Další podrobnější informace

OSI model

Třetí část seriálu o počítačových sítích. OSI model je zažitý termín pro Open Systems Interconnection Basic Reference Model. Jedná se o abstraktní popis síťové komunikace a protokolů použitých pro komunikaci mezi počítači, který je dělen do sedmi vrstev. Při komunikaci se provádí zapouzdření – encapsulate na straně odesílatele a rozbalování na straně příjemce. Začíná se vrstvou 7, ta se zabalí do vrstvy 6, atd. Tento model byl vytvořen, aby se standardizovala komunikace a hardware i software různých výrobců mohl vzájemně komunikovat.

Popis OSI modelu vznikl již před řadou let a přesto, že se považuje za základ pro síťové technologie, tak nebyl nikdy přesně realizován. Obdobou OSI modelu je TCP/IP, u kterého můžeme říci, že vychází z OSI modelu, ale upravuje jej, aby byl více flexibilní. Podle OSI modelu je vždy možno komunikovat pouze s vrstvou nad nebo pod. A všechny vrstvy musí být v komunikaci obsaženy, což v řadě praktických úloh přináší zbytečnou zátěž (časovou i datovou). Přesto je OSI model dobrý pro výklad a teoretický popis sítí.

	vrstva AJ	vrstva CZ	jednotka	funkce vrstvy	příklad
Layer 7	Application	Aplikační	Data	Síťové procesy pro aplikaci, ověření uživatelů, vše závislé na aplikaci.	Telnet, FTP
Layer 6	Presentation	Prezentační	Data	Reprezentace dat a šifrování. Řeší rozdíly v reprezentaci dat mezi aplikací a síťovým formátem – kóduje data pro přenos.	MIDI, MPEG
Layer 5	Session	Relační	Data	Spojení mezi aplikacemi, správa session. Komunikace jedné aplikace s druhou, posílání více dat po sobě. Udržuje celé spojení mezi dvěma počítači.	NetBIOS
Layer 4	Transport	Transportní	Segments (segmenty)	End-to-end spojení systémů, spolehlivost – zajišťuje kompletní přenos dat, kvalita služby. Řeší spolehlivé odeslání všech dat ze zdroje do cíle pomocí segmentace a potvrzování.	TCP, UDP
Layer 3	Network	Síťová	Packets (pakety)	Logická adresace – routování – určení cesty paketu, přenos dat z bodu do bodu, používá IP adresy. Komunikace mezi zdrojovým a cílovým zařízením pomocí IP adresy.	IP, ICMP, ARP, RIP

Layer 2	Data Link	Linková	Frames (rámce)	Fyzická adresace, MAC – media access control a LLC – logical link control, datový tok, synchronizace rámů, komunikace 1 hop, používá MAC adresy. Detekce chyb, řízení toku a přístupu na médium. Komunikace mezi dvěma zařízeními v jednom subnetu (nebo na bránu) pomocí MAC adresy. Vytváří rámce (hlavička + data + zápatí).	Ethernet, FDDI, Token Ring, PPP, SLIP
Layer 1	Physical	Fyzická	Bits (bity)	Fyzické parametry linky – média (kabely, rádio, světlo), signály a binární přenos. Řeší fyzické poslání dat (přenášeným bitům nepřiřazuje žádný význam).	100BaseT, RS-232, 802.11g

V praktickém případě a hlavně, když používáme protokol TCP/IP, můžeme použít TCP/IP model. Hrubé srovnání s ISO OSI modelem je zde.

VLAN

VLAN neboli virtuální lokální síť je v dnešní době běžná technologie, která přináší řadu výhod. Myslím, že všechny střední a větší firmy technologii VLAN používá a i pro malé firmy může být zajímavá. VLANy slouží k logickému členění sítě bez vazby na členění fyzické. V článku se pokouším popsat vše potřebné k pochopení toho, co to VLAN je, jaké jsou výhody a způsoby nasazení.

O vytváření a konfiguraci VLAN na Cisco zařízeních, stejně jako o Dynamic Trunk Protocolu a VLAN Trunking Protocolu si můžete přečíst v článku Cisco IOS 7 – konfigurace VLAN,  VTP.

Virtuální LAN slouží k logickému rozdělení sítě nezávisle na fyzickém uspořádání. Můžeme tedy naši síť segmentovat na menší sítě uvnitř fyzické struktury původní sítě. Druhým důležitým pojmem, který bude více vysvětlen později, je trunk. Jako trunk označujeme port, který je zařazen do více VLAN.

Jednoduše řečeno pomocí VLAN můžeme dosáhnout stejného efektu, jako když máme skupinu zařízení připojených do jednoho (několika propojených) switche a druhou skupinu do jiného (jiných) switche. Jsou to dvě nezávislé sítě, které spolu nemohou komunikovat (jsou fyzicky odděleny). Pomocí VLAN můžeme takovéto dvě sítě vytvořit na jednom (nebo několika propojených) switchi.

V praxi samozřejmě často potřebujeme komunikaci mezi těmito sítěmi. S VLAN můžeme pracovat stejně jako s normálními sítěmi. Tedy použít mezi nimi jakýkoliv způsob routování. Často se dnes využívá L3 switch (switch, který funguje na třetí vrstvě OSI) pro inter-VLAN routing – směrování mezi VLAN.

Níže uvádím klasický obrázek, který se používá pro vysvětlení VLAN. Máme dvě patra, na každém patře je switch, switche jsou propojeny páteří s trunkem. Chceme propojit zařízení do dvou nezávislých skupin (modrá – VLAN10 a červená VLAN20). Pomocí VLAN je to takto jednoduché. Tradiční technikou bychom museli mít switche oddělené a každou skupinu (modrou a červenou) propojit do jednoho switche, což by byl problém, protože jsou na různých patrech.

Pro podrobné pochopení VLAN je třeba rozumět základům sítí a jejich segmentování (dělení na subnety – podsítě).

Počítačová síť – WAN, LAN

Počítačová síť vznikne ve chvíli, kdy dva (někdy se říká minimálně tři) nebo více počítačů propojíme dohromady pomocí telekomunikačního systému za účelem sdílení zdrojů. Sítě se dále dělí podle řady parametrů na LAN, WAN, WLAN, MAN apod. V tuto chvíli nás zajímá lokální počítačová síť – LAN (Local Area Network), která se vyznačuje tím, že počítače jsou propojeny na menším geografickém území (tedy v rámci firmy, budovy, místnosti, atp.). Pro LAN se nejčastěji používá technologie Ethernet s protokolem TCP/IP a pro WAN (Wide Area Network – propojení jednotlivých LAN) technologie Frame Relay.

Podsíť – subnet

TCP/IP protokol používá pro adresování zařízení IP adresy. Těchto adres je určitý rozsah, který se pro praktické použití (směrování, přidělování adres organizacím, broadcasty) dělí na menší hierarchické části, kterým se říká subnety (podsítě).

Zařízení mohou přímo komunikovat pouze s dalšími zařízeními, která jsou ve stejném subnetu. Se zařízeními z jiných subnetů komunikují typicky přes jednu adresu – gateway (bránu), která provádí routování.

Oddělení sítí

Jak jsem uvedl výše, pokud použijeme různé subnety, tak spolu zařízení nemohou komunikovat. Není to však úplně pravda, rozhodně nedojde k oddělení těchto zařízení. Pokud

jsou totiž připojena na stejné médium, propojena do stejného hubu (pracuje na 1. vrstvě OSI) nebo switche (pracuje na 2. vrstvě OSI). Tak komunikace dorazí z jednoho zařízení na druhé, i když jsou v jiném subnetu. Zařízení však bude tuto komunikaci ignorovat. Je to proto, že hub (posílá všude) ani switch (používá MAC adresy) se nedívá na IP adresy procházející komunikace. Proto se dá tato komunikace zachytávat a odposlouchávat. Pokud tedy chceme mít oddělené sítě, tak musíme použít oddělené switche.

Kdežto použitím VLAN dojde k tomu, že komunikace se posílá pouze na porty, které jsou zařazeny do stejné VLANy. Záleží tedy sice na softwaru switche, ale dá se říct, že se jedná o fyzické oddělení. Existují nějaké metody útoky na VLAN (proniknutí do jiné VLAN), ale při dobře nastavené síti by mělo být vše bezpečné.

Subnety a VLANy

Z výše uvedeného také plyne to, že pro různé VLANy bychom měli používat různé subnety. Pokud chceme mezi těmito VLANami routovat, tak je to nutné, stejně jako v případě, kdy chceme využít některé speciální funkce na switchi.

Proč vznikly VLANy

Technologie VLAN začala vznikat kolem roku 1995, ale zprvu se jednalo o různá proprietární řešení. V praxi se však více rozšířili až před několika lety a to hlavně ve středních a velkých firmách, přestože již delší dobu existuje standard.

Hlavní důvody proč vznikly VLAN byly asi tyto:

• seskupování uživatelů v síti podle skupin či oddělení nebo podle služeb místo podle fyzického umístění a oddělení komunikace mezi těmito skupinami
• snížení broadcastů v síti, které začaly být problémem již před několika lety
• zmenšení kolizních domén v době, kdy se nepoužívaly switche, ale třeba huby

Idea pro logické seskupování uživatelů, která se uvádí v řadě materiálů, a tedy vytváření VLAN je

• podle organizační struktury – pokud je většina komunikace v rámci oddělení, kde jsou vlastní tiskárny, file servery, atd. a mezi jednotlivými odděleními není komunikace, pouze pár služeb (mail) je společných pro všechny
• podle služeb – do VLAN se seskupují pracovníci, kteří využívají stejné služby (účetnictví, DB, atd.)

Původní důvody již dnes často nejsou aktuální nebo se z praxe změnily názory. Jak se používají VLANy dnes, jinak řečeno, jaký je jejich hlavní přínos, uvádím v další kapitole.

Jaké jsou praktické výhody VLAN

• snížení broadcastů – hlavní výhodou VLAN je vytvoření více, ale menších, broadcastových domén. Tedy zlepšení výkonu sítě snížením provozu (traffic).
• zjednodušená správa – k přesunu zařízení do jiné sítě stačí překonfigurovat zařazení do VLANy, tedy správce konfiguruje SW (zařazení do VLAN) a ne HW (fyzické přepojení)

• zvýšení zabezpečení – oddělení komunikace do speciální VLANy, kam není jiný přístup. Toho se dá samozřejmě dosáhnout použitím samostatných switchů, ale často se toto uvádí jako bonus VLAN.
• oddělení speciálního provozu – dnes se používá řada provozu, který nemusí být propojen do celé sítě, ale přesto jej potřebujeme dostat na různá místa, navíc nechceme, aby nám ovlivňoval běžný provoz. Příkladem je například IP telefonie, komunikace mezi AP v centrálně řízeném prostředí, management (zabezpečení správcovského přístupu k zařízením). Například pro IP telefonii, kde je použití VLAN naprosto běžné, nám stačí jediná zásuvka, kam přivedeme VLAN pro telefonii i VLAN s přístupem do sítě a v telefonu se komunikace rozdělí. Navíc VLANy můžeme použít spolu s QoSem pro zaručení kvality komunikace (obsazení pásma).
• snížení HW – samozřejmě se nám nesnižuje potřebný počet portů (až na speciální případy jako IP telefonie), ale tím, že mohou být různé podsítě na stejném switchi, jej můžeme lépe využít (například pro propojení tří zařízení nepotřebujeme speciální switch, který má minimálně 8 portů).

Jak se zařazuje komunikace do VLAN

Přiřazení do VLANy se nastavuje typicky na switchi (pouze v některých speciálních případech přichází označená komunikace přes trunk z jiného zařízení). Na switchích, které podporují VLANy, vždy existuje alespoň jedna VLAN. Jedná se o defaultní VLAN číslo 1, kterou není možno smazat či vypnout. Pokud nenastavíme jinak, tak jsou všechny porty (tedy veškerá komunikace) zařazeny do VLAN 1.

Pro zařazení komunikace do VLANy existují čtyři základní metody, ale v praxi je nejvíce využívána možnost první – zařazení dle portu.

1. podle portu

Port switche je ručně a napevno zařazen (nakonfigurován) do určité VLANy. Veškerá komunikace, která přichází přes tento port, spadá do zadané VLANy. To znamená, že pokud do portu připojíme další switch, tak všechny zařízení připojená k němu budou v jedné VLANě. Jedná se o nejrychlejší a nejpoužívanější řešení. Není třeba nic vyhodnocovat pro zařazení do VLAN. Definice zařazení do VLAN je lokální na každém switchi. Jednoduše se spravuje a je přehledné.

• podle MAC adresy

Rámce(port) se zařadí do VLANy podle zdrojové MAC adresy. Musíme tedy spravovat tabulku se seznamem MAC adres pro každé zařízení spolu s VLANou. Výhodou je, že se jedná o dynamické zařazení, takže pokud přepojíme zařízení do jiného portu, automaticky se zařadí do správné VLANy. Switch musí vyhledávat v tabulce MAC adres.

Jsou zde dvě možnosti, jak tato metoda může fungovat. Buď se podle MAC adresy prvního rámce nastaví zařazení portu do VLANy a toto nastavení zůstane, dokud se port nevypne. Nebo se každý rámec zařazuje samostatně do VLANy podle MAC adresy. Toto řešení je velmi náročné na výkon.

Cisco má řešení zvané VLAN Membership Policy Server (VMPS), pro které je třeba speciální server, který spravuje tabulky MAC adres. Navíc se při této metodě zařazuje port do VLANy, takže pokud je do něj připojeno více zařízení (max. 20), musí být všechny ve stejné VLAN.

• podle protokolu = podle informace z 3. vrstvy

Tato metoda určuje zařazení podle protokolu přenášeného paketu. Například oddělíme IP provoz od AppleTalk. Nebo zařazujeme podle IP adresy či rozsahu. V praxi není příliš rozšířené. Zařízení musí mít napevno definovanou IP adresu a switch se musí dívat do třetí vrstvy (normálně funguje na druhé), znamená to zpomalení.

• podle autentizace

Ověří se uživatel nebo zařízení pomocí protokolu IEEE 802.1x a podle informací se automaticky umístí do VLANy. Je to primárně bezpečnostní metoda, které řídí přístup do sítě (NAC), ale po rozšíření slouží i pro VLANy. Je to zajímavá metoda proto, že je velmi univerzální. Nezáleží ani na fyzickém zařízení ani na místě zapojení. RADIUS server, který ověřuje identitu uživatele, obsahuje také mapovaní uživatelů na VLANy a tuto informaci zašle po úspěšné autentizaci. U této metody je možné nastavení, že v případě, kdy není uživatel autentizován, tak je zařazen do speciální hostovské VLANy.

U Cisco switchů může být port single-host, kdy je možno připojit pouze jedno zařízení nebo multiple-host, kdy sice může být do portu připojeno více zařízení, ale ve chvíli, kdy se první autentizuje, tak je port autentizovaný (a zařazený do VLANy) a komunikovat mohou všechna zařízení.

Jak funguje komunikace v rámci VLAN

V praxi máme dvě situace, kdy se při komunikaci řeší příslušnost k VLANě. Je to při komunikaci v rámci jednoho switche nebo při komunikaci mezi několika switchi.

VLANy na jednom switchi

Při komunikaci ve VLANách v rámci jednoho switche je to jednoduché. Switch si v operační paměti udržuje informace, do které VLANy patří daná komunikace (port), a v rámci switche povoluje pouze správné směrování. V tomto případě máme jednotlivé porty zařazeny do jedné VLANy a to buď staticky, nebo dynamicky, jak bylo řečeno výše (možnosti 2,3,4). Cisco těmto portům říká access port (přístupový port).

VLANY mezi více switchi

Složitější situace nastává, když chceme, aby se informace o zařazení do VLANy neztratila při přechodu na jiný switch, tedy abychom v celé naší síti mohli využít stejné VLANy a nezáleželo, do kterého switche je zařízení připojeno. Navíc chceme, aby tato metoda fungovala i mezi switchi různých výrobců. To byl ze začátku problém a používali se různé metody. Například, když zařazujeme komunikaci podle MAC adresy, tak můžeme tabulku přiřazení mít na všech switchích. Cisco vytvořilo svoji metodu ISL, která zapouzdřuje celý rámec, ale funguje pouze na Cisco zařízeních. Také můžeme propojit dva access porty na dvou switchích, zařadit je do stejné VLANy a přeneseme potřebné informace. To je ale velmi nepraktické.

Naštěstí vznikl standard IEEE 802.1q, který využívá značkování rámců. Označuje se komunikace jen ve chvíli, kdy je to třeba. Takže dokud probíhá v rámci jednoho switche a připojených zařízení, tak se nic nepřidává. Teprve, když chceme poslat komunikaci dalšímu switchi (či podobnému zařízení), tak ji označíme. Odchozí komunikace se taguje na portu, kterému se říká trunk port. Tento port přenáší více (vybraných) VLAN a aby je mohl odlišit, tak je označuje. Spoji dvou trunk portů se říká trunk nebo trunk link.

IEEE 802.1q tagging

Protokolu IEEE 802.1q se říká také trunking protokol nebo dot1q tagging. Jedná se o standardizovanou metodu, kterou podporují všechny moderní switche s podporou VLAN. Funguje na principu tzv. tagování. Vezmeme originální rámec, jeho hlavičku rozšíříme o 4B informací, z nichž první je značka, že se jedná o protokol 802.1q (hodnota 0x8100). Dále následuje priorita dle protokolu 802.1p, příznak, zda je MAC adresa v kanonickém tvaru a poslední je číslo VLANy.

Protože se změnila data, je třeba přepočítat kontrolní součet na konci rámce.

Originální rámec

6B	6B	2B	64 až 1500B	4B
cílová adresa (DA)	zdrojová adresa (SA)	typ nebo délka	data	kontrolní součet (FCS)

Upravený rámec pomocí 802.1q

6B	6B	4B	2B	64 až 1500B	4B
cílová adresa (DA)	zdrojová adresa (SA)	802.1q tag	typ nebo délka	data	kontrolní součet (FCS)

Native VLAN je termín spojený s protokolem 802.1q. Nastavuje se na trunk portu, u Cisco prvků musíme nativní VLANu vždy nastavit a to shodně na obou stranách trunku. Provoz, který je zařazen do native VLAN se při přenosu netaguje (zůstává nezměněn) a příchozí provoz, který není tagovaný se zařazuje do native VLAN. Často se jako native VLAN nastavuje management VLAN. Důsledkem také je, že pokud se na trunk port dostane nějaký rámec, který nemá tag, tak je zařazen do nativní VLANy. Jinak řečeno, pokud do portu, který je nakonfigurován jako trunk, připojíme normální stanici (která nepodporuje trunk), tak bude komunikovat v této VLANě. V praxi můžeme využít tuto vlastnost třeba u zapojení, kdy je připojen IP telefon a za ním PC. Native VLAN nastavíme stejně jako VLAN pro PC, potom pokud se odpojí telefon a PC se připojí přímo, tak jeho komunikace stále funguje.

Cisco ISL encapsulation

ISL znamená Inter-Switch Link, tedy spoj mezi switchi. Cisco vytvořilo svůj protokol ještě v době, kdy neexistoval standard. ISL má výhodu, že funguje nejen pro protokol IP, ale i pro jiné. Stejně jako 802.1q podporuje prioritizaci.

Bohužel se jedná o proprietární metodu, kterou používá pouze Cisco a v dnešní době ji nalezneme pouze na switchích vyšší řady (třeba Catalyst 3750). Princip funkce je takový, že se celý rámec zabalí (encapsulate) do nové hlavičky a kontrolního součtu. Z toho plyne nevýhoda, že se více zvětšuje komunikace, každý rámec je o 30B větší.

26B                                                                            4B

ISL header encapsulation frame (originální rámec) kontrolní součet (FCS)

Další využití trunků

V dnešní době nemusíme používat trunk pouze pro propojení switchů, ale velice účinně jej využít i pro připojení serverů, které potřebujeme mít připojené do více sítí. Operační systém Linux podporuje protokol 802.1q již v jádře, pro Windows potřebujeme ovladač pro síťovou kartu s podporou VLAN (například Intel). Na síťové kartě pak nakonfigurujeme VLANy, které zde přichází, a pro každou se vytvoří virtuální síťové spojení, které můžeme používat jako běžnou síťovku. Ušetříme tím fyzické síťové karty na serveru, i když se snižuje propustnost. Použít to můžeme třeba na firewallu nebo hostovském serveru pro virtuály. Na druhou stranu je třeba se vždy zamyslet, zda je toto to správné řešení a neexistuje něco jednoduššího (například, abychom DHCP server nepřipojovali do každé routované podsítě, když můžeme využít DHCP relay agenta).

Routing mezi VLANy

Tradiční routing vypadá tak, že máme několik oddělených sítí a chceme mezi nimi umožnit nějakou komunikaci. Následující obrázek představuje tři samostatné switche propojené pomocí routeru. Může se jednat například o firemní servery a dvě oddělení, které k nim chceme připojit, ale nechceme, aby mohla komunikovat mezi sebou.

Pokud využíváme VLANy, můžeme se k nim chovat stejně jako k normálním podsítím. Na switchi můžeme jednotlivé VLANy, které chceme routovat, vyvést do samostatných access portů a ty připojit k routeru.

To je však zbytečné plýtvání a výhodnější je použít mezi routrem a switchem trunk. Také můžeme místo klasického routeru využít L3 switch, který je rychlejší.

U Cisco L3 switchů provedeme inter-VLAN routing jednoduše tak, že zapneme routování a na ty VLANy, které mají mezi sebou routovat, nastavíme IP adresu.

Počítačová síť

Počítačová síť vznikne ve chvíli, kdy dva (někdy se říká minimálně tři) nebo více počítačů propojíme dohromady pomocí telekomunikačního systému za účelem sdílení zdrojů. V praxi je dnes nejrozšířenější síť založena na technologii ethernet a používá protokol TCP/IP.

Počítačové sítě se dělí podle řady kritérií. Například podle velikosti/měřítka na PAN (Personal Area Network), LAN (Local Area Network), CAN (Campus Area Network), MAN (Metropolitan Area Network) či WAN (Wide Area Network). Podle technologie použité pro spojení zařízení na Ethernet, WLAN, apod. Nebo podle síťové topologie na topologie sběrnice, hvězda, apod.

Zjednodušeně můžeme počítačovou síť (jejímž velkým reprezentantem je například internet) zobrazit pomocí stromové struktury. Hezký schematický obrázek i s popisem, jsem nalezl v článku The Internet: How it works. Samozřejmě skutečná situace je složitější, protože řada linek je zdvojená a propojená na více místech.

Local Area Network – LAN

Lokální počítačová síť se vyznačuje tím, že počítače jsou propojeny na menším geografickém území (tedy v rámci firmy, budovy, místnosti, atp.). V rámci LAN se nejvíce používá přepínaný ethernet nebo WiFi (IEEE802.11). Infrastruktura je většinou tvořena metalickými kabely a případně optickou páteří.

LAN může být samostatná síť, které propojuje řadu zařízení, ale v dnešní době je většinou propojena do internetu, tedy WAN sítě.

Metropolitan area network- MAN

Síť, která spojuje jednotlivé LAN, ale nepřekračuje hranice města či metropolitní oblasti, se označuje jako metropolitní síť – MAN. V rámci MAN se často používá bezdrátové spojení nebo optická vlákna.

MAN může být vlastněna jednou organizací, ale většinou se jedná o propojení několika nezávislých objektů. Můžeme mít například několik poboček firmy v jednom městě propojených do MAN sítě.

Dříve se využívalo technologií jako ATM a FDDI, ale dnes jsou většinově nahrazovány ethernetem označovaným jako metro-ethernet.

Wide Area Network- WAN

WAN je komunikační síť, která pokrývá rozsáhlé území, jako je spojení zemí či kontinentů. Obecně můžeme říct, že jednotlivé LAN sítě se propojují přes WAN síť, aby se zajistila komunikace na velké vzdálenosti. Tímto způsobem pracuje internet jako nejrozsáhlejší a nejznámější WAN.

Nejvíce se dnes asi používá technologie Frame relay případně ATM.

Wireless Local Area Network- WLAN

Bezdrátová lokální síť je opět obdobou běžné LAN, ale jednotlivé prvky nejsou fyzicky propojeny drátem (metalikou či optikou), ale jsou propojeny bezdrátově. Využívají se rádiové vlny a určitá modulace pro přenos dat.

Výhoda bezdrátu je jasná pro mobilní zařízení. Nevýhodou je například to, že se špatně omezuje šíření signálu, a případný útočník nemusí získat přímo fyzický přístup k zásuvce, jako v případě drátových sítí.

V druhé části popisu základních termínů a funkcí počítačových sítí se stručně věnuji síťovým topologiím. Síťová topologie popisuje uspořádání síťových prvků, ať už fyzické nebo logické. Základní topologie používané v lokálních sítích (LAN) jsou sběrnice, hvězda a kruh.

Architektura sítí

Sběrnice

Sběrnice byla používána v prvních dobách ethernetu a realizovala se pomocí koaxiálního kabelu a BNC konektorů, na konci musel být vždy terminátor. Všechna zařízení jsou zapojena na společnou sběrnici. V sítích se od této technologie ustoupilo a dnes se používá převážně zapojení do hvězdy.

Hvězda

Hvězda je dnes nejpoužívanější topologie pro ethernet. Je zde centrální prvek, který realizuje propojení zařízení, a do něj jsou připojena jednotlivá zařízení. Jako centrální prvek slouží hub nebo switch, ale z jiného pohledu se může jednat i o router.

Obdobná je Rozšířená topologie hvězda, která vznikne, když několik samostatných hvězd propojíme dohromady přes centrální prvky. V praxi se dnes často používá tří vrstvá topologie (případně dvou vrstvá, kdy se jedna vrstva vynechá) využívající propojení do hvězdy. V nejvyšší vrstvě je jeden nebo dva (pro redundanci) switche, tzv. jádro (core). Druhá vrstva obsahuje několik switchů připojených do jádra a zvaných distribuční (distributed). Poslední vrstva, připojená do distribuční, je přístupová (access) a do ní se připojují stanice a servery. Některé důležité servery se mohou připojit přímo do distribuční vrstvy. Zapojení, kdy zdvojíme centrální prvek, se také označuje jako Dvojitá hvězda.

Topologie hvězda se také označuje jako zapojení Hub and Spoke. Zde není použit termín hub jako aktivní síťový prvek, ale je to odvozeno od označení pro kolo u vozu, kde máme střed (Hub) a paprsky/loukotě (Spoke). Tento termín se používá také u routování nebo VPN, kdy Hub je centrála/centrální prvek a Spoke jsou pobočky.

Kruh

V kruhové topologii je každý uzel připojen ke dvěma sousedním a dohromady tvoří kruh. Standardně existuje pouze jedna cesta mezi dvěma uzly. Rozšířením je, že komunikace probíhá ve směru i proti směru hodinových ručiček. Používá se pro síťové technologie FDDI a Token Ring.

Mřížka (mesh)

V topologii mesh jsou uzly propojeny s více sousedy. Buď se může jednat o Full Mesh (plnou mřížku), kdy je každý uzel spojený se všemi ostatními, takže může komunikovat s každým přímo a v případě výpadku nějaké linky může jednoduše nalézt cestu. Ale pří více uzlech se jedná o složité a drahé zapojení. Nebo o Partial Mesh (částečnou mřížku), kdy některé uzly jsou přímo spojeny (point-to-point) s více jinými uzly.

Logická Full Mesh se používá například pro routování BGP protokolem. Dále se Mesh topologie používá v některých WiFi sítích.

Čtvrtá část popisu základních termínů počítačových sítí se věnuje nejpoužívanější síťové technologii (hlavně v LAN) Ethernetu. Zároveň je zde popis souvisejících termínů kolizní doména a duplex (half a full). Pokud byste hledali třetí část, tak to je popis ISO/OSI modelu, který jsem zveřejnil již dříve.

Ethernet

Ethernet je rozsáhlá rodina síťových technologií. Ethernet dříve využíval pro přenos dat sdílené komunikační médium, kterým může být metalický či optický kabel. Ethernet je specifikován normou IEEE 802.3.

Ethernet je majoritní technologií při budování lokálních sítí (LAN), ale má velké zastoupení i u větších sítí. Síťová technologie spadá v ISO OSI modelu do druhé (linkové) vrstvy, ale také do první (fyzické) vrstvy. Definuje řadu parametrů, co se týče kabeláže (přenosového média) a signálů, to je 1. vrstva. Ale také popisuje způsob přístupu k síti a obecný adresovací formát, to je 2. vrstva.

Příkladem dalších síťových technologií, které byly většinově nahrazeny Ethernetem, je FDDI, Token Ring či ARCNET. Druhou technologií, která má význačnější podíl v LAN a jejíž  použití roste, je WiFi – bezdrátová síť, standardizovaná v IEEE 802.11.

Původně se jako přenosové médium využíval tlustý koaxiální kabel (10Base-5 či slabý koaxiální kabel 10Base-2) v zapojení sdílené sběrnice. Přenosová rychlost byla 10Mb/s. Postupně byl nahrazen kroucenou dvojlinkou (twisted pair) zapojenou do hvězdy (využíval se hub). Při rychlosti 10Mb/s se označoval pouze ethernet (10Base-T). Poslední médium pro Ethernet je optické vlákno (10Base-F). Postupem času rostly rychlosti na 100Mb/s označované jako Fast Ethernet (třeba 100Base-TX), 1Gb/s označované jako Gigabit Ethernet (třeba 1000Base-T) a dnes máme standard i pro Desetigigabitový Ethernet (10GBase-T). Stejně tak byly huby nahrazeny switchi, tedy spoji bod-bod, a technologie se označuje přepínaný Ethernet (switched Ethernet), kde se již nevyužívá sdílené médium.

Pro určité typy Ethernetu je vždy definován patřičný kabel. Pro optiku můžeme mít jednovidová či mnohovidová vlákna daných parametrů. Pro metaliku se používá stíněná (STP

– Shielded Twisted Pair) či nestíněná (UTP – Unshielded Twisted Pair) kroucená dvojlinka. Navíc je řazena do několika kategorií podle vlastností a možnosti použití pro určitý ethernet, máme například UTP kabel kategorie 3, 4, 5, 5e, 6, 6a či 7.

Přístup k médiu – CSMA/CD

Když je více zařízení, připojeno ke sdílené sběrnici, tak v jednu chvíli může komunikovat pouze jedno a ostatní mohou pouze naslouchat. Problém nastane, když více zařízení začne komunikovat najednou. V té chvíli dojde ke kolizi. Pro vysílání (přístup k médiu) se používá Carrier Sense Multiple Access With Collision Detection (CSMA/CD) jako síťový kontrolní protokol.

Algoritmus CSMA/CD

1. zařízení, které chce vysílat, poslouchá, zda je linka volná
2. pokud je volná, začne vysílat rámec
3. odesílatel poslouchá, zda nedošlo ke kolizi
4. pokud zjistí, že došlo ke kolizi, pošle jam signál
5. po ukončení jamu si stanice, které vysílaly nastaví náhodný čas po který čekají
6. po uplynutí času se začne bodem 1

Kolizní doména

Kolizní doména (collision domain) je část sítě, kde může dojít ke kolizi vysílání několika stanic. Tedy skupina zařízení, která jsou připojena na sdílené médium. To je v praxi příklad starých síťových rozvodů pomocí koaxiálního kabelu. Nebo používání hubů (rozbočovač), které přijatý paket přeposílají na všechna rozhraní mimo toho odkud přišel.

Dříve se pro rozdělení sítě na více kolizních domén (a jejich zmenšení) provedlo to, že se síť rozdělila na více segmentů a ty se propojily pomocí routeru. Pak se ale objevily switche (přepínač), které z principu své funkce, vytvářejí samostatné kolizní domény na každém rozhranní. Switch totiž posílá přijatý paket pouze na jedno rozhranní (v naučeném stavu) a provádí přepínání paketů.

Pokud je do switche připojeno koncové zařízení nebo jiný switch a linka je plně duplexní, tak na této lince nemůže dojít ke kolizi. Prakticky to totiž znamená, že máme dvě komunikující zařízení na lince, a každé zařízení posílá data po vlastním páru vodičů.

Duplex

Half duplex – poloviční duplex znamená, že aktivní může být komunikace pouze v jednom směru.

Full duplex – plný duplex je ve chvíli, kdy můžeme zároveň vysílat i přijímat. V ethernetu se využívají dva páry vodičů (většinou, ale někdy čtyři), kdy polovina je použita pouze pro vysílání a polovina pro příjem. Odpadají zde problémy a zpoždění způsobená algoritmem CSMA/CD a teoretická rychlost je dvojnásobná (u fast ethernetu je 100Mb/s použito pro vysílání a 100Mb/s pro příjem).

Pozn.: Huby nepodporují plně duplexní komunikaci, protože, zde může dojít ke kolizi. Pokud dvě stanice vysílají najednou, hub to přijme a odešle na ostatní porty, takže vlastně odesílá kolizi.

V pátém díle seriálu o počítačových sítích stručně sepisuji základní informace o nejpoužívanějším protokolu TCP/IP. Je zde zmíněn TCP/IP model a princip encapsulace při odesílání dat. Pokouším se popsat rozdíly mezi běžnými termíny paket (packet) a rámec (frame). A nakonec je zobrazen formát rámce.

Internet protocol suite, bežně označovaná jako TCP/IP, je sada komunikačních protokolů, kde hlavními jsou protokoly Transmission Control Protocol (TCP) a Internet Protocol (IP).

Model TCP/IP

Klasický čtyřvrstvý TCP/IP model, někdy zvaný také Internet Reference Model, vychází z OSI modelu, ale více se blíží praxi.

vrstva	jméno CZ	jméno EN	příklady aplikací dané vrtsvy
layer 4	Aplikační	Application	Telnet, FTP, POP3, HTTP, DNS, SNMP
layer 3	Transportní	Transport	TCP, UDP
layer 2	Síťová	Network (Internetwork/Internet)	IP, ICMP, IGMP, ARP, STP
layer 1	Síťové rozhranní (přístupová)	Network Interface (Access)	ovladač síťové karty (Ethernet, Frame Relay)

Někdy se nejnižší vrstva rozděluje na dvě části. Na vrstvu fyzickou (Physical Layer) a vrstvu linkovou (Data link).

Encapsulace při odesílání dat

Při odesílání dat se provádí encapsulace (zapouzdřování – zabalování) od nejvyšší vrstvy dolů. Probíhá to tak, že aplikace vezme data (aplikační vrstva), která chce zaslat jiné stanici a doplní je o aplikační hlavičku. Tato data zašle nižší vrstvě (transportní), která odesílaná data rozdělí na segmenty, zabalí a přidá TCP (nebo UDP) hlavičku a vytvoří TCP segment. Další vrstva (síťová) doplní IP hlavičku a takto vznikne IP paket (někdy označovaný jako IP datagram). V poslední vrstvě (přístupové) se k paketu přidá ethernetová hlavička na začátek a trailer na konec, ten obsahuje FCS (Frame Check Sequence) – kontrolní součet (často se pro jeho výpočet používá CRC – cyclic redundancy check). Takto v posledním kroku vznikne ethernetový rámec (ethernet frame), který se vysílá na komunikační médium.

Pozn.: Výše uvedený popis se týkal protokolu IP, pokud se jedná o nějaký pomocný protokol (třeba ARP, ICMP), tak je situace obdobná. Když cílové zařízení přijme data, provádí se obrácený postup deencapsulace (rozbalování) od nejnižší vrstvy nahoru a cílová aplikace dostane odesílaná data.

Paket vs. rámec

V souvislosti s daty a jejich přenosem po síti se používají dva důležité termíny, jsou to paket a rámec. Tyto termíny jsou hojně používány v literatuře, na internetu, i v praxi. Bohužel v literatuře existuje několik odlišných vysvětlení a také používání těchto výrazů je různé. Navíc záleží na technologii, u které se používají (podobné termíny se používají třeba i u sériové komunikace). Uvádím zde vysvětlení těchto termínů, které se mi zdá nejsprávnější.

Paket (packet) v překladu znamená balíček a jedná se o formátovaný blok dat, který se přenáší v počítačové síti. O paketech se mluví v souvislosti se síťovou vrstvou. Paket obsahuje IP adresu, další atributy a data. Zabalí se do rámce a následně putuje sítí.

Rámec (frame) je to, co skutečně putuje v síti. Rámce vznikají až na fyzického vrstvě síťového rozhranní. Název naznačuje, že se spíše než o objekt jedná o časový úsek. Rámců existuje více typů, nejpoužívanější je Ethernet II, který umí přepravovat TCP/IP i IPX/SPX.

Maximální velikost dat přenášených v rámci (tedy velikost paketu) je dána pomocí MTU (Maximum transmission unit) a váže se k linkové vrstvě. Standardní velikost MTU v ethernetu je 46 – 1500 bytů. Na začátku komunikace se zařízení pomocí ICMP domluví na velikosti MTU. Pokud vyžaduje druhá strana menší MTU, může se provést fragmentace – rozdělení rámce do více menších. Fragmentaci je možno zakázat příznakem v hlavičce paketu. Pokud je fragmentace zakázána a druhá strana akceptuje pouze menší MTU, tak odpoví chybou ICMP.

V obecné terminologii se používá označení Protocol Data Unit (PDU), což je datová jednotka na libovolné vrstvě (IP paket, rámec .). Když se PDU předá na nižší vrstvu, tak se označuje jako Service Data Unit (SDU), tam se doplní o Protocol Control Information (PCI), tedy hlavičku, a vznikne nové PDU.

Formát paketu – rámce

Základní tvar rámce je hlavička (header), data (payload) a zakončení (trailer). Data jsou složena ze zapouzdřených dat vyšších vrstev. Následující obrázek zobrazuje čtyři vrstvy TCP/IP modelu spolu s hrubým formátem dat, jak jsou zapouzdřována odshora dolů. Uvedený příklad je pro protokol TCP, ale obecný model je shodný.

Ethernetová hlavička

Ethernetová hlavička obsahuje zdrojovou a cílovou MAC adresu (fyzickou adresu od hopu k hopu) a typ/délku. Typ v hlavičce určuje jaký protokol je použit na vyšší vrstvě (IP, ARP, atp.). Pro rozlišení jednotlivých rámců se na začátku vysílá speciální úvod (preamble) složený ze sekvence střídajících se jedniček a nul a SFD – oddělovač začátku rámce.

úvod	SFD	cílová MAC adresa	zdrojová MAC adresa	typ / délka	data (payload)	CRC
7B	1B	6B	6B	2B	46-1500B	4B

IP hlavička obsahuje zdrojovou a cílovou IP adresu (logickou adresu komunikujících stran), dále určení protokolu pro další vrstvu (TCP, UDP, ICMP, apod.), kontrolní součet hlavičky a další hodnoty. Standardní velikost IP hlavičky je 20B, ale může ještě obsahovat volitelné vlastnosti. Tvar IP hlavičky záleží na použitém protokolu, následující příklad je pro IPv4.

TCP hlavička obsahuje zdrojový a cílový port, číslo sekvence a odpovědi (pro zajištění spolehlivosti), příznaky (kam patří SYN a ACK pro navázání spojení), velikost potvrzovacího okna a další. Standardní velikost je opět 20B.

Šestá část základů počítačových sítí se věnuje metodám vysílání (nevím, zda je to nejvhodnější označení). Je zde stručně popsáno broadcastové, unicastové a multicastové vysílání v síti.

Když chceme poslat nějaká data v počítačové síti, je důležité správné adresování zprávy a s tím je svázána metoda vysílání. Záleží na tom, zda chceme data zaslat pouze jedné stanici, několika stanicím najednou nebo všem stanicím ve stejném subnetu.

Broadcast

Broadcast je jeden ze způsobů vysílání v TCP/IP síti (používá se nespojový (connectionless) protokol, jako třeba UDP). Je to vysílání jednoho všem, tedy vysílaný paket je (teoreticky) zachycen všemi zařízeními v síti, lepé řečeno v dané broadcast doméně (subnetu). Toto vysílání se používá převážně v LAN sítích (ne WAN). Broadcasty jsou dnes používány pro řadu účelů (třeba DHCP, ARP) a využívá je velké množství aplikací. Tvoří velkou část provozu v LAN síti a zatěžují aktivní síťové prvky i stanice, proto je snaha o jejich minimalizaci.

Broadcast adresa je adresa, na kterou se posílá komunikace v případě brodcastového  vysílání. Jedná se o adresu, která má binárně samé jedničky. Na 3. vrstvě OSI modelu je to IP adresa 255.255.255.255 (občas se tak nepřesně označuje i broadcastová adresa subnetu, tedy poslední adresa v subnetu, viz dále). Na 2. vrstvě (fyzické) je broadcastová MAC adresa identicky adresa „se samými jedničkami“ FF:FF:FF:FF:FF:FF.

Broadcast domain je logická část sítě, ve které mohou připojená zařízení přímo komunikovat. Mělo by se tedy jednat o jeden subnet a hranicí je router, který by broadcasty neměl přeposílat.

Pro rozdělení sítě na menší broadcast domény slouží routery nebo technologie VLAN.

Broadcast storm je kritický stav, když počet broadcastů v síti je tak velký, že není možno vytvářet nová spojení a stará spojení jsou rušena. Často vzniká z důvodu smyček v síti.

Směrovaný broadcast na subnet – Subnet Directed Broadcast

Subnet Directed Broadcast je speciálním případem broadcastu, který se použije ve chvíli, kdy chceme zaslat broadcast do jiného subnetu, než v kterém se nacházíme. Funguje to tak, že rámec (frame) putuje sítí jako unicast přes routery až na router, který má cílový subnet  (určený broadcastovou adresou subnetu) jako přímo připojený. Tento router upraví rámec na běžný broadcast a odešle jej na odpovídající rozhranní. Protože však tato technika byla

používána k útokům, tak bývá na routerech nebo i firewallech většinou zakázána. To se týká routeru, který by měl rámec převést na broadcast, přes ostatní by měl rámec projít normálně.

Subnet broadcast address (broadcast adresa subnetu, někdy také nazývaná directed broadcast address) je IP adresa, která se skládá z network ID a samých jedniček v host ID. Jinak řečeno, jedná se o poslední adresu subnetu (ta se nemůže přiřadit stanici). Pro jednoduchý příklad máme počítač s adresou 192.168.10.39 a maskou 255.255.255.0, podle masky vidíme, že první tři oktety tvoří network ID a poslední oktet jsou host ID, takže broadcast adresa subnetu je 192.168.10.255.

Smurf Attack je nejběžnějším případem útoku pomocí Subnet Directed Broadcast, který má zařídit Denial of Services (DoS). Útočník odesílá množství paketů ICMP echo reply s podvrženou zdrojovou adresou jako directed broadcast, všechny stanice v subnetu odpovídají echo reply a stanice, jejíž adresa je ta podvržená, je zahlcena.

Unicast

Unicast je vysílání, kdy je paket zasílán jednomu cíli. Jedná se o běžnou komunikaci, kdy spolu komunikují dvě stanice.

Multicast

Při této komunikaci se jedna informace doručuje skupině cílů. Multicast využívá efektivní metodu doručování, aby pakety v síti putovaly pouze jednou. Principem je, že se vytvoří mutlicastová adresa z rozsahu 224.0.0.0/4 (pro LAN je určeno 224.0.0.0/24), a klienti se k této adrese zaregistrují. Pro vytváření skupina a registrování se používá protokol Internet Group Management Protocol (IGMP).

IP adresa

Sedmá část seriálu o počítačových sítích je již více zajímavá a přináší praktické informace. Na začátku je popis základních termínů pro sítě a podsítě, IP adresy a masky. Dále se probírají různé síťové třídy a způsoby zápisu subnetů. Druhá část se věnuje praktickým výpočtům síťových rozsahů, masek sítí, počtu hostů a subnetů.

Pro vyzkoušení výpočtů a informací popsaných v tomto článku můžete zkusit moji webovou aplikaci Online IP Subnet Calculator (v AJ), která pro zadanou IP adresu a masku vypočítá a nalezne řadu různých informací. Také se na této adrese nachází obdoba tohoto článku v anglickém jazyce, kterou jsem ale napsal po delší době, takže některé věci popisuje trochu jinak (doporučuji k nahlédnutí).

Pokud potřebujete zjistit vaši veřejnou IP adresu, přes kterou jste připojeni do internetu, tak můžete využít jednoduchou webovou stránku What is my public IP address? (v AJ).

Článek byl doplněn 11.8. 2008.

Co je network a subnet (síť a podsíť)

Počítačová síť – computer network

Počítačová síť vznikne ve chvíli, kdy dva (někdy se říká minimálně tři) nebo více počítačů propojíme dohromady pomocí telekomunikačního systému za účelem sdílení zdrojů. V praxi je dnes nejrozšířenější síť založena na technologii ethernetu a používá protokol TCP/IP. Reprezentantem jedné velké sítě je internet. Sítě se dále dělí podle řady parametrů na LAN, WAN, WLAN, MAN apod., ale pro tento popis to není důležité.

Podsíť – subnet

V praxi není možné komunikovat v celé síti (například internetu) přímo (z řady důvodů fyzických i logických). Proto se síť dělí na podsítě – subnets – subnetworks. Subnety slouží k logickému dělení sítě do menších hierarchických částí. Příkladem je, že velký ISP má určitý síťový rozsah (subnet), ten dělí na části, které přiděluje firmám a ve firmě se ještě dělí na menší části. Ke spojování jednotlivých subnetů slouží routery. Dělení sítě na subnety je důležité nejen proto, že naši síť „fyzicky“ oddělíme od jiných sítí, ale také z výkonových důvodů. Řada informací se v rámci lokální sítě (subnetu) šíří pomocí broadcastů, tedy vysílání všem zařízením, což je značná režie pro síť i zařízení. Proto se využívají například VLANy.

Pozn.: V praxi se často používá pojem síť – net – network, i když mluvíme o subnetu. Vychází to z termínu LAN – lokální síť, který označuje síť pokrývající malou geografickou oblast, jako třeba budovu, kancelář, apod. LAN je většinou podmnožinou větší sítě a zkráceně se používá pouze pojem síť.

IP adresa – IP address

IP adresa je logická adresa zařízení v síti IP. Skládá se ze 4 částí zvaných octety, každá část je veliká 8 bitů, a zapisuje se oddělená tečkou. Adresa se většinou zapisuje v dekadické formě, ale pro výpočet je jasnější binární zápis. Teoreticky je tedy adresní rozsah od 0.0.0.0 do 255.255.255.255. Příkladem IP adresy je třeba 68.12.5.10.

Pro práci s adresami je třeba znát základy binární matematiky. Binární soustava má základ 2 a zapisuje se pomocí 0 a 1. Hodnota jedničky v dekadické soustavě je podle pozice (váhy), kde se nachází. Pro převod binárního čísla na dekadické, převedeme jedničky na desítkové hodnoty a tyto sečteme. Osmi bitová binární číslice může nabývat dekadických hodnot od 0 do 255, tedy celkem 256 hodnot.

pozice	7	6	5	4	3	2	1	0
výpočet	27	26	25	24	23	22	21	20
hodnota	128	64	32	16	8	4	2	1	součet je 255

Broadcast IP adresa je adresa, na kterou se posílá komunikace v případě brodcastového vysílání. Jedná se o adresu, která má binárně samé jedničky, je to tedy IP adresa 255.255.255.255. Tato adresa určuje všechny klienty v síti.

Maska podsítě – Subnet mask

Subnet mask nám pomáhá určit rozdělení sítě na podsítě. Určuje, která část IP adresy je síťová, a která pro hosty. Zápis je stejný jako u IP adresy, ale platné hodnoty jsou pouze ty, které mají v binárním tvaru zleva jedničky a zprava nuly (pokud se zleva na některé pozici objeví nula, dále již musí následovat pouze nuly). Jedničky v masce jsou tzv. network ID a je to část, která je pro daný subnet stále stejná. Nuly jsou tzv. host ID a tedy část, která je proměnná a určuje adresu hosta v daném subnetu. Příkladem jednoduché masky je 255.255.255.0, ta určuje, že prvních 24 bitů adresy je network ID a posledních 8 bitů je hostovská část.

Možné hodnoty jednotlivých octetů pro masku:

binárně	dekadicky
00000000	0
10000000	128
11000000	192
11100000	224
11110000	240
11111000	248
11111100	252
11111110	254
11111111	255

Pozn.: Poslední octet nemůže nabývat hodnoty 254, zde totiž neexistuje ani jeden host (viz. dále). Pokud má hodnotu 255, znamená to, že se jedná o unicast, tedy jedinou adresu.

Zkrácený zápis masky – Classless Inter-Domain Routing (CIDR) notace

Subnet mask se může zapisovat také ve zkrácené formě, které se říká CIDR notace. Ta se zapisuje jako IP adresa následovaná lomítkem (/) a číslem, které reprezentuje počet jedničkových bitů v masce podsítě v binární formě. Protože celkový počet bitů v masce je 32, tak počet nul je 32 – počet jedniček. Příklad CIDR notace je 10.0.5.2/20 a tedy maska je 255.255.240.0.

dekadicky	255 .	255 .	240 .	0
binárně	11111111	11111111	11110000	00000000
počet jedniček	8	8	4	0	= 20

Wildcard-Mask

Wildcard mask nebo také inversní maska je speciální zápis síťové masky, který používá například Cisco u Access listů. Jedná se o opak ke klasické masce, počítají se zde nuly místo jedniček. Takže například ke klasické masce 255.255.255.240 je inverzní maska 0.0.0.15. Inverzní masku dostaneme tak, že normální masku zobrazíme binárně, provedeme inverzi a převedeme na dekadickou hodnotu. Nebo jednodušeji stačí, u každého octetu spočítat 255 – hodnota. Tedy v našem příkladě 255-255=0, 255-240=15.

Supernet

Občas se také používá termín supernet, který označuje skupinu několika sdružených po sobě jdoucích subnetů. Jedná se vlastně o technologii CIDR a používá se například pro agregaci routovacích záznamů.

Příklad: Máme dva subnety 192.168.0.0/24 a 192.168.1.0/24, z nich můžeme vytvořit jeden supernet 192.168.0.0/23.

Síťové třídy – classes

Classful network – adresování s třídami

Když vznikl protokol IPv4, byla představa, že adresní prostor je ohromný a nikdy se nemůže vyčerpat. Tento adresní prostor byl rozdělen do základních pěti tříd, kdy se zařazení do patřičné třídy určovalo podle prvních bitů adresy. Při komunikace se nepoužívaly masky podsítě, protože ty byly napevno dány adresou.

třída	určující bity	rozsah adres	maska	CIDR maska
class A	0	0 – 127.x.x.x	255.0.0.0	/8
class B	10	128 – 191.x.x.x	255.255.0.0	/16
class C	110	192 – 223.x.x.x	255.255.255.0	/24
class D	1110	224 – 239.x.x.x	255.255.255.255	/32
class E	1111	240 – 255.x.x.x	rezervováno

Pozn.: Třída D je určena pro multicastové adresy.

Classless network – adresy bez tříd

Od classful network se již před dlouhou dobou ustoupilo a začalo se používat adresování CIDR, které je více flexibilní při dělení sítě na podsítě. V komunikaci používáme vždy IP adresu spolu s maskou. I když se opustili classful network, tak se v praxi běžně setkáme s označováním subnetů jako třída C apod., myslí se tím však typ masky.

U Cisco switchů a routerů se používá příkaz pro použití classless network, který je defaultně zapnutý

Switch#ip classless

CIDR používá Variable Length Subnet Masking (VLSM) pro rozdělování IP adres na subnety. Délká masky nemusí být stejná, aby se dosáhlo lepšího využití IP rozsahu. Můžeme například použít dohormady subnety 10.0.0.0/26 a 10.0.0.64/28.

Neveřejné síťové rozsahy (private subnets)

Některé síťové rozsahy mají speciální vlastnosti, tou hlavní je, že se neroutují, tzn. neprochází do dalšího subnetu. To se využívá u privátních subnetů, které neprochází do internetu. V praxi je využívá většina firem v lokální síti a do internetu přistupují přes veřejnou adresu za pomoci NATu.

síť	adresa sítě	broadcast adresa	adresy hostů
10.0.0.0/8	10.0.0.0	10.255.255.255	10.0.0.1 – 10.255.255.254
192.168.0.0/16	192.168.0.0	192.168.255.255	192.168.0.1 – 192.168.255.254
172.16.0.0/12	172.16.0.0	172.31.255.255	172.16.0.1 – 172.31.255.254

Dalšími speciálními subnety je Localhost Loopback Address, což jsou adresy, které by měli být lokální pro dané zařízení (nepřenáší se nikam do sítě). A Zeroconf Address, kterou používá Microsoft a slouží k automatické konfiguraci sítě pro propojení pár počítačů.

síť	adresa sítě	broadcast adresa	jméno
127.0.0.0/8	127.0.0.0	127.255.255.255	Localhost Loopback Addresses
169.254.0.0 /16	169.254.0.0	169.254.255.255	Zeroconf Address

Podsítě – Subnets a výpočty adres

Každý subnet obsahuje základní adresu podsítě (base address nebo network address), což je první adresa rozsahu, dále adresy hostů a jako poslední broadcastovou adresu subnetu (subnet broadcast address), to je poslední adresa rozsahu. Podsíť je identifikována adresou sítě (teoreticky i jakoukoliv adresou hosta) a síťovou maskou, která se často zapisuje v CIDR notaci.

Například podsíť 192.168.0.0/28 vypadá následovně

192.168.0.0	adresa sítě
192.168.0.1	adresa hosta
…	adresy hostů
192.168.0.14	adresa hosta
192.168.0.15	broadcast adresa

Adresa je v síti lokální, pokud má stejné network ID. Tedy, když chceme určit, jestli dvě adresy patří do stejného subnetu, převedeme všechny hodnoty do binárního tvaru a ta část, kde jsou v masce jedničky, musí být u obou adres shodná.

Subnet broadcast address (broadcast adresa subnetu), poslední adresa subnetu (která se nemůže přiřadit stanici), je IP adresa, která se skládá z network ID a samých jedniček v host ID. Slouží k zaslání cíleného broadcastu na daný subnet.

Výpočet počtu subnetů a hostů

Z masky sítě určíme, kolik můžeme vytvořit subnetů a kolik tyto subnety budou mít hostů. Maska nám vlastně určuje, že ta část, kde má jedničky musí být pro podsíť stejná a ta část, kde jsou nuly, se může měnit (nabývat 0 a 1). Takže hosti mohou mít jako adresu všechna čísla, která můžeme vytvořit z těchto bitů. Těchto adres můžeme vytvořit 1+20+21+22+.+2n- 1=2n, kde n je počet bitů. Jednička na začátku je proto, že počítáme i nulovou hodnotu.

Při výpočtu postupujeme následovně. Vezmeme octet masky, v kterém je přechod mezi jedničkami a nulami. Podle počtu jedniček v tomto octetu a celkového počtu nul spočítáme počet podsítí (z jedniček) a počet hostů (z nul).

2počet jedniček = počet subnetů (nově)

Takto je to, alespoň dnes v praxi a podle RFC 1812. V teoretických případech však musíme vycházet ze staršího RFC 950, které nepovolovalo adresy podsítí se samými jedničkami nebo nulami. Proto musíme odečíst 2 podsítě:

2počet jedniček       – 2 = počet subnetů (postaru)

U Cisco zařízení se použití nového RFC zapíná pomocí (defaultně zapnuto)

Switch#ip subnet zero

U počtu hostů musíme vždy odečíst první a poslední adresu (base a broadcast address), které se nemohou využít jako adresa pro hosta:

2počet nul – 2 = počet hostů

Příklad:

Máme adresu 10.0.5.2/20

maska binárně	11111111	11111111	11110000	00000000
maska dekadicky	255	255	240	0

Použijeme třetí octet, kde jsou 4 jedničky a 4 nuly (plus 8 nul ve čtvrtém octetu).

Hostův každém subnetu může být 212 – 2 = 4094.

V rámci třetího octetu můžeme vytvořit 24 = 16 podsítí.

Výpočet základní adresy sítě

Pokud máme adresu hosta a masku podsítě, můžeme jednoduše spočítat základní adresu podsítě. Pokud vezmeme binárně adresu hosta a masku sítě a provedeme bitový součin (AND), dostaneme adresu sítě. Příklad pro 10.217.123.7/20

IP adresa

dekadicky	10	217	123	7
binárně	00001010	11011001	01111011	00000111

Maska podsítě

dekadicky	255	255	240	0
binárně	11111111	11111111	11110000	00000000

Provedeme bitový AND a dostaneme adresu sítě

binárně	00001010	11011001	01110000	00000000
dekadicky	10	217	112	0

Výpočet broadcast adresy subnetu

Broadcast adresu subnetu, v kterém se nachází klient, spočítáme jednoduše. V IP adrese hosta změníme bity v hostovské části na 1. Matematicky řečeno vezmeme IP adresu a provedeme bitový součet (OR) s negovanou (NOT) maskou podsítě. Pro předchozí příklad (síť 10.217.123.7/20), kde prvních 20 bitů je network ID a zbylých 12 je hostovská část, to tedy je:

IP adresa

dekadicky	10	217	123	7
binárně	00001010	11011001	01111011	00000111

Invertovaná (bitová negace) maska

binárně	00000000	00000000	00001111	11111111
dekadicky	0	0	15	255

Provedeme bitové OR a máme broadcast adresu subnetu

binárně	00001010	11011001	01111111	11111111
dekadicky	10	217	127	255

Navázání spojení v TCP

Aby se mohla vysílat data pomocí TCP protokolu, je nejprve třeba vytvořit spojení. Pro navázání spojení se používá třícestný handshake (potřesení ruky). V průběhu navazování spojení se obě strany dohodnou na čísle sekvence (sequence number). Číslo sekvence a odpovědi (sequence, acknowledgement number) jsou 32bitové hodnoty uváděné v TCP hlavičce. Pro navázání spojení se posílá TCP segment, který má nastaveny příznaky (flags) v TCP hlavičce. Jedná se o 8 bitových hodnot CWR (Congestion Window Reduced), ECE (ECN- Echo), URG (Urgent), ACK (Acknowledgement), PSH (Push), RST (Reset), SYN (Synchronize), FIN.

Navázání spojení probíhá ve třech krocích:

1. klient pošle SYN packet s uvedeným číslem sekvence (x), číslo odpovědi 0
2. druhá strana si uloží číslo sekvence (x) a odpoví SYN-ACK, jako číslo sekvence nastaví svoje číslo (y) a do čísla odpovědi vloží (x+1) – další očekávanou hodnotu
3. klient odpoví ACK, číslo sekvence (x+1), číslo odpovědi (y+1)

Ukončení spojení v TCP

Principy při ukončení spojení jsou podobné jako při jeho navazování. Nejčastěji se používá čtyřcestný handshake, kdy každá strana samostatně uzavře spojení. Zde se používá sekvence FIN s odpovědí ACK.

Adresy v rámci při průchodu sítí

Stanice na sdíleném médiu

Máme dvě stanice připojené na sdíleném médiu, což může být například stará verze ethernetu v topologii sběrnice (bus) nebo běžně používaná topologie hvězda (star), když se jako centrální prvek použije hub. Obě stanice mají nastavenu IP adresu a určenu síť (zadánu masku subnetu) a síťové karty mají MAC adresu. Tento způsob se označuje jako sdílený ethernet.

V tomto případě jsou obě stanice ve stejné síti (stejném subnetu), takže dojde k přímému doručení.

Pokud chce modrá stanice poslat data červené stanici, tak nejprve vytvoří ethernetový rámec:

1. známe IP adresu cílové stanice
2. do hlavičky IP paketu se vloží naše IP adresa (zdrojová) a cílová IP adresa
3. nyní potřebujeme MAC adresu cílové stanice, buď ji máme v ARP tabulce, nebo provedeme ARP dotaz
4. do ethernetového rámce vložíme naši MAC adresu (zdrojovou) a cílovou MAC adresu

Následně se odešlou tato data do sítě (využije se CSMA/CD). Na sdíleném médiu projde rámec celou síť a každá stanice naslouchá, zda neobsahuje její MAC adresu. Pokud ano, tak rámec přijme.

Propojení pomocí switche

V případě, kdy je ethernet propojen do topologie hvězda za pomoci switche, tak se ve většině případů dostane komunikace pouze ke stanicím, kterým je určena (pomocí CAM tabulky, tedy jaká MAC adresa komunikuje z kterého portu, pokud nemá záznam, tak odešle na všechny porty mimo příchozího). Princip komunikace je však stejný jako u sdíleného média a switch je pro komunikující stanice transparentní. Tento, dnes běžný, způsob se označuje jako   přepínaný  ethernet.

V tomto případě je každá stanice v jiném subnetu, takže musí dojít k nepřímému doručení. Router již není transparentní síťový prvek, ale ostatní síťová zařízení jej musí adresovat.

Následující popis je obecný způsob komunikace:

1. na síťové vrstvě se vytvoří hlavička IP paketu, která obsahuje IP adresu zdrojové a cílové stanice
2. zdrojová stanice testuje, zda je cílová IP adresa ve stejném subnetu, tedy zda je pro ni lokální
3. dále pokračuje vrstva síťového rozhranní vytvářením hlavičky ethernetového rámce, vloží svoji zdrojovou MAC adresu, cílová MAC adresa se přiřadí k IP adrese z ARP keše (dotazu) a určí se podle:
   1. při lokální komunikaci adresy cílové stanice
   1. pokud není lokální, tak se podívá do routovací tabulky a použije adresu patřičného routeru (další hop, často se použije gateway)
4. rámec se odešle do sítě
5. data přijdou na router, ten podle MAC adresy pozná, že jsou určena jemu
6. zkontroluje paket a sníží TTL (doba života v síti – počet hopů)
7. znovu se provádí kontrola, zda je IP adresa lokální na jednom z interfaců a buď se odešle dalšímu routeru nebo přímo cílové stanici
8. cílová stanice přijme rámec podle MAC adresy
9. ověří jej, zkontroluje IP adresu a postoupí jej skrze vrstvy nahoru

Aktivní prvky sítě

Počítačová síť se skládá z aktivních a pasivních síťových prvků. Mezi pasivní síťové prvky patří kabeláž a konektory. Mezi aktivní síťové prvky patří síťová karta (NIC), switch, router, firewall, apod.

Repeater (opakovač)

• pracuje na první vrstvě OSI modelu (Layer 1)
• většinou má pouze dva porty
• slouží k prodloužení dosahu signálu, hlavně u sběrnicové topologie
• dnes se nepoužívá

Princip funkce

• data, která přijme na jednom portu, okamžitě přeposílá na druhý port

Hub (rozbočovač)

• označuje se také jako multipoint repeater
• pracuje na první vrstvě OSI modelu (Layer 1)
• většinou má 4 – 24 portů
• základní prvek pro hvězdicovou topologii
• dnes se nepoužívá

Princip funkce

• data, která přijme na jednom portu, okamžitě přeposílá na všechny porty mimo portu odkud je přijal

Bridge (most)

• pracuje na druhé vrstvě OSI modelu (Layer 2) – rozhoduje podle MAC adresy
• většinou má pouze dva porty
• slouží k propojení/oddělení segmentů
• snižuje velikost kolizní domény
• broadcasty a multicasty se posílají všude
• dnes se nepoužívá

Princip funkce

• u přicházejících rámců čte zdrojovou MAC adresu a vytváří v paměti tabulku MAC adres a portů, odkud pochází
• pokud nemá pro cílovou MAC adresu záznam, tak rámec odešle na všechny porty
• pokud záznam existuje a pokud leží příjemce ve stejném segmentu jako odesílatel, tak se data neposílají do ostatních segmentů

Switch (přepínač)

• označuje se také jako multipoint bridge
• pracuje na druhé vrstvě OSI modelu (Layer 2) – rozhoduje podle MAC adresy
• většinou má 4 – 48 portů
• slouží k propojení/oddělení segmentů
• snižuje velikost kolizní domény
• broadcasty se posílají všude
• pracuje rychle
• základní prvek pro hvězdicovou topologii
• neupravuje rámec

Princip funkce

• u přicházejících rámců čte zdrojovou MAC adresu a vytváří v paměti tabulku MAC adres a portů, odkud pochází, tabulka se označuje jako CAM (Content Addressable Memory) tabulka
• pokud nemá pro cílovou MAC adresu záznam, tak rámec odešle na všechny porty mimo příchozího
• pokud má v tabulce cílovou MAC adresu, tak rámec pošle pouze na daný port

Módy switche

Kvůli hledání kompromisu mezi zpožděním a spolehlivostí existuje několik metod.

• Cut-Through – rychlé, ale bez kontroly chyb, přeposílá rámce okamžitě, kdy zná cílovou MAC adresu
• Store-and-Forward – nejprve se celý rámec přijme, ověří se FCS (CRC) a pak teprve posílá nebo zahodí

• Fragment-Free (Modified Cut-Through) – kompromis, nejprve načte prvních 64 bytů (včetně hlavičky) a pak přeposílá

Router (směrovač)

• pracuje na třetí vrstvě OSI modelu (Layer 3) – rozhoduje podle IP adresy
• hraniční router se občas označuje jako gateway (brána)
• slouží pro spojování sítí
• nabízí služby uvnitř LAN (směrování ze zdroje do cíle, segmentování sítě, ARP) a propojení do WAN (přes serial, ISDN, DSL, optiku)
• broadcasty se standardně nepřeposílají – snižuje velikost broadcast domény
• je pomalejší než switch, často je dnes nahrazován Layer 3 switchem (MultiLayer Switch)
• vytváří novou hlavičku a ukončení (CRC) rámce

Princip funkce

• v paměti si sestavuje routovací tabulku podle sítí, kam má přímo připojené interfacy, podle statických hodnot a podle informací od ostatních routerů (záleží na použitém protokolu)
• u příchozích paketů se dívá na cílovou IP adresu a podle routovací tabulky určuje cestu k cíli (odesílá data na daný port)
• při odesílání dat modifikuje hlavičku rámce, jako zdrojovou MAC adresu vkládá svojí a jako cílovou buď další router nebo stanici
• pokud cílová IP adresa patří do některého přímo připojeného subnetu, tak odesílá přímo této stanici, přitom se koukne do ARP tabulky, zda má pro danou IP adresu MAC adresu, pokud ne, tak odešle ARP dotaz (kdo má tuto IP?), pokud nedostane odpověď, tak rámec zahodí, pokud ano, tak doplní ARP tabulku a rámec odešle

TCP/IP směrování

Routing, česky řečeno směrování, ale častěji se používá slovo routování (alespoň v mém okolí). Jedná se o techniku, která slouží k propojení jednotlivých sítí (přesněji subnetů).

Původním zařízením, určeným pro routování byl router, ale v dnešní době se velmi využívají L3 switche, firewally nebo pouze servery/počítače. Router přeposílá komunikaci z jedné sítě do jiné.

Následující obrázek ukazuje jednoduchý příklad sítě, kde máme subnety A, B a C. Tyto subnety jsou propojeny přes router mezi sebou a také do internetu. Takže pokud chce například stanice ze subnetu B komunikovat se serverem v subnetu A, tak pošle data na router a ten zařídí doručení do subnetu A. Pokud by stanice chtěla komunikovat do internetu, tak router naopak zašle data na jiný interface.

Dělení sítě na subnety je hierarchické a ve všech propojích musí být router. Při komunikaci pak postupujeme směrem nahoru ve stromu na nejbližší vrstvu, která propojuje dané subnety, a pak opět dolů. Délka cesty se počítá podle počtu hopů (skok), což je každý přechod ze zařízení na zařízení, je to tedy počet routrů v cestě + 1. Přímé spojení dvou počítačů je dlouhé 1 hop. Používá se také termín next hop (další skok) a označuje se jím adresa dalšího routeru v cestě.

Na dalším obrázku jsem se pokusil zachytit tuto situaci. Je zde malý (a pouze schematický) výřez větší sítě (či internetu). Na listech stromu jsou malé routery, ke kterým jsou připojeny switche a počítače. Tyto routery se sdružují do dalších (větších) a tak dále na několika úrovních. Samozřejmě v praxi jsou větší routery vždy redundantně, aby byla síť odolná vůči výpadku či kvůli vyvažování zátěže.

Důležité pojmy pro routování

Router

zařízení, které provádí routování Routing

routování, přeposílání (forwarding) dat mezi sítěmi

Route

cesta, která se použije, zapsaná v routovací tabulce

Routing table

routovací tabulka obsahuje záznamy o jednotlivých cestách Routing protocol

routovací protokol slouží ke směrování routovaného protokolu, určuje nejlepší cestu k cíli a posílá routovací informace dalším routrům

Routed protocol

routovaný protokol je IP, IPX nebo Apple Talk

Ještě jeden občas používaný termín, který je dobré znát.

Router on stick

je router, který je připojený do switche pomocí jednoho trunk portu – tzn. máme pouze jeden router a pouze jednu linku, což přináší velkou zátěž na router i linku a problémy při výpadku

Dělení routovacích protokolů

Do routovací tabulky se vytváří několik typů záznamů cest (route), záleží na tom, jakým způsobem vznikly. Pakety jsou podle toho směrovány jedním ze základních způsobů routování:

• statické routování – ručně zadané cesty (záznamy v routovací tabulce), bezpečné a dobré, ale nereflektuje změny v topologii sítě
• dynamické routování – síť se automaticky přizpůsobuje změnám v topologii a dopravě, automaticky se vypočítávají cesty pomocí routovacího protokolu
• defaultní routování – pokud neexistuje jiná cesta, tak se použije defaultní Dynamické routovací protokoly jsou dvou základních typů

• distance-vector routing protocol – routery udržují routovací tabulku s informací o (vektoru) vzdálenosti do dané sítě, periodicky routovací tabulku zasílají sousedům, ti si upraví svoji tabulku a tu opět odešlou dál, pro výpočet nejlepší cesty se používá jedna (počet hopů u RIP) nebo více metrik (propustnost linky a zpoždění u IGRP). Upraveným typem distance-vector protokolu je path-vector protocol.
• link-state routing protocol – routery udržují komplexní databázi síťové topologie (vytvořenou pomocí LSA), vyměňují si link-state advertisements (LSA), LSA jsou vyvolány nějakou událostí v síti, do svého okolí také odesílá Hello pakety, kde zasílá informace o sobě, rychle reaguje na změny topologie, ale spotřebovává více pásma a zdrojů na routeru, metrika je komplexní, nejlepší cesta se počítá pomocí Dijkstrova algoritmu shortest path first (SPF)

Pozn.: Ještě je zde jeden speciální typ, který vychází z distance-vector protokolu a přidává některé vlastnosti link-state protokolu, označuje se jako hybrid routing protokol nebo advanced distance-vektor protokol. Jeho jediným zástupcem je EIGRP.

Dále dělíme dynamické protokoly podle toho, zda jsou určeny pro nasazení uvnitř lokální sítě (přesněji řečeno uvnitř autonomního systému (AS), který může obsahovat několik LAN) nebo fungují napříč sítěmi (spojují AS dohromady)

• interior gateway protocol – IGP – routuje uvnitř Autonomous System (AS)
• exterior gateway protocol – EGP – routuje mezi AS

Obecné termíny

Variable Length Subnet Masking (VLSM)

používá se v Classless Inter-Domain Routing (CIDR). V tomto případě můžeme v subnetu použít různé velikosti masky. Můžeme například použít dohormady subnety 10.0.0.0/26 a 10.0.0.64/28.

Autonomní systém – AS (Autonomous System)

je skupina IP sítí a routrů, které jsou pod správou jedné (nebo více) jednotek.

Administrativní vzdálenost – AD (Administrative Distance)

je vlastnost používaná na routrech k určení nejlepší cesty mezi více routovacími protokoly. Definuje spolehlivost protokolu a prioritizuje lepší nižším číslem. Jinak řečeno na routeru může běžet více routovacích protokolů a podle AD se rozhoduje, který se použije. Na Cisco routrech můžeme měnit defaultní hodnoty.

protokol	Administrativní vzdálenost
přímo připojený interface	0
statická routa	1
EIGRP	90
IGRP	100
OSPF	110
RIP	120
EGP	140

Split horizon

metoda, která slouží k zamezení vzniku smyček v Distance Vector Routing protokolech. Používá se u RIP, IGRP a EIGRP. Funguje tak, že zakazuje posílání routovací cesty zpět na rozhranní, z kterého se naučila.

Hold-down timer

je metoda, kterou používají routovací protokoly, aby zabránily zbytečnému nebo předčasnému rozesílání routovacích cest v nestabilním prostředí (ve chvíli, kdy dochází k časté změně stavu). Router čeká určitý čas než je síť stabilní.

Routování ve Windows

I pracovní stanice, kde je například OS Windows XP, musí provádět rozhodnutí o tom, kam směrovat síťová data. Vychází se z toho, jak jsou nastaveny síťové karty v počítači. Podle tohoto nastavení se dynamicky upravuje routovací tabulka. Ale údaje v tabulce můžeme upravovat i ručně. Podle routovací tabulky se Windows rozhodují, přes kterou síťovou kartu zaslat určitá data.

Základní routy jsou pro gateway, tedy to co nevím kam jinam poslat, označuje se jako default route. Pak jsou routy pro hosta a loopback (127.0.0.0/8), které vedou na MS TCP Loopback Interface. Dále je routa pro multicast (224.0.0.0/4). V neposlední řadě je zde routa pro lokální subnet.

Jednotlivé routy mají metriku (1 až 9999), která určuje jejich prioritu. Čím nižší hodnota, tím větší priorita. Routa se vybírá nejprve tak, aby nejblíže odpovídala cílové adrese. Pokud je třeba, tak je druhým kritériem metrika.

Jak jsem psal, tak se routovací tabulky vytváří a upravuje dynamicky podle interfaců. Můžeme manuálně mazat, přidávat či upravovat záznamy, ale tyto změny se při restartu počítače ztratí. Pokud chceme vytvořit trvalou statickou routu, tak ji musíme vytvořit jako persistant. Tyto routy jsou pak uloženy v registech HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Persi stentRoutes.

Pro manipulaci s routovací tabulkou ve Windows XP (ale dalších MS OS) slouží příkaz

route. Příklad použítí:

route [-f] [-p] [Command [Destination] [mask Netmask] [Gateway] [metric

Metric]] [if Interface]]

route print                               // vypíše routovací tabulku

Windows jako router

Routování, o kterém jsem tu psal, se týká pouze rozhodnutí, kam směrovat provoz generovaný na tomto počítači. Pokud bychom chtěli použít počítač jako router, tedy aby příchozí komunikaci posílal dál, tak musíme tuto funkci zapnout v registrech.

V registrech HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters musíme změnit hodnotu položky IPEnableRouter na 1.

Pozn.: Chtěl bych upozornit, že zapnutí této funkce je třeba dobře rozvážit, protože se může jednat o bezpečnostní riziko. Pomocí této funkce může dojít k propojení několika sítí (což asi v tomto případě chceme), takže ji nezapínat bezdůvodně.

TCP/IP – nalezení MAC adresy k IP – ARP

Počítačové sítě jsou často založeny na technologii ethernet a používají protokol TCP/IP. Ve chvíli, kdy chtějí spolu dvě zařízení komunikovat, tak potřebují znát MAC adresu a IP adresu. Svoje údaje samozřejmě stanice zná (má je nastaveny). Cílová stanice se běžně adresuje pomocí doménového jména (DN – domain name či FQDN – full qualified domain name), které lze (a musíme) převést na IP adresu.

Princip komunikace mezi stanicemi v síti jsem pospal v článku TCP/IP a ethernet – cesta v  síti, aktivní síťové prvky. Zde vidíme, že vždy potřebujeme MAC adresu buď cílové stanice nebo routeru/gatewaye na cestě (další hop). Takže potřebujeme najít MAC adresu nějaké stanice, u které známe její IP adresu.

Standardizovaný protokol, který hledá MAC adresu k zadané IP adrese, se jmenuje Address Resolution Protocol (ARP) a je definován v RFC 826. Jedná se o protokol, který běží na síťové vrstvě TCP/IP modelu (2. vrstva), tedy na stejné úrovni jako IP protokol.

Pozn.: Protokol ARP je sice primárně určen pro ethernet, ale pracuje i v dalších technologiích jako Token Ring, IEEE802.11, FDDI či ATM.

Pozn.: Jako zdrojovou stanici označuji ten stroj, který hledá MAC adresu podle IP adresy.

Cílová stanice má nastavenu hledanou IP adresu.

• zdrojová stanice sestaví ARP žádost (request) a odešle ji jako broadcast
• všechny stanice na lokálním segmentu přijmou žádost, a pokud nemají tuto IP, tak ji ignorují
• cílová stanice sestaví ARP odpověď (response) a odešle ji jako unicast zdrojové stanici

Pozn.: Jako broadcastová adrese se používá ff:ff:ff:ff:ff:ff

Speciálním typem ARP paketu je ARP oznámení (announcement), které neslouží ke zjištění něčí MAC adresy, ale oznámení mojí MAC adresy ostatním stanicím na síti. Paket je většinou podobný ARP dotazu, má vyplněny IP a MAC adresu odesílatele a jako IP adresu cíle má svoji IP. Používá se například, když se změní IP adresa stanice, rozesláním oznámení se aktualizuje ARP cache ostatních stanic.

Aby se při probíhající komunikaci nemusely stále posílat ARP dotazy, tak se na zařízeních používá ARP cache, kde se po určitou dobu (v řádu minut) uchovávají kombinace IP adresy a MAC adresy.

V operačním systému Windows nemáme nástroj pro vytvoření ARP dotazu, ale stačí použít například příkaz ping na patřičnou IP adresu. ARP se používá automaticky pokaždé, když je třeba zaslat rámec (data do sítě). Pro prohlížení ARP cache můžeme použít řádkový příkaz arp -a.

Funkce DNS

Domain Name System, známější pod svou zkratkou DNS, je internetový standard zahrnutý v TCP/IP. Slouží k překladu jmen objektů na IP adresy či jiné zdrojové záznamy (resource records). Jména objektů se označují jako doménová jména (domain name) a nejčastěji se jedná o jména hostitelů (hostname), jsou to alfanumerické řetězce, které jsou lépe zapamatovatelné než IP adresy. Příkladem doménového jména je www.samuraj-cz.com a k němu náleží IP adresa 193.86.238.17.

DNS nabízí i obrácenou funkci a to je překlad IP adres na jména objektů. K tomu se využívají tzv. PTR záznamy. Záznamy v DNS dnes existují nejen pro hostname, ale také pro řadu služeb. Nejpoužívanějším příkladem je MX záznam pro poštovní server. Díky tomu nemusíme znát ani jméno serveru ani jeho IP adresu, ale pouze doménu, pro kterou chceme poštovní server nalézt. To využívají ostatní poštovní servery, když chtějí doručit email (z emailové adresy zjistí doménu a k ní naleznou MX záznam, tedy cíl komunikace).

Výhodou používání internetových jmen je lepší zapamatovatelnost a také to, že je možno změnit fyzické umístění počítače a jeho IP adresu a přitom používat stále stejné jméno. Přitom pro komunikaci pomocí TCP/IP se musí používat IP adresy. Funkci internetu bychom si asi nedokázali bez DNS představit. Microsoft na DNS postavil i funkci svého firemního prostředí

• domény a využívá jej například pro lokalizaci řady doménových služeb.

Protokol DNS využívá pro komunikaci porty TCP 53 a UDP 53. Definován je v RFC 1035 (a různé funkce v řadě dalších).

Jmenný prostor v internetu je rozdělen na domény (domain). Zodpovědnost za zprávu jmen uvnitř každé domény je delegována, typicky na systémy uvnitř této domény. Tomu odpovídá i hierarchická organizace serverů a způsob tvoření doménových jmen. Podle delegace oprávnění se ještě mluví o zónách. Většinou je zóna rovna jedné doméně, ale může zahrnovat i několik domén, které jsou spravovány jednou autoritou.

Podobně jako jsou rozděleny rozsahy IP adres na sítě a podsítě, tak se dělí jmenné názvy na domény a subdomény. Ale přesto zde nemusí být pevná vazba mezi rozsahy IP adres a doménových jmen. Například dvě různá jména domén mohou odkazovat na stejné adresy.

Obor doménových jmen DNS je tvořen stromem (hierarchická struktura). Každý uzel stromu obsahuje informace o doméně (kterou spravuje, tedy různé záznamy v dané doméně) a odkazy na subdomény. Kořenem stromu je kořenová doména, která se zapisuje jako tečka (.). Pod ní následují domény nejvyšší úrovně (TLD – Top Level Domain, například com a cz). Dále domény druhé úrovně (Second Level Domain, třeba microsoft.com) a případně další subdomain.

Když skládáme doménové jméno, tak používáme domény od nejnižší úrovně a zapisujeme je zleva doprava oddělené tečkou. Tedy k obrázku např. www.samuraj-cz.com. Obrázek není úplně přesný, protože www není podřízená doména, ale záznam v doméně samuraj-cz.com.

Pro reverzní překlad IP adres na jména objektů se využívá pseudo domény IN-ADDR.ARPA. Z důvodu řazení podle významnosti se používá reverzní tvar IP adresy, např. pro IP 192.168.0.1 je DNS záznam 1.0.168.192. IN-ADDR.ARPA.

Jak jsem zmínil, strom doménových jmen se dělí na zóny, tedy oblasti spravované jedním správcem (organizací). Zóna obsahuje jednu (nejčastěji) nebo více domén. V zóně jsou také uvedeny autoritativní informace o spravovaných doménách. Tyto informace poskytuje autoritativní DNS server, tedy server, který je považovaný za důvěryhodný pro zónu.

Obsah zóny, jednotlivé zdrojové záznamy, je uložen v zónovém souboru (zone file). To je většinou textový soubor. Mezi některými DNS servery může docházet k replikaci záznamů (například mezi primárním a sekundárním NS), tomuto procesu se říká zone transfer.

Standardně DNS server provádí rekurzivní (opakované) dotazy. Nejprve potřebuje vědět, kde začít hledat jména v první vrstvě oboru názvů DNS. Tyto informace jsou obsaženy v tzv. root hints, což je seznam úvodních záznamů, které použije DNS služba, aby našla servery, které jsou autoritativní pro kořen stromu oboru názvů DNS domény (DNS domain namespace tree). Standardně root hints obsahují odkazy na 13 root serverů, které se nachází po celém světě a zajišťují technickou infrastrukturu internetu.

Vezmeme adresu, kterou chceme přeložit (např. www.samuraj-cz.com) a rozdělíme ji na jednotlivé domény postupně zprava. Kořenovému serveru pošleme dotaz na adresu DNS serveru nejvyšší úrovně (tedy pro com). Dostaneme adresu TLD NS a jeho se zeptáme na adresu autoritativního serveru pro doménu druhé úrovně (samuraj-cz.com). A tak můžeme pokračovat dále. Na nejnižší úrovni se zeptáme již na IP adresu záznamu (www.samuraj- cz.com).

DNS podporuje řadu různých typů záznamů, podle typu záznamu uchovává různé parametry. Obecné parametry pro všechny typy záznamů jsou jméno, třída (pouze IN jako internet), TTL (čas jak dlouho může být záznam uložen v keši), typ záznamu, data záznamu. Zde uvádím několik nejdůležitějších typů.

• host – address (A) – běžný záznam, obsahuje adresu počítače
  • alias – canonical name (CNAME) – další jméno (alias) pro existující záznam v doméně
  • mail exchanger (MX) – adresa poštovního serveru
  • service location (SRV) – adresa některé služby, jako ldap, kerberos, ftp, a další
  • name server (NS) – seznam serverů, které zajišťují DNS služby pro doménu, záznam se nachází v nadřízené doméně a v aktuální doméně
  • pointer (PTR) – užívají se pro reverzní překlad
  • start of authority (SOA) – odkazuje na server, kde jsou primární údaje (primární NS), a obsahuje údaje pro zone transfer

Služba DNS je systémovou komponentou na Windows Serveru 2003. V tomto DNS můžeme vytvořit celou řadu různých zón. Nejčastěji se používá primární zóna (primary zone) a pokud jsme v interní síti a používáme doménu, tak je nejlepší volbou integrovaná do Active Directory.

Primary zone

• obsahuje autoritativní kopii dat pro zónu a podporuje jejich zápis a změnu
  • standardní primární zóna ukládá databázi zón do textového souboru
  • může existovat pouze jeden primární server (používá hlavní kopii zóny)

Secondary zone

• obsahuje autoritativní kopii dat pro zónu pouze pro čtení
  • přidává se k primární zóně z důvodu zálohy, zvyšuje dostupnost a odolnost proti poruše

• data získává pomocí zone transferu z primárního serveru nebo z jiného sekundárního serveru
  • zone transfer spotřebovává dost pásma (může být plný nebo inkrementální)

Stub zone

• obsahuje autoritativní kopii dat pro zónu pouze pro čtení
  • uchovává pouze odkazy na autoritativní DNS servery domény
  • jinak řečeno jedná se o kopii zóny, která obsahuje pouze NS, SOA a glue A záznamy
  • slouží hlavně ke zvýšení výkonu rozeznávání jmen (name resolution), není třeba kontaktovat několik DNS serverů v internetu, ale rovnou se nalezne autoritativní DNS pro doménu

Active Directory-Integrated zone

• jedná se o primární zónu (tedy autoritativní se zápisem)
  • databáze zón je uložena v Active Directory databázi (místo v souboru)
  • díky tomu se zjednodušuje administrace, zvyšuje bezpečnost a umožňuje automatické replikace (spolu s replikací AD)
  • je možno použít pouze, pokud je DNS nainstalováno na doménovém kontroléru
  • těchto serverů (kopií zóny) může existovat tolik, kolik je doménových řadičů (oproti standardnímu jednomu primárnímu serveru)

Lookup Zone

Pro správu Microsoft DNS služby slouží snap-in do MMC konzole. V této konzoli se připojíme k určitému DNS serveru a ve stromu pod ním se nachází několik položek.

• Cached Lookups – každý DNS server standardně uchovává po určitou dobu záznamy, které v poslední době hledal, aby opakovaný dotaz mohl rychleji zodpovědět (pro zobrazení těchto záznamů musíme mít zapnuto Advanced View)
  • Forward Lookup Zones – teprve zde jsou jednotlivé zóny (může jich být na serveru více), obsahuje mapování jmen na IP
  • Revers Lookup Zones – obsahuje obrácené mapování IP adres na jména (PTR záznamy)

Forwarding bychom mohli přeložit jako předávání (lépe řečeno přeposílání) a jedná se o metodu, která se v praxi hodí pro nasazení v řadě scénářů.

Forwarding slouží k přeposlání dotazu pro externí DNS jméno na DNS server mimo naši síť. Oproti klasickému chování (podrobněji popsanému výše), kdy se začíná hledáním v root hints a pak následuje řada dotazů různým serverům. Pro konfiguraci forwardingu tedy pouze specifikujeme určitý DNS server a následně jsou všechny externí dotazy (které nevyřídí keš) přeposílány na tento server. Po přijetí odpovědi, je tato zaslána klientovi.

Použití forwardingu se může hodit z důvodu bezpečnosti, zvýšení výkonu či lepšího využití internetové linky.

• V případě špatného připojení k internetu, můžeme optimalizovat výkon překladu jmen tak, že všechny dotazy posíláme přes jeden forwarder (místo celé řady spojení dotaz- odpověď je pouze jedno).
  • Při použití forwardingu můžeme na firewallu povolit komunikaci pouze na jeden venkovní DNS server a tím zvýšit bezpečnost.
  • Můžeme nastavit conditional forwarding na autoritativní servery některých domén, takže z nich získáváme odpovědi přímo.

Forwarder posílá trochu jiný typ DNS dotazu, jedná se o rekurzivní dotaz (dotazovaný server musí provést rekurzivně další dotazy a poslat odpověď), na rozdíl od klasického dotazu, který se označuje jako iterativní.

Na Microsoft DNS se Forwarding nastavuje pro určitý server na záložce Forwarders. Od verze Windows Server 2003 zde můžeme nastavit klasický forwarding tak, že k položce All other DNS domains nastavíme adresy patřičných DNS serverů. A conditional forwarding tak, že přidáme novou doménu a k ní její DNS servery.

Conditional forwarding

Podmíněný forwarding (conditional forwarding) se od klasického forwardingu liší v tom, že přeposílá pouze dotazy, které vyhovují zadané podmínce na doménové jméno.