Žilinská univerzita v Žiline Elektrotechnická fakulta Katedra telekomunikácií

Teoretický návrh a realizácia sieťového uzla na báze protokolov 802.1Q, IP a BGP

Pavol Križan

2006 Teoretický návrh a realizácia sieťového uzla na báze protokolov 802.1Q, IP a BGP

DIPLOMOVÁ PRÁCA

PAVOL KRIŽAN

ŽILINSKÁ UNIVERZITA V ŽILINE Elektrotechnická fakulta Katedra telekomunikácií

Študijný odbor: TELEKOMUNIKÁCIE

Vedúci diplomovej práce: Ing. Peter Zuberec

Stupeň kvalifikácie: inžinier (Ing.) Dátum odovzdania diplomovej práce: 19.05.2006

ŽILINA 2006 Abstrakt

Diplomová práca popisuje základy fungovania počítačových sietí VLAN, protokoly, ktoré sa v nich využívajú a základy smerovacích protokolov, špeciálne Border Gateway Protokol (BGP). Práca sa tiež zaoberá vytvorením modelu sieťového uzla, ktorý bude poskytovať smerovanie s použitím BGP protokolu, podporu VLAN a vysokú redundanciu zariadení alebo liniek.

This diploma work is dealing with basic functions of Virtual Local Area Networks, protocols used in those netwoks and basics of routing protocols, specially Border Gateway Protocol (BGP). It describes creation of network node, which will provide routing using BGP protocol, VLAN support and high redundancy of devices or links .

Žilinská univerzita v Žiline, Elektrotechnická fakulta, Katedra telekomunikácií ______

ANOTAČNÝ ZÁZNAM - DIPLOMOVÁ PRÁCA

Priezvisko, meno: Križan Pavol školský rok: 2005/2006

Názov práce: Teoretický návrh a realizácia sieťového uzla na báze protokolov 802.1Q, IP a BGP

Počet strán: 50 Počet obrázkov: 23 Počet tabuliek: 0 Počet grafov: 0 Počet príloh: 0 Použitá lit.: 16

Anotácia: Diplomová práca popisuje základy fungovania počítačových sietí VLAN, protokoly, ktoré sa v nich využívajú a základy smerovacích protokolov, špeciálne Border Gateway Protokol (BGP). Práca sa tiež zaoberá vytvorením modelu sieťového uzla, ktorý bude poskytovať smerovanie s použitím BGP protokolu, podporu VLAN a vysokú redundanciu zariadení alebo liniek.

Anotácia v cudzom jazyku: This diploma work is dealing with basic functions of Virtual Local Area Networks, protocols used in those netwoks and basics of routing protocols, specially Border Gateway Protocol (BGP). It describes creation of network node, which will provide routing using BGP protocol, VLAN support and high redundancy of devices or links .

Kľúčové slová: VLAN, BGP, Router, Switch

Vedúci práce: Ing. Peter Zuberec Recenzent práce: Dr. Ing. Peter Vestenický Dátum odovzdania práce: 19. 5. 2006 Žilinská univerzita v Žiline Diplomová práca

Obsah

1. Úvod ...... 1

2. Cieľ riešenia...... 2

3. História a rozdelenie sietí VLAN...... 3

3.1 Rozdelenie sietí VLAN...... 3 3.1.1 VLAN podľa portov...... 4 3.1.2 VLAN podľa MAC adresy ...... 4 3.1.3 VLAN podľa protokolu alebo adries ...... 5 3.1.4 VLAN podľa skupinového vysielania ...... 6 3.2 Vytvorenie a konfigurácia VLAN ...... 7 3.2.1 VLAN podľa štruktúry firmy...... 7 3.3 Vzájomná komunikácia switchov...... 8 3.4 Vývoj štandardu 802.1Q ...... 9 3.4.1 802.1Q podrobnejšie...... 10 3.4.2 Značkovanie rámcov...... 11 3.5 Výhody a nevýhody sietí VLAN ...... 12

4. Protokoly pre konfiguráciu sietí VLAN...... 14

4.1 Generic Attribute Registration Protocol ( GARP )...... 14 4.2 GARP Multicast Registration Protocol ( GMRP )...... 16 4.3 GARP VLAN Registration Protocol ( GVRP ) ...... 16

5. Zvýšenie spoľahlivosti v sieťach VLAN ...... 18

5.1 802.1d Spanning Tree Protokol ...... 18 5.2 802.1w RSTP Rapid Spanning Tree protocol...... 20 5.3 Topológia skupín ...... 21 5.3.1 Master VLAN a Member VLAN...... 21 5.4 Metro Ring Protokol ...... 22

6. Smerovanie v IP sieťach...... 25

6.1 Routovacie protokoly...... 26 6.1.1 Distance-vector protokol...... 26 6.1.2 Link-state protokol...... 27

Katedra telekomunikácií

Žilinská univerzita v Žiline Diplomová práca

6.2 Autonómne systémy...... 27 6.3 Border Gateway Protocol (BGP) ...... 28 6.3.1 Funkcia BGP4...... 30 6.4 Common Address Redundancy Protocol (CARP)...... 33

7. Začlenenie do existujúcej siete...... 35

7.1 Hlavné požiadavky na sieťový uzol...... 35 7.2 Redundancia...... 36 7.2.1 Zabezpečenie prvej vrstvy modelu ISO/OSI ...... 36 7.2.2 Zabezpečenie druhej vrstvy modelu ISO/OSI ...... 37 7.2.3 Zabezpečenie tretej vrstvy modelu ISO/OSI ...... 38 7.3 Výsledný model sieťového uzla...... 39 7.4 Technické a programové vybavenie ...... 40 7.5 Bezpečnosť...... 44 7.6 Overenie...... 46

8. Záver ...... 50

Katedra telekomunikácií

Žilinská univerzita v Žiline Diplomová práca

Zoznam obrázkov

Obr. 3.1 Rozšírenie virtuálnej siete cez viacero switchov ...... 4 Obr. 3.2 Vytvorenie siete VLAN podľa protokolu ...... 6 Obr. 3.3 Štandardný a značený rámec ...... 12 Obr. 4.1 Architektúra GARP ...... 15 Obr. 4.2 Štruktúra GARP PDU ...... 17 Obr. 4.3 Štruktúra GARP správy ...... 17 Obr. 4.4 Štruktúra GARP atribútu ...... 17 Obr. 5.1 Topológia siete s redundantnými spojmi...... 18 Obr. 5.2 Topológia siete s blokovanou záložnou linkou ...... 19 Obr. 5.3 Bridge ID ...... 19 Obr. 5.4 Príklad kruhu MRP...... 22 Obr. 6.1 Prepojenie autonómnych systémov ...... 28 Obr. 6.2 Príklad smerovania cez samostatný systém ...... 29 Obr. 6.3 Príklad AS grafu ciest ...... 30 Obr. 6.4 Vybudovanie spojenia medzi smerovačmi ...... 30 Obr. 6.5 Výmena informácií medzi smerovačmi ...... 30 Obr. 6.6 Aktualizácia o vypadnutí smeru N1 ...... 31 Obr. 6.7 Ustálený stav, N1 mimo prevádzky ...... 31 Obr. 6.8 Formát hlavičky BGP správy ...... 32 Obr. 7.1 Switche spojené dvoma linkami ...... 37 Obr. 7.2 Sieť s dvoma switchmi ...... 37 Obr. 7.3 Sieť s hlavným a záložným routrom...... 39 Obr. 7.4 Výsledný model sieťového uzla ...... 40

Katedra telekomunikácií

Žilinská univerzita v Žiline Diplomová práca

Zoznam skratiek

VLAN Virtual Local Area Network IEEE Institute of Electrical and Electronics Engineers ISO / OSI International Standard Organization / Open System Interconnection DHCP Dynamic Host Configuration Protocol TDM Time Division Multiplexing GARP Generic Attribute Registration Protocol GMRP Group Multicast Registration Protocol GVRP GARP VLAN Registration Protocol STP Spanning Tree Protocol MRP Metro Ring Protocol VSRP Virtual Switch Redundancy Protocol RSTP Rapid Spanning Tree protocol MAN Metropolitan Area Networks RIP Routing Information Protocol BGP Border Gateway Protocol OSPF Open Shortest Path First IS-IS Intermediate System-to-Intermediate System DoS Denial of Service ICMP Internet Control Message Protocol SSH Secure Shell

Katedra telekomunikácií

Žilinská univerzita v Žiline Diplomová práca

Slovník termínov

Switch - Prepínač, zariadenie pracujúce na druhej vrstve modelu ISO/OSI Router - Smerovač, zariadenie pracujúce na tretej vrstve modelu ISO/OSI Port - Mikroprocesorový kanál vyvedený do fyzickej zásuvky, ktorý umožňuje vysielanie a príjmanie dát Mac adresa - 48 bitové číslo, identifikujúce konkrétne hardwarové zariadenie Docking station - Platforma na pripojenie prenosného počítača, obsahujúca sloty pre periférne zariadenia Tag - Značka Multicast - Spôsob zasielania rovnakých správ viacerým koncovým staniciam Proxy server - Sieťový server, ktorý ukladá dáta prechádzajúce cez neho a pri ďalšej požiadavke o tieto dáta iba overí či neboli zmenené a potom poslúži lokálne uloženými dátami Sourcerouting - Smerovanie na druhej vrstve, kedy sa do rámca vložia informácie o tom, cez ktoré mosty bude daný rámec prechádzať Root switch - Hlavný switch Interfejs - Rozhranie, je definíciou spôsobu komunikácie (mechanický, elektrických, logických a funkčných charakteristík) medzi dvoma subjektami Backbone - Označenie nosnej siete, na ktorú sa pripájajú ďalšie siete Firewall - Bezpečnostný software znemožňujúci nepovolaným prístup do siete Protokol - Pravidlá technickej špecifikácie, na základe ktorých sa dorozumievajú rôzne systémy Gateway - Most medzi sieťami rôzneho druhu Doména - Logická časť počítačovej siete so spoločnými pravidlami Démon - Program, ktorý čaká na pozadí na definovanú udalosť, aby spustil svoju činnosť Nód - Uzol, všeobecné miesto, v ktorom sa stretávajú prepojenia

Katedra telekomunikácií

Žilinská univerzita v Žiline Diplomová práca

1. Úvod

Počítačové siete ako novodobý fenomén zasahujú do každodenného života každého z nás. Sú denne používané mnohými ľuďmi a pritom iba málokto si uvedomí ich význam a nutnosť či už len pri surfovaní internetom, telefonovaní alebo pri bankovom prevode. Snaha spojiť výpočtové prostriedky do siete je veľmi dávna. Od doby vzniku prešli počítačové siete prudkým vývojom. Hlavnú úlohu pri stavbe siete dnes zohráva človek, ktorý pozná sieťové technológie, možnosti dostupných zariadení v dynamicky sa meniacom komerčnom prostredí, ale hlavne disponuje znalosťami o stavbe siete, ktoré mu umožňujú dosiahnuť optimálny výsledok. Zabezpečenie spoľahlivej komunikácie v heterogénnej sieti nie je ľahká úloha. Rôznorodosť systémov a ich programové vybavenie kladú vysoké nároky na technické riešenie vzájomnej komunikácie. Pri písaní diplomovej práce som sa snažil priblížiť problematiku počítačových sietí. Úlohou bolo navrhnúť teoretický model sieťového uzla, zohľadniť pri návrhu dané podmienky a nakoniec navrhovaný model zrealizovať a odskúšať. Práca je rozdelená do viacerých samostatných kapitol. V prvej z nich rozoberám problematiku virtuálnych LAN sietí - VLAN, ich históriu, rozdelenie a konfigurácie. Popisujem tu taktiež samotný štandard 802.1Q a v súvislosti s ním aj princíp fungovania VLANov. Druhá kapitola popisuje protokoly pre dynamickú konfiguráciu VLAN zariadení ako prostriedku pre zjednodušenie nastavenia siete. Tretia kapitola popisuje protokoly, ktoré sa používajú v sieťach VLAN na odstránenie nadbytočných slučiek a na zvýšenie spoľahlivosti siete. Štvrtá kapitola popisuje smerovanie v počítačových sieťach. Dôraz som kládol na smerovanie v internete a obzvlášť na protokol BGP, ktorý je použitý ako smerovací protokol pre navrhovanú sieť. Piata kapitola objasňuje začlenenie navrhovaného uzla do siete a popisuje konkrétne požiadavky na uzol. Popisujem tu kompletné technické a programové vybavenie daného uzla spolu s jednotlivými konfiguračnými súbormi. Posledná kapitola sa venuje overeniu navrhnutého uzla a praktickým skúškam funkčnosti jednotlivých častí.

Katedra telekomunikácií 1

Žilinská univerzita v Žiline Diplomová práca

2. Cieľ riešenia

Diplomová práca si kladie za cieľ navrhnúť a zrealizovať sieťový uzol, ktorý by poskytoval základné služby, a ktorý by bolo možné pripojiť k existujúcej sieti spoločnosti Dial Telecom a.s. . Táto sieť je tvorená switchmi podporujúcimi technológiu VLAN. Siete VLAN tvoria špeciálnu skupinu sietí LAN. Je to samostatná skupina počítačov, logicky definovaná v rámci siete a nezávislá na ich fyzickom umiestnení. Siete VLAN sú navrhované z dôvodu zvýšenia bezpečnosti komunikácie, vyššej výkonnosti a nezávislosti počítačov od ich fyzického umiestnenia v sieti. Navrhovaný uzol musí byť schopný poskytnúť zákazníkom pripojenie na už existujúce VLANy a taktiež aj možnosť vytvárania nových subsietí. Uzol bude zapojený do existujúcej siete spoločnosti a bude tvoriť súčasť VLANového oblaku. Všetky routre v tejto sieti tvoria konfederáciu, čo znamená že voči sieti internet sú jedným autonómnym systémom, avšak vo vnútri je sieť tvorená viacerými autonómnymi systémami. Aj navrhovaný uzol bude tvoriť samostatný autonómny systém, bude teda členom konfederácie a je nutné, aby podporoval dynamické smerovanie a to konkrétne protokolom BGP. Navrhnutý router bude postavený na unixovej platforme a software použitý na smerovanie bude voľne dostupný . S použitím softwarového smerovania sa naskytá aj problém bezpečnosti navrhovaného uzla a ochrana proti neoprávnenému prístupu. Preto musí byť navrhovaný uzol vybavený firewallom. Ďalšími požiadavkami na sieť sú spoľahlivosť, vysoká redundancia a odolnosť voči výpadkom niektorého zo zariadenia či linky. Toto kritérium je dôležité hlavne pre firmy, ktoré nemôžu tolerovať niekoľkohodinové výpadky. Uzol bude treba zabezpečiť voči výpadkom a ochrániť každú z jeho funkčných vrstiev. Takto navrhnutý sieťový uzol musí byť schopný, v závislosti od použitého hardwéru, poskytnúť pripojenie a základné služby pre strednú až veľkú firmu alebo slúžiť ako jeden zo sieťových uzlov pre spoločnosť.

Katedra telekomunikácií 2

Žilinská univerzita v Žiline Diplomová práca

3. História a rozdelenie sietí VLAN

História sietí VLAN sa začala v roku 1995, keď sa objavili prvé implementácie VLAN. Umožňovali správcom jednoduchú segmentáciu siete do logických subsietí, ktoré sú nezávislé na fyzickej vrstve a umožňujú zjednodušiť rôzne úlohy manažmentu ako sú napríklad presun či pridávanie pracovných staníc a vytváranie logických pracovných skupín. Dnešné využitie týchto virtuálnych sietí je trošku odlišné od pôvodných predstáv, kedy sa predpokladalo, že každé oddelenie bude mať svoju vlastnú virtuálnu sieť naprieč celým podnikom. Jedným z hlavných dôvodov nasadzovania sietí VLAN je úspora nákladov spojených s presunom a pridávaním pracovných staníc. Technológia, ktorá stojí za virtuálnymi sieťami je založená na switchoch (prepínačoch), ktoré zvyšujú priepustnosť preťaženým sieťam. Virtuálne siete posúvajú segmentáciu sietí o krok ďalej tím, že oddeľujú fyzickú vrstvu siete od logickej sieťovej topológie. Virtuálna LAN je logický segment LAN, ktorý spojuje nódy, ktoré môžu byt pripojené k rôznym fyzickým segmentom a môžu spolu komunikovať, akoby boli na spoločnej LAN. Pretože možno členstvo vo VLAN definovať rôznymi spôsobmi, typologicky sa VLAN rozdeľujú na viacero druhov sietí.

3.1 Rozdelenie sietí VLAN

Podrobnejšie praktické delenie rozoznáva štyri typy VLAN s členstvom podľa:

• portov • MAC adries uzlov • sieťového protokolu alebo sieťových adries uzlov • skupinového IP vysielania

Katedra telekomunikácií 3

Žilinská univerzita v Žiline Diplomová práca

3.1.1 VLAN podľa portov

Tento historicky prvý typ virtuálnych sietí definuje členstvo v sieti pre jednotlivé porty switcha (skupiny portov). Prvé implementácie týchto VLAN neumožňovali rozšírenie virtuálnej siete cez viacero switchov, boli obmedzené iba na jeden switch. Druhá generácia to už dovolila, príklad takejto siete je na obr. 3.1.

Obr. 3.1 Rozšírenie virtuálnej siete cez viacero switchov [2]

Zoskupovanie portov je stále najpoužívanejšou metódou vytvárania virtuálnych sietí. Je síce veľmi jednoduchá a názorná, jej základné obmedzenie však spočíva v nutnosti predefinovania členstva pri akomkoľvek presune užívateľskej stanice medzi jednotlivými portami switcha.

3.1.2 VLAN podľa MAC adresy

MAC adresa je napevno definovaná v obvodoch sieťového adaptéru, takže na takto definované virtuálne siete možno pozerať ako na VLAN podľa užívateľov.

Katedra telekomunikácií 4

Žilinská univerzita v Žiline Diplomová práca

Ak zmení užívateľ svoje pripojenie (premiestni svoju stanicu na iný port switcha), jeho členstvo vo VLAN sa nezmení. Nevýhodou pri tejto metóde je nutnosť prvotnej manuálnej definície členstva pre všetky stanice siete. Inou nevýhodou je možnosť podstatného zníženia výkonu v prípade, že na porte switcha je pripojený zdieľaný segment so stanicami v rôznych VLAN. Ďalším, skôr ale okrajovým problémom môže byt situácia, kedy užívatelia s prenosnými počítačmi menia svoju pozíciu a pripájajú sa pomocou stabilne pripojených docking stations. Tým sa im definičná MAC adresa s lokalitou mení. Aj keď to je minoritný problém, dobre ilustruje isté obmedzenia sietí VLAN, založených na členstve podľa MAC adresy. Možnosť užívateľského predefinovania vlastnej MAC adresy v operačných systémoch tento problém z bezpečnostného hľadiska ešte viacej komplikuje.

3.1.3 VLAN podľa protokolu alebo adries

Takto definované virtuálne siete sú založené na informáciách z tretej vrstvy podľa OSI modelu. V multiprotokolových sieťach môžu byť priradené uzly do jednotlivých VLANov podľa prevádzkovaných sieťových protokolov alebo v sieťach s protokolom TCP/IP podľa adresy podsiete. Napriek tomu, že sa tu pracuje s informáciami sieťovej vrstvy je dôležité si uvedomiť, že sa nejedná o ich využitie pri smerovaní. Aj keď switch musí prezrieť paket za účelom určenia IP adresy a tím členstva vo VLAN, neprevádza žiadne smerovacie výpočty. Switch nevyužíva žiadne smerovacie protokoly (ako RIP, OSPF) a na VLAN definovanú podľa tretej sieťovej vrstvy sa musíme pozerať ako na sieť s plochou topológiou, prepojenou switchmi či mostami. Rozmach prepínania i na tretej sieťovej vrstve a existencia switchov so zabudovanými schopnosťami smerovačov tento problém pri prvom pohľade trochu zmierňuje. Jedná sa ale o odlišné funkcie - iba určenie členstva vo VLAN na základe sieťovej adresy v jednom prípade a plné využitie smerovacích schopností na základe smerovacích protokolov a výpočtov na strane druhej. Tu je nutné podotknúť, že komunikácia medzi jednotlivými VLANmi vyžaduje použitie smerovačov - či už klasických alebo práve týchto, zabudovaných vo switchoch so smerovacími funkciami.

Katedra telekomunikácií 5

Žilinská univerzita v Žiline Diplomová práca

Spôsob definície VLAN podľa sieťovej vrstvy má svoje zrejmé výhody. Patrí medzi ne mobilita užívateľov či presnejšie povedané ich staníc, bez nutnosti prekonfigurovania členstva vo VLAN, ďalej možnosť vytvárania skupín, špecifických pre istú službu alebo aplikáciu a eliminácia potreby značkovania paketov informácií o členstve vo VLAN pri vzájomnej komunikácii switchov. Pre názornosť uvádzam príklad, ako môže správca vytvoriť napr. špecializovanú virtuálnu sieť pre IPX protokol. Ako znázorňuje obr. 3.2, porty 6/1, 7/1, 1/1 a 2/2 tvoria IPX- VLAN. Tieto porty zostávajú členmi VLAN, vytvorenej podľa portov, ale sú zároveň novými členmi dynamicky vytvorenej virtuálnej siete pre protokol IPX. Ostatné porty tak nie sú „obťažované“ paketmi IPX všesmerového vysielania.

Obr. 3.2 Vytvorenie siete VLAN podľa protokolu [2]

3.1.4 VLAN podľa skupinového vysielania

Skupinové vysielanie v IP sieťach (IP multicast) pracuje tak, že paket, určený ku skupinovému vysielaniu, je poslaný na špeciálnu adresu, ktorá funguje ako proxy server pre explicitne definovanú skupinu uzlov (IP adries). Paket je potom doručený všetkým uzlom, ktoré sú členmi danej skupiny. Tá sa zostavuje dynamicky, uzly sa do tejto skupiny priebežne prihlasujú a odhlasujú.

Katedra telekomunikácií 6

Žilinská univerzita v Žiline Diplomová práca

Na všetky stanice takejto skupiny môžeme teda pozerať ako na členov jednej virtuálnej LAN, pretože skupina tvorí jednu doménu všesmerového vysielania. Od predchádzajúcich uvedených typov sa líši v dvoch podstatných rysoch - je vytváraná dynamicky iba na určitú dobu, takže je veľmi flexibilná a jej rozsah nie je obmedzení smerovačmi, to znamená, že sa môže rozprestierať napríklad i po rozľahlej sieti WAN.

3.2 Vytvorenie a konfigurácia VLAN

Najbežnejší a najprácnejší spôsob vytvárania virtuálnej siete je manuálne priradenie jednotlivých portov alebo MAC adries do definovanej LAN. K tomuto účelu slúžia rôzne správcovské aplikácie, dodávané výrobcami switchov, buď ako samostatné programy alebo ako súčasti väčších správcovských balíčkov s plne grafickým rozhraním, technikou "drag&drop" pre zmeny a presuny, dnes i s www rozhraním. Pri manuálnej konfigurácii siete máme síce všetko pod kontrolou, nevýhodou je ale vysoká prácnosť. Častá automatizácia buď iba počiatočnej konfigurácie alebo následných rekonfigurácií, prípadne oboch, umožňuje túto prácu ušetriť. VLAN tak môžeme nechať automaticky vytvoriť napríklad podľa existujúcich podsietí alebo iných kritérií. Plne automatická konfigurácia znamená, že uzly sa dynamicky pripájajú do VLAN v závislosti na používanej aplikácii alebo podľa iných pravidiel, stanovených administrátorom siete. Napríklad u sietí, vytvorených na základe IP podsietí, môže pomôcť automatická konfigurácia prostredníctvom protokolu DHCP.

3.2.1 VLAN podľa štruktúry firmy

Z hľadiska virtuálnych sietí môžeme pozorovať dva protichodné trendy. Na jednej strane segmentujeme siete z dôvodu zmenšovania záťaže (lokalizácia zdrojov, vytváranie ohraničených domén všesmerového vysielania), na strane druhej nám nové aplikácie pre skupinovú spoluprácu, e-mail, aplikácie intranetu, všeobecný prístup k internetu atd. pôsobia opačným trendom. K týmto aplikáciám vyžadujú užívatelia prístup bez ohľadu na členstvo vo VLAN. Z pohľadu štruktúry organizácie a zdieľaných zdrojov môžme virtuálne siete vytvárať dvoma spôsobmi:

Katedra telekomunikácií 7

Žilinská univerzita v Žiline Diplomová práca

• Podľa organizačnej štruktúry firmy Samotná VLAN je vytvorená pre každú organizačnú jednotku podniku (konštrukcia, výroba, obchodné oddelenie atd.). Predpokladáme, že väčšina komunikácie prebieha v rámci jednotky - so špecializovanými lokálnymi servermi jednotlivých oddelení, tlačiarňami atd. Iba celopodnikovo zdieľané zdroje (napr. e-mailová brána) sú členmi všetkých virtuálnych sietí. Tento prístup je administratívne pomerne nenáročný a je vhodný pre organizácie s jasne definovanou plochou štruktúrou.

• Podľa poskytovaných služieb Tento prístup nekopíruje organizačnú štruktúru firmy, ale je založený na prístupe užívateľov k jednotlivým poskytovaným sieťovým službám. To znamená, že každá VLAN odpovedá jednej službe (súvisiacej skupine služieb) siete. Napr. členovia VLAN, odpovedajúcich službe e-mail, budú asi všetci užívatelia. Členovia VLAN, odpovedajúci databázovému serveru s ekonomickými agendami budú iba členovia ekonomického oddelenia atd.. Tento prístup je síce administratívne omnoho náročnejší ako predchádzajúci spôsob, lepšie ale odpovedá dnešnej organizácii moderných firiem.

3.3 Vzájomná komunikácia switchov

Ak nechceme aby bola VLAN obmedzená iba na jeden samostatný switch, musia byť switche schopné vzájomnej komunikácie a výmeny informácií o členstve. V minulosti boli skúšané tri metódy pre vzájomné predávanie týchto informácií medzi switchmi:

• Adresovacie tabuľky Switche si udržujú v pamäti tabuľky adries jednotlivých uzlov a odpovedajúcich členstiev vo VLAN, platnosť tabuliek musí byt udržovaná stálou vzájomnou synchronizáciou. Táto vzájomná signalizácia môže zbytočné zaťažovať sieťovú komunikáciu v prípade rozsiahlejšej siete.

Katedra telekomunikácií 8

Žilinská univerzita v Žiline Diplomová práca

• Frame tagging Jednotlivé rámce sú pri prenose medzi switchmi (po tzv. interswitchtrunks) opatrené špeciálnou hlavičkou, nesúcou informáciu o členstve vo VLAN.

• TDM Táto metóda spočíva v rezervácii samostatných prenosových kanálov na spojoch medzi switchmi pre jednotlivé VLAN. Z princípu TDM (time division multiplexing) vyplýva neefektívne využitie prenosového pásma.

3.4 Vývoj štandardu 802.1Q

Vzhľadom k tomu, že počas vývoja a budovania virtuálnych sietí nebola úplná normalizácia, vzniklo postupne niekoľko štandardov. Prvé dva najdôležitejšie návrhy, ktoré sa objavili boli:

• 802.10 "VLAN Standard" Tento návrh vzišiel od firmy CISCO v roku 1995, ktorá sa pokúsila využiť svoj štandard IEEE 802.10, pôvodne vyvinutý pre oblasť bezpečnosti LAN. Upravená hlavička rámca mala namiesto zabezpečovacích informácií niesť identifikačné informácie VLAN. Technicky bolo riešenie vyhovujúce, väčšina členov výboru 802 organizácie IEEE sa ale postavila proti. Silne im vadilo použitie jedného štandardu pre dva rôzne účely. Iným problémom bol predpoklad použitia identifikačných polí s premennou dĺžkou. To by pravdepodobne spôsobovalo oneskorenie pri spracovaní rámca v ASIC obvodoch switchov, a rovnako aj ich vyššiu cenu.

• 802.1Q Návrh podvýboru 802.1 z roku 1996 stanovil tri hlavné oblasti riešenia - zásady tvorby VLAN, štandardizovaný formát prídavných hlavičiek rámca (frame tagging - pre výmenu informácií o členstve vo VLAN medzi switchmi) a smer ďalšieho vývoja. Význam tohto návrhu spočíva práve v časti štandardizácie formátu prídavných hlavičiek rámca, známeho ako 802.1Q (Standard for Virtual Bridged Local Area Networks).

Katedra telekomunikácií 9

Žilinská univerzita v Žiline Diplomová práca

Návrh štandardu 802.1Q bol významným prínosom a bol prijatý väčšinou výrobcov switchov (3com, Bay Networks, Cisco, IBM atd.).

3.4.1 802.1Q podrobnejšie

Štandard 802.1Q definuje členstvo dátových rámcov v jednotlivých sieťach VLAN ich značkovaním a spôsob spracovania informácií jednotlivými switchmi. Zmyslom je umožniť aplikáciám, koncovým uzlom a switchom označkovať pakety informácií o členstve v danej VLAN tak, aby ich potom switche odpovedajúcim spôsobom smerovali alebo filtrovali medzi hranicami jednotlivých virtuálnych sietí a to bez nutnosti ich konfigurácie. Switche si musia udržovať tzv. filtračnú databázu, ktorá pozostáva z položiek dvoch typov:

• Statické položky Sú pridávané, modifikované alebo mazané iba správcovskými nástrojmi. Položky môžu byť dvoch druhov: • Static Filtering Entries -špecifikujú pre každý port, či majú byť rámce posielané na špecifickú MAC adresu, skupinovú adresu, špecifickú VLAN alebo či majú byť odstránené. • Static Registration Entries - špecifikujú, či majú byť rámce posielané na špecifickú VLAN, označkované alebo má byť značkovanie odstránené, a ktoré porty sú pre túto VLAN zaregistrované.

• Dynamické položky Sú dynamicky vytvárané prepínacom bez zásahu správcovských nástrojov. Tento samoučiaci proces sleduje, z ktorého portu rámec prišiel, s akou zdrojovou adresou a identifikačným číslom virtuálnej siete (VLAN ID) a aktualizuje údaj vo filtračnej databáze. Položky sa po určitej, nastaviteľnej dobe ("ageingtime") automaticky z databázy odstraňujú. Dynamické položky môžu byt troch druhov: • Dynamic Filtering Entries -špecifikujú, či majú byť rámce posielané na špecifickú MAC adresu, špecifickú VLAN alebo či majú byť odstránené

Katedra telekomunikácií 10

Žilinská univerzita v Žiline Diplomová práca

• Group Registration Entries - indikujú pre každý port, či majú byť rámce posielané na skupinovú MAC adresu, špecifickú VLAN alebo či majú byť odfiltrované alebo odstránené. Tieto položky sú pridávané či mazané na základe informácií, vymieňaných protokolom Garp Multicast Registration Protocol (GMRP). Je tak umožnené zasielanie správ skupinového vysielania v rámci jednej VLAN bez ovplyvnenia ostatných. • Dynamic Registration Entries - určujú, ktoré porty sú registrované pre špecifickú VLAN. Ako v predchádzajúcom prípade i tu sú položky pridávané alebo mazané na základe informácií, vymieňaných špeciálnym protokolom GARP VLAN Registration Protocol (GVRP), kde GARP je Generic Attribute Registration Protocol.

3.4.2 Značkovanie rámcov

Switche musia poznať pri smerovaní rámcov ich príslušnosť k jednotlivým VLAN. Potom môžu rozhodnúť, na ktoré výstupné porty budú rámce poslané. Informácie o príslušnosti rámcov k jednotlivým VLAN sú pridávané k rámcom vo forme špeciálnych značiek - tagov. Mimo tohto základného účelu týchto značiek môžu tagy tiež niesť:

• informácie o užívateľsky priradenej priorite • riadiace informácie pre sourcerouting • informácie o formáte MAC adresy

Užívateľsky priradenú prioritou definuje štandard 802.1p, ktorý bol zavedený súčasné s 802.1q. Oba využívajú niekoľko bitov v hlavičke Ethernetového rámca. Preto bol zavedený nový formát Ethernetového rámca, ktorý je definovaný štandardom 802.3ac. Obrázok 3.3 ozrejmuje rozdiel medzi štandardným a novým značeným 802.3ac ethernetovým rámcom.

Katedra telekomunikácií 11

Žilinská univerzita v Žiline Diplomová práca

Obr. 3.3 Štandardný a značený rámec [2]

Nové polia pridávajú do rámca ďalšie bajty: • Pole TPID má definovanú hodnotu 8100 (hex). Ak má toto pole (EtherType) hodnotu 8100, rámec nesie informácie IEEE 802.1q/802.1p. • Podrobnejší pohľad na pole TCI je v spodnej časti obrázku č.3.3. Prvá časť, pole User priority umožňuje zakódovanie až ôsmych úrovní priority rámcov (0-7, nula je pritom najnižšia priorita) podľa štandardu 802.1p. • CFI bit indikuje, či sú MAC adresy v kanonickom formáte (v prípade SNAP kódovaného TPID) alebo prítomnosť RIF poľa (Source-RoutingInformationField) u rámcov Token Ring, zavedeného z dôvodu kompatibility. Pole VID potom jednoznačne indikuje VLAN, do ktorej rámec patrí. Z veľkosti poľa (12 bitov) plynie teoretický max. počet virtuálnych sietí (2^12=4096). Hodnota 0 sa používa k identifikácii prioritných rámcov a hodnota 4095 (FFF) je rezervovaná, takže zostáva max. 4094 VLAN.

3.5 Výhody a nevýhody sietí VLAN

• Redukcia nákladov na konfiguračné zmeny V prípade rozsiahlejších sietí, u ktorých dochádza k častejším konfiguračným zmenám v štruktúre siete, presuny jednotlivých užívateľov v rámci organizačných jednotiek môžu zabrať sieťovému administrátorovi značnú časť jeho pracovnej kapacity. To platí predovšetkým pre IP siete, pokiaľ nie je aplikovaný systém dynamického prideľovania adries Dynamic Host Configuration Protocol (DHCP).

Katedra telekomunikácií 12

Žilinská univerzita v Žiline Diplomová práca

• Virtuálne pracovné skupiny S presunmi užívateľov súvisí možnosť vytvárania virtuálnych pracovných skupín. Základnou ideou tohto organizačného modelu je možnosť dynamicky vytvárať pracovné tímy, zdieľajúce spoločné sieťové zdroje, bez nutnosti fyzických presunov zdrojov a užívateľov. Aj keď je tento model príťažlivý , sú minimálne dva dôvody, brániace jeho častejšej aplikácii. Ten prvý je pochopiteľný a sociálno-ľudský. Členovia pracovných tímov musia a chcú spolu komunikovať aj inak, ako len po sieti, takže sa prirodzene združujú do skupín fyzicky blízkych. Druhým dôvodom je staré dobré sieťové pravidlo 80/20, hovoriace, že 80 % komunikácie prebieha v rámci pracovnej skupiny a iba 20 % smeruje von, mimo skupinu na chrbticovú sieť. Toto pravidlo snažiace sa obmedzovať komunikáciu po chrbticovej sieti z dôvodu jej ľahkej preťažiteľnosti, je v dnešných sieťach často porušované a to z dôvodu zavádzania intranetových informačných systémov a vlastnej internetovej komunikácie.

• Redukcia zaťaženia všesmerového vysielania Tento základný dôvod, prečo VLAN vôbec vznikli, zostáva aj hlavným dôvodom ich aplikovania. Prvé switche plne nahradili mosty v zmysle kolíznych domén, nijako však neobmedzili šírenie všesmerového vysielania. To umožňujú až aplikácie virtuálnych sietí.

Realita Hore uvedené dôvody neboli až takým prínosom ako sa javili na začiatku. V našich podmienkach sa užívatelia až tak často nesťahovali a virtuálne pracovné skupiny tiež neboli veľmi v obľube. Preto zostala segmentácia siete do oddelených subsietí z dôvodu obmedzenia všesmerového vysielania a logického oddelenia sieťových zdrojov tím hlavným a väčšinou jediným dôvodom pre aplikácie VLAN. Iným dôvodom pre vlažné prijatie VLAN bola skutočnosť, že vzájomná komunikácia medzi sieťami musela prebiehať cez smerovač. To znamená, že terajšie smerovače plnili úlohu segmentácie siete a switche sa používali hlavne ako náhrada rozbočovačov.

Katedra telekomunikácií 13

Žilinská univerzita v Žiline Diplomová práca

Dnešné VLAN Situácia sa rapídne mení v prípade dnešných sietí so switchmi, pracujúcimi aj ako smerovače na tretej sieťovej vrstve. Skutočnosť, že dnešné sofistikované switche sú schopné L3 smerovania, posúva návrh sietí a ich konfigurácie do novej roviny. Mimo "klasického" využitia - dynamického vytvárania virtuálnych pracovných skupín, získavajú virtuálne siete dnes aj iné využitie. Napríklad izolácia komunikácie určitého typu, ako je napríklad prenos hlasu v sieťach s IP protokolom, zabraňujúca zhoršenie kvality prenosu hovoru pri preťažení siete. [1] [2] [3] [4]

4. Protokoly pre konfiguráciu sietí VLAN

LAN podporuje heterogénne zariadenia, z ktorých každé používa rôzne typy aplikácií. Pre sieťových manažérov je zložité starostlivo nakonfigurovať všetky zariadenia. Je jednoduchšie, ak je konfigurácia obmedzená na pár zariadení a aplikácií a zvyšné zariadenia sa „naučia“ dynamicky vyžiadané informácie. Štandard IEEE 802.1D definuje protokol Generic Attribute Registration Protocol (GARP) ako riešenie tejto požiadavky. Protokol GARP využívajú dve aplikácie: • GARP multicast registration protocol (GMRP) • GARP VLAN registration protocol (GVRP)

4.1 Generic Attribute Registration Protocol ( GARP )

Generic Attribute Registration Protocol (GARP) je protokol pre komunikáciu medzi switchmi a koncovými zariadeniami, ktorým umožňuje predávať si hodnoty ľubovoľných atribútov. GARP definuje architektúru, pravidlá operácií a premenné pre registráciu a deregistráciu hodnôt atribútov. GARP nie je priamo používaný zariadeniami v prepínanej LAN. GARP účastník v switchi alebo v koncovej stanici pozostáva z GARP aplikačného komponentu a komponentu GARP informačnej deklarácie (GID) asociovaného s každým

Katedra telekomunikácií 14

Žilinská univerzita v Žiline Diplomová práca portom switcha. Pre každý port a pre každú GARP aplikáciu existuje jeden takýto GARP účastník.. Šírenie informácie medzi GARP účastníkmi v switchi pre tú istú aplikáciu je uskutočňované komponentom GARP Information Propagation (GIP). Protokol výmeny preberá miesto medzi GARP účastníkom pomocou služieb Logical Link Control (LLC) typu 1, požitím skupín MAC adries a PDU formátom definovaným pre GARP aplikáciu. Každá žiadosť GARP aplikácie obsahuje databázu na uloženie hodnôt atribútov. Atribúty sú vnútri GARPu mapované do GID indexov. Architektúra GARPu je zobrazená na obr. 4.1

Obr. 4.1 Architektúra GARP [6]

GARP aplikačný komponent GARP účastníka je zodpovedný za definovanie sémantiky asociovanej s hodnotou parametra a operátorom prijatým v GARP PDU a za generovanie GARP PDU pre vysielanie. Štruktúra GARP PDU je na obrázku 4.2. Aplikácia využíva GID komponent a stav zariadenia s priradeným GID za účelom riadenia ich protokolovej interakcie. Hodnoty atribútov sú registrované alebo rušené lokálne pre port switcha, z ktorého prišla správa o registrácii alebo zrušení atribútu. Správa je potom každým prepínacom šírená do všetkých portov patriacich do tej istej domény. Tím je registrácia atribútu rozšírená medzi všetkými aktívnymi prvkami v sieti a zaregistrovaná vždy na tom porte, ktorý je najbližšie k zdroju registrácie. Pre adresovanie bolo zvolené skupinové adresovanie a vyhradené adresy 01:80:C0:0:0:20-2F.

Katedra telekomunikácií 15

Žilinská univerzita v Žiline Diplomová práca

Prvé dve adresy z tohto rozsahu potom boli priradené prvým definovaním aplikáciám protokolu GARP : protokolu GMRP (802.1p) a GVRP (802.1Q). Ak „nerozumie“ niektorý z switchov protokolu GARP, nenastane problém, pretože sa jedná o skupinovo adresovaný rámec, switch ho rozšíri do všetkých portov a je tak pre neho transparentný.

4.2 GARP Multicast Registration Protocol ( GMRP )

Protokol GARP Multicast Registration Protocol (GMRP) je určený pre registráciu skupinových adries, ktoré prijíma dané zariadenie. Koncové zariadenie tak môže switchu signalizovať, ktoré skupinovo adresované rámce má switch zasielať do daného portu. Filtráciou nepotrebného skupinového vysielania sa výrazne znižuje záťaž switchu a zvyšuje priepustnosť siete. Použitie protokolu GMRP musí byt samozrejme previazané s protokolmi pre registráciu skupín na vyšších úrovniach komunikačných protokolov. Napríklad zariadenie komunikujúce protokolom IP a registrujúce príjem skupinovo adresovaných paketov protokolom IGMP (Internet Group Management Protocol) musí pred registráciou skupiny protokolom IGMP zaslal registráciu protokolom GMRP. Garp účastník vo swiči alebo na koncovej stanici pozostáva z komponentu GARP aplikácie a komponentu GARP Information Declaration.

4.3 GARP VLAN Registration Protocol ( GVRP )

Protokol GARP VLAN Registration Protocol (GVRP) je určený pre registráciu virtuálnych sietí, ktoré prijíma dané zariadenie. GVRP využíva GARP informačnú deklaráciu (GID) a GARP Information Propagation (GIP), ktoré poskytujú informácie šírené mechanizmami definovanými v GARP aplikáciách. GVRP tak umožňuje šírenie informácií o VLANoch od zariadenia k zariadeniu. Switch, ktorý nepozná protokol GVRP, musí správca vždy konfigurovať ručne. Pri vytváraní virtuálnej siete nadefinuje značku virtuálnej siete a spôsob priradenia koncových staníc do konkrétnej virtuálnej siete. Pokiaľ switch pozná protokol GVRP a všetky pripojené zariadenia buď patria do implicitnej virtuálnej siete alebo vedia tiež

Katedra telekomunikácií 16

Žilinská univerzita v Žiline Diplomová práca komunikovať protokolom GVRP, potom nemusí správca siete tento switch konfigurovať. Okolité zariadenia oznámia protokolom GVRP, ktoré virtuálne siete majú nadefinované, switch si tieto virtuálne siete vytvorí a súčasne do nich priradí porty, z ktorých prišla registrácia. Protokol GVRP teda zaistí, že použitá značka virtuálnej siete je známa susednému aktívnemu prvku a že tento aktívny prvok bude rámce s touto značkou zasielať na port, odkiaľ prišla registrácia značky protokolom GVRP. Je nutné priznať, že protokol GVRP má zatiaľ obmedzené použitie, jeho väčšie rozšírenie nastane až v dobe, kedy budú vedieť servery a klientske stanice signalizovať týmto protokolom svoje členstvo vo virtuálnych sieťach. Potom skutočne odpadne veľká časť konfigurácie virtuálnych sietí vo switchoch, pretože budú vytvárané dynamicky, na podnet koncových zariadení. To však vyvoláva otázky bezpečnosti, správy a stability. GVRP správa má tú istú štruktúru ako GARP, líši sa iba hodnotou poľa Attribute type. Štruktúra GARP správy je na obrázku 4.3, na obrázku 4.4 je štruktúra GARP atribútu. [5] [6]

Obr. 4.2 Štruktúra GARP PDU [5]

Obr. 4.3 Štruktúra GARP správy [5]

Obr. 4.4 Štruktúra GARP atribútu [5]

Katedra telekomunikácií 17

Žilinská univerzita v Žiline Diplomová práca

5. Zvýšenie spoľahlivosti v sieťach VLAN

Zvýšenie spoľahlivosti u LAN sietí možno dosiahnuť pridaním záložných liniek medzi uzly siete. Ak dôjde k zlyhaniu jednej z ciest alebo zariadenia, tak záložné zariadenie môže nahradiť jeho funkciu. Avšak pridanie záložných liniek na druhej vrstve modelu ISO/OSI nie je až tak jednoduché. Základnou funkciou switcha je prepínanie rámcov z jedného portu na druhý. To znamená, že ak switch pozná MAC adresu cieľovej stanice, tak prepošle rámec na príslušný port. V prípade ak túto adresu nepozná, pošle rámec na všetky porty okrem portu, z ktorého rámec prišiel. K tomu istému dochádza pri broadcaste a multicaste. Naviac rámce nemajú žiadny mechanizmus ako je v IP pakete TTL (Time To Live). Takže v takejto sieti môže dôjsť k nekontrolovanému rozmnoženiu rámcov, zahlteniu siete a jej následnému kolapsu. Riešením je vytvorenie topológie bez slučiek a využitie Spanning Tree Protokolu (STP) ako je to zobrazené na obrázku 5.1.

Obr. 5.1 Topológia siete s redundantnými spojmi

5.1 802.1d Spanning Tree Protokol

STP umožňuje vytvoriť topológiu bez slučiek, prepojenú linkami s najnižšou cenou (hlavným kritériom je rýchlosť linky). Linky, ktoré nie sú súčasťou tejto novej topológie sú blokované a prípadné rámce prichádzajúce z týchto liniek sú zahodené. Príklad siete s blokovanou záložnou linkou je na obrázku 5.2.

Katedra telekomunikácií 18

Žilinská univerzita v Žiline Diplomová práca

Obr. 5.2 Topológia siete s blokovanou záložnou linkou

Algoritmus vytvorenia topológie bez slučiek je nasledovný. Najprv sa musí zvoliť tzv. root switch (bridge), od ktorého sa budú odvíjať všetky ďalšie cesty do ostatných uzlov. Výber root switcha prebieha na základe hodnoty bridge ID, ktorá je rozosielaná pomocou Bridge Protocol Data Unit (BPDU). Bridge ID sa skladá z bridge priority a MAC adresy bridgu. Štruktúra Bridge ID je na obrázku 5.3.

Obr. 5.3 Bridge ID [9]

Na začiatku (pri štarte) každý zo switchov predpokladá, že je root a rozošle BPDU so svojim bridge ID. Každý switch si uchováva hodnotu BPDU s nižším bridge ID. Switche si postupne vymenia tieto BPDU a tím tiež zvolia root bridge (najnižšie bridge ID). Stavy STP portov môžu byť nasledovné : • Disabled – administratívne zakázaný (vôbec nie je súčasťou STP) • Blocking – príjma iba BPDU, dátové rámce sú zahadzované • Listening – v tomto stave switch zisťuje, či nevedú k rootu linky s nižšou cenou. Linky s vyššou cenou prechádzajú do stavu Blocking. • Learning – v tomto stave sú dáta stále zahadzované, ale switch sa učí MAC adresy z prichádzajúcej prevádzky.

Katedra telekomunikácií 19

Žilinská univerzita v Žiline Diplomová práca

• Forwarding – dáta sú preposielané, switch pokračuje v učení sa MAC adries a príjme BPDU. Doba konvergencie pri zmene topológie trvá pri protokole STP 802.1d približne 50 sekúnd.

5.2 802.1w RSTP Rapid Spanning Tree protocol

Návrh protokolu RSTP vyšiel z 802.1d STP a jeho cieľom je znížiť dobu konvergencie, ktorá pri použití STP dosahovala časov až 1 minúty. RSTP zjednodušuje a sprehľadňuje jednotlivé stavy portov:

• Discarding (zlúčené stavy z STP (Disabled, Blocking, Listening)) • Learning • Forwarding

Zatiaľ čo Spanning Tree algoritmus bol v konvergencii siete viazaný na vypršanie časových limitov (max age), tak Rapid Spanning Tree je schopný aktívnym potvrdzovaním zariadiť prechod portu do stavu forwarding. Pre rýchlu konvergenciu zavádza RSTP tieto druhy portov a liniek :

• EDGE porty Všetky porty priamo pripojené ku koncovým staniciam nemôžu vytvárať slučky, preto port môže priamo prejsť do stavu forwarding (preskočí learning stav). Naviac edge porty negenerujú zmeny topológie. Pokiaľ na edge port príde nejaké BPDU, ihneď stráca status edge port a stáva sa z neho normálny spanning tree port.

• Link type RSTP môže priamo prechádzať do stavu forwardingu iba na edge portoch a point-to- point linkách. Typ linky je automaticky odvodený z duplexného módu portu. Ak port pracuje vo full-duplexe, tak RSTP predpokladá, že sa jedná o point-to-point spojenie.

Protokoly STP a RSTP poskytujú nutný algoritmus na vyriešenie problému s redundantnými spojeniami medzi zariadeniami na druhej vrstve modelu ISO/OSI. Ak sa

Katedra telekomunikácií 20

Žilinská univerzita v Žiline Diplomová práca v sieti nevyskytujú záložné linky, je lepšie tieto protokoly vypnúť, pretože predstavujú určité bezpečnostné riziko vo vnútri siete. Väčšina zariadení podporujúcich STP má tento protokol štandardne zapnutý.

5.3 Topológia skupín

Topológia skupín je pomenovanie pre sústavu VLANov, ktoré zdieľajú topológiu druhej vrstvy OSI modelu. Topológia skupín zjednodušuje konfiguráciu a zlepšuje rozšíriteľnosť protokolov druhej vrstvy umožňujúcich spúšťať jednotlivé inštancie viacnásobných VLANov. Topológiu skupín možno použiť s nasledovnými protokolmi druhej vrstvy : • Spanning Tree Protocol (STP) • Metro Ring Protocol (MRP) • Virtual Switch Redundancy Protocol (VSRP) • Protokol 802.1W

5.3.1 Master VLAN a Member VLAN

Každá topológia obsahuje master VLAN a môže obsahovať jednu alebo viac member VLANov a VLAN skupín.

• Master VLAN – obsahuje konfiguračné informácie pre protokol druhej vrstvy. Ak používame protokol MRP, master VLAN obsahuje informácie konfigurácie kruhu. • Member VLAN – je ďalší VLAN, ktorý zdieľa porty s master VLANom. Nastavenia protokolu druhej vrstvy pre porty v master VLAN sa týkajú aj portov v member VLAN. Zmena konfigurácie master VLAN sa prejaví aj zmenou member VLAN. • Member VLAN skupina – VLAN skupina je sústava niekoľkých VLAN. VLANy vo VLAN skupine majú tie isté porty a majú tie isté hodnoty aj pre iné parametre VLANov.

Port, ktorý je v topológii skupiny môže byť riadiaci alebo voľný port. Je možné konfigurovať do 256 skupín. Každá môže riadiť do 4096 VLANov. VLAN nemôže byť riadená viac ako jednou skupinou. Skupina musí obsahovať master VLAN a môže obsahovať ďalšie member VLANy alebo VLAN skupiny.

Katedra telekomunikácií 21

Žilinská univerzita v Žiline Diplomová práca

5.4 Metro Ring Protokol

Metro Ring Protokol (MRP) je protokol, ktorý bráni vytváraniu slučiek na 2 vrstve a poskytuje rýchlu premenu na topológiách druhej vrstvy OSI modelu. Je to alternatíva ku Spanning Tree Protokolu (STP) a je zvlášť využiteľný v Metropolitan Area Networks (MAN) sieťach, kde použitie STP má nasledujúce nevýhody: • STP umožňuje maximálne sedem nódov. Metro ring ich môže obsahovať viac . • STP má pomalý čas obnovy- môžu to byť desiatky sekúnd, ba dokonca až minúty. MRP dokáže detekovať a opraviť chybu kruhu v zlomku sekundy. Obrázok 5.4 ukazuje príklad MRP metro kruhu.

Obr. 5.4 Príklad kruhu MRP

Tento kruh pozostáva zo štyroch MRP nódov. Každý nód má dva interfejsy pripojené ku kruhu. Každý z nódov je tiež pripojený k oddelenej zákazníckej sieti. Nódy preposielajú prevádzku na druhej vrstve do a zo zákazníckych sietí cez kruh. Každý zákaznícky interfejs môže byť v tej istej VLANe ako kruh alebo v oddelenej VLAN sieti. Jeden z nódov je nakonfigurovaný ako master nód celého MRP kruhu. Jeden z dvoch interfejsov na master nóde je nakonfigurovaný ako primárny interfejs, druhý je sekundárny interfejs. Primárny interfejs vytvorí Ring Healts Pakety (RHP), ktoré sú použité na monitorovanie stavu kruhu. RHP sú preposielané po kruhu do ďalšieho

Katedra telekomunikácií 22

Žilinská univerzita v Žiline Diplomová práca interfejsu pokiaľ nedosiahnu sekundárneho interfejsu primárneho nódu. Sekundárny interfejs blokuje pakety, aby zabránil slučkám na druhej vrstve. Ak je kruh prvý krát inicializovaný, na master nóde a členských nódoch sa spúšťa preforwarding stav (PF). Kruhový interfejs sa môže nachádzať v jednom z nasledujúcich stavov :

• Preforwarding (PF) – Interfejs môže smerovať RHP pakety ale nemôže smerovať dáta. Všetky porty sú v tomto stave keď sa spustí MRP. • Forwarding (F) – Interfejs môže smerovať dáta a RHP pakety. Interfejs prejde zo stavu PF do stavu F keď uplynie čas preforwardingu. To nastane, ak port nepríjme RHP paket od master nódu alebo ak forwarding bit v RHP prijatý portom je vypnutý. Toto indikuje chybu v kruhu. Port obnový kruh zmenením svojho stavu na forwarding. Čas preforwardingu je rádovo milisekundy • Blocking (B) – Interfejs môže spracovávať RHP, ale nemôže spracovávať dáta. Iba sekundárny interfejs na master nóde môže byť blokovaný.

Ak je MRP zapnutý, všetky porty prejdu do preforwarding stavu a primárny interfejs na master nóde začne vysielať RHP do kruhu. Sekundárny port na master nóde čaká na prijatie RHP. • Ak sekundárny port príjme RHP, všetky linky na kruhu sú aktívne a port prejde do stavu blocking. Primárny port potom posiela ďalšie RHP s forwarding bitom nastaveným na „on“. Keď každý z portov na ringu obdrží RHP, zmenia svoje stavy na forwarding. • Ak sekundárny port nepríjme RHP, pokým uplynie čas preforwardingu, nastane chyba v kruhu. Port zmení svoj stav na forwarding. Ostatné porty tiež zmenia svoje stavy na forwarding. Kruh nie je úplný, ale dáta aj tak môžu prechádzať sieťou, využívajúc linky, ktoré sú zapnuté.

Každý RHP paket má tiež tzv. sequence number. MRP môže použiť sequence number na určenie doby obehu RHP kruhom. Ak nastane chyba v kruhu, MRP obnoví kruh zmenou stavu niektorých interfejsov kruhu.

• Blocking interfejs – Blocking interfejs na master nóde má časovač. Ak doba časovača uplynie pred prijatím vlastných RHP, interfejs prejde do stavu preforwardingu. Sekundárny interfejs zmení stav na preforwarding : Katedra telekomunikácií 23

Žilinská univerzita v Žiline Diplomová práca

• Ak interfejs príjme RHP, zároveň zmení stav späť na blocking a vynuluje časovač. • Ak interfejs nepríjme RHP pre svoj kruh pred uplynutím času preforwardingu, zároveň zmení stav na forwarding. • Forwarding interfejs – Každý z interfejsov zostáva v stave forwarding.

Keď je linka opravená, linkový interfejs prechádza do stavu preforwarding, ktorý umožní RHP prechádzať cez interfejs a dosiahnuť sekundárny interfejs na master nóde. • Ak RHP dosiahne sekundárny interfejs master nódu, kruh je úplný. Sekundárny interfejs prechádza do stavu blocking. Master nód nastaví forwarding bit v RHP na „on“. Ak obnovený interfejs príjme tento RHP, okamžite mení svoj stav na forwarding

• Ak RHP nedosiahne sekundárny interfejs master nódu, kruh je stále porušený. Obnovený interfejs zostáva v preforwarding stave pokiaľ neuplynie doba preforwardingu a potom zmení svoj stav. [7] [8] [9] [10]

Katedra telekomunikácií 24

Žilinská univerzita v Žiline Diplomová práca

6. Smerovanie v IP sieťach

Internet ako celosvetová sieť je tvorená množstvom hierarchicky členených súkromných, komerčných či akademických sietí. Na prepojenie jednotlivých sietí sa využíva brána alebo gateway. Gateway je zariadenie, ktoré spája viaceré počítačové siete a umožňuje vzájomnú komunikáciu medzi nimi. Brána môže spájať viac ako dve siete. Potom, ak paket smeruje z jednej siete do druhej, nastúpi na rad rozhodovanie, do ktorej siete paket vlastne mieri a ako sa do nej dostane. Tomuto rozhodovaniu sa hovorí smerovanie alebo routing. Bráne, ktorá súčasne vykonáva aj smerovanie paketov, sa hovorí router alebo smerovač. Router je teda elektronické zariadenie, ktoré obsahuje aspoň dve sieťové pripojenia a medzi týmito pripojeniami predáva pakety podľa zadaných pravidiel. Podľa hierarchie referenčného modelu OSI obsahuje smerovač spodné tri vrstvy. Smerovače patria medzi aktívne prvky siete. Ako smerovač môže pracovať akýkoľvek štandardný počítač s vhodným operačným systémom a programovým vybavením. Takýmto smerovačom sa hovorí softwarové smerovače. Existujú však aj hardwarové smerovače. Jedná sa o zariadenie obsahujúce hardware umožňujúci akcelerovať prevádzané činnosti tak, aby bol schopný zvládnuť požadované rýchlosti prenosu a šírku pásma. Každý smerovač obsahuje smerovaciu tabuľku, ktorá pre dané cieľové adresy podľa zvolenej politiky určuje, či a poprípade ktorým sieťovým zariadením bude každý prichádzajúci paket odoslaný. V základe existujú dva rôzne druhy smerovania a to statické a dynamické.

Statické smerovanie Pri statickom smerovaní sa cieľová adresa získaná z hlavičky paketu porovnáva so záznamami v statickej smerovacej tabuľke, a na základe výsledku porovnania je určené rozhranie, kam sa paket prepošle. Pokiaľ by tabuľka bola nesprávna, alebo by došlo k výpadku staticky pridelenej cesty, paket by nebol (správne) doručený.

Dynamické smerovanie Pri dynamickom smerovaní sa tabuľka pre jednotlivé smery dynamicky vytvára, a to tak, že router, ktorý ma nejakú adresu v svojej lokálnej sieti, preposiela všetkým okolitým routrom informáciu, aby si upravili svoje tabuľky a pakety pre danú adresu preposielali k

Katedra telekomunikácií 25

Žilinská univerzita v Žiline Diplomová práca nemu. Tento postup je kaskádovitý. Informácia o smerovaní tak putuje opačným smerom než vlastné pakety, ktoré môžu byť po takto vytvorenej ceste následne posielané. Je ale nutné zabrániť vzniku smerovacích kruhov, ošetriť možné výpadky niektorých ciest a snažiť sa o rovnomerné rozloženie záťaže.

6.1 Routovacie protokoly

Aplikačných protokolov pre routing vznikla v minulosti celá rada, no v súčasnosti sa používajú iba niektoré z nich . Routovacie protokoly slúžia pre automatické plnenie routovacích tabuliek. Delia sa podľa dvoch na sebe nezávislých kritérií. Podľa použitého protokolu a podľa rozsahu použitia. Routovacie protokoly používajú: • Distance-vector protokol • Link-state protokol. Môžu sa používať vo vnútri autonómneho systému, vtedy hovoríme o Interior Gateway protokole (IGP) alebo na výmenu informácií medzi autonómnymi systémami, vtedy hovoríme o Exterior gateway protokole (EGP).

6.1.1 Distance-vector protokol

Distance-vector protokol je veľmi jednoduchý protokol. Routre vysielajú do svojich sieťových interfejsov obsah svojej routovacej tabuľky, takže susedné routre si ich môžu navzájom prečítať. Daný router príjme z určitého sieťového rozhrania routovaciu tabuľku svojho suseda. V routovacej tabuľke svojho suseda pripočíta ku všetkým metrikám metriku k susedovi a začne porovnávať, či nie je v takto opravenej susedovej routovacej tabuľke nejaká nová cesta, ktorú by si zaradil do svojej routovacej tabuľky. Tiež zisťuje, či tam nie je cesta k sieti, ktorú už síce v tabuľke má, ale s inou metrikou. Pokiaľ v susedovej routovacej tabuľke nájde lepšiu cestu, potom pôvodnú položku svojej routovacej tabuľky nahradí novou. Príkladom bežne používaných Distance-vector protokolov sú protokoly RIP, IGRP, EIGRP, BGP

Katedra telekomunikácií 26

Žilinská univerzita v Žiline Diplomová práca

6.1.2 Link-state protokol

Link-state protokol je určený pre rozsiahlejšie siete. Router pracujúci v protokole LSP testuje pomocou HALLO paketu, či je susedný router funkčný. V pravidelných intervaloch posiela na sieť obežníky (multicast), v ktorých uvádza, v akom stave má momentálne susedné routre. Každý router obdrží informácie o všetkých routroch v sieti a o tom, akých majú susedov. V prípade, že príde nejaký paket, ktorý má router routovať (smerovať), zistí najskôr IP adresu príjemcu. V databáze spustí algoritmus najkratšej cesty, z ktorého zistí nasledujúci router k príjemcovi. Na tento router paket odošle. Príkladom bežne používaných Link-state protokolov sú protokoly OSPF a IS-IS.

6.2 Autonómne systémy

Autonómny systém AS pozostáva z viacerých smerovačov, ktoré pracujú s rovnakou smerovacou stratégiou a podliehajú jednej technickej správe. AS môže sústreďovať kooperujúce IGP (Interior Gateway Protocol), ktoré umožňujú interné smerovanie. Z vonkajšieho hľadiska AS predstavuje jednu entitu. Každý AS má vlastné identifikačné číslo, ktoré je pridelené buď registračným miestom Internetu alebo poskytovateľom. Smerovacie informácie medzi AS sú vymieňané pomocou externého smerovacieho protokolu BGP4.

Katedra telekomunikácií 27

Žilinská univerzita v Žiline Diplomová práca

6.3 Border Gateway Protocol (BGP)

BGP umožňuje smerovanie medzi viacerými autonómnymi systémami alebo doménami a poskytuje informácie o smerovaní a dostupnosti ostatným BGP systémom. BGP bol vyvinutý aby nahradil svojho predchodcu EGP (Exterior Gateway Protocol) ako efektívnejší štandard v medzidoménovom smerovaní v celosvetovej sieti Internet. Chrbticové smerovače (core routers) môžu použiť BGP na smerovanie prevádzky medzi autonómnymi systémami, ako je zobrazené na obrázku 6.1

Obr. 6.1 Prepojenie autonómnych systémov [11]

BGP umožňuje 3 druhy smerovania: • Smerovanie medzi autonómnymi systémami – Nastane medzi dvoma alebo viacerými BGP smerovačmi v samostatných systémoch. Seberovné smerovače používajú BGP na získanie informácií o topológii siete. BGP susedia zabezpečujúci komunikáciu medzi autonómnymi systémami musia byť pripojení na tú istú fyzickú sieť. Tento typ smerovania sa používa napr. v sieti Internet, ktorá pozostáva z viacerých samostatných systémov a administratívnych domén. Cieľom je nájsť optimálnu smerovaciu cestu v rámci Internetu.

• Smerovanie v rámci samostatného systému – Nastane medzi dvoma alebo viacerými BGP smerovačmi v rámci toho istého systému. Dané smerovače používajú BGP na získanie úplnej informácie o topológii siete. BGP sa používa na určenie, ktorý smerovač bude slúžiť ako "spájací bod" (connection point) pre externý systém.

• Smerovanie cez samostatný systém – Nastane medzi dvoma alebo viacerými

Katedra telekomunikácií 28

Žilinská univerzita v Žiline Diplomová práca

rovnocennými BGP smerovačmi, ktoré komunikujú cez samostatný systém, ktorý nepoužíva BGP. V danom systéme nevzniká žiadna BGP komunikácia a ani nie je smerovaná do niektorého z uzlov daného autonómneho systému. Príklad smerovania cez samostatný systém je na obrázku 6.2. BGP musí spolupracovať s ľubovoľným protokolom použitým v danom systéme a úspešne preniesť všetky BGP dáta cez daný systém.

Obr. 6.2 Príklad smerovania cez samostatný systém [11]

BGP je konštruovaný na základe sieťového grafu autonómneho systému (AS), v ktorom si susedné BGP vymieňajú informácie. Celý internet je popísaný jedným AS grafom, v ktorom každý AS má vlastné AS číslo. Príklad AS grafu je na obrázku 6.3. Spojenia medzi dvoma AS vytvárajú cestu a susedné informácie z ciest vytvárajú smer, prostredníctvom ktorého je určitý cieľ dosiahnuteľný. BGP realizuje bezslučkové, vnútro- regionálne smerovanie.

Katedra telekomunikácií 29

Žilinská univerzita v Žiline Diplomová práca

Obr. 6.3 Príklad AS grafu ciest [12] 6.3.1 Funkcia BGP4

BGP je protokol vektora cesty, ktorý prenáša informácie medzi autonómnymi systémami. Označenie vektora cesty vychádza z toho, že BGP smerovacie informácie prenášajú číslo AS. Toto číslo označuje cestu, ktorou bola smerovaná. BGP používa ako transportný protokol TCP. Tým je zabezpečený bezchybný prenos informácií a preto tieto procedúry nemusia byť implementované v BGP. Medzi dvoma BGP smerovačmi (routrami) je vybudované transportné protokolové logické spojenie. Tieto smerovače sa nazývajú susedné (peers) smerovače. Väzby medzi dvoma smerovačmi sú naznačené na obr. 6.4 .

Obr. 6.4 Vybudovanie spojenia medzi smerovačmi [13]

Susedné smerovače si vymieňajú informácie napr. o verzii BGP, ktorú používajú pre spoluprácu. V prípade, že verzie nie sú zhodné, vymenia si príslušnú správu o chybe a Peer spojenie sa nevytvorí. Na začiatku sú vymieňané informácie o všetkých smeroch, ktoré pripadajú do úvahy, ako to naznačuje obrázok 6.5.

Obr. 6.5 Výmena informácií medzi smerovačmi [13]

Katedra telekomunikácií 30

Žilinská univerzita v Žiline Diplomová práca

Postupné aktualizácie sa vymieňajú ako aktualizácie o zmene siete. Medzi dvoma BGP smerovačmi sú informácie o smeroch vymieňané pomocou správy UPDATE. Správa UPDATE obsahuje okrem iného zoznam cieľov, ktoré sú dosiahnuteľné z každého systému. Správa tiež obsahuje atribúty o ceste, v ktorých je uvedená preferencia určitého smeru. Ak sa informácia zmení napr. keď smerovač nie je dosiahnuteľný alebo je k dispozícii lepšia cesta, informuje BGP svojho suseda o tom, že neplatné cesty sú vybraté a nahradené novými informáciami. Obr. 6.6 zobrazuje, že v správe UPDATE sú uvedené neplatné smery.

Obr. 6.6 Aktualizácia o vypadnutí smeru N1 [13]

Tieto cesty nie sú ďalej k dispozícii. Obr. 6.7 znázorňuje statický stav, keď nedochádza ku žiadnej zmene, smerovače si vymieňajú len tzv. KEEPALIVE pakety.

Obr. 6.7 Ustálený stav, N1 mimo prevádzky [13]

KEEPALIVE správy sú medzi BGP susedmi pravidelne vymieňané a informujú o tom, že spojenie je neporušené. KEEPALIVE pakety vyžadujú len minimálnu šírku pásma (približne 2,5 bit/sec v časovom úseku 60 sec). BGP eviduje číslo tabuľkovej verzie a zvyšuje číslo tabuľkovej verzie. Keď sa verzia tabuľky veľmi rýchlo zmení, je to signál o tom, že dochádza k nestabilite siete.

Katedra telekomunikácií 31

Žilinská univerzita v Žiline Diplomová práca

Hlavička správy BGP je pole o veľkosti 16 bytov. Na obrázku 6.8 je zobrazený formát hlavičky správy BGP.

Obr. 6.8 Formát hlavičky BGP správy [13]

V závislosti od typu správy sa tam môžu vyskytovať aj dáta. KEEPALIVE správy dáta neobsahujú, pozostávajú iba z hlavičky. Pole marker je využívané na autentifikáciu prichádzajúcich BGP správ alebo na detekciu straty synchronizácie medzi dvoma BGP smerovačmi. Pole marker môže mať dva formáty :

• Ak je správa typu OPEN alebo ak správa OPEN nemá informáciu o autentifikácii, pole marker musí obsahovať iba jednotky • V opačnom prípade bude výpočet poľa marker založený na použitom autentifikačnom mechanizme.

Správa BGP nemôže byť kratšia ako 19 bytov a dlhšia ako 4086 bytov. Pole „type“ informuje o type správy a môže byť :

• OPEN • UPDATE • NOTIFICATION • KEEPALIVE

Katedra telekomunikácií 32

Žilinská univerzita v Žiline Diplomová práca

BGP je relatívne jednoduchý program, čo je základným predpokladom pre jeho flexibilitu. Smery medzi dvoma susednými BGP sú vymieňané pomocou UPDATE správ. BGP smerovače prijímajú UPDATE správy, použijú ich na aktualizáciu určitej stratégie alebo filtrovanie a tieto informácie odovzdajú do ďalšieho susedného BGP. Okrem smerov, ktoré sú prenášané do susedného BGP, môže BGP smerovač vystupovať aj ako zdroj pre aktualizáciu smerovania. S touto aktualizáciou sú oboznámené všetky siete nachádzajúce sa v autonómnom systéme. Platné lokálne smery, ktoré boli určené vlastným systémom, sú spolu s najvýhodnejšími smermi, získanými od susedných BGP, vložené do IP smerovacej tabuľky. IP smerovacia tabuľka je rozhodujúca pre konečné smerovacie rozhodnutie.

6.4 Common Address Redundancy Protocol (CARP)

Každé zariadenie na sieti potrebuje pre komunikáciu poznať adresu routra, na ktorý má smerovať svoje požiadavky. Na zabezpečenie nepretržitej prevádzky musíme tento router doplniť o jeden záložný router, ktorý bude smerovať prevádzku v prípade výpadku hlavného routra. Problém však nastane vtedy, ak všetky počítače na sieti majú nastavenú IP adresu hlavného routra a pri jeho výpadku nedokážu automaticky prepnúť na adresu záložného routra. Problematiku záložného routra riešia protokoly Common Address Redundancy Protocol (CARP), Virtual Router Redundancy Protocolu (VRRP) a Hot Standby Router Protocol (HSRP). Protokoly VRRP a HSRP sú chránené licenciou Cisco. CARP je vylepšená verzia štandardu VRRP. CARP je teda multicastový protokol, ktorý zlučuje niekoľko konkrétnych systémov spolu pod jednou alebo viacerými virtuálnymi adresami. Jeden z týchto systémov je master a reaguje na všetky pakety smerujúce na virtuálnu adresu. Ostatné systémy sa chovajú ako záloha. Nezáleží na tom aká je IP adresa a MAC adresa lokálneho interfejsu, pretože pakety poslané na CARP adresu sú vrátené s CARP informáciou. V stanovených intervaloch master oznamuje svoju činnosť na porte č.112. Ak master zlyhá, ostatné systémy v CARP skupine začnú informovať o svojej činnosti. Host, ktorý je schopný informovať najčastejšie sa stáva novým masterom.

Katedra telekomunikácií 33

Žilinská univerzita v Žiline Diplomová práca

Ak sa činnosť hlavného systému znova obnoví, štandardne sa z neho stáva záložný systém. Ale je možná aj konfigurácia, aby niektorý zo systémov bol štandardne master. CARP vyžaduje, aby všetky hosty boli na tej istej lokálnej sieti. Systém môže byť web server, firewall, router , teda zariadenia ktoré zdieľajú jednu alebo viac adries a rozdielne sa monitorujú. Algoritmus pre informovanie o činnosti využíva dve premenné: • advbase (8-bit) • advskew (8-bit)

Informácia o pripravenosti sa posiela v čase advbase + ( advskew / 256 ). Ak niektorý zo systémov počas trojnásobku svojho informačného času nedostane informáciu od mastera, stane sa ním. [11] [12] [13] [14] [15] [16]

Katedra telekomunikácií 34

Žilinská univerzita v Žiline Diplomová práca

7. Začlenenie do existujúcej siete

Požiadavka začlenenia navrhovaného uzla do existujúcej siete vytvára viacero podmienok, ktoré musí uzol spĺňať aby mohol byť bez problémov pripojený na súčasnú sieť. Zhrnul som ich do nasledujúcich bodov.

7.1 Hlavné požiadavky na sieťový uzol

• kompatibilita so súčasnou sieťou spoločnosti Dial Telecom a.s. • možnosť segmentácie pripojenej siete pomocou sietí VLAN • schopnosť dynamického smerovania použitím protokolu BGP • vysoká redundancia a odolnosť uzla voči výpadku linky alebo zariadenia • zabezpečenie uzla

Spoločnosť Dial Telecom a.s. poskytuje služby hlasovej a dátovej komunikácie, vrátane internetových služieb, server housingu a komplexných konzultačných služieb. Spoločnosť buduje a rozvíja vlastnú vysoko kapacitnú optickú sieť. Na optickej infraštruktúre je vybudovaná chrbticová IP sieť s prenosovou rýchlosťou 1 Gbps. V rámci chrbticovej siete je použitá aj technológia SDH na úrovni STM 16. Sieť je ďalej tvorená switchmi, ktoré umožňujú predávanie informácií o VLANoch a tým umožňujú segmentáciu siete pomocou VLANov. Telekomunikačná sieť je pripojená do internetu cez slovenské peeringové centrum (SIX- Slovak Internet Exchange) a cez ďalších dvoch zahraničných poskytovateľov internetu.

Katedra telekomunikácií 35

Žilinská univerzita v Žiline Diplomová práca

7.2 Redundancia

Pri stavbe sieťového uzla je dôležitou požiadavkou spoľahlivosť a odolnosť voči výpadkom linky alebo zariadenia. Mnohí zákazníci ako napr. banky, letiská, nemocnice a pod. vyžadujú nepretržitú prevádzku a v najlepšom prípade tolerujú iba niekoľko minútové výpadky. Základnou myšlienkou redundancie je mať v zálohe náhradné linky, zariadenia alebo napájanie, ktoré sa použijú v prípade výpadku. Na zabezpečenie spoľahlivosti je teda nutné chrániť každú z jej funkčných vrstiev. V mojej sieti som redundanciu riešil pre prvé tri vrstvy modelu ISO/OSI. Architektúra OSI (Open System Interconnection) je zakotvená aj v medzinárodných doporučeniach ITU pod označením X.200 a rozčleňuje model komunikácie do siedmych vrstiev. V prípade môjho navrhovaného uzla uvažujem vzhľadom na použité zariadenia iba s prvými troma vrstvami a to fyzickou, linkovou a sieťovou. A preto som zabezpečoval iba prvé tri vrstvy modelu ISO/OSI.

7.2.1 Zabezpečenie prvej vrstvy modelu ISO/OSI

Fyzická vrstva siete je základným výstavbovým blokom každej dátovej komunikácie a podstatným spôsobom podmieňuje rýchlosť a kvalitu prenosu. Zabezpečenie prvej vrstvy modelu ISO/OSI sa dá realizovať viacerými linkami, ktoré budú spájať dva body siete. Tým docielim, že pri výpadku jednej linky, môže komunikácia pokračovať po druhej z nich. Moderné switche poskytujú funkciu automatického prepnutia z jednej linky na druhú, pri výpadku jednej z nich. V mojom uzle bola redundancia na prvej vrstve modelu ISO/OSI zabezpečená viacerými linkami a každá z nich bola pripojená na inú VLANu. Príklad spojenia switchov viacerými linkami zobrazuje obrázok 7.1.

Katedra telekomunikácií 36

Žilinská univerzita v Žiline Diplomová práca

Obr. 7.1 Switche spojené dvoma linkami

7.2.2 Zabezpečenie druhej vrstvy modelu ISO/OSI

Na druhej vrstve modelu ISO/OSI pracujú switche, ktoré prepájajú rámce do požadovaných smerov podľa fyzickej adresy. Keďže je nutné zabezpečiť sieťový uzol voči výpadku hociktorého zo zariadení, doplnil som tento uzol záložný switch. Moja skúšobná sieť bola pripojená dvoma switchmi, každý z nich bol pripojený cez inú VLANu a v prípade poruchy jedného z nich , druhý zo switchov prebral funkciu. Príklad tejto siete je na obrázku 7.2.

Obr. 7.2 Sieť s dvoma switchmi Katedra telekomunikácií 37

Žilinská univerzita v Žiline Diplomová práca

7.2.3 Zabezpečenie tretej vrstvy modelu ISO/OSI

Na sieťovej vrstve sa pracuje s blokmi dát, ktoré nazývame pakety. Zariadenie pracujúce na tejto vrstve sa nazýva router. Podobne ako pre druhú vrstvu aj tretiu vrstvu som doplnil o jeden záložný router, ktorý bude slúžiť pri výpadku hlavného routra. Oba routre boli nastavené ako peer ku vnútornému routru spoločnosti Dial Telecom. Routre mojej skúšobnej siete pracovali v tom istom autonómnom systéme, ktorý bol však odlišný od autonómneho systému routra spoločnosti. Jednalo sa tu o výmenu informácií medzi dvoma autonómnymi systémami a teda o exterior gateway protokol, konkrétne BGP. Z pohľadu internetu sa však celá sieť javí ako jeden autonómny systém a to vďaka tomu, že všetky routre sú priradené do konfederácie. Pri konfigurácii routrov je treba zohľadniť dve podmienky a to, že peer je z iného autonómneho systému, ako aj to že všetky routre musia byť priradené do konfederácie. Ďalším problémom pri realizácii sieťového uzla je určenie defaultnej gateway. Pri výpadku routra je BGP routovací protokol schopní použiť inú cestu a presmerovať prevádzku okolo poškodenej cesty, no ak niektorý z počítačov používa túto cestu ako svoju defaultnú gateway, nedokáže jednoducho bez konfigurácie prejsť na inú gateway. Tento problém som riešil protokolom CARP, ktorý vytvorí na oboch routroch virtuálnu IP adresu , ktorá je použitá počítačmi na sieti ako defaultná gateway. Protokol CARP zaručí že jeden z routrov bude fungovať ako primárny a všetka prevádzka bude smerovaná cez neho a v prípade výpadku presmeruje prevádzku cez druhý z routrov, pričom počítače zo siete vôbec nezistia, že došlo k výpadku. Príklad siete s hlavným a záložným routrom je na obrázku 7.3.

Katedra telekomunikácií 38

Žilinská univerzita v Žiline Diplomová práca

Obr. 7.3 Sieť s hlavným a záložným routrom

7.3 Výsledný model sieťového uzla

Výsledné zapojenie routra je teda kombináciou všetkých doteraz popísaných schém a to nasledovne : uzol má dva switche a dva routre. Keďže použité routre disponujú troma sieťovými interfejsami, je každý z routrov pripojený ku každému zo switchov a pomocou rozdielnych VLAN sú pripojené k hlavnému routru spoločnosti. To znamená, že každý router je k routru spoločnosti pripojený cez dva rozdielne VLANy a na každej z liniek je nastavená iná metrika, v závislosti od preferovaného spojenia. Tým som dosiahol dostatočnú redundanciu v prípade poruchy niektorého zariadenia alebo linky. Výsledný model sieťového uzla je na obrázku 7.4.

Katedra telekomunikácií 39

Žilinská univerzita v Žiline Diplomová práca

Obr. 7.4 Výsledný model sieťového uzla

7.4 Technické a programové vybavenie

Pri navrhovaní som zohľadnil aj finančnú stránku a snažil som sa postaviť sieťový uzol s minimálnymi nákladmi. Ako routre som použil počítače s operačnými systémami Debian a Freebsd. Jednalo sa teda o softwarové routre a pre smerovanie som použil software Quagga. Ten ako jediný spomedzi dostupných programov dokáže pracovať s konfederáciami. Oba Switche boli rovnakého typu a to konkrétne : Foundry FastIron Edge Switch X448. Pre úplnosť uvádzam kompletný výpis hardwarového a softwarového vybavenia daného sieťového uzla.

Router 1

• Hardware: Procesor : 800 MHz Centaur VIA Samuel 2 Pamäť : 247 MB SDRAM Disk : 3.5“ ATA disk 60 GB

Katedra telekomunikácií 40

Žilinská univerzita v Žiline Diplomová práca

Konektivita : 3 * Ethernet controller

• Software: Operačný systém Debian Tcpdump Ucarp Quagga

Router 2

• Hardware: Procesor : 266 MHz AMD Geode SC1100 Pamäť : 128 MB SDRAM Disk : Compact Flash card 512 MB Konektivita : 3 * Ethernet controller

• Software: Operačný systém Freebsd Protokol podporovaný jadrom Tcpdump Quagga

Switch 1 a 2

Foundry FastIron Edge Switch X448 Podporované štandardy : IEEE 802.3, IEEE 802.3U, IEEE 802.3z, IEEE 802.1D, IEEE 802.1Q, IEEE 802.1p, IEEE 802.3ad (LACP), IEEE 802.1w, IEEE 802.1x, IEEE 802.3ae, IEEE 802.1v Podporované manažmentové protokoly : SNMP 1, SNMP, RMON, Telnet, SNMP 3, SNMP 2c, HTTP

Ako už bolo spomenuté, pre smerovanie som použil software Quagga. Je to opensource software, ktorý poskytuje implementáciu BGP4 pre Unixové platformy.

Katedra telekomunikácií 41

Žilinská univerzita v Žiline Diplomová práca

Pozostáva z démona Zebra a iných démonov pre podporu rôznych smerovacích protokolov. V mojom prípade som využil iba démona bgpd, ktorý implementuje práve protokol BGP. Výpis konfiguračného súboru pre démona bgpd routra 1 je nasledovný: router bgp 65045 bgp router-id 217.67.18.34 bgp confederation identifier 29208 bgp confederation peers 65040 65042 65043 65044 65049 65020 network 217.67.24.248/29 neighbor 217.67.18.33 remote-as 65040 neighbor 217.67.18.33 timers 5 15 neighbor 217.67.18.33 route-map set-metric out neighbor 217.67.20.129 remote-as 65040 neighbor 217.67.20.129 timers 5 15 neighbor 217.67.20.129 route-map set-metric1 out route-map set-metric permit 1 set metric 3 route-map set-metric1 permit 1 set metric 5 line vty

V konfiguračnom súbore sú základné príkazy, ktoré sú nevyhnutné pre správe fungovanie BGP démona. Patrí sem nastavenie čísla autonómneho systému, nastavenie IP adresy siete, ktorú oznamuje a IP adresy routra. Ďalej je to nastavenie čísla konfederácie a jej členov, nastavenie času, za ktorý dôjde k aktualizácií routovacích tabuliek a nastavenie metriky pre jednotlivé routy (smery). Konfiguračný súbor bgpd routra 2 je takmer zhodný s routrom 1. Odlišuje sa iba IP adresa a metrika pre jednotlivé routy. Jeho výpis je nasledovný: router bgp 65045 bgp router-id 217.67.18.38 bgp confederation identifier 29208 bgp confederation peers 65040 65042 65043 65044 65049 65020 network 217.67.24.248/29 Katedra telekomunikácií 42

Žilinská univerzita v Žiline Diplomová práca

neighbor 217.67.18.37 remote-as 65040 neighbor 217.67.18.37 timers 5 15 neighbor 217.67.18.37 route-map set-metric out neighbor 217.67.20.149 remote-as 65040 neighbor 217.67.20.149 timers 5 15 neighbor 217.67.20.149 route-map set-metric1 out route-map set-metric permit 1 set metric 10 route-map set-metric1 permit 1 set metric 11 line vty

Nastavenie protokolu CARP bolo veľmi podobné pre oba routre. Hlavné parametre, ktoré bolo treba zadať pri konfigurácii boli sieťový interfejs na ktorom mal protokol CARP bežať, ďalej to bolo unikátne číslo vhid, heslo a virtuálna IP adresa, pod ktorou boli združené oba routre. Časový interval, v ktorom router 1 vysiela informácie k druhému routru je štandardne nastavený na 1 sekundu. To znamená, že približne za 1 sekundu sa druhý z routrov dozvie o výpadku prvého routra a prevezme jeho funkciu. Príkaz na konfiguráciu protokolu CARP pre router 1: ucarp -i eth1 -s 10.0.0.1 -v 2 -p secret -a 10.0.0.10 --upscript=/etc/vip-up.sh -- downscript=/etc/vip-down.sh -P &

Príkaz na konfiguráciu protokolu CARP pre router 2: ifconfig carp0 create ifconfig carp0 vhid 2 pass secret 10.0.0.10/24

Katedra telekomunikácií 43

Žilinská univerzita v Žiline Diplomová práca

7.5 Bezpečnosť

Keď Robert Moris v roku 1988 vypustil počítačového červa nazvaného “Internet worm“, vstúpila počítačová a sieťová technika do novej éry a podstatný dôraz sa začal klásť na bezpečnosť. Pre zabezpečenie lokálnych sietí existuje mnoho bezpečnostných technológií na všetkých sieťových vrstvách, v prvom rade však treba dbať na dodržiavanie pravidiel bezpečného správania sa užívateľov a administrátorov sietí. Ochrana sieťe v sebe obnáša viacero vecí: Sledovanie DoS útokov v reálnom čase a ich následné blokovanie a záznam, filtrovanie obsahu web stránok alebo http/ftp komunikácie, bezpečné pripojenie vzdialených lokalít k centrálnym dátam, autentifikácia a autorizácia užívateľov, segmentácia siete, zabezpečenie serverov a staníc a samozrejme aj antivírová ochrana. V implementačnej časti som na zabezpečenie použil na oboch routroch firewall a naviac moja skúšobná sieť môže byť segmentovaná do subsietí pomocou VLANov, čo taktiež zvýši bezpečnosť . Firewall bude slúžiť k zabezpečeniu ochrany vnútornej siete schovanej za routrom a tiež k ochrane samotného routra. Zároveň vykonáva preklad adries (NAT- Network Address Translation), čo umožňuje počítačom vo vnútornej sieti pripájať sa do internetu cez jednu verejnú IP adresu. Na oboch routroch je nakonfigurovaný rovnaký stavový firewall, takže pri výpadku jedného z routrov, druhý z nich bude vykonávať tie isté funkcie. Príklad konfiguračného súboru firewallu pre jeden z routrov vyzerá nasledovne :

#!/bin/sh iptables -P INPUT DROP iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -F ; iptables -X iptables -t nat -F ; iptables -t nat -X iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth1 -s 10.0.0.0/24 -j ACCEPT for CHAIN in INPUT FORWARD; do iptables -A $CHAIN -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A $CHAIN -m state --state INVALID -j DROP

Katedra telekomunikácií 44

Žilinská univerzita v Žiline Diplomová práca

done iptables -A INPUT -p ICMP --icmp-type 0 -j ACCEPT iptables -A INPUT -p ICMP --icmp-type 3 -j ACCEPT iptables -A INPUT -p ICMP --icmp-type 8 -j ACCEPT iptables -A INPUT -p ICMP --icmp-type 11 -j ACCEPT iptables -A INPUT -p tcp --dport 179 -j ACCEPT iptables -A INPUT -p udp --dport 179 -j ACCEPT iptables -A INPUT -p tcp --dport ssh -j ACCEPT iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j SNAT --to 217.67.24.249

Jedná sa teda o jednoduchý stavový firewall, ktorý je vytvorený pomocou iptables. Každý prichádzajúci paket, prechádza súborom reťazcov, ktoré tvoria firewall. Podľa toho či je paket určený pre daný firewall, prechádza ním, alebo z neho vychádza, rozlišujeme tri základné reťazce – INPUT, FORWARD, OUTPUT. Reťazce OUTPUT a FORWARD majú nastavenú politiku ACCEPT, čo znamená že prepustia všetky pakety, smerujúce von z routra a taktiež pakety ktoré cez neho prechádzajú, čiže sú smerované. V tabuľke INPUT je nastavená politika DROP, čo znamená že štandardne sú všetky pakety smerujúce na router zahodené. Toto však doplňujú ďalšie pravidlá, ktoré prepustia ICMP pakety, pakety protokolu SSH a pakety protokolu BGP. To všetko ale iba za podmienky, že pakety prichádzajú zo siete 10.0.0.0/24, čo je adresa mojej skúšobnej siete. Posledný reťazec zabezpečí nahradenie IP adresy paketu, pochádzajúceho zo siete IP adresou routra. To je výhodné z hľadiska bezpečnosti, ale aj vtedy ak máme od providera iba jednu verejnú adresu, ktorú môžeme použiť pre pripojenie do internetu. V uvedenom príklade som sa nevenoval podrobne všetkým možným konfiguráciám firewallu, ale snažil som sa vysvetliť základné princípy jeho fungovania. Pre potreby konkrétnej siete by sa jeho konfigurácia mohla byť iná a to hlavne v závislosti od toho aké služby sa od siete požadujú.

Katedra telekomunikácií 45

Žilinská univerzita v Žiline Diplomová práca

7.6 Overenie

Overenie funkčnosti modelu pozostávalo z viacero častí. Prvou časťou bolo overenie funkčnosti siete. Na moju skúšobnú sieť som pripojil počítač, ktorému som ako defaultnú gateway nastavil virtuálnu IP adresu routrov a to 10.0.0.10 . Ako adresu DNS servera som použil IP adresu vnútorného DNS servera spoločnosti Dial Telecom. Správnu funkčnosť siete som overil viacerými príkazmi:

Príkazom mtr, ktorý slúži ako ping a zároveň ako traceroute som overil dostupnosť vonkajšej siete (konkrétne sieť Žilinskej Univerzity) a zároveň som overil cestu, ktorou boli pakety smerované. Tie boli smerované cez prvý z routrov, ktorý bol nastavený ako master vo vzťahu k záložnému routru, ďalej cez router 217.67.18.33, ktorý bol peerom môjho routra a potom cez sieť SANET do siete Žilinskej Univerzity. Vonkajšia sieť bola teda dostupná a funkčný bol aj protokol CARP, ktorý vytváral virtuálnu IP adresu pre gateway mojej siete. Pre úplnosť uvádzam výpis príkazu mtr 158.193.82.55 : mtr 158.193.82.55 Packets Pings Host Loss% Snt Last Avg Best Wrst StDev 1. 217.67.18.33 0.0% 22 0.3 0.3 0.3 0.6 0.1 2. six.dialtelecom.sk 0.0% 22 0.7 0.6 0.3 0.8 0.1 3. Sanet-gw.six.sk 0.0% 22 0.7 3.2 0.6 54.1 11.4 4. ZU-Zilina.sanet2.sk 0.0% 22 3.5 3.7 3.5 4.6 0.2 5. sw-vd-uk.net.utc.sk 0.0% 22 4.3 4.3 3.8 4.6 0.2 6. 158.193.88.253 0.0% 22 4.3 4.7 4.0 7.1 0.7 7. vd-e-111-pc-3.student.utc.sk 0.0% 22 4.5 4.3 3.9 5.5 0.4

Pripojeným na internetovú stránku http://www.geobytes.com/iplocator.htm som zistil vlastnú IP adresu, ktorá bola 217.67.24.249. To znamená, že firewall spolu s NATom, fungoval správne a prekladal privátnu adresu vnútornej skúšobnej siete 10.0.0.3 na verejnú adresu 217.67.24.249.

Katedra telekomunikácií 46

Žilinská univerzita v Žiline Diplomová práca

Ďalšie overenie správnosti konfigurácie sa týkalo routrov. Najprv som si overil konfiguráciu routra č.1 a to príkazom show ip bgp , ktorý vypísal údaje o všetkých sieťach, ktoré sú dosiahnuteľné. Z výpisu možno vidieť veľký počet sietí a to znamená že router komunikuje so svojim peerom a ten mu posiela svoje tabuľky o dostupných sieťach. Výpis prvých pár riadkov príkazu show ip bgp je nasledovný:

Network Next Hop Metric LocPrf Weight Path * 0.0.0.0 217.67.20.129 100 0 (65040) i *> 217.67.18.33 100 0 (65040) i * 3.0.0.0 217.67.17.11 40015 100 0 (65040 65020) 1299 701 703 80 i * 217.67.17.11 40015 100 0 (65040 65020) 1299 701 703 80 i * 4.0.0.0 217.67.17.11 40015 100 0 (65040 65020) 1299 3356 i * 217.67.17.11 40015 100 0 (65040 65020) 1299 3356 i * 4.0.0.0/9 217.67.17.11 40015 100 0 (65040 65020) 1299 3356 i * 217.67.17.11 40015 100 0 (65040 65020) 1299 3356 i * 4.21.254.0/23 217.67.17.11 40015 100 0 (65040 65020) 1299 10355 10355

Príkazom show ip bgp summary, som zistil počet peerov a počet prefixov prijatých od každého z nich. Počet peerov bol 2, čo je správne, pretože každý z routrov mal nastavených 2 peerov. Jedným peerom bol router spoločnosti a druhým peerom bol záložný router. Výpis príkazu ip bgp summary je nasledovný :

BGP router identifier 217.67.18.34, local AS number 65045 29557 BGP AS-PATH entries 7 BGP community entries Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 217.67.18.33 4 65040 1221336 121044 0 0 0 00:00:45 182845 217.67.20.129 4 65040 132637 67439 0 0 0 00:31:45 182849 Total number of neighbors 2

Predošlé dva príkazy som spustil aj na routry č.2 a zistil som podobné výsledky. Správnosť konfigurácie sa overila aj na routry s číslom autonómneho systému 65040, to znamená na routry spoločnosti, ktorý bol peerom pre moju sieť. Na tomto routry som spustil príkaz show ip bgp 217.67.24.248/29, ktorý zobrazil, Katedra telekomunikácií 47

Žilinská univerzita v Žiline Diplomová práca

že moja sieť je routru oznamovaná zo štyroch rôznych smerov, čo je správne, pretože sieť je oznamovaná z dvoch routrov a každý z nich je pripojený dvoma samostatnými linkami. Z výpisu je možné vidieť nastavenú metriku, ktorá rozhoduje o najvýhodnejšej ceste pre smerovanie paketov. Výpisu príkazu show ip bgp 217.67.24.248/29 je nasledovný:

BGP routing table entry for 217.67.24.248/29 Paths: (4 available, best #4, table Default-IP-Routing-Table) Advertised to non peer-group peers: 217.67.17.1 217.67.17.4 217.67.17.5 217.67.17.7 217.67.17.9 217.67.17.11 (65045) 217.67.20.150 from 217.67.20.150 (217.67.18.38) Origin IGP, metric 11, localpref 100, valid, confed-external Last update: Fri Mar 31 16:40:56 2006 (65045) 217.67.20.130 from 217.67.20.130 (217.67.18.34) Origin IGP, metric 5, localpref 100, valid, confed-external Last update: Fri Mar 31 16:24:28 2006 (65045) 217.67.18.38 from 217.67.18.38 (217.67.18.38) Origin IGP, metric 10, localpref 100, valid, confed-external Last update: Fri Mar 31 16:14:27 2006 (65045) 217.67.18.34 from 217.67.18.34 (217.67.18.34) Origin IGP, metric 3, localpref 100, valid, confed-external, best Last update: Fri Mar 31 16:11:04 2006

Poslednou skúškou bolo overenie funkčnosti protokolu CARP, to znamená funkčnosť presmerovať prevádzku na druhý z routrov v prípade výpadku prvého z nich. Skúšanie som vykonal reštartovaním routra. Druhý z routrov prebral prevádzku (funkciu) prvého routra za 16 sekúnd. Táto doba záleží od dvoch faktorov. Prvý z limitujúcich faktorov je časový interval, v ktorom si hlavný a záložný router v tom istom autonómnom systéme posielajú správy o funkčnosti, ten je nastavený na 1 sekundu.

Katedra telekomunikácií 48

Žilinská univerzita v Žiline Diplomová práca

Druhý z faktorov je časový interval, v ktorom si routre z dvoch rôznych autonómnych systémov, čiže jeden z mojich routrov a router spoločnosti, vymieňajú informácie o dostupných sieťach. Táto doba bola nastavená na 15 sekúnd. Spočítaním týchto dvoch intervalov dostaneme dobu potrebnú na presmerovanie prevádzky na druhý z routrov, konkrétne 16 sekúnd, čo sa zhodovalo s nameraným časom.

Podobných výsledkov a časových intervalov som dosiahol aj pri testovaní výpadku jednej z liniek.Linku, po ktorej prebiehala komunikácia som náhle odpojil. Router po preposlaní tabuliek zistil počet dostupných ciest k skúšobnej sieti a podľa vopred nastavenej metriky zvolil najvýhodnejšiu cestu. Pri výpadku routra alebo linky dochádza k rozpadnutiu TCP spojenia. To je možné odstrániť použitím protokolu pfsync medzi routrami. V tomto prípade to však nebolo možné, nakoľko na jednom z routrov bol použitý operačný systém Linux, pre ktorý v súčasnosti neexistuje implementácia pfsync protokolu.

Katedra telekomunikácií 49

Žilinská univerzita v Žiline Diplomová práca

8. Záver

Na dosiahnutie takýchto výsledkov bolo nevyhnutné oboznámiť sa do hĺbky s problematikou návrhu počítačových sietí, špeciálne s virtuálnymi sieťami a nepochybne aj smerovacími protokolmi. Keďže takmer celý uzol je postavený na unixovej platforme, bolo najprv nevyhnutné zvládnuť konfiguráciu oboch routrov. To zahŕňalo konfiguráciu samotného systému a samozrejme aj softwaru Quagga, nutného pre smerovanie. Pri konfigurácii som teda získal veľa praktických skúseností z oblasti Linuxu. Problematika návrhu počítačových sietí je rozsiahly obor a preto som sa pri návrhu snažil držať zadania a nerozširoval som výsledný model o ďalšie funkcie, ktoré však môžu byť v prípade potreby doplnené. Navrhnutý uzol je možné využiť či už ako jeden z uzlov pre existujúcu sieť spoločnosti alebo ako uzol pre niektorého zákazníka spoločnosti. Môže byť taktiež vhodnou pomôckou a vzorom pri tvorbe iného sieťového uzla. Uzol je navrhnutý ako model, na ktorom som demonštroval redundanciu zariadení na druhej a tretej vrstve modelu ISO/OSI a s tým súvisiacich protokolov a prakticky som na ňom odskúšal výpadok niektorého zo zariadení alebo linky. Kapacita uzla je závislá od použitých zariadení. Pridaním kariet do switchu môžeme zvýšiť počet portov a tým aj zväčšiť celú sieť. So zvýšením počtu počítačov v sieti však treba počítať aj pri návrhu hardwarového vybavenia routra a tento vybaviť dostatočne výkonným hardwarom. V mojej práci som sa snažil podať trochu iný pohľad na možnosti, ktoré ponúkajú počítačové siete a ukázať niečo málo z obrovského potenciálu, ktorý v sebe ukrývajú. Zohľadňoval som pri tom aj finančnú stránku a tiež použitie technológií, ktoré sú v praxi menej využívané.

Katedra telekomunikácií 50

Žilinská univerzita v Žiline Diplomová práca

Zoznam použitej literatúry

[1] IEEE 802.1Q Virtual Bridged Local Area Networks

[2] Internetový server: www.svetsiti.cz http://www.svetsiti.cz/view.asp?rubrika=Technologie&clanekID=213

[3] The Virtual Lan Technology Report http://www.3com.com/other/pdfs/solutions/enUS/20037401.pdf

[4] Tutorial on VLANs http://www.commsdesign.com/showArticle.jhtml?articleID=26806955

[5] GARP VLAN Registration Protocol http://www.networkdictionary.com/protocols/gvrp.php

[6] Generic Attribute Registration Protocol http://www.alliedtelesyn.co.nz/documentation/at8700/261/pdf/garp.pdf

[7] Understanding Spanning-Tree Protocol http://www.cisco.com/univercd/cc/td/doc/product/rtrmgmt/swntman/ cwsimain/cwsi2/cwsiug2/vlan2/stpapp.htm

[8] Understanding Rapid Spanning Tree Protocol http://www.cisco.com/warp/public/473/146.html

[9] Spanning Tree Protocol – útoky/slabiny, RSTP http://atm.felk.cvut.cz/mps/referaty/2004/verunak/

[10] Configuring Metro Features http://www.foundrynet.com/services/documentation/sribcg/Metro.html

Katedra telekomunikácií

Žilinská univerzita v Žiline Diplomová práca

[11] Internetový server http://iggy.yweb.sk/

[12] Blunár, K., Diviš, Z.: Telekomunikačné siete. Časť I, Žilinská univerzita v Žiline, EDIS 2000

[13] Halabi, Bassam. Internet Routing Architectures. Cisco Press: Indianapolis, 1997.

[14] RFC 1771, A Border Gateway Protocol 4

[15] Firewall Redundancy with CARP and pfsync http://www.openbsd.org/index.html

[16] CARP your way to high availability http://software.newsforge.com/software/04/04/13/1842214.shtml

Katedra telekomunikácií

ČESTNÉ VYHLÁSENIE

Vyhlasujem, že som zadanú diplomovú prácu vypracoval samostatne, pod odborným vedením vedúceho diplomovej práce ( Ing. Peter Zuberec) a používal som len literatúru uvedenú v práci. Súhlasím so zapožičiavaním diplomovej práce.

V Trnave, dňa 14.5.2006 ...... podpis

POĎAKOVANIE

Touto cestou sa chcem poďakovať vedúcemu diplomovej práce Ing. Petrovi Zubercovi za poskytnuté cenné rady a pripomienky , ktorými prispel pri vypracovaní tejto diplomovej práce. Ďalej by som sa rád poďakoval ľudom, ktorí mi ochotne pomohli při riešení mnohých otázok, či poskytli cenné informácie z praxe :

Matúš Štaudt Michal Hanula