowych informacji 4.2 Adresy ciekawych site'uff 4.3 Tytuly ciekawych ksiazek 4.4 Postanowienia koncowe ------------------------------------------------------------------- VI. Zawartosc: 1.1 O czym jest ten fak? Hmmm, skoro go zaczales czytac to chyba sie domyslasz... O sieciach (tych wiekszych i mniejszych), komputerach, UNIXach, bezpieczenstwie i o paru innych rzeczach, ktore dopiero zaraz wymysle a w tej chwili jeszcze nie wiem, ze je wymysle. 1.2 Czy ten fak jest dla dzieci? Czy jesli powiem ze nie, to go przestaniesz czytac? No wlasnie, wiec, po co czytasz to pytanie??? 1.3 Kto nie powinien tego czytac? Ludzie o slabych nerwach, po przejsciach (z UNIXa na winde), oraz wszyscy ci, ktorzy wiedza, ze nie maja tego czytac. (Ci co to czytaja, wiedza, ze to o nich chodzi). 1.4 A kto powienien? Ludzie o mocnych nerwach, po przejsciach (z windy na UNIXa), oraz wszyscy ci, ktorzy wiedza, ze maja to przeczytac. (Ci co to czytaja, wiedza, ze to o nich chodzi). 1.5 Wprowadzenie. Mysle, ze sie wlasnie skonczylo... ---------------------------------- 2.1 Sieci komputerowe Chyba kazdy spotkal sie z takim wyrazeniem jak siec komputerowa. Jesli nie to ma problem... Otush: siec komputerowa sa to 2 lub wiecej komputerow polaczonych ze soba (kablem, falami radiowymi, podczerwienia). Byc moze w momencie czytania, powstaly nowe techniki laczenia komputerow. Nie ma to jednak istotnego znaczenia, bowiem metody laczenia zostana opi- sane nieco pozniej. Nie mniej jednak aby powstala siec potrzebne sa minimum 2 kompy (PC, Maki, czy AS'y). Jednak co nam z dwoch stacji polaczonych ze soba bez mozliwosci wymiany informacji miedzy nimi... Do tego potrzebne jest odpowiednie oprogramowanie. Wiekszosc systemow operacyjnych (UNIX, MS Windows, MacOS oraz wiele innych min. pewne odmiany DOSa) sa zdolne do pracy w sieci. Najpierw jednak trzeba poznac zasady konfiguracji tych systemow. Nie chodzi mi tu bynajmniej o konkretne pole- cenia. Mam na mysli okreslenie odpowiednich parametrow, tj. adresy hosta, sieci, routing itp. itd. Niekiedy jest to trywialne, a niekiedy takie opera- cje sa skomplikowane (AppleTalk... hheh). Mozna wyroznic 2 podstawowe rodzaje sieci komputerowych: * LAN (Local Area Network) - siec lokalna * WAN (Wide Area Network) - siec rozlegla W nastepnych rozdzialach przedstawie charakterystyke kazdej z tych sieci, wraz z przykladami obowiazujacych standardow. 2.2 LAN (Local Area Network) LAN - siec lokalna. Tak, to chyba najlepiej oddaje znaczenie tych 3 sluff. Aby zrozumiec, na czym polega roznica w stosunku do WAN, musimy sobie przypomniec/wyjasnic/powiedziec pare rzeczy. Przede wszystkim, podstawowym urzadzeniem sluzacym do komunikacji w sieci jest tzw. karta sieciowa (Network Interface Card - niby NIC, a jednak cos) Sposoby laczenia kart omowie pozniej, jednak juz teraz chcialbym zaznaczyc, iz nie bede rozroznial polaczen radiowych i kablowych bo: po pierwsze wykracza to poza ramy tego materialu; po drugie pod pewnym wzgledem nie wiele sie od siebie roznia (no nie? ;). No, ale wracajac do karty sieciowej: kazdy producent (czy to Intel, Digital czy Realtek) przydziela swojemu produktowi 48 bitowy adres tzw. MAC (Medium Access Control - hm, jakby to przetlumaczyc: Kontrola Sredniego Dostepu czy raczej Kontrola Dostepu do Medium, chyba to drugie...) Pierwsze 24 bituff oznacza producenta karty, pozostale 24 - karte. Numery MAC so unikatowe w skali swiatowej. Istnieja przypadki, kiedy kartom przydziela sie na sile takie same adresy MAC, jednak o tym pozniej. Aby jednoznacznie okreslic komputer w sieci LAN powienien wystarczyc wlasnie adres MAC. Jednak jest on nieco niepraktyczny, poza tym znajduje sie na dosc niskiej warstwie modelu ISO OSI. Hehe, co to ISO OSI? ------------------------ 2.1.1 ISO OSI Otusz jest to taka Utopia. Wzor, ktory jest standardem, a ktory w rzeczywistosci sie nieco modyfikuje i tak napradwde malo kto uzywa go w postaci w jakiej zostal opracowany pierwotnie. Ale do rzeczy: Praca w sieci odbywa sie na tzw. warstwach. Mamy 7 warstw (Utopia!): ---------------- 7 | Aplikacji | ---------------- 6 | Prezentacji | ---------------- 5 | Sesji | ---------------- 4 | Transportu | ---------------- 3 | Sieci | ---------------- 2 | Lacza danych | ---------------- 1 | Fizyczna | ---------------- Kazda z nich na swoj sposob odpowiada za przekazywanie pakietuff w sieci. Ale po kolei: 7). warstwa aplikacji - zapewnia komunikacje miedzy programem np. przegladarka internetowa, a reszta stosu (ang. stack) 6). prezentacji - konwertuje dane pochodzace z warstwy wyzszej bo postaci binarnej 5). sesji - odpowiada za nawiazywanie polaczen 4). transportu - w sieciah IP odpowiada za przydzielenie odpowied- niego portu oraz protokolu (TCP lub UDP) 3). sieci - zdefiniowanie adresu przeznaczenia (ang. destination address) oraz zrodlowego (and. source address) 2). lacza danych - skonwertowanie adresu IP na adres MAC 1). fizyczna - czyli warstwa, ktora zapewnia dostep do np. kabla I tu dochodzimy do sedna sprawy. Pytanie brzmialo: Czym sie rozni LAN od WAN? Otoz: w sieci lokalnej - komputerow polaczonych ze soba za pomoca np. koncentratora (ang. hub - czyt. hab) lub przelacznika (ang. switch - czyt. suicz) - komputery moga sie rozpoznawac na podstawie adresu MAC. Sluzy do tego protokol ARP (ang. Address Resolution Protocol) odwzorowujacy adresy warstwy trzeciej (sieci) na numery MAC. W zwiazku z tym niekonieczne jest wybieranie trasy (ang. route - czyt. rut) dla pakietu na podstawie adresu warstwy sieci, a jedynie odwzorowaniu go na MAC i przeslaniu tam gdzie trza. Moze slowko o hubach i switchach. Albo maly schemacik, na przykladzie sieci IP: 192.168.1.1 192.168.1.2 192.168.1.3 02:4f:3d:00:ff:a1 02:4f:3d:01:a:3 00:00:f8:4c:b5:1a host1 host2 host3 |________ | _______________| | | | +++++++++++++ + Device + +++++++++++++------------------ |-----------| | | 192.168.1.4 192.168.1.5 192.168.1.6 a2:3:3d:1b:e:1 00:f:a:03:e1:6a a2:3:3d:a:b:c host4 host5 host6 W przypadku gdy "Device" to hub pakiet wyslany np. z host1 do host5 rozprowadzany jest do wszystkich portow huba. Po przeanalizowaniu adresu MAC stacja albo go zatrzymuje, albo obrzuca. Powoduje to dodatkowy ruch, a w konsekwencji tego niepotrzebne obciazenie sieci. Gdy "Device" to switch, urzadzenie sie "uczy", do ktorego portu jest przypisany jaki adres MAC. W zwiazku z czym pakiet wyslany np. z host4 do host2 jest bezposrednio kierowany do portu do ktorego jest podlaczony komputer z karta o numerze 02:4f:3d:01:a:3. To nie obciaza tak sieci, natomiast odbija sie nieco w kosztach: przelaczniki sa drozsze od koncen- tratorow. Jednak momentami dosyc przydatne. Sory - zawsze. Jest jeszcze takie cos jak most (ang. bridge). Mosty sa to po prostu dwuportowe switche. Albo na odwrot, switche to wieloportowe mosty... Przelaczniki dzialaja w warstwie 2 (lacza danych), choc powstalo takie cos jak Layer3Switching, czyli przelaczania w warstie trzeciej. W sumie oznacza to nic innego jak router, tyle ze nieco szybszy. Podobno... Tak wiec do pracy w sieci lokalnej jest potrzebny albo hub, albo switch, lub gdy mamy tylko 2 kompy ani hub, ani switch. Of koz, mozna do kompa wlozyc ilestam kart sieciowych i z niego sobie zrobic huba, ale z reguly (raczej zawsze) zarowno "koncentratory software'owe (programowe)" (jak i routery) sa duuuuzo wolniejsze od hardware'owych (sprzetowych), ale i tansze... choc czy ja wiem... eeee, chyba przesadzilem. A teraz wyobrazmy sobie nastepujaca sytuacje: uzytkownik pwenego komputera pragnie otworzyc strone www z serwera intra- netowego znajdujacego sie w tej samej sieci lokalnej. Nie ma znaczenia czy uzywa windy czy jakiegokolwiek innego systemu. 1). w przegladarce wpisuje adres: www.serwer.nasz - warstwa sesji (aplikacji i prezentacji sa czesto pomijane) nawiazuje polaczenie (otwiera tzw. soket) - warstwa transportu zas ustawia by polaczenie nawiazane zostalo na port 80 - czyli www oraz przez protokol TCP, gdyz takiego uzywa serwer www. Standartowo. - warstwa sieci resolwuje (odwzorowuje) nazwe www.serwer.nasz na adres IP - zalozmy 192.168.1.6 (hehe, i tu tez musie nastapic kolejny taki proces, gdyz trzeba sie polaczyc z serwerem DNS :) - warstwa lacza danych przypisuje adresowi 192.168.1.6 wlasiwy adres MAC dzieki protokolowi ARP i nastepnie - warstwa fizyczna - przekazuje dane "na kabel" 2). te dane trafiaja do docelowej stacji. Teraz ma miejsce proces odwrotny do tego, ktory zaszedl na komputerze klienta. Pakiet jest przekazywany w "gore" stosu, przy czym przy przejsciu przez kazda warstwe odlaczana jest czesc naglowka, niepotrzebna w warstwie wyzszej. - warstwa lacza danych sprawdza czy adres MAC sie zgadza... - warstwa sieci bezposrednio identyfikuje adres IP - warstwa transportu otwiera i sesji nawiazuje polacznie z serwerem www odpalonym na tym wlasnie kompie (port 80 protokol TCP) No i tak w gore; potem znowu serwer www bedzie przesylal dane do przegladarki itd itd itd. Wracajac do naszego pytania, mozna dojsc do wniosku ze w sieciach WAN, w ten sposob nie bedzie. Aby nawiazac polaczenie z komputerem w innej podsieci/sieci juz nie wystarczy adres MAC. Trzeba skorzystac z innego adresu i procesu zwanego routowaniem (jak sie domyslacie, zajma sie tym routery :), ale o tym pozniej. Tak wiec podstawowa roznica miedzy LAN i WAN zostala wyjasniona. Oczywiscie sa i inne, ale chyba ta najlepiej zobrazowala o co w tym wszystkim chodzi. ----------------------------- 2.2.1 Ethernet Jest to najczesciej spotykany standard w sieciach lokalnych. Daruje sobie zarys historyczny, zarowno tego, jak i pozostalych protokolow, gdyz nie czas i nie miejsce (na dysku). W kazdym razie zostal szeroko przyjety i zaak- ceptowany w zwiazku z jego prostota i latwoscia konfiguracji. Adresowanie odbywa sie przy pomocy MAC oraz IP. IP jest to 32 bitowa liczba postaci: a.b.c.d gdzie a, b, c, d jest 8 bitowa liczba z przedzialu <0;255> Mowie of koz o IPv4, gdyz jak pewnie wiecie powstal IPv6, z nieco innym sposobem adresowania. Pewnien zakres adresow to tzw. przestrzen adresowa. Na poczatek: co to sa netmaski??? W netmasce, bity, ktore identyfikuja adres sieci ustawione sa na 1, natomiast te, ktore identyfikuja adres hosta - na 0. Pozwala to wydzielic bity wspolne dla jakiejs poli. Np. majac dwa hosty: 192.168.1.12 i 192.168.1.13 sprawdzmy ich adresy (w postaci binarnej) : 1 1 0 0 0 0 0 0.1 0 1 0 1 0 0 0.0 0 0 0 0 0 0 1.0 0 0 0 1 1 0 0 oraz 1 1 0 0 0 0 0 0.1 0 1 0 1 0 0 0.0 0 0 0 0 0 0 1.0 0 0 0 1 1 0 1 ------------------------------------------------------------- | [ to sa bity wspolne dla tych adresuff ] | te sie roznia wiec bituff wspolnych mamy 31, "rozbijajac" to na oktety mamy: 255.255.255.254. Z pewnych wzgleduff, o ktorych za moment taka netmaska jest bez sensu i niepraktyczna. Ale dobrze to obrazuje o co chodzi. Z calej poli nalezy wybrac dwa adresy (najmniejszy i najwiekszy zazwyczaj), ktore poswiecimy na adres sieci (najmniejszy) i na tzw. broadcast. Na podstawie adresu sieci i hosta mozna obliczyc netmaske, a majac ja takze broadcast. W zwiazku z tym aby istniala siec potrzebne sa minimum 4 adresy, dlatego powyzszy przyklad nie znalazlby zastosowania w rzeczywistosci, choc jest poprawny. W transmisji danych mozna wyroznic 3 tryby: * unicast - jeden do jednego, tzn. ze jedna stacja nadaje tylko do jednej stacji. * broadcast - jeden do wszystkich, np. przy pobieraniu adresu przez proto- kul BOOTP lub RARP. * multicast - jeden do wybranych, o tym za chwile. Z calej przestrzeni zostaly wydzielone tzw. klasy: A B C i D. * klasa A: pierwszy bit ma ustawiony na 0 (zero). Ogranicza to ilosc pol do 127. (odejmijcie od 255, bo tyle moze maksymalnie wskazywac oktet, 128. no i ile wyszlo? 127). Jak zapewne wiecie, z tej puli adres 127.0.0.0 jest przeznaczony na tzw. loopback (petla zwrotna). Adres 127.0.0.1 oznacza wiec "ten komputer". W momencie kiedy to pisze - oznacza moj, kiedy to czytasz - twoj. Proste, nie? Poza tym, netmaska, czyli ilosc wspolnych bituff kazdego adresu w klasie wynosi 255.0.0.0 (osiem wspolnych bituff, pierwszy oktet). * klasa B: pierwsze dwa bity sa ustawione na 1 0 (jeden i zero). Wiec mamy adresy od 128.0.0.0 do 191.0.0.0. Netmaska jest 255.255.0.0 * klasa C: poczatkowe bity pierwszego oktetu ustawione sa na 1 1 0. Pula ograniczona jest od dolu przez 192.0.0.0, a od gory przez 223.0.0.0 Netmaska 255.255.255.0 * klasa D: pierwsze bity: 1 1 1 0 tzw. multicast od 224.0.0.0 do 239.0.0.0 * klasa E: sa to adresy testowe, bez jakiegos konkretnego przeznaczenia. Rozpoczynaja sie od 240.0.0.0 i ida dalej w gore do "konca". Podzial na klasy jest bardzo stary i niepraktyczny. Ja uwazam go za bardzo dobry, ale nie w dzisiejszych warunkach. Kto mogl te 30 lat temu przewidziec tak gwaltowny rozwoj Internetu... W tej chwili objawiaja sie katastroficzne skutki adresacji klasowej. Zwykle adresy klasy A byly przydzielane albo duuuuuuuzym sieciom, firmom komputerowym, czy providerom; B np. uniwersytetom, C pomniejszym firmom, a o D za chwile. Ponadto w bledny sposob, moze raczej zamienny, zaczeto nazywac klasami A, B i C sieci o okreslonych netmaskach. I tak: * klasa A: mialaby netmaske 255.0.0.0, oznacza to np. siec 195.0.0.0 choc netmaska jest jak dla klasy A, to jednak pierwszy bit nie jest ustawiony na 0. Wiec nie jest to klasyczna klasa A * klasa B: mialaby netmaske 255.255.0.0, adres sieci np. 15.150.0.0 Podobnie jak wyzej, pierwszy bit nie jest charakterystyczny dla klasy B, choc netmaska by na to wskazywala. * klasa C: mialaby netmaske 255.255.255.0, np. 129.150.148.0, lesz pierwszy bit wskazuje na klase B. Ale jest to bledne rozumowanie, nie wiem skad... klasy wytlumaczylem przed chwila i to jest prawdziwa ich definicja. Niestety, ale na zmiany juz za pozno; klasami nazywa sie takze powyzsze przyklady. Jest jeszcze cos waznego, mianowicie: * jest sobie siec o adresie 10.0.0.0 i netmasce 255.0.0.0 czyli kazdy adres z tej puli ma conajmniej 8 bituff wspolnych, co sie zapisuje: 10/8 lub 10.0.0.0/8. * inna siec: 171.16.0.0 do 171.31.0.0 i netmasce 255.240.0.0 Adresy maja 12 bitow wspolnych: 1 1 1 1 1 1 1 1. 1 1 1 1 0 0 0 0. 0 0 0 0 0 0 0 0. 0 0 0 0 0 0 0 0 ------8-------- ---4--- czyli 12, wiec mozna to zapisac 171.16/12 lub 171.16.0.0/12 * lub: 192.168.0.0, o masce 255.255.0.0 czyli 192.168/16 lub 192.168.0.0/16 Podane powyzej pule sa bardzo specyficzne. Mianowicie przytoczone tu przykladya "klas" to tzw. adresy nieroutowalne (poza klasa D), czyli nie widziane w Necie (inaczej niepubliczne, lub prywatne). Okreslenie "nieroutowalne" jest bledne, bowiem kazdy adres jest routowalny, inacze byloby zle. Sa to adresy routowalne inaczej. A nie oznacza to nic innego jak tylko to, ze tymi adresami mozna identyfi- kowac komputery w sieciach lokalnych bez polaczenia z Internetem, lub w takich gdzie moga one zostac zamaskowane (NAT, IP Masquerading) przez serwer dostepowy czy router. Podzielenie przestrzeni adresowej na klasy pozwala przydzielac je providerom, ktorzy przydzielaja je swoim klientom, ktorzy przydzielaja je swoim klientom, lub komputerom, albo podsieciom itp itd. Tworzenie podsieci np. od adresu 192.168.1.128 - 192.168.1.255 jest rowniez bardzo specyficzne. Umozliwia ono bowiem wydawanie nie tylko calych klas ale ich "wycinkow" od adresu do adresu. Tak wiec zakresy adresow nie bedace jednoznacznie klasami (A, B czy C) to tzw. bloki CIDR (Classless Inter- Domain Routing). Pondato duuzi providerzy mniejszym providerom lub firmom wydzielaja tzw. LIRy. Local Internet Registry to taka pola. Firma dostaje swoja pule adresowa, z ktora moze robic co chce. Czesto w skrocie netmaske LIR'a zapisuje sie w postaci LIR/ilosc wspolnych bitow np. LIR/25 - netmaska 255.255.255.128. Klasa D jest dosyc szczegolna i omowie ja pozniej. Moze slufffko o systemach autonomicznych. Jest to siec, lub kilka sieci zarzadzanych przez jedna organizacje, lub grupe powiazanych organizacji. Np. provider, uniwersytet, powiazane firmy itp. itd. Proste... Medium uzywanym w sieciach typu Ethernet moze byc: * tzw. skretka: - UTP (Unshielded Twisted Pair) - skretka nieekranowana - STP (Shielded Twisted Pair) - skretka ekranowana - FTP (Foiled Twisted Pair) - skretka foliowana * tzw. beencek (BNC - kabel koncentryczny) * lub tzw. gruby ethernet (DB25) Jesli chodzi o skretki, to ich przydatnosc do transmisji cyfrowych okreslaja kategorie: kat. 1 - tradycyjna nieekranowana skretka telefoniczna, przeznaczona do przesylania glosu (20kb/s), nie przystosowana do transmisji danych. kat. 2 - nieekranowana skretka, zazwyczaj 2 pary skrconych przewoduff kat. 3 - zazwyczaj stosowana w sieciach (Ethernet 10BaseT 10Mbps). Cztery pary skreconych przewoduff, choc wystarcza tylko 2: 1, 2, 3 i 6. kat. 4 - nie wiele lepsza od kategorii 3 i sporo gorsza od kat. 5, wiec rzadko stosowana. kat. 5 - najczestsza, pozawala na transmisje do 100Mbps (FastEthernet). Kable koncentryczne rowniez dzialaja w "dwoch zakresach". Konkretnie chodzi o opornosc. Najczesta wynosi 50 omuff, rzadsza 75, natomiast 93 jest praktycz- nie niestosowana (tzw. ArcNET). Wyrozniamy 2 topologie sieci: * gwiazdy host | host <-----> HUB <----> host / \ / \ host host w takim ukladzie uzywa sie kabla zwanego skretka. Jest podobny do telefonicz- nego, jednak ma inna koncuffke (RJ-45) * szyny (magistrali) |------------------------------------------------------| | | | | | | host host host host host host tu do laczenia stacji sluzy koncentryk (BNC). Jest jeszcze trzeci rodzaj tzw. hybrydowy, stosowany przez operatoruff telewizji kablowych (CATV) opierajacy sie na transmisji miedziano-optycznej. Oczywiscie topologie mozna ze soba mieszac, ale we wszystkim trzeba znac umiar bowiem mozna sie w tym wszystkim pogubic... Nie bede tu opisywal charakterystyki poszczegolnych kabli, gdyz jest mnostwo dostepnych publikacji na ten temat. Do pracy w sieciach Ethernet przystsowana jest wiekszosc systemow i to bez wiekszych udziwnien. Komputerom wystarczy przypisac adres IP, netmaske, adres sieci, broadcast (choc te informacje mozna juz "wyliczyc" na podstawie IP i netmaski) oraz ewentualnie domyslna bramke. Po takich zabiegach komputer jest zdolny do pracy w sieci. Of koz, potrzeb- ne bedzie rowniez okreslenie innych parametrow (DNS, domena, nazwa hosta, ewentualnie proxy) w przypadku, gdy siec jest np. polaczona z Internetem. W sieciach Ethernet dane sa przesylane standardowo z predkoscia 10Mb/sek (slownie: dziesieciu megabitow na sekunde). Zalezy to od karty, kabla i ewentu- alnie koncentratora. AAAAAA zapomnialem! No wiec: 10BaseT - skretka i predkosc 10Mb/sek 10Base2 - BNC i predkosc 10Mb/sek 10Base5 - DB25 i predkosc j.w. 100BaseT - skretka i 100Mb/sek 100BaseFX - swiatlowod i 100Mb/sek 1000BaseFX - swiatlowod i 1Gb/sek Uff, dobrze, ze sobie przypomnialem! To dosyc wazne, gdyz w ten sposob okresla sie topologie i predkosc sieci. Base jest od Baseband - w wolnym tlumaczeniu podstawowe pasmo (sieci). Jesli chodzi o Ethernet to to by bylo wszystko. Jest to dosc obszerny te- mat, ale jest mnostwo dostepnych ksiazek czy czasopism wyjasniajacych to zagadnienie. ----------------------------- 2.2.2 IPX Internet Packet eXchange - standard opracowany przez firme Novell Inc. I tu warto sie nauczyc nowego slowa: ramka. Ramka jest to typ enkapsula- cji, uzywany w danej sieci. I ty warto sie nauczyc nowego slowa: enkapsu- lacja. Enkapsulacja jest to sposob opakowywania danych w naglowki przy przechodzeniu przez kolejne warstwy modelu OSI. W sieciach IPX mozna uzywac paru rodzajow ramek. Maja one specyficzne nazwy, ale ogolnie rzecz biorac chodzi o komunikacje miedzy systemami, np. UNIX i Novell Netware. Gdy Netware uzywa enkapsulacji zupelnie niezgodnej z ta jakiej uzywa UNIX (zapewne Ethernet) to, w przypadku gdy np. Netware pelni funkcje serwera plikuff nie beda sie mogly skon- taktowac. Of koz, mozna uzywac paru rodzajow ramek. W sieciach IPX jest nastepujacy sposob adresowania: [adres sieci].[adres wezla] * adres sieci: liczba szesnastkowa identyfikujaca siec * adres wezla: z reguly taki sam jak adres MAC Moze nie jest to najprostszy sposob, ale bardzo logiczny i praktyczny. Z protokolu IPX korzysta wiele uslug (zwlaszcza gier sieciowych :) Chyba najczestszym jest udostepnianie plikuff przez serwer Netware. IPX jest jego podstawowym protokolem komunikacyjnym. Oczywiscie przez IPX mozna miec rozwniez dostep do Netu, dlaczego nie?, ale wymaga to routera IPX. W przeciwienstwie do AppleTalk, IPX jest dosyc rozpow- szechniony, gdyz dostarczany jest z systemami firmy Novell, a jak wiado- mo ciesza sie one zaufaniem wielu uzytkownikow sieci korporacyjnych. Poza tym oczywiscie uzytkownikow gier... -------------------------- 2.3.3 FDDI (Fiber Distributed Data Interface) FDDI jest bardzo dobrym przykladem do zastosowan w sieciach miejskich. Ale polega on na stworzeniu pierscienia swiatlowodowego (a raczej dwoch). Do pierscienia sa podlaczone routery brzegowe, do ktorych znowu sa podlaczone sieci itd. FDDI zapewnia redundancje, mianowicie w przypadku awarii jednego pierscienia dane sa przesylane przez drugi. Jak juz napisalem ten rodzaj sieci stosuje sie w sieciah MAN (Metropolitan Area Network), np: Akademia Liceum Medyczna nr. XXX //======================================\\ || || Urzad || ISP Miasta || // || // \\=====================\\===========// Bank Wiem, ze to nie wyglada jak pierscien, ale wiecie o co chodzi. :) -------------------------- 2.3.4 Token Ring Polega mniej wiecej na tym samym co FDDI. Tworzony jest jednak na innej zasadzie. Stacje polaczone sa z tzw. MAU (Medium Access Unit), ktore sa takze polaczone ze soba pierscieniemi (dwoma). Zasada jest taka sama jak w przypadku FDDI. Predkosc przesylana danych jest mniejsza (16Mb/s). Medium jest kabel koncentryczny. Gdy stacja nr 1 chce wyslac pakiet do stacji nr 2 do "obiegu" dostaje sie tzw. token - zeton (brzmi beznadziejnie...) On sobie tak krazy i krazy dopoki go nie zlapie wlasciwa stacja nr 2. Gdy awarii ulegnie pewien segment pierscienia, dane moga byc przesylane nieuszkodzona czescia trasy. Nie bedzie rysunku, bo chyba to jest proste. -------------------------- 2.3.5 Routing Moj ulubiony temat :) Pojecie routowania (ang. route - trasa, wiec routing = trasowanie) jest oznacza wybieranie najkrotszej (choc nie zawsze :( drogi do miejsca (hosta) przeznaczenia. Jak juz napisalem aby moc przekazac pakiet do innej pod- sieci, nie wystarczy znac MAC komputera, z ktorym chce sie polaczyc. Przydalby sie rowniez jego adres (IP, IPX czy AppleTalk). W zwiazku z tym routing odbywa sie w warstwie 3 - sieci. Do trasowania sluza specjalne komputery, tzw. routery, gatewaye, bramki czy jak je tam zwal. Moga by one software'owe (np. pod BSD, Linuxem czy chocby pod MS Windows po zastosowaniu specjalnego programu), lub hardware'owe (firmy Cisco, Intel, Nortel Networks). Wiadomo, ze te drugie znacznie przewyszaja mozliwosciami te pierwsze. No, wiec jakie maja mozli- wosci? * skalowalnosc - w przypadku przeciazenia systemu (routera) mozliwa jest jego praca w taki sposob by uzytkownicy nie zauwazyli opoznien. Ponadto charakterystyczna jest latwosc "unowoczesniania" sprzetu, dodawania nowych modulow, bez koniecznosci zmiany calego sprzetu. * redundancja - gdy zawodzi jeden element sieci, jego funkcje przemuje inny. * konwergencja - czas trwania wyboru najkrotszej trasy do celu. W zaleznosci od protokolu routowania, jest on dluzszy lub krotszy. Of koz, im krotszy tym ... lepiej. * zarzadzalnosc - eee, zle to brzmi. Mianowicie chodzi o latwosc kon- figuracji, czy to przez konsole czy przez SNMP (Simple Network Manage- ment Protocol). Routery programowe czesto nie realizuje wielu z tych funkcji. No dobra, ale gdzie tu jest cokolwiek o security??? Bedzie, gdy przejde do firewalli. Choc posrednio sa one zwiazane z routerami, to jednak stanowia na tyle odrebny temat, ze postanowilem im poswiecic osobny rozdzial. Oki, do rzeczy! Protokoly routujace, so to algorytmy, wg ktorych router okresla najlepsza (zwykle najlepsza) droge do celu. Mozna wiec podzielic je na 2 podstawowe grupy: * protokoly wektora odleglosci (ang. distance vector) * protokoly stanu lacza (ang. link state) (* Sa takze tzw. hybrydowe, ale o nich nie mam pojecia :))) oraz * IGP - Interior Gateway Protocol * EGP - Exteriot Gateway Protocol Ale od poczatku: protokoly wektora odleglosci sa protokolami przeznaczonymi glownie do sieci lokalnych. Mozna do nich zaliczyc: RIP (Routing Information Protocol), IGRP (Interior Gateway Routing Protocol) itp. Cale "zamieszanie" ma sens gdy w sieci istnieja conajmniej 3 routery. Dla zgodnosci musza uzywac tego samego protokolu. Aby przekazac routerowi nr 1 informacje o trasie do pewnego hosta router nr 2 jest zmuszony wyslac mu cala (CALA!!!!) swoja tablice routowania. (Tablica routowania - jest to spis, w ktorym zostaly umieszczone adresy sieci badz komputeruff wraz z adresem, pod ktory nalezy kierowac pakiety idzace do nich). Itd, itd... Czasem taka tablica moze byc mala, w przypadku malych sieci, a czasem.... no cush... duza, nawet bardzo duza. Jest to jedna z wielu wad protokoluff wektora odleglosci. Inna polega na tym, iz w przypadku gdy sie zmieni jaka trasa (np. zmiana routera) to konieczne jest przekazania znowu calej tablicy. Ponadto czas konwergencji (czasu potrzebnego na obliczenie najszybszej sciezki do celu) jest dosyc dlugi. Te i inne problemy wyeliminowano w EIGRP (Enhanced IGRP firmy Cisco). Jest on protokolem czesciowo wektora odleglosci i czesciowo stanu lacza. Do innych protokolow stanu lacza zaliczamy OSPF (Open Shortest Path First) IS-IS (Intermediate System-Intermediate System) oraz BGP (Border Gateway Protocol). Porownujac do RIP i IGRP, w przypadku zmiany jednej trasy, przekazywana jest tylko jej aktualizacja, nie cala tablica. Czas konwergencji jest stosunkowo szybki. Protokoly stanu lacza, a szczegolnie BGPv4 (BGP w wersji nr 4) sa protokolami EGP (zewnetrznym). Routuja ruch pomiedzy systemami autonomicznymi, np. w Internecie. Tak a propos systemuff autonomicznych, to warto dodac, ze kazdemu z nich jest przydzielany numer identyfikacyjny tzw. sciezka AS (od Autonomiczny System - podobnie po angielsku). Aby odpalic routwanie dynamiczne (mowa o BGP lub EGP) pomiedzy systemami autonomicznymi, trzeba odpowiednio przydzielic sciezki AS. Tylko wtedy routery beda w stanie wymienic miedzy soba informacje o trasach. Nie wolno wymyslac sobie AS'uff gdyz moze to doprowadzic do balaganu i klopotuff. AS'y przydziela albo provider albo RIPE. Niekiedy tablica routowania BGP jest ogromna, przez to jest to protokol wymagajacy mocnego sprzetu, i w zwiazku z tym lepiej nadaje sie do tego router sprzetowy, bez dodatkowych specjalnych wymagan dla systemu operacyjnego. (Nie twierdze, ze routery nie maja systemu operacyjnego, jednak tam routwaniem zajmuje sie sprzet a w software'owych specjalne programy np. routed, bgpd [zebra] itp). To o czym napisalem dotyczylo routowania dynamicznego. Istnieje takze routowanie statyczne: mozna na stale (recznie) przypisac trase do systemu. Jest to znacznie szybsze, ale w przypadku rozleglych sieci niepraktyczne. Ten rodzaj trasowania maja rowniez systemy operacyjne (BSD, Linux itp). Ogolnie, routing to bardzo rozlegly temat, nie staralem sie wiec tutaj zaglebiac w jego tajniki. Polecam natomiast publikacje wymienione w bib- liografii. No i oczywiscie man ;) ------------------------- 2.4 WAN Z tego co napisalem wynika, iz do komunikacji w sieciach rozleglych uzywany jest inny sposob adresowania niz w LAN. Jest to oczywiscie jak najbardziej prawda co wykazalem na pieknym rysunku gdzies tam u gory... Sieci WAN - tzw. rozlegle - budowane sa na ogol w oparciu o routery sprzetowe, oraz kable swiatlowodowe. (Mala dygresja: w dniu, w ktorym to pisze, a wlasciwie to wczoraj, jakas koparka przeciela swiatlowod do mojej szkoly i maja to dopiero naprawiac. Widzialem na www zdjecia... Apokalipsa, polowa studzienki jest na wierzchu :(((((((((( No ale wracajac do WAN. Nie ma co ukrywac: podstawe Netu stanowia sieci WAN. Moga sie one roznie nazywac np. Polpak-T, POL-34,Tel-Energo czy jeszcze jakos inaczej... Wszystkie one sa polaczone i zapewniaja nam szybki (pozdrawiam pracownikow tespy) oraz niezawodny (znow) dostep do zasobow z drugiego konca swiata. Oczywiscie, poza kablami, wykorzystuje sie rowniez dostep satelitarny, jednak jak w przykladzie z LAN, to oraz kable traktuje podobnie, bo chodzi mnie wiecej o to samo :) Sposrod najczesciej stosowanych rodziajow enkapsulacji WAN (czyli uzywanych ramek) nalezy wymienic Frame Relay, X.25 oraz ATM (Asynchronous Transfer Mode). No to jedziemy! --------------------------- 2.4.1 Frame Relay Przekaznik Ramek - hmm, to wlasciwe okreslenie. W przypadku tego polaczenia wymagana jest enkapsulacja FR oraz przydzielenie identyfikatora polacznia (DLCI - Data Link Connection Identifier). Dla kazdego DLCMI (Data Link Connection Management Interface) - czyli polaczenia mozna ustalic nastepujace wartosci: * CIR (Commited Information Rate) - gwarantowana przepustowosc lacza (pozdra- wiam ponownie pracownikow tepsy) * EIR (Excess Information Rate) - maksymalna predkosc, ktorej klientowi prze- kroczyc nie wolno. * Bc (Commited Burst) - maksymalna liczba pakietow oznacznych bitem CIR w czasie (sek.), ktore ISP (Internet Service Provider) pozwala transmitowac. Bc=CIR * czas (Domyslnie Bc=0, gdy CIR=0 => Bc=0) Gdy CIR jest rozny od zera, Bc takze jest rozne od zera * Be (Excess Burst) - maksymalna liczba pakietow, ktore ISP zgadza sie trans- mitowac poza pakietami oznaczonymi bitem CIR. Domyslnie Be=0 (Gdy CIR=0 => Be=0) * MTR (Maximum Transfer Rate) - maksymalna przepustowosc lacza (w kbps) usta- wiona przez ISP. MTR=CIR*(1+Be/Bc) Gdy CIR=0, wtedy reszta jest rowna zero, wiec MTR jest ograniczona predkos- cia portu, do ktorego jest wpiety kabel. * Szerokosc pasma - okresla na jak szerokie wykorzystanie pasma pozwolic, gdy z lacza korzystaja inne DLCI. * Kompresja - czy ktos nie rozumie co to kompresja? Nawiazania polaczenia FR nastepuje bezposrednio przez port WAN na routerze, lub poprzez modem (CSU/DSU). W Polsce FR to np. Polpak-T (smile for tepsa :). Jest to szybki ;) sposob trans- misji, wymagajacy rowniez dobrego sprzetu. Lacze (czyt. kabel) mozna podzielic na wirtualne polaczenia okreslane parametrem DLCI. Stanowia on tzw. staly ob- wod wirtualny (PVC) - ale o tym za chwile. ---------------------------- 2.4.2 ATM (Asynchronous Transfer Mode) Wbrew nazwie ATM wcale nie jest asynchroniczny. Jest to szybki sposob transmisji (zazwyczaj 155.52Mbps). Najnizsza predkosc to 25Mbps. Wykorzystuje jako medium swiatlowod. Enkapsulacja, of koz ATM. Ponadto nalezy "zmapowac" polaczenie na adres lacza danych, ktory bezposrednio identyfikuje polaczenie. Wiekszosc rzeczy, ktore napisalem o FR dotyczy rowniez ATM. Poza jedna: ATM przenosi tzw. komorki (ang. cell). Maja one stala wielkosc tzn. 53bajty. W przypadku ramek, rozmiar jest zmienny. Niestety, do ATM potrzebny jest odpowieni sprzet, nawet nie chodzi mi o routery (choc to min. tesh...) ale o kable i przelaczniki. Wiele z tych standarduff nie zostalo jesz- cze spisanych. Zajmuje sie tym organizacja ATM Forum. Wielu uwaza ATM za nastepce FR, jednak nie jest to do konca takie proste. Technologia ATM, z poczatku miala byc wykorzystywana do przekazywania glosu. Nieco pozniej podciagnieto ja do transmisji ruchu sieciowego. Wiec, ATM ma tylu zwolennikuff, co przeciwnikuff. --------------------------- 2.4.4 C.C.I.T.T X.25 X.25 wykorzystuje PVC (Permanent Virtual Circuits) niezaleznie od tego, czy cokolwiek jest transmitowane, lub SVC (Switched Virtual Circuits) w momen- cie nawiazywania bezposredniego polaczenia. Podobnie jak FR, mozna do tego uzyc bezposrednio portu WAN lub CSU. Podczas konfiguracji pasma X.25 ustawia sie nastepujace parametry: * VC - Virtual Circuit - ustawienie polaczenia na PVC lub SVC. * adres lokalnego i zdalnego routera, identyfikator, rozmiar ramki, pakietu * kompresja danych - czyli tzw. kompresja danych. * DNIC (Data Network Idetification Code) - unikatowy identyfikator polaczenia przyznawany przez ISP Z reguly SVC jest trudniejsze do zrealizowania i baaaardzo rzadko stosowane. Swiadczony przez telepsy dostep do Polpaku to wlasnie PVC. --------------------------- 2.4.5 SDH SDH (Synchronous Digital Hierarchy) - jest to cyfrowy synchroniczny system transmisji, stosowany glownie na duuuuuze (miedzy kontynentalne) odleglosci. Jak nazwa wskazuje SDH opiera sie na przekazie synchronicznym. Istotna cecha jest mozliwosc laczenia i rozdzielania strumieni skladowych. Podstawowa jednostka zwielokrotniania jest STM-1 (Synchronous Transport Module). Predkosc przeplywu wynosi 155,52Mbps. Kolejne stopnie wynosza: STM-4 622Mbps, STM-16 2,5Gbps, STM-32 5Gbps i STM-64 10Gbps. SDH charakteryzuje sie takze stala wielkoscia w czasie; oznacza to jednakowy czas trwania (ang. TTL (Time To Live) - czas zycia) ramki, ktory dla STM-1 wynosi 125um (mikrosekund). SDH stosuje sie przewaznie to transmisji telekomunikacyjnych. Rowniez tepsa w Polsce w niektorych rejonach stosuje te metode przesylania danych. Bezposrednio zwiazanym terminem z SDH jest SONET (Synchronous Optical Network). Byl pierwotnym standardem dla optycznych sieci (czyli zbudowanych na swiatlo- wodach) do transmisji telekomunikacyjnych. Charakteryzowal kable optyczne, sposob generacji wiazki, ramek i ich multipleksacji (czyli zwielokrotniania) jednakowa na calym swiecie. --------------------------- 2.4.6 Routing Routing w sieciach WAN jest niezbedny. Mozna zarowno routowac ruch IP, jak i IPX czy AppleTalk. Najczestszym protokolem wykorzystywanym w WAN jest BGPv4. Czesto ustawia sie go na stykach systemow autonomicznych (ISP, sieci akade- mickie), oraz w przypadkach gdy siec LAN jest zaopatrzona w redundantne lacze do innego providera. Wtedy routing rozbija sie na 2 (lub wiecej) routeruff. W routerach Cisco zaimplementowany zostal protokol HSRP (Hot StandBy Routing Protocol). Rozklada on ruch sieciowy na routery. Gdy jeden "pada" jego funkcje przejmuje inny. Zakladajac, ze ten pierwszy byl podlaczony do szybszego lacza, i po jakims czasie sie znowu "podniesie" moze ponownie przejac swoja funkcje glownego routera. HRSP musi byc skonfigurowane wtedy w odpowiedni sposob na wszystkich routerach. Nie musze chyba wspominac, iz w sieciach szkieletowych redundancja jest niezwykle wazna. Odciecie od Internetu firm, od razu powoduje (przynajmniej wg. analitykuff) straty finansowe, of koz, trudne do obliczenia ;) ----------------------------- 2.5 ISDN (Integrated Services Digital Network) Jak glosi nazwa, poprzez lacze ISDN mozna transmitowac wiele rodzjuff danych: * glos * dane komputerowe * czy nawet obraz (wideokonferencje) Mozna wyroznic dwa rodzaje dostepu przez ISDN: * BRI (Basic Rate Interface): Sklada sie z dwoch kanalow typu B (2x64kbps) oraz 1 kanalu D (16kbps). Kanaly B sluza do transmisji danych, natomiast D jest kanalem kontrolnym. Laczna uzytkowa predkosc BRI ISDN wynosi 144kbps (64+64+16 kbps) * oraz PRI (Primary Rate Interface) Obejmuje 30 kanaluff B (30x64kbps) oraz jeden D (64kbps). Lacznie oznacza to predkosc 2Mbps (E1). Jak jush napisalem poprzez ISDN mozna korzystac z telefonu, Internetu, organi- zowac wideokonferencje itp. W Polsce lacza ISDN udostepnia min. tepsa. Aby sie polaczyc z Netem nalezy wybraz brzmiacy znajomo numer: 0202422. Do terminala ISDN mozna podlaczyc np. lokalna centralke telefoniczna PABX (Private Automatic Branch Exchange), lub router (np. Cisco seria 1600), a takze fax. ISDN moze stanowic dobry wybor jako zapasowe lacze do Internetu dla firm, ktorym zalezy na nieprzerwanym do niego dostepie. --------------------------- 2.6 T-carrier Polaczenia T-carrier wywodza sie ze Stanow Zjednoczonych. Sa bardzo popularne, a ze wzgledu na niska cene i spora przepustowosc dostepne dla zwyklych smier- telnikuff. Podstawowa jednostka jest standard T0 o predkosci 64kbps. Zamiennie, choc nieprawidlowo uzywa sie okreslenia DS (Digital Signal) z cyferka przy T. DS oznacza standard, natomiast T konkretna jego implementacje. T1 to 24 zmultipleksowane (polaczone) lacza T0. Przepustowosc - 1,544Mbps. T3 to 28 T1 (44,736Mbps). T2 jest rzadko stosowane (6,312Mbps). Podobnie jak T4 - 274,176Mbps. Europejskim odpowiednikiem T-carrier sa lacza E. Choc maja te same cyferki i uzywane sa zamiennie to jednak roznia sie predkos- cia: E1 to kolega T1 o predkosci 2,048Mbps czyli popularne 2Mbps. E3 ma predkosc 34,368Mbps czyli nie mniej popularne 34Mbps. --------------------------- 2.7 xDSL DSL (Digital Subscriber Line) to rowniez popularny sposob dostepu do Inter- netu. Stosowany jest jako odcinek tzw. ostatniej mili, czyli od providera do klienta. W roznych implementacjach i pod roznymi nazwami umozliwia asymetryczny dostep charakteryzujacy sie roznymi predkosciami nadawania (Transmit, Tx) i odbierania (Recieve, Rx). Np. 3Mbps "do nas" przy 1Mbps "od nas" itp itd. Ruch odbywa sie po przewodach miedzianych, stosowane sa przy tym modemy DSL. Zazwyczaj taki modem ma gniazdko na np. skretke, ktora podlaczyc mozna czy to do switcha czy huba czy po prostu bezposrednio do komputera. Ze wzgledu na wykorzystanie taniego medium (miedz) cena za tego typu dostep nie jest zbyt wygorowana. --------------------------- 2.8 PPP (Point to Point Protocol) Jest to specyficzny protokol, pozwalajacy uzytkownikom nie podlaczonym bezposrednio do sieci LAN wykorzystywanie jej zasobow poprzez siec WAN. PPP moze przybierac rozne postaci: * Dial-Up - znany chyba kazdemu * Leased Line (lacze dzierzawione) - znane prawie kazdemu * CallBack - znane prawie prawie kazdemu. Polaczenie z serwerem PPP nastepuje poprzez PSTN (Publiczna Siec Telefoniczna). Moze to byc wdzwanianie (Dial-up), oddzwanianie (CallBack) lub polaczenie wydzierzawiona linia telefoniczna. Do kazdego z tych polaczen niezbedny jest modem, jakoze PSTN jest siecia analogowa (i puliczna) trzeba sygnal cyfrowy zamienic na analogowy, a nastepnie na odwrot. Wyrozniamy polaczenia synchroniczne i asynchroniczne. Gdy na pasmo przypada ok. 200kbps, w przypadku lacza async, 20% lini idzie na LCP (Link Control Protocol - czyli zarzadzanie polaczeniem). W zwiazku z tym , w "jedna strone" mamy ok. 80kb/s. Hmm, malo nie? Tak jest w laczach dzierzawionych. Przy Dial-Up, korzysta sie z modemuff async. Obecny standard do V.90, co oznacza, iz dane sa przesylane z MTR rowna 56kbps do nas natomiast do ISP 33,6. Oczywiscie, nie kazdy ISP posiada takie modemy, jednak juz chyba wiekszosc w takie sie wyposazyla. Odmiana PPP jest CallBack. Serwer dostepowy "sam oddzwania" do klienta nawia- zujac tym samym polaczenie. W kazdym z tych przypadkow, klientowy jest przydzielany adres. Moze to byc zrealizowane np. za pomoca serwera DHCP (Dynamic Host Control Protocol). Adres moze byc staly (dzierzawnione lacze) lub dynamiczny. Klientowi mozna rozniez podac podstawowe parametry sieci (gateway, netmaska, serwery DNS itp). Warto wspomniec takze o takim czyms jak komutacja. * komutacja lacza jest stosowana w telefonii. Lacze od telefonu pana X, do telefonu pani Y jest zajete przez caly czas trwania polaczenia. * natomiat podczas komutacji pakietow lacze zajmowane jest w tylko w czasie i przestrzeni (dziwnie to brzmi) ale oznacza ze z tego samego lacza moze naraz korzystac wiele urzadzen. ---------------------------- 2.9 NAT (Network Address Translation) i IP Masquerading W przypadku, gdy siec jest oparta o adresy IP nieroutowalne, aby komputery mogly sie laczyc ze swiatem, konieczne jest maskowanie tych adresow. Mozna to zrealizowac na 2 sposoby: * Maskarada - gdy klient chce nawiazac polaczenie laczy sie najpierw z bramka. Bramka otwiera polacznie z docelowym hostem i posredniczy w wymianie danych. Wszystkie adresy nieroutowalne (wewnetrzne) sa widziane w Necie jako jeden routowalny (zewnetrzny). Maskarada jest standardowo realizowana na Linuxach. * NAT - ma duzo wieksze mozliwosci niz Maskarada. Jest dostepny w BSD i polega na przypisywaniu nieroutowalnym adresom jednego lub wiecej (mozna okreslic za pomoca netmaski) routowalnych. W NAT mozna takze ustawic lease time, czyli maksymalny czas, w ktorym klient moze korzystac z adresu routowalnego. Ponadto istnieje mnostwo innych parametruff. W takich przypadkach pomaga rowniez zastosowanie serwera Proxy oraz SOCKS (np. danted), ktory umozliwia polaczenia z uslugami typu chat, IRC, ICQ itp. Funkcje maskowania adresuff spelniaja zarowno routery programowe jak i sprzeto- we (choc tylko niektore). ---------------------------- 2.10 Multicast W dzisiejszych czasach (rok 2000, listopad) ogladanie TV czy sluchanie radia przez Net nie jest zbyt popularne, ze wzgledu na duze zapotrzebowanie na pasmo. Aby ogladac TV, mozna skorzystac z tzw. transmisji multicast. Serwer wysyla obraz tylko do okreslonych przez pewna pule adresowa (tak! zgadles klase D) komputerow. Jak wiadomo, zarowno film jak i dzwiek wymagaja dosyc duzej prze- pustowosci. W uzyskaniu takowej pomaga ustawienie bitu ToS (Type of Service) oraz CIR w naglowkach pakietu. W ten sposob moze on zyskac pierwszenstwo nad innymi pakietami. Jednak wykupienie CIRa jest dosyc drogie (podwojne pozdrowie- nie dla pracownikow tespy). Choc mogloby sie wydawac, iz CIR (gwarantowana przepustowosc) rowna 1MB to malo, ja moze podam obecna cene to wtedy sie zacz- niemy zastanawiac czy to malo czy duzo. 11000zl, ale luknij na www.tpnet.pl i tam gdzies cennik Polpaku. Dobrym rozwiazaniam jest kupienie CIRa ok 64kbps. Jest to rozsadna ilosc i cena... jesli tu w ogole mozna o takowej mowic. ---------------------------- 2.11 Swiatlowody To dosyc rozbudowany temat i doglebne jego zglebianie zbyt gleboko zaglebia sie w te glebokie wody. Jest to jak wiadomo kabel zrobiony ze szklanego wlokna kwarcowego otoczonego nieprzezroczystym plaszczem. Wspolczynnik odbicia swiatla o czestotliwosci bliskiej podczerwieni jest mniejszy niz w rdzeniu wiec wiazka prowadzona jest wzdluz osi wlokna. Aby scharakteryzowac swiatlowod nalezy podac kilka paramet- row: * srednice rdzenia i powloki (np. 9/125um - mikronuff), * stopa bledu, * tlumiennosc w dB/km, * dyspersja (rozproszenie), * sposobu zmian wspolczynnika zalamania, * oraz ilosci prowadzonych moduff (jedno- lub wielomodowy). Po kolei: srednice podaje sie zarowno dla rdzenia swiatlowodu jak i dla plaszcza. Wiaze sie to bezposrednio z iloscia prowadzonych modow. Do kabla o duzej srednicy (np. 50 mikronuff) wiazki (promienie) swiatla mozna wprowadzic pod wieloma katami. Maja one (promienie) jednakowe dlugosci fali lecz w zwiazku z roznym katem wprowadzenia rozna predkosc propagacji. Umozliwia to prowadzenie wielu modow. Kabel jest grubszy jednak ze zrozumialych wzgleduff przepustowosc jest nieco mniejsza od przepustowosci jednomodowego odpowiednika. Jego srednica (9um) nie pozwala na wprowadzenie wielu promieni. Konkretnie to pozwala na wprowadzenie jednego (od tego nazwa). Taki kabel jest niezwykle cienki i pozwala na przesylanie wiazek na baaaaaardzo duze odleglosci. Oczywis- cie kabel wielomodowy ma nieporownywalnie mniejsze mozliwosci jesli chodzi o dlugosc. Zazwyczaj szklo wielomodowe sluzy do budowy okablowania struktural- nego lub sieci LAN. Natomiast wlokna jednomodowe uzywane jest do przekazow telekomunikacyjnych na duze odleglosci lub np. do budowy sieci kampusowych. Znajomosc wspolczynnika zalamania swiatla w kablu pozwala na precyzyjna lokalizacje jego uszkodzenia. (Przypomina mi sie koparka i nasz szkolny swiatlowod :))) Ze wzgledu na charakter transportowanego "towaru", swiatlowod nie jest podatny na jakiekolwiek przeniki, ktore maja miejsce np. w miedzianych kablach w wyni- ku wzajemnego elektromagnetycznego oddzialywania (tzw. NEXT i FEXT). NEXT (Near End Crosstalk) to tzw. przenik zbiezny. Spowodowany jest oddzialywa- niem sygnalow od sasiadujacyh ze soba aktywnych par przewoduff przy czym przesylaja one sygnal w przeciwne strony. FEXT (Far End Crosstalk) czyli przenik zdalny, ma miejsce wtedy, gdy oddzialuje na siebie sygnal o pokrywajacym sie widmie transmisji pochodzacy od aktywnych przewoduff przesylajacych go w jednym kierunku. Ale powyzsze dotyczy jedynie kabli miedzianych (np. skretka) i w sumie to nie wiem po co o tym pisze w tym miejscu... Tlumiennosc wyraza sie wzorem log((A`*A`)/(A``*A``)). Jest to logarytm z ilorazu kwadratow natezenia swiazki wchodzacej do natezenia wiazki wychodza- cej. Jesli Wyrazenie logarytmowane jest mniejsze od jeden, wieksze od zera, caly logartym jest mniejszy od zera; oznacza to ze amplituda wiazki (A) rosnie w czasie (tzn. na calej dlugosci kabla). Mowi sie wtedy o tzw. wcmocnosci. W przeciwnym razie (A`>A``) tlumiennosc maleje. Wyrazamy ja w belach lub decy- belach na odleglosc (zazwyczaj db/km). Podatnosc na bledy wynosi 0.0000000001 (10^-10) wiec jest to wspolczynnik niezmiernie niski. Bliska zeru dyspersja (rozproszenie) wiazki pozwala na budowe niezwykle szybkiego traktu swiatlowodowego, przy czym przepustowosc podstawowa jednego wlokna moze siegac nawet 20Gbps. Rozwiazanie problemow ograniczen urzadzen koncowych (modemy swiatlowodowe, routery itp.) to kwestia czasu (no i pienie- dzy...). Zazwyczaj, ze wzgledu na wysoki koszt kladzenia tego typu kabla oraz duza odpornosc na zaklocenia zewnetrzne, swiatlowody kladzie sie po kilka, kilkadziesiat a nawet kilkaset wlokien. Rdzen przewodu stanowi wytrzymaly element, calosc otoczona jest tasma wodoszczelna i trwala powloka zewnetrzna. Swiatlowody, ze wzgledu na swoja strukture, sa wytrzymale na rozciaganie, natomiast nie na zginanie... Dlatego nalezy ostroznie klasc taki kabel (po to tesh jest ow "wytrzymaly element" wewnatrz przewodu). Istnieja pewne zasady dot. kladzenia swiatlowodu, ale nie czas i nie miejsce aby o nich dyskutowac. Moze jeszcze nieco o cenach. Zasadniczo koszt swiatlowodu wielomodowego jest mniejszy od kosztu jednomodowego. Jest to w pewnym sensie logiczne, gdyz na ten drugi moga sobie pozwolic jedynie ci, ktorzy go rzeczywiscie potrzebuja (operatorzy telekomunikacyjni itp). Koszt polozenia tego kabla jest zmienny i zalezy od rejonu (czy to centrum miasta, zabytkowa dzielnica, pola uprawne czy ocean...). ---------------------------- 3.1 Ciekawe rzeczy Chcialbym tu napisac o innych ciekawych rzeczach, z ktorymi sie spotkalem podczas mojej wspanialej kariery. Przede wszystkich, przedstawie zasady dzialania IP Telephony w oparciu o techniki opracowane przez firme Cisco Sys- tems Inc. Powiem tez co nieco o firewallach, bezpieczenstwie jako takim w sieciach oraz o routerach sprzetowych firm Cisco i Intel. ---------------------------- 3.2 IP Telephony W chwili gdy firma dysponuje szerokopasmowymi laczami miedzymiastowymi rodzi sie pewna mysl, by tymi samymi obwodami przesylac glos, a konkretnie "dane telefoniczne". Of koz przystosowanie sieci do takiej funkcji jest nieco kosztowne, ale np. polska firma Howell obliczyla ze koszt inwestycji zwroci sie jej pod 14 miesiacach. (I znowu pozdrawiam tepse). Liderem na ryn- ku IP Telefonii jest firma Cisco. Zapowiedziala ona, ze jednak bedzie rozwijac standardy we wspolpracy z innymi firmami. No i dobrze. Moze troche historii. Albo nie, wprowadze pewno pojecie: AVVID (Architecture for Voice, Video and Integrated Data). Jest to zbior zalozen pod budowe korporacyjnych sieci komu- nikacyjnych wraz ze zintegrowanymi uslugami. Architektura ta sklada sie z nastepujacych elementuff: * urzadzenia abonenckie * infrastruktura transportowa * aplikacje uslugowe (katalogi, ksiazki adresowe itp) Omowie kazdy z nich. 1). zaczne od infrastruktury: rdzeniem AVVID w sieci LAN i WAN sa wielouslugowe routery i przelaczniki firmy Cisco Systems. Obecnie do urzadzen obsluguja- cych transmisje roznorodnych danych w standardzie AVVID naleza modele: * routerow: 800, 1750, 2600, 3600, 3810, 5300, 5800, 7100, 7200 i 7500. * oraz switchy: Catalyst 6000. Obecnie! bo to sie szybko zmienia. Podstawowa zaleta tych urzadzen jest mozliwosc ksztaltowania jakosci transmisji (QoS - Quality of Service). Ma to kolosalne znaczenie w sieciach WAN o niskiej przepustowosci (np. ponizej 2Mb/sek). 2). urzadzenia abonenckie - czyli IP telefony. Firma Cisco dostarcza na rynek paru rodzajow tych urzadzen. Jednym z nich jest telefon 7960. Ma on ol- brzmymie mozliwosci. Ja sam nie wierzylem w to dopoki nie zostalo mi to zaprezentowane LIVE! Niesamowite wrazenie. Na wyswietlacu ok 2x3 cale mozna wyswietlic np. liste osob, do ktorych mamy zadzwonic, w niedalekiej przyszlosci np. informacje o aktualnej wartosci firmy na gieldzie, czy o ruchu na skrzyzowaniu trzeciej z Addison Ave. ;) To wszytko to prawda i dziala, bo widzialem. Kazdy telefon wyposazony jest w 3 gniazda RJ45 (skretka) i switcha inside. Do telefonu, mozna wiec podlaczyc kompa, albo drugi telefon. Glowny telefon jest polaczony skretka z przelacznikiem Catalyst. Rozpoznaje on sam czy aktualnie podlaczony jest telefon czy komputer. Jesli telefon, wtedy oferuje mu zasilanie. Odbywa sie to wszystko po skretce. Gdyby switchem nie byl katalist mozna nalozyc "nakladke", ktora takze bedzie wysylac sygnal zasilania. Wystarczy do tego zwykle okablowanie kat. 5. 3). aplikacje - jest to roznorodne oprogramowanie sluzace do obslugi systemu telefoni IP. Ponadto oferowane sa ksiazki teleadresowe i dodatkowe bajery o ktorych napisalem przed chwila. Glownym sercem systemu AVVID jest system Call Manager. Nie jest to jednak system operacyjny, bowiem pracuje pod kontrola Windows. Zarzadzenie CM odbywac sie moze przez WWW i jest stosunkowo proste. Sam sie tym "bawilem" i w sumie to mi sie podobalo. Mowiac o urzadzeniach abonenckich zapomnialem wspomniec o tzw. softphone'ach. Sa to telefony systemowe, czyli programy, ktore uruchomione (niestety jeszcze tylko pod winda) przeksztalcaja nasz komputer w telefon IP. Program ten moze miec interface jak zwykly telefon np. 7960 lub zupelnie inny. Moim zdaniem AVVID to przyszlosc. Juz w Polsce zostalo to wdrozone, i mam nadzieje, ze takich systemow bedzie wiecej. gdyz wiele firm - zniecheconych oplatami za polaczenia miedzymiastowe (1,75 - za 5 miunt ;))), a dysponuja- cych laczami WAN - moze sie zdecydowac na budowe takiej infrastruktury. --------------------------- 3.3 Routry sprzetowe a routery software'owe. Juz wspomnialem o wiekszej wydajnosci hardwaru nad softwarem. Jest to chyba nieuniknione, ale zarazem logiczne i proste. Jedne z lepszych routerow na rynku produkuje firma Cisco (a takze Intel oraz Nortel Networks). Zdobyly sobie one dobra opinie, i jest to w pelni uzasadnione. Stwierdzenie, iz "pod kontrola naszych routerow pracuje 60% Internetu" byc moze brzmia dumnie, ale nie mozna zapominac o sieciach w firmach, ktorych nie stac na drogi (a jakze!) sprzet ww. firm, wiec stawiaja bramke na jakims systemie. Tymi systemami moga byc UNIX'y a nawet Windows. Takie rozwiazanie jest moze nawet prostsze, ale na pewno tansze, choc nie ma tak wielkich mozliwosci jak system oparty o routing hardwar'owy. --------------------------- 3.3.1 BSD, Linux jako router. Przyklady routeruff programowych opisze na systemach BSD oraz Linux, gdyz stanowia one w miare dobry przekroj przez rodzine systemow UNIX. Od momentu gdy na system UNIX zostal przeniesiony RIP (Routing Information Protocol) owe routery przezywaja rozkwit. Na tych systemach mozna skonfigu- rowac routing zarowno statyczny jak i dynamiczny. Ten pierwszy z reguly dodaje sie poleceniem route. Po informacje nt. skladni i dodatkowych argumentow odsylam do man'a. Mozna dodac sciezki do odpowiednich sieci na podstawie klas (routing klasowy) jak i blokow CIDR (routing bezklaso- wy). Ponadto mozna dodac trase domyslna, tzn. miesjce (host, interface) gdzie beda przesylane pakiety nie odpowiadajace zadnej z pozycji w tabeli routingu. Routing dynamiczny w UNIXach realizowany moze byc na kilka sposobuff. Poprzez dostarczony standardowo pakiet routed (RIP) lub osobny pakiet Zebra oferujacy nakladke na system imitujaca CiscoIOS. Mamy do wyboru: * BGP * OSPF * oraz RIP Istnieje rowniez program mrouted. Jest to daemon routingu Multicast (o Multicascie pisalem wczesniej). Najczesciej jednak stosuje sie routing statyczny. W przypadku, gdy nalezaloby ustawic dynamiczny, powinno sie uzyc routetuw sprzetowych. --------------------------- 3.3.2 Routery firm Cisco Systems Inc. i Intel (R) Firmy te dostarczaja na rynek najlepszy sprzet routujacy. Nie jest on nie- stety tani, ale za wydajnosc trzeba placic. Routery te, to zwykle pudelka wielkosci od duzej, grubej ksiazki do lodowki... (np. Cisco 7500). Na tych "pudelkach" zainstalowany jest system, np. Cisco IOS (R). Konfiguracje routera mozna odbyc na wiele sposobow: * przez konsole - czyli termninal vt100 podlaczony do portu na routerze * przez siec - logujac sie np. telnetem na router * przez SNMP - istnieje wiele programow sluzacych do tego typu konfiguracji, (praktycznie kazdy agent SNMP) lacznie z zarzadzaniem przez www oraz przez Intel (R) Device View. * dla routeruff Cisco istnieje takie cos jak ConfigMaker, ktory w bardzo try- wialny i zabawny sposob "produkuje" pliki config dla routerow, ktore mozna nastepnie "wgrac" ;) do routera czy to przez SNMP czy tftp. Konifg przez konsole odbywa sie w sposob banalny. Podlaczamy peceta do routera przez kabel szeregowy i odpalami na nim emulator terminala (HyperTerminal pod MS Windows, lub np. minicom pod UNIXa, albo term95 pod DOSa) lub tesh gdy portu rs232 brak przez skretke do portu konsoli. Mamy wtedy dostep najbardziej bezposredni. Po podaniu hasla mozemy zmieniac dowolne ustawienia, zarowno routingu jak i regul bezpieczenstwa, czy zasad dostepu w przypadku routerow dostepowych (PPP, ISDN). Gdy takowego hasla nie podamy, mozna jedynie sprawdzac ustawienia, ale tez nie wszystkie. Ponadto mamy ograniczony dostep do niektorych programow (np. traceroute lub ping pod Cisco IOS (R)). W przypadku dostepu przez siec, rowniez jestesmy zmuszeni podac haslo. Bez niego nie mozna nawet odczytywac ustawien, choc mozna to zmienic w kon- figuracji. Polaczenie z routerem przez siec nastepuje po wydaniu polecenia telnet (i pod winda i pod UNIXem) na nazwe hosta, przydzielona routerowi lub oczywiscie samo IP. Nazwy routeruff moga byc najrozniejsze: brama, gateway, gw, router, wrota (greetz Madey), ale takze bezposrednio identyfikujace lacza, ktore do nich dochadza, np.: lan-do-tomka.firma.com lub r0-d1.nask-tpsa.tpnet.pl czy jakos tak ;) Oczywiscie wcale sie nie musza tak nazywac, w ogole sie nie musza nazywac, wystarczy adres IP. SNMP (Simple Network Management Protocol) jest to protokol zarzadzania elementami sieci takimi jak routery czy switche. Sluzy do tego specjalne oprogramowanie (tj. Intel (R) Device View - suuuperr!!!!! polecam) lub najzwyk- lejsze agenty snmp np. pod UNIXy. Mozna tego dokonywac rowniez za pomoca WWW, jak np. Call Manager Cisco Systems. Chodzi glownie o prostote i szybkosc konfigu. Choc niektorym, np. mnie duzo bardziej podoba sie wpisywanie komend w trybie tekstowym niz piekna graficzka (choc pod tym wzgledem Intel (R) Device View zrobil na mnie wra- zenie) podobnie jak ConfigMaker. Polecenia w Cisco IOS(R) jak i w routerach Intela sa bardzo analogiczne. Systemy maja podobne mozliwosci, choc Cisco obsluguje wiecej protokolow routingu oraz pare innowacji charakterystycznych tylko dla niego (np. HSRP, EIGRP itp). Jednak sa to innowacje bardzo przydatne (o HSRP pisalem wczesniej). Na temat routerow Cisco istnieje wiele publikacji, o routerach Intela nieco mniej, wlasciwie jedyna pozycja jaka mialem byla ksiazka dostarczana bezpo- srednio z routerem Inter (R) Express Router. Dostepne sa rowniez podreczniki online zarowno dla Intela jak i Cisco. Jednak lojalnie uprzedzam, iz sa one duzych rozmiarow. Routery wyposazone sa standardowo w kilka portow: * LAN - jeden lub wiecej, z reguly RJ-45 (skretka) (10Mb/s i 100Mb/s) * WAN - jeden lub wiecej (V.24, V.35, V.36, X.21/V.11) do ktorego mozna pod- laczyc zewnetrzne urzadzenie CSU/DSU (Channel Service Unit/Data Service Unit) lub modem swiatlowodowy. * ISDN - szczegolnie routery dostepowe * DB9 lub RJ-45 - do podlaczenia konsolki * no i of koz zasilanie. Aby polaczyc dwa routery, zalozmy w Krakowe i Wieliczce (greetz HorNET) nalezy uzyc portu WAN. Do niego podpina sie modem, lub CSU/DSU; do tego "wpina sie" swiatlowod. Nastepnie nalezy wybrac typ enkapsulacji (FR, X.25) dobrac adresy, routing, ewentualnie regulki filtrujace. Nie jest to chyba skomplikowane. Gorzej jest natomiast w duzych systemach autonomicznych. Tam trzeba pomyslec o redundantnych routerach brzegowych, parametrach CIR, skalowalnosci a jednoczesnie nie zgubic sie w tym wszystkim. --------------------------- 3.4 Bezpieczenstwo w sieciach. Pojecie bezpieczenstwa jest baaaardzo szerokie, bowiem obejmuje zarowno szyfrowanie danych, dostep poprzez hasla, jak i fizyczne zabezpieczenie sprzetu i kabli. (Moj biedny swiatlowod do szkoly :(((( i to juz drugi raz!) --------------------------- 3.4.1 Firewalle Jest slowo, ktore chyba kazdy slyszal, ale jest ono malo zrozumiale, a nawet jezeli komus sie wydaje, ze je rozumie, to pewnie go dobrze nie rozumie, bo gdyby rozumial, to by nie mowil ze rozumie, tylko je rozumial. ehh. No dobra: chhodzi o firewalla. Sciana ognia, tak to mozna w wolnym tlumaczeniu nazwac. Sa one jednym z elementow bezpiecznej sieci. Nie sklamie mowiac, ze jednym z waznejszych. Filtruja, przekierowuja, maskuja i loguja ruch zarowno wchodzacy jak i wychodzacy. Maja oczywiscie wiele innych funkcji, ale te sa chyba najpopularniejsze. Firewalle, podobnie jak routery moga byc dedykowanymi maszynkami (hardware'owe) lub kopmuterami z zainstaowanym securnym systemem operacyjnym. Jesli chodzi o maszynki, to pierwszym urzadzeniem, ktore przychodzi mi na mysl jest Cisco Secure PIX Firewall oraz Firewall-1 firmy Checkpoint. Firewalle mozna stosowac obok routerow, jak rowniez zamiast routerow laczac ich funkcje. Nie jest to zbyt wydajne, ale czasem tansze. Takie firewalle pudelkowe umozliwiaja konfiguracje przez WWW, mozna okreslic filtrowanie na podstawie wielu czynnikow: zrodlowy port, adres, docelowy port i adres, protokol, flagi (znaczniki) w pakiecie (SYN/ACK/SYN_ACK/FIN_WAIT itp itd). Firewalling odbywac sie moze na wielu warstwach modelu OSI, najczesciej jest to warstwa 3 i 4, czyli sieci i transportu. Choc istnieja systemy umozliwiajace sprawdzanie uzytkownika ktory nawiazuje polaczenie. Jesli chodzi o firewalle software'owe, to chyba najlepszym przykladem moze byc komputer z zainstalowanym systemem BSD lub Linux. Moze slowko o OpenBSD. Od kilku lat, system ten uchodzi za jeden z najbar- dziej bezpiecznych. W wersji 2.7 (a OpenBSD wychodzi co 6 mies.) od 3 lat nie bylo dziury na remote roota. Na local sie zdarzaja, ale to jest nieunik- nione. OpenBSD, w zwiazku z tym, iz powstaje w Kanadzie, nie podlega restryk- cjom nalozonym przez rzad USA dot. eksportu materialow kryptograficznych itp. W domyslnej instalacji mamy wiec OpenSSH, IPSec, SSL oraz pare innych przydat- nych programow niedostepnych np. w Linuxach, przynajmniej nie na CD, natomiast do sciagniecia z Sieci. Niestety OpenBSD dla przecietnego smiertelnika nie jest zbyt przyjazny (choc ja uwazam, ze duzo lepszy jest instalator w jezyku powloki, niz slamazarne windowsiarskie instalatory jak w Redszmacie czy Mandrake'u) w dalszej konfiguracji, nie rozni sie zbytnio od swojej rodziny spod znaku Pingwinka. Rybka (a wlasciwie Ryba-komandos bo takie jest logo OpenBSD) umozliwia filtracje ruchu na podstawie parametrow warstw 3 i 4. Ponadto posiada zdolnosc analizowania naglowkow, logowania ruchu, przekiero- wywania ruchu oraz NAT. man ipf, man ipnat, man ipmon, a jak ktos nie wie co to man to man man. Linux ma podobne mozliwosci, choc NAT zastepuje tam IP Masquerada. (Wlasciwie to to samo, ale maja pewne roznice). Niestety firewalling i IPMasq nie jest standardowo wkompilowane w jadro, co dla przecietnego usera, chcacego sobie postawic taniego firewalla moze stanowic problem. Poleceniami odpowiedzialnymi za filtrowanie sa ipchains lub ipfwadm dla starszych kerneli. Lub iptables dla 2.4. --------------------------- 3.4.2 Oprogramowanie firmy Cisco Systems Inc. Innym elementem sa tzw. sondy. Analizuja one ruch wewnatrz sieci LAN, wykrywaja proby atakow (potrafia sie rowniez uczyc!) i powiadamiaja o tym admina np. przez e-mail czy SMS czy nawet pager. Ten przyklad pochodzi z sondy NetRanger firmy Cisco. Wspolpracuje on z programem Director (wspolpracujacym z HP OpenView 4.11 lub 5.01 pod Solarisem 2.5.1, 2.6 oraz HP-UXem 10.20). To wlasnie Director bezposrednio informuje admina o zaistniale sytuacji. Moze rowniez (a nawet powninen) odpowiednio zareagowac na atak, czy to przez TCP Reset (zerwanie polaczenia z niebezpiecznym klientem) czy tzw. Shun, czyli rozszerzenie list dostepu na routerze brzegowym w celu niedopuszczenia wroga do naszej sieci. Of koz takie dzialanie jest mocno pamiecio- i czasoprocesorozerne, wiec NetRanger powinien pracowac na szybkim i wydajnym sprzecie (najlepiej takim z jakim jest dostarczany - PIII 400MHz (SMP, lub bez). Istnieje wiele innych firm oferujacych oprogramowanie do firewalli (np. Norton costam ) dla zwyklych komputerow (np. pod Windows), ktorych uzytkownicy lacza sie z siecia przez PPP a boja sie programow typu NetBus. Czesc z nich jest platna, czesc darmowa. ----------------------------- 4.1 Zrodla dodatkowych informacji. No i dotarlismy do konca. Mam nadzieje, ze sie czegos ciekawego dowiedziales. Oczywiscie, nie napisalem tu o wszystkim, bo i wszystkiego nie wiem, i zajelo by to zbyt duzo miejsca. Mimo wszystko, jesli uwazasz, ze pominalem cos naprawde waznego, istotnego daj mi znac, np. mailem: cepter@OpenBSD.pl i nie boj sie wyrazic swojej opini. Byc moze napisalem jakas glupote, albo wkradl sie w moje wywody blad - tez napisz! Jesli masz moze jakes pytania, takze czekam na twoj list, w miare mozliwosci postaram sie na niego odpowiedziec. --------------------------- 4.2 Adresy ciekawych site'uff Podam teraz adresy stron, oraz tytuly ksiazek, z ktorych czerpalem informacje dzieki ktorym ten FAQ mogl powstac. Wiec zaczne od: * www.altavista.com - tak! tu wyszukiwalem mnostwo interesujacych rzeczy. * www.cisco.com - miliony wiadomosci dot. zarowno produktow Cisco jak i roznych standardow. * www.cisco.com/go/avvid- informacje o architekturze AVVID * www.cyf-kr.edu.pl - strona Cyfronet'u (greetz dla chlopcow z cyf-kr) * www.ripe.net - strona RIPE (wiele info nt. adresowania) * www.arin.net - strona American Registry for Internet Numbers, j.w. * www.securityfocus.com - tzw. BugTraq, serwis o najnowszych (i tych starszych) bledach w najrozniejszych systemach operacyjnych. * www.OpenBSD.org - homepage projektu OpenBSD (zobaczcie zdjecie w prawym dolnym rogu :))))))))))))))))) * www.tpnet.pl - no cush... to wlasnie tam znajduje sie mnostwo informacji o Sieci w Polsce. * www.pol34.pl - strona projektu POL34 * www.linuxnews.pl - kazdy Linuxowiec powinien to miec w bookmarkach w swoim Explorerze ;) (CTRL-D) * www.linuxsucks.org - goraco polecam uzytkownikom BSD. * www.slackware.eu.org - strona Radka o Slaku. * www.viii-lo.krakow.pl - hehe :) --------------------------- 4.3 Tytuly ciekawych ksiazek (z tego co pamietam ;) * Pancernik (chyba kazdy wie o co chodzi :) wydawnictwa O'Reilly and Associates "Administracja systemami UNIX" - AErleen Frisch * Wielblad (tez wiadomo) ww. wydawnictwa "Perl" * Muszka i konik polny O'Reilly "DNS i BIND" * "Konfiguracja routerow Cisco" * "Elementarz routingu IP" * "Intel (R) Express Router - User Guide" * tony czasopism: Linux+, NetForum, PCKurier * miliony bajtow man'ow i RFC * w BSD /usr/share/doc w Linuxie /usr/doc :)) * ponadto mnostwo materialow z firmy Cisco o routowaniu, AVVID, IP Telephony, PIX * "Linux" - Bill Ball (taka pomaranczowa ksiazeczka z Redszmata 5.0 inside) moja pierwsza... chlip... chlip... * no i "Osła", którego Rzoov ma mi przynieść!!!!!!!!!!!! * poza tym "Lalke", "Krzyzakuff", i pare innych fajnych pozycji ---------------------------- 4.4 Postanowienia koncowe. Hmmm, to juz by bylo wszystko, moze jeszcze podam adres mojego www: http://www.cepter.eu.org oraz jeszcze raz mail: cepter@OpenBSD.pl Nie podaje nr. telefonu, bo pewnie zaraz by sie znalazlo 1000 bledow ;) Jeszcze raz greetzy dla qmpli, cya C3Pt3r