Martin Alev Riistvaralised Ruuterid - tlu.ee · 2013. 7. 15. · SISSEJUHATUS Internet on muutunud...
Transcript of Martin Alev Riistvaralised Ruuterid - tlu.ee · 2013. 7. 15. · SISSEJUHATUS Internet on muutunud...
-
Tallinna Pedagoogikaülikool
Matemaatika – loodusteaduskond
Informaatika osakond
Riistvaralised ruuterid
Proseminaritöö
Koostaja: Martin Alev
Juhendaja: Andrus Rinde
Koostaja: .............................................… „ ..... “..........….2004.a.
Juhendaja: ................................................. „ ..... “...............2004.a.
Tallinn 2004
-
2
SISUKORD
SISSEJUHATUS...............................................................................................................3 1. VAJALIKUD EELTEADMISED INTERNETIÜHENDUSE JAGAMISEL ..............5
1.1 Ruuteri mõiste .........................................................................................................5 1.2 Internet.....................................................................................................................6 1.3 Aadressid .................................................................................................................6 1.4 ADSL (Asymmetric Digital Subscriber Line).........................................................7 1.5 Ethernet, LAN ja WAN ...........................................................................................9 1.6 Kaablite paigaldamine ...........................................................................................10 1.7 NAT (Network Address Translation) ...................................................................11 1.8 DHCP (Dynamic Host Configuration Protocol)...................................................14
2. INTERNETIÜHENDUSE JAGAMISE (ICS) TEHNILISED VÕIMALUSED........15 2.1 Interneti jagamine MS Windowsi baasil ...............................................................15 2.2 Interneti jagamine Linuxi baasil ............................................................................18 2.3 Internetiühenduse jagamine riistvaralise ruuteriga................................................23
3. RIISTVARALISED RUUTERID...............................................................................25 3.1 Üldine ruuterite paigaldamisjuhis ..........................................................................25 3.2 Testimise tehnilised tingimused ............................................................................29 3.3 Püstitatud eesmärgid..............................................................................................30 3.4 ADSL SOHO Chronos BR41 (http://www.chronos.com) ....................................32 3.5 D-Link Air DI-514 802.11b Wireless Router........................................................39 3.6 TW100-S4W1CA TrendNET router .....................................................................48 3.7 SMC7004VBR Barricade Cable/DSL Broadband Router ....................................54
4. RUUTERITE KOKKUVÕTE.....................................................................................58 4.1 Järeldused testimisest ............................................................................................58 4.2 Testitud ruuterite võrdlustabelid............................................................................61
KOKKUVÕTE................................................................................................................63 KASUTATUD KIRJANDUSE LOETELU....................................................................64
Artiklid ........................................................................................................................64 Interneti viited .............................................................................................................64 Raamatud .....................................................................................................................65
LISAD .............................................................................................................................66 Kasutatud mõistete seletused.......................................................................................66 Testitud ruuterite pildid ...............................................................................................75
-
3
SISSEJUHATUS
Internet on muutunud Eestis kõigile inimestele kättesaadavaks, kui mitte oma kodus,
siis vähemasti viiesajas avalikus internetipunktis ja enam kui kolmesajas traadita
interneti levialas. Statistika andmetel on igas viiendas Eesti peres internetiühendusega
arvuti [art/1]. Vajalike teadmiste ja oskuste jagamisel aitas kaasa “Vaata maailma”
projekt, mille käigus koolitati 11693 kursuse jooksul 102697 inimest, mis on 1/14 kogu
Eesti rahvaarvust [www/2]. Elionil ja Starmanil oli septembris kokku 81000
püsiühenduse klienti [art/2]. Valitsus on samuti näidanud soovi tuua internetiühendus
kõigile koju [www/3 ja 9].
Sageli ollakse huvitatud internetiühenduse jagamisest, sest püsiühenduste hinnad on
paljudele veel liiga kõrged. Mitmeperelistes või suurtes korterelamutes on mõttekas
jagada ühte internetiühendust naabritega, sest enamasti kõik pidevalt interneti ei vajagi,
vahel on vaid tarvis sooritada mõnda vajalikku toimingut, näiteks kasutada e-riigi
võimalusi (X-tee, e-pank, kodanikuportaal, ID-kaart jne). Põhjuseid internetiühenduse
jagamiseks võib olenevalt asukohast ja vajadustest olla veel palju teisigi.
Eesti erinevates piirkondades saavad kliendid valida mitme teenusepakkuja vahel, kes
kõik pakuvad ka mitut erinevat teenusepaketti. Samas on piirkondi, kus tuleb leppida
kesisemate valikuvõimalustega, kuid olles nõus rohkem investeerima, on paljugi
tehnoloogiliselt teostatav [vt www/9]. Üldjoontes võib öelda, et Eestis on
internetiühendusega arvutivõrgu loomiseks praktiliselt igal pool võimalused olemas.
Antud proseminaritööd kirjutades lähtus autor oma huvidest, kogemustest,
aktuaalsusest, aga eelkõige tavakasutajate vajadustest. Paljud teavad, et interneti saab
jagada mitmele arvutile, aga mida peaks seejuures teadma või jälgima – sellest ei ole
palju räägitud ning seetõttu tavakasutajatel reeglina sellisisulised teadmised puuduvad.
Käesoleva proseminaritöö eesmärk on võrrelda erinevate müügilolevate riistvaraliste
ruuterite funktsionaalsust, töökindlust, turvalisust ja anda soovitused, millest peaks
ruuteri valikul lähtuma. Poes leiduvate internetiühenduse jagamiseks mõeldud
riistvaraliste ruuterite funktsionaalsust saab lugeja võrrelda ka teissuguste võimalustega,
millest siin käsitletakse MS Windowsi ja Linuxi platvormidel baseeruvaid lahendusi.
Samuti on üheks ülesandeks katta vajadus sellesisulise õppematerjali järele, kuna
internetis kasutatavad võimalused ja andmeside seadmete tehnoloogiad muutuvad väga
-
4
kiiresti ning pole piisavalt kerge leida materjali, mis aitaks endale sobivat ruuterit
valida.
Töö on jagatud neljaks peatükiks. Esimeses peatükis kirjeldatakse internetiühenduse
jagamisega seotud tehnoloogiaid ja põhimõisteid. Teises peatükis tuuakse välja mõned
ideed erinevatest internetiühenduse jagamise võimalustest. Kolmandas peatükis antakse
üldised juhtnöörid ruuterite paigaldamiseks. Kirjeldatakse tehnilisi tingimusi seadmete
testimisel ning võrreldakse erinevaid riistvaralisi ruutereid. Neljandas peatükis antakse
autori poolne kokkuvõte eelnenud sisule ja ruuterite võrdlemisel esitatule. Lisadena on
kasutatud mõistete seletused ja testitud ruuterite pildid. Käesolevas proseminaritöös
esineb sageli IT-valdkonnale omaselt erialasõnu ja lühendeid, mistõttu vajadusel viitan
erinevate mõistete ja lühendite ilmnemisel töö lõpus olevale võõrkeelsete terminite
seletusele. Nurksulgudes on antud viited allikatele ja ümarsulgudes selgitustele. Viited
allikatele on antud lühenditena: [rmt/nr] tähendab viidet raamatule, [www/nr] tähendab
viidet internetiaadressile antud URL’ile, [art/nr] tähendab viidet avaldatud artiklile.
Seletuste koostamisel on allikatena kasutatud [www/1], [www/5] ja [www/13].
Töö valmimisele aitas kaasa Ordi arvutipood, kes and is testimiseks müügil olevaid
ruutereid ja seadmeid.
-
5
1. VAJALIKUD EELTEADMISED
INTERNETIÜHENDUSE JAGAMISEL
Selles peatükis antakse teadmised tehnoloogiatest, mida läheb vaja internetiühenduse
jagamisel, seadmete konfigureerimisel. Kirjeldatakse valikuliselt internetiühenduse
jagamise juures olulisemaid põhimõisteid ja tehnoloogiaid.
1.1 Ruuteri mõiste
Teema paremaks mõistmiseks on tavakasutajal vaja teada, mis on ruuter, seda mõistet
püütakse järgnevalt selgitada.
Ruuter on võrguseade, millel on vähemalt kaks erinevatesse võrkudesse ühendatud
võrguadapterit. Ruuteri all mõtleme antud juhul lüüsarvutit (tarkvaraline lahendus) või
spetsiaalset seadet (riistvaraline lahendus), mis on spetsialiseeritud kohtvõrgu kaitseks
volitamata sissetungi eest ning võib teenindada ka välisvõrku, kuid ei sisalda tundlikke
andmeid ega võimalda turvarünnete läbipääsu. Ruuter on ühendatud vähemalt kahte
võrku, üldlevinult kahte LAN’i (näiteks suuremate ettevõtete kohtvõrkudes), WAN’i
(näiteks internetiteenuse pakkujate vaheline võrk) või LAN’i ja internetioperaatori
võrku (näiteks kodu ja väikekontorites). Ruuterites asuvad gatewayd, kohad kus on kaks
või rohkem võrguliidest ühendusteks, mis edastavad pakette ühest võrgust teise.
Ruuterid kasutavad paketi päiseid (pacet header) ja edastustabeleid (forwarding tables),
et määrata parim tee pakettide edastamiseks ja kasutavad protokolle nagu ICMP
üksteisega suhtlemiseks ja parima tee leidmiseks mingi kahe võrgu tipu vahel.
Ruuteriga määratakse kogu antud punkti läbivate andemete liikumise poliitika. Sageli
seostatakse ruuteriga tulemüüri, sest need mõisted on küllalt kattuvad ning enamasti
asuvad mõlemad “asjad” ühes aparaadis.
Tulemüüri tööpõhimõte seisneb internetist saabuva ja teie arvutist väljuva teabe
kontrollimises. Tulemüür otsib välja ja ignoreerib sellist teavet, mis saabub ohtlikust
asukohast või on kahtlane, kuid täpsemalt, mida lubatakse ja mida mitte - sõltub
turvapoliitikast. Kui tulemüür on õigesti konfigureeritud, on volitamata isikutel
tunduvalt raskem kaitsmata arvutit tuvastada ning seejärel rünnata ja kahjustada.
Seetõttu on ruuteri konfigureerial tarvis selgeks teha, mis on lubatud ja mis keelatud.
Seejärel konfigureerima ruuteri nii, et mis pole lubatud, peab olema keeltatud.
-
6
1.2 Internet
Interneti alguseks loetakse 1960ndate lõppu, mil USA Kaitseministeerium algatas
arvutivõrgu ARPAnet (ARPA tuleneb sõnadest U.S. Defense Departments ADVANCED
RESEARCH PROJECTS AGENCY). Projekteeritava arvutivõrgu omapäraks oli
hajuspõhimõtte kasutamine - ei tekitatud ühtset keskserverit, mille potentsiaalne
vaenlane oleks hävitada suutnud ning seega kogu võrgu töö halvata. Esimene
proovivõrk saadi tööle 1. septembril 1969, seda peetakse interneti sünnipäevaks. Tollal
koosnes see küll ainult neljast arvutist, peagi võrk aga suurenes sinna liitunud uute
arvutite näol. 1972 kuulus ARPANeti näiteks 37 arvutit. 1973 algatati The Internetting
project. Projekti eesmärgiks oli kokku ühendada mitmeid lokaalseid võrke, mille
andmevahetus toimuks sarnaste põhimõtete alusel. See muutiski interneti (tollal siiski
veel ARPANeti) "võrkude võrguks", st paljusid lokaalseid võrke ühendavaks
globaalseks võrguks. Sellega tagati võrgu hajutatus, sest ühtegi mainitud
lokaalvõrkudest ei saa teistest eelistada, nad on omavahel kokku ühendatud võrdsetel
tasemetel.
Siit alates hakkas võrk oluliselt kasvama, hõlmates juba varsti enamiku USA
akadeemilises, sõjalises ning kaitsesfääris paiknevatest keskarvutitest. Edasise
laienemise käigus avati 1987. aastal seoses külma sõja kadumisega ARPANet kõikidele
soovijatele ning nimetati ümber internetiks. Sellel ajal muutus interneti areng
plahvatuslikuks, sellega liitusid üksteise järel terved uued piirkonnad ja riigid, juurde
tulid ka üha uuemad ja inimesi rohkem ligi meelitavad teenused. Eesti ühines
internetiga üsna varsti pärast taasiseseisvumist 1991. aastal.
Interneti võib lihtsustatult ette kujutada kui kooslust paljudest suhteliselt iseseisvatest
omavahel ühendatud arvutivõrkudest, kus infovahetus on standarditega reguleeritud.
Info liikumine võrkudes toimub teatud pikkusega andmeühikute kaupa, mida
nimetatakse pakettideks. Pakettide edastuskorra määrab ära TCP/IP protokoll, millel
“võrkude võrk” – Internet põhineb. Tavakasutaja ei pruugi sellest protokollist teada
rohkemat, kui et see määrabki suures osas võrgu andmeedastuse põhimõtted.
1.3 Aadressid
IP (Internet Protocol) aadress ehk internetiaadress on TCP/IP protokolli kasutavas
võrgus asuva arvuti või muu seadme unikaalne identifikaator (näiteks 213.45.250.112).
-
7
IP aadressi abil saab põhimõtteliselt suvalisest internetiühendusega arvutist internetist
ülesse leida mingit teist konkreetset seadet.
TCP/IP protokolle kasutavates võrkudes toimub sõnumite marsruutimine vastavalt
sihtkoha IP-aadressile. IP-aadress kujutab endast on 32-bitist numbrilist aadressi, mis
koosneb neljast omavahel punktidega eraldatud arvust. Igaüks neist neljast arvust võib
omada väärtusi 0 kuni 255.
Dünaamiline IP aadress omistatakse arvutile-tööjaamale TCP/IP võrgus, harilikult
DHCP serveri poolt. Paljusid kasutajaid teenindavad võrguseadmed nagu serverid ja
printerid saavad harilikult staatilise IP aadressi.
Internetiühenduse pakkujad eraldavad kallima teenuse ostjatele staatilisi IP aadresse,
odavama teenuse võtjatele aga dünaamilisi aadresse. Iga kord, kui selline kasutaja
lülitab oma arvuti modemi kaudu Internetti, omistatakse tema arvutile uus IP aadress.
See võimaldab internetiühenduse pakkujal sama serverivõimsuse juures teenindada
rohkem kliente ja müüa teenust odavamalt. Kuid tänased ruuterid võimaldavad hoida
üht dünaamilist IP aadressi “üleval”, nii et seda saab põhimõtteliselt kasutada ka kui
staatilist IP aadressi.
Võrguaadressi all mõistame võrguseadet identifitseerivat nime või sümbolit. Näiteks
kohtvõrkudes (LAN) on igal võrgusõlmel oma individuaalne aadress. Internetis on igal
failil individuaalne aadress, mida kutsutakse URL.
1.4 ADSL (Asymmetric Digital Subscriber Line)
ADSL on praegu Eestis üks enam levinud koduse ja väikekontori internetiühenduse
tehnoloogiaid. ADSL tehnoloogia töötas välja J.W. Lechleider aastal 1989 [www/5].
ADSL on optimiseeritud vaskkaablit kasutades laskma läbi võimalikult palju andmeid,
et oleks võimalik tõrgeteta kasutada interneti kaudu kiirusenõudlikumaid rakendusi ja
ressursse nagu muusika, video ja videomängud. ADSL töökindlus on saavutatud teatud
statistiliste ja matemaatiliste menetlustega. ADSL põhineb kaasaegsel
digitaalsignaalitöötlusel ja võimsatel algoritmidel, mille abiga suudetakse “pigistada”
palju infot telefoniliinist läbi. Peale selle on tehtud palju täiustusi muundajates,
analoogfiltrites ja Analoog/Digitaal- muundajates.
ADSL modemtehnoloogia, võimaldab tavalise telefoniliini peale tihendada lisaks
tavalistele telefoniteenustele (või ISDN 2B+D ühendusele) ka suure kiirusega
andmesidekanali. Ainus koht, kus andmesidevõrk ja telefoniliin sel juhul "kokku
-
8
saavad", ongi seesama füüsiline liin ise. Kuna ADSL- tehnoloogia puhul on ühenduse
kasutajad pigem info tarbijad kui selle pakkujad, seetõttu on ka andmesidekanal jagatud
kaheks suunaks - üleslaadimiskanal teenusepakkuja (interneti) poole ja
allalaadimiskanal teenusepakkuja poolt (internetist) kasutaja poole. Ülal kirjeldatust
tuleneb nimetus ADSL ehk asümmeetriline digitaalne abonendiliin, kuna tegu
asünkroonse edastusviisiga.
Joonis 1 ADSL'i põhimõtteskeem
Tavatelefoniühenduse jaoks kasutatav sagedusriba on andmeside omast eraldatud
spetsiaalse passiivse splitteri abil, mis võimaldab säilitada telefoniühenduse ka sellistel
juhtudel, kui andmesidekanalid on rivist väljas.
Iga ADSL modemit (ANT) võib funktsionaalselt vaadelda kui mitmete paralleelselt
töötavate alammodemite kogumit, kus iga modempaar vastutab vaid oma kindla
sagedusvahemiku eest. Meil kasutatava DMT (Discrete Multitone)
modulatsioonimeetodi puhul on iga sellise riba laiuseks 4 kHz ning üleslaadimiskanali
moodustavad 32 ja allalaadimiskanali 256 sellise ribaga alamkanalit.
Iga konkreetse vaskpaari sagedusspekter on teatavasti erinev, mis sõltub mitmetest
asjaoludest: liini pikkusest, selle kvaliteedist, liinile mõjuvatest pidevatest ja juhuslikest
häiretest ning müradest erivevates spektriosades. DMT võimaldab sellisel juhul sellised
modempaarid, mis on ette nähtud töötama spektriosades, mille
amplituudsageduskarakteristik jääb allapoole kriitilist piiri, lihtsalt välja lülitada ning
lõpptulemuseks on vaid summaarse läbilaskevõime langus.
Telefoniliin tuleb kliendile koju, telefonikõne kanali ja andmeside kanali sagedusribad
eraldatakse jagajafiltritega. Andmeside kanal läheb edasi ADSL modemisse, mis
omakorda on ühendatud abonendi ruuteriga. Telefonikõne kanal läheb edasi abonendi
telefoni. Teenusepakkuja poolel jagatakse samamoodi telefonikõne kanal, mis läheb
-
9
telefonivõrku PBX ja andmeside kanal, mis läheb läbi DSL modemi ja marsruuteri
internetioperaatori andmevõrku.
Joonis 2 ADSL-süsteemi spekter ja võrdlus tavalise telefoni ja ISDN-iga.
1.5 Ethernet, LAN ja WAN
Ethernet [rmt/1] on üks vanimaid kohtvõrgu tüüpe. Tootena ilmus turule 1980-ndate
alguses. Standardi valmistasid ette firmad Digital, Intel ja Xerox (DIX) juba varajastel
1970-ndatel. Ethernet võrgustandardi tehniline kirjeldus jaotub füüsiliseks ja
andmeühenduse tasemeteks. Ethernet'i kasutajaliides võimaldab saata ja vastu võtta
erineva pikkusega andmepakette kahe võrgu tipu vahel.
Kohtvõrgud LAN (Local Area Network) on kasutusel suhteliselt piiratud geograafilisel
alal. Kohtvõrk võimaldab kohalikele arvutitele mitmesuguseid teenuseid, nagu jagatud
ressurssidele ligipääsu, programmide ja failide ühiskasutus, sisuhaldus, e-posti,
pintimise ja muid teenuseid. Standardi järgi side kohtvõrgu sees ei allu väljaspoolsele
reglementeerimisele. Tänapäeval Etherneti standardil baseeruvaid tehnoloogiaid ühed
levinumad (vt Ethernet).
Koaksiaalkaabli kasutamise aegadel olid tuntumad Ethernet'i kaabeldusvariandid
10BASET, 10BASE2 ja 10BASE5. Täna kasutatakse rohkem 100BaseTx (802.3u),
100VG-AnyLAN (802.12) ehk koondnimetusena Fast Etherneti ning 1000BaseX
(802.3z) ehk üldnimetusena Gigabit Etherneti standardeid. Esimene number näitab
andmevahetuskiirust megabittides sekundis. Sõna BASE viitab signaali
edasiandmismeetodile. Kui tähistuse lõpus on number siis see näitab maksimaalset
kaugust sadades meetrites kahe järjestikuse arvuti vahel selles kaablivõrgus.
Standardi järgi koosneb võrk segmentidest. Etherneti võrke saab kokku ühendada
kasutades sildu (bridge). Signaali võimendamiseks võrgus kasutatakse kommutaatoreid
-
10
(switch) ja jaotureid (hub). Ethernet'i võrgustandard kasutab andmevahetuseks
CSMA/CD protokolli [rmt/1]. Antud protokoll töötab konkurentsi ja kolliosioonide
äratundmise põhimõttel. Intelligentsemate seadme turuletulekuga ning Etherneti
standardi pideva arendustöö tulemusel on antud võrgutüüp muutunud laialtkasutatavaks
ja saavutanud kõrge usaldusväärsuse ning töökindluse.
Laivõrk ehk WAN (Wide Area Network) on arvutivõrk, mis kasutab järjestikliine ja
mille ulatus katab suuri vahemaid (üle 1 km). Sellised võrgud ühendavad paljusid
kohtvõrke ja muid väiksemaid võrke, näiteks linnavõrke (MAN- Metropolitan Area
Network ) omavahel. Enamasti kohtame selliseid võrke internetioperaatorite omanduses
või mitme internetiteenuse pakkuja loodud ühisvõrguna. Sellistes võrkudes kasutatakse
enamasti kõige kvaliteetsemaid ja kiiremaid andmeedastuse tehnoloogiaid.
Riistvaraliste ruuterite küljes on ka eelpool kirjeldatud võrkude nimetustega pesad
(öeldakse ka pordid) ehk tavaliselt 4 RJ-45 10/100 Mbitt/s tüüpi LAN pesa ja 1 RJ-45
10 Mbitt/s WAN pesa. See tähendab, et esimesed on mõeldud kohtvõrgus asuvate
arvutite ühendamiseks ja viimane internetiühenduse tarvis ehk internetioperaatori
võrguga vastava modemi kaudu suhtlemiseks.
1.6 Kaablite paigaldamine
ADSL teenus jõuab kliendini reeglina tavalist vasepaari/telefoniliini mööda ning
vasepaari otstes on RJ-11 pesa, mistõttu ka juurdepääsuseadme üks liides on RJ-11.
Ühenduse teostamiseks ADSL modemi ja arvuti võrgukaardi vahel kasutatakse peaaegu
eranditult vaskjuhtmetest keerdpari (CAT5). Keerdpaari ühendamiseks arvutiga
kasutatakse standardset pistikut RJ-45.
Siinkohal mõned näited, milliseid juhtmete ühendamise skeeme tuleks erinevate
juurdepääsuseadmete (ADSL modemite) ühendamisel kliendi arvutiga kasutada.
Näiteks:
• Bridge funktsiooniga ADSL modem Nokia MP5121 ühendatakse kliendi arvuti
võrgukaardiga HUB-to-HUB võrgukaabli kaudu ehk risti kaabliga (Crossoever
Cable). Hubi või kommutaatoriga ühendatakse MP5121 otsekaabliga (Straight-
throug)
• Bridge funktsiooniga ADSL modem Nokia M5122 ühendatakse kliendi arvuti
võrgukaardiga HUB-to-Computer võrgukaabli kaudu ehk otse kaabliga
(Straight-throug)
-
11
Suund Kaabelduse tüüp arvuti -> arvuti risti arvuti -> server risti arvuti -> hub otse arvuti -> kommutaator otse server-> hub otse arvuti -> kommutaator otse hub -> kommutaator risiti kommutaator -> kommutaator risti
Tabel 1 Kaabli valik vastavalt tüübile
Alljärgnevalt Etherneti kaablite kategooriad ja andmete edastuskiirused [vt ka rmt/2]
EIA/TIA-568 UTP katekooria Kasutusala, andmeside edastuskiirus 1 telefoniliin või aeglane andmeside kuni 56Kbitt/s; ei
kasutata kohtvõrkudes 2 edastuskiirus kuni 1 Mbitt/s 3 edastuskiirus kuni 4 Mbitt/s 4 edastuskiirus kuni 16 Mbitt/s 5 edastuskiirus kuni 100 Mbitt/s 6 edastuskiirus kuni 1000 Mbitt/s
Tabel 2 UTP kaablite kategooriad ja andmeedastuskiirused
Kui kaabli töökorras oleku suhtes tekib kaht lusi (kommutaatori ja ruuteri indikaatorid ei
põle, paketid ei “jõua kohale”), siis koduste võimaluste piires on seda kõige lihtsam
kontrollida vastava testriga (elektrimõõdik), kuid viimase puudumisel saab hakkama ka
paari elektrijuhtme, patarei, taskulambipirni ja kahe peeneotsaga metallvarda abil.
Patarei ja elektrijuhtmed tuleks omavahel ühendada nii, et keerdpaari võrgukaablile
(UTP CAT5) saaks ühte kiudu saata väikse elektrilise impulsi. Kui ühelt poolt
saadetakse elektriline impulss kaabli ühte kokkulepitud kiudu mööda teele ning teiselt
poolt kontrollitakse taskulambipirni süttimisega kas signaal “jõudis pärale”, siis on
võimalik öelda, et antud kaabli kiud on töökorras. Nii kõik neli kasulikku kiudu järjest
läbi tehes saab olla küllalt kindel, et kaabel on töökorras. Siinjuures tuleks jälgida, et
voolutugevused poleks liialt suured (piisab kui taskulambi pirn süttib) ning ei seataks
ohtu võrgukaarte, sest need suuri voolupingeid ei talu.
1.7 NAT (Network Address Translation)
Kohtvõrkude puhul kasutatakse väga sageli võrguaadresside transleerimist ehk lühidalt
NAT’i, mis on üheks esmaseks vahendiks kohtvõrgu turvalisuse tagamisel. NAT
iseenesest ei ole turvameetmeks ette nähtud, kuid ta annab võimaluse varjata sisevõrgu
struktuuri ja sunnib igasuguse infovahetuse läbima ühte kindlat punkti (ruuteri
võrguliidest), mida saab kontrollida ja mis omakorda kontrollib kogu läbivat infot.
NAT lubab arvutivõrgul kasutada erinevaid aadresside vahemikke. Näiteks võib
lokaalvõrk kasutada ühte aadresside vahemikku (nn. privaataadresse) ja välise
-
12
maailmaga suhtlemisel kasutatakse teist vahemikku. On kokku lepitud teatud IP
aadressid, mida kasutatakse vaid lokaalvõrkudes. See kehtib iga IP klassi kohta. Näiteks
levinuimal, C klassil, on sisevõrkudes kasutamiseks ette nähtud 192.168.*.* aadressid.
Kuna sisevõrgus kasutatakse tavaliselt selliseid aadresse, mis internetis ei kehti, siis
igasuguse ühenduse saamise katsed, mis seda punkti (ruuterit) ei läbi, on määratud
läbikukkumisele (sisemised arvutid pole lihtsalt väljast nähtavad). Kui info läbib seda
punkti (ruuterit), siis teisendatakse privaatvõrgu aadressid kehtivateks interneti
aadressideks ja ühendus saab toimuda. Sarnaselt paketifiltrile töötab NAT IP protokolli
tasemel ja on realiseeritav enamusel ruuteritel. Hetkel poes müügil olevatest ruuteritest
on enamikel NAT juba vaikimisi sisseehitatud.
Erinevus tavalise ruuteriga on siin selles, et kui “tavaline ruuter” lihtsalt uurib paketi
päist ja saadab selle edasi, siis “NAT’iga varustatud ruuter” muudab paketi
lähteaadressi. Kui privaatvõrgu masin saadab paketi välja internetti, siis NAT ruuter
muudab selle lähteaadressi nii, et pakett näikse tulevat täiesti kehtivalt aadressilt. Kõik
vastused sellele paketile teisendatakse aga nii, et need jõuavad lõpuks privaatvõrgu
masinasse tagasi.
Tavaliselt on kasutusel keerulisemad süsteemid, mis lisaks lähteaadresside
transleerimisele võivad muuta ka lähte- ja sihtpordi numbreid. Sellisel juhul nimetatakse
seda NAPT (Network Address and Port Translation). Järgnevalt antakse väike
ülevaade NATi realiseerimise võimalustest.
§ Igale sisevõrgu masinale seatakse vastavusse üks väline IP aadress
(internetioperaatori poolt kliendile ühenduse ajaks jagatud IP aadress) ja alati
tehakse sama tõlkimisprotseduur. Selline variant pole eriti kokkuhoidlik
võrguaadresside suhtes ning ei anna eriti turvalisust juurde. Vajalik eeskätt erinevate
privaatvõrkude kokkuühendamiseks, kui juhuslikult on kasutatud sama
privaataadresside vahemikku.
§ Iga kord, kui sisevõrgu masin alustab ühendust, seatakse talle dünaamiliselt
vastavusse välisvõrgu aadress (vt ka DHCP). See piirab samaaegselt ühendust
saavate masinate arvu väliste aadresside arvuga.
§ Fikseeritakse sisevõrgu aadressid mingi kindla välisvõrgu aadressiga, kuid
kasutatakse erinevaid porte. Nii saab ühte välisvõrgu aadressi kasutada mitu masinat
samaaegselt.
§ Iga seestpoolt algatatud ühenduse korral seatakse dünaamiliselt vastavusse aadressi
ja pordipaar. See on kõige efektiivsem viis väliste aadresside kasutamiseks.
-
13
NAT-il on mitmeid häid omadusi. Kuna sisevõrgu aadressid on välises internetis
kehtetud, siis saab tõlkiva süsteemi ühendata tulemüüriga, mis tublisti suurendab
viimase tõhusust. Dünaamiline NAT süsteem võimaldab paketifiltri reegleid paremini
“sõnastada”. Näiteks tõlgitakse ära sisult nende ühenduste paketid, mis alustati
seestpoolt. Selline kombineerimine seab ründajale lisakoormuse, sest lisaks sellele, et
“häkker” peab ära arvama vastavad pordid, mille kaudu ühendust peetakse, peab ta seda
tegema teatud aja jooksul, sest ühenduse lõppedes port suletakse või antakse üle teisele
rakendusele.
NAT-i üks liike on aadresside maskeerimine ehk maskeraad (masquerading).
Maskeraadi tööpõhimõte seisneb selles, et takistatakse pakettide edasisaatmist nende
algsel kujul – pakett püütakse kinni, muudetakse reeglitele vastavalt ja alles siis
saadetakse edasi. Täiendavate moodulite lisamisel võib maskeraad toimuda ka natuke
kõrgematel kihtidel kui IP. Kuna see, mida maskeraad paketiga teeb, on tihti enam kui
lihtne aadresside muutmine, kuid samas pole see ka päris vahendamine, siis võib seda
vaadata kui midagi paketifiltri ja rakenduskihi filtri vahepealset. Välise maailmaga
suhtlemiseks kasutatakse tulemüüri masina (Linux platvormis eth1 võrguliides) IP
aadressi. Lihtsamate protokollide korral nagu TCP/IP, muudetakse vaid IP paketi päist,
aadressi, pordi numbrit ja TCP järjekorra numbrit. Sellel juhul on toiming sarnane lihtsa
NAT’iga. TCP puhul toimib transleerimine niikaua, kuni saabub ühenduse lõppu
märkiv pakett; UDP puhul saab ruuteri administraator seada aja, mille jooksul pakettide
transleerimine lõpetatakse. Maskeraad kasutab maskeeriva süsteemi välist IP aadressi ja
muudab pordi numbri üheks 4096st võimalikust, alates 61000st. Selline tegutsemine
muudab teoreetiliselt võimalikuks 4096 samaaegset ühendust. Kuna
operatsioonisüsteem ise nii kõrgeid pordi numbreid ei kasuta, siis pole ka konflikte eriti
karta. Lisaks väljuva info kontrollile saab maskeraadi edukalt kasutada ka sissetulevate
ühenduste suunamiseks vajaliku teenuse juurde. Sellisel juhul on tegemist portide
edastamisega (port forwarding) ehk DNATiga (Destination NAT). Joonisel on näidatud,
kuidas väljastpoolt saadakse ühendus SSH serveriga, mis asub lokaalvõrgus.
-
14
Joonis 3 Serverist 193.40.11.8 saadakse ühendus kohtvõrgu arvutiga 192.168.1.5 pordil 22
1.8 DHCP (Dynamic Host Configuration Protocol)
DHCP on dünaamiline hostikonfiguratsiooni protokoll, mis võimaldab serveril
dünaamiliselt jagada kõigile kohtvõrgu seademetele teatud perioodiks unikaalse IP
aadressi ja võimaldab seda kasutada. DHCP serveri võimalust kasutamata tuleb IP
aadressid määrata eraldi igale võrguseadmele käsitsi. Kui kasutatakse DHCP serveri
teenust, siis määratakse mingi vaba IP aadress eelnevalt määratud vahemikust (näiteks
192.168.0.65 ... 192.168.0.255) automaatselt kohe, kui mingi arvuti võrku siseneb,
millel IP aadressi veel polnud, kui IP aadress oli nimekirjas olemas, siis omistatakse
talle juba varem DHCP serveri poolt välja jagatud IP aadress. Seega olenevalt
kohtvõrgu suurusest, tuleb MAC aadresside nimekirja põhjal omistatud IP-aadresside
määratud vahemikku jälgida, näiteks kas dünaamiliselt jagatavaid IP-aadresse jätkub
igale arvutile.
-
15
2. INTERNETIÜHENDUSE JAGAMISE (ICS)
TEHNILISED VÕIMALUSED
Erinevaid internetiühenduse jagamise võimalusi on väga erinevaid, siin võetakse
vaatluse alla MS Windowsi ja Linuxi operatsioonisüsteemiga arvuti kasutamise
võimalused, millega pakutakse välja vaid mõned ideed paljudest. Proxy serveri
ülesandeid täitvaid programme on olemas nii MS Windowsi kui ka Linuxi
operatsioonisüsteemiga arvutitele, siin piirdutakse Windowsil baseeruvaga. Kirjeldatud
internetijagamise lahendused võib tinglikult jagada vabavaral [vt ka GNU] põhinevateks
või tasulisteks teenusteks. MS Windows platvormil põhinevad variandid (k.a proxy)
lähevad maksma tasulise kommertstarkvara hinna, kirjeldatud Linuxi lahendused on
kõik tasuta. Vabavara puhul on tavaline, et programm on küll tasuta, kuid võib olla see-
eest keerulisem paigaldada ja kasutada ning probleemide korral ei vastuta
põhimõtteliselt keegi.
2.1 Interneti jagamine MS Windowsi baasil
Antud lahendust võib pidada üheks esimeseks internetiühenduse jagamise viisiks
kodudes, kus kasutusel oli MS Windows operatsioonisüsteemiga arvuti ning võrku
taheti kasutada veel ühes või mitmes arvutis korraga.
Tüüpiliselt MS Windows operatsioonisüsteemiga arvuti ruuterina kasutamine tuleb
kõne alla enamasti siis, kui võrgus on väga vähe arvuteid ja kõiki arvuteid ei kasutata
pidevalt.
Sõltuvalt tingimustest ja vajadustest tulekski otsustada, kas internetiühendust jagav
arvuti, mille riistvarale esitatakse tegelikult vägagi suuri nõudmisi, arvestades et
funktsionaalsus võib olenevalt valitud võimalusest olla ebastabiilne (sageli vaja uuesti
ümber konfigureerida), aeganõudev (tavakasutaja peab õppima iga vastava programmi
kasutamise), on antud olukorras rahuldav lahendus.
22..11.. 11 MMSS WWiinnddoowwss II nntteerrnneett CCoonnnneecc ttiioonn SShhaarreeiinngg ((IICCSS))
LLüühhiikkiirrjjeelldduuss
Alates Windows 98 Second Edition operatsioonisüsteemist on ICS (Internet Connection
sharing) ametlikult sisse ehitatud. Seega on ICS võimalus olemas Windows 98SE,
Windows 98ME, Windows 2000 ja Windows XP operatsioonisüsteemidel.
-
16
EEeelliisseeiidd
ICS üldiselt ei vaja eraldi lisaarvutit ning muid täiendavaid kulutusi ei ole, kui eeldada,
et modem, jaotur ja võrguadapter (jagavale arvutile on vaja kahte võrgukaarti) on juba
olemas. Juhul kui jagavas arvutis kasutatakse sisemist modemit, siis pole vaja ka kahte
võrguadapterit, sest internetiühendus tuleb jagavasse arvutisse sisse läbi sisemise
modemi ning võrgukaardist jagatakse internetiühendus teistele kohtvõrguarvutitele. Kui
ühendust jagatakse vaid mõnele arvutile võib hakkama saada ka ilma jaoturita.
PPuuuudduusseeiidd
Antud lahenduse teevad ebamugavaks asjaolud, et ühendust jagavale arvutile lasub
mõttetult suur koormus, mistõttu töö tegemine jagava arvuti taga võib sõltuvalt
riistvarast olla piinarikas, sest arvuti muutub väga aeglaseks ning vajab sageli
taaslaadimist, väärtuslikud tööd võivad kaotsi minna. Väga kiire ja võimsa “mänguri”
arvutiga võib see probleem loomulikult väheneda, kuid siis tuleks mängimisest loobuda.
Sellist lahendust ei soovita juhul, kui ühte internetiühendust jagatakse naabritega ning
soovitakse, et internetiühendus oleks 24 tundi ööpäevas ja 7 päeva nädalas pidevalt
üleval [vt ka www/8]. MS Windows operatsioonisüsteem pole ette nähtud pidevalt
töötama. Turvalisuse tagamine MS Windows platvormil on tavakasutajale väga raske
ülesanne (kui mitte võimatu). Selline lahendus ei võimalda korralikult kasutada VPNi
ning erinevate üle veebi suhtlustarkvarade töötamisega võib olla samuti probleeme. Ei
ole ka sisse- ja väljuvate ühenduste logimise võimalust, mis teeb rünnakute tuvastamise
väga raskeks.
Seega, antud varianti võib pidada mõistlikuks juhul kui internetiühendust jagatakse
ajutiselt või vähestele arvutitele ning turvalisust ja “täiuslikumaid” võimalusi ei peeta
väga oluliseks. Antud lahendus pole näidanud erilist stabiilsust, ega ka töökindlust, eriti
kui kohtvõrku on tarvis ühendada rohkem arvuteid. Sõltuvalt tingimustest ja vajadustest
tulekski otsustada, kas internetiühendust jagav arvuti, mille riistvarale esitatakse
tegelikult põhjendamatult suuri nõudmisi, funktsionaalsuse tagamine on seejuures tüütu
või aeganõudev (sageli vaja uuesti ümber konfigureerida), kõik võimalused ei tööta, on
antud olukorras rahuldav lahendus.
SSüüsstteeeemmii oorriieenntteeeerruuvvaadd nnõõuuddeedd
MS Windows süsteem peab vastama orienteeruvalt järgmistele nõutele:
• Protsessor Pentium II / 233 MHz või parem
• 64 MB RAM (soovitavalt 128)
-
17
• ~ 300 MB vaba kõvaketta ruumi
• VGA graafikaadapter
22..11.. 22 PPrrooxxyy
LLüühhiikkiirrjjeelldduuss
Proxy server võimaldab samuti mitu kasutajat ühendada internetiga läbi ühe arvuti, mis
täidab ruuteri ja tulemüüri ülesandeid. Kui sellist lahendust kasutada Windows
platvormil, siis teatud Windowsile omased plussid ja miinused säilivad endiselt.
Erinevus eelneva lahendusega on selles, et jagavasse arvutisse on installeeritud küllalt
funktsionaalne proxy programm, mis pakub kohtvõrgu arvutitele erinevaid teenuseid.
Proxy programme on palju nii Windows platvormile kui ka Linux platvormile. Sõltuvalt
valikust on Proxy küllalt suurt turvalisust ja funktsionaalsust pakkuv variant.
Ühed tuntumatest on näiteks Winproxy [vt www/6], WinGate [www/7]. Tasuta proxy
tarkvara võib leida ka http://www.pscs.co.uk.com lehelt. [vt ka www/8]
EEeelliisseeiidd
Pakub suhteliselt suurt turvalisust, sest kogu sessioon "mängitakse läbi 2 korda", ehk
proxy mängib serverile täisfunktsionaalset klienti, võimaldades näiteks
rakendusprotokolli sisu inspekteerida ja/või muuta [vt www/18]. Enamasti on Proxy
programmidel tavakasutajale küllaltki arusaadav kasutajaliides, mis teeb seadistamise
lihtsamaks. Ei vaja uue rakenduse kasutamise korral pidevat ümber konfigureerimist
nagu Windowsi ICS [vt ICS]. Sageli on toetatud VPN [vt], DHCP [vt ], Cache
võimalused [vt ].
PPuuuudduusseeiidd
Selliste lahenduste suurimaks puuduseks on probleemid jõudlusega, lisaviide ja
mõnikord ka piiratud rakenduste valik (HTTP, SMTP)
SSüüsstteeeemmii oorriieenntteeeerruuvvaadd nnõõuuddeedd
Proxy serverina töötav süsteem peab vastama orienteeruvalt järgmistele nõutele:
• Protsessor Pentium I / 100MHz või parem
• 32 MB RAM (soovitavalt 64)
• ~ 300 MB vaba kõvaketta ruumi
-
18
2.2 Interneti jagamine Linuxi baasil
Üldiselt võrreldes MS Windowsi variandiga paistavad “Linuxi- ruuteri” lahendused
rohkem silma töökindluse, usaldusväärsuse ja tunduvalt väiksemate nõudmistega
riistvarale. Linux on avatud lähtekoodiga ja erinevaid distributsioone palju valida, siis
võib igaüks sisuliselt kohandada endale just oma vajadusi arvestava süsteemi. Enamik
probleeme on “Linuxi- ruuteri” korral lahendatavad, kas moodulite või kogu tarkvara
uuendamisega (upgrade). Suuremad huvilised võivad eriliste probleemide või
nõudmiste korral koodi ise muuta või endale täiesti uue distributsiooni kirjutada. Antud
lahenduste juures on tüüpiliseks eeliseks ka asjaolu, et võimaldab ära kasutada vana
riistvara, millele oleks võibolla raske muud rakendust leida, sest uuemad seadmed neile
valdavalt ei sobi. Samuti annab lihtsa ja mugava võimaluse jagada Interneti ühendust
mõnele kuni sadadele arvutitele kohtvõrgus (vajab vastavalt adekvaatset riistvara ja
internetiühendust). Enamasti on selliste lahenduste jaoks vajalik avatud lähtekoodil
baseeruv tarkvara Internetist tasuta kättesaadav, mistõttu on need populaarsed ja
vabatahtlike poolt arendatavad-täiustatavad.
Mõnede miinuste hulka kuulub asjaolu, et vabavaraliste lahenduste kasutamise juures
pole puuduste esinemisel mõtet kedagi süüdistada, sest keegi selle eest otseselt ei
vastuta (näiteks Joshua Jacksonit selles, et Coyote ei töötanud ISA siini
võrguadapteriga). Kuid võib siiski öelda, et sellega, milleks antud lahendused on
mõelnud, saavad enamasti edukalt hakkama. Pole saladus, et vahel peituvad probleemid
ka “inimese ja arvuti vahelises” läbisaamises ehk teisisõnu arvutialastes teadmistes ja
oskustes, mille omandamine võtab tavakasutajal omajagu aega. Puudus on ka see, et
need lahendused üldiselt eeldavad antud valdkonnas suuremaid teadmisi, kuid aeg on
näidanud, et pideva täiustamise ja kasutajate arvu suurenemise tulemusel muutuvad ka
need lahendused üha rohkem tavakasutajale kasutajasõbralikumaks.
Üldiste miinuste hulka kuuluvad ka asjaolud, et “ühe-flopi- linuxi” tarkvaraga varustatud
ruuterina töötav lüüsarvuti kulutab märgatavalt rohkem elektrienergiat, kui näiteks
riistvaraline ruuter. Interne tiühendust jagava lüüsarvuti ventilaatorid võivad tekitada ka
küllaltki suurt müra, kuid see sõltub kasutatavast jahutussüsteemist ning arvuti
võimsusest. Tuleb märkida, et seadme poolt tarbitav energia kasvab koos protsessori
kiirusega. Näiteks 486 tarbib vaid paarkümmend watti, P100 juba 40W.
Ei tohiks unustada, et kõike “head” korraga tavaliselt ei saa ja “ühe-flopi- linux” ei ole
päriselt mõeldud täitma “serveri” ülesandeid, vaid eelkõige jagama võrku, pakkuma
-
19
kaitset kohtvõrgu arvutitele ning teisi vajalikke teenuseid. Kui tundub, et midagi jääb
puudu, siis tuleks hakata mõtlema “täiuslikumatele” lahendustele, olgu selleks näiteks
“CD-ROMi-linux”, Linuxi platvormil põhinev server, spetsiaalne riistvaraline ruuter.
Interneti vaatluste põhjal tunduvad kõige levinumad Coyote linux, FREESCO,
Clarkconnect1, MikroTik, Smoothwall, BBIagent.Net, E–Smith.
Järgnevalt võetakse vaatluse alla ühed levinumatest lahendustest.
22..22.. 11 CCooyyoottee lliinnuuxx ((wwwwww..ccooyyootteelliinnuuxx..cc oomm))
LLüühhiikkiirrjjeelldduuss
Coyote linux on spetsiaalselt Interneti jagamiseks mõeldud niiöelda “ühe-flopi- linux”,
mis muuhulgas kaitseb tulemüüri ja NATi (kernelisse sisseehitatud) abil kohtvõrgu
arvuteid väliste rünnakute eest. Kirjutatud ja täiustatud Joshua Jacksoni poolt.
Vastupidiselt paljudele kommertstoodetele on Coyote paigaldamine küllalt lihtne.
Ruuteri tarkvara sisaldavat disketti saab teha nii MS Windwsis lihtsa graafilise
“nõustaja” (wizard) abil kui ka Linuxi masinas kasutades shell skripti. Coyote Linuxi
hetkel kättesaadav versioon 2.13.0 baseerub 2.4.25 kernelil (operatsiooni tuum).
[www/15]
EEeelliisseeiidd
Coyote esitab riistvarale väga väikesed nõudmised, mistõttu sobib praktiliselt igale
masinale. Toetab Ethernet (staatilist ja DHCP), PPPoE, ning PPP dialup
internetiühenduste jagamist. Coyote ruuteri-tulemüüri edukaks töötamiseks ei ole vaja
kõvaketta või CD-ROMi olemasolu. Linuxina paistab silma väga hea stabiilsuse,
töökindluse ning usaldusväärsusega. Coyote võimaldab kasutada uuemat paketifiltrit
netfilter koos kasutajaliidesega iptables, mis pakub palju suuremaid võimalusi
turvalisuse tagamisel kui vanem ipchains [vt www/22]. SSH 2.0 toetus lubab
põhimõtteliselt igast internetiühendusega arvutist ruuterit küllalt turvaliselt
konfigureerida. Veebipõhise administreerimisliidese viimased arendused on ruuteri
konfigureerimise teinud ka tavakasutaja seisukohast väga lihtsaks ja arusaadavaks, mida
võib pidada riistvaraliste ruuteritega praktiliselt samaväärseks. Quality of Service ehk
QoS võimaldab erinevatele teenustele (näiteks SSH, FTP) prioriteetide määramist,
teisisõnu saab kõigile võrdsete võimaluste tagamise nimel piirata võrgukasutust.
1 Märkus. Sobib ka Windows opertsioonisüsteemiga arvutile.
-
20
Teisisõnu kui üks või mitu kohtvõrgu arvutit laadivad FTP’ga faile üles või alla, ei sega
see oluliselt kellelgi teisel veebis surfamist.
Omab peale tulemüüri ka väikest thttpd (tiny/turbo/throttling) HTTP serveri
funktsionaalsust, mis annab näiteks võimaluse hoida ruuteris kohtvõrgule nähtavat
kodulehte (sellisel juhul soovitavalt RAMi vähemalt 16 MB). Võimaldab ka tulemüüri
taha paigutada eraldi wireless access point i või ehitada Coyote baasil WiFi ruuteri, kuid
sellisel juhul tuleb jälgida, et Coyote ka vastavaid võrgukaarte toetaks. Coyote’i on
võimalik “jooksutada” ka kõvakettal, kuid see peab olema siis eesmärk omaette, sest
eriline põhjus või vajadus selleks puudub, kuna selle asemel võiks kasutada hoopis
paremaid võimalusi. Samuti on olemas utiliit, millega saab disketi mahutatavust
suurendada (1680 ja 1722 KBaiti) ja laadida sinna rohkem mooduleid, mille abil saab
Coyote funktsionaalsust tõsta. Mugavam ja ka andmete kadumise mõttes turvalisem
variant oleks paigutada Coyote USB mälule. Versioonil 2.13.0 on võrguliikluse
vaatlemise pisiprogramm iptraf (107 KBaiti) juba vaikimisi integreeritud, varem tuli see
ise eraldi lisada [vt Pilt 1]. Kogu portide vahemik on vaikimisi välja jagatud. Võimeline
jagama Interneti ühendust mõnele kuni sadadele arvutitele kohtvõrgus (vajab vastavalt
adekvaatset riistvara, internetiühendust) ning elektrivoolu katkemise korral taastama
automaatselt internetiühenduse. Coyote linux on traditsiooniliselt kõigile Internetist
tasuta kättesaadav.
-
21
Pilt 1 Coyote’i võrguliikluse vaatlemine iptraf’iku abil
PPuuuudduusseeiidd
Tavakasutajale võib konfigureerimine mõnel üksikul juhul olla keeruline, eriti kui
soovitakse saada võrgus toimuvast reaalset pilti nii logide ja sessioonide pidamise näol
või kasutada rakendusi, mis transpordivad sessioonide otspunktide IP aadresse kõrgema
taseme protokollide andmeosas, näiteks VoIP (H.323) ja IPSec (standard VPN
loomiseks). Selle edasiarenduseks on nn "stateful inspection" lahendused, mis lisaks IP
aadresside vahetamisele "uurivad" hoolikamalt ka ühenduse loomise protsessi ning
soovitud protokollile vastavust (kas näiteks 80 pordis algatatav sessioon on ikka HTTP,
mitte mõni muu näiteks Realmedia) ja peavad meeles ka iga ühenduse oleku [vt www/].
Flopi disketid ei ole tuntud kuigi kindla andmetesäilivuse poolest, mistõttu sageli võib
esineda väärt info kadumist - sellega tuleb olla ettevaatlik. Igakord, kui Coyote ruuteri
seadistustes või kodulehel on tehtud muudatusi, ei tohi unustada disketti ülesalvestamast
või varukoopiat tegemast. Disketile salvestamine on aeglane protsess ja backup’i
tegemine võtab aega mõne sekundi asemel jämedalt 20. Puudustena võib vaadelda ka
NATi abil ainult väljuva TCP/UDP liikluse transleerimist. Samuti kõigi väljuvate
ühenduste lubamist (võib vaadelda ka kui eelist). Coyote, nagu paljude odavamate
-
22
lahenduste puhul (ka odavad riistvaralised ruuterid) võib nn. "keerukamate"
rakendustega, nagu näiteks FTP, mille käigus avatakse dünaamiliselt uusi porte, tekkida
oht langeda rünnaku ohvriks. Kuid samas ka “täisulikumad vahendid” ei suuda tagada
alati rünnakute vastu absoluutset kaitset. Üheks “puuduseks” on ka osadele
võrguadapteritele (näiteks vähem levinud ISA siini paigaldatavad kaardid) ajurite
(driver) puudumine, millest tulenevalt tuleb Coyote puhul kasutada levinumaid kaarte.
Samas osad nimetatud puudused ei tulene Coyote’ist vaid riistvaralistest võimalustest ja
kasutaja oskustest (näiteks iptables’i kasutamine).
SSüüsstteeeemmii oorriieenntteeeerruuvvaadd nnõõuuddeedd
Coyote ruuterina töötav süsteem peab vastama orieneeruvalt järgmistele nõutele:
• Protsessor 486DX / 25 MHz või parem
• 8 MB RAM (soovitavalt 16 MB)
• 1.44 MB flopi seade
• 2 võrgukaarti
• internetiühenduse tüübile vastav modem
• VGA graafikaadapter seadistamiseks
22..22.. 22 FFRREEEESSCCOO lliinnuuxx ((wwwwww..ffrreeeesscc oo..oorrgg))
LLüühhiikkiirrjjeelldduuss
FREESCO on kirjutatud Serge V. Storozhevykhi poolt. FREESCO baseerub samuti
Linuxi operatsioonisüsteemil (kernel 2.0.39). FREESCO’t iseloomustab suur
funktsionaalsus, paindlikkus, mitmekülgsus, kuivõrd see kõik on võimalik 1,44 MB
disketile mahtuvuse piirangu juures. [www/16]
EEeelliisseeiidd
FREESCO võimaldab ühendada eri liidestega kuni kümmet Ethernet segmenti ehk
teisisõnu jagada võrku kümnele Ethernet segmendile, toetades kuni 10 võrguliidest,
kuni viis printerit, kuni 10 modemit (k.a. mitmepordiga modemid), kuigi ainult nelja
regulaarmodemit. FREESCOt saab konfigureerida sissehelistamis - ehk dialup, ISDN -,
kaabli-, DSL-ruuterina, omades seejuures DNS-, DHCP-, telnet-, http-, kontroll-, print-
(üle TCP/IP printimiseks vajalik vastav klient tarkvara) ja ajaserveri ning tulemüüri ja
NATi funktsionaalsust. Sobib ka RAS (Remote Access Server) ja nullmodem ühenduste
jaoks. Osa töörežiime võivad töötada samal ajal, näiteks lülitamine sissehelistamise
-
23
pealt etherneti ja vastupidi. Kõiki neid omadusi saab kasutada koos või eraldi.
FREESCO sisaldab samuti konfigureerimiseks utiliiti, mis teeb paigaldamise ja
hoolduse lihtsamaks. Kasutajatugi ei jää oma sisukuselt või asjatundlikkuse poolest alla
kommertstoodetele. Kõikidele küsimustele lubatakse Internetis vastata 24 tunni
jooksul. Kokkuvõttes on FREESCO suhteliselt sarnane Coyote’ga, kuid omanäoliselt
paindliku konfigureerimise võimaluste ja funktsionaalsuse poolest. Erinev on ka see, et
nõuded riistvarale on märkimisväärselt tagasihoidlikumad võrreldes teiste analoogsete
lahendustega.
PPuuuudduusseeiidd
Tavakasutajale võib paigaldamine olla raske, seetõttu tasuks varuda rohkem aega ja
kannatust võrreldes näiteks kommertstoodete kasutamisega. Linuxi kerneli versiooni
2.0.39 kasutamise tõttu ei saa kasutada täiuslikumat paketifiltrit – iptables, vaid tuleb
“leppida” ipchains’iga.
SSüüsstteeeemmii oorriieenntteeeerruuvvaadd nnõõuuddeedd
FREESCO süsteem peab vastama orienteeruvalt järgmistele nõutele:
• Protsessor 386SX või parem
• 8 MB RAM (serverite puhul vastavalt vajadustele rohkem)
• FREESCO v.0.3.x võib töötada täielikult RAMis (vähemalt 17 MB)
• FREESCO v0.3.x võib töötada kuni 4MB komplektis flopi installi puhul;
2.3 Internetiühenduse jagamine riistvaralise ruuteriga
LLüühhiikkiirrjjeelldduuss
Praegusel ajal ilmselt üks lihtsamaid ja kindlamaid võimalusi internetiühendust mitme
tarbija vahel jagada on kasutada riistvaralist ruuterit. Neid on saada mitmesuguseid
erinevaid mudeleid paljudelt tootjatelt.
EEeelliisseeiidd
Riistvaralistesse ruuteritesse on reeglina lisaks ruutimisfunktsioonile sisse-ehitatud ka
tulemüür, mis kaitseb kohtvõrgu arvuteid väliste rünnakute eest. Riistvaraline ruuter on
enamasti “väike karbike”, mis ei võta rohkem ruumi, kui näiteks kommutaator või hub.
Reeglina on seadmesse kommutaator juba sisse ehitatud, osadel isegi modem, mistõttu
riistvaralise ruuteri ostnu saab kasutada ühe “karbiga” kõiki neid funktsioone, mida
internetiühenduse jagamisel vaja läheb. Kommutaatoril on tavaliselt vähemalt neli
10/100 Mbitt/s võrguporti, mille külge saab ühendada neli kohtvõrgu arvutit.
-
24
Kokkuvõttes on riistvaralistel ruuteritel peamisteks eelisteks märkimisväärne ruumi
kokkuhoid, ei ole vaja osta eraldi kommutaatori või jaoturi, müra puudumine, väga
madal energiakulu ning lairiba ruuterite puhul soodne hind. Seega väga hea valik,
inimesele keda internetiühenduse tehniline pool tegelikult ei huvita, aga mitu arvutit
tahaks võrku ühendada.
PPuuuudduusseeiidd
Reeglina on seadme funktsionaalsus tootja poolt rangelt ette määratud, see tähendab
tavakasutaja ei saa ruuteri tarkvara oma tahtmise järgi muuta. Seadme funktsionaalsus
ei pruugi alati vastata kasutaja soovidele. Kasutaja peab õppima vastava seadme
kasutusloogika, see tähendab tootja määrab kuidas seadet tuleb kasutada. Riisvaraliste
ruuterite puhul võib tulla probleeme vanade seadmete omavahel ühildumisega.
Tavakasutaja ei saa seadme vigu, töölindlust, käsitletavust parandada, olgugi et neid
esineb üldjuhul harva.
SSüüsstteeeemmii oorriieenntteeeerruuvvaadd nnõõuuddeedd
Kohtvõrgu arvutites peab internetiühenduse kasutamiseks olema paigaldatud:
• Võrguadapter
• TCP/IP protokollistik
• Levinud veebisirvija e browser’i (vt browser) olemasolu (Netscape, IE, Mozilla,
Opera)
-
25
3. RIISTVARALISED RUUTERID
Käesolevas peatükis vaadeldakse riistvaraliste ruuterite ühiseid jooni ning käsitletakse
üldiseid juhiseid nende ülesse seadmiseks ja kasutusele võtmiseks.
3.1 Üldine ruuterite paigaldamisjuhis
Iga ruuteri paigaldamise juures on paljugi kattuvaid tegevusi. Seetõttu on siin toodud
üldine paigaldamisjuhis MS Windows platvormil põhinevate arvutite jaoks.
33..11.. 11 SSoooovvii ttuusseedd sseeaaddmmeettee eetttteevvaallmmii ssttaammiisseekkss
Enamike ruuterite käsiraamatutes (manual) soovitatakse lülitada kõik seadmed enne
paigaldamist vooluvõrgust välja, ühendada kõik kaablid õigesti õigetesse pesadesse (vt
ka jooniseid), lülitada sisse modem ja seejärel ruuter. Samuti on soovitatav kasutada
seadme originaalset toiteadapterit, sest vale adapteri kasutamise korral pole õigust
garantiile ja kasutuskõlbmatuks muutunud seadmega pole midagi peale hakata.
33..11.. 22 TTCCPP//IIPP pprroottookkoollllii ppaaiiggaalldduuss jjaa ppaarraammeeeettrriittee mmäääärraammiinnee
Kõigepealt tuleb kindlaks teha, missugune on arvuti võrgukaart ning kas selle ajurid on
korralikult installeeritud 1. Seda saab teha, valides vasaku hiirenupga Start/Control
Panel/System/Device Manager/Network adapters. Seejärel tuleb üle vaadata, kas
TCP/IP parameetrid on õigesti määratud ning sobiva võrguadapteriga seostatud.
Windows 95/98/2000/Me/XP standardkonfiguratsioon sisaldab vaikimisi juba
vajaminevaid tarkvara komponente, et kasutada TCP/IP ühendust. Arvuti hetke võrgu
konfiguratsiooni saab kiiresti kontrollida Windowsi masinates sisestades käsureale
(Command prompt) ipconfig –all (NT/ME/2000/XP) või winipcfg (95/98). Programm
winipcfg (Win9x) laseb näha milline on hetkel võrgukaardi IP aadress ning muud
vajalikud aadressid (DNS, Gateway). Valige vasaku hiirenupga desktop- il start / Run
ning avanevasse lahtrisse kirjutage winipcfg, seejärel vajutage OK
1 Märkus. MS Windows arvutites ei ole selleks alati vajadust, kuna vaikimisi konfiguratsioonis
võivad sobilikud ajurid (driver) olla juba installeeritud
-
26
Pilt 1 TCP/IP parameetrite kontroll (Windows 98 näitel)
Lihtne võimalus on vaadata arvuti hetke võrgu konfiguratsiooni ka kontrollpaneeli
(Control Panel) alt, selleks valida vasaku hiirenupuga Start / Control Panel ja topelt
klikk Network Connections ikoonil, seejärel märkida vastava võrgutüübi ikoon (Local
Area Connection) ja valida vastavad atribuudid (Properties). Avaneb Network paneel,
kus peaksid olema kuvatud järgmised komponendid (vt Pilt 2):
Pilt 2 Seadistamine (Windows XP)
§ Client for Microsoft Networks (märkimise korral on kohtvõrgu Windows arvutid
“nähtavad”)
§ File and Printer Sharing (kui soovitakse oma arvuti ressursse jagada, siis peab
olema märgitud)
§ Qos packet sceduler (märkimise korral Windows analüüsib pakettide liikumisi ning
määrab neile prioriteedid)
§ TCP/IP protokoll (internetiühenduse kasutamise korral peab olema märgitud)
Add nupuga saab puuduvaid komponente lisada.
-
27
Kui määrata ruuter DHCP abil kohtvõrgu arvutitele automaatselt IP aadresse välja
jagama, siis tuleb TCP/IP protokolli seadete alt valida Properties/General ja panna
linnuke Obtain an IP address automativally ette. Selle tulemusena jagab ruuter
automaatselt kohtvõrguarvutile IP aadressi, kui viimane võrku siseneb [vt ka DHCP].
MS Windows XP puhul võib ka manuaalselt lisada kaks nimeserverit (DNS) serverit:
sisestades näiteks Elioni ühenduse puhul 194.126.115.18 (dns.estpak.ee),
194.126.101.34 (dns2.estpak.ee) või 194.126.97.30 (dns3.estpak.ee) ja 195.250.187.46
(dns4.estpak.ee). Default gateway’i on vaja märkida juhul, kui kohtvõrgus on veel
konkureerivaid seadmeid. Kindlasti tuleb määrata võrgumask, C-klassi IP aadressi
korral ehk näiteks 192.168.1.1, võib selleks märkida 255.255.255.0.
Kui need seaded on paigas, siis üle kontrollimiseks tipi command promptis käsureale
ipconfig – all (ME/NT/2000/XP) või winipcfg (9x), mille tulemusena peaks nägema
umbes järgnevat pilti1 (vt pilt 3):
Pilt 3 Seadistuse kontrollimine MS Windows XP operatsioonisüsteemiga arvutis
Lihtne moodus saamaks teada, kas arvuti saab teiste arvutitega ühenduse kätte või mitte
on kasutada lihtsat diagnostikaprogrammi ping, mis saadab võrku määratud IP
aadressile/host-ile ehk teisele arvutile paketi, millele oodatakse “vastust” ehk teisisõnu
vastupaketti. Kui ping töötab on loogiline, et võrk toimib ja ühendusvõimalus teiste
kohtvõrgus olevate arvutitega on olemas. Analoogselt ping’iga võib kasutada ka käske
nagu tracert, nslookup. Tracert võimaldab välja selgitada pakettide liikumise teekonna
1 Märkus. Pilt võib erineda sõltuvalt Windows operatsioonisüsteemist
-
28
kasutaja arvutist kuni sihtkohani. Vastavalt ICMP protokollile (vt ICMP) kasutatakse
selleks sihtkoha poole teele saadetavaid muutuva eluajaga (TTL - Time-To-Live)
kajapakette. Iga pakettide teele jääv marsruuter peab vähendama paketi eluiga vähemalt
1 võrra, enne kui ta selle edasi saadab, nii et TTL on lõppkokkuvõttes võrdne hoppide
arvuga. Kui paketi TTL jõuab nullini, siis peab marsruuter lähtekohta tagasi saatma
ICMP sõnumi "Time Exceeded (Aeg ületatud)". Nslookup käsu abil saab teada, milline
IP-aadress vastab arvuti nimele või vastupidi, millised nimed vastavad teatud IP
aadressiga arvutile. Kokkuvõtlikult tuleb probleemide korral otsida vastust järgmistele
küsimustele:
• kas arvutis on IP protokollistik korras ? (ping 127.0.0.1)
• kas arvutis on IP korras ka väljuval liidesel ? (ping “oma-ip-aadress”)
• kas “näeme” naabri arvutit ? (ping “naabri- ip-aadress”)
• kas “näeme” ruuterit ? (ping “ruuteri- ip-aadress”)
• kas näeme välismaailma ? (ping “dns-serveri-aadress”)
• kas nimeserver on seadistatud ? (ping “www.enda-internetioperaator.ee”)
• kas Eesti internet on töökorras ? (ping www.mingi-teine- internetioperaator.ee”)
Kui eelnevalt kirjeldatu on õigesti tehtud ja võrk toimib, võib hakata ruuterit
paigaldama ja seadistama.
33..11.. 33 ÜÜllddii ssii ssoooovvii ttuussii iinntteerrnneettiiüühheenndduussee lloooommii sseell
Kui eelnevas jaotises tehtud juhiste läbimisel ei ole internetiühendust personaalarvutisse
saadud, siis tuleks lugeda lõpuni järgnevad soovitused.
Veenduge, et teie interneti lehitseja (browser) on õigesti konfigureeritud. Kõigepealt
tuleb kontrollida, et ei oleks sisestatud valedele proxy-serveritele viitavad aadresse või
poleks browseril “kästud” kasutada mõnd vale interneti ühendumise viisi (näiteks Dial-
UP). Et näiteks MS Internet Explorer 6.0 puhul vaadata üle vajalikud seaded, selleks
klõpsake parema hiirenupuga Internet Explorer’i ikoonil ja vasaku nupuga valige
Properties [vt Pilt 3].
-
29
Pilt 3 Interneti seadete määramine
Pilt 4 Kohtvõrgu seadete määramine
Seejärel valige vaheleht Connections ning veenduge, et valitud on Never dial a
connection, isegi juhul kui on tehtud ühendusprofiilid Dial-UP või PPPoE (ADSL
Kodu/Kodutöö) ühenduste jaoks. Järgnevalt tuleb konrollida kohtvõrgu seadeid, selleks
valige LAN Settings.[vt pilt 4]
Järgnevas aknas võib märgistatud olla linnukesega ainult Automatically detect settings
muud valikud olgu tühjad. Seadistamise kinnitage, vajutades OK. Seejärel on tehtud
kõik lihtsamad seadistamised, et antud kohtvõrgus asuva personaalarvutiga interneti
pääseda. Kui ikkagi juhtub, et ei õnnestu mõnele internetis asuva arvutiga ühendust
saada, näiteks http://www.neti.ee (IP aadress 194.126.101.79), siis võib vea põhjus olla
ruuteris. Igasugused klient programmid, mis ühele arvutile püsiühenduse puhul
tavaliselt on paigaldatud, näites EnterNet, tuleks enne uue ruuteri paigaldamist
eemaldada (uninstall), sest neid ei ole siis vaja.
3.2 Testimise tehnilised tingimused
Ruuterite testimisel püüdsin luua tingimusi, mis võimalikult täpselt vastaksid tüüpilisele
ADSL ühenduse jagamisele kortermajades.
Kaheksateistkümne korteriga ja kolme trepikojaga elamusse oli kokku paigaldatud kuue
arvuti ühendamiseks ca 180 m UTP CAT5e standardi kaablit. Kaks kõige kaugemat
arvutit asusid ca 60 m pikkuse kaabli otstes, ülejäänud keskeltläbi 25 m kaugusel.
Püsiühenduse alla- ja üleslaadmise maksimaalseks kiiruseks lubatakse Elioni poolt
-
30
vastavalt 1Mbitt/s (1024 Kbitt/s)1 ja 256 Kbitt/s (Kodutöö-ADSL pakett). Enne ruuterite
testimist oli selline Ethernet’i kaablivõrk toiminud probleemideta aasta aega Coyote
Linuxi tarkvaralise ruuteriga jagatuna ja igasse arvutisse jõudsid paketid edasi-tagasi
liikuda praktiliselt sama kiiresti, olenemata sellest kui kaugel üks või teine arvuti
reaalselt ruuterist asus. Seega saab siit järeldada, et küllalt väikeste vahemaade puhul on
arvutite kauguste mõju kiirusele tühine. Internetiühenduse kiirus sõltus rohkem võrgu
üldisest koormatuse astmest kui vahekaugusest. Lihtne diagnostika näitas, et ping [vt
ping] jäi ka 60 m kaugusel asuvasse arvutisse 0,4 – 0,6 ms piiresse, samal ajal kui 20
meetrise kaugusesse personaalarvutisse saadeti pakette praktiliselt sama ajaga. Ping
(Packet InterNet Groper) on "võrgustiku pakettsond" ehk programm sihtkohtade
kättesaadavuse kontrolliks kajataotluse saatmise teel. Ping saadab võrku määratud IP
aadressile/host-ile ehk teisele arvutile paketi, millele oodatakse “vastust” ehk teisisõnu
vastupaketti, kui “vastus” saadetakse tagasi praktiliselt silmapilkeslt (0,4 – 0,6 ms), siis
on alust arvata, et võrk töötab laitmatult. Sellist ruuterit ja antud võrgu toimimist
kasutati etalonina riistvaraliste ruuterite üldise kvaliteedi ja muude omaduste
võrdlemisel.
3.3 Püstitatud eesmärgid
Ruuterite valikul peeti eelkõige silmas, et seadmete hinnad jääksid odavamasse
hinnaklassi ning funktsionaalsus ja jõudlus oleks piisav koju, väikekontorisse,
ühiselamusse (näiteks mitme seltskonna peale), kohvikusse või mujale sarnaseid
nõudmisi esitavasse kohta. Poe riiulitel leiduva ja müüa soovituste põhjal sai
võrdlemiseks valitud nelja erineva levinud ning tuntud võrguseadmete tootja Chronose
[www/14], D-Linki [www/15], TrendNET’i [www/16] , SMC seadmed [www/17].
Testimisel sai kasutatud Canyoni kommutaatorit [vt switch] ning MicroNeti USB-
Wireless adapterit.
Canyoni kommutaatoritootja poolsed spetsifikatsioonid:
• Vastab IEEE 802.3 10Base-T Etherneti ja 802.3u 100Base-TX Fast Etherneti
Standarditele (vt IEEE ja Ethernet)
• Kõik 10/100 Mbitt/s RJ-45 porid toetavad Auto MDI-X funktsionaalsust (vt
Auto MDI/MDIX)
1 Kampaania korras on sageli tegelikult 2 Mbitt/s
-
31
• Kõik RJ-45 pordid toetavad 10Base-T/100Base-TX ja nii pool- kui ka
täistupleks andmeedastust (vt pool-ja täistupleks)
• Auto-Negotiation (vt Auto-Negotiation)
• Toetab Store-and-forward marsuutimist (vt Store-and-forward)
• Filter/Suunamise sagedus: 148 000 paketti/s
• MAC Aadress: 2K
• Buffer: 128 Kbaiti
• Mõõtmed: 187x100x30 mm
Ruuterite kvaliteedi hindamisel vaadeldi seadme vastavust järgmistele nõutele:
• funktsionaalsus (vastavus ülesannetele - kas kõik tootja poolt lubatud
funktsioonid on olemas; täpsus; koostöövõime teiste süsteemidega; vastavus
standarditele; turvalisus)
• töökindlus (valmidus - kui tihti esineb tõrkeid; veakindlus - kuidas reageerib
väliskeskkonna vigadele; taastatavus - kui raske on peale tõrget uuesti tööd
alustada)
• efektiivsus (ajaefektiivsus; ressursiefektiivsus)
• kasutatavus (kontseptuaalne selgus; õpitavus; kasutusmugavus; seadme kohta
käiva informatsiooni kättesaadavus)
• hooldatavus (analüüsitavus - kui raske on leida muutmise kohta; muudetavus -
kui raske on muuta; stabiilsus - kui tugevalt muudatused mõjutavad süsteemi;
testitavus)
• laiendatavus (adapteeruvus - kas töötab paljude erinevate seadmetega; vastavus
standarditele)
• installeerimise mugavus (kui lihtne on seadet paigaldada; kui kiiresti saab
töökorda)
-
32
3.4 ADSL SOHO Chronos BR41 (http://www.chronos.com)
Pilt 5 Chronos BR41 üldvaade
33..44.. 11 ÜÜlleevvaaaaddee
Chronos BR41 on sobiv ruuter väiksematele kohtvõrkudele jagama ühte lairiba (vt
broadband) või põhiriba (vt baseband) internetiühendust mitmele arvutile või seadmele.
Olgugi, et peaeesmärk ei olnud Chronose tegeliku päritolu välja selgitamine, jäi see
küllaltki kahtlaseks. Autori arvates on aparaadi sisu tegelikult kokku pandud mõne teise
tehase konveieril, igatahes mitte Chronose tootmisüksuses, sest ruuteri haldustarkvara
leheküljel oli kirjutatud SOHO. Kas SOHO pidi tähendama small office / home office1 ?
Võibolla küll, kuid viimastel aastatel on muutunud väga tavaliseks, et üks tootja müüb
oma kaubamärgi all lihtsalt mingi teise firma poolt kokkupandud seadet. Chronos on
tuntud oma kaubamärgi all teiste seadmete edasimüüjana (näiteks võrgukaardid).
Selle ruuteri märksõnaks sobiks hästi: odavalt võimalikult palju funktsionaalsust. Antud
ruuter sisaldab oma hinnaklassi arvestades tõesti mitmekülgseid võimalusi.
Pilt 6 Chronos BR41 esikülg
Pilt 7 Chronos BR41 tagakülg
LED Indikaator Selgitus 1 Väike- ja kodubürood, riist- ja tarkvara kiiresti kasvav turulõik oma erinõuetega. Niinimetatud
SOHO tooted projekteeritakse nii, et nad vastaksid kodus või väikeses büroos töötavate
professionaalide vajadustele
-
33
OP Põleb kui ruuter on sisse lülitatud ja töökorras
LAN (TP1-TP4) TP1-TP4 tulukestel on kaks eesmärki. Esiteks, püsiva põlemisega näitab, et seade on korralikult ühendatud vastavasse porti (1, 2, 3 või 4). Teiseks, vilkumisega näitab, andmete edastamist või vastuvõtmist.
CON CON tulukese vilkumine näitab, et ruuter on ühendatud konsooli pordi kaudu ja arvutist edastatakse sinna andmeid
LNK põleb kui ruuter on edukalt ühenduses internetioperaatori võrguseadmega ACT vilgub kui ruuter saadab/võtab vastu andmeid WAN pordi kaudu
Tabel 4 Chronos BR4 esikülje LED indikaatorite tähendused
Pisitikupesa Selgitus Power Toiteadapteri pistikupesa seadme elektrivooluga varustamiseks Reset Üle 5 sekundi nupu all hoidmisel taastatakse tehase vaikimisi seaded WAN Laivõrgu RJ45 pistikupesa DSL modemi või Etherneti ühendusele CONSOLE Konsooli kaudu saab ruuterit seadistada
Ports 1-4 Kohtvõrgu RJ45 pistikupesad, mille kaudu saab ühendada kuni 4 kohtvõrgu arvutit või erinevaid seadmeid, nagu printerid, terminalid jne
9VAC Toiteadapteri pistikupesa
Tabel 5 Chronos BR4 tagakülje pistikupesade kirjeldused
PPaakkeennddii ssiissuu
1 Chronos BR41 lairiba (broadband) ruuter
1 toiteadapter (power adapter) 9VAC 1A
1 võrgukaabel (network cable) (RJ-45 kategooria 5 UTP/STP)
1 käsiraamat (user's manual)1
SSüüsstteeeemmii nnõõuuddeedd
1 RJ-45 lairiba (broadband) internetiühendus
1 arvuti installeeritud 10Mbps, 100Mbps, või 10/100 Mbps Ethernet võrgukaardiga
installeeritud TCP/IP võrgu protokollistik igale kohtvõrgu arvutile
1 UTP võrgukaabel koos RJ-45 otsikuga
1 Etherneti 10/100 Mbitt/s võrguadapter (tähistatakse ka kui LAN)
Veebipõhise seadistamiseks peab olema installeeritud Microsoft Internet Explorer 4.0
või uuem, Netscape Navigator 4.0 või uuem (soovitavalt 5.0 või uuem), samuti sobib
mõni samaväärne sirvija (Mozilla 1.4 või uuem).
KKiirrjjeelldduuss
Tulemüür toetab levinuimaid interneti multimeediumi rakendusi nagu NetMeeting,
CUseeMe, IP TV, Quick Time, Real Player jt. Vastavad vajalikud pordid tuleb ruuteris
välisvõrgu jaoks avada. Seadmesse on integreeritud 4 port 10/100 Mbitt/s Fast Ethernet
kommutaator, millega saab otse ruuterist jagada interneti ühendust neljale arvutile, üks
RJ45 (WAN) pesa jääb välisele (modemi poolsele) ühendusele, mis töötab 10 Mbitt/s
kiirusega, kuid vähemalt ADSL’i ühenduste puhul sellest esialgu piisab.
1 Märkus. Pakendis puudusid eesti keelsed instruktsioonid
-
34
Administreerimine ja hilisem haldamine võib toimuda nii internetisirvija, telneti, kui ka
COM konsooli ja ICMP kaudu.
Ruuterit saab töötama seadistada järgmiste valikutega: tavalise ruuterina (jagatakse
suuremat kohalikku võrku veel mitmele väiksemale arvutivõrgule), staatilise IP+NAT,
PPPoE+NAT, DHCP klient+NAT funktsiooniga jagajana.
33..44.. 22 SSeeaaddiissttaammiinnee jjaa ppaaiiggaallddaammiinnee11
Antud ruuteri paigaldamise protsess on kasutajale väga lihtne ja mugav, arvutisse ei ole
vaja installeerida mingit programmi või ajurit (driver). Ruuter tuleb vaid sisse lülitada ja
browser’i aadressireale sisestada IP aadress: 192.168.7.1. Kohe, pärast esimest sisse
logimist saab hakata ruuterit seadistama [vt pilt 7]. Küsitakse kasutajanime ning parooli,
mis esmakordsel logimisel on vastavalt “router” ja “router”.
Pilt 8 Seadistamine veebiliidese kaudu 1
1 Vaata ka [Üldine ruuterite paigaldamisjuhis]
-
35
Pilt 9 Seadistamine veebiliidese kaudu 2
Selle ruuteri seadistamine on lihtne ja paljuski analoogne D-Link’iga, seetõttu ei
kirjelda seda siin pikemalt.
33..44.. 33 TTöööökkiinnddlluuss,, kkaassuuttuussmmuuggaavvuuss
Erinevate rakenduste töötamine sõltub loomulikult sellest, kui rangeks on arvutikasutaja
oma tulemüüri sättinud. Sama kehtib ka ISP (interneti teenuse pakkuja) võrgu kohta,
sest esineb teenusepakkujaid, kes on teatud pordid kinni pannud. Eestis on sellega
üldiselt vähem probleeme, näiteks ADSL Kodutööl on kõik pordid avatud, mistõttu
tuleb ise määrata, mis on lubatud ja keelatud. ADSL Kodu teenusepaketil on jälle
kodukasutaja turvalisuse huvides teatud välispordid suletud, mistõttu VPNi loomine ei
pruugi kohe õnnestuda.
Töökindlust ja kasutusmugavust võib hinnata heaks ja piisavaks väiksemale
kohtvõrgule.
33..44.. 44 RRuuuutteerrii vvõõiimmaalluussii
Sisseehitatud tulmüüri abil saab ühenduse muuta turvalisemaks pingi keelamise, SYN
Flood (sünkroniseeringu ületus), logib nii väljuvate kui sisenevate päringute IP
aadresse, porte, protokolli tüüpe ja nimesid. Nimed ei pruugi küll alati anda täpset infot
pakettide reaalse päritolu kohta, kuna need võivad olla virtuaalserveritele antud nimed.
Ruuteril on olemas funktsioon PPP/DHCP/Staatiline IP marsruutimine – aitab mugavalt
Siin on näha antud ruuteri tehnilised
parameetrid, ühelgi teisel siin
testitutest, sellist infot ei pakutud.
-
36
automaatselt välja jagada ja määrata IP parameetrid kohtvõrgu arvutitele, kuid see ei ole
kohustuslik.
Administraator saab lihtsalt ja mugavalt luua privaatse IP aadressi, et turvalisemalt
hallata sealtkaudu võrku. See tähendab seda, et ainult see IP aadress on mõeldud veebi
kaudu administreerimiseks ja muul otstarbel seda ei kasutata.
Maksimaalne andmeedastuskiirus sellel seadmel on kuni 8Mbitt/s alla ja 640Kbitt/s
ülesse. Tehase dokumentatsiooni järgi lubatakse katta kuni 1800 jala ehk umbes 594
meetri kaugune vahemaa, mis on teoreetiliselt väga hea näitaja, kuid tegelikkusele
vastavust ei õnnestunud kontrollida. Jälgib kõikide sisenevate ja väljuvate pakettide IP
aadresse ja protokolle. Toetab DMZ ja portide suunamise funktsiooni.
Esmakordsel seadistamisel on vaikimisi tehaseseadetes seadme IP aadress 192.168.7.1.
Võimaldab tarkvara uuendamist. Kui tarkvara uuendama hakata, pole mõtet enne oma
paroole muuta, kui kõik tarkvara uuendused on tehtud. Kõik muudatused nõuavad
taaslaadimise tegemist, mis võtab aega 5-10 sekundit. Integreeritud 10/100Mbitt/s
kommutaator hoiab kõigil neljal pordil olevad ühendused automaatselt maksimaalsel
võimalikul kiirusel. Ruuter arvutab kõikide kohtvõrgu seadmetest sissetulevad ja
väljuvad megabaidid kokku, selle abil saab näiteks hiljem hinnata, kui palju
informatsiooni mingist arvutist interneti ja vastupidi liikus.
Eripärana võimalik ka RS-232 ehk COM-pordi konsooli kaudu ruuterit seadistada.
Kahjuks pakkis vastav kaabel puudus.
Kokkuvõtlikult saab öelda, et töökindlus on selle hinna ja kvaliteedisuhte korral hea.
Varasema ruuteriga võrreldes polnud kiiruse vahet märgata.
Pilt 10 Kohtvõrgu siseneva- ja väljuva liikluse kogumahtuvus megabaitides
Antud ruuter peab ka küllalt korraliku ülevaadet logidest.
-
37
Pilt 11 Sissetulev liiklus
Pilt 12 Väljuv liiklus
Pilt 13 ARP tabeli logi
Pilt 14 DHCP tabeli vaade
-
38
Pilt 15 Väljast kohtvõrku päringuid saatnud IP-aadresside nimekiri
-
39
3.5 D-Link Air DI-514 802.11b Wireless Router
Pilt 16 D-Link DI-514 802.11b Wireless Router
33..55.. 11 ÜÜlleevvaaaaddee
DI-514 paistab silma soliidse disainiga, millest õhkub head kvaliteeti. Seadme korpus
on üks tervik, mingeid väljaulatuvaid osi peale antenni pole. Ülekuumenemist pole
karta, sest õhu liikuma pääsemiseks on seadmes avausi piisavalt. D-Link DI-514 on
piisavalt soodne ning funktsionaalne lahendus koju, võiksemasse kontorisse, kooli,
kohvikusse ja teistesse väiksematesse kohtadesse, kus soovitakse pääseda interneti ka
ilma traadita.
PPaakkeennddii ssiissuu
1 D-Link Air DI-514 2.4GHz Wireless Ruuter
1 Toiteadapter – 5V DC, 2.5A 1
1 CD instruktsioonidega, Adobe Acrobat 5.0 programmiga
1 Prinditud paigaldusjuhend
Eesti keelne juhend pakendist puudus.
SSüüsstteeeemmii nnõõuuddeedd::
Windows, Macintosh, või Linuxi põhine operatsioonisüsteem koos installeeritud
Etherneti adapteriga.
Veebipõhiseks seadistamiseks vajalik Internet Explorer või Netscape põhised sirvijad
alates versioon 6.0 koos JavaScripti toetusega.
KKiirrjjeelldduuss
D-Link Air DI-514 Wireless ruuter vastab 802.11b standardile, koos myriad robust
firewall vahenditega pakub kohtvõrgule kaitset ründajate vastu. Ruuter on ka algajale
-
40
lihtsalt ja mugavalt seadistatav. Filtrid on seadistatavad MAC, IP aaderssi, URLi või
DNSi järgi. Veebipõhise konfigureerimise “nõustaja” on DI-514 loogiliselt arusaadav,
mitmekülgne, efektselt värviline. Integreeritud 4-port kommutaator lubab ühendada
kuni 4 arvutit. Wireless kliendid saavad turvaliselt ühendada kasutades 64 või 128-bitist
krüpteeringut. Lisavõimalused: parooli kaudu mitme üheaegse IPSec ja PPTP VPN
sessioonid telekommutaatoritele või muudele seadmetele, kus tahetakse tundlikke
andmeid saata turvalisemalt. D-Link DI-514 on ideaalne lahendus väikestele
kontoritele, kodudesse, koolidesse, kohvikutesse ja teistesse väiksematesse võrkudesse.
Manualist sai lugeda wireless tehnoloogiast ja tema võrguprogrammidest. Seega tasub
varuda veidi aega ja viia ennast kurssi wireless tehnoloogiaga.
Tootjapoolsed spetsifikatsioonid:
§ Interneti jagaja koos sisseehitatud 4-pordise kommutaatoriga.
§ Arenenud tulemüür ja turvalisus koos 64/128-bit WEB krüpteeringuga
§ Paigaldamise “nõustaja” (wizard) kiireks paigaldamiseks
§ Täisühilduvus 802.11b standardiga, mis võimaldab vastava ühilduvusega seadmetel
pääseda DI-514 vahendusel traadita kohtvõrku.
§ Ühendus piirideks lubatakse 328 jalga (100 m.) Indoors ja 984 feet (300 m)
Outdoors.1
§ Vaikimisi IP : 192.168.0.1
§ Salvestab osa muudatusi ka ilma taaskäivituseta
§ Taaslaadimise / uute seadetega töö alustamise aeg: 10 sec
§ Auto MDI/MDIX funktsioon kõigis kohtvõrgui portides lubab automaatselt
tuvastada kaablite tüübi Etherneti totusega arvutitel.
§ Tühistamise (Reset) nupp taastab tehase vaikimise seaded.
§ D-Link Air DI-514
§ ADSL: G.lite, G.Dmt, G.hs, ANSI T1.413
§ WLAN: 802.11b (11 Mbps)
§ Turvafunktsioonid: 64- või 128-bitine WEP; MAC-aadresside kontroll
§ LAN: 4-pordine RJ-45 10/100Mbitt/s kommutaator
§ Tulemüür: kahepoolne paketifilter
§ Mõõtmed: 206x161x51 mm
1 Märkus. enamasti on sellised vahekaugused üle pakutud
-
41
33..55.. 22 SSeeaaddiissttaammiinnee jjaa ppaaiiggaallddaammiinnee11
DI-514 paigaldamine käib ainult veebipõhiselt. Selleks pole vaja muud kui avada sobiv
veebisirvija (browser) ja sisestada aadressireale DI-514 IP aadress, milleks vaikimisi on
192.168.0.1. Seejärel küsitakse kasutajalt kasutajanime ja parooli. Vaikimisi on
kasutajanimi Admin ja parool on tühi (blank). Kui logimine õnnestus, avaneb
seadistamise “nõustaja” (Setup wizard). Nõustaja oli eriti õnnestunud, sest kõik oli
intuitiivselt lihtsalt tajutav ja kergesti arusaadav. Esimesel vahelehel asub “nõustaja”
käivitamise nupp, mille vajutamisel see käivitatakse. Esimesena tuleb paika panne
Wirelessi Access Pointi seadistused [vt pilt 17].
Pilt 17 DI-514 Wireless seaded
Sellel lehel sai määrata
• SSID ehk teenuse indentifikaatori, mis määratakse antud traadita kohtvõrgu
nimeks, vaikimisi oli see “default”.
• Channel ehk kanalite arvu antud traadita kohtvõrgu jaoks, vaikimisi oli see 6.
• WEP (wired equivalent privacy) on osa 802.11 standardist ning sellel on kaks
põhilist funktsiooni – esiteks võimaldada võrguühendus vaid neile, kes teavad
õiget võtit, ning teiseks takistada üle traadita interneti saadetava informatsiooni
pealtkuulamist.
• KEY TYPE sai määrata, kas HEX ehk kuueteistkümnendsüsteemi sümbol või
ASCII märgenditest koosnev jada.
• KEY ehk krüpteeringuvõtemeteks sai panna kuni 4 võtit.
1 Vaata ka [Üldine ruuterite paigaldamisjuhis]
-
42
Alljärgnev vaheleht võimaldab määrata välisühenduse ehk oma internetioperaatori
seaded.
Pilt 18 DI-514 Interneti seaded
Sellelt lehelt tuli valida kolme erineva ühenduse liigi vahel, kas dünaamilise-, staatilise
IP aadressiga modemiühenduse, PPPoE ühendus. PPPoE ühenduse puhul tuli panna
teenusepakkuja käest saadud kasutajatunnus, parool ning nimeserverid. Dünaamiline
ühendus on juhul, kui igakord kui oma internetioperaatori võrku sisse logite, siis IP
aadress uueneb. Staatilise IP aadressi puhul on see püsiv. Märkides PPPoE tähendab, et
kasutatakse PPPoE [vt PPPoE] teenust, mis ADSL internetiühenduse puhul on üks
levinumaid. Alumistesse kastidesse sisestakse internetioperaatori poolt antud
kasutajatunnus ja parool. Maximum Idle Time võimaldab määrata kui kaua hoitakse
ühendust üleval kui ühtegi päringut ei esitata. MTU (Maximum Transmission Unit) on
maksimaalne andemeühiku suurus.
Järgnevalt sai pandud paika kohtvõrgu nimi (Ront) ja võrgumask (255.255.255.0) ning
kohtvõrgu IP aadress (192.168.0.1) ehk default gateway.
-
43
Pilt 19 Kohtvõrgu seaded
Pilt 20 DHCP seadete määramine
-
44
Pilt 21Virtuaalserverile portide määramine (protide avamine)
Pilt 22 Teenustele portide määramine (protide avamine)
-
45
Pilt 23 IP aadressidele filtrite määramine
Pilt 24 Tulemüüri konfigureerimine
Pilt 25 DMZ määramine
-
46
Pilt 26 Traadita võrgu parameetrite määramine
Lõppkokkuvõttes kujunes DI-514 paigaldamine kergesti arusaadavaks ja ilma
probleemideta, mida saab järeldada ka toodud pildiseeriast (vt. pildid 19-26).
33..55.. 33 TTöööökkiinnddlluuss,, kkaassuuttuussmmuuggaavvuuss
D-Linki ruuteri WiFi levi sai testitud Microneti Wireless kohtvõrgu USB võrguadapteri
abil (mudel nr. SP907BB). Kuna D-Link DI-514 esindab tänaseks juba veidi vanemat,
kuid väga levinud ja töökindlat IEEE802.11b standardit sagedusalas 2,4 GHz, siis ei
olnud võimalik nö “uksed kinni nurga taha” luua ühendust üle 50 meetri kaugusele.
Kuid seda ei tohiks kindlasti panna vaid standardi süüks, WiFi side võibki olla teatud
olukordades vägagi tundlik. Traadita levi kvaliteeti ligidale (kuni 30 m) kujutab järgnev
pilt:
Pilt 27 WiFi levi kvaliteet DI-514'ga
-
47
33..55.. 44 RRuuuutteerrii vvõõiimmaalluussii
Turvatud ühenduskanali loomiseks kodu ja töökoha vahel toetab DI-514 IPSeci ja PPTP
põhiseid VPN-tunneleid. Hea on seegi, et IPSec ja PPTP VPN sessioone saab täielikult
pidevalt kontrollida ning prioriteete määrata. See peaks salajaste andmete üle interneti
saatmise korral turvatunnet lisama.
Tulemüür lubab pordipõhiseid reegleid luua eraldi nii sisenevale kui ka väljuvale
liiklusele, määrata ühendustele aegumisajad. Traadita võrgu all on ülevaatlikult näha,
millised kanalid on teiste lähedalasuvate seadmete poolt hõivatud.
-
48
3.6 TW100-S4W1CA TrendNET router
Pilt 28 TW100-S4W1CA TrendNET Router
33..66.. 11 ÜÜlleevvaaaaddee
TW100-S4W1CA TrendNET Fast Ethernet ruuter on integreeritud Nway 10/100Mbps
kommutaatoriga (switch) seade, mis on sobiv eelkõige väikekontorisse või koju. Seade
võimaldab täita nii ruuteri, kommutaatori kui ka tulemüür funktsionaalsust, võimaldades
ühendada internetti korraga kuni neli arvutit, kasutades selleks ühte välist IP aadressi.
Kõiki sisenevaid IP pakette jälgitakse ja filtreeritakse. Seadet on võimalik seadistada ka
piirama sisevõrgu kasutajate juurdepääsu eelnevat määratud IP aadressidele.
Staatus LED indikaator Värv
Pidev Vilkuv
1 Power/Error Roheline/ Punane
Põleb roheliselt kui seade on sisse lülitatud. Kui seade ei tööta korralikult, põleb punaselt
Puudub
2 Internet Roheline/ Oranz
Ühendus kohtvõrgu seadmega
Edastab/ võtab vastu andmeid
3 Kohalik port 1 100Mbps ühenduse puhul põleb roheliselt
4 Kohalik port 2
5 Kohalik port 3
6 Kohalik port 4
Roheline/ Oranz
10Mbps ühenduse puhul põleb oranzilt
Edastab/ võtab vastu andmeid
7 E-post Roheline Puudub Uued E-kirjad
Tabel 1 TW100-S4W1CA indikaatorid ja tähendused
Port/nupp Funktsioon 5V DC Toiteadapteri pistik
Internet Kaabel/xDSL modemi pistik
-
49
Port/nupp Funktsioon MDIX/MDI Siit nupust saad valida internetipordi kiudude skeemi (MDIX/MDI) Local (1 – 4) Neli automaatse kiirusevalikuga RJ-45 pistikut ühendamiseks 10/100Mbps
kohtvõrku MDIX/MDI Siit nupust saad valida neljanda kohaliku pordi kiudude skeemi (MDIX/MDI)
Tabel 2 TW100-S4W1CA pordid ja funktsioonid
PPaakkeennddii ssiissuu::
1 TW100-S4W1CA TrendNET lairiba (broadband) ruuter
1 toiteadapter (power adapter)
1 võrgukaabel (network cable) (RJ-45 katekooria 3 või 5 UTP/STP)
1 käsiraamat (user's manual)1
1 CD koos haldustarkvaraga
SSüüsstteeeemmii nnõõuuddeedd::
Kohtvõrgu arvuti peab seadme haldusporgammi käivitamiseks vastama järgmistele
nõuetele. Kui kasutatakse UNIX või Apple arvutit, kasuta seadme haldamiseks telnetti.
Graafilise haldusprogrammi kasutamiseks vajad:
Windows 95/98/ME/NT/2000 operatsioonisüsteemi2
IE 4.01 või uuemat
KKiirrjjeelldduuss
Tootjapoolsed spetsifikatsioonid:
§ Toetab PPPOE protokolli
§ Toetab internetitarkvara nagu veebibrauserid, ICQ, Telnet, E-post, AOE, News,
NetMeeting, VDOLive Player, Ping jt
§ DHCP server toetab kuni 128 klienti
§ DHCP klient saab automaatselt internetioperaatori DNS-i aadressi
§ 4 pordiga Nway 10/100Mbps kommutaator
§ Lihtne seadistamine üle võrgu telneti abil
§ Lihtne graafiline seadistusprogramm Windows 95/98/ME/NT/2000
operatsioonisüsteemidele
§ Püsivara uuendamise võimalus
§ Toetab levinumaid operatsioonisüsteeme nagu Windows 95/98/ME/NT/2000,
UNIX, Mac
1 Märkus. Pakendis puudusid eesti keelsed instruktsioonid
2 Märkus: Telneti ja terminali kaudu haldamine ei sõltu operatsioonisüsteemist.
-
50
§ Sisseehitatud tulemüür pakub kaitset häkkerite eest
33..66.. 22 SSeeaaddiissttaammiinnee jjaa ppaaiiggaallddaammiinnee11
Antud ruuteri teeb vaadeldutest mõnevõrra eriliseks üks oluline asjaolu, nimelt on
seadmega kaasa pandud graafiline haldustarkvara Windows 95/98/ME/NT/2000
operatsioonisüsteemidele. See tähendab seda, et kasutaja peab seadistusprogrammi
CD’lt arvutisse installeerima, milleta ei saa aparaati korralikult kasuta