Využitie sieťového operačného systému RouterOS v sieti ISP

Transcription

1 Bankovní institut vysoká škola Praha Katedra informatiky a kvantitativních metod Využitie sieťového operačného systému RouterOS v sieti ISP Bakalárská práca Autor: Filip Lukáč Informační technologie, Audit informačních systémů Vedúci práce: Doc. RNDr. Juraj Pančík, CSc. Praha 2016

2 Vyhlásenie Vyhlasujem, že som bakalársku prácu spracoval samostatne a v zozname uviedol všetku použitú literatúru. Svojím podpisom potvrdzujem, že odovzdaná elektronická verzia práce je identická s jej tlačenou verziou a som oboznámený so skutočnosťou, že sa práca bude archivovať v knižnici BIVŠ a ďalej bude sprístupnená tretím osobám prostredníctvom internej databázy elektronických vysokoškolských prác. Vo Zvolene dňa 30. júna 2016 Filip Lukáč 2

3 Poďakovanie Touto cestou ďakujem vedúcemu mojej bakalárskej práce doc. RNDr. Jurajovi Pančíkovi, Ph.D., za metodické vedenie, odbornú konzultáciu a hodnotné rady, ktoré mi poskytol pri písaní práce. Vo Zvolene dňa 30. júna 2016

4 Anotácia Táto bakalárska práca se zaoberá problematikou používania sieťových operačných systémov v aktívnych prvkoch počítačovej sieti. Analyzuje prostredie a funkcie vybraných sieťových operačných systémov, predstavuje možnosti nasadenia, snaží sa identifikovať silné a slabé stránky a porovnať ich so sieťovým operačným systémom RouterOS. Práca má za cieľ analýzu vhodného riešenia pre poskytovateľa Internetu a predstaviť poznatky z nasadenia RouterOS v praxi. Kľúčové slová Počítačové siete, sieťový operačný systém, RouterOS, ISP, QoS,projekt. Annotation This bachelor s thesis deals with the issue of the use of network operating systems in active components of a computer network. It analyzes environment and functions of selected network operating systems, presents the possible deployment, seeks to identify strengths and weaknesses and compare it with the network operating system RouterOS. The work aims to analyze appropriate solutions for the Internet service providers and to present information about RouterOS deployment in practice. Keywords Computer networks, network operating system, RouterOS, ISP, QoS, project.

5 Obsah Úvod Teoretická časť Počítačové siete Vymedzenie pojmu sieť Štandardy Ethernet TCP/IP Prepínač Smerovač VLAN DNS Kvalita služby Fair User Policy Bezpečnosť počítačových sietí Operačný systém Sieťový operačný systém Poskytovatelia internetových služieb (ISP) Charakteristika štandardov projektového riadenia a ich analýza Systémový prístup k projektovému riadeniu Procesné poňatie projektového riadenia Životný cyklus projektu Organizačné štruktúry Definícia malých a stredných firiem Najvýznamnejšie metódy a techniky Výber vhodnej metodiky Charakteristika vybraných sieťových operačných systémov a ich analýza Popis vybraných sieťových operačných systémov FreeBSD Junos Cisco IOS OpenWrt Linux RouterOS Analýza vybraných sieťových operačných systémov Nasadenie RouterOS v sieti konkrétneho ISP Analýza návrhu QoS v prostredí RouterOS Projekt Optimalizácia QoS a bezpečnosti Charakteristika spoločnosti Požiadavky na projekt Záujmové skupiny Personálne obsadenie Špecifikácia metód Konkrétne výstupy Harmonogram Rozpočet Vývoj konfigurácie pre QoS, FUP a bezpečnosť

6 3.3.1 Sieť a hardware Riešenie pre QoS Riešenie pre FUP Riešenie pre zvýšenie bezpečnosti Testovanie Diskusia...74 Záver...76 Zoznam použitej literatúry...77 Zoznam tabuliek...80 Prílohy

7 Úvod Cieľom mojej práce je analýza a návrh projektu nasadenia operačného systému RouterOS v sieti konkrétneho Internet Service Providera. Súčasťou analýzy a návrhu je funkčná ukážka nasadenie v súčasnosti veľmi rozšíreného sieťového operačného systému RouterOS, ktorý riadi v sieti lokálneho poskytovateľa Internetu celý dátový prenos. Práca je rozdelená do troch častí. Teoretická časť má pomôcť čitateľovi zorientovať sa v problematike počítačových sietí. Prvá kapitola sa venuje štandardom a protokolom, ktoré dnes tvoria základ moderných počítačových sietí. Na ňu nadväzuje kapitola venovaná bezpečnosti počítačových sietí. V ďalšej kapitole teoretickej časti sa čitateľ zoznámi s obecným vymedzením pojmu operačný systém a jeho sieťových verzii. V neposlednom rade sa v teoretickej časti venujem oblasti projektového riadenia, ktorá súvisí s praktickou časťou mojej práce. Teoretická časť má teda poskytnúť čitateľovi potrebný teoretický základ, pre lepšie pochopenie nadväzujúcich časti mojej práce. Druhá časť je venovaná popisu vybraných sieťových operačných systémov a analýze ich použitia v počítačových sieťach. V tejto časti práce tiež podrobnejšie analyzujem možnosti a funkcie smerovačov, ktoré sú ovládané operačným systémom RouterOS. Praktická časť predstavuje ukážku projektu konkrétneho poskytovateľa Internetu, ktorého cieľom bolo nasadenie funkčných mechanizmov riadenia dátových tokov, priorizácie jednotlivých služieb, filtrovanie nežiadúcich dát a zvýšenie celkovej bezpečnosti v prostredí sieťového operačného systému RouterOS. Poslednú časť som koncipoval ako ukážku pre mierne pokročilých poskytovateľov. Kľúčovými metódami použitými v práci sú analýza a syntéza, ktoré som uplatnil pri písaní druhej aj tretej časti. Ďalej sú v práci použité metódy literárnej rešerše a to najmä v prvej časti. Pri písaní poslednej časti bakalárskej práce som uplatnil aj metódy modelovania a popisu. 7

8 1 Teoretická časť 1.1 Počítačové siete Ohromujúci rozvoj a rozšírenie počítačových sietí v posledných rokoch, ktorý sa tiež označuje výrazom internetová revolúcia, znamenal pre svet zásadnú zmenu, zrovnateľnú s najväčšími míľnikmi v histórii ľudstva, akým v minulosti bolo vynájdenie kníhtlače. Počítačových siete, podobne ako kníhtlač, posunuli výmenu informácii na novú, technologicky vyspelejšiu úroveň. Jednou z hlavných vlastností počítačových sieti je, že rýchlosť výmeny informácii po sieti je niekoľkonásobne rýchlejšia, ako je tomu pri tlačenej forme či verbálnej komunikácii. Rozvoj v tejto oblasti už zašiel tak ďaleko, že v dnešnej dobe sú používatelia počítačov na sieti viac či menej závislí. Potrebujú ju prakticky ku každej činnosti. Nejedná sa len o prezeranie webových stránok alebo elektronickej pošty, ale aj aktualizácie aplikácií, Internet banking, autorizáciu aplikácii, cloud computing, streamovanie multimédií, zabezpečovacie systémy, VoIP atď. Fenoménom poslednej doby sa stali najmä online sociálne siete (napr. Facebook, Instagram). Rozširujúci okruhu služieb, určených pre zdieľanie informácií a vzájomnú interakciu, sa potom nezriedka stáva katalyzátorom spoločenských zmien a vedie k zmene v chápaní obecných konvencií. Rozšírenie počítačových sietí so sebou priniesol aj niektoré negatívne aspekty, ako strata sociálnych kontaktov alebo zneužitie osobných údajov 1. Isté negatíva však, so sebou prinášajú skoro všetky druhy inovácií. Pozitívne prínosy v konečnom dôsledku ďaleko prevyšujú tie negatívne. Čo tvorí počítačové siete, ktoré organizácie zastrešujú ich vývoj a aké štandardy sa uplatňujú pri ich prevádzke zhrniem v nasledujúcej kapitole Vymedzenie pojmu sieť Sieť je spojenie určitého hardvéru, softvéru a kabeláže (vodičov), ktoré spoločne umožňujú vzájomnú komunikáciu rôznych počítačových zariadení. Malú sieť, kde jednotlivé počítače do nej pripojené nie sú od seba príliš vzdialené (v priestoroch budovy alebo areálu), 1 Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu. 8

9 voláme lokálna sieť (angl. Local Area Network, LAN) 2. Na prepojenie lokálnych sietí, ktoré môžu byť od seba viac či menej fyzicky vzdialené, slúži potom pomenovanie rozľahlá sieť (angl. Wide Area Network, WAN). Pojem vzdialenosti je v tomto prípade relatívny, pretože výsledná vzdialenosť môže byť kilometer, ale aj stovky kilometrov (Šusteková, 2007). HALÁSZ (2000) uvádza, že siete WAN označujeme tiež pojmom podnikové siete WAN, pretože takéto siete väčšinou vlastnia a prevádzkujú veľké podniky, spravidla telekomunikačný operátori resp. poskytovatelia internetových služieb (viď kapitola 1.3) (Halász, 2000). Medzi počítačovými sieťami má svoje významné postavenie Internet. Pomenovanie Internet vzniklo spojením dvoch slov interconnected networks, alebo tiež vo voľnom preklade "sieť prepojených sietí". Sú k nemu pripojené skoro všetky LAN a WAN siete a môžu sa k nemu pripojiť aj jednotlivci. Celý Internet je vytvorený tak, že každá WAN je pripojená k najmenej jednej ďalšej sieti. Pripojenie do siete Internet sprostredkujú poskytovatelia internetových služieb (angl. Internet Servise Providers, ISP), ktorí ponúkajú sieťové spojenie medzi jednotlivými firmami, domácimi používateľmi a tiež inými poskytovateľmi internetových služieb. Takže nakoniec tak vznikne priama cesta medzi používateľmi a firmami od každého ku každému (Kukučka, 1998). Na obrázku č. 1 je znázornený schematický pohľad na sieť Internet. Firma A je čiarou prepojená s poskytovateľom 1. Táto čiara predstavuje médium 3, pomocou ktorého môže podniková sieť firmy A komunikovať so sieťou poskytovateľa 1. Domáci používateľ B je pripojený k sieti poskytovateľa 2. Môžeme predpokladať že využíva najrozšírenejšiu technológiu pripojenie, ktorou na Slovensku je asymetrické digitálne účastnícka linka (Asymmetric Digital Subscriber Line, ADSL) 4. Dnes sa k Internetu pripájajú dennodenne miliardy počítačových zariadení na celom svete, ktoré medzi sebou vzájomne komunikujú ( ). 2 Podrobnou definíciou štandardov a protokolov sietí LAN, sa venuje odborové združenie IEEE (Institute of Electrical and Electronics Engeneers). 3 Médium môže byť kábel, alebo mikrovlnný spoj, optický kábel. 4 Pojem asymetrická znamená, že pri prenose dát sa využíva vyššia prenosová rýchlosť smerom k používateľovi a nižšia od používateľa. 9

10 Obrázok 1: Schematický pohľad na sieť Internet; úprava: vlastná Každý počítač potrebuje na pripojenie do siete určitú konektivitu, resp. fyzické pripojenie. Fyzická konektivita zahrňuje kombináciu kabeláže, sieťového hardwaru (napr. smerovača, prepínača) a sieťových kariet v počítačoch, ktoré spoločne zaisťujú fyzickú možnosť vysielania a prijímania dát v sieti. Táto časť siete, ktorú tiež označujeme spoločne ako sieťový priestor, reprezentujúci všetky sieťové komponenty, ostáva pred používateľom spravidla skrytá (Šusteková, 2007). Z používateľského pohľadu sú potom oveľa dôležitejšie nasledovné časti siete: počítače koncových používateľov, teda spravidla osobné počítače (Personal Computer, PC) a servery poskytujúce používateľom siete určité služby (jedným z pôvodných významov anglického slova server je "sluha"). Najčastejšie typy sieťových služieb v podnikových sieťach sú súborové a tlačové služby. Tieto služby označujem tiež výrazom "transparentné" služby a to z dôvodu, že fungujú akoby bez vedomia používateľov. Poznáme potom aj služby, s ktorými používatelia pracujú zámerne a vedome. Tieto služby sú prístupné hlavne cez Internet (Kállay, Peniak, 1998). Medzi takéto služby patrí prehliadanie webových stránok prostredníctvom webového prehliadača (napr. Google Chrome, Mozilla Firefox). Takýto prehliadač je fakticky 10

11 softvérová aplikácia, nainštalovaná na počítači používateľa, ktorá umožňuje stiahnuť, zobraziť alebo prehrať rozličné informácie v rôznej podobe, či textové, animované alebo zvukové. Tieto informácie sa najprv nachádzajú na webovom serveri, odkiaľ sú následne po ich vyžiadaní sťahované do počítača. Obsah, ktorý sa zobrazuje používateľom v prehliadači, označujeme výrazom webová stránka. Každá webová stránka ma svoju adresu, vo forme textové reťazca, ktorá ju jednoznačne identifikuje. Táto webová adresa stránky sa nazýva URL (angl. Uniform Resource Locator). Napr. webová stránka Bankovního Institutu má URL Ďalšou obľúbenou službou na Internete je elektronická pošta, resp. . Elektronická pošta slúži rovnako ako "klasická pošta", kde odosielaľ posiela správu príjemcovi. Medzi rozšírené služby v prostredí internetu patrí ďalej sťahovanie a prenos súborov (Pužmanová, 2004) Štandardy Podľa Horáka a Keršlágera (2011) sa pri návrhu sieti riadime určitými štandardami, resp. normami. Moderná architektúra siete vyžaduje implementáciu množiny stoviek až tisícov štandardov, ktoré potom spoločne označujeme ako sieťový model. Štandardy umožňujú výrobcom vyrábať vzájomne kompatibilné zariadenia, ktoré môžu medzi sebou následne komunikovať. Ich nasadenie je možné naprieč rôznymi systémami, ktoré bežia na odlišných platformách. Pri komunikácii dvoch počítačov sa dáta odosielajú z jedného počítača na druhý ako skupina bitov. Bit reprezentuje dva elektrické stavy, 0 a 1 a teda prenos prebieha v binárnej resp. dvojkovej sústave. Z anglického výrazu "binary digit", čo znamená binárne číslice, bolo odvodené aj samotné označenie bit. Ako jednotka množstva dát sa v súčasnosti potom používa termín bajt, ktorý predstavuje 8 bitov (Horák, Keršláger, 2011). Pri počítačových sieťach sa elektrické stavy rozlišujú pomocou elektrického napätia vo vodičoch, pričom jedna úroveň napätia vyjadruje binárnu nulu a druhá úroveň binárnu jednotku. Fyzikálny prenos bitov prebieha tak, že odosielacie zariadenie prevedie binárne dáta do podoby elektrických signálov a podľa toho vyvolá na vodiči istú úroveň napätia, ktorú zariadenie na druhom konci interpretuje späť do podoby binárnych číslic. Takéto generovanie elektrických signálov z binárnych dát sa označuje ako kódovanie a je definovane pomocou sieťových štandardov. Súčasťou štandardu je potom definícia úrovne napätia pre nulu a jednotku. Nulu spravidla reprezentuje napätie ±5 V a jednotku potom 11

12 reprezentuje napätia ±10 V. Zmena napätia prebieha skokovo - okamžite sa zmení na inú úroveň. Pre správne fungovanie digitálneho prenosu, si musia odosielateľ aj prijímateľ dohodnúť aj prenosovú rýchlosť. Môžu sa dohodnúť, že napätie budú meniť 10 milión krát za sekundu. Po sieti potom vedia preniesť 10Mb dát za sekundu (10Mb/s, megabitov za sekundu). Úrovne zaznamenaného napätia prijímacím zariadením sa môže v určitých prípadoch od týchto definovaných hodnôt odlišovať, hlavne z dôvodu elektromagnetického rušenia, ktorému sa žiaľ nedá vyhnúť. V sieťach preto existujú mechanizmy, ktoré zaisťujú opravy v dôsledku neúspešného prenosu dát. Tieto problémy dnes vieme riešiť vďaka sieťovým protokolom, implementovaným do softvéru, ktorý tak vie rozpoznať a opravovať takéto chyby (Sosinsky, 2010) Ethernet Podľa Horáka a Keršlágera (2011) musia dáta v lokálnych sieťach LAN vyhovovať určitým pravidlám. Tieto pravidlá sú definované v normách, resp. štandardoch a spolu predstavujú súbor pravidiel pre určité typy sietí. Najrozšírenejší typ siete je Ethernet, za ktorým stojí združenie IEEE. Prípravu štandardov a protokolov dostal na starosť výbor Všetky prijaté normy týmto výborom sú tiež označované ako 802.3, alebo tiež ako vrstva riadenia prístupu k médiu (Media Access Control, MAC). Normy siete Ethernet tak napríklad popisujú schému kódovania binárnych núl a jednotiek pomocou striedavého napätia. Ďalej sú v nich popísané pravidlá pre zapuzdrenie dát, ktoré chceme posielať do siete LAN. Skôr ako sa dáta začnú odosielať, musia sa zapuzdriť do ethernetového rámca. Výrazom zapuzdrenie rozumieme doplnenie dát práve o spomínané ethernetové záhlavie a pätu. Prvých 8 bajtov ethernetovej hlavičky sa označuje ako preambula, v ktorej sa pravidelne striedajú len jednotky a nuly, čím sa jednoznačne rozpoznáva prenos nového rámca (Horák, Keršláger, 2011). V sieti Ethernet s rozbočovačom môže dôjsť k vysielaniu dvoch a viacerých rámcov súčasne, nakoľko rozbočovač vždy opakuje všetky prijaté elektrické signály do všetkých ostatných portov okrem portu, z ktorého signál prijal. V takom prípade prijímacie zariadenie nedokáže rozpoznať binárne nuly a jednotky. V sieťovej terminológii sa takému javu hovorí kolízia (Sosinsky, 2010). Sosinsky (2010) ďalej uvádza, že normy siete Ethernet definujú určitý základný algoritmus, ktorý pomáha znížiť množstvo kolízií, a stanovujú postup pri ich vzniku. Tento 12

13 algoritmus sa označuje ako viacnásobný prístup k prenosovému médiu s načúvaním nosných a detekciou kolíznych stavov (angl. Carrier Sense Multiple Access Collision Detect, CSMA/CD) (Sosinsky, 2010). Halász (2000) dopĺňa, že prvou a najdôležitejšou zásadou tohoto algoritmu je: Pred vlastným vysielaním načúvaj prenosovému médiu, chvíľku počkaj, a až nepočuješ žiadny cudzí rámec, začni vysielať svoj vlastný (Halász, 2000). Tento algoritmus však nedokáže úplne zabrániť kolíziám, nakoľko môže nastať situácia, kedy začnú dve sieťové karty posielať rámce súčasne. V takom prípade počas vysielania vlastného rámca zachytia na prijímacích pároch vysielanie cudzieho rámca a ihneď vyšlú do siete kolízny signál (angl. jamming signal). Je to zvláštny signál, ktorý podľa normy oznamuje vznik kolízie všetkým príjemcom. Stanice následne vyberú náhodné číslo z intervalu od 0 do 2 k - 1, kde k je poradové číslo pokusu (od 10. pokusu se interval už nezväčšuje a horná hranice zostáva teda 1023). Náhodné číslo určuje dĺžku čakacej doby, po ktorej uplynutí stanice opakujú pokus o odosielanie. Maximálny počet pokusov je 16, potom je pokus o odosielanie považovaný za neúspešný. Varianty Ethernetu používajúce prepínače s plne duplexným režimom metódu CSMA/CD neuplatňujú (Horák, Keršláger, 2011). Každá sieťová karta má jedinečnú ethernetovú adresu (hovoríme tiež o fyzických adresách alebo adresách MAC), ktorú do nej zapisuje samotný výrobca 5. Aby bolo možné rozlíšiť koncového prijímateľa odosielaného rámca, zapisuje odosielateľ ethernetovú adresu do zvláštneho poľa, označovaného ako cieľová adresa v ethernetovej hlavičke samotného rámca. Ethernetová hlavička obsahuje tiež zdrojovú adresu, ktorá identifikuje sieťovú adresu odosielateľa. Na nasledujúcom obrázku č.2 uvádzam ako je definovaná hlavička a koniec rámca podľa normy (Moser, 2005). Obrázok 2: Ethernetová hlavička a koniec podľa noriem IEEE; zdroj: 5 Adresy MAC je možné meniť aj pomocou softwaru/firmwaru. 13

14 Sosinsky dodáva, že podľa noriem siete Ethernet majú MAC adresy dĺžku 48 bitov alebo 6 bajtov. Pre zjednodušenie zápisu sa používa šestnástková sústava, resp. hexadecimálna sústava (12 hexadecimálnych pozícii) (Sosinsky, 2010). V predchádzajúcich texte som popisoval princíp fungovania siete Ethernet v prípade, keď MAC adresa reprezentuje jedinečnú sieťovú kartu zapojenú do siete LAN. V takom prípade hovoríme o jednosmerných MAC adresách v prostredí jednosmerného vysielania (unicast). Ako príklad môžem uviesť komunikáciu klienta s webovým serverom. Normy siete Ethernet ale naviac definujú aj špeciálnu adresu MAC o ktorej hovoríme ako adresa všesmerového vysielania (nesmerová adresa) a ktorú reprezentuje 48 binárnych jednotiek, alebo v šestnástkovej sústave potom FF:FF:FF:FF:FF:FF. Ak niektorá sieťová karta odošle rámec s touto cieľovou adresou, tak v sieti Ethernet sa tento rámec rozošle do všetkých portov v rovnakej sieti LAN (resp. sieťového segmentu 6 ), bez ohľadu nato či sa jedná o port rozbočovača alebo prepínača. V tomto prípade sa jedná o všesmerové vysielanie (broadcast). Ako príklad môžem uviesť protokol CDP 7 pre identifikáciu zariadení (Sanders, 2012). Prijímacej sieťovej karte sa niekedy nepodarí správne interpretovať elektrické signály vo vodiči, v dôsledku kolízie, elektrického odporu, elektromagnetického rušenia a ďalších faktorov. Môže sa teda stať že 1 rozpozná ako 0. Aby bolo možné takéto chyby rozpoznať, majú ethernetové rámce na konci pole určené pre kontrolu postupnosti rámcov (angl. Frame Check Sequence, FCS), ktoré tvorí 4 bajtové číslo. Číslo je výsledkom matematickej funkcie, ktorou je spracovaný ethernetový rámec (okrem pätia). Tomuto procesu sa hovorí detekcia chýb a ak príjemca chybné rámce jednoducho zahodí. Proces nazývaný oprava chýb potom zabezpečuje opakované zaslanie chybného dátového rámca. Opravu chýb má v sebe zabudovaný až protokol TCP 8, ale samotný Ethnernet nie (Horák, Keršláger, 2011). Začiatkom 80 rokov, keď združenie IEEE preberalo vývoj noriem siete Ethernet od firmy Xerox, pracovala táto sieť s prenosovou rýchlosťou 10Mb/s. Postupom času združenie 6 Sieťový segment ohraničuje smerovač, ktorý všesmerové vysielanie ďalej neprepustí. Prejde len cez rozbočovač a prepínač. 7 Cisco Discovery Protocol (CDP) je proprietárny protokol používaný aktívnymi sieťovými prvky firmy Cisco Systems. Primárnym účelom tohoto protokolu je získanie parametrov susedných zariadení (v rámci jedného segmentu). 8 Viac v kapitola

15 IEEE predložilo radu rozširujúcich noriem pre sieť Ethernet, v rámci ktorých boli zvýšené aj prenosové rýchlosti. Združenie IEEE sa pri vydávaní nových noriem nesnažilo vytvoriť nový typ siete LAN, ale zachovalo spätnú kompatibilitu. Zmeny spočívali hlavne vo fyzickom kódovaní bitov pri prenose vo vodičoch a tiež v rýchlosti tohoto kódovania. V súčasnosti už prebieha vývoj 40gigabitového Ethernetu (Horák, 2011). Prehľad všetkých doteraz platných noriem siete Ethernet uvádzam v nasledujúcej tabuľke. Tabuľka 1: Standardy IEEE 802.3; zdroj: Označenie Norma IEEE Rýchlosť Typ kábla Ethernet Mb/s Medený, optický 9 Fast Ethenet 802.3u 100 Mb/s Medený, optický Gigabit Ethernet 802.3z 1 Gb/s Optický Gigabit Ethernet 802.3ab 1 Gb/s Medený 10 Gigabit Ethernet 802.3ae 10 Gb/s Optický Ako je vidieť v predchádzajúcej tabuľke, podporuje sieť Ethernet niekoľko prenosových rýchlostí. Združenie IEEE preto navrhlo štandard pre automatické dohody (automatické potvrdzovanie), ktorý uľahčuje prechod medzi jednotlivými rýchlosťami. Pri automatickom potvrdzovaní si potom obe strany najprv dohodnú akou prenosovou rýchlosťou budú komunikovať a tiež či budú používať plný alebo polovičný duplex. V prípade že sa nemôžu dohodnúť, prepnú sa oba do režimu 10 Mb/s a polovičný duplex (Horák, 2011) TCP/IP Na začiatku existovali viaceré vzájomne nekompatibilné modely sietí. Medzi prvé proprietárne sieťové modely patrili SNA, vyvinutý spoločnosťou IBM a DECnet spoločnosti DEC. Neskôr vznikol verejný sieťový model TCP/IP (angl. Transmission Control Protocol/Internet Protocol), ktorý preberalo čoraz viac výrobcov a dnes žijeme vo svete, kde prakticky každý počítač pracuje s týmto modelom siete. Proces tvorby štandardov TCP/IP riadi združenie IETF (angl. Internet Engineering Task Force), za prispenia jednotlivcov z mnohých organizácii a firiem. Jednotlivé protokoly štandardu 9 V optických kábloch sa používajú miesto medených vodičov sklenené vlákna a zariadenia v nich neprenášajú nuly a jednotky pomocou elektrických ale svetelných signálov. Fyzické vlastnosti skleneného vlákna a optických signálov umožňujú prenos vyšších rýchlosti, na väčšie vzdialenosti, s menším množstvom chýb a s vyššou bezpečnosťou. 15

16 TCP/IP sú potom popísané v dokumentoch RFC (angl. Request for Comment). Sada protokolov (angl protokol stack) TCP/IP obsahuje veľa protokolov, ktoré fungujú spoločne, ale za dva najdôležitejšie, ktoré boli prvé definované a tvorcovia ich dali aj do samotného názvu celej sady, sa považujú TCP (angl. Transmission Control Protocol) a IP (angl. Internet Protocol) (Pužmanová, 2009). Ďalšie významné protokoly sú tiež ARP (angl. Address Resolution Protocol), UDP (angl. User Datagram Protokol) a DHCP (angl. Dynamic Host Configuration Protocol). V sieťovom modely TCP/IP sú všetky štandardy a protokoly rozdelené do niekoľkých vrstiev. Každá vrstva sieťového modelu reprezentuje logické zoskupenie protokolov, ktoré fungujú spoločne. Názov vrstiev potom vyjadruje určitú všeobecnú funkciu, ktorú musí v sieti zabezpečovať. Jednotlivé vrstvy sú uvedené v tabuľke č. 2. Pri každej sú uvedené konkrétne protokoly ktoré sa v tej ktorej vrstve používajú. Tieto jednotlivé vrstvy modelu TCP navzájom spolupracujú pri odosielaní a doručovaní dát používateľom. Pre potreby tejto práce ešte uvediem, že v odbornej literatúre sa ešte stretávame so sieťovým modelom OSI (angl. Open System Interconnection). Model OSI začala vyvíjať Medzinárodná štandardizačná organizácia ISO (angl. International Standardization Organization) v rovnakej dobe ako vznikal v komerčnej sfére model TCP/IP s cieľom vytvoriť jednotný univerzálny sieťový model podporovaný všetkými počítačmi. Jeho vývoj prebiehal preto pomalšie a k jeho rozšíreniu nakoniec nedošlo. Napriek tomu sa jeho názvoslovie vo väčšine literatúry používa dodnes a je potrebné ho ovládať. Porovnanie rozdielov v OSI a TCP/IP uvádzam na nasledujúcej tabuľke č. 2 (Kabelová, Dostálek, 2008). Tabuľka 2: Porovnanie rozdielov v OSI a TCP/IP; zdroj: vlastná tvorba Model OSI Model TCP/IP Protokoly TCP/IP Aplikačná Aplikačná HTTP, SMTP, POP3 Prezentačná Relačná Prenosová (transportná) Prenosová (transportná) TCP, UDP Sieťová Internetová IP Spojová (linková) Sieťová Ethernet, Frame Relay, PPP Fyzická 16

17 Prenosový protokol TCP Prenosový protokol TCP je definovaný v dokumente RFC 793. Pracuje na 4. vrstve referenčného ISO/OSI modelu a zaisťuje služby pre protokoly v aplikačnej vrstve. Jeho najdôležitejšou vlastnosťou je oprava chýb pri prenose dát. Za normálnych okolností odosiela sieťové zariadenie dátové bity v skupinách, ktoré nazývame TCP segmenty, pretože práca s jednotlivými bitmi by bola veľmi nepohodlná, nakoľko pre zabezpečenie správneho prenosu dát, by sme museli overovať doručenie každého jedného bitu samostatne, čím by sa zvýšila réžia pri prenose dát, ako aj zvýšili nároky na výpočtový výkon. Proces rozdelenia prenášaných dát na časti sa nazýva segmentácia. Protokol TCP potom stanovuje takzvanú maximálnu veľkosť segmentu (angl. maximum segment size, mss), teda maximálny počet bajtov v segmente TCP (vrátane hlavičky). Spravidla to býva 1480 bajtov (Pužmanová, 2009). Kontrola chýb potom prebieha práve na úrovni TCP segmentov. Protokol TCP potrebuje pre tento účel číslovať jednotlivé prenášané segmenty. Poradové čísla segmentov (SEQ) sa zapisujú do hlavičky TCP. Hlavička TCP predstavuje skupina režijných bitov, dôležitých pre činnosť celého protokolu, ktoré sa pridávajú pred samotné používateľské dáta. Doplnenie hlavičky k aplikačným dátam sa označuje ako zapuzdrenie dát (angl. encapsulation). Obrázok č. 3 znázorňuje TCP hlavičku (Kabelová, Dostálek, 2008). Obrázok 3: Hlavička TCP segmentu; zdroj: 17

18 Ďalšou informáciou, ktorá sa zapisuje do hlavičky je číslo potvrdeného segmentu (ACK), ktorým príjemca oznamuje odosielateľovi, v ktorom segmente našiel chyby, resp. aký segment chce posielať ako ďalší. Do poľa s poradovým číslom, ako aj s číslom potvrdeného segmentu, sa zapisuje poradové číslo prvého bajtu dátovej časti segmentu. Ako som už písal, v kapitole venujúcej sa sieti Ethernet, príjemca rozpozná takúto chybu v prenášanom ethernetovom rámci podľa poľa FCS. Postup, pri ktorom príjemca do poľa s potvrdením, zapíše poradové číslo ďalšieho očakávaného bajtu a nie posledného skutočne doručeného bajtu, označujeme ako dopredné potvrdzovanie 10 (Kabelová, Dostálek, 2008). Hlavička TCP protokolu ďalej obsahuje pole takzvaného cieľového portu TCP. Toto číslo predstavuje jedinečné číslo portu TCP aplikačného programu na prijímacom zariadení (počítač, server), ktorému sú dáta určené. Napríklad v prípade webového servera reprezentuje toto číslo spravidla, port 80. V ďalšom poli TCP hlavičky je uvedený takzvaný zdrojový port TCP. Toto číslo reprezentuje port aplikácie, ktorá segment odoslala. Server tak pozná aké číslo portu má zapísať do svojej odpovedi, určenej príjemcovi (klient). Číslo portu TCP dostane klientska aplikácia (webový prehliadač) pridelené od softwaru TCP na danom počítači v okamžiku svojho prvého spustenia, teda dynamicky (Pužmanová, 2009). Niekoľko polí hlavičky TCP sa inicializuje v procese takzvaného nadväzovania spojenia TCP. Takéto spojenie sa medzi dvoma počítačmi nadväzuje napríklad pri každom pripojení prehliadača na novú stránku alebo pri každej kontrole pošty z ového klienta a podobne využíva sa trojcestný hand-shake.. Obe koncové strany komunikácie si pritom vymenia isté tri špeciálne segmenty TCP, hovoríme o tzv. trojcestnom hand-shaku. Klient zaháji nové spojenie odoslaním príznaku SYN=1 v hlavičke paketu. Každý paket, ktorý má nastavený SYN=1 je považovaný za zahajovací paket nového spojenia TCP. Ak je služba požadovaná na druhom počítači/serveri k dispozícii, tak odpovie odoslaním paketu s nastaveným príznakom SYN=1 a ACK=1. Klient potom odpovie paketom, v ktorom je nastavený len bit ACK=1 a spojení je týmto označené za nadviazané (ang. established) (Pužmanová, 2009). Protokol UDP Kabelová a Dostálek uvádzajú, že protokol UDP na rozdiel od protokolu TCP nezaručuje 10 Viac informácií o protokole TCP je možné nájsť v príslušných dokumentoch RFC 793 na 18

19 či se prenášaný IP paket nestratí, resp. či sa nezmení poradie doručených paketov, alebo či niektorý paket nebude doručený viackrát (Kabelová, Dostálek, 2008). Pužmanová dodáva, že Protokol UDP je vhodný použiť všade tam, kde sa vyžaduje jednoduchosť alebo pre aplikácie pracujúce systémom otázka-odpoveď (napr. DNS). Jeho bezstavovosť je užitočná pre servery, ktoré obsluhujú veľa klientov naraz alebo tam, kde sa počíta so stratami IP paketov a nie je potrebné opakovať posielanie nedoručených správ (napr. VoIP, stream, online hry) (Pužmanová, 2009). Protokol IP Protokol IP (angl. Internet Protocol) pracuje na tretej vrstve referenčného ISO/OSI modelu. V dnešnej dobe sa používajú dve verzie tohoto protokolu - staršia verzia IPv4, a potom novšia IPv6 (hlavný rozdiel oproti IPv4 je, že IPv6 prináša ďaleko väčší adresný priestor 128 bitov). Oba protokoly definujú logické adresovanie a smerovanie vrátane jeho presných mechanizmov. Rozšírenejší IPv4 protokol stanovuje, že každé sieťové rozhranie 11 musí mať jednoznačnú IP adresu. IP adresy sú 32 bitové binárne čísla a sieťovým zariadeniam slúži k zasielaniu dát v podstatne rozsiahlejších sieťach ako v typických fyzických sieťach Ethernet. Pre lepšiu čitateľnosť pre človeka sa ich hodnoty uvádzajú v takzvanom kanonickom formáte, respektíve dekadickom formáte oddelenom bodkami. Každé z dekadických čísel v IP adrese sa označuje ako oktet (Kabelová, Dostálek, 2008).. Na nasledujúcom príklade použijem prevod z binárnej formy na dekadickú známu IP adresu DNS servera spoločnosti Google: Protokol IPv4 podobne ako protokol TCP má svoju vlastnú hlavičku, ktorá obsahuje zdrojovú a cieľovú IP adresu. Hlavička v protokole IPv4 je definovaná ako 20 bajtový blok dát. Pri odosielaní dát z jedného zariadenia na druhé zapisuje odosielateľ v hlavičke do poľa cieľovú IP adresu - označenie prijímacieho zariadenia a do poľa zdrojová IP adresa svoju vlastnú adresu, podľa ktorej príjemca vie, kto mu dáta poslal a kam môže poslať odpoveď. Hlavičku spolu s prenášanými dátami nazývame IP packet. Skupinu postupne odosielaných IP paketov z jedného konkrétneho hostiteľského počítača do druhého 11 Sieťové rozhranie, alebo tiež sieťová karta (network interface card, NIC) predstavuje počítačovú kartu s fyzickým konektorom pre vhodnú sieť, ako je napríklad ethernetová karta. 19

20 nazývame dátový tok (Pužmanová, 2009). V typickej rozsiahlej sieti ako je Internet sa medzi klientskym počítačom a serverom nachádza množstvo smerovačov, čo sú sieťové zariadenia, ktoré sa rozhodujú o smere ďalšieho rozosielania packetov v počítačových sieťach. Protokol IP je zodpovedný za smerovanie packetov z klientskeho (zdrojového) počítača na cieľový server cez jednu alebo viac sieti, ktoré spájajú smerovače. Pužmanová dodáva, že proces smerovania IP sa napríklad opiera o princíp, podľa ktorého všetky IP adresy z rovnakej fyzickej siete (napr. ethernetovej siete LAN), majú určitú časť adresy spoločnú. Skupinu IP adries so zhodným začiatkom sa označuje ako sieť IP. Prvá časť (sieťová časť) čísla siete IP je zhodná (v zostávajúcich oktetoch sú nuly) so zodpovedajúcou časťou IP adresy všetkých zariadení v sieti. Zostávajúce bity v adrese (hostiteľská časť) sú potom určené pre jednotlivé zariadenia v sieti (Pužmanová, 2009).. Protokol IPv4 definuje siete IP troch veľkostí, ktoré označuje ako triedy sietí. Jednotlivé triedy majú pre sieťovú časť a hostiteľskú časť vyhradené rôzne počty bitov. Vďaka tomu vzniká v každej triede iný počet hostiteľských IP adries. Protokol IP umožňuje tieto triedy sietí ďalej deliť na isté podmnožiny, ktoré nazývame podsiete. Proces vytvárania podsietí umožňuje správcovi siete zámerne rozdeliť triedy siete na menšie skupiny hostiteľských IP adries. Vďaka tomu sa ušetrí veľké množstvo IP adries. Na obrázku č. 6 je diagram jednoduchej siete LAN, kde sú znázornené dva smerovače a tri siete IP. Pre odoslanie dát do smerovača R1 musí hostiteľ1 poznať jeho IP adresu, resp. IP adresu toho rozhrania smerovača (Ethernet1), ktoré je pripojené do rovnakej ethernetovej siete ako hostiteľ1. Tento smerovač predstavuje z pohľadu hostiteľa1 východiskovú bránu (východiskový smerovač) pre odosielanie paketov do cudzích sietí. Hostiteľ môže získať IP adresu východiskovej brány dvoma spôsobmi. Buď sa IP adresa východiskovej brány zapisuje na príslušné miesto v konfigurácii osobného počítača, alebo ju hostiteľ zistí dynamicky, pomocou protokolu DHCP. Pre odoslanie packetu potrebuje ešte získať MAC adresu východiskového smerovača. Hostiteľ ju získa prostredníctvom protokolu ARP (angl. Address Resolution Protocol), ktorý slúži k odvodeniu MAC adresy zo zadanej IP adresy. Údaje o MAC adresách a im odpovedajúcim IP adresám sa ukladajú do špeciálnej medzipamäte nazývanej ARP cache. V momente keď získa MAC adresu môže hostiteľ1 odoslať ethernetový rámec do smerovača R1. Ten by ho mal v ďalšom kroku preposlať do 20

21 smerovača R2. Predtým ešte skontroluje pole FCS došlého rámca, ak zistí chybu, jednoducho ho zahodí. Ak je v poriadku, odstráni ethernetovú hlavičku a pätu. Ostane len pôvodný packet IP. Odtiaľ sa dozvie cieľovú IP adresu packetu. Následne ju porovná so zoznamom v smerovacej tabuľke IP, ktorá obsahuje zoznam sietí a podsietí a cestu cez ktoré rozhranie, resp. smerovač sa k ním dostane. Pred odoslaním IP packetu cez rozhranie Ethernet2 ho ešte musí opäť zapuzdriť do ethernetového rámca. Vlastnú MAC adresu zapíše do nového rámca ako zdrojovú a cieľovú MAC adresu použije smerovača R2 (ak ju nemá, získa ju pomocou protokolu ARP). V smerovači R2 sa celý proces analogicky zopakuje a IP packet nakoniec dorazí do cieľa. Rovnakou logikou funguje smerovanie aj v prípade rôznych podsietí. Pre úplné dokreslenie problematiky smerovania je potrebné uviesť, že hostiteľské počítače nachádzajúce sa v rámci rovnakej podsiete komunikujú spolu priamo a neposielajú si packety cez smerovače. Obrázok 4: LAN sieť s dvoma smerovačmi; zdroj: vlastná tvorba Prepínač Pre prepojenie dvoch počítačov so sieťovými kartami nám stačí jedna sieťová karta v každom počítači a krížený kábel (angl. cross-over cable), ktorým sa spojili pin 1 a 2 z jedného konektoru s pinom 3 a 6 druhého konektoru. Na prepojenie viacerých počítačov týmto spôsobom by sme potrebovali jednu sieťovú kartu pre každý nový pripojený počítač, čo je samozrejme veľmi nepraktické. Druhá možnosť je viesť od každého počítača len 21

22 jeden kábel a zapojiť všetky do jedného sieťového zariadenia - prepínač (switch). Logika prepínača kontroluje obsah etehrnetového rámca a vyhľadáva tam cieľovú adresu MAC, na ktorej základe potom vykonáva inteligentné rozhodovanie. Pri rozhodovaní o preposielaní ethernetového rámca sa v prepínačoch používa tabuľka portov a MAC adries tzv. CAM tabuľka (angl. Content Addressable Memory, CAM) z danej siete (Moser, 2005). Prepínač zapisuje MAC adresy a porty do CAM tabuľky dynamicky z prijímaných ethernetových rámcov. Tomuto rozhodovaniu, keď prijatý rámec smerovač odošle do jediného portu, hovoríme prepúšťanie (preposielanie) rámca. Pričom do ostatných portov ten istý rámec už prepínač neodosiela a hovoríme teda o filtrovaní (Habraken, 2006). V prípade, kedy smerovač nenájde zhodu s cieľovou MAC adresou dátového rámca v CAM tabuľke, vyvolá takzvanú záplavu a tento dátový rámec rozpošle na všetky porty, okrem portu z ktorého prišiel. Prepínaču to umožňuje doručiť ethernetové rámce aj v prípadoch, kedy nepozná výstupný port. Pre zabezpečenie priamej komunikácie musia smerovače identifikovať zariadenie pomocou jeho MAC adresy. To znamená, že pracujú na spojovej (linkovej) vrstve referenčného ISO/OSI modelu (Sanders, 2012). Moser uvádza, že ďalšou výhodou prepínača je používanie vyrovnávacej pamäte (angl. buffer) pre dočasné ukladanie ethernetových rámcov. Celá logika prepínača potom pracuje tak, že po prijatí ethernetového rámca sa pozrie na cieľovú ethernetovú adresu a rámec odošle iba na ten port cez ktorý sa k nej dostane. Ak je potrebné do rovnakého portu odoslať niekoľko rámcov súčasne, odošle sa len jeden rámec a ostatné sa dočasne uložia do vyrovnávacej pamäte. Odtiaľ sa odošlú až keď sa port opäť uvoľní (Moser, 2005). U prepínačov sa ešte môžeme stretnúť s potlačením samotnej logiky CSMA/CD zabraňujúcej vzniku kolízii. A to v jednom konkrétnom prípade, keď je umožnené na jednom porte zároveň prijímať aj odosielať ethernetové rámce. Táto možnosť sa nazýva plne duplexný alebo obojsmerný režim (plný duplex). Analogicky sa režim pracujú podľa pravidiel CSMA/CD nazýva polovičný duplex (Habraken, 2006). Na trhu sú dostupné aj pokročilé druhy prepínačov, ktoré sa dajú spravovať pomocou špeciálneho softwaru príslušného dodávateľa alebo cez webové rozhranie. Tieto prepínače sa potom označujú ako konfigurovateľné prepínače (managed switch). Dovoľujú napríklad zapnúť alebo vypnúť konkrétne porty, zobraziť vlastnosti portov, meniť konfiguráciu alebo 22

23 využiť vzdialený reštart (Sanders, 2012). Príkladom spravovateľného prepínača je Mikrotik xzy na obrazku xy. Niektoré pokročilé prepínače obsahujú tiež zložitejšie pravidlá pre rozhodovanie o prepúšťaní alebo filtrovaní ethernetových rámcov na základe informácii získaných z vyšších sieťových vrstiev. Pokiaľ je rozhodovanie založené na IP adrese, označujeme takéto prepínače ako leyer 3 (L3). Ak sa rozhodovanie uskutočňuje nie len na základe IP adresy ale aj podľa čísla portu, označujú sa ako layer 4 (L4). Číslo v tomto prípade označuje poradie vrstvy v referenčnom ISO/OSI modeli, kde sa tie informácie spracúvajú Smerovač V hierarchii aktívnych prvkov siete sa posúvame ďalej k smerovaču (router), ktorý ponúka omnoho širšiu sadu funkcii ako prepínač či rozbočovač. Smerovače môžu vyzerať rôzne, ale väčšina z nich je vybavená niekoľkými indikátorovými diódami na prednej strane a niekoľkými sieťovými portami spravidla tiež vpredu - podľa veľkosti siete, pre ktorú sú určené (Sanders, 2012). Northcutt definuje smerovač ako zariadenie, ktoré vzájomne prepojuje dve alebo viac sietí. Smerovač môže byť pripojený do niekoľkých fyzických sietí, napríklad do niekoľkých sietí Ethernet a môže rozosielať dáta z jednej siete do druhej (Northcutt, 2005). Smerovače majú, rovnako ako iné počítače, procesory pamäť a pamäťový procesor. Obvykle nemajú príliš pamäťového úložného priestoru, a jeho zvýšenie môže byť zložité. Na smerovač sa často presúva veľa ďalších povinností, čo má vplyv na jeho výkonnosť. Hlavnou funkciou smerovača je preposielanie paketov z jedného sieťového segmentu do iného. Aby mohol smerovač začať v jednoduchom prostredí smerovať, musíme ho aspoň minimálne nakonfigurovať. Konfigurácia smerovača znamená, že sa správca siete prihlási ku smerovaču a zapíše do neho určité informácie či inštrukcie. Ak máme minimálne dve oddelené podsiete, ktoré spolu potrebujú komunikovať, stačí na smerovači nastaviť každé spojovacie rozhranie na adresu siete, ktorá k nemu bude pripojená a uistiť sa, že je smerovanie povolené môže začať priama komunikácia. Smerovač pozná IP adresy svojich dvoch rozhraní a túto znalosť využije pri predávaní prenášaných dát zaslaných z jednej siete do druhej. Problémy nastanú, ak do nastavenia smerovača pridáme ďalší sieťový segment, ktorý nie je so smerovačom priamo prepojený. 23

24 Správca siete musí teda informácie o tomto segmente niekam pridať. Údaje pridá do smerovacej tabuľky. Tieto údaje môže do smerovacej tabuľky pridať správca siete ručne (tzv. statické smerovanie) alebo sa môžu pridávať dynamicky - aktualizáciami z ostatných smerovačov. Príkazy, akými je možné takéto nastavenie vykonať na smerovači Mikrotik s RouterOS uvádzam v prílohe č. 1. Statické smerovanie sa v malom prostredí ľahko nastavuje. Ale ak je v našej spoločnosti 100 smerovačov je výhodnejšie použiť dynamické smerovanie, ktoré umožňuje smerovačom (po správnej konfigurácii) získať dostupné smerovacie cesty od ostatných smerovačov. Protokoly, ako je napríklad RIPv1 (angl. Routing Information Protocol vezie 1), protokol OSPF (angl. Open Shortest Path First), protokol RIPv2, protokol IGRP (angl. Interior Gateway Routing Protocol), protokol EIGRP (angl. Enhanced IGRP) a ďalšie, zaisťujú, že sa smerovače rýchlo dozvedia o ostatných smerovačoch. Tento proces zjednodušuje nastavenie, ktoré by sa inak muselo realizovať pomocou stoviek smerovacích tabuliek. Takéto dynamické prostredie má aj svoje nevýhody. Z pohľadu výkonu je náročné, že všetky aktualizácie musia cestovať po celej sieti, aby sa všetky smerovače dozvedeli o sebe navzájom. Z pohľadu bezpečnosti môže byť problémom najskôr to, že nie sme schopní overiť, či aktualizácia smerovacej tabuľky nepochádza od útočníka, ktorý sa tak môže pokúsiť sieť sabotovať. Zvýšiť úroveň zabezpečenia je možné pomocou autentifikácie smeru (resp. overenie identity smeru - route authentication). Tento proces vyžaduje použitie tajného kľúča (secret keyword), ktorý je nastavený v všetkých smerovačoch, ktoré medzi sebou zdieľajú informácie. Tento kľúč, resp. heslo sa pripojí k informáciám smerovej aktualizácie a z výsledného reťazca sa pomocou algoritmu Message Digeste 5 (MD5) vygeneruje hash (podpis). Hash sa potom pripojí k dynamickej aktualizácii. Medzi protokoly, ktoré podporujú autentifikáciu smerovania, patria protokoly RIPv2, OSPF, EIGRP a BGP (Sosinsky, 2010). Pretože má smerovač za úlohu pôsobiť ako brána medzi sieťami, často sa stáva ústredným bodom zabezpečenia. Rola, ktorú smerovač hrá v bezpečnostnej štruktúre, značne závisí na jeho umiestnení a na sieťach, ktoré ma vzájomne prepojovať. Smerovačom môže byť jednoduchý hraničný smerovač, ktorý spojuje sieť s Internetom a z hľadiska zaistenia bezpečnosti sa spolieha na vnútorný firewall. Alebo môžeme smerovač použiť ako samostatne bezpečnostné zariadenie obvodu. Toto riešenie sa hodí najmä pre malé siete, poprípade siete s nízkym rizikom napadnutia alebo pre sieťové podsegmenty. V závislosti 24

25 na tom, akú implementáciu si vyberieme, sa môžeme snažiť zaistiť, aby sa smerovač v rámci hĺbkovej ochrany zameral na smerovanie a vykonávanie rutinných bezpečnostných úloh. Naopak by ste sieť mohli smerovač realizovať ako zariadenie, ktoré nemajú žiadnu ďalšiu ochranu. Také prostredie je potom možné ešte zosilniť použitím dodatočných prvkov hĺbkovej ochrany (viď kapitola 3.3) (Northcutt, 2005). Kapacita a počet smerovačov v sieti zvyčajne závisí na jej rozsahu a funkciách. Domáce siete a siete v malých kanceláriách obsahujú zvyčajne iba jeden malý smerovač, ktorý je umiestnený v strede siete. Veľké podnikové siete môžu obsahovať niekoľko smerovačov rozmiestnených v rôznych oddeleniach. Tieto smerovače sú potom pripojené k jednému výkonnému centrálnemu smerovaču (Sanders, 2012). V počítačových sieťach sa stretávame ešte s pojmom hraničný smerovač. Predstavuje posledný smerovač, ktorý môže správca ešte konfigurovať. Prechádza nim celý dátový tok z a do Internetu a často sa podieľa na prvotnom a záverečným filtrovaní dátového toku VLAN Šusteková (2007) definuje virtuálne siete LAN (VLAN) ako doménu nesmerového vysielania vytvorenú v konfigurácii prepínača z určitej podmnožiny fyzických portov. Pomocou virtuálnych sieti VLAN tak môžeme vytvoriť prakticky niekoľko samostatných sietí LAN (nesmerové domény), pričom ale nepotrebujeme samostatný prepínač siete LAN. Pri vytvorení siete VLAN stačí, aby správca siete vhodne upravil konfiguráciu prepínača a určité jeho fyzické porty prehlásil za spoločnú doménu nesmerového vysielania. Keď napríklad na jednom smerovači jednu polovicu portov zaradíme do virtuálnej siete VLAN1 a druhú polovicu portov do VLAN2, bude to znamenať, že prepínač považuje tieto dve siete VLAN za oddelené a každá sieť VLAN má svoju vlastnú tabuľku MAC adries (nesmerové a smerové vysielanie sa šíri len do vnútra rovnakej siete VLAN) (Šusteková, 2007) DNS Vo svete počítačov označujú používatelia pri zasielaní dát po sieti jednotlivé systémy spravidla menom, resp. názvom, ale sieťové prvky pracujú s číslami. V kapitole som podrobne rozoberal ako pracujú smerovače, a to najmä spôsob smerovania paketov na základe cieľovej IP adresy. Aby sa teda používateľ mohol úspešne spojiť s určitým serverom, ktorý pozná iba podľa mena, musí jeho počítač najprv zistiť, akú cieľovú IP 25

26 adresu má do paketu zapísať. Nato sa používa systém doménových mien (DNS). Podľa Kabelovej a Dostáleka (2008) slúži protokol DNS (angl. Domain Name System) z rodiny TCP/IP na priraďovanie odpovedajúcej IP adresy k zadanému názvu. Názvový systém DNS definuje tiež štruktúru a formát hostiteľských názvov TCP/IP. Zoznam názvov hostiteľov a im zodpovedajúce IP adresy sú uložené na servery DNS. Hostiteľský počítač musí poznať IP adresu servera DNS a server musí poznať mená a im odpovedajúce IP adresy. V sieti Internet spolupracuje veľa rôznych DNS serverov, z ktorých každý si drží určitú množinu názvov a odpovedajúcich IP adries. Celý tento proces je ale postavený na tom, že v sieti Internet pracujú takzvané koreňové servery DNS. To sú špeciálne servery, ktoré neprevádzajú skutočné vyhodnocovanie názvov, ale iba poznajú IP adresu niekoľkých iných serverov DNS. Každý DNS server sa môže na neznáme názvy dopytovať viacerých koreňových DNS serverov (Kabelová, Dostálek, 2008) Kvalita služby Kvalita služby (angl. Quality of Service, QoS) je termín používaný pre riadenie dátového toku v telekomunikačných a počítačových sieťach pomocou množiny nástrojov (technológií), ktoré na rôznych vrstvách referenčného ISO/OSI modelu riadia sieťovú komunikáciu. V operačnom systéme Linux je najčastejšie používaná metóda HTB (angl. Hierarchical Token Bucket) (Schroder,2009). Nasadením QoS môžeme ovplyvniť tieto vlastnosti dátového toku (Šusteková,2007): Bandwidth šírka pásma. Jitter veľkosť kolísania odozvy/meškania paketov. Delay odozvu medzi odoslaním a prijatím IP paketu. Packet loss stratovosť IP paketov. U poskytovateľov ISP sa najčastejšie stretávame s QoS vo forme tzv. agregácie, čo znamená, že určitú prenosovú šírku pásma zdieľa väčší počet účastníkov. Nie všetci zákazníci totiž využívajú svoje pripojenie k Internetu naplno a v rovnaký čas. Ale občas dochádza k zahlteniu linky typicky v špičkách. ISP môže pomocou differentiated services (viď ďalej) zaistiť, že zákazníci síce zaregistrujú určité spomalenie, ale nedôjde ku stavu, 26

27 kedy by bolo skoro nemožné jeho služby využívať. V sieťach ISP sa objavujú tieto typy mechanizmov QoS (Croll, Packman, c2000): Best-effort services služby, ktoré negarantujú žiadne parametre prenosu, majú QoS nastavené na nulu a snaží se každý IP paket preniesť čo možno najrýchlejšie a najneefektívnejšie k cieľu (ale bez záruky). Differentiated services (DiffServ) IP pakety sa rozdeľujú do kategórií tak, že sa môžu určité údaje zaznamenávajú do hlavičky paketu a následne sa spracovávajú podľa preddefinovaných parametrov. Integrated services (IntServ) - Nástroje IntServ definujú signalizačný proces, pomocou ktorého môžu jednotlivé dátové toky požadovať rezerváciu prenosového pásma a požadovaného opozdenia. Ide o signalizáciu od zdroja k cieľu, zabezpečujúcu rezerváciu prenosového pásma a nastavení omeškania po celej ceste od zdroja k cieľu. DiffServ model označovanie paketov Klasifikovaný paket sa dá označiť pre indikáciu jeho triedy prevádzky. Na smerovači máme k dispozícii možnosť označiť paket pomocou jeho IP Precedence alebo DSCP poľom v IP hlavičke, ako aj QoS group poľom paketu v internej dátovej štruktúre smerovača. DSCP Na tretej vrstve (t.j. v hlavičke IP paketu) je trieda prevádzky identifikovaná hodnotou v 8- bitovom poli DSCP (Differentiated Service Code Point). Pôvodne išlo o 3-bitové pole Type of Service (ToS), umožňujúce zvoliť jednu z preddefinovaných 8 tried IP Precedence, neskôr však bolo toto pole pri zachovaní spätnej kompatibility hodnôt rozšírené a teraz sa môže mimo pôvodných 8 tried používať ešte 64 ďalších tried prevádzky. Do poľa DSCP však nie je možné vložiť ľubovoľnú hodnotu, nakoľko je ešte štruktúrované (Black, c1999). Keď paket vstupuje do oblasti siete podporujúcej QoS, musí byť označkovaný na 2. aj na 3. vrstve. Značka na 2. vrstve umožní správne priorizáciu prechodu rámca prepínacou časťou siete, značka na 3. vrstve potom zodpovedajúci prechod smerovanou časťou siete 27

28 po vybalení paketu z rámca na smerovači. Implicitne je hodnota DSCP nastavená na 0 (default). Akékoľvek iné nastavenie má teda vyššiu prioritu (Black, c1999). IP Precendence Indikuje v IP hlavičke relatívnu prioritu pre zachádzanie s IP paketom pomocou 3 bitov z pole ToS. K označeniu môže dôjsť v ľubovoľnom uzle siete alebo priamo aplikáciou generujúcou prevádzku (Black, c1999). Celkom má 8 tried (viď tabuľka č.): Tabuľka 3: Hodnoty IP precedence (Croll, Packman, c2000) Hodnota IP precedence Bity IP precedence Názov IP precedence Routine Priority Immediate Flash Flash Override Critical Internet control Network control QoS group Ide o pole v dátovej štruktúre IP paketu používané interne v smerovači. Je teda iba značkou pre smerovač a nie je súčasťou IP hlavičky. (0-64) tried (Croll, Packman, c2000). Veľmi zaujímavé a aktuálne je i využitie QoS pri priorizácii hlasových služieb, teda VoIP. VoIP klient vie nastaviť DSCP pole následne: SIP signalizačné správy budú označený DSCP=0x68 (=104) RTP audio dáta budú označená DSCP=0xB8 (=184) Toto označenie sú schopné vykonať rovnako softwarové (klientske) aplikácie napríklad za účelom testovania (viď kapitola 3.3.5) Fair User Policy Termín zásady správneho (férového) využívania služby (angl. Fair Use Policy, FUP) sa 28

29 používa u internetového pripojenia, kde je šírka pásma zdieľaná medzi viac používateľov. Jeho zmyslom je zabrániť tomu, aby jeden používateľ mohol nadmerným využívaním svojho internetového pripojenia obmedzovať ostatných používateľov. Ak používateľ počas určitého časového obdobia (napr. 3 hodiny, viď kapitola 3.3.3) prenesie z a do Internetu väčší objem dát ako je stanovené správcom siete, tak sa mu dočasne zníži jeho pridelená šírka pásma Bezpečnosť počítačových sietí Riešením problému bezpečnosti IT, je monitorovanie toku dát v počítačových sieťach. Jeho základom je nepretržitý zber informácií o tom, čo sa v počítačovej sieti deje a vyhodnocovanie, či na sieti neprebieha niečo nežiadúce či podozrivé. Pre zachovávanie bezpečnosti sú dôležité správne informácie a spolupráca viacerých zložiek systému. Správca siete u ISP musí chrániť sieť pred prienikmi z Internetu a obmedziť útoky zo strany škodcov vo vlastnej sieti, pretože zákazníci ISP očakávajú, že budú chránení ako pred hrozbou z Internetu, tak pred sebou navzájom. Zároveň ale zákazníci požadujú, plný prístup na Internet - sami sa chcú rozhodovať ktoré protokoly a služby budú používať. Firewall Strebe a Perkins definujú (2003) firewall ako zariadenie, ktoré pomocou určitej množiny pravidiel definuje, akú prevádzku na sieti bude povoľovať a akú zakazovať. Úloha firewallu začína tam, kde končí úloha smerovača, filtrovanie prevádzky je v ňom totiž omnoho dôkladnejšie podľa správcom definovaných pravidiel. Vo svojej podstate vytvárajú firewally medzi interným a externým prostredím úzke miesta, pretože celý dátový tok musí prejsť jedným bodom. Pre podniky a ISP, ktorých prevádzka takýmto bodom je kritická, boli vyvinuté nové druhy extrémne rýchlych firewallov (niektoré krajiny pomocou vysokovýkonných firewallow dokonca cenzurujú Internet). V nasledujúcej časti popíšem štyri najdôležitejšie funkcie, ktoré väčšina firewallov podporuje (Strebe, Perkins, 2003): Statický paketový filter - je jednoduchá metóda, ktorou sa dá zabrániť postupu nevhodných IP paketov. Paketové filtre sú často implementované za pomoci hraničných smerovačov, ktoré podľa vopred definovaných pravidiel rozhodnú či je príslušný IP paket vhodné prijať alebo nie. Filtruje sa na základe zdrojovej, cieľovej adresy a portu (pracuje na sieťovej vrstve referenčného ISO/OSI modelu). 29

30 Táto kontrola sa vyznačuje vysokou rýchlosťou (Strebe, Perkins, 2003). Stavový firewall - je schopný rozlišovať rôzne stavy IP paketov v rámci jednotlivých spojení TCP a jeho úlohou je prepustiť iba také, ktoré patria do už povoleného spojenia. Najčastejším útokom na internetu typu Denial of service (DoS) je tzv. SYN-flood. Útočník, (resp. viac útočníkov) odosiela veľa paketov s príznakom SYN cieľovému serveru, ale ďalej už neodpovedajú. To má za následok preplnenie stavovej tabuľky a následne spomalenie servera. Stavový firewall je schopný sledovať stav i v nespojových protokoloch, ako je UDP. Týmto reláciám udelí firewall stav ESTABLISHED hneď, ako prejde prvý paket. Stav spojenia zo stavovej tabuľky vymaže spravidla po vypršaní time-out (Northcutt, 2005). Aplikačný firewall - dokáže filtrovať dátový tok na aplikačnej úrovni referenčného ISO/OSI modelu. Takáto kontrola je náročná na schopnosti (inteligenciu) firewallu i na jeho výpočtový výkon. U mnohých firewallov sa s rozhodovaním na aplikačnej úrovni pracuje len v obmedzenej miere. Na aplikačnej úrovni môžeme filtrovať peer-to-peer siete alebo rozpoznať HTTP protokol používaný pre zdieľanie súborov (Northcutt, 2005). Prekladanie sieťových adries (angl. Network Address Translation, NAT) - funkcia ktorá umožňuje prepisovať zdrojové alebo cieľové IP adresy, prípadne i hlavičiek protokolov vyššej vrstvy. Najčastejšie funkcia NAT skrýva interné IP adresy tak, že ich skonvertuje na IP adresu vonkajšieho rozhrania firewallu (tzv. maškaráda). Firewall potom pomocou čísla portu TCP prepošle dátovú časť z jeho vlastnej adresy. Pri NAT 1:1 sú adresy prekladané tak, že adresa vo vnútornej (lokálnej) sieti má vyhradenú adresu na vonkajšom rozhraní firewallu. Takáto konfigurácia býva riešením u menších ISP pri poskytnutí verejných IPv4 koncovým používateľom (Strebe, Perkins, 2003). 1.2 Operačný systém Operačný systém (angl. Operating System, OS) radíme do skupiny - základné programové vybavenie počítača. Vytvára medzivrstvu, ktorá sa stará o kontakt fyzického zariadenia (hardware) s aplikáciami. Podľa Myšku a Munzara (2014), spočíva primárna funkcia operačného systému v tom, že 30

31 poskytuje podporu pre spúšťanie a beh počítačových programov. Bez podpory operačného systému by nemohli programy pracovať - napríklad aj obyčajný textový editor potrebuje ku svojej činnosti spolupracovať s terminálom, súbormi a ďalším technickým vybavením počítača. Každý operačný systém obsahuje tiež sadu programov, určených pre správu, konfiguráciu, riadenie spojenia s ostatnými systémami, zálohovanie a podobne. Operačné systémy potom môžeme deliť do kategórii podľa ich komplexnosti a množstva programov, ktoré obsahujú (Myška a Munzar, 2014): jednoduché, minimalizované (napríklad DOS), stredne veľké (napríklad UNIX), veľké a zložité (Mac OS X, Windows 10). Kľúčovou časťou operačného systému je takzvané jadro (kernel). Vo väčšine operačných systémov plní jadro také funkcie akými sú, spúšťanie programov, prideľovanie systémových zdrojov, prideľovanie času procesoru, súčasne bežiacim programom a podobne. Pritom ale platí, že aj samotné jadro operačného systému je len program, ktorý sa ale spúšťa ako prvý po zapnutí počítača, aby mohol vykonať všetky konfiguračné funkcie 12. Analogicky potom platí, že sa ukončuje ako posledný pred samotným vypnutím počítača. Jadro sa delí na (Myška a Munzar, 2014): Mikrojadro (malé, väčšinou jednoúčelové OS, napr. QNX) - výhodou je jednoduchosť, nevýhodou horšia aplikovateľnosť 13. Monolitické jadro - obsahuje väčšinu funkcii (napr. sieťový stack, ovládanie súborového systému). Má vysoký výkon, ale nižšiu spoľahlivosť. Príkladom sú IOS, Windows (95, 98, ME). Hybridné jadro - ovládače bežia spravidla už mimo jadra (tzv. Usermode). Svojou jednoduchosťou sa podobá na mikrojadro a výkonom na monolitické jadro. Príkladom sú OS Windows na platforme NT (XP, Vista, 10). Súčasťou jadra je aj takzvaná HAL (Hardware abstraction layer) vrstva, kde operačný systém prevádza hardware (fyzické) zdroje na zdroje použiteľné aplikáciami (Myška a 12 Na osobných počítačoch sa ako úplne prvý spúšť program BIOS (Basic Input/Output System). 13 Aplikácia najmä v oblasti zabudovaných (embedded) systémoch, čo sú jednoúčelové platformy v ktorých je riadiaci počítač kompletne zabudovaný do zariadenia, ktoré ovláda (napr. televízor, RouterBoard, atď). 31

32 Munzar, 2014). V súčasnej dobe sa pod jadro OS môže vkladať takzvaná vizualizačná vrstva (Hypervisor), ktorá umožňuje na jednom počítači spustiť zároveň viacero OS. Touto vrstvou disponuje od verzie v3.24 aj OS RouterOS, pričom funkcia, ktorá to umožňuje má názov MetaROUTER (viď kapitola 2.1.6). Ďalšou časťou operačného systému je takzvaný shell (interpret príkazov). Predstavuje používateľské rozhranie (interface) určené pre kontakt používateľa s operačným systémom a následne aplikáciami. Shell rozdeľujeme na (Myška a Munzar, 2014): Príkazový riadok (Command Line Interface, CLI) - ovládanie OS v textovom režime pomocou príkazov. Používa sa u operačných systémoch UNIX a tiež pri sieťových operačných systémoch v sieťových zariadeniach (napr. IOS, RouterOS). Hlavnou výhodou sú minimálne nároky na zdroje, ale i na dátovú priepustnosť pri vzdialenom pripojení. Grafické používateľské rozhranie (angl. Graphical User Interface, GUI) - umožňuje ovládať počítač pomocou interaktívnych grafických ovládacích prvkov. Je náročnejšie na počítačový výkon, ale umožňuje jednoduchšie ovládanie najmä menej skúseným používateľom. Príkladom sú AERO u Windows 7, KDE a GNOME u Linuxových distribúcií alebo Winbox u RouterOS Sieťový operačný systém Úvodom je potrebné povedať že v informatike je označenie sieťový operačný systém (angl. Network Operating System, NOS) používaný pre dva pomerne rozdielne koncepty. V súčasnosti je označenie spravidla používané pre špecializované operačné systémy (napr. RouterOS, IOS), ktoré sú určené pre sieťové zariadenia, ako je napríklad smerovač, prepínač alebo hardwerový firewall, a umožňujú im pracovať so sieťovými funkciami (Burgess, 2009). V minulosti sme sa ale stretávali s označovaním pojmom sieťový operačný systém pri operačných systémoch, ktoré využívali počítačovú sieť pre zdieľanie prostriedkov. Čo umožňovalo viacerým počítačom vzájomne spolupracovať, tak že bolo možné zdieľať dáta, aplikácie a ďalšie sieťové funkcie. Dnes už všetky bežné operačné systémy disponujú 32

33 natívnou sieťovou podporou a toto označenie tak stratilo v tejto spojitosti na význame. Stále sa však môžeme stretnúť s obojakým používaním výrazu NOS, a to najme v súvislosti OS Windows Windows Server a Windows NT (Myška a Munzar, 2014). 1.3 Poskytovatelia internetových služieb (ISP) Telekomunikačné (telefónne) spoločnosti boli pôvodne založené pre zabezpečovanie klasických telefónnych hovorov (hlasové služby), nakoľko v čase kedy vznikali prvé telefónne spoločnosti ešte neexistovali počítače a preto neexistoval ani dopyt po prenose dát. Pre prenos ľudského hlasu, resp. akéhokoľvek zvuku je potrebné ho najskôr previesť (používa sa mikrofón) na analógové (spojite sa meniace napätie s frekvenčným rozsahom od 0 do 4000 Hz) elektrické signály, ktoré sa potom šíria prostredníctvom verejnej telefónnej siete. Na požiadanie je teda vytvorený okruh medzi dvoma ľubovoľnými telefónmi a každý takýto okruh tvorí fakticky uzatvorený elektrický obvod. Neskôr sa rovnaký princíp začal používať aj pri prenose dát s tým že na analógové signály sa premieňajú binárne nuly a jednotky. Deje sa tak pomocou modemu (názov je odvodený od pojmov modulácia - demodulácia), ktoré umožňujú nad klasickým analógovým telefonickým okruhom odosielať a prijímať dátové toky. Táto technológia položila základ pre zmenu celého sieťového odvetvia a telefónne spoločnosti sa postupne menili na telekomunikačné spoločnosti. Dlhotrvajúcim trendom je, že čoraz väčší podiel tržieb telekomunikačných spoločností tvoria príjmy z dátových služieb (služby prístupu do Internetu). Neskôr spoločnosti prešli na plne digitálny prenos dát po telefónnej linke (skokovo sa meniace napätie) - napríklad prostredníctvom ADSL s možnosťou súčasného prenosu dát aj hlasu. Pre časť firemných zákazníkov telekomunikační operátori tiež poskytujú prenájom okruhov (siete WAN). Prepojenie sietí LAN prostredníctvom prenájmu okruhov zabezpečujú rozmanité sieťové technológie, ako napr. sériová linka, frame relay (viď zoznam skratiek). Na takýto typ služieb sú operátori dobre pripravení. Majú totiž natiahnuté káble do každého väčšieho i menšieho mesta a dediny. A naviac majú právo priechodu, čo znamená, že môžu natiahnuť káble pod i nad zemou, pretože je to vo verejnom záujme (Pužmanová, 2004). Zo začiatku bol teda prístup do Internetu zabezpečovaný telefónnymi spoločnosťami. S príchodom nových technológií digitálneho prenosu dát a ich postupnému masovému 33

34 rozšíreniu, začínajú vznikať spoločnosti, ktoré poskytujú iba služby spojené s prístupom do Internetu aj bez hlasových služieb. Takým spoločnostiam hovoríme poskytovatelia internetových služieb (Internet Servis Provider, ISP). ISP si v minulosti infraštruktúru prenajímali od telefónnych spoločnosti. Dnes sú to už zväčša samostatné spoločnosti s vlastnou veľmi špecifickou infraštruktúrou zameranou hlavne na prenos dát a spätne dochádza k integrácii telefonických a ďalších služieb. Tieto služby poskytujú firmám aj jednotlivcom. Pripojenie do Internetu zabezpečujú najmä sieťové technológie ADSL, VDSL (viď zoznam skratiek), čoraz častejšie sa používa pasívna optická sieť (Passive Optical Network, PON). Iné možnosti predstavujú bezdrôtový prístup pomocou Wi-Fi 14, prostredníctvom poskytovateľa káblovej televízie, satelitné pripojenie alebo mobilnej technológie LTE (Kukučka, 2008). Technológia Ethernet sa potom využíva hlavne u menších lokálnych poskytovateľov. Pužmanová (2004) ďalej uvádza, že prenosové rýchlosti, resp. šírka pásma (bandwidth) môžu pri všetkých typoch dosahovať rádovo 100 kbps až 1 Gbps. Využívajú sa všetky druhy prenosových médií optické, metalické a bezdrôtové rádiové (Pužmanová, 2004). Pre poskytovateľov ISP znamenal zásadnú zmenu k lepšiemu legislatívny rámec upravujúci pôsobenie dominantných operátorov na Slovenskom trhu (tzv. liberalizácia trhu). Podľa telekomunikačného zákona z roku 2003, dominantný operátor, akým boli na Slovensku v tom čase (2003) Slovak Telekom, Orange, EuroTel, je povinný prenajímať vedenia konkurenčným spoločnostiam za regulovanú cenu, inak im hrozí pokuta 20 miliónov korún. Takúto pokutu operátorom môže udeliť po vykonaní analýzy Úrad pre reguláciu elektronických komunikácií a poštových služieb (viď ďalej). Úrad pre reguláciu elektronických komunikácií a poštových služieb (regulačný úrad - RÚ) je regulačným a cenovým orgánom a vykonáva štátny dohľad v oblasti elektronických komunikácií a poštových služieb, spolupracuje s ministerstvami a ostatnými ústrednými orgánmi štátnej správy, orgánmi Európskej únie a s inými medzinárodnými orgánmi alebo organizáciami v oblasti svojej pôsobnosti, vykonáva ďalšiu pôsobnosť podľa osobitných predpisov. ( ) Na území SR je možné poskytovať služby podľa zákon číslo 351 Zb. z 14. septembra 2011 o elektronických komunikáciách, len na základe všeobecného povolenia. Podľa tohoto 14 aaa 34

35 zákona Osoba, ktorá chce podnikať v oblasti poskytovania sietí alebo služieb, je povinná oznámiť tento zámer úradu pred termínom začatia ich poskytovania. Osoba je povinná oznámiť úradu aj zmeny v poskytovaní siete alebo služby alebo ukončenie ich poskytovania, a to do 15 dní od zmeny poskytovania siete alebo služby alebo ich ukončenia.. Ďalej zákon stanovuje, že Úrad na základe doručenia úplného oznámenia zaeviduje oznamovateľa ako podnik oprávnený poskytovať siete alebo služby; Úrad pre reguláciu elektronických komunikácií a poštových služieb (2016) registruje 1167 poskytovateľov internetových služieb na Slovensku. Z analýzy portálu etrend.sk (2016) vyplýva, že z tohto počtu je drvivá väčšina malých lokálnych poskytovateľov so základňou 1000 aktívnych účastníkov. ( ) 1.4 Charakteristika štandardov projektového riadenia a ich analýza Projektové riadenie bezpochyby patrí medzi odborné témy, ktoré aktuálne rezonujú v podnikateľskom prostredí. Je to dané najmä faktom, že projektové riadenie nie je ešte úplne v slovenskom podnikateľskom prostredí zakotvené, a to najmä v malých a stredných firmách (vrátane firiem zaoberajúcimi sa IT problematikou). Je teda stále vo vývoji a tiež oblasť vzdelávania je v tomto smere skôr v začiatkoch. V súvislosti s projektovým riadením sa v lokálnych podmienkach najčastejšie stretávame so štandardami IPMA, štandardami PMI a metodikou PRINCE2. Často však organizácie nemajú priestor pre zoznámenie sa so všetkými štandardami a preto volia pre implementáciu do firmy štandard úplne náhodne alebo na odporučenie svojho okolia, poprípade na základe kusých informácii z Internetu Systémový prístup k projektovému riadeniu Systémovým prístupom rozumieme určitý spôsob riadenia zadaného alebo vzniknutého problému ako celku. To znamená, že na vzniknutý alebo zadaný problém môžeme tiež považovať za určitý systém. Ten sa skladá z jednotlivých častí, ktoré môžeme označiť ako subsystémy. Každý systém, ako aj subsystém, má svoju štruktúru, spojenú s vonkajším okolím. Systémový prístup vyžaduje dôkladné premyslenie postupu pri riešení, aby bol splnený zadaný alebo zmluvne dojednaný cieľ, za ktorý objednávateľ platí pri účelnom a hospodárnom vynakladaní finančných prostriedkov (Chvalovský, 2005). 35

36 1.4.2 Procesné poňatie projektového riadenia Riadenie projektov vychádza z procesného poňatia. Procesom rozumieme všetky činnosti a subjekty, ktoré sa na spracovaní projektu podieľajú. Pri plánovaní procesov je nevyhnutné dodržať základnú požiadavku, a to že činnosti musia na seba plánovite a logicky nadväzovať. Nežiadúce je najmä neefektívne využitý čas, počas ktorého je potrebné dodatočne prácu dokončiť, aby sa odstránili duplicity a dosiahlo sa optimálneho využitia logistických postupov. Tento princíp sa prejavuje v (Schwalbe, 2010): optimálne dobre pripravenom projekte, racionalizácii prepravných ciest, efektívnom využívaním nákladov. Do procesov zaraďujeme i všetky prípravné práce nevyhnutné pre zaistenie plynulého spracovania projektu. V realizácii spracovania projektu sa používajú štandardy a normy. Predstavujú základné parametre nevyhnutné pre spracovanie projektu, najmä ak sa na spracovaní projektu podieľajú aj zahraniční partneri (Svozilová, 2006) Životný cyklus projektu Štandardy a metodiky rozoznávajú a definujú pojmy čas a fázy projektu a s tým spojený životný cyklus riadenia projektu. Pojem čas v projekte je vymedzená štrukturalizácia, radenie, trvanie, odhady a časové rozvrhnutie činností alebo pracovných balíkov, a to vrátane priraďovania zdrojov činnostiam, stanovovanie koncových termínov, monitoringu a kontroly ich vykonávania v stanovenom čase (Schwalbe, 2010). Svozilová si pod pojmom fáza projektu predstavuje skupinu činností spolu logicky súvisiacich a to najmä z hľadiska riedenia projektu. Jedná sa o časť životného cyklu projektu, ktorá slúži k stanoveniu riadiacich dokumentov projektu a riadiacich procesov projektového riadenia a ich prevedenia (Svozilová, 2006). Projekt ako celok potom môžeme z časového hľadiska a na základe charakteru vykonávaných činností rozdeliť z manažérskeho hľadiska na niekoľko fáz (Svozilová, 2006): fáza inicializačná, 36

37 fáza plánovacia, fáza realizačná, fáza ukončovacia. Uvedený model životného cyklu riadenia projektu je univerzálny a každá organizácia môže použiť pre ňu vhodnejší model, vzhľadom na odvetvie v ktorom pôsobí. Zahájenie prvej etapy projektu realizuje zhotoviteľ. Pre zahájenie prác na prvej etape projektu je nevyhnutné (Máchal, Kopečková, Presová, 2015): zaistiť, aby pracovníci projektového tímu boli riadne zoznámení s obsahom prác na prvej etape a konečnými výstupmi projektu, navrhnúť pracovníkov projektového tímu pre spracovanie celého projektu, zoznámiť pracovníkov projektového tímu s harmonogramom prác na prvej etape projektu, predať denník projektového manažéra k zaznamenávaniu podstatných rozhodnutí k postupu prác na projekte. Kontrolu kvality prác na prvej a ďalších etapách projektu vykonáva vedenie projektu, najskúsenejší projektanti spracovateľa projektu. Majú za úlohu kontrolovať všetky podkladové materiály, najmä výkazy odpracovaných hodín. O výsledku kontroly sa spíše zápis, verifikovaný najmenej jedným členom kontrolnej skupiny. Zápis sa predáva vedeniu projektového tímu. Ak je kontrola kvality spracovaného projektu odsúhlasená, tak zápis o výsledkoch kontroly sa predáva objednávateľovi a je zahájená ďalšia etapa spracovania projektu (Máchal, Kopečková, Presová, 2015). Priebežné správy o stave prác v každej etape sa prekladajú podľa vopred spracovaného časového harmonogramu manažmentu projektu. Obsahujú najmä (Máchal, Kopečková, Presová, 2015): plnenie časového harmonogramu prác, stav čerpania finančných prostriedkov na projekt, vzniknuté odchýlky od schváleného projektu, 37

38 návrhy na odstránenie odchýlok, náklady na odstránenie vzniknutých dodatočných odchýlok. Pokyny k odstraňovaniu nedostatkov predá vedeniu projektu projektovému manažérovi a informuje o nich zhotoviteľov projektu. (Máchal, Kopečková, Presová, 2015). Správa o ukončení prác na prvej etape (obdobne sa zostavujú správy pre každú etapu) projektu nadväzuje na priebežné správy. Musí byť konkrétna, dodatočne obsažná, mať logickú štruktúru. Zo správy musia byť jasné (Máchal, Kopečková, Presová, 2015): ciele, ktoré boli pre prvú etapu vytýčené, splnenie harmonogramu prác, problémy, ktoré sa pri spracovaní vyskytli a bolo potrebné ich potrebné operatívne riešiť, ako boli vzniknuté problémy odstránené, návrh na odstránenie odchýlok od cieľov, návrh, či sa má v projekte pokračovať, alebo je potrebné najskôr vykonať úpravy, prípadne či projekt ukončiť. Ukončenie projektu, je taký stav, keď boli splnené všetky naplánované činnosti a odstránené chyby pri kontrolách jednotlivých etáp. O ukončení projektu sa vyhotovuje zápis, ktorý podpisujú zástupcovia všetkých obchodných partnerov. Stanovisko o ukončení projektu spracováva projektový manažér. Stanovisko sa predkladá vedeniu projektu, ako rozhodujúcemu orgánu k uzatvoreniu celého procesu spracovania projektu. Overený zápis a schválený projekt, plnenie harmonogramu prác a čerpanie finančných prostriedkov sa zakladá do archívu (Máchal, Kopečková, Presová, 2015) Organizačné štruktúry Teórie manažmentu rozlišujú medzi formálnou a neformálnou organizačnou štruktúrou. Z pohľadu projektového riadenia je dôležitá najmä úroveň vzťahov medzi trvalými a dočasnými organizačnými štruktúrami - projektmi. Trvalá organizačná štruktúra vychádza z klasického líniového (štábneho) konceptu. Účelom takej organizačnej štruktúry je usporiadať všetky hmotné aj nehmotné prvky, vrátane ľudských, do optimálnej vzájomnej 38

39 interakcie, v záujme naplnenia všetkých požadovaných funkcií (Schwalbe, 2010) Definícia malých a stredných firiem V Európskej únii je malé a stredné podnikanie považované za základ národných ekonomík jednotlivých krajín z mnohých dôvodov. Jedným z nich je fakt, že malé a stredné podniky (MSP) pôsobia ako prvok hospodárskej rovnováhy, nakoľko jedinečný a individuálny charakter malých a stredných firiem je protipólom globalizujúcich sa ekonomík. Pre účely tejto práce použijem definíciu malých a stredných firiem, ktorá sa uvádza v legislatíve ukotvené Doporučenie Komisie (2003/361/EC) o definícii mikro, malých a stredných podnikov. Nájdeme v ňom nasledovné definície: Mikro podnik - podnik, ktorý zamestnáva menej ako 10 ľudí a jeho ročný obrat alebo ročná bilancia neprekročí 2 miliónov EUR. Malý podnik - podnik, ktorý zamestnáva menej ako 50 zamestnancov a jeho ročný obrat alebo ročná bilancia neprekročí 10 miliónov EUR. Stredný podnik - podnik, ktorý zamestnáva menej ako 250 ľudí a jeho ročný obrat alebo ročná bilancia nepresiahne 50 miliónov Najvýznamnejšie metódy a techniky SMART Pojem SMART vyjadruje akronym pre: Specific Measurable Attainable Realistic Time-limited. Predstavuje pomôcku používanú v projektovom riadení vo fáze stanovenie cieľov. Jedná se o spôsob ako hodnotiť kvalitu projektových cieľov. Stanovené ciele projektu pomáhajú udržiavať kritéria presnosti, merateľnosti, dosažiteľný, reálnosti a časového ohraničenia. Použitie tejto metódy vyžaduje presne definovať produkt, ktorý má byť vytvorený. Ďalej je nutné špecifikovať všetky práce potrebné pre dosiahnutie funkčnosti produktu. Potom sa tieto práce a ďalšie úkony zoradia do časového rámce tak, že sa niektoré prekrývajú alebo na seba nadväzujú. Odhadnú sa finančné náklady a zostaví se rozpočet projektu. Zvolia sa najlepšie kvantitatívne vyjadrené hodnoty, ktoré ukážu, či sa cieľ dosiahol alebo nie (Schwalbe, 2010) SWOT V počiatočných fázach projektu se často využíva metóda SWOT, ktorá identifikuje a 39

40 analyzuje potenciálne i súčasné príležitosti a hrozby. Medzi silné a slabé stránky (zdroje, technológie, atď.) patria všetky vnútorné faktory prostredia projektu a medzi príležitosti a hrozby faktory vonkajšie (konkurencia, charakter trhu a jeho zmeny, apod.). Z tejto analýzy potom môžu vychádzať ďalšie kroky, napr. definície cieľov, analýza rizík (Chvalovský, 2005) Určenie celkových nákladov na vlastníctvo Hicks (2008) uvádza, že určenie nákladov na vlastníctvo a prevádzku komerčnej siete vyžaduje viac než len prosté sčítanie nákladov na hardware a software. Uskutočnená analýza musí tiež zahrňovať súčet ceny a nákladov spojených s inštaláciou, konfiguráciou a údržbou. Tieto spojené náklady výrazne ovplyvňujú celkové množstvo prostriedkov, inak nazývané výdaje vyplývajúce z vlastníctva (TCO), ktoré spoločnosť za sieť vydá (Hicks, 2008). TCO zohľadňuje i nepriame náklady siete (peniaze vynaložené na dizajn systému, inštaláciu, administráciu či podporu) spolu s nepredvídateľnými okolnosťami, akými sú napríklad strata zisku v dôsledku zlyhania (či spomalenia) zásadných aplikácii alebo zmeškaných príležitostí zapríčinených pohybom zdrojov medzi rozdielnymi projektmi. Výpočet nepriamych nákladov umožňuje spoločnosti zohľadniť v cene i stratu produktivity spôsobenú systémovým zlyhaním, neefektívnymi opravami a opakujúcimi sa problémami Diagram míľnikov (Milestone) Diagram míľnikov predstavuje celkom jednoducho štrukturovanú tabuľku s dvoma stĺpcami: míľnik, resp. jednotlivé dôležité činnosti, časový bod, resp. dátum, kedy musí byť ukončený. Výhodou je jeho jednoduchosť a prehľadnosť. Neukazuje ale dĺžku trvania jednotlivých činností Hierarchický rozklad činností Hierarchický rozklad činností (angl. Work Breakdown Structure, WBS) je vhodné vypracovať pred Ganttovým diagramom (viď ďalej). Slúži k identifikácii hlavných činností projektu a ich jednotlivých súčastí. Začína sa teda zoznamom najvýznačnejších aktivít, 40

41 ktoré sa behom projektu uskutočnia. Ďalej sa k týmto činnostiam podrobnejšie uvádzajú úlohy, ktoré sú pre danú skupinu potrebné splniť (Svozilová, 2006) Ganttov diagram Tento diagram patrí medzi najčastejšie používané nástroje v projektovom riadení. Predstavuje graf s vodorovnými úsečkami, ktoré ukazujú časovú dĺžku. Os x znázorňuje čas (dni, týždne alebo mesiace) a osy y predstavuje zoznam jednotlivých krokov projektu. Postup pri vytváraní diagramu je nasledujúci (Chvalovský, 2005): 1. Zostavenie zoznamu činností, ktoré sa týkajú projektu a vedú k jeho úspešnému dokončeniu. 2. Odhad časovej náročnosti každého kroku. 3. Zoradenie činností, najlepšie chronologicky od začiatku. 4. Vyznačenie časových intervalov od začiatku do konca danej etapy Výber vhodnej metodiky Analýza silných a slabých stránok vybraných štandardov IPMA, PMI a metodiky PRINCE2 je prehľadne uvedená v prílohe č. 5. Na základe dosiahnutých výsledkov uskutočnenej analýzy môžeme teraz vyvodiť odporúčania pre malé a stredné firmy. Pri formulácii odporúčania je nutné vziať do úvahy definíciu a charakter malých a stredných firiem, ako i typy projektov, ktoré môžu byť v týchto organizáciach realizované a oblasti, v ktorých tieto spoločnosti podnikajú. Kľúčové odvetvie trhovej ekonomiky v oblasti IT je zaradené do oblasti priemyslu. V tejto súvislosti, Máchal, Kopečková, Presová (2015) uvádzajú, že voľba štandardizácie je čisto na rozhodnutí vedenia organizácie alebo projektového manažéra a uvedené odporúčania pre výber štandardu konkrétnym typom organizácie nezaručuje efektívne riadenie projektu a úspešné dosiahnutie stanovených cieľov (Máchal, Kopečková, Presová, 2015). 41

42 2 Charakteristika vybraných sieťových operačných systémov a ich analýza 2.1 Popis vybraných sieťových operačných systémov V súčasnosti máme na poli sieťových operačných systémov široký výber. Najpočetnejšiu skupinu zástupcov tvoria systémy založené na Linuxe, za ním nasledujú deriváty UNIXu. S komerčných systémov je veľmi často nasadzovaný Cisco IOS. Veľkú popularitu si získal najmä u menších poskytovateľov internetu MikroTik RouterOS. V tejto kapitole predstavujem piatich konkurentov systému RouterOS a podrobnejšie sa venujem samotnému systému RouterOS. Do porovnania som vybral skupinu niekoľkých etablovaných predstaviteľov, ktorí sa najčastejšie používajú v sieťových aplikáciách. Dvaja zástupcovia majú spoločný základ v podobe linuxového jadra, a to RouterOS a OpenWrt. Ďalej potom Linux samotný a jeho deriváty, ktoré sú obľúbené najmä vďaka svojej otvorenej licenčnej politike GPL. To uľahčuje vývojárom a programátorom tvorbu nových odvodených distribúcií s novými funkciami pre špecifické aplikácie. Ďalší dvaja zástupcovia majú základ v UNIXe, sú nimi Junos a FreeBSD. Vo výbere sa potom nachádza aj proprietárny IOS od spoločnosti Cisco FreeBSD FreeBSD je unixový operačný systém, vychádzajúci BSD. Čo je verzia Unixu vyvinutá na univerzite Berkeley v USA. Je distribuovaný ako slobodný software, čo znamená bezplatne, ale nie nevyhnutne s otvoreným zdrojovým kódom. Považovaný je za v celku robustný a spoľahlivý operačný systém. Okrem smerovačov sa úspešne používa ako web server s pomerne veľkým zastúpením, aj pri náročných aplikáciách (napr. web server Yahoo!). FreeBSD je možné spúšťať na IBM PC kompatibilných systémoch rodiny Intel x86 (IA-32), Itanium (IA-64), DEC Alpha, AMD64, PowerPC, ARM, MIPS a ďalšie Junos Junos je komerčný sieťový operačný systém používaný v smerovačoch firmy Juniper Networks. Je založený na FreeBSD. Jeho najväčším konkurentom je IOS od firmy Cisco. Spoločnosť Juniper Networks je vo svete IT známa najmä ako výrobca výkonných smerovačov a podľa niektorých testov sú smerovače Juniper výkonovo porovnateľné ako 42

43 ekvivalentné smerovače Cisco 15. Juniper sa tiež zameriava na riešenia z oblasti IT bezpečnosti, riadenia prístupu a najnovšie tiež dátovou infraštruktúrou L2/L3. Ucelená produktová rada obsahuje vhodné riešenia pre prakticky akúkoľvek implementáciu. Vďaka integrácii prepínača, smerovača a bezpečnostných funkcii do jediného zariadenia, dodáva zákazníkom komplexné riešenia pre vybudovanie bezpečnej a spoľahlivej infraštruktúry vrátane ekonomických výhod. Bezpečnostné riešenia Juniper Networks poskytujú administrátorom množstvo nástrojov pre zabezpečenie dátovej infraštruktúry proti bezpečnostným rizikám. Všetky riešenia sú postavené na účelovo riešenom hardware a ako softwarové platforma sa používa operačný systém Junos. Cena základného produktu SRX210HE s OS Junos je bezmála 400 dolárov. Juniper Networks tiež ponúka školiace kurzy a certifikačné programy, ktoré prebiehajú online v anglickom jazyku. Pozostávajú z troch 2,5 hodinových kurzov, po ich absolvovaní je možné absolvovať testy a získať certifikát. Pre ilustráciu uvediem že certifikát JN0-101 (porovnateľný s Cisco ICND1) stojí 100 dolárov Cisco IOS Medzi výrobcami sieťových prepínačov a smerovačov je americká spoločnosť Cisco Systems dlhodobo svetovým lídrom. Smerovače a prepínača spoločnosti Cisco bývajú nasadzované na kritické infraštruktúrne aplikácie akou je napríklad slovenské peeringové centrum 16 SIX (Slovak Internet exchange), v ktorom Cisco produkty odbavujú väčšinu internetovej prevádzky na Slovensku. Cisco platforma je postavená na optimalizovaných procesoroch MIPS a PowerPC, ktorých výrobcom je Motorola. Softvérový základ smerovačov a prepínačov Cisco tvorí proprietárny komerčný operačný systém IOS (Internetwork Operating System), ktorý sa používa iba v produktoch tejto spoločnosti. Úroveň dostupných funkcií a vlastností IOS sa odvíja od aktivovanej licencie. Disponuje rozsiahlym príkazovým prostredím rozdeleným na módy. Tieto módy reprezentujú pevnú množinu viacslovných príkazov pre jednotlivé úrovne oprávnení alebo jednotlivé konfigurovateľné časti zariadenia (napr. Wireless Configuration Mode). Ako komunikačné rozhranie pre správu IOS je možné použiť sériové rozhranie RS232 a 15 Zdroj 16 Jedná sa o centrum v ktorom sú vzájomne prepojené počítačovej siete ISP pôsobiacich na Slovensku. 43

44 programom HyperTerminal. Pre vzdialenú správu je možné použiť telnet 17 a SSH 18 (angl. secure shell), alebo službu konfiguračného webového rozhrania IOS. Pre uľahčenie správy prostredníctvom príkazového prostredia je implementovaný do IOS pomocník (vyvoláva sa klávesom "?"). Spoločnosť má vlastný školiaci a certifikačný program určený pre správcov siete Cisco Academy, v ktorom vyučuje ovládanie a správu siete prostredníctvo jej vlastných produktov. Cisco IOS má monolitickú architektúru, čo znamená, že všetky procesy zdieľajú rovnaké miesto v pamäti. Pre určité kritické aplikácie to nebolo vhodné, preto Cisco vyvinulo novú verziu Cisco IOS nazývanú IOS XR, ktorá ponúka modularitu a ochranu pre jednotlivé procesy v pamäti. IOS XR využíva mikrojadro OS QNX (Unix-like OS). Ponuka produktov spoločnosti Cisco je v súčasnosti pomerne široká. Najnižšia rada prepínačov určená pre SOHO 19 segment sa predáva od približne 350 EUR. Najvyššie modely určené pre kritické aplikácie, potom za ceny prevyšujúce úroveň 10 tisíc EUR OpenWrt OpenWrt je veľmi obľúbená linuxová distribúcia primárne určená pre SOHO smerovače alebo zabudované systémy. Projekt vznikol v roku 2004, keď spoločnosť Linksys vytvorila firmware pre vlastný smerovač WRT54G (od neho je odvodený názov distribúcie). Tento vytvorený firmware bol založený na kóde s GNU licenciou, podľa ktorej musela spoločnosť zverejniť zdrojový kód firmwaru. Keď si toho všimli ostatní vývojári, vytvorili na jeho základe ďalšie deriváty pre zariadenia rôznych výrobcov a rôzne platformy. Konfigurácia OpenWrt je možná prostredníctvom príkazového riadku (programu BusyBox) alebo webového rozhrania LuCI. Samozrejmosťou je aj podpora vzdialenej konfigurácie cez telnet a SSH. Konfigurácia si však vyžaduje dôkladnú znalosť prostredia Linux, nakoľko nie je implementovaný žiadny pomocník, ako v prípade IOS alebo RouterOS Linux Autorom operačného systému je dobre známy Linus Torvalds. Linux predstavuje verziu 17 Štandardizované rozhranie pre terminálové zariadenia. Telnet prenáša údaje v čisto textovej forme, preto ho z dôvodov bezpečnosti nahradil protokol SSH. 18 Sieťový protokol určený na prihlasovanie a vykonávanie príkazov na vzdialenom počítači v počítačovej sieti pomocou príkazového riadku. 19 Small Office Home Office 44

45 operačného systému typu UNIX 20 (Unix-like) pre osobné počítače s procesorom Intel, Alpha, PowerPC, MIPS, ARM, x86, Itanium a ďalšie. Vlastný projekt sa začal výskumom vlastností procesorov Intel 386 s cieľom maximálne využiť jeho prostriedky. Na rozvoji pôvodnej verzii sa počas nasledujúcich rokov podieľalo množstvo ľudí po celom svete. Pri sieťových aplikáciách však stále platí že konfigurácia je zložitá a vyžaduje rozsiahle znalosti prostredia Linuxu. Štandardne poskytuje príkazové prostredie bez pomocníka. Hlavnou výhodou tak zostáva rozšíriteľnosť o množstvo funkcii dostupných bezplatne vďaka komunite vývojárov okolo Linuxu. Pri získaní obľuby medzi jeho vývojármi, zohral určitú nemalú úlohu aj fakt, že sa na operačný systém Linux vzťahujú licenčné podmienky GPL (GNU General Public License). Podľa licenčných podmienok GPL sa môžu účtovať za distribúciu programu ľubovoľné poplatky, ale nie je možné nikomu určovať, či alebo v akej výške majú byť. Zároveň sa musia s každou distribúciou zverejniť zdrojové kódy 21. Čo je užitočné pre programátorov, ktorý môžu takto systém ďalej modifikovať. Podmienky GPL platia iba pre jadro systému, zatiaľ čo na ostatné aplikácie vytvorené pre Linux sa vzťahujú iné licenčné podmienky GNU, ktoré umožňujú ich komerčný predaj a bez podmienky zverejňovať ich zdrojové kódy. To využila napríklad spoločnosť MikroTik pre komerčný predaj RouterOS, bez povinnosti zverejniť jeho zdrojové kódy RouterOS RouterOS predstavuje jednu z mnohých distribúcií systému Linux, ale v tomto prípade ide o komerčnú verziu. RouterOS je postavený na linuxovom jadre v2.6. Za jeho vývojom stoji, lotyšská spoločnosť MikroTik, Ltd., ktorá sa zaoberá vývojom smerovačov a bezdrôtových riešení, určených najmä pre zákazníkov z radov ISP. Za svoju obľúbenosť medzi ISP vďačí jednoduchému spôsobu konfigurácie, ktorá dáva možnosť vybudovať relatívne kvalitné siete aj menej pokročilým technikom. RouterOS ma už od začiatku integrovaného pomocníka pre príkazový riadok (vyvoláva sa klávesom "?"). Podporované sú okrem iných aj procesory s architektúrou x86, čo umožňuje vytvoriť i zo staršieho štandardného osobného počítača spoľahlivý a dobre ovládateľný sieťový smerovač. Operačný systém disponuje všetkými potrebnými funkciami 22 ako sú - 20 UNIX je operačný systém vyvinutý v 60 a 70 rokoch 20 storočia, tak aby bol viacpoužívateľský, viacúlohový a prenositeľný. 21 Zdrojové kódy predstavujú textové súbory, ktoré obsahujú príkazy pre konkrétny programovací jazyk. 22 Podľa zakúpenej licencie. 45

46 smerovanie, firewall, riadenie šírky pásma, bezdrôtový prístupový bod, chrbticové spoje, hotspot gateway, VPN server a ďalšie. RouterOS má aj veľké množstvo podporovaných sieťových rozhraní, vrátane najnovších 10 Gigabit Ethernet karty, a / b / g / n bezdrôtové karty a 3G modemy. Výhodné je tiež spolu s RouterOS využiť niekoľko bezplatných prídavných programov od spoločnosti MikroTik, ako napríklad program The Dude, určený pre monitorovanie sieťovej prevádzky a s ďalšími pokročilými funkciami v spojení s RouterOS. Od roku 2002 vyrába MikroTik aj vlastnú špecializovanú hardvérovú platformu RouterBOARD, ktorá je určená pre prevádzku s RouterOS. Škála prevedení s viac ako 40 druhmi hardvérových dosiek, je od čisto bezdrôtových jednoportových zariadení určených pre koncových zákazníkov, tzv CPE 23 a SOHO (ktorých cena nepresahuje 50 EUR bez DPH), cez point-to-point a point-to-multipoint spoje, až po výkonné smerovače v prevedení do racku, vhodné pre nasadenie v prístupových alebo distribučných častiach siete - napr. CCR1072 so 72 jadrami, priepustnosťou až 16 Gbit za sekundu a ktorý spracuje 120 miliónov paketov za sekundu. Niektoré Roter.BOARDy disponujú okrem štandardných ethernetových rozhraní navyše rôznymi slotmi pre ďalšie rozšírenie, napr. minipci sloty pre Wi-Fi moduly, sloty pre pamäťové karty, sloty na SIM kartu pre využitie mobilnej siete, čo umožňuje lokálnym a regionálnym ISP, realizáciu dobre konfigurovateľných bezdrôtových sietí vo voľných pásmach. RouterBOADy sú napájané jednosmerným napätím od 12 do 48V. Zariadenie je možné napájať aj prostredníctvom štandardu PoE 802.af/at (Power over Ethernet). Ešte je potrebné povedať, že MikroTik predáva všetky RouterBOARDy už s nainštalovaným RouterOS Licencie a verzie RouterOS MikroTik rozdelil licencie do niekoľkých úrovní (levelov). Typy licencií sa označujú písmenom L(level) a číslom 0 až 6. Podrobný prehľad predávaných licencii L3,L4,L5 a L6 uvádzam v prílohe č. 4. Vydávajú sa v podobe ISO obrazu pre x86 architektúru, ale ďaleko najrozšírenejší je spôsob v podobe predinštalovaných balíčkov na RouterBOARDoch. Úroveň L3 je len klientska, to znamená, že sa nedá kúpiť samostatne, ale len v spojení s RouterBoardom od MikroTiku. V takom prípade zákazník neplatí iba za samotný hardware, ale aj za operačný systém RouterOS, ktorý obsahuje. Medzi licenciami sa dá 23 Customer Premise Equipment 46

47 prechádzať (upgradovať), ale za RouterOS potom zaplatí zákazník dvakrát Systém komunikácie RouterOS je postavený na jadre Linuxu, ale využíva vlastný jazyk shellu a preto má určité špecifické odlišnosti konfiguračného prostredia. Pre konfiguráciu slúži primárne GUI aplikácia Winbox. Je to samostatná spustiteľná aplikácie bez nutnosti inštalácie, určená pre systémy Windows (Linux a Mac OS X jedine prostredníctvom programov WINE, resp. Darwine). Tá je veľmi obľúbená vďaka svojej prehľadnosti a možnosti nastaviť až 99% dostupných parametrov. Ukážku grafického prostredia v prílohe č. 3. Komunikácia medzi RouterOS a Winboxom prebieha na porte Tento port je potom možné zmeniť alebo aj úplne zakázať. Aplikácie tiež umožňuje vyhľadávať okolité zariadenia protokolmi MNDP (MikroTik Neighbor Discovery Protocol) alebo CDP (Cisco Discovery Protocol). Pre prenášanie datagramov sa používa protokol UDP a port Aplikácia Winbox podporuje tiež funkciu MAC telnet. Pracuje rovnako ako IP telnet s tým, že ide o komunikáciu na 2. vrstve referenčného ISO/OSI modelu bez ohľadu na IP protokol. Túto schopnosť oceníme najmä pri zmene IP rozsahov siete alebo smerovania, pričom nám nehrozí, že stratíme spojenie s konfigurovaným zariadením. Službu zabezpečuje MAC server a je možné ju povoliť jednotlivo pre každé rozhranie. Zvlášť užitočný je takzvaný Safe Mode (od verzie v5.x), po jeho zapnutí, v prípade, že sa vinou chybne vykonaného príkazu preruší spojenie s konfigurovaným zariadením, dôjde k obnoveniu pôvodných nastavení. RouterOS tiež zaznamenáva vykonané zmeny a pomocou tlačítka "späť" umožňuje vrátiť sa spať o niekoľko krokov. Najnovšiu verziu aplikácie Winbox nájdeme na stránke výrobcu alebo priamo na konfigurovanom zariadení prostredníctvom url: (ipadresa je IP adresa rozhrania - v predvolenom nastavení ). Samozrejmosťou je možnosť konfigurácie pomocou protokolu telnet a SSH. Aj tu je prístupný Safe Mode (pre spustenie je potrebné zadať Ctrl+x a Ctrl+d pre jeho ukončenie). Na rozdiel od bežných SOHO zariadení sa webové rozhranie v RouterOS nepoužíva pre konfiguráciu v takom rozsahu. MikroTik dal webovému prostrediu názov Webfix, ktorého 47

48 vzhľad je podobný Winboxu. Zatiaľ neumožňuje plnú konfiguráciu zariadení s RouterOS, aj keď s každou aktualizáciou sa jeho funkcie rozširujú o nové možnosti. RouterOS ďalej disponuje aplikačným programovým rozhraním (angl. Application programming interface, API), ktoré umožňuje vykonávať ovládacie funkcie v rôznych programovacích jazykoch. Poslednou možnosťou ako konfigurovať zariadenie s RouterOS je prostredníctvom sériového portu. Táto možnosť ostáva ako posledná v prípade neželaného vypnutia všetkých Ethernetových portov Smerovanie RouterOS ponúka dva základné druhy smerovania IP paketov - statické a dynamické. Statické smerovanie reprezentujú správcom pridané záznamy do smerovacích tabuliek. Pre automatické smerovanie sú k dispozícii nasledovné dynamické protokoly (Burgess, 2009): Pre adresný priestor IPv4 sú to: RIP v1, RIP v2, BGP v4 a OSPF v2. Pre adresný priestor IPv6 sú to: BGP, OSPF v4 a RIPng. Okrem štandardných smerovacích protokolov podporuje RouterOS aj ECMP (Equal Cost Multi-Path), čo je mechanizmus, ktorý umožňuje rozdelenie dátového toku na viac liniek. (tzv. load balancing). Ďalší podporovaný protokol je VRF (Virtual Routing and Forwarding), ktorý umožňuje vytvoriť virtuálny smerovač v RouterOS (podobný princíp ako VLAN v prepínačoch). Podporovaná je aj metóda PBR (Policy Based Routing), ktorá pri smerovaní vychádza z princípu označovania jednotlivých IP paketov takzvanou routing-mark značkou (príznakový bit). V neskorších verziách sa objavila podpora pre protokol MPLS (angl. Multiprotocol Label Switching) používaný napríklad vo WAN sieťach typu Frame Ralay a DSL (Burgess, 2009). Pre smerovanie v bezdrôtových sieťach, sú okrem hore uvedených protokolov ešte k dispozícii protokoly MME (Mesh Made Easy) vyvinuté spoločnosťou MikroTik a HWMP+ (Hybrid Wireless Mesh Protocol), ktorý používa na smerovanie MAC adresy miesto IP adresy (Burgess, 2009) Prepínanie Zariadenie s RouterOS je možné používať aj ako plnohodnotný prepínač. Stačí nám 48

49 rozhranie, ktoré chceme využiť ako prepínač domény nesmerového vysielania, pridať do virtuálneho rozhrania, takzvaného sieťového mostu (bridge). Systém prepínania v RouterOS tiež podporuje ochranu proti zacykleniu dát v sieti. Prepínací mód prakticky nezaťažuje smerovač. Ten iba kontroluje, na akú MAC adresu je daný IP paket smerovaný, a podľa toho se rozhoduje o ďalšom postupe. RouterOS tiež podporuje STP a RSTP protokol ktorý zabraňuje vzniku nekonečnej slučky. Protokol umožňuje zistiť topológiu siete a odpojiť redundantné spoje, ktoré v sieti spôsobujú množenie záplav (broadcastov). Pre lepšiu kontrolu dátového toku je možné nariadiť v mode bridge IP paketom aby prechádzali cez prerouting, forward a postrouting reťazcom. Samozrejmosťou je podpora virtuálnych sieti (vlan) podľa štandardu 802.1q Kontrola dátového toku RouterOS ponúka širokú škálu možností pre kontrolu dátového toku,z ktorej si môžeme vybrať tú najvhodnejšiu alternatívu pre našu aplikáciu. Pre nenáročné obmedzenie toku je možné využiť takzvaný bandwidth. Ide o vlastnosť rozhrania ethernet a je dostupná u vybranej rady RouterBoardov. Nedá sa ovplyvniť riadiaci algoritmus, je možné iba určiť rýchlosť toku dát (iba preddefinované hodnoty). Sofistikovanejšie metódy nastavenia predstavujú fronty (Queues). Tie RouterOS pozná dva typy: Simple queue (jednoduchý front) - jednoduchý typ frontu. Jednotlivé pravidlá spolu nesúvisia. Používajú sa najmä keď chceme kontrolovať jednotlivé adresy, pripadne ich rozsah (v rámci subnetu) (Burgess, 2009). Queue tree (stromová štruktúra) - jedná sa o frontu so stromovou hierarchiou. Jednotlivé pravidlá maju jedno spoločné rodičovské pravidlo. Umožňuje vytvárať zdielané linky, uprednostňovať jednotlivé protokoly alebo služby bežiace na určitých portoch (Burgess, 2009). Simple queue aj queue tree môžu byť navzájom kombinované a používane vedľa seba. Oba typy front používajú nasledujúce metódy riadenia dátového toku: PFIFO, BFIFO, MQ PFIFO fronty založené na princípe First-In, First-Out (P packet, B bytes, MQ multi queue). Veľkosť fronty (Queue size) je štandardne 50 bajtov. Vhodné použiť všade tam, kde nehrozí preťaženie (typicky v LAN), ale praktické použitie skôr v oblasti štatistiky (Burgess, 49

50 2009). SFQ (Stochastic Fairness Queuing) algoritmus SFQ prepúšťa IP pakety tak, aby každé otvorené spojenie bolo rozložené spravodlivo medzi jednotlivé relácie (sessions) a pri veľkom zaťažení nedochádzalo k potlačeniu niektorých dátových tokov. Nevýhoda tohto mechanizmu je, že prideľuje šírku pásma pre relácie a nie IP adresy (Burgess, 2009). RED (Random Early Detection) mechanizmus, ktorý je hlavne najpoužívanejší. Zabraňuje preťaženiu siete pomocou náhodného zahadzovania paketov. Obsahuje funkciu tzv. burst, ktorá umožňuje jednorázovo preniesť za určitú dobu viac IP paketov (napr. pre rýchle načítanie webových stránok) (Burgess, 2009). PCQ Per Connection Queuing tento algoritmus vytvára jednotlivé podfronty, ktoré klasifikujeme na základe zdrojovej a cieľovej adresy alebo portu. Použitie je vhodné najme vďaka jednoduchosti a praktickosti (môže sa použiť aj rozsah IP adries) (Burgess, 2009). HTB (Hierarchical Token Bucket) najzložitejší a zároveň najmocnejší nástroj pre riadenie dátového toku. HTB je algoritmus s podporou tried v hierarchickej stromovej štruktúre presne podľa potrieb ISP. Pracuje s dvoma základnými parametrami: CIR (Committed Information Rate) udáva garantovanú šírku pásma pre danú frontu a MIR (Maximal Information Rate) udáva maximálnu šírku pásma pre front (Burgess, 2009) Značkovanie paketov Značkovanie paketov (v terminológii MikroTiku manglovanie, z anglického mangle), je dôležitou súčasťou celkového systému riadenia dátového toku. IP paket prichádzajúci na smerovač dostane v systéme jednoznačnú značku, a pomocou nej ho systém ďalej rozpoznáva a triedi do patričných pravidiel. So značku IP paketu potom ďalej pracujú systém riadenia šírky pásma, firewall, NAT alebo smerovanie. Značka sa neprenáša ďalej po sieti, využíva sa len v zariadení ktoré ju vytvorilo. Podľa spôsobu použitia se rozlišujú dve rozdielne značky. IP Pakety spracovávané v statickom smerovaní sa značia pomocou mark-routing, pakety pre firewall, NAT a systém riadenia šírky pásma dostávajú značku 50

51 mark-packet. V RouterOS sa môžeme pri značkovaní IP paketov rozhodnúť z nasledujúcich možností (Burgess, 2009): Podľa VLAN (2. vrstva referenčného ISO/OSI modelu) podľa IP adresy (3. vrstva referenčného ISO/OSI modelu), podľa portu či protokolu (4. vrstva referenčného ISO/OSI modelu), pomocou aplikačné filtra (7. vrstva referenčného ISO/OSI modelu). V RouterOS sa postup spracovania IP paketu rozdeľuje podľa tzv. reťazca (anglicky chain) na (Burgess, 2009): Prerouting IP paket je označený ešte pred rozhodnutím o smerovaní. Postrouting IP paket je označený predtým, ako opustí výstupný port. Forward IP paket je označený hneď po rozhodnutí o smerovaní. Na rozdiel od postrouting značkuje forward ešte pred source-natom. Input - IP paket je určený pre samotný smerovač. Vstúpi cez prerouting do input reťazca a je spracovaný vnútorne. Output - IP paket generovaný samotným smerovačom odchádza output reťazcom do postrouting, kde môže byť ďalej spracovávaný Filtrovanie Medzi štandardné funkcie RouterOS patrí funkčné filtrovanie IP paketov. Štandardne je filter rozdelený do troch takzvaných reťazcov input, output a forward (viď ďalej). Okrem základných troch reťazcov je možné vytvárať vlastné reťazce a dosiahnuť tak prehľadnejšieho usporiadania. RouterOS ponúka veľké množstvo podmienok filtrovania, medzi základné patria filtrovanie IP adresy (jednotlivé aj rozsahy), ďalej portov, protokolov p2p, MAC adresy, značiek IP paketov, obsahu paketov, počtu paketov za určitý časový okamžik, stavový firewall a mnoho ďalších. Smerovaná prevádzka obsahuje tri základné typy vyhodnocovania a postupu paketov (Burgess, 2009): 51

52 Input - zahrňuje iba IP pakety určené pre samotný smerovač, napríklad tie ktoré prichádzajú pri konfigurácii smerovača. Output - pakety vytvorené priamo smerovačom, napríklad pri nadväzovaní spojenia s DNS serverom. Forward IP pakety ktoré prejdú smerovačom pri smerovaní, bridgeovaní, prekladom adries (NAT). Ďalej môžeme pri filtrovaní využiť uchovávanie informácií o jednotlivých spojeniach, takzvané stavové informácie (angl. connection tracking). RouterOS rozlišuje tieto základné stavy (Burgess, 2009): New IP paket začínajúci nové spojenie. Established IP paket patrí už k nadviazanému spojeniu. Related IP paket nadväzujúci ďalšie nové spojenie, ktoré je však späté už s prebiehajúcim spojením. Invalid paket, ktorý nie je súčasťou žiadneho známeho spojenia. Môže to byť napríklad podvrhnuté číslo poradia (sequence number) Prekladanie adries Jednou zo základných funkcií smerovačov v súčasnosti je prekladanie IP adries (Network address translation, NAT) sa používa pre oddelenie miestnych sietí od sietí WAN resp. Internetu. Existujú dva základné typy prekladu IP adries: Source NAT preklad zdrojových IP adries. Destination NAT preklad cieľových adries. Niektoré špeciálne aplikácie však nemôžu v režime NAT pracovať (napríklad zabezpečené VPN s IPsec). Iným prípadom zdrojového NATu sú funkcie redirect respektíve masquerade. Táto funkcia pri priechode IP paketu zmení v hlavičke pôvodnú IP adresu za daného rozhrania, cez ktoré IP paket opustí smerovač. Smerovač si potom udržuje vnútornú databázu týchto prekladov, aby spätne mohol prichádzajúce pakety upraviť do správneho stavu, pre doručenie koncovému prijímateľovi v privátnej sieti. Počítače z privátnej siete, ktoré nemajú možnosť priameho spojenia so vzdialenými počítačmi na 52

53 Internete, si tak môžu spolu vymieňať dáta API Jedným zo spôsobov vzdialenej konfigurácie v RouterOS je API (Application Programming Interface). API je dostupné od verzie 3 RouterOS a má vyhradený port Pred prvým použitím je potrebné túto službu povoliť v menu IP Service List (prostredníctvom Winboxu), v predvolenom nastavení z výroby nie je rozhranie aktívne Skriptovanie Príkazy, ktoré chceme spustiť, zadávame do intepretra v RouterOS, ktorý ich potom prekladá. Ide o rovnaký princíp ako v Linuxe, kde keď spustíme príkazový riadok, objaví sa shell, v ktorom si môžeme spustiť jeden program a pracovať v ňom alebo rovno napísať skript využívajúci vlastnosti daného shellu, alebo niekoľko ďalších programov. Skriptovanie v RouterOS je odlišné od mainstreamových skriptovacích jazykov, a to hlavne pre svoje prispôsobenie štruktúre konfiguračných volieb, musíme preto počítať s určitými obmedzeniami. Napríklad dáta, s ktorými môžeme pracovať, sa musia nachádzať na smerovači, kde beží skript. Nie je možné pristupovať do databázy či do iného smerovača, alebo v prípade ak chceme smerovaču predať nejaké parametre je nutné využiť globálne premenné (v Linuxe podobné obmedzenia nemáme). Aj napriek určitým obmedzeniam, stále sa jedná o užitočný nástroj pre aktívnu reakciu na rôzne udalosti. Vykonávanie je rýchle, a tak nie je problém spúšťať skript, ktorý stráži kritické hodnoty, raz z pár sekúnd. Dokonca je možné reagovať na špecifické udalosti, napríklad na nežiadúci DHCP server na sieti, alebo na nežiadúci stav nejakého kontrolovaného parametru. alebo vykonávať rôzne nastavenia parametrov front, filtra, atď. Pomocou skriptov sa dá tiež naprogramovať plne funkčné FUP s obmedzením dát a rýchlostí, ďalej pridávanie zákazníkov do smerovača, alebo vytváranie položiek v mangle, forward (masquerade, prípadne transparentný NAT pre verejné IP adresy) (viď kapitola 3.5.3). Pri spojení s plánovačom môžeme spúšťať skripty buď v presnom časovom okamžiku alebo v rôznych časových intervaloch, prípadne ich kombináciou. Čoraz častejšie používaným riešením pri skriptovanie v RouterOS je využitie funkcie Metarouter, čo znamená virtuálizáciu, keď sa súčasne s RouterOS spustí iný operační systém (napr. OpenWRT) a umožniť tak integráciu ďalších funkcií. Ak má smerovač dostatočný výkon, je možné takto využiť flexibilitu Linuxu, bez potreby zvyšovania počtu 53

54 aktívnych prvkov Bezdrôtové siete RouterOS podporuje dva najrozšírenejšie typy čipsetov bezdrôtových kariet - Atheros a Prism. MikroTik ich integruje do širokej škály minipci 24 rozširujúcich kariet pre IEEE normy a, b, g, n, ac a ad. Pri použití Atheros čipsetu je možné pre zlepšenie priepustnosti zapnúť kompresiu dát. Pre rozpoznávanie rozširujúcich kariet sa používa Linuxový ovládač MADWIFI. MikroTik uviedol pre bezdrôtové spoje tiež vlastný protokol Nstreme2. Jedná sa o sadu vylepšení, ktorá umožňuje používať dve bezdrôtové karty v páre, jedna pre príjem, druhá pre vysielanie (Burgess, 2009) Ostatné služby Okrem základných sieťových operácií podporuje aj množstvo ďalších podporných nástrojov. Vzhľadom na stanovený rozsah práce, nie je možné ich všetky vymenovať. Zameriam sa na najčastejšie využívané možnosti a funkcie s ich stručným popisom (Burgess, 2009): FTP server jednoduchý FTP server. Najčastejšie slúži k sťahovaniu alebo nahrávaniu záloh ako aj aktualizačných balíčkov RouterOS. IP tunely široká podpora protokolov (IPIP, L2TP, PPTP, PPPoE). PPPoE (Point to Point Protocol Over Ethernet) je emulácia PPP spojení v ethernetovej sieti. Používaná väčšími ISP pre jednoznačnú autentifikácia používateľov v spojení s Radius serverom. Grafické výstupy RouterOS podporuje súhrnné grafické výstupy pre monitorovanie sieťovej prevádzky za pomoci nazbieraných dát a grafických nástrojov. Administrátori vďaka týmto štatistikám môžu zdokonaľovať sieť tak, aby nedochádzalo k preťaženiu liniek. DNS cache používa sa na zníženie DNS požiadaviek na vzdialený DNS server, deje sa tak za pomoci vnútornej cache pamäte. Zároveň dochádza k zníženiu času vybavenia požiadaviek. Pracuje na porte UDP a TCP číslo Nová forma zbernice PCI 2.2 pre použitie v prenosných počítačoch. 54

55 WEB Proxy pracuje ako kešovací proxy (Cache proxy) server. Uchováva odpovede na často kladené dopyty. Kópie webových stránok, obrázkov a súborov si ukladá do vnútornej pamäte, ktoré pri ďalšom dopyte nie je potrebné opäť sťahovať z Internetu, ale zašlú sa z pamäte. Umožňuje tak znižovať množstvo dát sťahovaných z Internetu. Proxy môže fungovať štandardne, tj. nastavením proxy v prehliadači, alebo ako transparentný proxy. NTP klient synchronizuje lokálny čas podľa vzdialeného servera. NTP server dokáže poskytovať informácie o čase ako časový server. Bandwidth Test používa pre meranie dostupnej šírky pásma medzi dvoma smerovačmi s RouterOS. Dostupná je aj ako aplikácia pre Windows OS. Služba pomerne výrazne zaťažuje procesor, ktorý je pri niektorých nižších radách RouterBordov, počas merania vyťažený na maximu. Torch (Realtime Traffic Monitor) používaný pre monitorovanie dátového toku, ktorý práve prechádza cez určité rozhranie. Sledovanie prietoku môžeme špecifikovať podľa typu protokolu, zdrojovej aj cieľovej adresy, zdrojového aj cieľového portu. UPS monitor umožňuje monitorovať stav UPS zariadenia a prípadne reagovať na jeho pokyny. Monitorovanie je možné prostredníctvom USB alebo sériového portu. 2.2 Analýza vybraných sieťových operačných systémov Každý sieťový operačný systém, ktorý som analyzoval, je určený pre iné špecifické aplikácie, kde sa môžu uplatniť jeho silné stránky. Aspekty, ktoré ovplyvňujú rozhodovanie, ktorý operačný systém nasadiť, spravidla predstavujú: hardwarovú platformu a požadovaný účel aplikácie. Univerzálny systém vhodný pre každý druh aplikácie nie je ani možné vytvoriť. Pre oblasť menších alebo stredne veľkých poskytovateľov Internetu (do 1000 účastníkov), vyšiel z môjho pohľadu ako najvhodnejší RouterOS. Závery analýzy som zhrnul do tabuľky v prílohe č. 5. Okrem porovnania jednotlivých systémov sa závery opierajú aj o vlastné poznatky nadobudnuté pri písaní tejto práce a skúsenosti získané praxou. RouterOS je síce komerčný produkt, ale náklady na obstaranie nie sú obzvlášť vysoké ani 55

56 pre menšie firmy. Cena za takmer plnohodnotný systém so všetkými potrebnými funkciami predstavuje 50EUR. Pričom nie sme obmedzovaní iba na zariadenia MikroTik, podporovaná je väčšina dostupných hardwarových platforiem. Ak máme k dispozícii starší osobný počítač, môžeme ho rýchlo premeniť na výkonný smerovač. V prípade zakúpenia RouterBOARDu od MikroTiku je už systém predinštalovaný na doske aj s príslušnou licenciou. Zariadenia od spoločnosti Cisco a Juniper Networks majú cenu oproti MikroTiku rádovo vyššiu aj v prípade že porovnávame jednotlivé platformy. V prípade Linuxových a UNIXových distribúcii je cena nulová. Je však potrebné počítať s horšou technickou podporou a menej používateľsky prívetivým konfiguračným prostredím. Čo môže vyvolať dodatočné náklady pri správe a údržbe takýchto systémov (TCO). Systém RouterOS nie je možné rozširovať o ľubovoľné funkcie, na rozdiel od naištalovaných systémov Linux. Počas svojej praxe som sa však nestretol zo zásadnou funkciou, ktorá by systému chýbala. Systém je neustále dopĺňaný o ďalšie funkcie s každým uvoľňovaním novej verzie (spoločnosť MikroTik uvoľňuje nové verzie RouterOS raz za rok). Nové verzie sú pripravované aj na základe častých používateľských požiadaviek z radov ISP. Medzi nesporné výhody systému patrí systém vzdialeného ovládania Winbox a ďalšie podporné programy ako aj funkcie, ktoré nie sú bežnou súčasťou iných systémov (napr. Hotspot, User-manager, The Dude, BTest atď). Za nedostatok systému považujem jeho nižší výkon. Aj nadpriemerne silný počítač, začne mať pri vyšších dátových tokoch značné problémy. Kombinácia NATu, značkovania paketov, klasifikácie paketov, radenie do jednotlivých front a iné funkcie kladú obrovské požiadavky na výpočtový výkon. Hraničný smerovač s procesorom AMD 2.4 GHz, ktorý spracovával vo večerných špičkách cca 30 tisíc paketov za sekundu mal kriticky vyťažený procesor na úrovni 90%, čo sa prejavovalo nepravidelnou obsluhou priorizovaných služieb a dátových tokov. Pre menších poskytovateľov je RouterOS vítané oživenie ponuky, vďaka prepracovanej platforme a systému ovládania, ktorý nekladie také veľké požiadavky na znalosti zložitých komplexných systémov, ako je napríklad Linux a Cisco IOS a ďalší. 56

57 57

58 3 Nasadenie RouterOS v sieti konkrétneho ISP 3.1 Analýza návrhu QoS v prostredí RouterOS Na príklade realizácie konkrétneho projektu, menšieho lokálneho poskytovateľa internetu, budem prezentovať nasadenie RouterOS, s použitím vybraných metód projektového riadenia, ktoré boli popísané v prvej kapitole. Na tomto projekte osobne participujem ako člen projektového tímu. Súčasťou projektu je analýza návrhu QoS pre prostredí sieťového operačného systému RouterOS. Predmetom analýzy je určenie optimálneho riešenia pre riadenie šírky pásma prideľovaného aktívnym zákazníkom s využitím údajov získaných z informačného systému poskytovateľa. Analýza sa opiera o dostupné konfiguračné prostredie sieťového operačného systému RouterOS. Zohľadniť musíme aj výkonnostné parametre používaných sieťových smerovačov a ďalších aktívnych prvkov. Ďalej bude zohľadnené časové hľadisko pre implementáciu toho ktorého riešenia, ako aj nákladové položky na jeho realizáciu. Samotnej analýze návrhu a samotnému vývoju sa venujem v kapitole V nasledujúcej kapitole sa budem podrobnejšie venovať projektu, ktorý zastrešuje celý proces nasadenia nového QoS. 3.2 Projekt Optimalizácia QoS a bezpečnosti Z dôvodu ochrany citlivých dát, spolupracujúca spoločnosť vyslovila nesúhlas s uverejnením potrebných údajov v tejto bakalárskej práci. Preto sú niektoré údaje pozmenené (napríklad názov spoločnosti, mená osôb a technické detaily). Dôvodom pre zahájenie projektu bolo, že spolupracujúca spoločnosť (IT-Centrum) pociťovala potrebu pre zmenu v oblasti prideľovania šírky zákazníkov a preto sa rozhodla realizovať tento projekt, ktorému sa dal pracovný názov "Optimalizácia QoS a bezpečnosti". Ako názov projektu naznačuje týka sa implementácie nových zásad pre QoS a zvýšenie celkovej bezpečnosti v počítačovej sieti lokálneho poskytovateľa internetu. Projekt bol nutný pretože poskytovateľ potreboval komplexne riešiť oblasť riadenia dátového toku, nakoľko sa s rozširujúcim počtom účastníkov objavovali reklamácie súvisiace s 58

59 preťažením a následnou nestabilitou siete. Tiež chýbal systémový prístup pri aktivácii a reaktivácii účastníkov, ktorý by bol napojený na informačný systém spoločnosti. Prínosom inovácie bude zníženie zaťaženia siete, optimalizácia dátového toku a celkové zlepšenie dostupnosti kritických služieb pre zákazníkov. Optimalizácia QoS umožní spravodlivé a automatizované prideľovanie šírky pásma jednotlivým zákazníkom. V neposlednom rade prinesie zlepšenie efektivity zamestnancov a zvýšenie zabezpečenia siete Charakteristika spoločnosti Spoločnosť IT-Centrum, s.r.o. bola založená v roku 2005 a jedná sa tak o pomerne mladú spoločnosť. Spĺňa kritéria malého podniku, zamestnáva 20 zamestnancov na hlavný pracovný pomer a jej obrat za účtovné obdobie 2015 predstavoval EUR. Spoločnost sídli v meste Martin, kde má svoju jedinú prevádzku v širšom centre mesta. Svoju činnosť vykonáva predovšetkým v sídelnom meste, ale pôsobí aj v širšom okolí mesta Martin. Zaoberá sa predajom a servisom výpočtovej techniky a telekomunikačných zariadení, ďalej sa venuje grafickému dizajnu, tvorbe webových stránok a multimediálneho obsahu. V poslednom období tiež realizovala niekoľko projektov v oblasti zabezpečovacích systémov. V roku 2008 rozšírila svoje aktivity aj do oblasti poskytovania pripojenia do Internetu. Spoločnosť v súčasnosti poskytuje pripojenie do internetu približne 600 účastníkom. Väčšina zákazníkov sa pripája v bytových domoch na sídlisku Sever a Vrútky (bytoví účastníci), menšia časť potom v okolitých obciach (domoví účastníci). V servisnom oddelení, ktoré zabezpečuje monitoring, údržbu a rozvoj siete, pracuje 6 servisných technikov Požiadavky na projekt Vedenie spoločnosti malo niekoľko požiadaviek, ktoré bolo potrebné v procese plánovania projektu zohľadniť: Spustenie projektu: február Realizácia projektu: ASAP Tak skoro ako je možné (angl. As Soon As Possible, ASAP). 59

60 Práca na projekte nesmie isť na úkor každodenných povinností. Projekt by mal mať minimálny dopad na chod spoločnosti. Finančná zvládnuteľnosť projektu Záujmové skupiny V nasledujúcej tabuľke č. 10 sú uvedené záujmové skupiny (project stakeholders) projektu, ich záujem, vplyv a priorita z pohľadu spoločnosti. Tabuľka 4: Záujmové skupiny projektu Záujmová skupina Záujem Vplyv Priorita Primárne záujmové skupiny Vlastníci Naplnenie očakávaní Pozitívny 4 Zamestnanci Naplnenie očakávaní Pozitívny 4 Projektový tím Splnenie cieľov Pozitívny 5 Sekundárne záujmové skupiny Zákazníci Kvalitnejšie služby Pozitívny 4 Konkurencia Konkurenčný boj Negatívny 1 Regulátor Regulácia Neutrálny Personálne obsadenie Projektový manažér poveril funkciou manažéra projektu hlavného technika, sebe ponechal funkciu supervízora. Výsledok projektu má slúžiť primárne pre technické oddelenie. Konfiguráciu smerovačov vykonávajú výhradne technici. Nie je teda potreba do projektu zapájať iné oddelenie. Tabuľka 5: Role projektu; zdroj: vlastné tvorba Role v projekte Supervízor Manažér projektu Projektový Tím Osoba Ing. Milan Harman (projektový manažér) Mgr. Štefan Šafárik (hlavný technik) Andrej Trnka (servisný technik) Filip Lukáč (servisný technik) Ing. Boris Husák (analytik) Boris Krajňák (vývojár) 60

61 3.2.5 Špecifikácia metód S vedomím, akú veľkú váhu má príprava projektu, bude na fázu definovania kladený veľký dôraz. Vzhľadom k povahe projektu, boli vybrané nasledujúce, nižšie uvedené, jednotlivé metódy. Komplexná metodika použitá nebola z dôvodu nedostatočnej veľkosti projektu. Do predprojektovej fázy boli čiastočne zaradené metódy: SMART, SWOT, WBS. Ciele a kroky v rámci týchto etáp boli formulované v priebehu prvých stretnutí a porád. Pri analýze nákladov sa pracovalo aj s TCO. Plánovanie použilo metódu Ganttovho diagramu a diagram míľnikov. Zvažované boli aj riziká. Nakoľko bol projekt skôr menších rozmerov, účasť na projekte nebola nijako ohodnotená a všetky činnosti plnili členovia tímu bez ohľadu na plnenie ich bežnej agendy. Nedošlo ani k žiadnemu neformálnemu, resp. neoficiálnemu stretnutiu. Manažér projektu sa pravidelne dopytoval členov projektového tímu na percento dokončenosti definovaných krokov a dbal na dodržiavanie stanovených termínov (míľnikov) tak, aby boli ciele splnené v čas Konkrétne výstupy Časť konkrétnych výstupov bola oznámená ústne manažérovi projektu, časť bola poskytnutá i písomne. Pre prehľadnosť sú nižšie uvedené kľúčové výstupy štruktúrovane a bodovo. Súčasťou projektovej dokumentácie je rodný list projektu (viď príloha č. 6). Súčasný stav: Manuálna aktivácia/deaktivácia klientov servisným technikom na hraničnom smerovači. Voľný prístup zákazníkov k zdrojom siete (platí pre bytových klientov). Len minimálne QoS. FUP uplatňovaná len ad hoc. Ciele (SMART): Zníženie času potrebného pre aktiváciu/deaktiváciu technikom (o 1 deň menej). Zníženie dátového toku na hraničnom smerovači (o 10% menej). 61

62 Zvýšenie počtu nových klientov (o 2 nových klientov mesačne viac). Zníženie bezpečnostných incidentov (o 1 incident menej). Eliminácia duplikovaných a chybných nastavení pri Simple Queues. Zníženie počtu neplatičov (o 10 neplatičov mesačne). Skrátenie času administratívy venovanej neplatičom (o 1 deň menej). Prínosy (SWOT): Silné stránky Okamžité vypnutie zákazníka s pohľadávkami. Obmedzenie prístupu k zdrojom siete. Zvýšená stabilita a kvalita poskytovaných služieb. Slabé stránky Možná negatívna reakcia zo strany zákazníkov na vypnutie. Príležitosti Zvýšenie konkurencieschopnosti. Hrozby Možné straty citlivých dát pri prenose. WBS Rozdelenie projektu na jednotlivé činnosti: 1. Rozsah - manažér projektu 1.1. Určenie rozsahu projektu 1.2. Zaistenie finančných prostriedkov od sponzora - vedenie spoločnosti 1.3. Určenie predbežných prostriedkov 2. Analýza požiadaviek - analytik 62

63 2.1. Analýzy potrieb 2.2. Návrh predbežnej QoS špecifikácie 2.3. Zostavenie predbežného rozpočtu 2.4. Zostavenie časovej osi dodania - manažér projektu 2.5. Zaistenie požadovaných prostriedkov - manažér projektu 3. Analýza návrhu 3.1. Vývoj funkčných špecifikácií 3.2. Vývoj prototypu - projektový tím vytvorí model 3.3. Revízia funkčných špecifikácií 3.4. Začlenenie spätnej väzby 3.5. Získanie súhlasu s pokračovaním 3.6. Dokončenie návrhu 4. Vývoj - vývojár 4.1. Pridelenie vývojových pracovníkov 4.2. Vývoj kódu 4.3. Vývojárske testovanie 4.4. Dokončenie vývoja 5. Testovanie - technik 5.1. Vývoj testovacích plánov 5.2. Testovanie funčknosti QoS 5.3. Testovanie integrácie s IS 6. Skúšobná prevádzka 6.1. Identifikácia testovacej skupiny 6.2. Použitie QoS na testovaciu skupinu 63

64 6.3. Získanie spätnej väzby testovanej skupiny 6.4. Vyhodnotenie informácií z testovania 6.5. Dokončenie skúšobnej prevádzky 7. Nasadenie 7.1. Určenie stratégie nasadenia 7.2. Nasadenie QoS 7.3. Dokončenie nasadenia QoS 8. Revízia po nasadení 8.1. Zdokumentovanie zistených poznatkov - vedúci projektu 8.2. Vytvorenie tímu na údržbu QoS 8.3. Dokončenie revízie Analýza rizík Zmyslom projektu je aj zvýšenie celkovej bezpečnosti siete. Východiskovým dokumentom pre zaistenie bezpečnosti siete je bezpečnostná analýza. V rámci nej bola vypracovaná základná analýza rizík, ktorá definovala tento okruh potenciálnych hrozieb: DoS útok - odoprenie služby Internet Skenovanie siete Zneužitie prostriedkov spoločnosti na nelegálne účely SPAM Pre všetky popísané bezpečnostné riziká je v rámci sieti implementované len čiastočne alebo vôbec, čo zvyšuje pravdepodobnosť vzniku bezpečnostného incidentu Harmonogram Harmonogram projektu bol zostavený po prehodnotení všetkých relevantných činností (výsledok WBS) na stretnutí projektového tímu. Na základe odhadu trvania jednotlivých činnosti sa sa ďalej spracoval Ganttov diagram. Vo forme štartu a cieľa sa premietajú do harmonogramu míľniky. U každého kroku musí byť uvedená zodpovedná osoba a časová 64

65 náročnosť úlohy (viď príloha č. 11). Prehľadný zoznam trvania hlavných činností uvádzam v nasledujúcej tabuľke č. 6. Tabuľka 6: Doba trvania jednotlivých hlavných činností; zdroj: vlastná tvorba Hlavná činnosť Doba trvania v hod. Doba trvania v dňoch Zahájenie Rozsah 26 3, Analýza požiadaviek , Analýza návrhu Vývoj , Testovanie Skúšobná prevádzka Nasadenie Revízia po nasadení Rozpočet Analýza nákladov ukázala, že je potrebné počítať s výdavkami na zakúpenie nových smerovačov, ktoré budú najprv slúžiť na testovanie a neskôr budú nasadené na miesto menej výkonných zariadení, aby bolo možné systém riadenia QoS nasadiť v plnom rozsahu. Mzdové náklady vychádzajú z jednotlivých činnosti WBS a mzdových nákladov na zamestnancov. Údržba nového systému QoS a bezpečnosti nie je náročná. Zahrnuje predovšetkým kontrolu logov a bežné operácie s RouterOS. Ročné náklady na prevádzku sa pohybujú okolo 240 EUR, tzn. 5 EUR za hodinu, 4 hodiny mesačne. Tabuľka 7: Predložená nákladová analýza na hardvér; zdroj: vlastná tvorba Názov hardvéru ks Cena v eurách bez DPH Mikrotik RB3011UiAS-RM, 1GB RAM, RouterOS L ,62 Suma spolu 418,62 Tabuľka 8: Predložená nákladová analýza na prácu Členovia projektu Celková cena práce v eurách Projektový manažér 540 Analytik 1610 Vývojár

66 Vedúci technik 215 Servisný technik 105 Suma spolu Vývoj konfigurácie pre QoS, FUP a bezpečnosť Sieť a hardware Spoločnosť IT-Centrum budovala svoju sieť od začiatku (založenú na štandardoch IEEE a ) svojpomocne, pričom použila hviezdicovú topológiu s centrálnym uzlom v technickej miestnosti, ktorá sa nachádza v prenajatých priestoroch. V technickej miestnosti sa nachádza rozvádzač (TRITON 60U) a v ňom je umiestnený hraničný smerovač, ktorý zaisťuje kompletné smerovanie do sieti. Hraničný smerovač predstavuje po hardvérovej stránke osobný počítač s procesorom AMD (x86) s frekvenciou 2593MHz na ktorom beží operačným systém RouterOS v3.4. Konfiguráciu ďalej tvorí 3GB DDR SDRAM, dva SSD 240GB disky. Disky sú zapojené cez rozhranie esata do poľa RAID 1 (zrkadlenie). Tri gigabitové ethernetové sieťové karty s nasledujúcou konfiguráciou: Ether1 verejná IP adresa s prívodom od zariadenia (Alcoma MP600) dodávateľa konektivity (Energotel, a.s. poskytuje symetrické pripojenie rýchlosťou 200Mb/s). Ether2 VLAN 99 shaper (RouterOS se systémom riadenia šírky pásma). Ether4 VLAN 10 DNS server, monitorovací server VLAN 20 verejné IP adresy ďalší servery, VPN server atď. Takto označkované pakety smerujú do L3 konfigurovateľného prepínača (prostredníctvom trunk portov). Na prepínači sú rozbalené na určité porty. Chrbticové spoje sú vybudované na mikrovlných zariadeniach SAF Lumina v pásme 17GHz. Uzly siete tvoria smerovače RouterBoard od spoločnosti MikroTik v rôznych 66

67 výkonnostných prevedeniach. V bytových domoch je použitá štrukturovaná kabeláž, ktorú tvoria UTP cat5e káble, v menšej miere optickými káblami Single Mode s prechodníkmi WDM a L2 aktívne prvky. Domový používatelia sa pripájajú cez Wi-Fi sieť so štandardom IEEE ac Riešenie pre QoS V rámci prepojovacieho smerovača môžeme vykonávať jednoduchým spôsobom QoS, a tak zvyšovať či znižovať prioritu vybavovania jednotlivých požiadaviek používateľov na služby. Prvým krokom bude vytvorenie požadovaných filtračných či kontrolných pravidiel pre p2p siete. Pre získanie kontroly nad tokom dát v p2p sieťach sa ako najúčinnejšia javí kombinácia obmedzenia rýchlosti a obmedzenia počtu spojení pre jedného používateľa. Pre obmedzenie rýchlosti použijeme špecialitu systému RouterOS fronty typu PCQ. V príloha č. 8 ukazujem konfiguráciu názvu fronty, typu fronty a nastavenie vlastnosti PCQ fronty nastavil som rýchlosť 2 Mbps a klasifikačné pravidlo cieľovú adresu. Pretože na jednotlivých rozhraniach vždy ide obmedzovať iba odchádzajúcu prevádzku, definujem pre sťahovanie z p2p sietí ako parameter cieľovú adresu. To znamená, že všetky dáta idúce na jednu IP adresu sú zoskupené do jednej skupiny. Pre upload do p2p sietí vytvorím obdobnú frontu, budem však definovať klasifikátor ako zdrojovú adresu, pretože potrebujeme obmedzovať prevádzku na výstupnom rozhraní a teda určovať celú prevádzku podľa jednotlivých zákazníkov, teda podľa zdrojových IP adries. Potom už iba vytvorím reálnu obslužnú frontu v Queue Tree (viď príloha č. 11). Položka parent vyžaduje správne nastavenie rozhrania, na ktorom bude uskutočnené obmedzenie rýchlosti. Ako som už skôr uviedol, pre obmedzenie sťahovania dát se bude jednať o vnútorné rozhranie (segment na ktorom sú pripojení klienti). Pre obmedzenie posielania dát použijeme vonkajšie rozhranie (rozhranie v smere do Internetu). Packet mark je značka paketu. Queue type je typ fronty kde vyberieme typ PCQ, teda tú ktorú sme sami vytvorili, prípadne použijeme niektorú z preddefinovaných front. Priorita definuje s akou dôležitosťou sa bude táto fronta obsluhovať stupnica od jednej po osem, kde jednotka má prioritu najvyššiu. V prípade p2p zadaného osmičku, aby podľa čoho sa tejto fronte pridelí určitý dátový tok len v prípade, že nebude vybraný susednými typmi front s vyšší prioritou. Ďalej musíme nastaviť značkovanie IP paketov. RouterOS disponuje rovnako ako Linux 67

68 nástrojmi pre hĺbkovú kontrolu paketov na siedmej vrstve referenčného ISO/OSI modelu. Pridáme pravidlo mangle podľa nasledujúceho príkazu cez konzolu: /ip firewall mangle add chain=forward p2p=all-p2p action=mark-connection newconnection-mark=p2p passthrough=yes add chain=forward p2p=all-p2p action=mark-packet new-packetmark=p2p passthrough=no Pre označenie IP paketu musia byť splnené nasledujúce podmienky: reťazec forward a zistená niektorá zo skupiny p2p sietí, ktorú dokáže RouterOS detekovať. Ako značku pre IP pakety sme zvolili p2p. Vlastnosť Passthrough znamená, že paket po prechode týmto pravidlom pokračuje i naďalej v spracovaní ostatnými pravidlami firewallu bežná politika pri spracovaní IP paketov je totiž odlišná. Každý paket prechádza pravidlami od prvého k poslednému. Ak niektorému pravidlu vyhovie, vykoná sa požadovaná akcia a spracovanie sa ukončí. V druhom pravidle už Passthrough môžeme vypnúť, pretože s paketmi siete P2P už nebudeme vykonávať žiadne označovacie práce. Pomocou L7 filtra, ktorý je v RouterOS dostupný od verzie 3, môžeme kontrolovať prevádzku na siedmej vrstve referenčného ISO/OSI modelu. Na Internete sú k dispozícii regulárne výrazy 26, tzv. regexp, pomocou ktorých se prevádzka rozpoznávaná. Ide rozpoznať napríklad Skype, Jabber, konkrétne P2P siete, komunikácia s hernými servery atď. Treba dodať že celá rada dostupných regulárnych výrazov je žiaľ nefunkčných alebo jen čiastočne funkčných a treba ich neustále aktualizovať. Vybrané pravidlo pre Jabber: add comment="" name=jabber regexp="<stream:stream[\t-\r ][ -~]*[\t-\r ]xmlns=['\"]jabber" BitTorrentové aplikácie potom umožňujú zámerne v nastavení komunikovať prostredníctvom TCP protokolu na porte 80, ktorý sa používa pre webové serveri a preto je sťažená ich jednoznačná identifikácia. Vybrané pravidlo pre BitTorrent: add comment="" name=bittorrent regexp="^(\13bittorrent protocol azver\01\$ get/scrape\\\?info_hash=) d1:ad2:id20: \08'7P\\)[RP]" Výkonovo je táto metóda pomerne náročná. Nasledujú dve pravidlá mangle používajúce predchádzajúce výrazy na hĺbkovú kontrolu: /ip firewall mangle add chain=forward layer7-protocol=jabber 26 Ako príklad uvádzam: 68

69 action=mark-connection new-connection-mark=p2p passthrough=yes ip firewall mangle add chain=forward layer7-protocol=bittorrent action=mark-connection new-connection-mark=p2p passthrough=yes Teraz kontrolujeme celý dátový tok a v prípade, že se objaví známy formát paketu patriaci sieťam p2p, dostane tento špeciálnu značku. Ďalším krokom bude obmedzenie počtu spojení pre p2p dátové prenosy. To vykonáme v nasledujúcej časti kódy, kde vytvárame nové pravidlá pre každú zdrojovú IP adresu podľa následujúceho príkladu: /ip firewall filter add chain=forward src-address=$ip connectionmark=p2p connection-limit=20,32 action=drop /ip firewall filter add chain=forward src-address=$ip packetmark=p2p limit=1,1000 action=drop Chain miesto, v ktorom budeme pakety filtrovať volím reťaz forward, pretože v smerovanej prevádzke idú všetky pakety od zákazníka do Internetu a opačne práve cez túto sekciu. V Src. Address dopĺňame IP adresu zákazníka, ktorého chceme obmedziť. Pravidlo použijeme iba na pakety označené p2p Connection Mark. Connection Limit definuje požadovaný počet spojení, ktorý chceme danému zákazníkovi povoliť. Nakoniec v Action zvolím drop zahoď. Výsledkom je pravidlo, ktoré v prípade, že daný klient nadviaže viac spojení než má v Connection Limit, vyhodnotí všetky ďalšie pokusy o nadviazanie ako zakázané a príslušné pakety zahodí. Druhým pravidlom limitujeme počet IP paketov za jednotku času (1 s), ktoré môže smerovačom prejsť. Niektorí tvorcovia programov pre zdieľanie dát v P2P sieťach išli ešte ďalej. Aby obišli možnosť obmedzenia počtu spojení v TCP protokole, skúsili realizovať prenos dát protokolom UDP. To je nespojový protokol, kde nemáte garantovanú kontrolu nad prijatím jednotlivých paketov. Na spoľahlivých linkách je protokol UDP porovnateľne spoľahlivý ako TCP. Pre poskytovateľa internetu je však UDP rovnako neprijateľný ako veľa otvorených TCP spojení. Jediná možnosť, ako trochu zamedziť zneužitiu tohto protokolu, je prepúšťaniu iba určitého počtu paketov za sekundu. Konštrukcia pravidla zostane prakticky rovnaká, opäť použijem príkaz pre konzolu: /ip firewall filter add chain=forward src-address=$ip protocol=udp dst-port=!53 dst-address-list=!herne-servery limit=1,100 action=drop V parametri Dst. Port je výnimka pre port 53, ktorý sa používa v službe DNS. Na 69

70 smerovačoch v predmetnej sieti je síce primárne zapnutá funkcia DNS cache a koncové zariadenia zákazníkov sa nastavujú tak, aby ju používali, z čoho vyplýva že reťazec forward túto službu neobmedzuje (na rozdiel od inputu), aj tak ale ponecháme možnosť zákazníkom používať aj iné preferované DNS servery cez reťazec forward. Pri uplatnení prechádzajúceho pravidla, môže u niektorých používateľov nastať problémom v tom, že väčšina multiplayerových hier používa pre prenosy práve protokol UDP a týmto obmedzením prakticky môžeme hranie znemožniť. Tento problém rieši ďalšia výnimka uvedená v Dst. Address List=!herne-servery. Ide o neustále aktualizovaný zoznam IP adries serverov, ktoré sú bezpečné. Zoznam je uložený centrálne na serveri odkiaľ sa musí najprv stiahnuť do smerovača. Príslušný kód uvádzam v prílohe č. 9. Väčšina klientov kladie dôraz predovšetkým na rýchlosť prehliadania stránok, a preto definujeme pre celý smerovač nasledujúce triedy prevádzky: www prevádzka (port 80 a 443), tcp prevádzka a ostatná prevádzka. Ďalšia početná skupina, ktorá sa v posledných rokoch čoraz viac rozširuje, sú hráči multimplayerových hier. Pre túto skupinu vytvoríme triedu prevádzky: herne-servery. Pomocou značkovania IP paketov a následnému radeniu do jednotlivých front s rôznou prioritou dochádza k čerpaniu dátového pásma spôsobom, ktorý vyhovuje väčšine zákazníkov. /ip firewall mangle add action=mark-packet chain=forward protocol=icmp new-packet-mark=icmp passthrough=no /ip firewall mangle add action=mark-packet chain=forward protocol=udp dst-port=53 new-packet-mark=dns passthrough=no /ip firewall mangle add action=mark-packet chain=forward dstaddress-list=herne-servery new-packet-mark=herne-servery passthrough=no /ip firewall mangle add action=mark-packet chain=forward protocol=tcp port=80 new-packet-mark=www passthrough=yes /ip firewall mangle add action=mark-packet chain=forward protocol=tcp port=443 new-packet-mark=www passthrough=yes /ip firewall mangle add action=mark-packet chain=forward protocol=tcp packet-mark=no-mark new-packet-mark=tcp passthrough=yes RouterOS je tiež schopný priorizovať jednotlivé VLANy. To umožňuje nastaviť VoIP VLAN vyšší prioritu ako VLANom určeným pre dátové prenosy. Priorizácia musí byť 70

71 povolená a konfigurovaná na každom zariadení, ktorým dáta prechádzajú. Hlavička rámce v 802.1p obsahuje troj bitové pole pre priorizáciu, ktoré umožňuje zoskupiť rámce do rôznych skupín podľa tried. Existuje osem stupňov (0-7) priorizácie spoločne s ôsmimi frontami. Osmy stupeň reprezentuje najvyššiu prioritu. Nasleduje príklad označenia paketov s hodnotou DSCP 0x16, 0x00 (dekadické vyjadrenie 22 resp. 0) v operačnom systéme RouterOS. /ip firewall mangle add chain=prerouting tos=22 action=mark-packet new-packetmark=dscp passthrough=yes Najvyššiu priepustnosť však zaistíme protokolu ICMP a paketom služby DNS. Definícia DSCP vlajky na hodnotu 16 Min Delay, sa smerovaču prikáže, aby tieto pakety bezodkladne odosielal s najvyššou prioritou a najmenším zdržaním. /ip firewall mangle add action=change-dscp chain=forward protocol=udp dst-port=53 new-dscp=16 /ip firewall mangle add action=change-dscp chain=forward protocol=icmp new-dscp=16 Ďalším krokom je ukážka vytvorenia štruktúry jednotlivých Simple Queue pomocou kódu. # Vytvor queue podla vstupnych parametrov! :if ([:pick $tmparray 3] = 0) do={ /queue simple add target=$ip max-limit=([:put $upload]."/".[:put $download]) limit-at=([:put $upload]."/".[:put $download]) totalqueue=$totalqtype priority=$priority; } else={ /queue simple add target=$ip max-limit=([:put $upload]."/".[:put $download]) total-queue=$totalqtype priority=$priority; } Kód je napísaný tak, aby odlišoval používateľov bezdrôtového pripojenia, a tých ktorí majú klasické metalické alebo optické rozvody. Pravidlá pre bezdrôtových klientov budú mať algoritmus pcq, ktorý je vhodný pre Wi-Fi, zatiaľ čo ostatní majú nastavený algoritmus mq fifo. Rozlišovaní sú tiež klienti ktorí majú garantované pripojenie do internetu. Spravidla ide o iných poskytovateľov, školy alebo orgány verejnej správy. Priorita všetkých paketov garantovaných zákazníkov je nastavená na najvyššiu hodnotu. V 71

72 RouterOS, je priorizácia IP paketov prevrátená oproti väčšine iných systémov. Trieda priority 1 má najvyššiu a 8 najnižšiu. Následne sa vytvárajú pre každú hlavnú frontu štyri podfronty podľa nasledujúceho kódu: /queue simple add target=$ip max-limit=([:put $upload]."/".[:put $download]) packet-mark=$pmark parent=$parent totalqueue=$totalqtype priority=$prioritysec; Táto štruktúra má účel priorizačný a špeciálne pre p2p dátové toky účel limitovania rýchlosti. Uprednostňujú sa dátové toky vytvárané pri pozeraní stránok, hraní online hier, pred ostatnými službami, na základe značiek vytvorených v predchádzajúcej časti Riešenie pre FUP Ako sa uvádza v podkapitole analýze návrhu, riešenie FUP spočíva, opäť ako v prípade QoS, vo vytvorení obslužného kódu (scritptu), ktorý sa bude pravidelne spúšťať v presne definovanom čase. Ten skontroluje v jednotlivých frontoch množstvo prenesených dát. V prípade, že je stanovená hranica pre FUP prekročená, upraví hodnoty prenosovej rýchlosti vo fronte. Celý kód FUP scriptu je uverejnený v prílohe č. 10. V nasledujúcej ukážke časti kódu sa upravuje limitná rýchlosť v Simple Queue ak je prekročená premenná v FUPLimit (2 Mbps). # Ak nie je prekrocena FUP preskoc! :if ((($sqdown/1024)/1024) > $FUPLimit) do={ set $i max-limit=$maxlimit; :log info ("FUP na IP: ".$sqaddress); } Ďalej potrebujem nadefinovať časovač (scheduler), ktorý spustí uvedený skript každých 20min. Nasleduje príkaz pre nastavenie časovača v konzole RouterOS: /system scheduler add name=fup start-date=00:00:00 starttime=00:00:00 interval=20m on-event=fup Riešenie pre zvýšenie bezpečnosti Podstata riešenia pre zvýšenie bezpečnosti v prepínanej IP sieti spočíva v pevnom spojení IP adresy a fyzickej adresy MAC v ARP tabuľke. Tento postup znemožní aby sa miesto skutočného vlastníka danej IP adresy prihlasoval niekto iný. Nasleduje ukážka kód s popisom, ktorý je súčasťou scriptu QF_scritpt. 72

73 #Ak ma IP definovany subnet preskoc! :if ($subnet < 0) do={ # Skontroluj IP! :local testip [/ping $IP count=2]; } # Ak nie je v ARP preskoc! :if ([:len [/ip arp find address=$ip]]!= 0) do={ # Pridaj IP do arp listu! /ip arp add copy-from=[find address=$ip]; } else={ :if ($testip=2) do={ :set texth ($texth.($ip." MAC\r\n")); }} Ďalším opatrením pre zvýšenie bezpečnosti je definovanie jednotlivých IP adries, ktoré majú prístup do IP siete. Tento zoznam je totožný so zoznamom aktívnych účastníkov, ktorý slúžil pre konfiguráciu QoS. Ukážka časti kódu zo scriptu QF_script ktorá pridáva aktívne IP adresy do Access Listu. # Pridaj ip adresu klienta do address listu! /ip firewall address-list add list=aktivny-klient address=$ip; # Pridaj ip adresu neplatica do address listu! :if ([:pick $tmparray 4] = 1) do={ /ip firewall address-list add list=neplatic address=$ip; } Ako vyplýva z predchádzajúcej ukážky, okrem zoznamu aktívnych IP adries sa vytvorí aj zoznam IP adries neplatičov. Tí majú odopretý prístup do Internetu na porte 80 a sú presmerovaní na webovú stránku (lokálny webový server poskytovateľa) informujúcu ich o záväzkoch po splatnosti. Obmedzenie sa však vzťahuje len na tento jeden port a zákazníci tak majú stále možnosť realizovať platbu online cez internet banking. Nasleduje príklad filter aktívnych klientov a NAT pravidla pre presmerovanie neplatičov. /ip firewall filter add chain=input dst-address-list=!aktivniklinti action=drop /ip firewall filter add chain=forward dst-address-list=!aktivniklinti action=drop /ip firewall nat add chain=dstnat protocol=tcp dst-post=80 src- 73

74 address-list=neplatici action=dst-nat to-addresses= toport=80 out-interface=togw comment="neplatici" Testovanie Pre overenie priorizácie sme sa rozhodli vytvoriť topológiu, v ktorej máme na rozhraní FastEther1 RouterBoardu pripojené pomocou prepínača 2 počítače, pričom každý je v inej VLAN. Na rozhraní FastEther2 RouterBoardu máme pripojený počítač, na ktorom výslednú prevádzku analyzujeme. Pre testovanie VLANov je potrebné medzi oboma rozhraniami ešte vytvoriť most (bridge). Následne môžeme uprednostňovať vybraný. V prvej časti testovania sme sa zamerali na DSCP pririzáciu. Aby sme boli schopní zistiť, či nami definované správne priority pre DSCP, je potrebné si pomôcť aplikáciou, ktorá nám pomôže prevádzku označiť. Teda do hlavičky IP paketu, v sekcii DSCP nastaviť pre určitý dátový tok požadované hodnoty. Aplikácia Traffic Control Monitor funguje tak, že na požadovanom toku každý odchádzajúci paket značkuje tak, jak ako nastavíme. Ak teda nastavíme, že má pakety značkovať na hodnotu 0x68, tak toto vykoná, bez ohľadu na to, či paket už označený je, či nie. Do počítača v druhom segmente siete boli odosielané dáta zároveň z dvoch počítačov na prvom segmente. A to tak, že na prvom počítači boli pakety priorizované DSCP značkami, nastavenými na hodnotu 22 (0x16). Zatiaľ čo na druhom počítači dátový tok označovaný nebol vôbec a pakety mali teda implicitne nastavenú hodnotu v poli DSCP na 0x00, mali teda nižší prioritu. Na počítači s hodnotou DSCP poľa 0x00, bolo možné sledovať jednoznačne nižšiu prenosovú rýchlosť dát. Prepínač sa tedy choval správne a uprednostňoval správny dátový tok. Ďalšie testovanie prebiehalo analogickým spôsobom, pričom sa testovali jednotlivé pravidlá QoS. Pri testovaní QoS na smerovači so zapnutým NAT nepracovali správne, resp. vôbec. Špecifikácia RouterOS hovorí, že pre označenie všetkých paketov na smerovači s NAT sa musí najprv vykonať označenie spojenia a až potom na základe značky pre spojenia sa označia všetky pakety. U smerovačov, na ktorých sa nevykonáva preklad adries, je možné označovať všetky pakety rovnou pomocou jediného pravidla. Po úprave mangle pravidiel pre označovanie spojení a následné označovanie IP paketov na základe Connection Mark došlo k čiastočnej náprave - bolo možné priorizovať sťahovanie dát, odosielanie však nie. 74

75 Príčinu tejto chyby sa nám nepodarilo odstrániť. Preto bolo prijaté rozhodnutie, aby na hraničnom smerovači neboli priamo pripojení žiadni účastníci. Docielilo sa to pridaním ďalšieho smerovača medzi hraničný smerovač a účastníkov. Pri testovaní funkčnosti kódu v scripte QF_script sme natrafili na obmedzenie v podobe nemožnosti zápisu a čítania dát v txt súbore väčšom ako 4096 kb. Dôvod tohoto obmedzenia je neznámy (RouterOS používa súborový systém ext2fs), a po dosiahnutí tejto hodnoty musí byť vytvorený nový súbor. Skriptovací jazyk neobsahuje možnosti, ktorými by sa dali hľadať chyby a nedostatky v skriptoch/kóde. Komentáre, ktoré sa dajú vpisovať do kódu, majú význam iba informatívny a slúžia pre prehľad jednotlivých funkcií programu. Riešením je možnosť použitia vstavaného reproduktora v zariadení v prípade, že sa nachádza v našom okolí. V určitých úsekoch kódu ide vložiť príkaz pípnutia, tým získame prehľad v ktorej časti je kód ešte funkčný. Inou možnosťou je vložiť príkaz vytvorenia logovacieho záznamu. Tento spôsob je efektívnejší, nakoľko nám umožňuje zaznamenávať hodnoty premenných, a tiež použiť niekoľko kontrolných miest v jednom kóde. Poskytne nám iba zaručenú rýchlosť v parametru Limit At. Ak sa pridá klient tretí, bude sa smerovač snažiť férovo podeliť týchto troch klientov v rámci PCQ skupín, tj. každý z nich by mal dostať pridelené zhruba 3400kbps. Férovosť tohoto delenia bude tak značne záležať na tom, koľko ktorý klient má otvorených spojení. Ak majú prvý dvaja klienti každý iba jedno spojenie a tretí klient použije nejaký sťahovací program, ktorý nadväzuje pre jeden download viac spojení, je väčšia pravdepodobnosť, že klient s viacerými spojeniami získa i väčšiu šírku dátového pásma. Rozdiel by však nemal byť obzvlášť závratný. 3.4 Diskusia Spôsobov ako obmedzovať rýchlosti klientov alebo ako riešiť spravodlivé delenie pásma existuje veľké množstvo. Riešenie popísané v mojej práci je iba zlomkom možností, ktoré RouterOS ponúka. Je viacmenej na rozhodnutí každého jedného poskytovateľa, ako bude túto problematiku riešiť. Samotné riešenie môže byť potom ovplyvnené skúsenosťami správcu siete a v konečnom dôsledku by malo odzrkadľovať obchodnú stratégiu (resp. podnikateľské ciele) poskytovateľa. Systém QoS bol nasadené do reálneho prostredia siete poskytovateľa. Pre poskytovateľa 75

76 má nasadenie nového systém veľmi pozitívny prínos, a to nie len z pohľadu prevádzky siete, ale zmena sa ihneď prejavila aj v zlepšení efektivity prace technikov a v neposlednom rade sú spokojnejší aj samotní zákazníci, čoho dôkazom je znížený počet reklamácii. V priebehu vývoja systému sa objavili ďalšie možnosti využitia prepojenia RouterOS a informačného systém. Ak opomenieme najväčší nedostatok riešenia a to že sa údaje prenášajú v nezašifrovanej podobe, sú možnosti takého riešenia neobmedzené. Stále sa však jedná o proprietárny systém a cieľom ďalšieho zlepšovania by malo byť nasadenie autentifikácie klientov pomocou RADIUS servera a protokolu PPPoE. Projekt bol dokončený v prvej polovici júna 2016 a vedenie spoločnosti vyslovilo spokojnosť s priebehom a výsledkami projektu. Vynaložené náklady by sa mali rýchlo vrátiť v podobe rastu počtu zákazníkova a zvýšenej produktivity práce. Po nasadení systému pre riadenie QoS sa môžeme pozrieť aj na štruktúru dát, ktoré prechádzajú smerovač. Zistil som, že iba tretina dát u zákazníkov pripadá na prehliadanie www stránok a s tím spojené prenosy súborov. Druhá tretina dát sú identifikované ako dátové toky patriace sieťam p2p a posledná tretina pripadá na ostatné TCP údaje. 76

77 Záver Cieľom tejto bakalárskej práce bola analýza a návrh projektu nasadenia operačného systému RouterOS v sieti konkrétneho poskytovateľa internetu. V súlade s cieľom práce som analyzoval prostredie RouterOS a porovnal s inými zástupcami na poli sieťových operačných systémov. Práca ďalej pojednáva o konkrétnom projekte nasadenia RouterOS v sieti ISP. Projekt bol venovaný optimalizácii systému riadenia šírky pásma. Súčasťou projektu bola analýza návrhu a vývoj efektívnej konfigurácie v prostredí RouterOS. Obsah práce vznikol postupným plnením hlavného a čiastkových cieľov. V prvej, teoretickej časti bola popísaná problematika počítačových sietí, kde som vysvetlil princíp ich fungovania s popisom kľúčových štandardov. Ďalej som uviedol definíciu operačného systému, na ktorú nadväzuje stredná čast práce. Boli vymedzené pojmy poskytovatelia internetových služieb, uvedená stručná história ako aj legislatívny rámec ktorý ich zastrešuje. V závere teoretickej časti boli stručne predstavené štandardy a metódy projektového riadenia, na ktoré nadväzuje posledná časť práce. Čiastkový cieľ, poskytnúť dostatočné teoretické východisko pre nasledujúce kapitoly, bol podľa môjho názoru splnený v rozsahu primeranom bakalárskej práci. V druhej časti nasleduje charakteristika vybraných sieťových operačných systémov a ich analýza. Pre účely analýzy som si podrobne naštudoval možnosti každého vybraného zástupcu, ale pre dodržanie rozsahu práce uvádzam rozbor konfiguračných možností len u sieťového operačného systému RouterOS. Závery, analýza sú zhrnuté v prehľadnej tabuľke. Preto sa domnievam, že aj tento cieľ bol splnený. V tretej časti práce je popísaný konkrétny projekt nasadenia sieťového operačného systému RouterOS zameraný na QoS. Cieľom tejto časti bolo analyzovať návrh a vývoj konfigurácie pre efektívne riadenie šírky pásma. Projekt, ktorého súčasťou bola aj analýza návrhu, bol úspešne dokončený a preto aj tento cieľ praktickej časti bol splnený. Vzhľadom k rozsahu predkladanej práce, nemala táto ambíciu detailne prezentovať všetky možnosti nasadenia RouterOS v sieťach IS. Cieľom bolo zoznámiť sa s predmetnou problematikou konfigurácie RouterOS a predstaviť súhrn postupov a techník použitých pri riešení konkrétneho projektu v sieti ISP, na ktorom som sa podieľal ako člen tímu. V tomto ohľade bol stanovený cieľ bakalárskej práce splnený. 77

78 Zoznam použitej literatúry BLACK, Darryl P. Building switched networks: multilayer switching, Qos, IP multicast, network policy, and service-level agreements. Reading: Addison-Wesley, c1999. ISBN BROOKS, R. R. Introduction to computer and network security: navigating shades of gray. Boca Raton: CRC Press, c2014. ISBN BURGESS, Dennis. Learn RouterOS. Lexington: Dennis Burgess, ISBN CROLL, Alistair. a Eric. PACKMAN. Managing bandwidth: deploying QOS in enterprise networks. Upper Saddle River, NJ: Prentice Hall PTR, c2000. Prentice Hall PTR internet infrastructure series. ISBN HABRAKEN, Joseph W. Průvodce úplného začátečníka pro Počítačové sítě: není zapotřebí žádných předchozích zkušeností!. Praha: Grada, Průvodce (Grada). ISBN HALÁSZ, Jozef. Počítačové systémy a siete. Košice: Technická univerzita, ISBN X. HICKS, Mike. Cisco: optimalizace aplikací. Praha: Grada, ISBN HORÁK, Jaroslav a Milan KERŠLÁGER. Počítačové sítě pro začínající správce. 5., aktualiz. vyd. Brno: Computer Press, ISBN CHVALOVSKÝ, V. Řízení projektů aneb překáţkový běh na dlouhou trať. Praha: ASPI, ISBN KABELOVÁ, Alena a Libor DOSTÁLEK. Velký průvodce protokoly TCP/IP a systémem DNS. 5., aktualiz. vyd. Brno: Computer Press, ISBN KÁLLAY, Fedor a Peter PENIAK. Počítačové siete a ich aplikácie. Žilina: EDIS, ISBN KUKUČKA, Ján. Internet efektivně. 2. přeprac. a dopl. vyd. Brno: CCB, ISBN MÁCHAL, Pavel, Martina KOPEČKOVÁ a Radmila PRESOVÁ. Světové standardy projektového řízení: pro malé a střední firmy : IPMA, PMI, PRINCE2. Praha: Grada, Manažer. ISBN MOCK, Jim. FreeBSD: vytváření pokročilých počítačových sítí a připojení k internetu. Praha: Neocortex, ISBN MOSER, Tomáš. Dohledový systém L2 vrstvy sítě Ethernet. Brno, MYŠKA, Karel a Michal MUNZAR. Základní hardware a software, operační systém. Hradec Králové: Gaudeamus, ISBN

79 NORTHCUTT, Stephen. Bezpečnost sítí: velká kniha. Brno: CP Books, Security (CP Books). ISBN PUŽMANOVÁ, Rita. Širokopásmový Internet: přístupové a domácí sítě. Brno: Computer Press, ISBN PUŽMANOVÁ, Rita. TCP/IP v kostce. 2., upr. a rozš. vyd. České Budějovice: Kopp, ISBN SANDERS, Chris. Analýza sítí a řešení problémů v programu Wireshark. Brno: Computer Press, ISBN SOSINSKY, Barrie A. Mistrovství - počítačové sítě: [vše, co potřebujete vědět o správě sítí]. Brno: Computer Press, ISBN SCHRODER, Carla. Linux: kuchařka administrátora sítě. Brno: Computer Press, ISBN SCHWALBE, K. Řízení projektů v IT Kompletní průvodce. Brno: Computer Press, ISBN STREBE, Matthew a Charles PERKINS. Firewally a proxy-servery: praktický průvodce. Brno: Computer Press, ISBN ŠUSTEKOVÁ, Daniela. Počítačové siete a internet. Vydala: Žilina: EDIS, 2007, ISBN SVOZILOVÁ, Alena. Projektový management. Praha: Grada Publishing, a.s., ISBN Pevný internet má 1,3 milióna používateľov. DSL kleslo, optika rastie [online]. [cit ]. Dostupné z: miliona-pouzivatelov-dsl-kleslo-optika-rastie IEEE Standard for Ethernet [online]. [cit ]. Dostupné z: O nás [online]. [cit ]. Dostupné z: ID=22,2016 Podľa tržieb z elektronických komunikácií za rok [online]. [cit ]. Dostupné z: Prednáška - Transportná vrstva: Protokol TCP [online]. [cit ]. Dostupné z: 79

80 Zoznam obrázkov Obrázok 1: Schematický pohľad na sieť Internet; úprava: vlastná...10 Obrázok 2: Ethernetová hlavička a koniec podľa noriem IEEE; zdroj: Obrázok 3: Hlavička TCP segmentu; zdroj: Obrázok 4: LAN sieť s dvoma smerovačmi; zdroj: vlastná tvorba

81 Zoznam tabuliek Tabuľka 1: Standardy IEEE 802.3; zdroj: Tabuľka 2: Porovnanie rozdielov v OSI a TCP/IP; zdroj: vlastná tvorba...16 Tabuľka 3: Hodnoty IP precedence (Croll, Packman, c2000)...28 Tabuľka 4: Záujmové skupiny projektu...59 Tabuľka 5: Role projektu; zdroj: vlastné tvorba...59 Tabuľka 6: Doba trvania jednotlivých hlavných činností; zdroj: vlastná tvorba...64 Tabuľka 7: Predložená nákladová analýza na hardvér; zdroj: vlastná tvorba...64 Tabuľka 8: Predložená nákladová analýza na prácu

82 Prílohy Príloha č.1: Konfiguračné príkazy Príloha č.2: Analýza silných a slabých stránok štandardov a metodiky (Máchál, Kopečková, Presová, 2015) Príloha č.3: Ukážka prostredia Winbox Príloha č.4: Predávané licencie Príloha č.5: Porovnanie vybraných sieťových operačných systémov Príloha č.6: Rodný list projektu Príloha č.7: Ganttov diagram Príloha č.8: Nastavenie fronty PCQ Príloha č.9: Ukážka kódu pre herné servery Príloha č.10: Ukážka kódu FUP Príloha č.11: Ukážka Queue Tree Listu 82

83 Príloha č. 1 Konfiguračné príkazy /ip firewall filter add chain=forward protocol=tcp connection-state=invalid action=drop add chain=forward connection-state=established action=accept add chain=forward connection-state=related action=accept Používateľ ktorý má veľa otvorených spojení je pridaný do Address Listu /ip firewall filter add chain=input protocol=tcp connectionlimit=limit,32 action=add-src-to-address-list addresslist=blocked-addr address-list-timeout=1m Pre pokročilé filtrovanie synchronizačných IP paketov. DoS útok. /ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new action=jump jump-target=syn-paket disabled=no /ip firewall filter add chain=syn-paket protocol=tcp tcp-flags=syn limit=400,5 connection-state=new action=accept disabled=no /ip firewall filter add chain=syn-paket protocol=tcp tcp-flags=syn connection-state=new action=drop disabled=no 1

84 Príloha č. 2 Analýza silných a slabých stránok štandardov a metodiky (Máchál, Kopečková, Presová, 2015) Štandardizácia Silné stránky Slabé stránky IMPA Kompetenčné pojatie riadenia projektov PMI Procesné poňatie riadenia projektov PRINCE2 Procesne zameraná metóda riadenia projektu Vhodné pre akýkoľvek sektor. Presné a jasné vymedzenie znalostí a zručností projektového manažéra. Definuje rôzne úrovne projektového manažéra od najmenej po najviac skúsených. Vhodné pre rôzne priemyslové odvetvia a organizácie pôsobiace po celom svete. Je zameraný na procesy projektového riadenia. Dostatočne všeobecné pojatie, takže môže byť aplikovateľné na akýkoľvek projekt. Je využívaný ako svetová príručka projektového riadenia, z ktorej vychádzajú aj ďalšie prístupy projektového manažmentu. Aplikovateľná na akýkoľvek typ projektu. Detailne prepracovaná metóda so slovníčkom pojmov. Aplikovateľná aj s inými modelmi riadenia projektov. Používa len základnú terminológiu projektového riadenia. Nerozpracováva, často iba vymenováva základné metódy a techniky. Chýba detailné zameranie na jednotlivé metódy a úlohy projektového riadenia. Jedná sa o koncept riadenia projektov, neposkytuje jasný návod (metódu), ako projekt riadiť. Nezaoberá sa konkrétnymi praktickými príkladmi využívania nástrojov a techník projektového riadenia. Nepojíma projektové riadenie komplexne, neposkytuje odpovede na všetky otázky. Neobsahuje metódy, techniky projektového riadenia a nezaoberá sa zručnosťami projektového manažéra. Z nastaví metodiky PRINCE2 je patrná administratívna záťaž.

85 Príloha č. 3 Ukážka prostredia Winbox 1

86 Príloha č. 4 Predávané licencie Číslo levelu (určenie) 0 (Trial mode) 1 (Free demo) 3 (WISP CPE) 4 (WISP) 5 (WISP) 6 (Controller) Cena žiadna iba na registráciu v cene HW 45 EUR 95 EUR 250 EUR Upgrade možný na verziu - nie ROS v6.x ROS v6.x ROS v7.x ROS v7.x Potvrdenie licencie dní 30 dní 30 dní Wireless AP 24h limit - - áno áno áno Wireless Client and Bridge 24h limit - áno áno áno áno RIP, OSPF, BGP protocols 24h limit - áno áno áno áno EoIP tunnels 24h limit 1 neobmedzene neobmedzene neobmedzene neobmedzene PPPoE tunnels 24h limit neobmedzene PPTP tunnels 24h limit neobmedzene L2TP tunnels 24h limit neobmedzene OVPN tunnels 24h limit neobmedzene neobmedzene VLAN interfaces 24h limit 1 neobmedzene neobmedzene neobmedzene neobmedzene HotSpot active users 24h limit neobmedzene RADIUS client 24h limit - áno áno áno áno Queues 24h limit 1 neobmedzene neobmedzene neobmedzene neobmedzene Web proxy 24h limit - áno áno áno áno Synchronous interfaces 24h limit - - áno áno áno User manager active sessions 24h limit neobmedzene Number of KVM guests bez 1 neobmedzene neobmedzene neobmedzene neobmedzene

87 Príloha č. 5 Porovnanie vybraných sieťových operačných systémov Cisco IOS OpenWRT Linux FreeBSD RouterOS Výhody Robustný, spoľahlivý, overený systém pomocník v príkazovom riadku Aplikácia aj pre nevýkonné smerovače, otvorený zdrojový kód, bezplatný aplikovateľný na rôzny hardware, škálovatelný, otvorený zdrojový kód bezplatný aplikovateľný na rôzny hardware škálovatelný, otvorený zdrojový kód, bezplatný spoľahlivosť v prípade serverového aplikácie pomocník v príkazovom riadku vzdialená grafická konfigurácia aplikovateľný na rôzny hardware jednoduchá inštalácia natívna podpora Radius servera Nevýhody použiteľný len Cisco hardvérom vysoká cena uzatvorený zdrojový kód príkazové konfiguračné prostredie bez pomocníka, zameranie pre SOHO smerovače konfigurácie cez príkazový riadok náročnejšia inštalácia nevhodný pre zabudované systémy konfigurácie cez príkazový riadok nevhodný pre zabudované systémy menej vhodený pre smerovače nie je škálovatelný uzatvorený zdrojový kód komerčný predaj nepodporuje textové súbory väčšie ako 4094B Junos výkonný, spoľahlivý systém použiteľný len s Juniper hardvérom vysoká cena uzatvorený zdrojový kód

88 Príloha č. 6 Rodný list projektu Názov projektu: Cieľ: Optimalizácia QoS a bezpečnosti Vytvoriť pravidlá pre QoS Plánovaný termín zahájenia: Plánovaný termín ukončenia: Plánované celkové náklady: 2350 Manažér projektu: Miesto realizácie: Projektový tím: Vedúci obchodu V sídle spoločnosti IT-Centrum, s.r.o. Analytik Míľniky projektu. Názov míľniku. Vývojár Vedúci technik Servisný technik Názov míľniku Termín míľniku Spustenie projektu Spustenie vývoja QoS Ukončenie vývoja QoS Ukončenie projektu Schválil: (vedúci projektu) Dňa v Martine... Podpis 1

89 Príloha č. 7 Ganttov diagram 1

90 Príloha č. 8 Nastavenie fronty PCQ 1

91 Príloha č. 9 Ukážka kódu pre herné servery # Vytvor nazov suboru ktory sa prebera! :local filea ("herne-servery.txt"); # Stiahni subor do zariadenia! /tool fetch url="$filepatch$filea"; # Ak je subor prazdny preskoc prikazy! if ([/file get [/file find name=$filea] size] > 0) do={ # Nacitaj obsahu suboru! :local content [/file get [/file find name=$filea] contents] :local contentlen [:len $content] # Definuj lokalne premenne! :local lineend 0; :local line ""; :local lastend 0; :local subnet 0; # Vytvor pole zo suboru! :while ($lastend < $contentlen) do={ :set lineend [:find $content "\r\n" $lastend]; :set line [:pick $content $lastend $lineend]; :set lastend ($lineend + 2); :local tmparray [:toarray $line]; :local IP [:pick $tmparray 0]; :set subnet [:find $IP "/" -1]; # Ak je riadok pola prazdny tak vynechaj prikazy! :if ([:len $IP] > 6 and $IP!= ) do={ # Ak je ip rovnaka preskoc! :if ([:len [/ip firewall address-list find address=$ip list=herneservery]] = 0) do={ # Pridaj ip do address listu! /ip firewall address-list add list=herne-servery address=$ip; }}} 1

92 Príloha č. 10 Ukážka kódu FUP # Definuj lokalne premenne! :local sqbytes; :local sqaddress; :local sqdown; :local sqlimit; :local FUPLimit; :local maxlimit; :local syshour; :local peakstart; :local peakend; # Hodiny pre silnu prevadzku. :set peakstart 18; :set peakend 20; # Max download size in MiB. :set FUPLimit 1500; # Max limit speed in bits/s. :set maxlimit / ; # Zapni vsetky queue! /queue simple enable [find]; # Skontroluj queues! :local i; /queue simple; :foreach i in=[find] do={ :set syshour [:pick [/system clock get time] 0 2]; :set sqaddress [get $i target]; :set sqbytes [get $i bytes]; :set sqlimit [get $i limit-at]; :set sqdown [:pick $sqbytes ([:find $sqbytes "/"]+1) [:len $sqbytes]]; # Ak je FUP vypnuta preskoc! :if ($sqlimit = "0/0") do={ # V silnej prevadzke zmen Queues! :if ($syshour >= $peakstart and $syshour <= $peakend) do={ 1

93 } } set $i max-limit=$maxlimit; } # Ak nie je prekrocena FUP preskoc! :if ((($sqdown/1024)/1024) > $FUPLimit) do={ set $i max-limit=$maxlimit; :log info ("FUP na IP: ".$sqaddress); } 2

94 Príloha č. 11 Ukážka Queue Tree Listu 1