POþÍTAþOVÉ SÍTítačové-sítě-studijní-text.pdf1.9.4 FDDI (Fiber Distributed Data Interface)...

POČÍTAČOVÉ

SÍTĚ S TU D IJ N Í O P O R A P R O K O M B IN O V A N É

S TU D IU M

Moravská vysoká škola Olomouc, o.p.s., 2017

POČÍTAČOVÉ

SÍTĚ

PhDr. Mgr. Zdeňka Krišová, Ph.D

Mgr. Jiří Martinů

© Moravská vysoká škola Olomouc, o. p. s.

Autor: PhDr. Mgr. Zdeňka Krišová, Ph.D.

Mgr. Jiří Martinů

Olomouc 2017

Obsah

Úvod 9

Úvod do počítačových sítí 10

1.1 Vymezení pojmu počítačová síť 11

1.2 Struktura počítačové sítě 11

1.3 Vývoj počítačových sítí 14

1.4 Typy sítě 15

1.4.1 Rozdělení sítí podle vztahu mezi uzly 15

1.4.2 Rozdělení počítačových sítí podle jejich rozsahu (velikosti) 17

1.5 Fyzická a logická topologie – návrh uspořádání sítě 20

1.6 Fyzická topologie 21

1.6.1 Sběrnicová topologie (serial hub) 21

1.6.2 Hvězdicová topologie (star) 23

1.6.3 Prstencová topologie (ring) 24

1.6.4 Hybridní topologie (Strom) 25

1.7 Logická topologie 26

1.8 Přístupové metody (media - access method) 26

1.9 Typy sítí dle technologie 29

1.9.1 ArcNet 29

1.9.2 Token-ring 30

1.9.3 100VG-AnyLAN 30

1.9.4 FDDI (Fiber Distributed Data Interface) 31

1.9.5 Ethernet 31

1.9.6 Bezdrátové sítě 32

Síťové architektury, referenční model ISO OSI, architektura TCP/IP 34

2.1 Standardizace počítačových sítí, síťová zařízení 35

2.1.1 Síťová komunikace 35

2.2 Vrstvové síťové modely 35

2.3 Charakteristika vrstev modelu ISO/OSI 36

2.3.1 Popis základních funkcí vrstev modelu ISO/OSI 37

2.4 Charakteristika vrstev modelu TCP/IP 41

2.4.1 Výhody TCP/IP 41

2.4.2 Popis základních funkcí vrstev modelu TCP/IP 41

2.5 Síťová zařízení 43

2.5.1 Síťové karty (adaptéry) 43

2.5.2 Repeater (opakovač) 44

2.5.3 Transceiver (převodník) 45

2.5.4 HUB (rozbočovač) 46

2.5.5 Bridge (most) 46

2.5.6 Switch (přepínač) 48

2.5.7 Router (směrovač) 49

2.5.8 Gateway (brána) 51

Management a bezpečnost sítí (TCP/IP), síťová zařízení 55

3.1 Přístupová práva 56

3.2 Bezpečnost na internetu, šifrovací algoritmy 57

3.2.1 Bezpečnost dat a sítí 57

3.2.2 Šifrování 60

3.2.3 Certifikační autorita 65

3.2.4 Řízené uživatelské přístupy 66

3.2.5 Bezpečná elektronická pošta 67

3.2.6 Bezpečný Web systém 68

3.2.7 Firewall 69

3.2.8 Bezpečnost bezdrátových sítí 70

Technologie fyzické a linkové vrstvy, aktivní a pasivní síťové prvky 72

4.1 Fyzická vrstva 73

4.1.1 Přenosová média používaná v počítačových sítích 73

4.2 Spojová vrstva (=Linková vrstva) 79

4.2.1 Úloha spojové vrstvy 79

4.2.2 Rámec spojové vrstvy 80

4.2.3 Protokoly spojové vrstvy 81

Síťová vrstva, IP protokol, IP adresy 88

5.1 Síťová vrstva 89

5.1.1 Úloha síťové vrstvy 89

5.1.2 Druhy komunikace v síti 89

5.1.3 IP adresa, maska podsítě 91

5.1.4 IP – Internet Protokol 101

Směrování v internetu 106

6.1 Směrování 107

6.1.1 Předávání (forwarding) a filtrace (filtering) 107

6.1.2 Směrování (routing) 108

6.1.3 Typy směrování 113

6.2 Směrovací protokoly 115

6.2.1 LSP a RVP 115

6.2.2 IGP a EGP 116

Transportní vrstva a její protokoly 119

7.1 Úloha transportní vrstvy 120

7.1.1 Segmentace dat a zpětné spojení segmentů 120

7.2 Protokol TCP (Transmition Control Protokol) 121

7.3 UDP – User Datagram Protocol 127

7.3.1 Porty 128

Aplikační vrstva, základní protokoly aplikační vrstvy 132

8.1 Aplikační vrstva 133

8.1.1 Úloha aplikační vrstvy 133

8.2 Protokoly aplikační vrstvy 134

8.2.1 HTTP – Hypertext Transfer Protocol 134

8.2.2 DNS – Domain Name System 135

8.2.3 POP, SMTP a IMAP 136

8.2.4 FTP 138

8.2.5 DHCP 139

8.2.6 Telnet 140

Systém DNS, architektura, doména a zóna 143

9.1 DNS (Domain Name System) 144

9.1.1 Domény a subdomény 145

9.1.2 Syntaxe jména 147

9.1.3 Reverzní domény 147

9.1.4 Zóna 148

9.1.5 Doména a autonomní systém 149

9.1.6 Rezervované domény a pseudodomény 150

9.1.7 Dotazy (překlady) 150

Služba DHCP. Architektura, přidělování IP adres 155

10.1 DHCP 156

10.1.1 Funkce DHCP 156

10.1.2 Výhody protokolu DHCP 157

10.1.3 Autokonfigurace protokolu IP 157

10.1.4 Proces zápůjčky DHCP 158

10.1.5 Stavy klienta DHCP v procesu zápůjčky 161

Příkazy pro práci se sítí a síťovým rozhraním v OS Windows/Linux 167

11.1 Základní řádkové příkazy 168

11.1.1 Příkaz PING 168

11.1.2 Příkaz TRACERT 170

11.1.3 Příkaz PATHPING 170

11.1.4 Příkaz IPCONFIG 171

11.1.5 Příkaz NETSTAT 172

11.1.6 Příkaz NET 172

11.1.7 Příkaz ROUTE 173

11.1.8 Příkaz NSLOOKUP 174

Softwarové nástroje pro sledování a analýzu datových toků v síti 177

12.1 Monitorování síťového provozu 178

12.2 Dohledové systémy 178

12.2.1 Kategorie dohledových systémů 179

12.2.2 Architektury 180

12.2.3 Způsoby sledování zařízení 181

12.2.4 Bezpečnost dohledových systémů 183

12.3 Vybrané dohledové systémy 183

12.3.1 Nagios 183

12.3.2 Cacti 184

12.3.3 Zabbix 185

12.3.4 System Center Operations Manager 2012 (SCOM 2012) 186

9

Úvod

Milí čtenáři,

předkládáme vám studijní text, který se zabývá problematikou počítačových sítí LAN a WAN,

seznamuje se základními službami poskytovanými počítačovými sítěmi, se základními topolo-

giemi a metodami přístupu k přenosovému médiu, s jednotlivými prvky síťového hardware

a standardními typy současných síťových technologií.

Cílem tohoto studijního materiálu je seznámit vás se základními pojmy z oboru počítačových

sítí a principy jejich fungování s důrazem na nejrozšířenější přenosové technologie, zejména

Ethernet a IEEE 802.11 včetně jejich moderních variant. Struktura výuky je koncipována kla-

sicky podle vrstvového modelu architektury sítí, od samotných síťových technologií (hard-

ware) přes síťovou a transportní službu až k nejdůležitějším aplikačním službám. Zvýšená po-

zornost je věnována základním protokolům Internetu – TCP/IP a systému DNS.

Přejeme hodně úspěchů ve studiu.

autoři

Kapitola 1

Úvod do počítačových sítí

Po prostudování kapitoly budete umět:

Vysvětlit pojem počítačová síť;

charakterizovat typy počítačových sítí; popsat rozdíl mezi fyzickou a logickou topologií sítí.

Klíčová slova:

Počítačová síť, server, pracovní stanice, fyzická a logická topologie sítě, Ethernet, ac-

cess point.

11 ÚVOD DO POČÍTAČOVÝCH SÍTÍ

1.1 Vymezení pojmu počítačová síť

Počítačová síť je systém, který vznikne vzájemným propojením počítačů s cílem komunikovat a spo-

lečně využívat prostředky připojené k jednotlivým počítačům.

Základními důvody pro vytvoření prvních počítačových sítí byla potřeba společného přístupu k da-

tům, přenos dat mezi počítači (zejména za účelem připojení uživatele k jinému počítači pro prová-

dění výpočtů a jiných operací na dálku, obvykle formou tzv. vzdálené terminálové relace) a v nepo-

slední řadě tisk na tiskárně připojené k jinému počítači.

Skupina počítačů spojených dohromady, umožňující více uživatelům přistupovat k jedněm zdrojům,

sdílet jedna data a využívat je, se nazývá počítačová síť.

Dříve, než začneme vyjmenovávat výhody zapojení počítačů do sítě, je nutné objasnit pojem sdílení.

Sdílení (programů, dat, tiskárny atd.) je využívání těchto prostředků více uživateli současně. Zna-

mená především úsporu (místa na disku, techniky) a přehlednost práce v síti a mnohdy díky umož-

nění centralizovaného zálohování dat i zvýšení úrovně zabezpečení dat.

Obr. 1.1: Příklad počítačové sítě; zdroj: http://site.the.cz/index.php?id=1

1.2 Struktura počítačové sítě

Každá počítačová síť se skládá z jednotlivých stanic (počítačů), síťového hardwaru (síťové karty, ka-

bely, konektory, aktivní prvky atd.) a síťového softwaru (programů pro práci v síti).

Úloha počítače v síti

Počítač (koncový uzel) má v počítačové síti úlohu serveru nebo stanice.

Servery

poskytují ostatním stanicím určité služby (souborové, aplikační, tiskové, poštovní, databá-

zové, terminálové),

POČÍTAČOVÉ SÍTĚ 12

současně plní funkci řídící stanice v síti,

v síti může být jeden nebo více serverů (v malých sítích nemusí být žádný – viz síť peer-to-

peer níže).

Pracovní stanice (workstation)

počítač, u kterého pracuje uživatel, využívá služeb poskytovaných serverem (2).

Server

Server je počítač, který ostatním nabízí své služby. Z tohoto důvodu bývá vybaven odlišným hard-

warem i softwarem, než mají běžné stanice. Hardware pro servery bývá jednak výkonnější, jednak

odolnější vůči chybám, musí obsahovat zdroj nepřerušitelného napájení elektrickou energií (UPS)

a taky zálohovací systém.

Po stránce software může být použit jiný operační systém, než mají běžné stanice. Síťový operační

systém typu server se skládá ze dvou částí: síťový software nainstalovaný na klientech a nainstalo-

vaný na serverech. Tak tomu je například u operačního systému Windows, který dnes může vidět

např. ve verzích Windows 2000 server, Windows 2003 server apod.

Dělení serverů

Server můžeme rozdělit na:

vyhrazený (dedicated),

nevyhrazený (non dedicated).

Vyhrazený server je takový, který je vyhrazen pouze pro práci serveru. To znamená, že pokud si

uživatel sedne k takovému počítači, nemůže se k němu přihlásit jako k normální stanici. Takové ser-

very vyvíjela hlavně firma NOVELL a používala operační systém Novell Netvare.

Nevyhrazený server je naopak takový, který není plně vyhrazen pro práci serveru. Pokud se k němu

tedy budete chtít přihlásit jako k normální stanici, můžete to udělat. Takové systémy se dnes použí-

vají především, ať to jsou serverové operační systémy firmy Microsoft nebo operační systémy na

bázi Unixu.

Podle typu vykonávané činnosti se servery dělí na různé typy, takže známe např.:

file server (souborový server) – je to nejzákladnější typ serveru, mívá na starosti už zmiňo-

vaný řízený přístup k datům, kromě toho ve většině případů má na starosti i záležitosti spo-

jené s přihlašováním uživatelů,

proxy server - překládá požadavky klientského počítače vůči cílovému počítači, nebo serveru.

Přijatou odpověď pak následně odesílá zpět na klienta. Proxy server odděluje lokální počíta-

čovou síť od Internetu.


mail server (poštovní server), spravuje poštovní služby na síti.

database server (databázový server), tento server je navržen tak, aby mohl skladovat velké

množství dat a poskytovat tato data uživatelům tak, aby nemuseli stahovat celou databázi.

Celá databáze je pouze na serveru a stanice obdrží pouze výsledná data, o která žádala.

print server (tiskový server), print servery umožňují stanicím sdílet několik rozdílných tiská-

ren. Program pro sdílení tiskáren může obsahovat tzv. print spooler. Je to program, který

vytváří vyrovnávací paměť, do níž se jednotlivé tiskové úlohy ukládají a kde čekají, dokud na

ně nepřijde při tisku řada.

www server - počítač trvale připojený do internetové sítě, specializovaný na rychlé vyřizování

žádostí o webové stránky, které jsou na něm uloženy (4).

Volba kabeláže

Pokud chceme určit, jaká kabeláž je pro konkrétní pracoviště nejlepší, musíme znát odpovědi na tyto

otázky:

Jak velký bude provoz v sítí?

Jaké jsou požadavky na ochranu informací?

Jaké vzdálenosti jsou mezi jednotlivými uzly sítě?

Kolik máme peněž na budování sítě?

Mezi hlediska, která ovlivňují cenu a výkon kabeláže, patří:

Logistika instalace – jak snadná je instalace kabelu, malé vzdálenosti uzlů nebo ochrana není

zásadní otázkou při instalaci sítě apod.

Stínění – záleží, kde umísťujeme kabel, šum apod.

Přeslechy – vnější elektromagnetické rušení (motory, relé, radiové vysílače).

Přenosová rychlost – měří se v Mb/s (10Mb/s nebo 100Mb/s). Optický kabel až rychlosti

Gb/s.

Náklady – lepší přenosové vlastnosti mají dražší kabely (optický, tlustý koaxiální kabel).

Útlum – omezení na délku kabelu.

Síťové operační systémy

Duší počítačové sítě je síťový operační systém. Stejně jako počítač nemůže pracovat bez operačního

systému, ani počítačová síť se neobejde bez síťového operačního systému.

NOS (Network Operating Systém) je sada programů, které umožňují implementovat a řídit síť. Záro-

veň umožňují uživatelům využívat zdroje a služby dané sítě. Síťový operační systém vykonává kromě

funkcí běžného operačního systému i některé funkce speciální:

Poskytování přístupu k souborům a zdrojům na sítí.


Poskytování služeb pro přenos zpráv (e-mail)

Umožňuje uzlům vzájemně komunikovat na síti

Meziprocesorová komunikace (IPC)

Odpovídat na žádosti od aplikací a uživatelů na síti

Mapování žádostí a datových cest ke správným místům na sítí.

Příklady síťových operačních systémů:

Windows server 2000, Windows server 2003, Windows server 2008, Windows NT,

Solaris (společnosti Sun Microsystems),

Novell NetWare (novější verze Open Enterprise Server),

UNIX (Linux).

Síťový operační systém musí podporovat mechanismus, který umožňuje aplikacím vzájemnou ko-

munikaci, např. aplikaci, která umožňuje více počítačům najednou pracovat na jedné úloze, jako jsou

matematické operace. Také musí zaručit bezpečnost dat a být stabilní a rychle se zotavovat z chyb.

Spolupráce s ostatními operačními systémy je také důležitá.

Dnešní operační systémy mají přímo implementovanou síťovou podporu, s jejich připojením do sítě

není problém (1)

1.3 Vývoj počítačových sítí

Vývoj počítačových sítí začíná v 60. letech, kdy dochází ke spojení počítače s komunikačními pro-

středky a tím ke vzniku terminálové sítě. Tato síť obsahuje jeden výkonný počítač (výkonný uzel -

v té době se jednalo o počítač sálový, který vykonává veškerou výpočetní práci) a k němu jsou připo-

jeny terminály, které slouží pouze pro vstup a výstup dat. Tato síť je relativně jednoduchá a všechny

obtížné problémy jako je například synchronizace procesů, řízení přístupu k datům a ostatním pro-

středkům, ochrana integrity dat se řeší v jediném uzlu pomocí technik operačních systémů. Zásadní

nevýhodou této koncepce je naprostá závislost terminálu na ústředním počítači.


Obr. 1.2: Schéma terminálové sítě (3)

Počátkem 70. let nestačí již propojení pomocí terminálové sítě, uživatelé potřebují mít přístup k da-

tabázím na více počítačích a současně potřebují pracovat i mimo síť. Vznikají počítačové sítě jako

skupina počítačů i periférií, které jsou mezi sebou propojeny tak, aby zajistily vzájemnou komunikaci

libovolného uživatele s programem na libovolném počítači, dvou programů mezi sebou nebo dvou

libovolných uživatelů mezi sebou a to vše při vysoké spolehlivosti komunikace.

V 80. letech se začínají objevovat první sítě LAN, vznikají první komplexní výpočetní systémy, které

zajišťují různé služby. Počítače, které jsou součástí sítě, mohou sdílet: data, zprávy, grafiku, tiskárny,

faxové přístroje, modemy a další hardwarové zdroje. Lokální sítě přestávají vyhovovat požadavkům

velkých společností, které mají sídla v různých státech, proto vznikají WAN sítě.

Dalším významným krokem ve výpočetní technice je zavádění distribuovaných systémů. Distribuo-

vaný systém poskytuje vyšší stupeň transparentnosti a sdílení prostředků než síťové systémy. Distri-

buované operační systémy implementují podporu distribuovaného zpracování přímo v jádru ope-

račního systému. Celý systém se tváří jako tradiční jednoprocesorový systém, přestože jeho jednot-

livé komponenty jsou fyzicky umístěny na jednotlivých počítačích. V pravém distribuovaném ope-

račních systému se uživatel nemusí zabývat určováním, na kterém počítači či procesoru jeho pro-

gramy běží nebo kde jsou fyzicky uloženy jeho soubory. O to se automaticky a efektivně systém stará

sám (3).

1.4 Typy sítě

1.4.1 Rozdělení sítí podle vztahu mezi uzly

Na základě toho, jak jsou počítače v síti nakonfigurovány a jak přistupují k informacím, dělíme sítě

na dva základní typy: Peer-to-Peer a Klient-Server.


Peer-to-Peer

Tento název se nejčastěji pře-

kládá do češtiny jako „rovný

s rovným“. Je to typ počíta-

čové sítě, ve které není žádný

počítač nadřazen ostatním.

Používá se při relativně malém

počtu počítačů. Síti typu Peer-

to-Peer se také říká pracovní

skupina. Je to malá skupina

jednotlivců (obvykle do de-

seti), pracujících spolu.

Taková síť nemá žádného

správce a je určena ve většině

případů k řešení problematiky

sdílení zdrojů, např. problém

tisku v malé organizaci. Počítače se propojí do sítě a na jeden z nich se připojí tiskárna, ta se potom

jednoduše „vysdílí“ (zpřístupní) ostatním uživatelům, kteří ji od tohoto okamžiku mohou využívat.

Většina dnes používaných operačních systémů má už v sobě vše potřebné pro zprovoznění tohoto

typu sítě. Jako příklad můžeme uvést Windows 2000, všechny druhy Linuxu i operační systémy Mac

OS.

Obr. 1.3: Síť Peer-to-Peer Zdroj: (4)


Klient - Server

Toto slovní spojení už v čes-

kém jazyce zdomácnělo, i když

byly doby, kdy jazykoví puristé

chtěli, aby se místo pojmu ser-

ver používal český ekvivalent

„obslužná stanice“. V takové

síti existuje jeden nebo více

počítačů, které ostatním nabí-

zejí své služby a to jsou právě

servery. Naopak ty počítače,

které využívají jejich služby

a většinou ostatním žádné

služby nenabízejí, se nazývají

klienti, někdy také stanice

nebo pracovní stanice. Taková

síť je dnes typickým příkladem počítačové sítě a najdete ji na ve většině organizací nebo firem.

Informace o tom, jak se vyvíjí ekonomika, podávají makroekonomické veličiny, nazývané též náro-

dohospodářské agregáty. Charakter vývoje jednotlivých ekonomik je různý, každá se nějak chová,

realizuje určitý výkon a, vykazuje zpravidla odlišnou úroveň makroekonomických ukazatelů, a proto

slouží tyto veličiny k posouzení výkonnosti ekonomik a k jejich porovnání navzájem. Národohospo-

dářské agregáty plní informační úlohu, poskytují obraz reálného ekonomického světa a jsou velmi

důležité pro stanovení priorit budoucího ekonomického vývoje.

Ze škály národohospodářských agregátů se jeví nejdůležitějšími ty, které měří velikost celkového

národního produktu vytvořeného v dané ekonomice za jedno časové období (zpravidla jeden kalen-

dářní rok).

1.4.2 Rozdělení počítačových sítí podle jejich rozsahu

(velikosti)

Sítě se rozdělují podle poměru doby vysílání a přijímání dat.

LAN – Local Area Network - lokální sítě

Prvky takové sítě jsou rozmístěny v určitém ohraničeném objektu, který se rozprostírá v rozmezí

stovek metrů. Většinou se jedná o učebnu, školu, firmu, závod atd. Celá síť je pod kontrolou (logic-

kou i fyzickou) jednoho pracovníka, označovaného jako správce sítě (supervisor, administrátor).

Obr. 1.4: Síť typu Klient – Server; zdroj: (4)

Zdroj: (4)


V dnešní době, kdy lokální sítě nabývají značných rozsahů, může být správců několik, nicméně pořád

musí tvořit jednotný a koordinovaný tým.

Síť se skládá obvykle z osobních počítačů doplněných o potřebné hardwarové prostředky (síťové

adaptéry, konektory) a spojené síťovými kabely. Přenosová média jsou různá – od kroucené dvou-

linky přes koaxiální kabel až po vysokorychlostní optické kabely. Žádnou výjimkou už dnes nejsou

ani bezdrátové spoje.

Lokální počítačová síť zajišťuje následující služby:

sdílení nákladných periferií (laserové tiskárny, velkokapacitní diskové systémy, systémy CD-

ROM, apod.),

sdílení společných dat a aplikací (zajišťující aktuálnost dat, úsporu diskového prostoru,

snadné zálohování, přechody na vyšší verzi produktů, apod.),

využívání intranetu a jednoduchou komunikaci mezi uživateli (posílání zpráv, počítačová

pošta).

Přístup k lokálním službám je víceméně neustálý. U LAN je doba vysílání tv vyšší než doba šíření sig-

nálu ts po přenosovém médiu (tv > ts).

MAN - Metropolitan Area Network, metropolitní sítě

V dnešní době se díky vysokým přenosovým rychlostem tyto sítě chovají jako sítě lokální. Propojují

lokální sítě v městské zástavbě, slouží pro přenos dat, hlasu a obrazu. Spojují vzdálenosti řádově

jednotek až desítek km.

Tato síť je menší než WAN ale větší než LAN. Pro klasifikaci pro ní platí přibližně to samé co v síti

LAN. Síť MAN má přibližně stejnou dobu vysílání jako šíření signálu (tv = ts).

WAN - Wide Area Network – rozsáhlé sítě

Spojují LAN a MAN sítě s působností po celé zemi nebo kontinentu, na libovolné vzdálenosti. S růs-

tem geografického dosahu sítí připojováním uživatelů v různých městech nebo státech přerůstá síť

LAN a MAN do sítě WAN (Wide Area Network). Počet uživatelů v takové síti může činit od deseti do

několik tisíc uživatelů.

Můžeme bez nadsázky říct, že velikost sítí WAN je dnes omezena velikostí Země. Sítě WAN jsou

tvořeny řídicími počítači (tzv. uzlovými počítači, anglicky host), které jsou propojeny mezi sebou pro-

střednictvím komunikační podsítě. Komunikační podsít‘ tvoří většinou speciální datové spoje orga-

nizací poskytujících telekomunikační služby. Jedná se nejčastěji o pevné telefonní linky nebo optické

kabely, existují však i možnosti mikrovlnného a družicového spojení. Uzly WAN jsou obvykle vý-

konné počítače, které jsou schopné sloužit většímu počtu uživatelů současně a pracující nepřetržitě.


V poslední době se za uzly WAN považují i jednotlivé LAN, které mezi sebou komunikují právě pro-

střednictvím rozlehlé sítě. U rozlehlých sítí není prakticky možné propojit každý počítač s každým.

Vzájemné propojení tedy probíhá zprostředkovaně. Zpráva je předávána postupně od jednoho po-

čítače ke druhému, a to až k cílovému místu.

Rozlehlá počítačová síť poskytuje tyto služby:

práce na vzdálených počítačích (remote login),

přenos dat (ftp), elektronická pošta (e-mail),

přístup do rozsáhlých informačních databází, konference, diskusní kluby,

WWW (World Wide Web).

Příkladem může být síť českých univerzit a vědeckých institucí CESNET2 a samozřejmě největší svě-

tová síť Internet. Doba vysílání je menší než doba šíření (tv < ts).

PAN - Personal Area Network, osobní síť

Popisuje velice malou počítačovou síť (například Bluetooth, IrDA nebo ZigBee), kterou člověk pou-

žívá pro propojení jeho osobních elektronických zařízení, jakými jsou např. mobilní telefon, PDA,

notebook apod. Osobní počítačové sítě si nekladou za cíl co nejvyšší přenosovou rychlost (ta u PAN

typicky nepřekračuje jednotky Mbit/s), jako spíše odolnost proti rušení, nízkou spotřebu energie

nebo snadnou konfigurovatelnost. Jejich dosah je typicky pouze několik metrů.

Obr. 1.5: Typy sítí podle rozsahu Zdroj: https://commons.wikimedia.org/wiki/File:0_site.gif

Pozn.: V souvislosti s typy sítí se můžete setkat ještě s pojmy:

SAN – Storage Area Network - síť úložišť

Je to síť specializovaná na přenos velkých množství dat. Data, která se přenášení mezi jednotlivými

úložišti a servery, nezatěžují jiné běžně používané linky. Tato síť je zaměřena na výkon a dostupnost.


1.5 Fyzická a logická topologie – návrh

uspořádání sítě

Topologie sítě znamená uspořádání nebo fyzické umístění uzlů v sítí. Zvolení určité topologie má vliv

na typ a možnosti vybavení, růst a správu sítě. Topologie může určovat, i jak budou počítače v sítí

komunikovat.

Topologie popisuje fyzické nebo logické uspořádání sítě. Topologií se lokální počítačové sítě liší od

rozsáhlých počítačových sítí.

Fyzická topologie definuje kabelové rozložení sítě, týká se toho, jakým způsobem kabelový rozvod

spojuje uzly. Existuje několik fyzických topologií, včetně sběrnicové, kruhové, hvězdicové a kruhu

spojeného do hvězdy nebo jiné hybridní topologie.

Logická topologie popisuje, jakým způsobem jsou mezi uzly předávány informace. Existují dvě zá-

kladní logické topologie:

Sběrnicová, ve které jsou všechny informace rozesílány všem, každý uzel tedy informaci ob-

drží a informaci zpracuje pouze ten uzel, kterému je zpráva poslána. Typicky používá tuto

logickou topologii technologie Ethernet.

Kruhová, ve které jsou informace předávány z uzlu na uzel, dokud nedosáhnou místa určení.

Tuto log. topologii používají technologie Token Ring a FDDI.

Volba topologie má vliv na řadu vlastnosti sítě jako je rozšiřitelnost (možnost a snadnost doplňování

stanic do existující sítě), rekonfigurovatelnost (možnost modifikovat síť při závadě komponenty),

spolehlivost (odolnost sítě proti výpadkům komponent), složitost obsluhy a výkonnost (využití pře-

nosové kapacity média a zpoždění zprávy) (5).


1.6 Fyzická topologie

1.6.1 Sběrnicová topologie (serial hub)

Sběrnicová topologie je také známa jako lineární sběrnice. Jde o nejjednodušší a nejčastější způsob

zapojení počítačů do sítě. Skládá se z jediného kabelu nazývaného hlavní kabel (také páteř nebo

segment), který v jedné řadě propojuje všechny počítače v síti.

Komunikace ve sběrnicové topologii

Počítače v síti se sběrnicovou topologií komunikují tak, že adresují data konkrétnímu počítači a po-

sílají tato data po kabelu ve formě elektrických signálů. Abyste pochopili, jak počítače ve sběrnicové

topologii komunikují, musíte se seznámit se třemi pojmy:

posílání signálu,

vracející se signál,

terminátor.

Posílání signálu

Data v síti ve formě elektrických signálů jsou posílána všem počítačům v síti, nicméně informaci při-

jme pouze ten počítač, jehož adresa odpovídá adrese zakódované v počátečním signálu. V daný oka-

mžik může zprávy odesílat vždy pouze jeden počítač.

Protože ve sběrnicové síti může v daném okamžiku data posílat vždy pouze jeden počítač, závisí vý-

kon sítě na počtu počítačů připojených ke sběrnici. Čím více počítačů je ke sběrnici připojených, tím

více počítačů bude čekat, aby mohly poslat data po sběrnici, a tím bude síť pomalejší.

Sběrnicová topologie je pasivní topologií. Počítače ve sběrnicové síti pouze poslouchají, zda jsou

v síti posílána nějaká data. Neodpovídají na přesun dat z jednoho počítače na druhý. Pokud jeden

počítač selže, neovlivní to zbytek sítě. V aktivní topologii počítače obnovují signály a přesunují data

dále po síti.

Obr.: 1.6: Sběrnicová topologie; Zdroj: (4)


Vracející se signál

Protože data, neboli elektrický signál, jsou posílána po celé síti, cestují z jednoho konce kabelu na

druhý. Kdyby mohl signál pokračovat bez přerušení, neustále by se vracel tam a zpět podél kabelu

a zabránil by tak ostatním počítačům v odesílání jejich signálů. Proto je potřeba signál, co měl mož-

nost dosáhnout cílové adresy, zastavit.

Terminátor

Aby se zastavilo vracení signálu, umístí se na oba konce kabelu terminátor, který pohlcuje volné

signály. Pohlcování vyčistí kabel tak, aby mohly data posílat i další počítače.

Všechny konce kabelu v síti musí být do něčeho zapojeny. Konec kabelu může být například zapojen

do počítače nebo do konektoru prodlužovacího kabelu. Jakýkoliv volný konec kabelu - konec, který

není do ničeho zapojen - musí být zakončen tak, aby se předcházelo vracení signálu.

Přerušení komunikace v síti

V případě, že je kabel fyzicky rozříznut na dvě části nebo se jeden konec odpojí, dojde k přerušení

kabelu. V každém případě nebude mít jeden nebo více konců terminátor a signál se bude vracet.

Následkem toho se přeruší činnost v síti. Tehdy se říká, že síť "spadla".

Rozšíření sítě LAN

S růstem plochy, na které je síť umístěna, musí růst i samostatná síť LAN. Kabely ve sběrnicové to-

pologii je možné prodlužovat jedním ze dvou způsobů:

Pomocí dílu zvaného I-konektor je možné spojit dva kabely a získat tak delší kabel. Konektory "I"

však zeslabují signál a měli by se používat pouze v omezeném počtu. Je mnohem lepší koupit jeden

souvislý delší kabel než spojovat několik menších pomocí konektorů. Ve skutečnosti může použití

příliš mnoha konektorů zabránit správnému příjmu signálu.

Pro spojení dvou kabelů je možné použít zařízení zvané opakovač. Opakovač ve skutečnosti signál

před jeho odesláním zesílí. Opakovač je lepší než konektor nebo jeden delší kabel, protože umožňuje

přenášení a příjem signálu na ještě větší vzdálenosti.

Typickým uživatelem této topologie je síť Ethernet. Pro spojení dvou kabelů je možné použít zařízení

zvané opakovač (repeater), který signál zesílí.

Výhody takového uspořádání:

nezávislost stanic na výpadku libovolné jiné stanice,

levné náklady takového řešení,

snadné připojení další stanice,

snadné všesměrové vysílání.

Nevýhody takového uspořádání:

úplný výpadek sítě při přerušení kabelu v libovolném místě,


nutnost vyřešení přístupu stanic k médiu (kdo bude vysílat, současně může vysílat pouze je-

den uzel).

1.6.2 Hvězdicová topologie (star)

Ve hvězdicové topologii jsou počítače propojeny pomocí kabelových segmentů k centrálnímu prvku

sítě, nazývanému rozbočovač (HUB). Signály se přenáší z vysílacího počítače přes rozbočovače do

všech počítačů v síti. Tato topologie pochází z počátků používání výpočetní techniky, kdy bývaly po-

čítače připojeny k centrálnímu počítači mainframe. Mezi každými dvěma stanicemi musí existovat

jen jedna cesta!

Obr. 1.7: Hvězdicová topologie; Zdroj: http://site.the.cz/index.php?id=18

Hvězdicová topologie nabízí centralizované zdroje a správu. Protože jsou však všechny počítače při-

pojeny k centrálnímu bodu, vyžaduje tato topologie při instalaci velké sítě velké množství kabelů.

Selhání hubu ve hvězdicové topologii způsobí "spadnutí" sítě u stanic k němu připojených. Je proto

vhodné ho chránit před výpadkem el. proudu zdrojem UPS.

Pokud ve hvězdicové síti selže jeden počítač nebo kabel, který ho připojuje k rozbočovači, pouze

tento nefunkční počítač nebude moci posílat nebo přijímat data ze sítě. Zbývající část sítě bude i na-

dále fungovat normálně. Výpadek centrálního počítače má za následek zhroucení celé sítě.


lehce rozšiřitelná struktura,

výpadek libovolné stanice neznamená výpadek celé sítě,

výpadek libovolného spoje ke stanici neznamená výpadek celé sítě ke stanici.


centrální uzel je jednoznačně „úzké“ místo takového systému.


1.6.3 Prstencová topologie (ring)

Prstencová topologie propojuje počítače pomocí kabelu v jediném okruhu. Neexistují žádné zakon-

čené konce. Signál postupuje po smyčce v jednom směru a prochází všemi počítači. Narozdíl od pa-

sivní sběrnicové topologie funguje každý počítač jako opakovač, tzn., že zesiluje signál a posílá ho do

dalšího počítače. Protože signál prochází všemi počítači, může mít selhání jednoho počítače dopad

na celou síť.

Jeden způsob přenosu dat po kruhu se nazývá předávání známky. Známka (token – speciální paket)

se posílá z jednoho počítače na druhý, dokud se nedostane do počítače, který má data k odeslání.

Vysílající počítač známku pozmění, přiřadí datům elektronickou adresu a pošle ji dál po okruhu. Data

procházejí všemi počítači, dokud nenaleznou počítač s adresou, která odpovídá jim přiřazené ad-

rese.

Obr. 1.8: Prstencová topologie; Zdroj: http://site.the.cz/index.php?id=18

Přijímací počítač vrátí vysílacímu počítači zprávu, že data byla přijata. Po ověření vytvoří vysílací po-

čítač novou známku a uvolní ji do sítě. Známka proběhne kruhem o průměru 200m asi 10 000krát za

sekundu.


lehce rozšiřitelná struktura,

malý počet spojů,

snadné vysílání, zprávy „chodí“ v kruhu od stanice ke stanici.


výpadek libovolné stanice zapříčiní výpadek celé sítě,

úplný výpadek sítě při přerušení kabelu v libovolném místě.

Tento problém se řešil tzv. dvojitým kruhem, ve kterém byly stanice propojeny dvěma kruhy, každý

v opačném směru. Pokud se někde spojení přerušilo, vysílalo se opačným směrem stanici, ke které

by se zpráva při použití jednoduchého kruhu nedostala (síť FDDI).


1.6.4 Hybridní topologie (Strom)

hvězdicově sběrnicová

hvězdicově prstencová.

Hvězdicově sběrnicová topologie kom-

binuje několik hvězdicových sítí navzá-

jem propojených pomocí lineární sběr-

nice.

Hvězdicově prstencová topologie se ně-

kdy nazývá hvězda zapojena do kruhu.

Ke spojení počítačů se používají rozbo-

čovače (víceportové opakovače).


zatížení nebo provoz segmentů nezatěžují celou síť,

výpadek subsítě nebo segmentu neznamená výpadek celé sítě,

výpadek libovolného spoje ke stanici neznamená výpadek celé sítě ke stanici.


pouze vyšší náklady na vybudování takové sítě.

Rozbočovače a opakovače

Sítě typu hvězda a komplexní sběrnicové sítě mohou vyžadovat speciální zařízení umožňující propo-

jení různých uzlů. Sdílená tiskárna může například vyžadovat několik spojení z různých zdrojů.

Rozbočovač (hub) je zařízení, které takový způsob propojení umožňuje vytvořit. Existuje několik

typů rozbočovačů. Některé jsou tvořeny jednoduchými hardwarovými zařízeními, která spojení

pouze přijímají (pasivní rozbočovače). Mnohem složitější jsou aktivní rozbočovače, které umožňují

sledování a řízení toku informací do různých síťových uzlů.

Opakovač (repeater) je hardwarové zařízení, které sídlí ve fyzické vrstvě referenčního modelu OSI,

a které slouží pro propojení dvou segmentů stejné sítě. Má za úkol zesilovat elektrický signál, který

je přenášen z jednoho kabelu do druhého. Opakovač může být i součástí jiného zařízení, jako je roz-

bočovač či dokonce uzel.

Obr.: 1.9: Typy topologie strom; Zdroj (1)


1.7 Logická topologie

Logická topologie definuje logické rozložení sítě. Toto rozložení specifikuje, jakým způsobem mezi

sebou komunikují prvky v sítí, a jak jsou přenášeny informace v síti. Mezi dvě hlavní topologie patří

sběrnice a kruh.

Ve sběrnicové logické topologii jsou informace vysílány současně ke všem uzlům. Uzly, ale čtou

pouze zprávy, které jsou určené pouze pro ně určené. Před zahájením vysílání je nutné čekat, dokud

nebude síť dočasně volná.

V kruhové topologii probíhá komunikace od jednoho uzlu k dalšímu. Informace jsou předávány sek-

venčně v pořadí určeném předdefinovaným procesem.

1.8 Přístupové metody (media - access

method)

Při práci v síti mohou všichni uživatelé přijímat zprávy najednou. U vysílání je však nutno zajistit, aby

na přenosovém médiu byla současně zpráva pouze od jednoho uživatele. Jinak by mohlo dojít ke

kolizím a tedy k vzájemnému rušení, případně zkreslení odeslaných zpráv. Proto je úkolem přístu-

pové metody zajištění odesílání dat pouze jednomu uživateli sítě. Přístupové metody definují pravi-

dla, jakým způsobem stanice přistupují ke společnému médiu. Jde vlastně o to, jak zabezpečit, aby

vysílala v daný okamžik jen jedna stanice. Pokud by vysílalo více stanic najednou, došlo by ke kolizi

vysílaných dat. Tyto metody se odvíjejí jednak od použité topologie a také od šířky přenosového

pásma.

Přístupové metody jsou v referenčním modelu OSI definované na spojové vrstvě.

Možné varianty řízení přístupu:

Deterministické – jednoznačně definovaná pravidla, výsledek není ovlivněn náhodou.

Nedeterministické (neřízené) – může dojít k náhodě.

Centralizované – existuje centralizovaná část, většinou deterministické.

Necentralizované – není centrální prvek, metodu realizují uzly v součinnosti.

Blíže se podíváme na dvě z těchto metod.


Metody nedeterministické (náhodný přístup)

Metody s náhodným přístupem fungují následovně. Pokud chce stanice vysílat, poslouchá a pokud

je kanál volný, tak vysílá, pokud ne, tak čeká, dokud není volný. Může se ovšem stát, že začne vysílat

několik stanic najednou. Pak vznikne konflikt, který je nutno vyřešit. Taky není zaručeno, kdy se jed-

notlivá stanice dostane na řadu, protože teoreticky mohou neustále nastávat konflikty.

Metody CSMA

Stanice, která požívá metodu naléhající CSMA (Carrier Sense Multiple Access), před odesláním

rámce testuje stav kanálu. Je-li kanál obsazen, stanice odloží vysílání na dobu, kdy se kanál uvolní.

Nevýhodou této jednoduché metody je riziko kolize stanic, které čekají na uvolněné kanálu.

Stanice, která používá metodu nenaléhající CSMA, před odesláním rámce testuje stav kanálu. Je-li

kanál volný, stanice zahájí vysílání. Pokud je kanál obsazen, s tanice počká náhodně zvolenou dobu

a znovu testuje stav kanálu. Postup se opakuje do odeslání rámce.

Metody CSMA/CD

Metody CSMA nejsou schopné zabránit kolizi. U naléhající CSMA je navíc při větší zátěži velice ne-

příjemné, že dojde-li během vysílání rámce více než jeden další požadavek, je výsledkem kolize. Zlep-

šení lze dosáhnou, dokážeme-li detekovat a předčasně zastavit vysílání. Tato metoda se nazývá

CSMA/CD (Carrier Sense Multiple Access with Collision Detection).

Zjednodušeně: Pokud nikdo nevysílá, začni sám vysílat. Dojde-li ke kolizi na začátku vysílání, přestaň

a vyčkej náhodně zvolenou dobu. Nezaručuje časový výsledek. Může být efektivní, při vyšší zátěži

nestabilní.

CSMA/CD je v současné době nejrozšířenější přístupová metoda.

Výhody této metody:

snadná implementace,

absence řídícího prvku,

distribuovaná metoda.

Nevýhodami jsou:

se zátěží roste počet kolizí,

uzel nemá zaručeno, kdy na něj dojde řada (není deterministická),

neumožňuje vysílajícímu uzlu zjistit, zdali příjemce zprávu obdržel.


Metody deterministické

Centralizované řízení

Nejjednodušeji lze přizpůsobit řízení přístupu jednotlivých stanic ke sdílenému kanálu tak, že vyhra-

díme jednu ze stanic jako stanici řídící. Řídící stanice přiděluje kapacitu kanálu ostatním podřízeným

stanicím. Je to výhodné a efektivní i přesto, že musíme obětovat část kapacity kanálu pro vyhledání

aktivních stanic. Nevýhodou se stává pouze závislost sítě na spolehlivosti řídící stanice.

Přidělování na výzvu

Jedna z nejjednodušších metod je cyklická výzva. Řídící stanice postupně vyzývá stanice podřízené.

Má-li podřízená stanice připravená data k odeslání, pak je odešle, jinak potvrdí výzvu nebo neod-

poví. Tato metoda je vhodný pro malý počet stanic.

Distribuované řízení

Deterministické metody distribuovaného řízení odstraňují závislost na jediné řídící stanici. Je to tím,

že využívají limitovanou dobu pro předání paketu adresátovi. Patří sem mnoho teoretických metod.

Praktické použití má metoda logického kruhu.

Metoda TOKEN-RING (deterministická, nesoupeřivá). je metoda s neprioritním distribuovaným při-

dělováním, určená pro kruhovou topologii. Je založena na principu předávání vysílacího práva mezi

stanicemi postupně v kruhu. Tomuto vysílacímu právu se říká anglicky token, česky se překládá jako

pešek (podle říkanky: „Chodí pešek okolo…“). Pokud stanice má vysílací právo, může buď vysílat

nebo předat právo svému následovníkovi.

Výhody tohoto řešení:

metoda je deterministická, každý uzel má zaručeno, že na něj dojde řada,

metoda umí jednoduše zajistit, aby vysílající uzel dostal potvrzení o příjmu od příjemce.

Nevýhody tohoto řešení:

metoda je složitější na implementaci

může dojít k nepředvídatelným stavům, pešek se ztratí apod.,

uzly mohou být příčinou poruchy sítě (o tom jsme hovořili u topologií).

Jenom tak pro zajímavost, tato metoda existovala i ve variantě Token – Bus, což podle názvu zna-

mená, že fyzicky byla topologie sběrnice a kruh byl pouze logický. Jinak fungovalo vše stejně jako u me-

tody Token – Ring (5).


1.9 Typy sítí dle technologie

Sítě se dají rozdělit na 5 základních skupin, podle použité technologie:

ArcNet

Token-ring

100VG-AnyLAN

FDDI

Ethernet

1.9.1 ArcNet

Zkrácení slovního spojení "Attached Resource

Computer Network" (počítačová síť s propojenými

prostředky). Jedná se o počítačovou síť vyvinutou

společností Datapoint Corporation roku 1977,

která umožňuje propojit širokou škálu osobních

počítačů a pracovních stanic. Maximální počet je

255.

Přenosovým médiem je koaxiální kabel RG-62

A/U s impedancí 93 ohmů. ArcNet ale lze provozo-

vat i na kroucené dvoulince nebo optickém kabelu.

S použitím koaxiálního kabelu je maximální délka

kabelu od pracovní stanice k HUBu 610 metrů.

Uvedená síť využívá přístupovou metodu založenou na předávání známky a má přenosovou rychlost

2,5 Mbps. Novější verze ArcNet Plus podporuje přenosovou rychlost až 20 Mbps. Maximální průměr

sítě je 6,5 km. Fyzické zapojení je hvězda, ale logická komunikace je kruh.

Obr. 1.10: Síť typu ArcNet zdroj: http://site.the.cz/index.php?id=28


1.9.2 Token-ring

Tato síť byla v roce 1984 představena

společností IBM, jako součást řešení

propojitelnosti všech tříd IBM počítačů.

Jedná se o síť s kruhovou topologií, vyu-

žívá se zde přístupová metoda založená

na předávání známky. Síť pracuje rych-

lostí 4 Mbps nebo 16 Mbps. Ačkoli je za-

ložena na kruhové topologii, síť Token-

ring používá hvězdicové skupiny až osmi

pracovních stanic napojených na kabe-

lový koncentrátor (MAU - Multistation

Access Unit) který je napojen na hlavní

kruh. Maximální počet stanic u této sítě je až 260 na jeden koncentrátor.

Jako přenosové médium se používá stíněná nebo nestíněná kroucená dvoulinka a optický kabel. Ma-

ximální délka kabelového segmentu je 45 - 200 metrů, podle typu použitého kabelu.

Pozn.: Token Ring se dnes běžně používá pro označení dvou různých věcí – přístupové metody i kon-

krétní síťové technologie.

1.9.3 100VG-AnyLAN

Jedná se o síť od firmy Hewlett-Packard. Rych-

lost této sítě je minimálně 100 Mbps. Maxi-

mální průměr sítě je 7,7 km. Maximální počet

stanic není omezen, záleží na počtu HUBů.

Médiem je kroucená dvoulinka a optický ka-

bel. Je zde použita bezkolizní přístupová me-

toda, umožňující dvě úrovně priority (nízkou

a vysokou). Používají se zde jako rozbočovače

HUBy. Síť lze rozšiřovat připojováním podříze-

ných HUBů na centrální HUB. Na 7,7 km je je-

den rozbočovač. Za každý druhý rozbočovač

se musí odečíst 1,1 km.

Obr. 1.11: Síť typu Token-ring zdroj: http://site.the.cz/index.php?id=28

Obr. 1.12 Síť typu 100VG-AnyLAN zdroj: http://site.the.cz/index.php?id=28


Kdyby toto řešení sítí přišlo dříve, stalo by se možná rozšířenější než Ethernet. Je zřejmě lepší a vý-

hodnější.

1.9.4 FDDI (Fiber Distributed Data Interface)

Byla vytvořena roku 1986. A byla určena pro výkonné a nákladné počítače, kterým nedostačovala

šířka pásma ve stávajících architekturách.

Rychlost přenosu je 100 Mbps používající dvo-

jitou protisměrnou kruhovou topologii, podpo-

rujicí až 500 počítačů. Jeden kruh se označuje

jako primární a druhý jako sekundární. Provoz

většinou probíhá pouze v primárním kruhu.

Pokud dojde k selhání primárního prstence,

FDDI automaticky překonfiguruje síť tak, aby

data probíhala v druhém kruhu, a to v opač-

ném směru. Díky této redundanci je zajištěna

vysoká spolehlivost sítě.

Jako přístupovou metodu používá předávání známky. Sítě FDDI jsou vhodné pro systémy, které po-

žadují přenos velkých objemů informací, jako je například zpracování grafiky, animací atd. Síť FDDI

používá jako médium optický kabel (vlákno). Celková délka kabelu nesmí být větší než 100 km, takže

není určena pro používání v technologiích WAN. Po každých přibližně 2 km se musí použít opakovač.

Jiná varianta se nazývá CDDI. Jako médium se používá kroucená dvoulinka. Použitím měděného vo-

diče se však výrazně omezí možnosti přenášení dat na dálku.

1.9.5 Ethernet

Přes 80 % zasíťovaných počítačů je připojeno pomocí Ethernetu. Ehernet byl vyvinut firmou Xerox

v roce 1976. Ethernet používá přístupovou metodu CSMA/CD. Má svůj typ rámců. Původně používal

sběrnicovou topologii a umožňoval připojit na hlavní segmenty až 1024 počítačů a pracovních stanic.

Jednotlivé stanice jsou propojeny pomocí koaxiálního kabelu, optickým kabelem či kroucenou dvou-

linkou. U Ethernetu je povinná mezirámcová mezera. Dnes rozdělujeme několik typů Ethernetu jako

10BASE5, 10BASE2 atd.

Obr. 1.13: Síť typu FDDI zdroj: http://site.the.cz/index.php?id=28


1.9.6 Bezdrátové sítě

V síti používající bezdrátový přenos se vyskytují počítače, jimž přístup do sítě umožňuje bezdrátová

síťová karta nebo bezdrátový síťový adaptér (USB, PCMCIA). Počítače mohou spolu komunikovat

přímo nebo pomocí přípojného bodu – tzv. access pointu.

Síť skládající se z několika počítačů komunikujících bezdrátově bez asistence access pointu se někdy

nazývá bezdrátová síť typu ad-hoc.

Neexistuje tedy žádné centrum takto vytvořené sítě a všechny uzly jsou si zde rovny. Uzly (počítače),

které spolu komunikují, musí být ve vzájemném dosahu. Kvůli omezení vzdálenosti se sítě tohoto

typu využívají prakticky jen v domácích podmínkách, například k propojení notebooku s PC.

Obr. 1.14: Ukázka sítě typu ad-hoc (peer-to-peer sítě); Zdroj: (6)

Základní bezdrátová síť se skládá z jednoho access pointu (přístupového bodu), ke kterému se při-

hlašují jednotlivé bezdrátové počítače, jimž zprostředkovává komunikaci.

Access point zajišťuje komunikaci nejen mezi počítači s bezdrátovým vysíláním, ale i bezdrátové sítě

s metalickou sítí, například když počítač z bezdrátové sítě potřebuje komunikovat s nějakým jiným

počítačem na metalické síti.

Access point má funkci velmi podobnou hubu v sítích Ethernet.

Obr. 1.15: Ukázka bezdrátové sítě s access pointem (Klient-Server sítě); Zdroj: (6)


Úvodní kapitola Vás seznámila s nezbytnými základními pojmy, jejichž osvojení je ne-

zbytné pro pochopení další látky. Vysvětlili jsme pojem počítačová síť, uvedli její

sktrukturu, popsali typy sítí dle různých hledisek. Počítačové sítě rozdělujeme podle

rozlehlosti na lokální (LAN), městské (MAN) a rozlehlé (WAN). Městské sítě se svými

vlastnostmi podobají sítím LAN. Topologie počítačové sítě určuje uspořádání počítačů

a dalších prvků v síti. Rozlišujeme topologie fyzickou a logickou. Fyzická topologie de-

finuje kabelové rozložení sítě, týká se toho, jakým způsobem kabelový rozvod spojuje

uzly. Existuje několik fyzických topologií, včetně sběrnicové, kruhové, hvězdicové

a kruhu spojeného do hvězdy nebo jiné hybridní topologie. Logická topologie popi-

suje, jakým způsobem jsou mezi uzly předávány informace. Existují dvě základní lo-

gické topologie – sběrnicovou a kruhovou. Sběrnicovou topologii používá technologie

Ethernet. Kruhovou topologii používají technologie Token Ring a FDDI.

1. Vysvětlete rozdíl mezi základními typy sítí.

2. Charakterizujte, v čem se liší fyzická a logická topologie

3. Zjistěte, s jakým typem sítě pracujete ve škole.

4. Popište, jaké znáte různé druhy serverů.

Literatura k tématu:

[1] SOSINSKY, B. A. Mistrovství – počítačové sítě: [vše, co potřebujete vědět

o správě sítí]. 1. vyd. Brno: Computer Press, 2012. 840 s.

ISBN 978-80-251-3363-7.

[2] HORÁK, Jaroslav a Milan KERŠLÁGER. Počítačové sítě pro začínající správce. 5.,

aktualiz. vyd. Brno: Computer Press, 2011. ISBN 978-80-251-3176-3.

[3] BARTOŇ, Jan. Návrh počítačové sítě. 2011.

[4] KLEMENT, M. Technologie počítačových sítí. Olomouc: Univerzita Palackého,

2014. Dostupné z: http://www.kteiv.upol.cz/uploads/soubory/kle-

ment/web1/TPS_2014/others/tps_prednasky_2014.pdf.

[5] SPURNÁ, I. Počítačové sítě: Praktická příručka správce sítě. Prostějov: Computer

Media, 2010. 180 s. ISBN 978-80-7402-036-0.

[6] KOUTNÁ, M. a T. SOCHOR. Úvod do počítačových sítí. Orlová: OA Orlová, 2006.

Kapitola 2

Síťové architektury,

referenční model ISO OSI,

architektura TCP/IP


Vysvětlit pojem vrstvený síťový model, popsat rozdíl mezi modely ISO/OSI a TCP/IP, stručně charakterizovat význam jednotlivých vrstev u obou modelů.

Klíčová slova:

Síťový vrstvený model, model ISO/OSI, model TCP/IP, rámec, paket, MAC adresa, pro-

tokol

35 SÍŤOVÉ ARCHITEKTURY, REFERENČNÍ MODEL ISO OSI, ARCHITEKTURA TCP/IP

2.1 Standardizace počítačových sítí,

síťová zařízení

2.1.1 Síťová komunikace

Činnost sítě znamená posílat data z jednoho počítače do druhého. Tento složitý problém se dá roz-

dělit do těchto úkolů:

rozpoznat data,

rozdělit data do zpracovatelných dávek,

připojit ke každé dávce dat informace (zdroj a cíl),

připojit informace o časování a kontrole chyb,

převést data do sítě a poslat je do určeného místa.

2.2 Vrstvové síťové modely

Stejně jako v mezilidské komunikaci, tak i v komunikaci po síti musí platit určitá pravidla. Je zřejmé,

že pokud se potřebují domluvit dva manažeři z různých firem, potřebují ke své komunikaci pomoc-

níky. Nejprve sekretářku, která kontaktuje spojovatelku a ta pomocí telefonních kabelů spojení ak-

tivuje. Na opačné straně spojovatelka kontaktuje sekretářku, která předá informaci manažerovi

z druhé firmy a ten může odpovědět (viz Obr. 2.1). Zároveň si určitě rozumí mezi sebou sekretářky,

nebo spojovatelky. Tento příklad je sice trochu „kostrbatý“, ale jeho podstata je velmi podobná prin-

cipům komunikace v síti.

Obr. č. 2.1: Schéma komunikace mezi l idmi; zdroj: (2)


Vývoj standardizace síťové komunikace začínal v 70. letech, kdy vznikaly první významnější rozlehlé

sítě, budované podle vlastních koncepcí předních výrobců počítačů. Brzy vznikla potřeba jednot-

ného standardu, kterým by bylo možno propojit počítačové systémy různých typů a koncepcí, po-

cházející od různých výrobců. V roce 1977 se tohoto úkolu ujala organizace ISO a v roce 1979 byl

dokončen návrh standardu, který byl přijat pod názvem „Reference Model of Open Systems Inter-

connection“ (Referenční model propojování otevřených systémů) označovaný RM OSI nebo ISO/OSI

se sedmi vrstvami (4).

2.3 Charakteristika vrstev modelu

ISO/OSI

Činnost modelu je rozdělena do sedmi vrstev. V každé vrstvě jsou vykonávány přesně specifikované

činnosti, ale nejsou specifikovány žádné protokoly, pomocí kterých se činnosti mají řešit. Naopak

součástí modelu TCP/IP jsou již také konkrétní protokoly pro komunikaci na stejnolehlých vrstvách.

Komunikace probíhá mezi vrstvami ve vertikálním směru, tzn., že komunikují vždy dvě sousední

vrstvy nad sebou. Nikdy se nemohou přímo dorozumět vrstvy, které spolu nesousedí. Vyšší vrstva

může žádat nižší vrstvu o službu, naopak nižší vrstva poskytuje služby vyšší vrstvě. Vrstvy jsou číslo-

vány od nejnižší po nejvyšší a toto číslování je natolik ustálené, že se někdy používá místo názvu

vrstvy její číslo v RM ISO/OSI, např. místo termínu „síťová vrstva“ pojem „3. vrstva“. Současně mezi

sebou komunikují vrstvy na stejné úrovni v horizontálním směru (byť ve skutečnosti prostřednictvím

nižších vrstev).

K datům, která jsou přenášena ve fyzické vrstvě v podobě bitů, jsou na každé vrstvě připojeny další

informace o přenosu ve formě hlavičky.

Obr. 2.2: Komunikace mezi vrstvami; Zdroj: http://automa.cz/cz/casopis-clanky/prumyslovy-ethernet-ii-refe-rencni-model-iso/osi-2007_03_34209_3890/


2.3.1 Popis základních funkcí vrstev modelu ISO/OSI

Fyzická vrstva

Jejím úkolem je přenos jednotlivých bitů mezi příjemcem a odesílatelem. Využívá přenosových cest,

na které je tato vrstva napojena a řídí je.

Na této vrstvě jsou definovány spíše technologické záležitosti – jaké napětí je 0 a jaké 1, kolik kon-

taktů má mít konektor, jaké kabely jsou použity apod. Nezabývá se významem bitů, pouze je zasílá.

Dále se zabývá otázkami typu kódování, modulace, časování a synchronizací přenosu dat.

Fyzická vrstva nabízí vyšší vrstvě služby typu „přijmi bit“ a „odešli bit“ a musí zajistit, že v případě

vyslání jedničkového bitu jej druhá strana přijme jako jedničkový a ne jako nulový.

Linková vrstva

Také je nazývaná Spojová vrstva. Zajišťuje přenos datových bloků (rámců) mezi 2 uzly, mezi kterými

je přímé spojení. Musí poznat začátek a konec rámce a jeho části, kontroluje jejich správnost (po-

mocí CRC kódů – kontrolních součtů), potvrdí přijetí rámce nebo vyžádá nový. Prověřování chyb

může probíhat tak, že se na stranu přijímače odešle informace o určitém datovém rámci, a pak se

čeká na potvrzení, že vše bylo správně přijato. Pokud pak linková vrstva nemusí zajišťovat spolehli-

vost přenosu (resp. není to po ní požadováno), může takovýto poškozený rámec jednoduše zahodit,

a dále již se nemusí o nic starat. Pokud je ale již po linkové vrstvě požadováno zajištění spolehlivého

přenosu, musí se sama postarat o nápravu - musí si se svým protějškem (odesílatelem) vykorespon-

dovat opakované odeslání rámce, který byl přijat jako poškozený.

Dalším úkolem linkové vrstvy je pak správné dodržování „tempa“ přenosu - tedy toho, aby příjemce

stačil přijímat všechno to, co mu odesílatel posílá.

Pokud by například příjemce neměl přijímané rámce kam ukládat (neměl by právě k dispozici dosta-

tečně velké vyrovnávací paměti), musel by úspěšně přijatá data okamžitě zahazovat. Příjemce by

tedy měl mít možnost diktovat tempo přenosu jednotlivých rámců pomocí vhodného mechanismu

pro tzv. řízení toku.

Obr. 2.3: Rámec linkové vrstvy; zdroj: (1)

Rámec obsahuje všechny potřebné informace pro úspěšné odeslání dat v sítí LAN. V záhlaví je za-

psána linková adresa příjemce (MAC adresa) a také odesílatele. Data většinou obsahují paket sítové


vrstvy. Zápatí je kontrolní součet celého přenosu, který umožňuje kontrolu bezchybnosti přenosu.

Linková adresa (MAC adresa) slouží pro adresaci dat příjemci.

MAC adresa (Media Access Control)

MAC adresa je 48 bitová adresa a je pevně vázaná na dané síťové zařízení (síťová karta, router,...).

Zapisuje se v šestnáctkové soustavě ve tvaru XX-XX-XX-XX-XX-XX. Například 00-38-4F-19-F6-EC.

První tři oktety znamenají výrobce, další oktety zajišťují unikátnost MAC adresy.

Linková vrstva zajišťuje přenos pouze v dosahu přímého spojení tj. bez „přestupních stanic“. Důleži-

tou představou je představa o tom, že mezi libovolnými dvěma uzly existuje přímé spojení, neboli

možnost adresovat každý rámec přímo jeho konečnému adresátovi.

Linková vrstva nabízí své bezprostředně vyšší vrstvě služby typu „odešli rámec sousednímu uzlu“,

resp. „přijmi rámec od sousedního uzlu“.

Síťová vrstva

Síťová vrstva rozhoduje o tom, jakou cestou budou postupně přenášena data, která se mají dostat

k určitému konkrétnímu adresátovi. Zformuje zprávu z transportní vrstvy do datových paketů, které

pak mohou nižší dvě vrstvy přenášet.

Síťová vrstva provádí rozhodování, kterému se obecně říká „směrování“ (routing) - podkladem pro

toto rozhodování je znalost topologie sítě a výsledkem rozhodnutí je směr, kterým má být přenos

uskutečněn, resp. posloupnost takovýchto směrů (celá postupná cesta od odesílatele k příjemci).

Praktická aplikace směrování může být dosti různá:

v případě spojovaných přenosů je možné nejprve „vytyčit cestu“ mezi příjemcem a odesíla-

telem, a pak všechna data posílat touto cestou;

v případě nespojovaných přenosů je možné rozhodování o směru přenosu provádět pro

každý přenášený blok dat vždy znovu, dokonce znovu v každém přestupním uzlu.

Na úrovni síťové vrstvy se ale obvykle pracuje s adresami, které mají dvě logické složky: jedna složka

vyjadřuje (dílčí) síť, druhá složka vyjadřuje relativní adresu uzlu v rámci dané (dílčí) sítě – viz např. IP

adresa. S touto představou světa členěného na dílčí sítě pak koresponduje i představa o tom, že

mezi jednotlivými dílčími sítěmi je možný přenos jen tehdy, pokud tyto jsou propojeny vhodnými

přestupními (propojovacími) uzly. Důležitým důsledkem, který z této představy vyplývá, je otázka

existence přímého spojení mezi kterýmikoli dvěma uzly - pro některé dvojice může přímé spojení

existovat (pokud oba spadají do stejné dílčí sítě), nebo nemusí (pokud oba nepatří do stejné dílčí

sítě). V tomto druhém případě pak může existovat jen „nepřímá“ cesta, vedoucí přes jeden nebo

několik přestupních uzlů.


Poznámka: rozdíl mezi pojmy rámec a paket

Rámec je blok dat s hlavičkou na úrovni linkové vrstvy, skládá se ze záhlaví, zápatí a samotných pře-

nášených dat. Záhlaví obsahuje MAC adresu odesílatele i příjemce dat.

Naopak paket je blok dat s hlavičkou na úrovni síťové, případně vyšší vrstvy. Součástí paketu jsou

síťové adresy (např. IP adresy) obou koncových účastníků a informace potřebné pro potvrzování

a případně i řízení toku.

Obr. 2.4: Paket Síťové vrstvy; Zdroj: (1)

Transportní vrstva

Zabývá se problémem komunikace mezi odesílatelem a příjemcem komunikace, tedy např. mezi

procesy či aplikacemi v komunikujících počítačích).

Sestavuje nebo naopak vyjímá pakety z dat, která dostává. Rozdělí data na pakety a přidá informace

o pořadí paketu. Je zde od toho, aby vyrovnávala rozdíly mezi schopnostmi tří spodních přenosových

vrstev a požadavky tří vyšších, aplikačně orientovaných vrstev. Tedy například to, aby z nespolehli-

vých přenosových služeb, jaké mohou nabízet tři nejnižší vrstvy, vyrobila spolehlivou službu, jakou

požadují horní, aplikačně orientované vrstvy. Má mnoho funkcí včetně několika úrovní rozpoznávání

chyb a zotavení po chybě. Na nejvyšší úrovni může transportní vrstva rozpoznávat (či dokonce opra-

vovat) chyby, odhalovat pakety, které byly odeslány v nesprávném pořadí, a přerovnávat je do po-

řadí správného.

Úkolem transportní vrstvy je rovněž data doručená do uzlu převzít, zjistit komu patří (různým pro-

gramům, procesům či úlohám) a zařídit jejich cílené předání konkrétnímu příjemci v rámci daného

uzlu.


Transportní vrstva je implementována až v koncových uzlech, a nikoli v „přestupních uzlech“ v rámci

přenosové části sítě (tedy například „uvnitř“ veřejné datové s ítě). Transportní vrstvu tedy najdeme

v koncových počítačích, ale nikoli již ve směrovačích (routerech), mostech či dokonce opakovačích.

Relační vrstva

Je zodpovědná za vytvoření, navázání, udržování a rušení relací. Řídí, je-li to nutné, komunikaci (tj.

kdo, kdy mluví)

Relační vrstva může prověřovat heslo zadané uživatelem, kontroluje přístup uživatele a jeho pro-

gramů na síť, může sledovat využití systému a účtovat uživatelům spotřebovaný čas a dovoluje, aby

se uživatel mohl přihlásit ve vzdáleném víceuživatelském systému a přenesl soubor mezi dvěma po-

čítači.

Řeší řízení dialogu mezi jednotlivými počítači. Takto naznačené úkoly relační vrstvy jsou poněkud

vágní a nepříliš obsažné, jak říká většina kritiků referenčního modelu ISO/OSI.

Prezentační vrstva

Přeloží data z aplikační vrstvy tak, aby byla srozumitelná nižším vrstvám.

Zajistí, aby data byla zobrazena v takovém kódu, ve kterém je rozpozná cílová stanice. Provádí kom-

presi a kódování. Jedné a téže posloupnosti bitů, bytů či slov mohou různé počítače přisuzovat různý

význam. Mohou například používat různé způsoby kódování znaků, různé formáty čísel v pohyblivé

či pevné řádové čárce, obecně jiné datové formáty. Aby takovéto uzly přenášená data také shodně

interpretovaly (tj. přikládaly jim shodný význam), jsou nezbytné určité konverze.

Aplikační vrstva

Slouží jako rozhraní, přes které aplikace přistupují k síťovým službám. To, co se vysílá, je buď zahr-

nuto, nebo naopak vyčleněno z aplikací. Aplikační vrstva obsahuje pouze „jádro“ aplikací, které má

smysl standardizovat, například přenosové mechanismy elektronické pošty, a ostatní části aplikací

(typicky uživatelská rozhraní) byly vysunuty nad aplikační vrstvu. V této vrstvě najdete programy pro

řízení databází, elektronickou poštu, programy pro souborové servery a tiskové servery a příkazy

operačního systému. Ve většině případů jsou funkce vykonávané touto vrstvou závislé na uživateli.


2.4 Charakteristika vrstev modelu

TCP/IP

Model TCP/IP je rozdělen do čtyř vrstev. Součástí horních tří vrstev jsou již konkrétní protokoly pro

komunikaci na stejnolehlých vrstvách.

Komunikace opět probíhá mezi vrstvami ve vertikálním i v horizontálním směru. Stejně jako u mo-

delu ISO/OSI platí, že vyšší vrstva může žádat nižší vrstvu o službu, naopak nižší vrstva poskytuje

služby vyšší vrstvě.

Současně mezi sebou komunikují vrstvy na stejné úrovni (v horizontálním směru). Při tvorbě modelu

TCP/IP bylo základním požadavkem to, aby prostřednictvím protokolů TCP/IP bylo možné vzájemně

propojit i takové sítě, které mohly být vybudovány i na dosti odlišných principech a přenosových

technologiích (tedy například sítě Ethernet, Token Ring, později FDDI, ATM, sítě s dvoubodovými

spoji atd.).

2.4.1 Výhody TCP/IP

Otevřený protokolový standart, volně dostupný a vyvinutý nezávisle na konkrétním tech-

nickém vybavení nebo operačním systému.

Nezávislost na konkrétním fyzickém síťovém hardware. Díky tomu je možné provozovat

TCP/IP na řadě různých sítí. TCP/IP může běžet na Ethernetu, token ringu, telefonní lince

a prakticky na každém fyzickém přenosovém médiu.

Obecné adresové schéma, které umožňuje, aby jakékoliv TCP/IP zařízení jednoznačně adre-

sovalo jakékoliv zařízení v celé síti.

Standardizované vysokoúrovňové protokoly, které poskytují široce dostupné uživatelské

služby (5).

2.4.2 Popis základních funkcí vrstev modelu TCP/IP

U tohoto modelu začínáme od nejvyšší vrstvy, protože zde je kladen důraz na praktické použití to-

hoto modelu a na ni navazují další vrstvy.


Aplikační vrstva

Do aplikační vrstvy patří aplikace, které komunikují přímo s transportní vrstvou. Jsou zde základní

části aplikací, zbývající části aplikací (uživatelské rozhraní) jsou podobně jako v ref. modelu ISO/OSI

nad aplikační vrstvou. Aplikace si musí samy zajistit ty funkce, které v OSI modelu zajišťuje prezen-

tační a relační vrstva.

Původními službami aplikační vrstvy jsou elektronická pošta, přenos souborů a vzdálené přihlašo-

vání. Později vznikají další, jako sdílení souborů, správa sítě, zpřístupnění informací (WWW apod.).

Autoři TCP/IP dospěli k závěru, že požadavky na podpůrné služby (například služby zajišťujících kon-

verze přenášených dat, korektní průběh relací apod.) budou méně časté, a že naopak budou časté

aplikace, které tyto služby využívat nebudou. Z toho vyplynulo, že není moc rozumné implemento-

vat zmíněné podpůrné funkce v samostatných vrstvách společně pro všechny aplikace, protože by

je musely využívat všechny aplikace, proto nechť si je implementuje jen ta aplikace, která je skutečně

potřebuje, a to vlastními silami. To je také důvod, proč TCP/IP na rozdíl od ISO/OSI nemá ani relační,

ani prezentační vrstvu.

Transportní vrstva (TCP Layer)

Zajišťuje komunikaci mezi koncovými účastníky, což jsou v modelu TCP/IP přímo aplikační programy.

Podle jejich požadavků a nároků může vrstva regulovat tok dat oběma směry. Na této vrstvě pracují

dva protokoly – TCP a UDP. Protokol TCP (Transmission Control Protocol) poskytuje spojované a spo-

lehlivé služby (mění charakter služeb síťové vrstvy), zatímco a protokol UDP (User Datagram Proto-

col) poskytuje nespojované a nespolehlivé služby (zachovává charakter služeb síťové vrstvy). Apli-

kace si může vybrat, kterého protokolu k přenosu svých dat použije (UDP je rychlejší, ale neposky-

tuje žádnou spolehlivost, takže aplikace si musí spolehlivost zajistit sama, TCP je pomalejší a posky-

tuje jistou spolehlivost, nicméně aplikaci tato spolehlivost nemusí postačovat).

Zabudovat mechanismy pro zajištění spolehlivosti „na pevno“ do transportní vrstvy, tak aby je měly

k dispozici všechny aplikace, by nebylo zcela optimální. Aplikace jsou dosti různorodé, a mohou mít

různorodé požadavky na přenosové služby. Některé budou spolehlivost skutečně požadovat, za-

tímco jiné aplikace dají přednost rychlejšímu a pravidelnějšímu přenosu dat před spolehlivostí pře-

nosu. Například při přenosu živého zvuku či obrazu nejsou případné chyby v přenesených datech tak

bolestivé, jako případná nerovnoměrnost v jejich doručování.

Naopak pro některé aplikace nemusí být spolehlivost, realizovaná na úrovni transportní vrstvy, do-

statečná a adekvátní jejich potřebám. Tato aplikace by si proto musela zajišťovat potřebnou míru

spolehlivosti sama a znovu. Pak by ale bylo zbytečné a neefektivní, aby spolehlivost zajišťovala sou-

časně i vrstva transportní.


Síťová vrstva (IP Layer)

Podobně jako v ISO/OSI modelu zajišťuje směrování, zajišťuje však nespojovaný přenos pomocí jed-

noduché datagramové služby, nezabývá se spolehlivostí přenosu. Měla by se soustředit především

na co možná nejrychlejší přenos dat. Na této vrstvě pracuje protokol IP (Internet Protocol). Ten je

nespolehlivý, tzn., že se sice snaží o bezchybný přenos, ale když se mu to nepodaří a někde se něco

ztratí či poškodí, nepovažuje za svou povinnost postarat se o nápravu (a místo toho očekává, že

o případnou nápravu se postarají vyšší vrstvy). Jeho nespojovaný charakter je dán tím, že při přenosu

dat nepočítá s přímým navázáním spojení mezi odesílatelem a příjemcem, a místo toho posílá

všechna data „do neznáma“. V této souvislosti se hovoří o přenášených blocích dat jako o datagra-

mech (IP datagramech).

Vrstva síťového rozhraní

Má na starosti vše, co je spojeno s přímým vysíláním a příjmem datových paketů. V rámci soustavy

TCP/IP není blíže specifikována, neboť je závislá na konkrétní přenosové technologii (Ethernet, To-

ken Ring, FDDI,...)

TCP/IP má za úkol nabídnout na úrovni vyšších vrstev stejné možnosti, podmínky i stejný způsob

práce - tedy vlastně zakrýt případná specifika konkrétních síťových technologií a vytvořit nad nimi

jednotné prostředí, nabízející jednotné služby, jednotný způsob adresování apod. Tato vrstva na

rozdíl od vyšších vrstev není naplněna v rámci TCP/IP žádnými protokoly, naopak se snaží přizpůsobit

existujícím řešením (např. Ethernet).

2.5 Síťová zařízení

2.5.1 Síťové karty (adaptéry)

Síťová karta zprostředkovává komunikaci mezi počítačem a kabelem podle pravidel daných síťovým

standardem. Převádí data z podoby, které rozumí počítač, tak aby mohla být přenesena po médiu,

tzn., překládá paralelní signál na sériový. Teprve po instalaci síťové karty do počítače získáme mož-

nost připojit počítač k síti. Při výrobě je síťové kartě přiřazena unikátní fyzická adresa, MAC adresa.

Někdy je možné ji síťově změnit, ale v jedné lokální síti musí mít každé koncové zařízení nastaveno

jinou MAC adresu, jinak dochází k problémům s adresací a přenosem.

Mac adresa je 48bitová adresa zapisovaná většinou jako šest hexadecimálních dvouciferných čísel

oddělených pomlčkou nebo dvojtečkou – např. 00-B2-63-E2-A6-4E.


Hlavní úkoly síťové karty

Připravovat data z počítače pro sítový kabel.

Posílat data do jiných počítačů připojených do sítě.

Kontrolovat tok dat mezi počítačem a sítí.

Hlavními parametry síťové karty

Typ sítě, pro který je daná karta určena (Ethernet, Fast Ethernet,…).

Rychlost - množství dat, které je karta schopna vyslat – přijímat (např. 100 Mb/s).

Typ média, které je možné k sítové kartě připojit (koaxiální kabel, kroucená dvojlinka,…)

Síťová karta je zařízení, které pracuje na linkové vrstvě, pomocí MAC adresy dokáže komunikovat

s ostatními počítači v lokální síti.

2.5.2 Repeater (opakovač)

Jak jsme si řekli již na začátku, žádné vedení přenášející signál se k tomuto signálu nechová ideálně

tak, že by jej během přenosu vůbec neovlivňovalo. Každý přenášený signál je nějakým způsobem

ovlivněn (zeslaben, utlumen, zkreslen). Právě to je jedním z důvodů, proč je délka každého přeno-

sového média omezená. Chceme-li signál dopravit na delší vzdálenost, musíme ho po cestě vhodně

upravit (zesílit, opravit jeho průběh,…).

Zařízení, které tuto opravu signálu provádí, se nazývá repeater (opakovač). Obvykle se jedná o dvou-

portové zařízení, které na jeden port přijme signál, upraví ho a z druhé strany ho pošle dále. Repe-

ater pracuje na první (fyzické) vrstvě ISO/OSI modelu.

Vlastnosti repeateru

Signál obdržený na jednom portu zopakuje do ostatních portu, přičemž signál „opraví“ (ob-

noví vzestupné a sestupné hrany).

Zesiluje elektrické signály. Vnímá signál jako jednotlivé bity, nikoli jako bloky dat.

Neobsahuje vyrovnávací paměť => mohou propojovat pouze sítě se stejnou rychlostí.

Nejčastěji používaný v sítích s koaxiálním kabelem.

Obr. 2.5: Repeater; zdroj: (1)


Existují opakovače pro jeden typ přenosového kabelu nebo opakovače pro různé dvojice kabelů.

Pokud jde o propojení různých typů kabelů, takový opakovač se nazývá převodník (Tranceiver).

2.5.3 Transceiver (převodník)

Zařízení podobné zesilovači, kromě zesílení a úpravy signálu

však ještě umožnuje převod z jednoho typu přenosového mé-

dia na jiný. Nejčastější je v dnešní době převod z optického

vlákna na kroucenou dvojlinku. Převodník stejně jako repe-

ater pracuje na první fyzické vrstvě ISO/OSI modelu.

Převodník převádí signál z jednoho typu na jiný (pro různá

přenosová média je třeba upravit signál do různého tvaru).

Převodník je buďto samostatné zařízení, nebo je přímo sou-

částí jiného aktivního prvku.

Obr. 2.7: Propojení sítí na fyzické vrstvě; zdroj: http://slideplayer.cz/slide/4107924/

Obr. 2.6: Převodník; zdroj: (1)


2.5.4 HUB (rozbočovač)

Zařízení sloužící k rozbočování (větvení) signálu. Je základním prvkem v sítích s hvězdicovou topolo-

gií. HUB také umí stejně jako převodník zesilovat a převádět signál. HUB pracuje také na fyzické

vrstvě ISO/OSI modelu, jak je již patrné z jeho funkce. V dnešní době HUB již nahrazuje „inteligentní“

prvek zvaný switch.

Obr. 2.8: HUB; zdroj: (1)

2.5.5 Bridge (most)

Bridge je prvním „inteligentním“ prvkem, se kterým se setkáváme, tzn., že data jen nezesiluje, ale

zajímá se o samotná přenášená data. Jedná se o zařízení plnící dva hlavní úkoly:

Propojení sítí různých standardů

Filtrace paketů

Propojení sítí různých standardů pomocí bridge

Most pracuje na druhé linkové vrstvě ISO/OSI modelu a z tohoto důvodu se již nezajímá o fyzické

odlišnosti sítí.

Filtrace paketu

Most filtruje pakety pro každý segment sítě na základě učení se fyzických (MAC) adres uzlu na obou

portech. Na základě těchto adres můstek buď data na daný port propouští, nebo nepropouští.


Obr. 2.9: Funkce mostu; zdroj: (1)

Funkce mostu

PC - A posílá paket do PC – B.

Bridge se podívá do tabulky MAC adres, zda má zavedenu MAC adresu vysílajícího (PC – A). Pokud

nemá, uloží si MAC adresu PC - A do tabulky s portem 1. V dalším kroku se bridge podívá, zda má

uvedenou adresu příjemce (PC – B). V případě, že ne pošle paket na všechny porty.

PC - B odpovídá PC - A.

Bridge se podívá do tabulky, zda má MAC adresu PC - B uloženou, pokud ne, tak si ji uloží do tabulky

s portem 1. Poté se podívá do tabulky na adresu PC - A. Zjistí, že se adresa nachází na portu 1, tzn.,

že na stejném portu jako je PC - B. Paket tedy není kopírován do zbývajících portů.

Most je „inteligentní“ prvek, který se zajímá o přenášená data. V podstatě plní dvě funkce – filtruje

rámce a propojuje dvě různé sítě. Většinou se jedná o sítě se stejnou strukturou paketů v linkové

vrstvě, tedy buď Ethernet nebo Token Ring. Takovéto mosty se nazývají homogenní.

Je to aktivní prvek, který dokáže rozlišit, zda data zůstanou v segmentu, ze kterého byla vyslána,

nebo zda se mají převést do dalšího segmentu sítě.

Mosty používáme v případě, že chceme spojit dvě, anebo více sítí LAN, prodloužit délku segmentu

(příp. zvýšit počet připojených stanic) nebo chceme snížit zatížení sítě. Dnes se mosty přestávají

používat, nahrazují je funkčně prakticky shodné switche, které poskytují vyšší výkon.

Most (i switch) musí znát své nejbližší okolí, a proto si udržuje tabulku adres připojených stanic.

Dnes se pro vytváření a aktualizaci tabulky adres používá téměř výhradně tzv. „samoučení“ – switch

(most) vytváří si tabulku postupně sám na základě realizovaných propojení. Jde o nejčastější případ.


Most je schopen fungovat i tehdy, když tyto informace nebude mít k dispozici. Pak bude fungovat

podobně jako opakovač, a rozešle každý přijatý rámec na všechny strany – tím přenos nebude efek-

tivní, ale na krátkou dobu to lze připustit. Toho se využívá během procesu učení.

2.5.6 Switch (přepínač)

Je nejpoužívanějším zařízením v sítích s hvězdicovou topologií, kde již skoro zcela nahradil dříve po-

užívaný HUB. Má stejnou funkci jako HUB ve spojení s bridgem. Slouží tedy k větvení signálu a jeho

filtraci. Filtraci paketu provádí mezi jednotlivými porty (zdířkami). Komunikace pomocí switche může

tedy probíhat mezi více porty současně. Filtrace paketu probíhá stejně jako u bridge – tedy pomocí

MAC adres. Získávání tabulky MAC adres je stejné jako u bridge (Obr. 2.9). Switch také obsahuje

vyrovnávací paměť a díky této paměti umožňuje propojení síťových zařízení s různými přenosovými

rychlostmi.

L3 switch

Jedná se o switche s rozšířenými funkcemi, který dokáže analyzovat protokol IP a funguje tedy po-

dobně jako router. L3 označuje 3. vrstvu modelu ISO/OSI, ve které takovýto switch pracuje.

Můžeme se setkat také s pojmem L4 switch pro zařízení, jež umí analyzovat protokol 4. vrstvy

ISO/OSI modelu a zpracovávat pakety např. podle čísel portu.

Obr. 2.10: Switch; zdroj: (1)

Rozdíl mezi mostem a přepínačem

Most (bridge) propojuje několik málo segmentů (2, 3 apod.) a má za úkol zavést aspoň nějakou op-

timalizaci provozu. Je „starším“ řešením a jeho výkonnost (v přepojování rámců) je relativně malá.

Přepínač (switch) propojuje více segmentů (např. až desítky) a má za úkol

poskytnout každé komunikující dvojici co možná nejvíce přenosové kapacity. Je „novějším“ řešením

a jeho výkonnost (v přepojování rámců) je relativně vysoká.

Mosty vznikly v době, kdy Ethernet používal koaxiální kabely a měl skutečně sběrnicovou topologii,

přičemž mosty se snažily udělat maximum pro využití dostupné kapacity. Později Ethernet přešel na

použití kroucené dvojlinky a také získal stromovou (hvězdicovou) topologii, kterou ale využíval jako


„logicky sběrnicovou“. Přepínače jsou pokusem využít potenciál hvězdicových rozvodů na ma-

ximum.

Přepínače se používají hlavně k tomu, aby se zvýšila celková propustnost sítě, a rozumně rozložily

toky dat, aby se maximálně efektivně využila dostupná přenosová kapacita. Používají se tam, kde se

dříve používaly mosty, tj. hlavně „uvnitř“ lokálních sítí, ale nikoli „na okraji“, kde se používají spíše

směrovače. Mosty jsou zaměřeny spíše na rychlost, a nikoli na ochranu, omezování přístupu apod.

Obr. 2.11: Propojení sítí na l inkové vrstvě; zdroj: http://slideplayer.cz/slide/4107924/

2.5.7 Router (směrovač)

Jedná se o prvek sítě pracující na třetí, sítové vrstvě ISO/OSI modelu. Slouží ke vzájemnému propo-

jování sítí LAN, prostřednictvím adresování třetí vrstvy.


Během své činnosti zjišťuje router adresy počítačů a sítí, připojených k jednotlivým rozhraním a je-

jich seznam si ukládá do tabulky. Úkolem routeru je tedy rozhodnout, kterým směrem posílat jed-

notlivé pakety tak, aby se dostaly až ke svým adresátům. Tomuto rozhodování se říká routing (smě-

rování).

Základem směrování je směrovací tabulka. Tato tabulka ob-

sahuje sadu ukazatelů, podle kterých se rozhoduje, co udělat

s daným paketem. Směrovací tabulka obsahuje cílovou ad-

resu, které je paket určen.

Router může s paketem udělat dvě věci:

doručit ho přímo adresátovi,

předat některému ze sousedů.

Směrovač je zatím nejinteligentnějším prvkem, s nímž jsme se setkali, protože je schopen shromaž-

ďovat informace o všech připojených sítích. Směrovač spojuje sítě v síťové vrstvě (viz obr. 2.13).

Směrovač musí znát skutečnou topologii celé sítě (resp. všech propojených sítí). Objem potřebných

informací je výrazně větší než u linkové vrstvy. Úkolem směrovače je vybrat vhodnou cestu pro po-

sílaný paket ze síťového uzlu na uzel jiné sítě, při čemž obě sítě mohou být odděleny několika jinými

sítěmi, příp. velkou vzdáleností.

Má v sobě zabudovanou filtraci paketů rozšířenou o inteligentní směrování s využitím IP adres. Smě-

rovače jsou typickým prvkem rozsáhlých sítí WAN, ale používají se i v sítích LAN, kde se používají

např. pro připojení sítě k Internetu. Směrovač je závislý na použitém protokolu síťové vrstvy. Smě-

rovač může propojovat sítě různých architektur (Ethernet, FDDI, Token Ring,…).

Obr. 2.12: Router; zdroj: (1)


Obr. 2.13: Propojení sítí na síťové vrstvě; zdroj: http://slideplayer.cz/slide/4107924/

2.5.8 Gateway (brána)

Mosty, switche a směrovače se nezajímají o datový obsah rámců resp. paketů. Mohou propojovat

jen takové systémy, které do rámců/paketů „balí“ stejná data tj. stejné systémy, eventuálně systémy

lišící se v přenosových technologiích nižších vrstev. Pro spolupráci odlišných systémů je nutné rozu-

mět přenášeným datům a provádět jejich konverzi. To je úkolem bran (gateways).

brány jsou vždy aplikačně orientované, rozumí jen datům od určité aplikace, pracují tedy na aplikační

vrstvě (viz obr. 30). Slouží k připojení počítačové sítě k jiné síti, k nějakému cizímu prostředí. Brány

jsou realizovány softwarově a jsou vždy aplikačně orientované, např. brána pro přenos elektronické

pošty, pro tisk atd. Brány jsou nutné pro spolupráci odlišných systémů.


Obr. 2.14: Propojení sítí na aplikační vrstvě; zdroj: http://slideplayer.cz/slide/4107924/

Vrstvy RM OSI Propojovací zařízení Aplikační

Brána (gateway) Prezentační Relační

Transportní

Síťová Směrovač (router)

Linková Most (bridge), přepínač (switch)

Fyzická Síťová karta, Opakovač (repeater)

Tab. 2.1: Shrnutí používaných aktivních prvků na jednotlivých vrstvách


Mechanizmus přenosu dat po počítačové síti je obecně popsán standardem ISO OSI.

Tento standard není v současných TCP/IP sítích striktně dodržen, ale každý jiný stan-

dard se vůči OSI modelu porovnává a proto je znalost OSI modelu důležitá. ISO OSI

model popisuje 7 vrstev síťové komunikace a to: aplikační, prezentační, relační, trans-

portní, síťovou, linkovou a fyzickou. Komunikace probíhá mezi vrstvami ve vertikál-

ním směru, tzn., že komunikují vždy dvě sousední vrstvy nad sebou. Vyšší vrstva může

žádat nižší vrstvu o službu, naopak nižší vrstva poskytuje služby vyšší vrstvě. Model

TCP/IP je rozdělen do čtyř vrstev: aplikační, transportní, síťové a vrstvy síťového roz-

hraní. V TCP/IP (především na síťové vrstvě) se uplatňuje princip přepojování paketů

1. Popište, jaké jsou výhody rozdělení síťových modelů do vrstev.

2. Co je to MAC adresa a u jakých zařízení ji naleznete?

3. Jak zjistíte MAC adresu daného zařízení?

4. Stručně charakterizujte vlastnosti jednotlivých síťových zařízení.

Řešení:

1. Každá vrstva síťového modelu přebírá úkol od vrstvy podřízené a po zpracování

jej předá vrstvě nadřízené. Tuto horizontální spolupráci definují právě tyto sítové

modely. Jak jednotlivá zařízení pracují na dané vrstvě, již záleží na typu a výrobci

síťového zařízení. K tomuto rozdělení do vrstev došlo především kvůli vzájemné

spolupráci zařízení od různých výrobců.

2. MAC adresa je jedinečné číslo, které přiřadil již výrobce danému síťovému prvku.

MAC adresu nemají jen síťové karty, ale všechna síťová zařízení, tedy i switche,

routery, VoIP brány apod.

3. V operačním systému Windows najděte v menu položku Spustit. Do prázdného

pole napište cmd a potvrďte. V příkazovém řádku operačního systému zadejte

příkaz ipconfig /all. Následně se vypíší informace o všech síťových prvcích v PC či

notebooku. Najděte typ síťové karty. Řádek Fyzická Adresa obsahuje právě MAC

adresu daného zařízení.


[1] KALOUSEK, J. a C. KLIMEŠ. Datové komunikace 1. 1. vyd. Orlová: Obchodní aka-

demie Orlová, 2006.

[2] KOUTNÁ, M. a T. SOCHOR. Úvod do počítačových sítí. Orlová: OA Orlová, 2006.


[3] DOSTÁLEK, L. – KABELOVÁ, A. Velký průvodce protokoly TCP/IP a systémem DNS

Brno: Computer Press, 2012. ISBN 978-80-251-2236-5.

[4] SOSINSKY, B. Počítačové sítě: Vše co potřebujete vědět o správě sítí. Brno:

Computer Press, 2012. ISBN 978-80-251-3363-7.

Kapitola 3

Management

a bezpečnost sítí (TCP/IP),

síťová zařízení


Vysvětlit základní pojmy z oblasti počítačových sítí, popsat typy šifrování, charakterizovat pojem firewall.

Klíčová slova:

bezpečnost počítačových sítí, přístupová práva, šifrování, firewall, autenticita, certifi-

kace, smart cards, iKeys.


3.1 Přístupová práva

Je nežádoucí, aby všichni uživatelé v síti měli možnost do ní zasahovat a modifikovat všechna data,

která se v síti nacházejí. Proto je v dnešních síťových systémech již samozřejmou součástí zabezpe-

čení a přidělování přístupových práv k jednotlivým adresářům, podadresářům a souborům. Správ-

ným a promyšleným nastavením přístupových práv lze síť nakonfigurovat ke spokojenosti všech uži-

vatelů, a přitom zabezpečit, aby nepovolaná osoba nemohla s informacemi v síti libovolně manipu-

lovat a zneužít.

Pro legální vstup do sítě je třeba, aby uživatel měl vytvořený uživatelský účet, pod kterým bude do

sítě vstupovat. Účet vytvoří administrátor sítě a ten také přiděluje uživatelům přístupová práva

k jednotlivým službám sítě, diskovému prostoru a adresářům na serveru, přístupu k Internetu ome-

zeními na proxy serveru a firewallu apod.

Obr. 3.1: Typy uživatelů počítačové sítě; zdroj: http://slideplayer.cz/slide/2746930/

Uživatel 1 (Správce sítě nebo administrátor), tj. člověk, který udržuje přehled o zapojení

počítačové sítě, jejím vybavení, uživatelích a jejich právech, má přístup k celému disku

Uživatel 2 - má přístup pouze k určité části disku, nevidí na data Uživatele 3 a naopak.

Uživatel 3 (host) - má v síti velmi omezená práva

Administrátor

v síti je obvykle pouze jeden,

má neomezená práva,

je zodpovědný za správný chod sítě,

vytváří a ruší uživatele,

přiděluje a ubírá přístupová práva.

Uživatel se hlásí do sítě uživatelským jménem a heslem.

57 MANAGEMENT A BEZPEČNOST SÍTÍ (TCP/IP), SÍŤOVÁ ZAŘÍZENÍ

3.2 Bezpečnost na internetu, šifrovací

algoritmy

3.2.1 Bezpečnost dat a sítí

Základní pojmy

Počítačová bezpečnost nebo bezpečnost informací či bezpečnost dat jsou pojmy značně obsáhlé

a mohou být chápány v několika úrovních. Výpočetní systém je systém, kde jsou zpracovávána

a uchovávána data, která jsou nositeli informací. Výpočetní systém zahrnuje hardware, software

a vlastní data. Tyto tři složky jsou aktiva, která je nutno zabezpečit proti hrozbám a útokům pasivním

i aktivním. V oblasti bezpečnosti dat jsou specifikovány čtyři typy hrozeb namířených proti bezpeč-

nosti výpočetního systému. Jsou to:

přerušení, kdy aktivum výpočetního systému se ztratí, stane se nepoužitelným nebo nepří-

stupným. Příkladem je zničení hardware zařízení, výmaz programu nebo datového souboru

nebo selhání operačního systému při vyhledávání souboru na disku.

odposlech, při kterém neoprávněná strana získá přístup k aktivu. Neoprávněná strana

může být jak osoba, tak program nebo výpočetní systém. Příkladem může být nepovolené

kopírování programů nebo datových souborů nebo tajný odposlech prováděný při dato-

vých přenosech po síti. Ztráta aktiva může být odhalena bezprostředně, ale „tichý“ odpo-

slech nemusí zanechat stopy, podle nichž by byl odhalitelný.

pozměnění, kdy neoprávněná strana nejenže získá přístup k aktivu, ale také tohoto pří-

stupu využije k jeho pozměnění. Příkladem může být nelegální provedení změn v datech

databází, pozměnění programů tak, že se ovlivní jejich běh, nebo provedení změn na da-

tech v průběhu jejich přenosu v síti. V některých případech se pozměnění aktiva projeví ih-

ned, ale některé případy je téměř nemožné detekovat.

vytvoření falsifikátu určitého objektu neoprávněnou stranou. Příkladem může být neo-

právněné vložení falešných záznamů do databází nebo vytvoření falešné zprávy a její ná-

sledné odeslání po síti.

Mnoho škod na programovém vybavení počítačů a na datech, která jsou v nich uložena, způsobují

počítačové viry. Počítačový virus je malý programový modul, který se připojí k původnímu pro-

gramu. Po zavedení napadeného programu do paměti (při jeho spuštění) provádí virus něco, co uži-

vatel neočekává. Kromě toho se virus obvykle automaticky šíří i do dalších spouštěných programů.

Viry se přenášejí napadenými programy uloženými na paměťových nosičích nebo při tzv. download

z nedůvěryhodných Web sites. Zvláště nebezpečný způsob šíření virů je rozesílání nakažených sou-

borů prostřednictvím elektronické pošty. Virus může být aktivován bezprostředně po jeho zavlečení


do operační paměti počítače nebo až za určitých okolností, např. v určený den nebo hodinu. Dů-

sledky činnosti virů jsou v těch lepších případech v podstatě neškodné (zahrání melodie, zobrazení

nějakého nápisu na obrazovce apod.), v těch horších případech jsou důsledky pro napadený systém

zhoubné (výmaz obsahu pevného disku apod.).

Existují tři hlavní typy počítačových virů:

viry, které napadají spustitelné soubory buď určitého typu ( .COM nebo .EXE) nebo jakékoliv

spustitelné soubory (např. také .SYS, .OVL, .PRG, .MNU). Tyto viry zvětšují velikost původ-

ního souboru po jeho napadení, což usnadní napadené soubory ihned identifikovat.

viry, které napadají zaváděcí program operačního systému v systémové oblasti disku (tzv.

Master Boot Record – MBR). Tyto nebezpečné viry se přenášejí infikovanými paměťovými

médii a způsobují ochromení operačního systému napadeného počítače.

makro viry, které napadají uživatelské programy (např. MS Word), které potom po spuštění

provedou úkony, které nebyly uživatelem zadané (např. samovolné vpisování slov nebo

frází).

Na trhu je k disposici množství antivirových aplikací, které chrání výpočetní systém před napadením

viry. Je třeba mít na paměti, že neustále vznikají nové verze počítačových virů a tudíž je třeba pou-

žívat vždy aktuální verze ochranných antivirových aplikací, které již dokáží nové viry identifikovat

a eliminovat.

V dalším textu se zaměříme na bezpečnost dat v sítích, tzn. v průběhu jejich přenosů ze zdrojových

systémů do systémů cílových.

Obr. 3.2: Způsoby ohrožení přenášených dat; zdroj: (4)


Na Obr. 3.1 jsou znázorněny mechanizmy ohrožení dat. K těmto problémům může dojít v průběhu

přenosu datových paketů sítí. V reálných situacích dochází často ke kombinaci dvou i více základních

způsobů ohrožení dat.

V souvislosti s určením způsobu ohrožení je třeba stanovit přiměřený způsob zabezpečení proti to-

muto ohrožení. Bezpečností služby jsou opatření, která jsou určena k zajištění:

důvěrnosti dat, což znamená, že informace ve výpočetním a přenosovém systému je pří-

stupná pouze pro autorizované subjekty. Přístupem se rozumí zobrazování obsahu, odhale-

ním místa uložení, možností provádět kopie, tisky apod.

autenticity dat, což znamená, že lze ověřit původ informace (zprávy, elektronického doku-

mentu apod.).

celistvosti (integrity) dat, což znamená, že pouze oprávněné subjekty mohou nakládat

s aktivy systému (např. manipulovat s daty, přenášet je, oprávněně odpovídat na poštovní

zprávy, měnit konfigurace systému apod.)

neodmítnutelné odpovědnosti, což znamená, že ani zdroj informace (odesílatel dat) ani její

cíl (příjemce dat) nemohou popřít svou účast na průběhu výměny této informace.

dostupnosti dat, což znamená, že musí být pro oprávněné subjekty zajištěn přístup k akti-

vům systému.

Žádný jednoduchý mechanismus, který poskytuje komplexní bezpečnostní zajištění proti veškerým

způsobům ohrožení, neexistuje. Avšak současné bezpečnostní technologie jsou schopny poskytnout

dostatečný stupeň zabezpečení proti určitému možnému ohrožení, na základě důkladné analýzy ri-

zik. Výsledky analýzy rizik jsou základem ke stanovení bezpečnostní politiky organizace. Bezpeč-

nostní politika organizace, jejíž cílem je zabezpečení informací nejen samotného podniku, ale také

jeho partnerů a klientů, musí být součástí organizačních stanov podniku. Správně stanovená a dů-

sledně uplatňovaná bezpečnostní politika podniku vytváří jeho důvěryhodnost.

V souvislosti se síťovým zabezpečením dat se často setkáváme s dalšími termíny, jako jsou autori-

zace a certifikace.

Autenticita potvrzuje platnost nějakého prohlášení, opravňuje ověřený subjekt k provedení urči-

tého úkonu.

Certifikace je procedura, ve které nezávislý subjekt (tzv. „třetí strana“) garantuje, že produkt, proces

nebo služba odpovídá stanoveným požadavkům.


Obr. 3.3: Model zabezpečení dat při síťovém přenosu; zdroj: (4)

Základní představa zabezpečení dat v síťových přenosech je zobrazena na obr. 3.2.

V kontextu bezpečnosti dat je termínem „principal“ označován koncový subjekt účastnící se prů-

běhu přenosu informace. Může to být osoba (uživatel, klient) nebo systémová entita (systémový

proces), u které se předpokládá možnost přístupu k informaci buď na straně vysílající informaci do

přenosového systému, nebo na straně cílové. „Důvěryhodná třetí strana“ poskytuje nezávislou pod-

poru zabezpečovacímu procesu. „Zabezpečovací proces“ je opatření proti ohrožení dat vyvolanému

v přenosovém systému „protivníkem“. „Přenosový systém“ je nezabezpečené komunikační pro-

středí (veřejná síť, Internet).

V tomto pojetí budeme popisovat v následujících odstavcích bezpečnostní mechanismy a technolo-

gie.

3.2.2 Šifrování

Šifrování patří mezi kryptografické bezpečnostní mechanismy, které jsou primárně používány jako

ochrana proti ztrátě důvěrnosti informace. Současně lze pomocí šifrování také zajistit autenticitu

informace. Šifrování je proces, při kterém se data transformují do formátu, který nemůže být srozu-

mitelný bez zpětné transformace. Z původního „srozumitelného“ textu se šifrováním stává „nesro-

zumitelná“ šifra, která může být přenášena ze zdrojového systému přes nezabezpečený přenosový

systém (např. přes Internet) do cílového systému. V cílovém systému proběhne dešifrování, při kte-

rém se šifra transformuje do původního textu.

Šifrování a dešifrování se provádí dohodnutým způsobem, který představuje šifrovací algoritmus.

Šifrovací algoritmy používají k transformaci textu stanovené parametrické elementy, šifrovací klíče.


Z hlediska programátora se jedná o bitovou sekvenci určité délky (např. 28 bitů, 512 bitů atd.). Délka

šifrovací klíče zpravidla určuje „sílu“ šifrovacího algoritmu, tj. odolnost proti rozluštění šifry.

Současné kryptografické technologie používají publikované šifrovací algoritmy a jsou standardizo-

vány.

Typy šifrovacího algoritmu

Způsob používání šifrovacího klíče určuje typ šifrovacího algoritmu. Jestliže obě komunikující strany

používají stejný klíč pro šifrování a dešifrování, příslušný šifrovací algoritmus náleží do skupiny sy-

metrických šifrovacích (kryptografických) algoritmů. Společný klíč se nazývá tajný klíč (secret key)

a obě strany jej musí uchovávat v zájmu důvěrnosti sdílených dat v tajnosti před nepovolanou „třetí

stranou“. Schéma použití symetrického šifrovacího algoritmu je zobrazeno na Obr. 3.3.

Mezi nejznámější standardy pro symetrické šifrování současnosti patří:

DES (Data Encryption Standard)

IDEA (International Data Encryption Algorithm)

RC2 a RC4 (Rivest Cipher).

Obr. 3.4: Šifrování tajným klíčem (symetrické); zdroj: (4)

Jestliže se klíč používaný jednou stranou pro šifrování liší od klíče používaného druhou stranou pro

dešifrování vzájemně liší, příslušný šifrovací algoritmus náleží do skupiny asymetrických šifrovacích

(kryptografických) algoritmů. Klíč soukromý (private key), který v tajnosti uchovává jeho majitel,

a klíč veřejný (public key), který poskytuje k použití svým partnerům, tvoří komplementární dvojici.

To znamená, že původní text, který odesilatel šifruje svým soukromým klíčem, je možno dešifrovat

pouze jeho příslušným klíčem veřejným. Přenášená data nemají chráněnu důvěrnost, neboť veřejný

klíč může používat kdokoliv, avšak u dat je zajištěna autenticita, neboť šifru mohl vygenerovat pouze

vlastník příslušného soukromého klíče. Případ je znázorněn na Obr. 3.4 (a).

V případě potřeby zajistit důvěrnost přenášených dat se postupuje způsobem zobrazeným na

Obr. 3.4 (b). V tomto případě se text určený k přenosu šifruje veřejným klíčem adresáta zprávy, tj.

příjemce dat. Tato data je možno dešifrovat pouze soukromým klíče příjemce, který je jeho majite-

lem a uchovává jej v tajnosti. Autenticita dat však není prokazatelná, neboť data mohou pocházet


od jiného odesilatele, než je deklarováno. Pro vytvoření podvržené šifry je dostatečná znalost veřej-

ného klíče příjemce dat.

Obr. 3.5: Asymetrické šifrování; zdroj: (4)

Mezi nejznámější standardy pro asymetrické šifrování patří:

RSA (Rivest Shamir Adleman – jména tvůrců algoritmu)

DSS (Digital Signature Standard)

EC (Eliptic Curve).

Algoritmy pro vytváření výtahů zpráv

Výtah zprávy (hash) je výsledkem operace zvané hash funkce. Vstupem této operace jsou data libo-

volné délky a výstupem je datový blok konstantní délky. Algoritmus hash funkce musí být takový,

aby byly splněny podmínky:

k danému výtahu zprávy není možno zpětně vypočítat původní zprávu (jedná se tudíž

o operaci jednocestnou),

neexistují dvě různé zprávy, jejichž výtah by byl shodný.

Hash funkce je tedy technika ověřující pravost zprávy, tzn. její autenticitu a celistvost. Tato technika

je součástí procesu pro vytvoření digitálního podpisu.

Mezi standardy pro vytváření výtahů zprávy náležejí:

MD5 (Message Digest 5), který se zpravidla používá s algoritmem RSA

SHS (Secure Hash Standard), který se zpravidla používá s algoritmem DSS

Digitální podpisy a certifikáty

Digitální (elektronický) podpis je způsob, kterým je možno zajistit

autenticitu zprávy (dokumentu), tzn., že příjemce s určitostí ví, kdo je autorem doku-

mentu,


integritu zprávy (dokumentu), tzn., že příjemce s určitostí ví, že obsah podepsaného doku-

mentu nebyl následně po jeho podpisu pozměněn,

nepopiratelnost zprávy (dokumentu), tj. příjemce může prokázat, kdo je autorem doku-

mentu s daným obsahem.

Elektronický podpis lze uplatnit na elektronickém dokumentu libovolné délky a libovolného obsahu.

Z technického pohledu představuje elektronický podpis blok bytů určité délky, která nezávisí na

délce podepisovaného dokumentu, ale na typu použitého výtahového algoritmu.

Elektronický podpis je připojen k příslušnému dokumentu a tento datový útvar je šifrován soukro-

mým klíčem odesílatele. V tomto kontextu nezajišťuje elektronický podpis důvěrnost zprávy (doku-

mentu), neboť je čitelná pro všechny držitele veřejného klíče odesílatele (autora) dokumentu.

Jako rozšíření instituce elektronického podpisu lze považovat následující postup pro odeslání důvěr-

ného dokumentu podepsaného elektronickým podpisem. V tomto postupu (viz obr. 3.5) se uplatňují

všechny základní kryptografické techniky uvedené v předchozím odstavci, tj. hash funkce, šifrování

asymetrickým algoritmem a šifrování symetrickým algoritmem.


Obr. 3.6.: Mechanismus elektronického podpisu s dodatečným šifrováním dokumentu; zdroj: (4)

Odesilatel dokumentu vlastní svůj soukromý klíč a má k disposici veřejný klíč příjemce do-

kumentu.

Příjemce dokumentu vlastní svůj soukromý klíč a má k disposici veřejný klíč odesílatele do-

kumentu.

Na straně odesilatele je:

vygenerován výtah dokumentu,

výtah dokumentu je zašifrován soukromým klíčem odesílatele,

šifra výtahu je připojena k původnímu dokumentu,

generátorem náhodných čísel je vytvořen tajný klíč pro jednu relaci (pro symetrický

šifrovací algoritmu),


tajný klíč je zašifrován veřejným klíčem příjemce dokumentu a šifra je odeslána pří-

jemci,

tajným klíčem je zašifrována zpráva (tj. původní dokument s připojenou šifrou vý-

tahu dokumentu) a vzniklá šifra je odeslána příjemci.

Na straně příjemce je:

přijata šifra tajného (společného) klíče pro jednu relaci a odšifrována soukromým

klíčem příjemce,

přijata šifra zprávy a dešifrována tajným klíčem pro jednu relaci

zpráva rozdělena na dvě části – původní dokument a šifru výtahu dokumentu,

provedeno dešifrování šifry výtahu dokumentu,

vygenerován vlastní výtah přijatého dokumentu,

provedeno srovnání přijatého výtahu dokumentu (původně zašifrovaného) a vlast-

ního (lokálně vygenerovaného).

V případě shody při srovnání obou výtahů je dokument považován za autentický, důvěrný

a celistvý.

Elektronický podpis je možno uplatnit v aplikacích jako je elektronická pošta, v právnických systé-

mech, v podnikových a obchodních aplikacích, kde dochází k výměně dokumentů, v aplikacích pro

státní správu, při distribuci software nebo pro zajišťování integrity obsahu databází.

3.2.3 Certifikační autorita

Platnost elektronického podpisu musí být zajištěna ověřeným spojením veřejného klíče s jeho vlast-

níkem nebo také s příslušným procesem či entitou. Tato potřeba vedla k vytvoření mechanismu zva-

ného certifikační autorita. Certifikační autorita (CA) zajišťuje a řídí infrastrukturu veřejných klíčů

(Public Key Infrastrucure) PKI. Certifikační autorita je instituce generující tzv. certifikáty, které ob-

sahují potřebné údaje o držiteli veřejného klíče a tento jeho veřejný klíč. CA má tedy v procesu za-

bezpečené výměny dokumentu roli důvěryhodné třetí strany. Veřejné klíče jsou distribuovány s cer-

tifikátem, který osvědčuje jejich důvěryhodnost a platnost. Certifikát je elektronicky podepsán cer-

tifikační autoritou, jejíž veřejný klíč je všeobecně dostupný (např. z Web site příslušné organizace,

která má statut CA).

Certifikát obsahuje následující údaje:

jméno vlastníka certifikátu

sériové číslo certifikátu

doba platnosti certifikátu

kopie veřejného klíče vlastníka certifikátu

jméno CA a její digitální podpis.


Protože pro velké množství uživatelů jedna certifikační autorita nepostačuje, jsou CA sestaveny do

stromové struktury, na jejímž vrcholu je kořenová CA. Veřejné klíče CA mohou být ověřeny jinými

CA, které jsou v rámci struktury CA blíže ke kořenové CA. Veřejný klíč kořenové certifikační autority

už nemůže být ověřen tímto mechanismem, ale nějakým jiným způsobem, např. zákonem.

3.2.4 Řízené uživatelské přístupy

Nejrozšířenější formou autentizace v sítích je zadání uživatelova jména a hesla, která si ve

většině případů mohou uživatelé sami zvolit. Zadáním této dvojice sdílených „tajemství“ uži-

vatel získá přístup k výpočetnímu systému, aplikaci, databázi, službě apod. Při předávání

jména a hesla přes nechráněné; sítě může dojít k odposlechu těchto dat a jejich následnému

zneužití. Proto se naléhavě doporučuje, aby byly pro vzdálené přístupy používány takové

aplikace, které data, určená k přenosům před jejich odesláním do sítě, šifrují. Jsou to např.

Secure Shell pro vzdálená uživatelská sezení nebo Secure Copy pro vzdálené kopírování sou-

borů.

Dalším problémem autentizace pomocí hesla je to, že si uživatelé volí velmi často hesla trivi-

ální nebo taková, která je možno snadno uhodnout. To dává možnost útočníkům využít od-

halených hesel k proniknutí do výpočetního systému nebo neoprávněně získat přístup k da-

tům, aplikacím, službám apod. Při stanovení bezpečnostní politiky organizace by měla být

pro uživatele podnikových serverů stanovena povinnost volit uživatelská hesla určitého

stupně složitosti.

Vysoký stupeň bezpečnosti autentizace na bázi hesla je zajištěn speciálními přenosnými za-

řízeními (v angličtině nazývanými token). Jsou určena uživatelům pro umožnění přístupu

k operačnímu systému, určité aplikaci, elektronické obchodní transakci, podnikovému infor-

mačnímu systému apod. Příkladem tohoto typu zařízení jsou smart cards (čipové karty) nebo

iKeys (identifikační klíče) znázorněné na obr. 6. Tato zařízení uchovávají jedinečné a nere-

produkovatelné informace. Jedinečnost je dána tím, že pouze majitel tohoto zařízení zná

„tajný klíč“ (PIN- Personal Identification Number), který zařízení zprovozní. Tento princip se

uplatňuje také např. při vkládání platebních karet do bankomatů. Ztráta nebo odcizení zaří-

zení bez současného vyzrazení příslušného PINu neumožní tedy neoprávněnému novému

vlastníku zneužít přístupová práva vlastníka původního – oprávněného.

Smart cards připomínají svým tvarem platební karty. Obsahují mikroprocesor a paměť pro uchování

potřebných informačních a identifikačních dat. Pro jejich aplikaci je třeba instalovat v počítači uži-

vatele mechanickou jednotku, která dokáže data uložená v paměti karty, přečíst. Smart card ucho-

vává soukromý klíč vlastníka, veřejný klíč s certifikátem a jsou zde také implementovány kryptogra-

fické funkce, které zabrání potřebě exportovat soukromý klíč do počítače, u kterého vlastník karty

právě pracuje. Privátní klíč tudíž nikdy neopustí kartu.


Dalším alternativním řešením pro posílení zabezpe-

čených uživatelských přístupů je iKey. Je to stejně

jako smart card zařízení typu token. Na rozdíl od

smart card nevyžaduje zvláštní čtecí mechaniku. Je

možno jej zasunout do standardního sériového ko-

nektoru typu USB. Z hlediska provozních nákladů je

tudíž řešení verifikace uživatelů pomocí iKeys méně

nákladné.

3.2.5 Bezpečná elektronická pošta

Digitální podpis a šifrovací techniky jsou základy zabezpečené elektronické poštovní služby. Cílem

standardů pro bezpečnost poštovní služby je zajištění:

důvěrnosti poštovní zprávy (během přenosu je chráněna před odposlechem)

celistvosti poštovní zprávy (během přenosu je chráněna před modifikací obsahu)

autenticity odesílatele (příjemce ví jistě, kdo je odesílatel)

neodmítnutelnosti odesílatele (odesílatel nemůže popřít, že zprávu odeslal).

Nejznámějším standardem vyvinutým pro internetovou poštovní službu je PEM (Privacy Enhanced

Electronic Mail). Základní bezpečnostní opatření, která PEM specifikuje, jsou autenticita odesílatele,

celistvost zprávy a neodmítnutelnost odesílatele. Tato bezpečnostní opatření zajistí elektronický

podpis, který se připojí k poštovní zprávě. Jako rozšiřující volitelné bezpečnostní opatření specifikuje

PEM šifrování poštovní zprávy, zaručující její důvěrnost. Příklad struktury důvěrné elektronicky po-

depsané zprávy je znázorněna na obr. 7.

Známá implementace standardu PEM je aplikační poštovní program Pretty Good Privacy (PGP).

Tento program je k disposici pro celou řadu systémových platforem. Používá kryptografické techniky

s veřejným klíčem a s tajným klíčem pro jednu relaci. Uživatelům vytváří pohodlné prostředí pro vý-

měnu poštovních zpráv zabezpečenou utajením obsahu zpráv a autentizací jejich odesílatele.

Obr. 3.8: Struktura poštovní zprávy podle standardu PEM; zdroj: (4)

Obr. 3.7: Smart Card a iKey; zdroj: (4)


Správu veřejných klíčů si provádí program PGP sám. Každý uživatel programu PGP má pro skupinu

svých důvěryhodných partnerů vytvořenu databázi jejich veřejných klíčů, tzv. key ring. Z tohoto vy-

bírá program PGP veřejný klíč pro dešifrování výtahu zprávy odeslaného příslušným odesílatelem.

V případě požadavku na odeslání důvěrné zprávy se v první fázi poštovní transakce vygeneruje na

straně odesílatele tajný klíč pro jednu relaci a zašifruje se veřejným klíčem příjemce. Odesílá se spolu

se zprávou, která je tímto tajným klíčem zašifrovaná. Příjemce dešifruje svým soukromým klíčem

tajný klíč relace a tímto pak dešifruje poštovní zprávu.

Program PGP zajišťuje vysoký stupeň bezpečnosti daný šifrovacími standardy RSA a MD5, které po-

užívá. Slabým místem je mechanismus správy klíčů. Pokud klíče zůstávají uloženy v souborech v ad-

resářích uživatelů, hrozí nebezpečí, že mohou být vyzrazeny při útocích na souborový systém hosti-

telských počítačů těchto uživatelů.

Dalším standardem pro podporu bezpečné elektronické pošty na Internetu je standard S/MIME

(Secure Multipurpose Mail Extension). Je to rozšíření standardu MIME pro možnost vkládat do poš-

tovních zpráv šifry. S/MIME specifikuje kryptografickou techniku použitou pro generaci této šifry.

Vývoj S/MIME se těší velkému zájmu organizace Internet Society a zdá se, že se stane průmyslovým

standardem pro komerční účely, zatímco PGP zůstane aplikací pro soukromé potřeby uživatelů In-

ternetu.

3.2.6 Bezpečný Web systém

Vzhledem k tomu, že Web systém se stále masivněji uplatňuje v nejrůznějších odvětvích, je stále

silněji požadováno zabezpečení informací přenášených ve webovských transakcích. Bez tohoto za-

bezpečení by nebylo možné představit si používání webových technologií např. v elektronickém ob-

chodování. V současné době je vyvinutý (a dále rozvíjený) protokol pro zabezpečení Webových

transakcí na Internetu, označený jako HTTPS (Hyper Text Transfer Protocol – Secure) a navazující na

základní transakční protokol Web systému HTTP.

Protokol HTTPS je postavený na protokolu SSL (Secure Socket Layer), který globálně řeší bezpečnost

protokolové sady TCP/IP. SSL poskytuje bezpečný komunikační kanál mezi dvěma uzly Internetu na

úrovni spojení vytvořeného protokolem TCP. Takto umožní protokol SSL bezpečnou implementaci

běžných aplikačních protokolů podporujících internetové služby (např. FTP, TELNET, HTTP). SSL po-

užívá dříve popsané kryptografické technologie specifikované standardy DES, RSA, atd. Komunikující

uzly si vymění jednou své veřejné klíče a pro každou další následující relaci si vytvoří tajný klíč tzv.

„session key“, který po ukončení této relace zanikne.

Protokol HTTPS je implementován v programech typu Web server (např. v programu „Apache“) i ve

Web prohlížečích (např. v programech „Netscape“, „Explorer“, atd.).


3.2.7 Firewall

Firewall je program, který spolu se směrovačem řídí přístup do chráněné sítě. Řízené přístupy do

sítě z vnější nechráněné sítě jsou středem zájmů komerčních uživatelů Internetu provozujících své

lokální sítě a jsou pilíři privátních sítí typu intranet a extranet. Firewalls jsou konfigurovatelné pro-

gramy, jejichž nastavení určuje stupeň restrikcí, které jsou uplatňovány na procházejících datových

paketech. Konfigurace firewalls odpovídá bezpečnostní politice organizace provozující chráněnou

síť. Firewall je bariéra, která chrání síť před neoprávněnými přístupy, tzn. před přímými útoky. Před

nepřímými útoky, kdy útočník zneužije existující oprávněný přístup (např. uhodnutím hesla) a pak

provede svůj záměr, firewall síť uchránit nemůže.

Protože se síťové útoky, zvláště útoky vedené proti různým databázovým serverům a Web sites (fi-

remním, univerzitním, státní správy atd.), stávají stále častější a nebezpečnější, je nutné lokální sítě,

do kterých tyto počítače náležejí, dostatečně chránit.

Činnost firewalls je založena na následujících technologiích:

filtrace datových paketů, kde na základě analýzy dat v záhlaví (tzv. parametrů záhlaví) pa-

ketů protokolů IP, TCP nebo UDP se rozhoduje, zda paket bude propuštěn do lokální sítě či

nikoliv. U paketových filtrů je možno explicitně zakázat určité síťové služby nebo naopak ur-

čité síťové služby explicitně povolit. Vyšší stupeň zabezpečení představuje explicitní určení

povolených síťových služeb, které poskytují servery z chráněné lokální sítě.

proxy servery, kde firewall zprostředkuje klientovi z vnější nechráněné sítě transakci se ser-

verem z vnitřní chráněné sítě. Koncové body komunikačního kanálu nejsou přímo propojeny,

místo toho jsou vytvořena dvě oddělená spojení. Firewall se stává kontrolním bodem, kde

se data podrobují pravidlům stanoveným pro určitý typ síťové služby. Klient tedy komunikuje

s proxy serverem, který předává jeho požadavky serveru a naopak odpovědi serveru trans-

formuje do zpráv, které odesílá klientovi. Skutečné IP adresy serverů se v odpovědích, které

obdrží klient, neobjeví. Proxy server může pracovat jako obvodová brána (circuit – level ga-

teway) nebo aplikační brána (application gateway). Obvodová brána hodnotí relace trans-

portní, kdežto aplikační brána řídí přístupy do lokální sítě na základě pravidel stanovených

pro konkrétní síťovou službu nebo určitý formát uživatelských dat. Aplikační brány pracují

mnohem sofistikovaněji než paketové filtry a obvodové brány, které určují o průchodu nebo

zablokování paketu na základě údajů, které paket nese ve svém záhlaví.

stavové vícevrstvové inspekční brány (stateful multi-layer inspection gateways) jsou co do

funkčnosti nejsložitější a tudíž technologicky nejnáročnější firewalls. Jejich činnost je zalo-

žena na dynamickém filtrování příchozích paketů. Pracují se stavovými tabulkami protokolů

napříč vrstvami architektury TCP/IP. Jsou schopny provádět rozhodování o propouštění pa-

ketů do lokální chráněné sítě v určitém kontextu, tj. na základě znalostí předchozích stavů.


Programy firewalls generují rozsáhlé systémové záznamy o průběhu své činnosti. Správce sítě má

tudíž k disposici dostatek záznamů, které umožní odhalit veškeré pokusy o napadení sítě a usvědčit

eventuálního útočníka.

Přestože ani firewalls nezaručí absolutní ochranu lokálních sítí, pravděpodobnost úspěšných útoků

se značně sníží. Investice do zřízení firewallu, i když jsou nemalé, se jistě vyplatí, neboť úspěšně ve-

dený útok proti strategicky důležitým datům podniku, uloženým v souborových systémech serverů,

může vážně podnik poškodit ekonomicky i morálně.

3.2.8 Bezpečnost bezdrátových sítí

Jedním z problémů bezdrátových sítí je jejich bezpečnost proti odposlechu komunikace, případně

neoprávněnému využívání sítě. Oproti klasickým metalickým sítím se útočník nemusí napojit na

žádný hardwarový prvek (switch, router, HUB,…). Stačí pouze, aby se nacházel v dosahu vašeho bez-

drátového vysílání.

Existuje několik možností, jak se bránit. Mezi nejpoužívanější patří:

Filtrace MAC adres

Šifrování přenosu

Filtrování MAC adres

Do sítě se mohou připojit pouze klienti přesně určených MAC adres. Každý klient musí správci sys-

tému nahlásit MAC adresu zařízení, pomocí kterého se bude připojovat do sítě. Nevýhodou jsou zde

zařízení schopná pracovat v tzv. „promiskuitním“ režimu, který jim umožňuje získat zaregistrované

MAC adresy, které mohou poté využít pro své připojení do sítě.

Šifrování

WEP (Wired Equivalent Privacy)

Šifrovací protokol, který byl uveden v roce 1999, zajišťuje autentizaci stanic a šifrování přenosu. Je

založen na šifrovacím algoritmu RC4 s tajným klíčem o velikosti 40 nebo 104 bitu kombinovaným

s 24 bitovým inicializačním vektorem. Tento protokol však není kvůli zranitelnosti šifrovacího algo-

ritmu RC4 příliš bezpečný.

WPA (WiFi Protected Access)

Šifrovací protokol, uvedený v roce 2002, vznikl jako náhrada za prolomené zabezpečení WEP. Stejně

jako WEP je použit šifrovací algoritmus RC4, ale s 128bitovým klíčem a 48bitovým inicializačním vek-

torem. Zásadní vylepšení však spočívá v dynamicky se měnícím klíči (Temporal Key Integrity Proto-

col). Zvětšení velikosti klíče a inicializačního vektoru, snížení počtu zaslaných paketů s podobnými

klíči a ověřování integrity dělá zabezpečení WPA těžko prolomitelné.


WPA 2 (WiFi Protected Access 2)

Tento protokol byl uveden v roce 2004. Je použit protokol CCMP se silným šifrováním AES (Advanced

Encryption Standard), které však vyžaduje větší výpočetní výkon, a proto nelze WPA2 používat na

starších zařízeních.

Bezpečnost informací je velmi složitá sféra zásadní důležitosti v oblasti komunikace.

Bezpečnostní opatření musí chránit informace v sítích před několika typy ohrožení.

Velmi účinným nástrojem ochrany dat jsou kryptografické technologie. Existuje ně-

kolik standardů, které dávají možnost volby toho správného způsobu ochrany dat.

Šifrování je základ elektronického podpisu, který poskytuje ochranu zachování inte-

grity, autenticity a nepopiratelnosti procesům výměny informací mezi komunikují-

cími stranami. Nástrojem pro zabezpečení všech výpočetních systémů v lokální síti

před externími útoky je firewall. Řídí a monitoruje provoz mezi lokální sítí a „vnějším“

Internetem.

1. Uveďte základní typy hrozeb zaměřených na výpočetní systémy.

2. Popište význam firewallu.

3. Vysvětlete, v čem spočívá rozdíl v typech šifrovacích algoritmů.


[1] DOSEDĚL, T. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, 2004.

ISBN 80-251-0106-1.



ISBN 978-80-251-3363-7.

[3] LUDVÍK, M. a B. ŠTĚDROŇ. Teorie bezpečnosti počítačových sítí: [metodika ana-

lýzy bezpečnosti IS, klasifikace organizací, slovníček pojmů]. Vyd. 1. Kralice na

Hané: Computer Media, 2008. 98 s. ISBN 978-80-866-8635-6.

[4] Bezpečnost dat a sítí.[online]. [cit. 2017-11-12]. Dostupné z: http://www.scri-

tub.com/limba/ceha-slovaca/Bezpenost-dat-a-st19118212323.php



Kapitola 4

Technologie fyzické

a linkové vrstvy, aktivní

a pasivní síťové prvky


Popsat základní typy přenosových médií,

vysvětlit úlohu spojové vrstvy, stručně charakterizovat protokoly spojové vrstvy,

vyjmenovat základní typy bezdrátových přenosů.

Klíčová slova:

Přenosová média, Ethernet, Wi-Fi, Bluetooth, rámec, metoda CSMA/CD, metoda

CSMA/CA.

73 TECHNOLOGIE FYZICKÉ A LINKOVÉ VRSTVY, AKTIVNÍ A PASIVNÍ SÍŤOVÉ PRVKY

4.1 Fyzická vrstva

Fyzická vrstva je tvořena samotnými přenosovými médii a předpisy pro přenos informace po těchto

médiích. Fyzická vrstva umožňuje přenos jednotlivých bitů (1/0) po skupinách bez znalosti významu

bitů a jejich zpracování.

Data pro přenos získává fyzická vrstva od nadřízené (linkové) vrstvy ve formě skupiny jedniček a nul,

označované jako rámec (frame). Tuto skupinu jedniček a nul fyzická vrstva definovaným způsobem

převede na fyzikální veličiny (napětí, světlo atp.), přenese po určeném médiu (měď vodič, optický

kabel, vzduch) a na protilehlém zařízení opět převede na logické jedničky a nuly.

Fyzická vrstva se také stará o řízení komunikace v případě, že po jednom médiu komunikuje najed-

nou více zařízení (např. metoda CSMA/CD).

Tato vrstva definuje fyzické propojení mezi jednotlivými prvky sítě, jejich mechanické vlastnosti (ko-

nektory, typ přenosového média,…) a také samozřejmě definuje elektrické vlastnosti, tzn. napěťové

úrovně používané pro přenos signálu, typ modulace a způsob kódování.

Standardy fyzické vrstvy udávají mimo jiné jaké vlastnosti přenosových médií.

4.1.1 Přenosová média používaná v počítačových sítích

Pro přenášení dat mezi jednotlivými uzly potřebují sítě spojovací cesty – přenosová média.

Přenosová média můžeme rozdělit do dvou hlavních skupin:

Bezdrátová (mikrovlnná, infračervená, rádiová, laserová)

Drátová (metalická, optická).


Obr. 4.1: Rozdělení přenosových médií; zdroj: (1)

Média vodičového typu (drátová)

Důležité parametry kabelů

Parametry, pomocí kterých charakterizujeme jednotlivé typy kabelů, jsou:

Přenosová rychlost – jedná se o rychlost přenosu dat, uvádí se v Mb/s (megabitech za

sekundu), v menších sítích je to 10-100 Mb/s, v rychlejších až Gb/s (gigabity za sekundu).

Útlum – je míra zeslabení signálu při jeho průchodu kabelem, uvádí se v dB (decibely).

Odolnost vůči elektromagnetickému rušení.

Impedance – zdánlivý odpor, který kabel představuje pro připojené zařízení, impedance ka-

belu i zařízení mají být shodné, uvádí se v Ω (ohmy).

Přeslech – vzájemné ovlivnění více vodičů (nebo častěji více párů vodičů) mezi sebou. Měří

se obvykle pro každou dvojici vodičů a udává se v dB.

Druhy kabelů

Koaxiální kabel

Kroucená dvojlinka

Optický kabel


Koaxiální kabel

Koaxiální kabel je nejstarším typem používaným v počítačových sítích, měl velký vliv na rozvoj počí-

tačových sítí (LAN). Jeho základem je měděný vodič obalený plastovou izolací, která je opletena stí-

něním. Vše je vloženo do vnějšího obalu z plastu.

Obr. 4.2: Koaxiální kabel ; zdroj: (1)

Zpočátku se používal tzv. tlustý koaxiální kabel (průměr 10 mm), který měl velmi dobré elektrické

vlastnosti, ale byl málo ohebný a připojení stanic k tomuto kabelu bylo technicky náročné. Proto byl

nahrazen tenkým koaxiálním kabelem (nazývaným též tenký ethernet), jehož elektrické vlastnosti

jsou o něco horší, ale realizace sítě je jednodušší.

Kabel musí být na obou koncích zakončen zakončovacím odporem, takzvaným terminátorem jinak

by docházelo k odrazu el. signálu od konce a tím k utlumení dalších signálů. Odbočky se vytvářejí

pomocí T-konektoru, z něhož je vyveden kabel k síťovému zařízení. Pro připojení kabelu k síťové

kartě se používá BNC konektor.

Obr. 4.3: T-konektor; zdroj: (1) Obr. 4.4: BNC konektor; zdroj: (1)

Klady a zápory koaxiálního kabelu

Velká šířka pásma (okolo 500 MHz),

dobrá odolnost proti elektromagnetickému rušení,

dlouhá životnost,

horší odolnost proti magnetickému rušení,

poměrně vysoký útlum při vysokých frekvencích.


Kroucená dvojlinka (twisted pair)

Je to vodič odvozený z vodiče používaného pro telefonní vedení. V dnešní době nejpoužívanější pře-

nosové médium v sítích LAN.

Je tvořena dvojicemi vzájemně skroucených vodičů. Díky tomuto skroucení nedochází k vzájem-

nému rušení. Kabel obsahuje dva nebo čtyři páry vodičů.

Existují dva základní typy kroucené dvojlinky:

Nestíněná - UTP (Unshielded TP) – zkroucené páry uloženy do plas-

tické izolace. Nemá žádné zvláštní stínění. Jedná se o nejpoužíva-

nější vodič v sítích LAN.

Stíněná - STP (Shielded TP) – kolem párů je kovové opletení, které

zvyšuje ochranu proti vnějšímu rušení. Má samostatné stínění

každého páru v kabelu.

V běžných provozech se používá nestíněná dvojlinka, stíněná se používá

pouze tam, kde je vyšší úroveň elektromagnetického rušení.

Kroucená dvojlinka se používá především pro zapojení stanic do hvězdy

přes hub.

Pro připojení k počítači je zakončena konektorem s označením RJ-45, do-

voluje přenos dat rychlostí až 1000 Mb/s (této přenosové rychlosti se do-

sahuje současným využitím čtyř párů). Výhodou je to, že ji lze použít pro tzv. strukturovanou kabeláž.

Obr. 4.6. Konektor RJ-45; zdroj (1) Obr. 4.7 : Krimpovací kleště; zdroj (1)

Pro upevnění konektoru RJ-45 na vodič se používají krimpovací

kleště.

Optický kabel

Je tvořen jedním nebo více optickými vlákny, která jsou spolu s vhodnou vystýlkou uložena ve vněj-

ším obalu. Jádro má průměr řadově několik jednotek až desítek mikrometrů a je obvykle vyrobeno

z různého druhu skla.

Obr. 4.8: Optická vlákna; zdroj (1)

Obr 4.5: Kroucená dvoj-l inka; zdroj (1) 4.4: BNC

konektor; zdroj: (1)


Tento typ kabelu je založen na odlišném principu než předchozí. Data nejsou přenášena elektricky

v kovových vodičích, ale světelnými impulsy v průsvitných vláknech.

Při vedení světelného signálu se využívá jevu zvaného úplný odraz, ke kterému dochází na rozhraní

jádra a pláště při vhodné volbě materiálu jádra a pláště. Před přenosem je třeba zajistit převod elek-

trického signálu na optický, což zajišťují LED diody nebo laserové diody, které generují světelné im-

pulsy podle přiváděného proudu (tzv. generátor). Na druhé straně vedení je třeba optický signál

přenést zpět na elektrický, což zajišťují fotodiody (tzv. detektor).

Optické kabely se dají použít ve všech topologiích, nejčastěji v páteřním vedení. Používají se dva typy

zakončení optického kabelu - kulatý konektor ST a hranatý konektor SC. Na konci každého kabelu je

nutný převodník (transceiver) pro převod elektrických impulsů na světelné paprsky a naopak.

Dalším prvkem je konvertor, který dovoluje napojit optický kabel na kroucenou dvojlinku. Přenosová

rychlost optických kabelů se pohybuje od stovek megabitů až k mnoha gigabitům za sekundu, při-

čemž další zvyšování dosažitelných přenosových rychlostí díky technologickému pokroku není vy-

loučeno.

Optické kabely umožňují přenos signálu na velké vzdálenosti bez použití aktivních prvků. Výhodou

optických kabelů je naprostá odolnost vůči elektromagnetickému rušení, velmi nízké ztráty a vysoká

přenosová rychlost. Na druhé straně realizace optické sítě je finančně nákladná i technicky náročná.

Obr. 4.9. Konektor ST; zdroj (1) Obr. 4.10: Konektor SC; zdroj (1)

Bezdrátové přenosy

Bezdrátové přenosy nacházejí využití hlavně v místech, kde by bylo značně obtížné natáhnout kabe-

láž, např. z budovy na jedné straně silnice na druhou stranu, apod.

Bezdrátové přenosy můžeme rozdělit na:

Rádiové přenosy

Mikrovlnné přenosy

Satelitní přenosy

Infračervené přenosy

Optické spoje (laserové, světelné přenosy)


V sítích LAN a MAN se nejčastěji používá přenos mikrovlnný, zřídka ještě optické spoje. Ostatní pře-

nosy našly uplatnění jinde (infračervené přenosy – bezdrátové myši, mobilní telefony,…)

Rádiové přenosy

Pro přenos dat využívá elektromagnetické vlnění v rádiové části spektra. Tedy radiové vlny, s nízkým

kmitočtem, které jsou schopny do jisté míry obcházet překážky. Jedná se o vlny s kmitočtem od 30

MHz do 1 GHz. Toto vysílání má relativně velký dosah, proto jsou vysílací frekvence přidělovány

a kontrolovány státem.

Použití:

FM rádia

DVB-T (pozemní televizní vysílání)

DECT (bezdrátové telefony)

Infračervené přenosy

Přenos probíhá pomocí vln v infračervené části spektra (300 GHz – 200 THz). Neprostupují skrz pře-

kážky a jejich dosah je omezen na krátký souvislý prostor.

Použití:

Komunikace mezi mobilními telefony, notebooky

Komunikace mezi osobními organizéry

Světelné přenosy

Přenos probíhá ve viditelné části spektra (400 – 800 THz) pomocí úzkého světelného paprsku. Pro

komunikace se používají dva protisměrné paprsky. Nevýhodou je velká závislost na atmosférických

podmínkách a vysoký požadavek na přesnost směrování.

Mikrovlnné přenosy

Jedná se o rádiové přenosy na frekvenci vyšší než 1 GHz a nižší než 40 GHz. Takovéto přenosy lze

poměrně snadno směrovat na cíl. Čím vyšší je však frekvence přenosu tím je lepší průnik skrz pře-

kážky nacházející se cestou k cíli. O vysílání v mikrovlnném přenosu se stará Český telekomunikační

úřad (ČTU).

Antény používané v bezdrátových přenosech

Anténa je jeden z podstatných prvků pro dosažení spolehlivého bezdrátového připojení. Volba an-

tény záleží jednak na počtu uživatelů, kteří se budou pomocí ní napojovat do sítě, a také na území,

které má pokrýt vysílacím signálem.

Důležitým parametrem je zisk antény, jednoduše řečeno, čím vetší zisk, tím větší vzdálenost, na kte-

rou leze signál zachytit. Zisk se udává v dbi (decibel na isotop).


Antény podle území, které pokrývají:

směrové – vyzařují signál jedním směrem v úzkém pruhu, jsou určeny pro spoje typu bod-

bod. Jsou vhodné pro delší vzdálenosti,

všesměrové – vyzařují signál pod úhlem 360°. Slouží k pokrytí celého horizontu,

sektorové – vyzařují signál v určitém sektoru (např. 45°). Pokrývají tedy určitou prostoro-

vou výseč.

Obr. 4.11: Směrová anténa – síto Všesměrová anténa Sektorová anténa; zdroj (1)

4.2 Spojová vrstva (=Linková vrstva)

4.2.1 Úloha spojové vrstvy

Hlavní úlohou spojové vrstvy je připravit pakety ze síťové vrstvy pro transport na přenosové médium

a kontrolovat přístup na přenosové médium.

Spojová vrstva připravuje data získaná z vyšších vrstev pro vyslání na přenosové médium vytvořením

datových rámců a přijímá data ze sítě.

Vytváří spojení mezi procesy programového rázu s fyzickým zařízením, na které jsou data vysílána

nebo ze kterého jsou přijímána. Typickým zařízením spojové vrstvy je síťová karta.

Během své cesty od zdrojového počítače k cílovému procházejí data různými typy sítí. Aby bylo

možné data vysílat na tyto sítě, musí spojová vrstva vždy přizpůsobit datový rámec síti, na kterou

bude vysílán. Jinak bude vypadat struktura datového rámce, když bude vysílán po ethernetové lince

na lokální síti, jinak když bude vysílán bezdrátově, a ještě jinak, když bude přenos prováděn do vzdá-

lené sítě například přes satelit.

Spojová vrstva uzpůsobuje datový rámec síti, na niž bude vysílán, a nijak neovlivňuje obsah, který se

v rámci skrývá. Spojová vrstva získá paket z vyšší vrstvy a podle typu sítě, na který bude data vysílat,


zabalí paket do příslušného rámce. Tím zajišťuje, že vyšší vrstvy nemusí nijak zajímat, jakými sítěmi

jejich datové jednotky poběží, to vše za ně zajistí spojová vrstva.

Spojová vrstva kontroluje přístup na médium pomocí různých metod, které zajišťují přístup síťových

zařízení na síť a určují, jakým způsobem budou data na přenosové médium vysílána.

Na začátku vysílá zdrojový uzel (síťové zařízení připojené na přenosové médium) prostřednictvím

své síťové karty svá data na síť. V průběhu cesty mohou data procházet pomocí směrovače mezi

sítěmi, např. z lokální sítě do WAN sítě. Data přicházející z LAN sítě jsou zapouzdřena do rámce ty-

pického pro tuto síť. Směrovač rozbalí rámec, aby zjistil síťovou adresu, pak podle její hodnoty pro-

vede směrovací rozhodnutí, zabalí data do jiného rámce, který bude následně vyslán ze sériového

rozhraní na síť WAN, a zajistí toto vyslání (3).

Zjednodušeně lze říci, že spojová vrstva přidává k paketu určitá data před paket – hlavičku rámce,

a jistá data za paket – patičku rámce.

V přídavných informacích datového rámce se mohou vyskytovat informace, jaká zařízení spolu ko-

munikují, kdy může komunikace začít, zda nastaly během přenosu chyby, jaké uzly budou spolu ko-

munikovat příště apod.

4.2.2 Rámec spojové vrstvy

Data jsou vysílána na médium ve formě jedniček a nul, proto je třeba, aby cílové zařízení mohlo

rozlišit, kde jednotlivé datové rámce začínají a kde končí. K této identifikaci se používají speciální

vzorky jedniček a nul, podle jejichž výskytu lze poznat začátek a konec rámce.

Struktura rámce se může měnit podle sítě, na kterou je rámec vysílán. K typickým políčkům, která

se nacházejí v rámci, patří pole s identifikací začátku a konce rámce, políčko s adresami, pole určující

typ datové jednotky obsažené v rámci, kontrolní políčko obsahující kontrolní údaje a uvnitř rámce

zapouzdřený paket.

Obr. 4. 12: Struktura rámce spojové vrstvy; zdroj (2)

V závislosti na protokolu se mohou měnit políčka v hlavičce a patičce rámce. V současnosti neexis-

tuje jednotná podoba rámce, která by splňovala požadavky pro přenos všemi přenosovými médii.

V prostředí, kde je potřeba větší kontroly nebo kde hrozí nebezpečí poškození a ztráty dat, např.

u bezdrátového přenosu, musí rámec obsahovat více kontrolních údajů. Naopak v prostředí, kde


přenos probíhá bez problémů, můžete použít rámec s menším počtem kontrolních údajů. Pak pře-

nos probíhá rychleji a efektivněji.

Hlavička rámce

V hlavičce v políčku adres se vyskytuje fyzická adresa (MAC adresa) cílového zařízení v lokální síti.

Může zde být i fyzická adresa zdrojového počítače.

MAC adresu přiřazuje síťové kartě (síťovému adaptéru) výrobce. V jedné lokální síti musí mít každé

zařízení unikátní MAC adresu.

Při posílání dat má MAC adresa význam pouze v lokální síti. Jestliže je cílový počítač mimo danou

lokální síť, musí rámec projít přes hraniční zařízení – směrovač. Ten rámec rozbalí, vyhodnotí IP ad-

resy a znovu vytvoří nový rámec s novými MAC adresami. Ty budou představovat odchozí rozhraní

směrovače a následující rozhraní, na něž je rámec posílán, tj. MAC adresu dalšího protějšího rozhraní

lokálního segmentu, kterým bude rámec putovat. Mimoto se v rámci mohou měnit i další políčka,

v závislosti na typu sítě, do které bude rámec dále vysílán.

Ve chvíli, kdy počítač přijme rámec, zjistí z cílové MAC adresy, zda je adresován jemu. Pokud ano,

rámec se rozbalí a protokoly vyšších vrstev provádějí další analýzy a zpracování. Pokud rámec není

adresován tomuto počítači, zahodí jej. Počítač může přijmout rámec, který není adresován přímo

jemu, např. na sdíleném médiu, kde se rámce odesílají všem počítačům v rámci broadcast domény.

V lokální síti se často vyskytuje vysílání typu broadcast, který je určen všem počítačům v dané lokální

síti. Jako cílovou MAC adresu má rámec uvedenou adresu FF:FF:FF:FF:FF:FF.

Patička rámce

V patičce rámce jsou přidány informace, které mají podat zprávu o tom, že rámec dorazil v pořádku

do cíle, nepoškozen a nezměněn.

Políčko pro kontrolu chyb se označuje jako FCS – Frame Check Sequence.

Zdrojový počítač provede na posílaných datech kontrolní logický součet označovaný jako CRC (Cyclic

Redundancy Check) a ten vloží do políčka FCS v patičce rámce.

Jakmile data dorazí do cílového počítače, provede se stejný výpočet založený na přijatých datech

uložených v rámci a výsledná hodnota CRC se porovná s hodnotou v políčku FCS. Jestliže hodnoty

nesouhlasí, rámec se zahodí.

4.2.3 Protokoly spojové vrstvy

Mezi protokoly spojové vrstvy patří Ethernet, PPP (Point- to-Point Protokol), ATM (Asynchronous

Transfer Mode), HDLC (Higt- Level Data Link Control) apod.


Jiné protokoly (např. Ethernet, 802.11 pro bezdrátové vysílání) se používají na LAN sítích, kde je

nutná vysoká přenosová rychlost, jiné na WAN sítích, kde se data přenášejí podstatně menší rych-

lostí (např. protokoly HDLC, PPP).

Služby a protokoly spojové vrstvy jsou popsány organizacemi ISO, IEEE, ANSI, ITU a jinými komuni-

kačními společnostmi. První z nich nastavují a popisují veřejné otevřené protokoly a standardy. Ko-

munikační společnosti si mohou vytvářet vlastní protokoly a standardy, aby lépe využily nových

možností aktuálních technologií (4).

Protokoly spojové vrstvy nefungují pouze softwarově jako protokoly vyšších vrstev, ale jsou součástí

hardwaru síťových adaptérů připojujících zařízení k síti, síťových karet i bezdrátových adaptérů.

Díky tomu, že existuje více různých protokolů ve spojové vrstvě, existují i různé metody kontroly

přístupu k médiu. Někdy se vysílání na médium jeví jako vysoce řízený proces, kdy jednotlivé uzly

„dostávají slovo“, jindy vysílají nahodile podle potřeby.

Výběr metody pro přístup na médium závisí na tom, jakým způsobem sdílí uzly přenosové médium

a v jaké topologii jsou uzly umístěny.

Řízení přístupu na sdílené médium

Základní dvě metody pro přístup na sdílené médium jsou deterministická metoda a nedeterminis -

tická metoda.

Deterministická metoda spočívá v tom, že každý uzel má určitý čas pro vysílání. Přístup je kontrolo-

ván a řízen. Během vysílání jednoho uzlu nesmí ostatní uzly vysílat, musí počkat, dokud data nedo-

stane cílové zařízení. Tato metoda může být nevýhodná v tom, že přenosová linka nemusí být opti-

málně využita, mohou nastávat chvíle, kdy počítač sice může vysílat, ale nevysílá a linku nevyužívá.

Deterministickou metodu využívá technologie Token Ring.

Nedeterministická metoda umožňuje uzlům soupeřit o vysílání na sdílené médiu. Každé zařízení,

které má potřebu vysílat, se o to může pokusit. Nemusí čekat, až na něj přijde řada.

Aby nedocházelo k zahlcení linky a přenosovým problémům, používá tato metoda mechanismus

CSMA – Carrier Sense Multiple Access, kterým dokáže detekovat provoz na síti a případné kolize.

Uzly mající zájem vysílat na sdílené médiu nejprve poslouchají, zda na médiu nedochází k vysílání.

Pokud detekují vysílání, čekají. Po nějaké chvíli znovu provedou test, zda je na médiu klid. Jestliže na

médiu žádný provoz nedetekují, zkusí vysílat. Přesto se může stát, že dva různé uzly začnou vysílat

ve stejné chvíli. Na síti tak dojde ke kolizi a zničení obou signálů.

Nedeterministickou metodu používá technologie Ethernet a bezdrátové vysílání.


CSMA/CD, CSMA/CA

CSMA proces je doplněn metodou CD nebo CA.

CSMA/CD – Collision Detection (detekce kolizí)

Tuto metodu používá technologie Ethernet. Zařízení, využívájící metodu CSMA/CD čekají, až je na

sdíleném přenosovém médiu klid, a pak začnou vysílat. To může vést ke kolizím signálů, které byly

vyslány na sdílené médium ve stejnou chvíli. Po takové kolizi musí být data odeslána znovu.

CSMA/CA – Collision Avoidance (předcházení kolizí)

Tuto metodu využívá bezdrátové vysílání. Jestliže zařízení chce vysílat, poslouchá, zda je na sdíleném

médiu klid (u bezdrátového vysílání je médiem atmosféra). Pokud ano, vyšle informaci pro ostatní

uzly, že bude vysílat. Tím brání tomu, aby nedocházelo ke kolizím signálů přenášejících data. Může

dojít i ke kolizi informací o záměru vysílat. Pokud již probíhá vysílání jiným zařízením, řídí se zájemce

o vysílání tzv. backoff algoritmem, s jehož pomocí vybírá náhodnou dobu, po kterou čeká, než se

znovu pokusí o vysílání. Fakt, že se jedná o náhodně dlouhou dobu, snižuje nebezpečí kolize dalšího

vysílání.

Kontrola přístupu na nesdílené médium

Protokoly pro kontrolu přístupu na nesdílené médium nemusí tolik sledovat, jaký je stav přenosové

linky, než se začne vysílat. Příkladem vysílání na nesdílené médium je vysílání u topologie typu point-

to-point (bod-bod). V tomto případě nedochází ke sdílení přenosového média, a tím se tedy zabrání

vzniku kolizí. V případě zapojení typu point-to-point se mohou protokoly spojové vrstvy rozhod-

nout, zda se bude vysílat pomocí full-duplexu, nebo half-duplexu.

Full-duplex, half-duplex

Full-duplexní provoz znamená, že v danou chvíli mohou vysílat i přijímat oba uzly na lince typu

point-to-point.

Full-duplex lze použít u spojení počítače a přepínače, spojení dvou přepínačů nebo spojení dvou po-

čítačů kříženým kabelem. U spojení pomocí kabelu UTP na 100 Mbps Ethernetu dochází k vysílání

jedním párem vodičů a současně přijímání signálu druhým párem vodičů.

Half-duplexní provoz umožňuje v danou chvíli vysílat jen jednomu zařízení, druhé může jen přijímat

data. Až skončí vysílání prvního uzlu, může začít vysílat druhý uzel.


Pomocí protokolů spojové vrstvy se obě zařízení před započetím vysílání dohodnou, jaký typ vysílání

budou používat. Pokud se dohodnou na full-duplexu, vysílají tímto způsobem. Jestliže jeden z nich

nedokáže tento typ použít, dohodnou se na half-duplexu.

Ethernet

Ethernet je technologie používaná na LAN sítích. Existuje mnoho druhů Ethernetu, které se liší pře-

nosovou rychlostí – od 10 Mbps až po 10 Gbps.

Pozn.: Přenosová rychlost udává, jaký objem informace se přenese za jednotku času. K vyjádření,

jakou rychlostí se mohou data na přenosové médium vysílat, slouží jednotka „bity za sekundu“ (bits

per second). Zkratka této jednotky je bps. Běžně se používají násobky této jednotky – kbps, Mbps,

Gbps.

Rámec Ethernetu je ve všech případech podobný, odlišnosti jsou v systému umisťování dat na pře-

nosové médium. Ethernet je definován pomocí standardů 802.2 a 802.3. Data se posílají prostřed-

nictvím sdíleného média pomocí metody CSMA/CD, proto rámce musí obsahovat zdrojovou a cílo-

vou MAC adresu. MAC adresa byla vyvinuta kvůli jednoznačné identifikaci síťových zařízení na lo-

kální síti používající pro přenos technologii Ethernet.

Na sítích typu TCP/IP se pro přenos používá rámec typu Ethernet II.

Obr. 4.13: Struktura ethernetového rámce; zdroj (2)

Preambule – slouží k synchronizaci mezi zdrojovým a cílovým zařízením. Začíná 7 byty obsahujícími

střídající se jedničky a nuly (7x 10101010). Nakonec je odvysílán 1 byte obsahující 10101011, který

označuje začátek rámce – tzv. SFD (Start of Frame Delimiter).

Cílová adresa – 48bitová MAC adresa cílového zařízení. Může obsahovat adresu jednotlivého zaří-

zení – typ unicast, skupiny zařízení – typ multicast, nebo všech zařízení – typ broadcast.

Zdrojová adresa – 48bitová MAC adresa zdrojového zařízení.

Typ – pole označující typ protokolu vyšší vrstvy, který přijme data poté, co bude ethernetový rámec

rozbalen a zpracován.

Data – obsahuje obvykle paket IPv4. Minimální délka je 46 bytů, kratší jsou považovány za zbytky

po kolizích v síti. Maximální délka je 1500 bytů.

http://cs.wikipedia.org/wiki/Informace

http://cs.wikipedia.org/wiki/%C4%8Cas


FCS (Frame Check Sequence) – kontrolní hodnota, která slouží k posouzení, zda byl rámec doručen

bez poškození a změn.

Druhy Ethernetu

Pomocí standardu 802.3 jsou definovány 4 varianty Ethernetu, které využívají jako přenosové mé-

dium optické nebo metalické kabely.

10 Mbps – označuje se jako Ethernet 10Base-T

100 Mbps – označuje se jako rychlý Ethernet

1 Gbps – označuje se jako gigabitový Ethernet

10 Gbps – označuje se jako desetigigabitový Ethernet

Hodnoty vyjadřují maximální teoretickou šířku pásma. K realizování přenosu se používají různá pře-

nosová média a konektory.

10 Mbps Ethernet

Původní verze desetimegabitového Ethernetu používaly pro přenos tenký a tlustý koaxiální kabel.

Dnes se tato původní varianta již nepoužívá, byla nahrazena Ethernetem využívajícím pro přenos

kabel UTP. V dnešní době se již spíše jedná o historickou záležitost.

Rychlý Ethernet (100 Mbps)

Tento typ nahradil svého desetimegabitového předchůdce. Šířka pásma je zde 100 Mbps. Přenoso-

vými médii jsou nejčastěji kabel UTP a optické vlákno.

Gigabitový Ethernet (1 Gbps)

U tohoto typu Ethernetu se data zdržují na přenosové lince velmi krátkou dobu, proto se klade velký

důraz na přesné časování, synchronizaci a přesnou interpretaci signálu na vzdáleném konci média.

Data jsou náchylnější k rušení, proto jejich kódování probíhá komplexněji.

K přenosu se podle standardu používá kabel UTP a optické vlákno. V případě přenosu pomocí ka-

belu UTP se již používají všechny čtyři páry a provoz je full-duplexní. Díky full-duplexovému provozu

se data současně vysílají i přijímají. V případě přenosu pomocí optického vlákna se lze zbavit pro-

blémů s rušením, a také délka segmentu, po kterém je třeba signál zregenerovat, je vyšší.

10 Gbps Ethernet

Jedná se o přenos především pomocí optického vlákna s šířkou pásma 10 Gbps.


Je povoleno pouze full-duplexní vysílání. Tuto technologii vysokorychlostního přenosu lze použít

nejen na LAN sítích, ale může sloužit i pro vzdálená spojení typu MAN nebo WAN. Do budoucna se

pracuje na standardech umožňujících přenosové rychlosti ještě vyšší 40-160 Gbps.

Bezdrátový přenos

Bezdrátový přenos používá pro přenos dat rádiové a mikrovlnné frekvence.

Dobře se uplatňuje v otevřeném prostoru. Některé materiály, budovy nebo členitost terénu mohou

způsobovat rušení a zeslabování signálu. K rušení často dochází i vlivem jiných bezdrátových zaří-

zení, vlivem elektromagnetického pole v okolí spotřebičů nebo vysíláním podobných frekvencí elek-

trospotřebičů.

Nevýhodou u bezdrátového přenosu je možnost odposlechu přenášené komunikace. Proto se do

přenosu přidává prvek zabezpečení a šifrování dat.

Výhodou je mobilita počítačů a absence kabelů.

Na bezdrátovém přenosu se obvykle nedosahuje příliš vysokých přenosových rychlostí. Ve srovnání

s metalickými nebo dokonce optickými rozvody, kde se data běžně přenášejí rychlostmi 1 Gbps nebo

10 Gbps, je přenos u bezdrátů obvykle řádově do desítek Mbps, výjimečně stovek Mbps.

Základní 4 typy bezdrátových přenosů jsou popsány následujícími standardy:

802.11 – bezdrátová síť (Wireless Lan, WLAN) – často označovaná Wi-Fi. Používá se na lo-

kálních sítích. Využívá metodu přístupu na sdílené médium označovanou jako CSMA/CA.

Po odvysílání rámce čeká zdrojové zařízení na potvrzení o přijetí od cílového zařízení. Po-

kud takové potvrzení nedostane, vyšle data znovu. 802.11 podporuje autentizaci – ověření

komunikujících stran, asociaci (připojení) s přípojným bodem a zabezpečení přenosu po-

mocí šifrování.

802.15 – WPAN (Wireless Personal Area Network) – často označovaná jako Bluetooth. Po-

užívá se ke spojení dvou zařízení na vzdálenost několika metrů (1-100 metrů).

802.16 – WiMAX (Worldwide Interoperability for Microwave Access) – širokopásmový bez-

drátový přístup k Internetu. Používá se pro venkovní bezdrátové sítě jako doplněk k síti Wi-

Fi, která je chápána jako standard pro vnitřní použití. Dosah je řádově okolo 50 km.

GSM (Global System for Mobile Communication) – standard pro mobilní telefony, zajišťuje

digitální přenos hovoru a sms. Umožňuje přenos dat v síti mobilních telefonů pomocí pro-

tokolu GPRS. Dosah je přibližně od několika stovek metrů až po desítky kilometrů, podle

specifikace GSM až do 35 km. Dosah je závislý na výkonu antény, výšce jejího umístění a te-

rénu, ve kterém se signál šíří.


V této kapitole jsme popsali vlastnosti a význam fyzické a spojové vrstvy. Pro přená-

šení dat mezi jednotlivými uzly potřebují sítě spojovací cesty – přenosová média. Pře-

nosová média můžeme rozdělit na drátová a bezdrátová. Hlavní úlohou spojové

vrstvy je připravit pakety ze síťové vrstvy pro transport na přenosové médium a kon-

trolovat přístup na přenosové médium. Spojová vrstva připravuje data získaná

z vyšších vrstev pro vyslání na přenosové médium vytvořením datových rámců a při-

jímá data ze sítě.

1. Popište základní úlohu fyzické a spojové vrstvy modelu ISO/OSI.

2. Nakreslete a stručně popište rámec linkové vrstvy.

3. Vysvětlete rozdíl mezi dvěma základními metodami přístupu na sdílené médium.

4. Popište standardy základních typů bezdrátových přenosů.





Media, 2010. 180 s. ISBN 978-80-7402-036-0.



ISBN 978-80-251-3363-7.


Brno: Computer Press, 2012 978-80-251-2236-5.

Kapitola 5

Síťová vrstva, IP protokol,

IP adresy


Vysvětlit úlohu síťové vrstvy,

charakterizovat způsoby komunikace v počítačové síti,

popsat rozdíl mezi MAC adresou a IP adresou, prakticky používat třídy IP adres,

popsat dílčí protokoly IP protokolu

Klíčová slova:

Síťová vrstva, paket, broadcast, unicast, multicast, anycast, IP adresa, IP protokol ,

maska podsítě, NAT, ISP.

89 SÍŤOVÁ VRSTVA, IP PROTOKOL, IP ADRESY

5.1 Síťová vrstva

5.1.1 Úloha síťové vrstvy

Síťová vrstva zajišťuje doručení jednotlivých částí zprávy do cílového zařízení, které může být ve

vzdálené síti. Zajišťuje adresování, zapouzdření dat přijatých z transportní vrstvy do paketu, směro-

vání a následné rozbalení paketu.

Datová jednotka vznikající v síťové vrstvě se nazývá paket. Datový paket v protokolu IP se označuje

pojmem datagram.

Adresování spočívá v tom, že každému síťovému zařízení je přiřazena síťová adresa IP, pomocí níž

lze části zprávy – pakety – směrovat do cílového zařízení.

Zapouzdření do paketu spočívá v tom, že k datovému segmentu získanému z vyšší vrstvy se přidá

hlavička obsahující IP adresu lokálního zdrojového zařízení a IP adresu cílového zařízení. Adresa cí-

lového zařízení se pak použije pro doručení paketu do cíle. Jakmile je paket připraven, je předán

nižší vrstvě, která zajistí další úpravu dat, a následně se data vyšlou na síť.

Směrování je úloha, kterou vykonávají síťová zařízení zvaná routery – směrovače. Podle svých smě-

rovacích tabulek rozhodují, kam pošlou přijatý paket. Během své cesty může paket projít mnoha

různými sítěmi, které jsou vzájemně propojeny směrovači. Ty zajišťují směrování dat po cestě od

zdroje k cíli. Směrovače provádějí analýzu přijatého paketu jen z hlediska zajištění cílové adresy, ob-

sahem segmentu se nezabývají.

Rozbalení paketu nastává až ve chvíli, kdy dorazí do svého cílového zařízení. Tam je z paketu odstra-

něna hlavička obsahující informace o síťových IP adresách zdrojového a cílového zařízení a získaný

segment je předán transportní vrstvě pro další zpracování.

5.1.2 Druhy komunikace v síti

Broadcast

Broadcast je jeden ze způsobů vysílání v TCP/IP síti. Je to vysílání jednoho všem, tedy vysílaný paket

je (teoreticky) zachycen všemi zařízeními v síti, lépe řečeno v dané broadcast doméně (subnetu).

Toto vysílání se používá převážně v LAN sítích (ne WAN). Broadcasty jsou dnes používány pro řadu


účelů (třeba DHCP) a využívá je velké množství aplikací. Tvoří velkou část provozu v LAN síti a zatěžují

aktivní síťové prvky i stanice, proto je snaha o jejich minimalizaci.

Broadcast adresa je adresa, na kterou se posílá komuni-

kace v případě brodcastového vysílání. Je to buď speciální

adresa každého subnetu (ta poslední) nebo IP adresa

255.255.255.255. Broadcastová adresa může být také na

fyzické vrstvě a je to identicky MAC adresa "se samými jed-

ničkami" FF:FF:FF:FF:FF:FF.

Broadcast domain je logická část sítě, ve které mohou při-

pojená zařízení přímo komunikovat. Mělo by se tedy jed-

nat o jeden subnet a hranicí je router, který by bro-

adcasty neměl přeposílat.

Pro rozdělení sítě na menší broadcast domény slouží

routery nebo technologie VLAN.

Broadcast storm je kritický stav, když počet bro-

adcastů v síti je tak velký, že není možno vytvářet

nová spojení a stará spojení jsou rušena. Často vzniká

z důvodu smyček v síti.

Unicast

Unicast je vysílání, kdy je paket zasílán jednomu cíli. Jedná se o běž-

nou komunikaci, kdy spolu komunikují dvě stanice.

Multicast

Při této komunikaci se jedna informace doručuje skupině cílů.

Multicast využívá efektivní metodu doručování, aby pakety v síti

putovaly pouze jednou. Principem je, že se vytvoří mutlicastová

adresa z rozsahu 224.0.0.0/4 (pro LAN je určeno 224.0.0.0/24),

a klienti se k této adrese zaregistrují. Pro vytváření skupin a regis-

trování se používá protokol Internet Group Management Protocol

(IGMP) (1).

5.1: Simulace Broadcast; zdroj: (1)

5.2: Broadcast domain; zdroj: (1)

5.4: Simulace Multicast; zdroj: (1)

5.3: Simulace Unicast; zdroj: (1)


5.1.3 IP adresa, maska podsítě

Linková vrstva používá pro adresaci v lokální síti MAC adresy, ovšem pro komunikaci počítačů na

velké vzdálenosti (např. v Internetu) je potřeba „inteligentnější“ síťovou vrstvu, která také potře-

buje počítače nějak rozlišovat. Síťová vrstva, resp. protokol IP, propojuje všechny dílčích sítě pomocí

jednotného principu. Vytváří tak virtuální homogenní síť, která se vyznačuje jednotným způsobem

adresování, jednotným formátem datových paketů a jednotnou přenosovou službou (nespolehlivá

nespojovaná datagramová služba). K adresování uzlů v sítích TCP/IP slouží IP adresy.

IP adresa je symbolická adresa počítače, která tento počítač v síti jednoznačně identifikuje. Je vy-

jádřena 32bitovým číslem, které se zapisuje čtyřmi čísly v desítkové soustavě v rozmezí od 0 do 255,

navzájem oddělených tečkou (např. 213.145.55.12). Každé dekadické číslo vyjadřuje jednu 8 bitovou

část adresy.

IP adresa se obecně skládá ze dvou složek. První složka adresy identifikuje síť, ve které je počítač

umístěn a druhá složka identifikuje konkrétní počítač, server nebo jiné zařízení v dané síti. Rozdě-

lení IP adresy mezi tyto dvě složky není pevné, délka obou složek (která musí samozřejmě činit do-

hromady 32 bitů) určuje možné počty sítí a počty hostitelů (počítačů) v jednotlivých sítích.

V jednotlivých složkách IP adresy (v adrese sítě, resp. adrese počítače v rámci sítě) se nesmí použít

samé 1 (dekadicky 255) ani samé 0 (dekadicky 0). Tyto adresy jsou určeny pro speciální účely. Samé

1 v uzlové části IP adresy představují všesměrovou vysílací adresu pro posílání paketů všem počíta-

čům v síti (broadcast), samé 0 jsou vyhrazeny pro lokální použití (číslo sítě LAN). Adresa

127.xxx.xxx.xxx je vyhrazena pro testování zpětné smyčky a komunikaci mezi procesy na lokálním

počítači.

Struktura IP adresy verze 4

IP adresa verze 4 je 32bitové číslo. V této podobě s ní pracují síťová zařízení. Pro snadnější pamato-

vání a čtení je zobrazena v lidsky čitelné podobě ve formě čtyř čísel z dekadické soustavy oddělených

tečkami. Binární číslo je rozděleno do 4 skupin po osmi číslicích, tzv. oktetů.

Příklad:

Binárně: 11000000101010000001100100000001

Dekadicky:192.168.25.1

IP adresa se skládá z části, jež je společná všem počítačům na jedné podsíti (adresa sítě), a dále

z části, která identifikuje jednotlivá zařízení.


V předchozím příkladu lze rozdělit adresu na část identifikující síť – 192.168.25 a číst identifikující

koncové zařízení – 1.

Která část identifikuje síť a která koncové zařízení, můžete zjistit pomocí masky podsítě.

Maska podsítě je také 32bitové číslo, které zleva začíná jedničkami a pokračuje nulami. Jedničky

v masce říkají, které bity jsou v IP adrese součástí adresy sítě, nuly pak určují, které bity v IP adrese

jsou součástí adresy koncového zařízení.

V předchozím příkladu byla maska číslo 11111111111111111111111100000000 neboli

255.255.255.0.

Když se napíše v binárním vyjádření pod sebe IP adresa a maska, pak lze snadno určit, která část IP

adresy identifikuje síť a je společná všem zařízením v této síti, a která část upřesňuje a jednoznačně

identifikuje koncová zařízení.

IP adresa: 110000001010100000011001 00000001

Maska podsítě: 111111111111111111111111 00000000

Třídy IP adres, privátní a veřejné adresy, rezervované adresy

Rezervované IP adresy

Na 32 bitech je teoreticky možno vytvořit až 232 = 4 294 967 296 různých IP adres, ale ve skutečnosti

se některé adresy nepoužívají.

Pro komunikaci typu unicast se vynechávají následující adresy:

224.0.0.0 – 239.255.255.255 – používají se pro multicast

240.0.0.0 – 255.255.255.254 – používají se pro výzkum

Třídy IP adres

Třída A

Síťová část IP adresy je zastoupena 8 bity, zbývajících 24 bitů je určeno k identifikaci koncových za-

řízení. Pro zvolenou síťovou adresu je tedy k dispozici 224 různých variací jedniček a nul, což může

adresovat přibližně 16 milionů IP adres ve zvolené síti.

Je tedy zřejmé, že sítě s IP adresou třídy A jsou vybaveny IP adresami pro obrovské množství konco-

vých zařízení. Obvykle je takový adresní prostor dále dělen do menších částí pomocí podsíťování.

Část identifikující koncové

zařízení, dekadicky číslo 1

Část identifikující síť,

dekadicky 192.168.25


Na první pohled lze IP adresu třídy A poznat tak, že v binárním zápisu vždy začíná nulou.

0sssssss.kkkkkkkk.kkkkkkkk.kkkkkkkk

s – označuje bity vyhrazené síťové části IP adresy, k – označuje bity vyhrazené k identifikování kon-

cových zařízení.

K úvodní nule lze v síťové části adresy přiřadit doplňujících 7 číslic – jedniček a nul. Pokud by byly

doplněny samé nuly, vznikla by adresa začínající dekadicky nulou 0.x.x.x.

Adresy začínající nulou se nepoužívají – je to adresa přednastavené cesty (default route).

Pokud by k úvodní nule byly doplněny samé jedničky, vznikla by adresa začínající dekadickým číslem

127, tedy 127.x.x.x. Tak začíná adresa loapbacku – vnitřního rozhraní počítače. Slouží k testování

správné konfigurace TCP/IP protokolu na počítači a vnitřních procesů počítače. Ani tato adresa se

nepoužívá.

Síťovou část adresy lze tedy doplnit jakoukoli kombinací jedniček a nul mimo samé jedničky a nuly.

0000001-01111110 – dekadicky 1-126.

IP adresa třídy A začíná číslem v rozsahu 1-126. Dovoluje adresování jen 126 sítí, ale v každé z nich

může být až 16 miliónů počítačů. Maska podsítě IP adresy třídy A je 255.0.0.0.

Třída B

Síťová část IP adresy je zastoupena 16 bity, zbývajících 16 bitů je určeno k identifikaci koncových

zařízení. Pro zvolenou síťovou adresu je tedy k dispozici 216 různých variací jedniček a nul, což může

adresovat přibližně 65 000 IP adres ve zvolené síti.

Síť třídy B je vhodná pro střední až velké množství počítačů. Třída B umožňuje adresovat až 16 tisíc

sítí a 65 tisíc počítačů v každé síti.

Na první pohled lze IP adresu třídy B poznat tak, že v binárním zápisu vždy začíná jedničkou a nulou.

10ssssss.ssssssss.kkkkkkkk.kkkkkkkkk



K úvodní jedničce a nule lze v síťové části adresy přiřadit doplňujících 14 číslic – jedniček a nul. Na

prvním bytu lze doplnit číslo jakoukoliv kombinací jedniček a nul – od 000000 až po 111111.

10000000-10111111 – dekadicky 128-191.

IP adresa třídy B začíná číslem v rozsahu 128-191.

Maska podsítě IP adresy třídy B je 255.255.0.0.


Třída C

IP adresa se skládá z části síťové, která je tu zastoupena 24 bity, zbývajících 8 bitů je určeno k iden-

tifikaci koncových zařízení. Pro zvolenou síťovou adresu je tedy k dispozici 28 různých variací jedni-

ček a nul, což může adresovat 254 IP adres ve zvolené síti (jak již bylo řečeno dříve, pokud by se část

určená k identifikaci koncových zařízení vyplnila samými nulami, vznikla by adresa stejná, jako je

adresa celé sítě, a vyplnění samými jedničkami by bylo stejné jako adresa broadcastu v dané síti –

proto se tyto dvě adresy pro adresování koncových zařízení nepoužívají).

Síť třídy C je vhodná pro malé sítě.

Na první pohled lze IP adresu třídy C poznat tak, že v binárním zápisu vždy začíná dvěma jedničkami

a nulou.

110sssss.ssssssss.ssssssss.kkkkkkkk



K úvodním dvěma jedničkám a nule lze v síťové části adresy přiřadit doplňujících 21 číslic – jedniček

a nul. To dává k dispozici 221 různých sítí.

Na prvním bytu lze doplnit číslo jakoukoliv kombinací jedniček a nul – od 00000 až do 11111.

11000000-11011111 – dekadicky 192-223.

IP adresa třídy C začíná číslem z rozsahu 192-223. IP adresou třídy C dokážeme adresovat až 2 mi-

lióny sítí. V každé síti může být 254 počítačů.

Maska podsítě IP adresy třídy C je 255.255.255.0.

Třída D

Tato třída je určena pro vysílání typu multicast – vysílání pro předem určenou skupinu zařízení. Po-

mocí multicastu si například směrovače mohou vyměňovat informace o topologii sítě, multicast se

užívá pro hromadné vysílání videa nebo audia.

Binárně začíná IP adresa třídy D třemi jedničkami a nulou.

1110xxxx.xxxxxxxx.xxxxxxxx.xxxxxxxx

Na prvním bytu lze doplněním zbývajících čtyř bitů jedničkami a nulami získat varianty od 11100000-

11101111, což je dekadicky 224-239.

IP adresy třídy D začínají číslem z rozsahu 224-239.

Třída E

IP adresy z této třídy se používají pro výzkumné účely. K adresování běžných zařízení se nepoužívají.

Binárně začíná IP adresa čtyřmi jedničkami.


1111xxxx.xxxxxxxx.xxxxxxxx.xxxxxxxx

Na prvním bytu lze doplněním zbývajících čtyř bitů jedničkami a nulami získat varianty od 11110000-

11111111, což je dekadicky 240-255.

IP adresy třídy E začínají číslem z rozsahu 240-255 (6).

Privátní IP adresy

Pro směrování na veřejné síti se musí používat unikátní, jednoznačné IP adresy. Na veřejné síti se IP

adresy nesmí duplikovat. To by vedlo ke konfliktům těchto adres a zmatku ve směrování. Této sku-

tečnosti zabraňuje PROXY brána. Proxy brána může sloužit pro libovolnou službu protokolu TCP/IP.

Proxy je ve skutečnosti počítač, který je připojen libovolným způsobem k Internetu. Musí mít sku-

tečnou IP adresu, aby viděl "ven" a z "venku" byl vidět.

Obr. 5.5: Princip Proxy serveru; zdroj: (4)

Je-li mezi intranetem a Internetem proxy či gateway, pak se navazuje samostatné spojení mezi kli-

entem a proxy a další samostatné spojení mezi proxy a cílovým serverem. Není tedy nutné, aby in-

tranet používal IP-adresy známé v Internetu. Takže IP adresy přidělené počítačům v lokálních sítích

nesouvisí s adresami v Internetu, jejich volba je na správci lokální sítě. Jedná se pak o tzv. privátní

IP adresy.

Pro lokální sítě jsou v každé třídě vyhrazeny rozsahy IP adres, které nelze použít v Internetu. Tyto

adresy nejsou v rámci Internetu adresovatelné (směrovače je ve svých směrovacích tabulkách ne-

obsahují), jsou tedy bezpečné (nemohou způsobit problémy v jiných sítích, pokud by vlivem ne-

správné konfigurace sítě odešly mimo její hranice).

Intervaly IP-adres (rezervované IP pro vnitřní sítě)

Třída A: 10.0.0.0 až 10.255.255.255

Třída B: 172.16.0.0 až 172.31.255.255

Třída C: 192.168.0.0 až 192.168.255.255


Takovéto adresy používají intranety, tj. tyto adresy nejsou jednoznačné, nelze je tedy v Internetu

použít, takže počítače intranetu jsou tak chráněny proti přímému navazování spojení. Není-li na roz-

hraní mezi Internetem a intranetem proxy nebo gateway, pak je možné použít Network Adress

Translator (NAT), který je součástí software přístupových routerů či je realizován softwarově.

NAT

NAT – Network Address Translation

Jedná se o překlad mezi interní privátní adresou a veřejnou adresou. Jestliže chce počítač v interní

privátní síti (intranetu) přistupovat ke zdrojům na veřejné síti, např. na Internet, musí na hraničním

zařízení, kterým je obvykle směrovač, dojít k překladu adres.

Počítač vyšle dotaz směrovaný na vnější zařízení umístěné na Internetu. Hraniční směrovač musí

zajistit, aby se v posílaných datech nevyskytovala jako odchozí IP adresa privátní adresa počítače,

protože odpověď na tento dotaz by nebyla v síti Internet směrována a pakety s privátní adresou cíle

by byly zahozeny.

Směrovač nahradí zdrojovou privátní adresu veřejnou IP adresou, která je již v síti Internet směro-

vatelná.

Směrovač musí mít k dispozici jednu nebo více veřejných IP adres, které takto půjčuje a pomocí kte-

rých zaměňuje privátní adresy v komunikaci za tyto veřejné. Obvykle nemá k dispozici tolik veřej-

ných IP adres, jako má privátních IP adres ve své privátní síti. Pak musí jednotlivé komunikace odlišit

ještě pomocí přidělování portů. Odchozí komunikace a příchozí odpovědi z veřejné sítě jsou pak ma-

povány pomocí čísel portů, podle nichž směrovač dokáže odlišit a rozhodnout, kterému počítači kte-

rou odpověď poslat.

Správci IP adres

Hlavním správcem IP adres je organizace IANA (The Internet Assigned Numbers Authority) spolu

s ICANN (Internet Corporation for Assigned Names and Nubmers). Do 90. let 20. století IANA spra-

vovala a přidělovala IP adresy sama, ale později tuto činnost delegovala na další společnosti. Zbýva-

jící prostor IP adres verze 4 byl rozdělen mezi tyto organizace, tzv. regionální internetové registry –

RIP. Regionální IR spravují větší oblast (např. kontinent). Území pokrývané jedním regionálním IR je

rozděleno mezi lokální IR. Lokální IR jsou zpravidla poskytovatelé Internetu. Koncový uživatel (tj.

správce podnikové sítě) se obrací na lokálního IR (tj. poskytovatele Internetu), ten přesně zformuluje

jeho požadavky a zašle je regionální IR (7).

Poskytovatel připojení k Internetu

ISP (Internet Service Provider) – poskytovatel připojení k Internetu


Když se uživatel potřebuje připojit k Internetu, požádá některého z poskytovatelů. Ten mu může

přidělit potřebný počet veřejných IP adres, pomocí kterých se lze do veřejné sítě připojit.

Pokud přejde k jinému poskytovateli, vrátí předchozímu poskytovateli poskytnuté IP adresy a do-

stane od nového poskytovatele nové adresy z jeho rozsahu.

Poskytovatelé Internetu zajišťují svým zákazníkům většinou i další služby, jako jsou DNS služby, we-

bové služby, e-mail.

Poskytovatelé Internetu se dělí podle hierarchického připojení k síti do skupin. Nejvyšší skupina je

připojena přímo k páteřní síti, a poskytuje tak svým zákazníkům vysokorychlostní připojení k síti

a odpovídající služby, především spolehlivost přístupu k síti.

Druhá skupina získává své připojení od poskytovatele Internetu na první úrovni. Nabízí svým zákaz-

níkům obvykle více služeb než poskytovatelé první úrovně. Jsou to např. DNS služby, e-mailové ser-

very, webové servery, výroba a údržba webových stránek, internetové obchody, telefonní služby

přes Internet. Jelikož je druhá skupina připojena k Internetu zprostředkovaně pomocí první skupiny,

není již rychlost připojení a jeho spolehlivost tak vysoká jako u první skupiny.

Druhá skupina poskytovatelů může podporovat poskytovatele Internetu třetí úrovně, kteří se již ne-

zabývají rychlostí ani spolehlivostí připojení, ale jen základním připojením a podporou. I tyto horší

služby od poskytovatelů Internetu v třetí úrovni jsou často vhodnou volbou vzhledem k ceně.

Nedostatek IP adres

Místem, kde současná koncepce protokolů TCP/IP snad nejvíce „praská ve švech", je rozsah čísel-

ných adres, používaných na úrovni síťové vrstvy, tedy IP adres. Autoři TCP/IP zvolili pevný rozsah

těchto adres 32 bitů. Ve své době to jistě bylo více než dostatečné, a skýtalo to bohatou rezervu.

Autoři TCP/IP tehdy uvažovali nejvýše v měřítku desítek či maximálně stovek sítí, které budou mít

zájem propojit se prostřednictvím protokolů TCP/IP. Určitě je tehdy nenapadlo, že díky obrovskému

rozmachu Internetu z těchto desítek až stovek relativně velkých sítí budou rázem miliony mnohdy

miniaturních sítí a jednotlivých počítačů. Autoři TCP/IP sice počítali s určitou různorodostí připojo-

vaných sítí co do jejich velikosti, a připravili pro ně tři různé formáty IP adres - adresy třídy A pro

velmi velké sítě, adresy třídy B pro středně velké sítě, a adresy třídy C pro malé sítě. Konkrétní způ-

sob přidělování IP adres, který z této koncepce vycházel, však nebyl příliš úsporný, a vedl naopak

k jistému plýtvání dostupným adresovým prostorem, jednou provždy vymezeným 32bitovým rozsa-

hem IP adres. Již na počátku osmdesátých let, v souvislosti s nárůstem zájmu o Internet, se pak za-

čalo rýsovat určité nebezpečí vyčerpání adresového prostoru všech IP adres. S postupem času, ros-

toucím zájmem o Internet a akcelerujícím čerpáním IP adres pak toto nebezpečí začínalo nabývat na


intenzitě. Nikdo však nedokázal exaktně vypočítat, kdy by k úplnému vyčerpání mohlo dojít, přesto

se ale všichni shodovali v tom, že jde o nebezpečí, se kterým je třeba něco dělat.

Dočasné řešení nedostatku IP adres

Jedna z možných strategií úspory IP adres vychází z toho, že se dovolí, aby různé sítě a uzly měly

stejné IP adresy – viz privátní adresy.

Dalším významným opatřením na cestě ke zpomalení úbytku IP adres bylo odbourání dosavadního

členění IP adres na třídy A, B a C, a jejich přidělování i po jiných jednotkách. Tím se jednak odstranila

určitá neefektivnost při přidělování IP adres - například síť s pouhými čtyřmi uzly musela dříve dostat

jednu skupinu adres třídy C, neboli 254 jednotlivých IP adres - a současně s tím se dosáhlo i význam-

ného zjednodušení při vlastním směrování (zmenšil se objem informací, které si jednotlivé směro-

vače musí ke svému fungování pamatovat). Celá strategie dostala jméno CIDR (Classless Inter-Do-

main Routing). Pro uživatele je podstatné, aby rozuměl zejména způsobu zápisu bloků adres, tzv.

CIDR bloků, kdy se místo uvedení masky za IP adresou uvede za lomítkem délka síťové složky IP

adresy. Např. zápis 192.168.128.0/22 označuje blok adres od 192.168.128.1 do 192.168.131.254

s pevně fixovanými prvními 22 bity adresy.

Definitivní řešení nedostatku IP adres

Cesta k definitivnímu řešení nebyla jednoduchá. Stávající IP adresy jsou totiž tak hluboce „zakoře-

něny“ v dosavadním protokolu IP, že jakákoli změna ve své podstatě znamená vyvinutí zcela nového

přenosového protokolu síťové vrstvy. Do jeho hledání se zapojilo mnoho lidí, skupin i celých insti-

tucí, a předloženo bylo mnoho variant řešení, často i dosti protichůdných. Nakonec se podařilo do-

spět ke shodě nad jedním konkrétním protokolem, který byl posléze nazván IPv6 (Internet Protocol

verze 6). Tato nová verze protokolu IP místo dosavadních 32 bitů pro jednotlivé adresy již používá

128 bitů, a to by snad mohlo na velmi dlouhou dobu vystačit. Zajímavé bude spíše sledovat, jak se

nový protokol prosadí do praxe. Zatím se objevují první sítě založené na protokolu IPv6, všechny

nové operační systémy již protokol IPv6 podporují.

IP verze 6

Protokol IP verze 4 umožňuje adresovat přibližně 4 miliardy zařízení. Na světě však dnes existuje již

více počítačů, proto byl v 90. letech 20. století vyvinut nástupce protokolu IP verze 4 – protokol IP

verze 6.

Protokol IPv6 umožňuje 128bitové adresování. To do budoucna zajistí více než dostatečné množství

IP adres pro počítače a síťová zařízení na celém světě.


Protokol IPv6 je bezpečnější než IPv4, protože již ve své struktuře má integrované bezpečnostní

prvky a možnost ověřování.

Někdy se nová podoba protokolu IPv6 setkává s kritikou kvůli délce IP adresy. IP adresa verze 6 je

128bitová a pro jednodušší zápis se používá zápis v hexadecimální soustavě. Zapisuje se jako osm

skupin čtyř hexadecimálních číslic, skupiny jsou odděleny dvojtečkami. Nuly zleva se mohou vyne-

chávat.

Příklad IP adresy verze 6 je 1001:ab21:cd:af:1112:35:ff:ab28.

Jestliže je některá skupina číslic složená ze samých nul, můžete ji celou vynechat.

Např.: 1fab::23c:ffab::98de::ab02.

Typy adres

Unicast (individuální adresa) je přidělena jednomu konkrétnímu síťovému rozhraní. Data posílaná

na tuto adresu jsou doručena právě jen tomuto síťovému rozhraní.

Multicast (skupinová adresa) slouží k adresování skupiny síťových zařízení. Data posílaná na tuto

adresu dorazí všem členům skupiny.

Anycast (výběrová adresa) je nový typ adresy, který označuje skupinu síťových zařízení. Data po-

slaná na tuto adresu však dorazí jen k nejbližšímu členovi této skupiny. Význam těchto adres je např.

v rozkládání zátěže, zrychlení doby odezvy od serveru směrem ke klientovi, v ochraně proti útokům

majícím za cíl zahltit určitou adresu a ve zmenšení počtu adres, které danou službu poskytují. Využití

nachází např. v adresování kořenových DNS serverů, kdy se za několika adresami schovává ve sku-

tečnosti mnohem větší počet strojů, které poskytují tyto služby.

IP adresa koncového zařízení, maska podsítě a adresa sítě

Vraťme se k přidělování IP adres verze 4. Když si uvědomíme, že IP adresa má rozsah 32 bitů a přitom

je ještě rozdělena do tříd, je počet možných IP adres jednoznačně omezen. Pro efektivnější hospo-

daření s IP adresami se používá metoda nazývaná subnetting (subnet = podsíť). Umožňuje rozdělit

jednu „větší“ síťovou adresu na několik menších, tzn. rozdělit jednu větší síť na několik menších

podsítí. Určitá skupina dílčích sítí, které by bez použití techniky subnettingu měly samostatné bloky

IP adres (například 254 možných IP adres třídy C), má naopak jednu společnou adresu, a vůči svému

okolí vystupuje jako jediný celek, tj. jako jediná dílčí síť (viz Obr. 5.6).


Obr. 5.6: Princip adresování podsítě; zdroj: (5)

V rámci příslušné skupiny sítí je ale společná IP adresa dále členěna. Ta část adresy, která navenek

představuje adresu uzlu, se nyní rozpadá na dvě části - adresu podsítě v rámci skupiny, a na adresu

uzlu v rámci této podsítě.

Pro oddělení části adresy určené pro podsíť od části adresy pro uzel se používá maska podsítě. Ty

bity v masce podsítě, v nichž má odpovídající IP adresa bity identifikující síť, budou mít hodnotu 1,

zatímco ostatní bity budou mít hodnotu 0. Např. 255.255.255.0 je maska, kde první tři 8bitové části

odpovídají ID sítě a poslední část je ID uzlu (viz obr. 5.7).

Podstatná je přitom skutečnost, že tato maska nemá žádný povinný tvar. Volí se samostatně pro

každou jednotlivou podsíť, což pak ale znamená, že i v rámci jedné skupiny podsítí mohou být pou-

žívány různé masky. Obvykle se však setkáme spíše s tím, že v rámci jedné skupiny podsítí je použí-

vána stejná maska.


Obr. 5.7: Adresování masky podsítě; zdroj: (5)

Příklad:

Pro malé lokální sítě je nejběžnější využívat IP adresy z rozsahu 192.168.1.xxx (za xxx se dosazuje

číslo od 1 do 254) a jako masku podsítě použít 255.255.255.0. Je však velmi vhodné si zvolit nějaký

systém v přidělování IP adres. Rozhodně by měl mít správce sítě všechny přidělené adresy pozname-

nány s údajem o tom, kdo je jejich vlastníkem a kde se nachází, velice to usnadní řešení problémů.

Ve školní počítačové síti je adresa 192.168.1.1 přidělena výchozí bráně, jednotlivé stanice mají při-

děleny adresy od 192.168.1.2 do čísla, které závisí na počtu počítačů v lokální síti. U všech počítačů

je použita maska podsítě 255.255.255.0.

5.1.4 IP – Internet Protokol

Některé linkové protokoly jsou určeny pro dopravu dat v rámci lokální sítě, jiné linkové protokoly

dopravují data mezi sousedními směrovači rozsáhlé sítě. IP-protokol na rozdíl od linkových proto-

kolů dopravuje data mezi dvěma libovolnými počítači v Internetu, tj. i přes mnohé LAN. IP je datový

protokol používaný pro přenos dat přes paketové sítě. Tvoří základní protokol dnešního Internetu,

konkrétně se jedná o IPv4 (IP verze 4) a IPv6 (IP verze 6).

Další jsou IPX – Internetwork Packet Exchange (používaný v sítích Novell Netware) a AppleTalk (vy-

tvořený firmou Apple, původně vyvinutý pro počítače Macintosh).

IP-protokol je tvořen několika dílčími protokoly:

Vlastním protokolem IP.

Služebním protokolem ICMP sloužícím zejména k signalizaci mimořádných stavů.

Služebním protokolem IGMP sloužícím pro dopravu adresných oběžníků.

Služebními protokoly ARP a RARP, které jsou často vyčleňovány jako samostatné, na IP ne-

závislé protokoly, protože jejich rámce nejsou předcházeny IP-záhlavím (2).


ICMP protokol

ICMP (Internet Control Message Protocol) je jeden z jádrových protokolů ze sady protokolů Inter-

netu. Používají ho operační systémy počítačů v síti pro odesílání chybových zpráv - například pro

oznámení, že požadovaná služba není dostupná nebo že potřebný počítač nebo router není dosaži-

telný.

ICMP se svým účelem liší od TCP a UDP protokolů tím, že se obvykle nepoužívá sítovými aplikacemi

přímo. Jedinou výjimkou je nástroj ping, který posílá ICMP zprávy „Echo Request“ (a očekává příjem

zprávy „Echo Reply“) aby určil, zda je cílový počítač dosažitelný a jak dlouho paketům trvá, než se

dostanou k cíli a zpět.

IGMP Protokol

Protokol IGMP je podobně jako protokol ICMP služebním protokolem (podmnožinou) protokolu IP.

Pakety IGMP-protokolu jsou baleny do IP-datagramů.

Protokol IGMP řeší šíření adresných oběžníků v rámci LAN (multicasts). Směrovače udržují seznam

skupin. V případě, že se nějaký počítač na LAN přihlásí do konkrétní skupiny, pak směrovače začnou

daný oběžník na LAN šířit. V případě, že poslední člen skupinu opustí, pak se šíření adresného oběž-

níku na LAN zastaví. Čili existence skupiny znamená šíření oběžníků.

Protokol ARP

ARP (Address Resolution Protocol) se v počítačových sítích s IP protokolem používá k získání ether-

netové (MAC) adresy sousedního stroje z jeho IP adresy. Používá se v situaci, kdy je třeba odeslat IP

datagram na adresu ležící ve stejné podsíti jako odesilatel. Data se tedy mají poslat přímo adresátovi,

u něhož však odesilatel zná pouze IP adresu. Pro odeslání prostřednictvím např. Ethernetu ale po-

třebuje znát cílovou ethernetovou adresu.

Proto vysílající odešle ARP dotaz obsahující hledanou IP adresu a údaje o sobě (vlastní IP adresu

a MAC adresu). Tento dotaz se posílá linkovým broadcastem – na MAC adresu identifikující všechny

účastníky dané lokální sítě (v případě Ethernetu na FF: FF: FF: FF: FF: FF). ARP dotaz nepřekročí hra-

nice dané podsítě, ale všechna k ní připojená zařízení dotaz obdrží a jako optimalizační krok si zapíší

údaje o jeho odesilateli (IP adresu a odpovídající MAC adresu) do své ARP cache. Vlastník hledané

IP adresy pak odešle tazateli ARP odpověď obsahující vlastní IP adresu a MAC adresu. Tu si tazatel

zapíše do ARP cache a může odeslat datagram.

Informace o MAC adresách odpovídajících jednotlivým IP adresám se ukládají do ARP cache, kde

jsou uloženy do vypršení své platnosti. Není tedy třeba hledat MAC adresu před odesláním každého

datagramu – jednou získaná informace se využívá opakovaně.


Reverzní protokol ARP

Tento protokol má opačnou funkci k protokolu ARP. Tedy překlad známé fyzické (MAC) adresy na

adresu IP. Tento protokol bývá využíván na bezdiskových pracovních stanicích. Ty totiž nemají pro-

stor k ukládání záznamů o IP adresách a záznam o své IP adrese získávají ze serveru. Toto řešení

ovšem vyžaduje přítomnost serveru RARP v síti.

Postup získání adresy je následující: bezdisková stanice vyšle všem účastníkům v síti paket RARP.

Počítač, nakonfigurovaný jako server, vyhledá podle MAC adresy příslušnou IP adresu a odešle ji

zpět. Pracovní stanice paket přijme a uloží si jej do své paměti. Protokol RARP nemusí být opakován

až do opětovného restartu bezdiskové stanice.

Síťová vrstva je třetí vrstvou modelu ISO/OSI, zajišťuje propojení sítí LAN, používá

protokoly IP, IPX, AppleTalk aj. Jednotkou dat je paket (datagram) a na této vrstvě

pracuje router. V sítí s protokolem TCP/IP může komunikace probíhat jako unicast –

komunikace dvou účastníků (vysílání k jednomu), multicast – komunikace ve skupině

(vysílání ke skupině příjemců) nebo broadcast – všesměrové vysílání (vysílání ke všem

účastníkům). Nejběžnější formou komunikace je unicast

V počítačové síti využívající protokolovou sadu TCP/IP má každý počítač svou jedno-

značně určenou 32 bitovou adresu – IP adresu, která je rozdělena na 2 části (adresa

sítě a adresa uzlu v síti). Pro efektivnější využití rozsahu IP adres se používá maska

podsítě, která umožňuje část pro adresu uzlu použít na adresu podsítě (tzv. sub-

netting). V současné době se postupně zavádí nový protokol IPv6, který pro adresu

používá 128 bitů.

1. Popište, jakým způsobem provedete nastavení sítě na počítači.

2. Počítač má IP adresu 172.27.141.25 s maskou podsítě zadanou prefixem /20. Zjis-

těte, do jaké sítě počítač patří.

3. Síťové zařízení má IP adresu 172. 168. 56. 94. Určete, do jaké třídy IP adres patří.

4. Vysvětlete pojmy Broadcast, Unicast a Multicast.

Řešení

1. Síťové nastavení na počítači


Adresu IP, masku podsítě, výchozí bránu a DNS servery můžete nastavit ma-

nuálně nebo si tyto údaje nechat přidělit pomocí DHCP (zaškrtnutím volby

Získat adresu IP ze serveru DHCP automaticky).

Obr. 5.8: Nastavení sítě v MS Windows; zdroj: (3)

2. Vyjádřete IP adresu a masku binárně a proveďte logický součin mezi nimi. Lo-

gický součin se provádí na úrovni jednotlivých bitů. Je vhodné adresy napsat

pod sebe tak, aby bylo vidět, který bit se kterým bitem budou členy operace

AND.

IP adresa:10101100.00011011.10001101.00011001

Maska:11111111.11111111.11110000.00000000

AND:10101100.00011011.10000000.00000000

Výsledek logického součinu zapsaný na předchozím řádku je adresa sítě, do

které počítač patří. V desítkové soustavě lze adresu sítě zapsat jako

172.27.128.0.

3. IP adresu 172. 168. 56. 94 vyjádříme binárně:

10101100 . 10101000 . 00111000 . 001011110

První oktet začíná číslicemi 10, proto zařízení patří do třídy B.


[1] BOUŠKA, P. TCP/IP – metody vysílání dat. [online]. [cit. 2017-12-02]. Dostupné

z: https://www.samuraj-cz.com/clanek/tcpip-metody-vysilani-dat/






Media, 2010. 180 s. ISBN 978-80-7402-036-0

[4] DOSTÁLEK, L. Jak se bezpečně připojit k Internetu. [online]. [cit. 2017-12-12].

Dostupné z: http://download.matus.in/it/Velky%20pruvodce%20proto-

koly%20TCP-IP%20-%20bezpecnost/Cd-II/CD-uvod/um.htm

[5] KOUTNÁ, M.a T. SOCHOR. Úvod do počítačových sítí. Orlová: OA Orlová, 2006.



ISBN 978-80-251-3363-7.



Kapitola 6

Směrování v internetu


Vysvětlit pojem směrování, popsat význam směrovacích tabulek, uvést základní rozdíl mezi typy směrování, stručně charakterizovat směrovací protokoly.

Klíčová slova:

Směrování, směrovací tabulky, statické a dynamické směrování, směrovací protokoly.

router.

107 SMĚROVÁNÍ V INTERNETU

6.1 Směrování

Směrování je proces zjištění cesty mezi dvěma sítěmi. Děje se na 3. (sítové) vrstvě ISO OSI modelu

na základě cílové adresy umístěné v hlavičce každého paketu, přičemž jsou do něj zapojené jednot-

livé směrovače mezi zdrojovou a cílovou destinací.

Proces směrování na směrovači lze velmi stručně popsat takto:

1. paket přijde na rozhraní směrovače,

2. směrovač vyhledá v směrovací tabulce záznam určující výstupní rozhraní cílové sítě, pří-

padně adresu dalšího směrovače na cestě k cílové adrese,

3. pokud se záznam pro cílovou síť v tabulce:

a. nachází, směrovač pošle paket dál zvoleným rozhraním

b. nenachází

a je nakonfigurovaná tzv. „default route“ (výchozí cesta), směrovač pošle paket

rozhraním, které tato „default route“ určuje,

pokud výchoz cesta není zadána, směrovač paket zahodí a zdrojovému zařízení

pošle ICMP zprávu o nenalezení cesty.

Směrovaní IP datagramů (IP routing) a předávaní IP datagramů (IP forwarding) jsou dva procesy, na

kterých Internet stojí.

Z názvu by se zdálo, že směrování provádějí směrovače. Ve skutečnosti zdaleka nejsou samy. Smě-

ruje každé zařízení zapojené do IP sítě. I koncové počítače, byť v jejich případě bývá směrování trivi-

ální.

6.1.1 Předávání (forwarding) a filtrace (filtering)

Předávání umožňuje stanici pracovat jako směrovač. Pokud stanice zjistí, že IP datagram není adre-

sován pro ni, pak se jej pokouší předat dále, tj. odeslat jako odesílá své IP datagramy.

Předávání lze i zakázat – to bývá volbou jádra operačního systému. Zajímavou vlastností mnohých

operačních systémů je, že IP datagramy nepředávají mechanicky, ale provádějí filtraci (filtering nebo

též screening), tj. nepředávají všechny pakety, ale jen některé – prolustrované.

Většinou filtrace pracuje tak, že před tím, než je IP datagram předán, tak se celý proces předávaní

pozastaví a rozhodnutí, zdali IP datagram předat, se ponechá na procesu (službě) běžícím na pozadí.


Předávaný IP datagram se předá filtračnímu procesu (Obr. 6.1), který buď předání schválí, nebo za-

mítne.

Filtrační proces se rozhoduje na základě informací v:

IP záhlaví, např. není-li adresát nebo příjemce na černé listině,

TCP záhlaví, např. podle čísel portu a nastavených příznaků ACK či SYN,

aplikačním protokolu, což používají firewally atp.

Obr. 6.1: Filtrace; zdroj: (1)

První dva typy filtrace jsou běžně implementovány na směrovačích. Třetí typ je záležitostí firewallů

pracujících na principu filtrace (na rozdíl od firewallů pracujících na principu proxy).

6.1.2 Směrování (routing)

Směrování IP datagramů je velice podobné třídění dopisů na poště. Na poště mají třídící stůl s vyře-

zanými otvory. Pod každým otvorem je přivázán poštovní pytel. Nad otvorem jsou napsány názvy

měst, kam je z místní pošty přímé poštovní spojení.

Třídění probíhá tak, že poštovní úředník bere dopis za dopisem. Na každém dopisu si prohlédne

adresu. Je-li adresát z Brna, pak dopis vhodí do otvoru Brno. Je-li adresát z Roztok u Prahy, pak dopis

vhodí do otvoru Praha (protože do Roztok není přímé poštovní spojení, to je nejblíže Roztokům do

Prahy).


Obr. 6.2: Třídění na poště; zdroj: (1)

Až poštovní úředník vytřídí všechny dopisy, pak pytel po pytli odváže z třídícího stolu. Každý pytel

zaváže a přiváže k němu visačku, na kterou napíše název města, kam se má pytel odeslat. Poté se

pytel naloží…

Směrovač netřídí dopisy, ale IP datagramy. Tento proces se nazývá směrováním. Směrovač obdrží IP

datagram a musí rozhodnout, do kterého svého rozhraní jej má vhodit, kterému svému sousedovi

(next hop) jej má poslat. Zjednodušeně řečeno: směrovač je zařízení, které předává IP datagramy

z jednoho svého rozhraní do jiného rozhraní. Směrovač umí předat IP datagram i do téhož rozhraní,

ze kterého IP datagram přišel. Považuje to však za výstřednost, takže na to odesilatele IP datagramu

upozorni ICMP paketem „redirect“.

Na Obr. 6.3 směrovač obdržel IP datagram adresovaný stanici 10.5.2.1 a musí rozhodnout, zdali jej

vložit do rozhraní Serial1, Serial2 nebo snad zpět do rozhraní Ethernet.

Obr. 6.3: Dilema směrovače: „Do kterého rozhraní IP diagram vložit?“; zdroj: (1)


Směrovací tabulky

Směrovači k rozhodování slouží směrovací tabulka (obdoba třídícího stolu na poště). Náš směrovač

z Obr. 6.3 má následující obsah směrovací tabulky:

Obr. 6.4: Směrovací tabulka; zdroj: (1)

Směrovací tabulka má v prvním sloupci IP adresu cílové sítě. Představme si pro jednoduchost, že

směrovací tabulka je podle prvního sloupce tříděna sestupně. To nám umožni snadno aplikovat zá-

kladní pravidlo směrování: Více specifická adresa cílové sítě má přednost před méně specifickou .

Více specifickou adresou sítě se rozumí adresa, která má v síťové masce více jedniček. V případě, že

by se ve směrovací tabulce našly dvě či více cest k cíli, pak se zvolí více specifická cesta. V případě,

že se najdou dvě stejně specifické cesty, pak se zvolí cesta s nejnižší metrikou (cenou).

Zpracování

V případě, že jsou řádky směrovací tabulky tříděny sestupně, pak stačí směrovací tabulku procházet

od shora dolů. Na každém řádku se vezme síťová maska, kterou se bit po bitu vynásobí IP adresa

příjemce IP datagramu. Výsledek se porovná s prvním sloupcem. Pokud se výsledek nerovná IP ad-

rese sítě v prvním sloupci, pak se přejde na zpracování následujícího řádku. Pokud se výsledek sho-

duje s IP adresou v prvním sloupci, pak se ještě otestuje následující řádek, zdali ve směrovací tabulce

neexistuje k cíli ještě jiná cesta, (pak by vstoupila do hry metrika).

Vraťme se k přikladu z obr. 3. Směrovač je postaven před rozhodnutí, kterým svým síťovým rozhra-

ním IP datagram o adrese 10.5.2.1 odeslat. Postupně shora dolů prochází směrovací tabulku:

1. řádek:


Vynásobíme-li bit po bitu cílovou adresu 10.5.2.1 s maskou 255.255.255.0, obdržíme 10.5.2.0, což

se nerovná IP adrese sítě v prvním sloupci (ta je 192.168.1.0). Přecházíme na vyhodnocení následu-

jícího řádku.

2. řádek:

Vynásobením bit po bitu cílové adresy 10.5.2.1 s maskou 255.255.255.0 obdržíme 10.5.2.0, což se

nerovná IP adrese sítě v prvním sloupci (ta je 10.1.2.0). Přecházíme na vyhodnocení následujícího

řádku.

3. řádek:


nerovná IP adrese sítě v prvním sloupci (ta je 10.5.1.0). Přecházíme na vyhodnocení následujícího

řádku.

4. řádek:


rovná IP adrese sítě v prvním sloupci (ta je 10.5.0.0). Budeme proto náš IP datagram vkládat do

rozhraní Seriál 1 a předávat jej dalšímu směrovači o IP adrese 10.5.5.5. Pokud by se nejednalo o sé-

riovou linku, ale např. o Ethernet, pak by bylo třeba zjistit linkovou adresu směrovače o IP adrese

10.5.5.5 protokolem ARP.

Poslední řádek obsahující v prvním sloupci 0.0.0.0 s maskou 0.0.0.0 se nazývá default(výchozí, im-

plicitní). Tímto implicitním směrem jsou pak odesílány všechny IP datagramy, pro které nevyhovoval

žádný řádek směrovací tabulky (všimněte si, že vyhovuje každé IP adrese: nula krát nula je nula).

Implicitní směr ve směrovací tabulce může a nemusí být – závisí to na správci, jak tabulku naplnil.

Implicitní směr používají např. firmy pro cestu do Internetu.

S implicitním směrem se setkáváme i na silnici. Když jedu z Budějovic do Prahy, tak implicitní směr

je do Prahy, ale na mnohých křižovatkách je značeno jen odbočení. Je tam šipka do Třeboně či do

Bechyně, ale mnohdy chybí přímý směr do Prahy. Implicitně každý ví, že tahle silnice vede do Prahy

(tj. default je do Prahy), tak to přece není třeba stále na každé mezi opakovat (1).


Klíčové funkce směrovače jsou:

Udržování směrovacích tabulek, přičemž se ke komunikaci s ostatními směrovači využívají

směrovací protokoly.

Směrování (přeposílání) paketů (vyhledání v tabulce, přepnutí na rozhraní, zapouzdření,

vyslání)

K určení optimální cesty pro data směrovače využívají různé metriky a jejich kombinace. Mezi me-

triky patří např.:

počet přeskoků,

šířka pásma,

zpoždění,

spolehlivost (frekvence chyb na lince),

cena (přiřazena staticky administrátorem) aj.

Určení cesty směrovačem – shrnutí

Určení cesty nastává na 3. vrstvě. K určování nejlepší cesty směrovače používají směrovací tabulky,

které obsahují statické a dynamické cesty. Statické jsou manuálně zadané administrátorem, dyna-

mické jsou získané z ostatních směrovačů pomocí směrovacích protokolů.

Proces volby cesty na směrovačích se též nazývá směrování paketů. Každý směrovač, kterým paket

projde podél cesty, se nazývá přeskok.

Proces určení cesty pro každý paket:

1. Směrovač přijme rámec a zjistí, zda je určen pro něj. Pokud není, zahodí jej.

2. Odstraní rámcovou hlavičku z paketu a zjistí cílovou adresu paketu.

3. Vezme první položku směrovací tabulky.

4. Masku položky směrovací tabulky aplikuje na cílovou adresu paketu.

5. Porovná maskovanou adresu s položkou směrovací tabulky.

6. Pokud se shodují, paket je poslán na port, který je asociován s položkou tabulky a pokra-

čuje bodem 10, pokud se neshodují a ve směrovací tabulce je další položka, vezme další po-

ložku směrovací tabulky a pokračuje bodem 4.

7. Pokud nedošlo ke shodě a ve směrovací tabulce není další položka, směrovač zkontroluje,

zda má nastavenou výchozí cestu.

8. Pokud má, paket je poslán na rozhraní asociované s touto cestou a pokračuje bodem 10.

9. Pokud není nastavena výchozí cesta, zahodí paket a pošle odesilateli ICMP zprávu s infor-

mací, o nenalezení cesty.

10. Pokud byl paket zaslán na odchozí rozhraní, zapouzdří jej do správného rámce pro toto roz-

hraní a odešle jej.


6.1.3 Typy směrování

Směrování se provádí na úrovni IP protokolu. Principiálně mohou nastat dva případy:

Přímé směrování: Přenos IP datagramů mezi dvěma počítači na jedné fyzické síti (např.

tomtéž segmentu Ethernetu) nevyžaduje spolupráci žádného routeru.

Nepřímé směrování: Na přenosu IP datagramů mezi dvěma počítači na různých fyzických

sítích se podílí jak vysílající počítač, tak i router => vysílající počítač tedy musí znát IP adresu

(alespoň jednoho) routeru na své fyzické síti. Routery TCP/IP internetu tvoří navzájem spo-

lupracující strukturu, postupně si předávají příslušný datagram, dokud nedorazí do routeru,

který je přímo připojen do cílové fyzické sítě a který jej pak pošle přímo koncovému adresá-

tovi.

Proces směrování úzce souvisí se směrovací tabulkou, která obsahuje výstupní rozhraní všech sítí,

které směrovač pozná. Vkládání těchto záznamů se děje bud staticky příkazy iniciovanými adminis-

trátorem, anebo dynamicky pomocí směrovacích protokolů (3).

Statické směrování

Jedná se o směrování na základě statických záznamů v směrovací tabulce. Tyto záznamy přidává

zpravidla ručně administrátor pomocí příkazů na konkrétním zařízení.

Naproti tomu, že konfigurace statického směrování je velmi jednoduchá a rychlá, samotné směro-

vání má několik nevýhod:

administrátor musí znát topologii sítě;

jakoukoli změnu v topologii sítě je nutné aplikovat ručně na každém ze směrovačů, což je

v případě velkých sítí velmi náročné;

složitá správa už při malých sítích.

Právě kvůli těmto nevýhodám je statické směrování využívané jen ve velmi specifických případech

a většinou v kooperaci se směrováním dynamickým.

Každá cesta k síti v směrovací tabulce má kromě jiného uvedenou i tzv. administrativní vzdálenost.

Jedná se o údaj, který určuje její spolehlivost, přičemž každá statická cesta má administrativní vzdá-

lenost implicitně rovnu 0. Pokud existují 2 cesty do té samé sítě, má přednost ta, která má adminis-

trativní vzdálenost nižší.

„Default route“ je staticky definovaná cesta, která se použije v případě, že se záznam o cílové adrese

paketu nenachází v směrovací tabulce. Její použití je časté v hraničních směrovačích, které jsou do

sítě připojené jediným rozhraním.


Obr. 6.5: Schéma statického směrování; zdroj: http://docplayer.cz/35912705-Smerovani-a-smerovaci-protokoly.html

Dynamické směrování

Dynamické směrování je proces směrování odlišný od statického v mnohých aspektech.

Jeho základ tvoří použití směrovacích protokolů, jako jsou RIP, IGRP, OSPF apod. Každý z těchto pro-

tokolů tvoří komunikaci mezi směrovači a umožňuje šíření informací týkajících se sítě. Každá z těchto

informací se využívá při aktualizování směrovací tabulky a celý proces se děje plně automaticky bez

nutnosti zásahu administrátora.

Proti statickému směrování má dynamické následující hlavní výhody:

administrátor nemusí znát aktuální topologii sítě;

jakékoli změny v topologii sítě se automaticky okamžitě šíří prostřednictvím směrovacích

protokolů na všechna zařízení, které následně flexibilně na tyto změny zareagují;

přes složitější počítačovou konfiguraci (v závislosti na zvoleném směrovacím protokolu) je

potom administrace o mnoho jednodušší než v případě statického směrování.

Směrovací protokoly slouží na správu směrovacích tabulek v určité autonomní oblasti, což je oblast

sítí s dohodnutou strategií správy. Autonomní oblast slouží na rozdělení velkých sítí na menší a teda

i lehčeji spravovatelné sítě, přičemž každé oblasti je přidělený jednoznačný identifikátor např. ve

formě čísla.

Podle toho, jestli protokoly pracují vevnitř této oblasti anebo mezi oblastmi, dělí se na interní a ex-

terní (3).


Obr. 6.6: Autonomní systémy; zdroj: http://docplayer.cz/35912705 -Smerovani-a-smerovaci-protokoly.html

6.2 Směrovací protokoly

Směrovací protokoly jsou aplikační protokoly, které neslouží uživatelům (osobám), ale směrovačům,

aby si vzájemnou komunikací mezi sebou automaticky naplnily směrovací tabulky. Je dvojí na sobě

nezávislé dělení směrovacích protokolů:

Na Link State Protocols (LSP) a na Routing Vector Protocols (RVP).

Na IGP a EGP.

6.2.1 LSP a RVP

Protokoly RVP (Routing Vector Protocols) pracují tak, že si sousední směrovače mezi sebou vyměňují

obsahy směrovacích tabulek (vektorem se míní jedna položka směrovací tabulky). Obdržím-li jed-

notlivé vektory ze směrovací tabulky svého souseda, pak si z nich mohu vybrat vektory, které ve

vlastní směrovací tabulce nemám a doplnit je do vlastní směrovací tabulky. Nesmím zapomenout

u takto doplněné položky zvýšit metriku.


Tyto protokoly jsou jednoduché a snadno se implementují. Jejích nevýhodou je, že ve větších roz-

sáhlých sítích může výměna vektorů oscilovat a pak některé vzdálenější sítě mohou být chvilku do-

stupné a za okamžik již nikoliv. Většími sítěmi se rozumí sítě o více jak 10 LAN.

Příkladem protokolů RVP jsou protokoly RIP a RIP 2. V operačním systému UNIX je protokol RIP im-

plementován programem routed. Protokolem RIP si sousední směrovače vyměňují pomocí všeobec-

ných oběžníků (broadcast) obsahy svých směrovacích tabulek. Nevýhodou je, že v tomto protokolu

není v položce směrovací tabulky uváděna síťová maska. Proto lze protokol RIP použít jen tehdy,

když v síti používáme pouze sítě se standardní maskou. Protokol RIP 2 tuto nevýhodu odstraňuje.

RIP 2 šíří obsahy směrovacích tabulek zpravidla pomocí adresného oběžníku (broadcast) o IP-adrese

224.0.0.9. Protokol RIP je jen zřídka implementován.

Protokoly LSP pracují na zcela odlišném principu. Každý směrovač si zjistí, jaké směrovače má za své

sousedy a v pravidelných intervalech testuje jejich dostupnost. Celou síť pak zaplavuje svými oběž-

níky o tom, koho má za své sousedy. Takže každý směrovač má od všech ostatních směrovačů zprávu

o tom, jaké mají sousedy.

Takže každý směrovač má seznam všech cest v síti. Na tento seznam se pustí algoritmus nejkratší

cesty, kterým se zjišťuje směr, kam se má IP-datagram odeslat. Tj. položky směrovací tabulky se

počítají algoritmem nejkratší cesty z dat obdržených od ostatních směrovačů.

U rozsáhlých sítí je problematické zaplavovat je velkým množstvím informací ze směrovačů, proto

se takové sítě rozdělí na oblasti a zmíněný postup se aplikuje pouze v rámci této oblasti. Na hranicích

se sousedními oblastmi jsou hraniční směrovače, které si pak vyměňují informace o celých oblas-

tech.

Protokoly LSP jsou oproti protokolům RVP nesrovnatelně stabilnější a lze je aplikovat i u velmi roz-

sáhlých sítí. Nevýhodou je, že návrh sítě, tj. rozdělení sítě na oblasti musí provést zkušený odborník,

rov-něž konfigurace je netriviální. Pokud se použije protokol typu LSP bez větších zkušeností, tak je

také možné, že některými linkami data prostě nepotečou a jiné budou přetížené.

6.2.2 IGP a EGP

Protokoly IGP jsou určeny pro činnost v rámci autonomního systému. Již zmíněné protokoly RIP,

RIP2, OSPF i IS-IS jsou vesměs protokoly IGP. Ovšem poskytovatelé Internetu si mezi sebou potřebují

také vyměňovat směrovací informace. Poskytovatelé Internetu pro výměnu směrovacích informací

mezi autonomními systémy používají protokoly EGP. V dnešní době používají protokol BGP (Border

Gateway Protocol) verze 4.


Protokoly EGP se liší od protokolů IGP zejména tím, že ve směrování umožňují zohlednit směrovací politiku (tj. kdo komu platí) (1),(4).

Směrování je proces zjištění cesty mezi dvěma sítěmi. Děje se na 3. (sítové) vrstvě ISO

OSI modelu na základě cílové adresy umístěné v hlavičce každého paketu, přičemž

jsou do něj zapojené jednotlivé směrovače mezi zdrojovou a cílovou destinací. Smě-

rovací protokol definuje, jak si směrovače vyměňují informace, které jim umožňují

vybírat cestu mezi libovolnými dvěma uzly v počítačové síti. Směrování probíhá po-

mocí směrovacích tabulek, které obsahují důležití informace pro rozhodnutí o smě-

rování. Podle vzniku záznamů ve směrovací tabulce hovoříme o statickém nebo dy-

namickém směrování.

1. Popište rozdíl mezi přepínáním a směrováním.

2. Charakterizujte základní pravidla statického a dynamického směrování.

3. Jaké metriky jsou využívány při zjišťování nejlepší cesty paketu?

4. Vysvětlete, jak se plní směrovací tabulka.

Řešení

4. Směrovací tabulka se plní:

Při konfiguraci síťového rozhraní, kdy říkáme jakou má síťové rozhraní adresu

a masku. V operačním systému UNIX se jedná o příkaz ifconfig.

Staticky (ručně) příkazem route.

Dynamicky ze ICMP-zpráv redirect.

Dynamicky směrovacími (tj. aplikačními) protokoly.

Staticky se směrovací tabulka plní pomocí příkazu route. V operačním systému NT má

příkaz route následující syntaxi:

ROUTE [-f] [command [destination] [MASK netmask] [gateway] [METRIC metric]]

https://cs.wikipedia.org/wiki/Protokol_(informatika)

https://cs.wikipedia.org/wiki/Router

https://cs.wikipedia.org/wiki/S%C3%AD%C5%A5ov%C3%BD_uzel

https://cs.wikipedia.org/wiki/Po%C4%8D%C3%ADta%C4%8Dov%C3%A1_s%C3%AD%C5%A5







Media, 2010. 180 s. ISBN 978-80-7402-036-0.



ISBN 978-80-251-3363-7.

[4] DOSTÁLEK, L. a A. KABELOVÁ. Velký průvodce protokoly TCP/IP a systémem DNS

Brno: Computer Press, 2012 978-80-251-2236-5.

Kapitola 7

Transportní vrstva a její

protokoly


Vysvětlit význam transportní vrstvy, popsat rozdíl mezi protokoly TCP a UDP, stručně charakterizovat činnost protokolu TCP, vysvětlit význam portů.

Klíčová slova:

Transportní vrstva, segment, protokol TCP, protokol UDP, port, datagram, socket.


7.1 Úloha transportní vrstvy

Transportní vrstva má za úkol rozdělovat data získaná z vyšších vrstev do segmentů, rozdělovat jed-

notlivé souběžné datové přenosy patřící pro různé aplikace, označovat jednotlivé segmenty čísly

portů, zajišťovat složení příchozích segmentů ve správném pořadí do původní datové správy, vyžá-

dat si data, která nepřišla v pořádku, omezovat rychlost posílání dat podle možností protistran.

Základními dvěma protokoly pracujícími na této vrstvě jsou protokoly TCP a UDP.

7.1.1 Segmentace dat a zpětné spojení segmentů

Data, která přicházejí z vyšších vrstev, jsou dělena do částí nazývaných segmenty. Segmenty jsou

číslovány. Na konci své cesty jsou segmenty opět složeny ve správném pořadí do datového toku,

který se posílá do vyšších vrstev.

Pokud některý segment nedorazí nebo dorazí poškozen, je odesílatel kontaktován a tento segment

je požadován.

Díky segmentaci dat je možné uskutečňovat současně více spojení, která se díky malým segmentům

mohou prolínat. Kdyby se data posílala vcelku, pak by jiná aplikace, která chce data posílat, musela

čekat, až skončí aktuální spojení.

Označování dat pro cílovou aplikaci

Aby cílový počítač věděl, do jaké aplikace nebo procesu má zaslaná data předat, musí být v segmen-

tech příznak identifikující cílovou aplikaci. Tímto příznakem je číslo, které se označuje jako port (2).

Rozdělení vícenásobných komunikací

Protože jednotlivé počítače mohou mít navázáno více spojení s protějšky, je třeba tyto souběžné

komunikace rozdělit, aby se data vzájemně nemíchala. Identifikování různých konverzací se děje

pomocí čísel, jimiž se segmenty označují. Tato čísla se nazývají porty. Segment se označí číslem cílo-

vého portu, který identifikuje aplikaci nebo proces v cílovém zařízení, v němž se mají data zpracovat.

Dále se do segmentu zapíše i číslo zdrojového portu, aby při odpovědi protějšku bylo možné identi-

fikovat zdrojový proces nebo aplikaci a nedocházelo k promíchání konverzací.

121 TRANSPORTNÍ VRSTVA A JEJÍ PROTOKOLY

Spolehlivost přenosu

Jednou z úloh transportní vrstvy je zajistit spolehlivý přenos, aby každý odeslaný datový segment

dorazil do svého cíle.

To je zajišťováno pomocí rozdělení dat do jednotlivých očíslovaných segmentů, následným potvrzo-

váním příchozích dat a opětovným zasláním nepotvrzených dat.

Kvůli této kontrole přibývá dat na síti a dochází tak ke zpomalení přenosu dat.

Podle typu aplikace můžete zvolit, zda je nutné zajistit spolehlivý přenos, zda opravdu všechna data

musí dorazit bezchybně do cíle i za cenu zpomalení přenosu. Některé aplikace toto zajištění spoleh-

livosti nevyžadují, potřebují rychlejší přenos za cenu nespolehlivosti.

Aplikace jako např. webové stránky a e-mail používají spolehlivý přenos, jinak by docházelo ke zkres-

lení obsahu. Jiné aplikace jako např. přenos videa nepotřebují 100% spolehlivý přenos, nevadí jim,

když část dat nedorazí do cíle, protože na celkový přenos to nemá výrazný vliv.

Spolehlivý přenos dat zajišťuje protokol TCP, nespolehlivý pak protokol UDP.

7.2 Protokol TCP (Transmition Control

Protokol)

Protokol TCP je spojovanou službou (connection oriented), tj. službu která mezi dvěma aplikacemi

naváže spojení – vytvoří na dobu spojení virtuální okruh. Tento okruh je plně duplexní (data se pře-

nášejí současně na sobě nezávisle oběma směry). Přenášené bajty jsou číslovány. Ztracená nebo

poškozená data jsou znovu vyžádána. Integrita přenášených dat je zabezpečena kontrolním souč-

tem.

Konce spojení (“odesilatel” a “adresát”) jsou určeny tzv. číslem portu. Toto číslo je dvojbajtové,

takže může nabývat hodnot 0 až 65535. U čísel portů se často vyjadřuje okolnost, že se jedná o porty

protokolu TCP tím, že se za číslo napíše lomítko a název protokolu (tcp). Pro protokol UDP je jiná

sada portů než pro protokol TCP (též 0 až 65535), tj. např. port 53/tcp nemá nic společného s portem

53/udp.


Cílová aplikace je v Internetu adresována (jednoznačně určena) IP-adresou, číslem portu a použitým

protokolem (TCP nebo UDP). Protokol IP dopraví IP-datagram na konkrétní počítač. Na tomto počí-

tači běží jednotlivé aplikace. Podle čísla cílového portu operační systém pozná, které aplikaci má

TCP-segment doručit.

Obr. 7.1: Protokol TCP; zdroj: (1)

Základní jednotkou přenosu v protokolu TCP je TCP segment. TCP segment se vkládá do IP-da-

tagramu. IP-datagram se vkládá do linkového rámce. Použije-li se příliš velký TCP-segment, který se

celý vloží do velkého IP-datagramu, který je vetší než maximální velikost přenášeného linkového

rámce, pak IP protokol musí provést fragmentaci IP-datagramu (viz Obr 7.2).


Obr. 7.2: Segmentace a fragmentace; zdroj: (4)

TCP segment

Pro zajištění spolehlivosti přenosu přidává TCP do hlavičky segmentu více údajů než UDP, celkem 20

bytů.

V hlavičce segmentu jsou údaje o zdrojovém portu, číslo sekvence, číslo potvrzení, okno (sloužící

k regulaci rychlosti posílaných dat), kontrolní součet, ukazatel důležitosti a další volby. Následují za-

sílaná data.

TCP používají aplikace jako we-

bové prohlížeče, e-mail, apli-

kace pro přenos souborů.

Ukázka komunikace

Na serveru na portu 80 poslouchá http server. Klientský počítač pošle na server žádost o zobrazení

webové stránky. Cílový port této žádosti je 80. Zdrojový port žádosti je dynamicky přidělen zdrojo-

vým počítačem, např. má přiděleno číslo 42 152. Server odpoví zasláním požadovaných dat na cí-

lový port klienta 48 152, zdrojový port odeslaných dat je nyní 80.

Navázání a ukončení spojení protokolem TCP

Zahájení spojení

Zahájení i ukončení spojení prochází procesem vzájemných návrhů a potvrzování.

Obr. 7.3: TCP segment; zdroj: (4)


Zahájení spojení prochází procesem nazývaným anglicky three-way-handshake neboli třícestné po-

třesení rukou.

Spočívá v tom, že klient vygeneruje náhodné číslo v intervalu 0 až 232 -1, které použije jako startovací

pořadové číslo odesílaného bajtu ISN (Initial Sequence Number). Klient pošle serveru synchronizační

segment s označením SYN jako žádost o synchronizaci. Tento segment obsahuje ISN (úvodní číslo

sekvence SEQ).

Server odpoví, že na tuto žádost přistupuje, odešle segment s označením SYN a ACK (potvrzení žá-

dosti), ACK nastaví na hodnotu o jedna vyšší, než bylo zaslané číslo sekvence (očekává další sek-

venci), SYN nastaví na vlastní číslo sekvence SEQ.

Klient uzavře tuto synchronizaci zasláním potrzujícího segmentu s označením ACK, jehož hodnota je

o jedna vyšší, než bylo číslo sekvence zaslané serverem. Dále pošle sekvenci s požadovaným číslem.

Tím je spojení navázáno a může začít přenos.

Obr. 7.4: Časový diagram otevírání TCP spojení; zdroj: https://is.mendelu.cz/eknihovna/opory/index.pl?cast=603

Uzavírání spojení

Proces ukončení spojení má čtyři fáze. Počítač, který chce spojení ukončit, vyšle segment s žádostí

o ukončení – FIN.

Počítač na druhé straně potvrdí, že s ukončením souhlasí, pošle segment s označením ACK. Poté

ještě segment s označením FIN.

První počítač potvrdí přijetí segmentu s označením FIN zasláním segmentu s označením ACK.


Obr. 7.5: :Uzavírání spojení protokolem TCP; zdroj: http://slideplayer.cz/slide/4203940/

Všechny tyto segmenty, které jsou součástí komunikace potřebné k ukončení spojení, také obsahují

svá označení pomocí čísel sekvence.

Potvrzování přijetí segmentů

Po navázání spojení cílové zařízení vždy potvrdí přijetí doručených dat. Odesílací zařízení pak posílá

další data. Pokud do zdrojového zařízení nedorazí potvrzení o přijetí odeslaných dat do určité doby,

vyšle tato data znovu.

V TCP segmentu se kromě ukazatele ACK (potvrzení), SYN (synchronizace) a FIN (ukončení) mohou

objevit i ukazatele URG (urgentní, obsahuje důležitá data), PSH (zpravidla se používá k signalizaci, že

TCP segment nese aplikační data, příjemce má tato data předávat aplikaci. Použití tohoto příznaku

není ustáleno) a RST (reset spojení, odmítnutí spojení).

Jak již bylo řečeno, každý TCP segment nese ve své hlavičce číslo, které označuje jeho pořadí mezi

ostatními segmenty proto, aby mohly být segmenty v cíli poskládány ve správném pořadí. Toto číslo

se nazývá číslo sekvence – označuje se SEQ.

Číslo sekvence označuje počet bytů, které byly již během tohoto spojení odeslány, plus 1.

Protější zařízení, které data přijímá, potvrzuje zdrojovému zařízení přijetí pomocí ukazatele ACK,

který nastaví na počet přijatých bytů plus 1. Tím zdrojovému zařízení potvrdí, že v pořádku přijalo

předchozí data.

Je zřejmé, že kdyby probíhalo potvrzování každého segmentu, byla by přenosová linka neúměrně

zatížena. Proto se segmenty posílají po skupinách a potvrzuje se přijetí celé skupiny. Cílové zařízení

potvrdí přijetí tohoto souboru segmentů zasláním segmentu s parametrem ACK nastaveným na po-

čet všech přijatých bytů plus 1.


Obr. 7.6: Časový diagram transportu segmentů v TCP spojení bez mechanismu plovoucího okna; zdroj: https://is.men-delu.cz/eknihovna/opory/index.pl?cast=603

Opakované odeslání nedoručených dat

Cílový počítač potvrdí zdrojovému počítači jen spojitou řadu úspěšně přijatých segmentů. Jestliže

v sadě segmentů zasílaných dohromady některé chybí nebo jsou poškozeny, např. jsou v pořádku

segmenty s čísly sekvencí 0-200 a pak až segmenty s čísly sekvencí 500-1000, cílový počítač potvrdí

zdrojovému počítači přijetí jen první úspěšné části, tj. pošle potvrzení s nastaveným parametrem

ACK=201. Zdrojový počítač pak bude znovu posílat segmenty s čísly sekvencí začínajících 201 a dál.

Dalším opatřením proti chybám je automatické odesílání segmentů, na které nepřišlo potvzení do

určité doby. Kopii odeslaného segmentu si zdrojový počítač po určitou dobu ponechává v paměti,

po odeslání spouští časovač, a pokud do určité doby nedostane od protistrany potvrzení o přijetí,

automaticky segment odesílá znovu.

Kontrola toku

K optimalizaci přenosu slouží další parametr TCP segmentu – tzv. okno. Jeho velikost se stanoví na

počátku spojení během procedury three-way-handshake. Je to číslo, které udává, kolik bytů dat je

možné poslat bez potvrzení přijetí. Tímto mechanismem můžete optimálně využít přenosovou ka-

pacitu linky a síťových zařízení optimalizací velikosti okna.

Velikost okna se automaticky mění podle toho, zda jsou data přijímána bez problémů. Pak můžete

okno zvětšit, zvýšit počet přijímaných dat bez potvrzování. Sníží se tím počet potvrzení, a tím se sníží


i zahlcení linky těmito potvrzeními. Naopak, dochází-li na síti ke ztrátám nebo poškození přenáše-

ných dat, velikost okna se sníží, čímž se sníží rychlost posílání dat na síť. Zdrojový počítač bude muset

čekat na potvrzení o přijetí menší sady segmentů, než pošle další data.

Obr. 7.7: Časový diagram transportu segmentů v TCP spojení s mechanismem plovoucího okna; zdroj: https://is.men-delu.cz/eknihovna/opory/index.pl?cast=603

7.3 UDP – User Datagram Protocol

Protokol UDP (User Datagram Protocol) je standard sady protokolů TCP/IP. Protokol UDP využívají

některé programy namísto protokolu TCP pro rychlý a nenáročný přenos dat bez zajištění spolehli-

vosti mezi hostiteli TCP/IP.

Protokol UDP poskytuje nespojované datagramové služby, které se snaží doručit data všemi dostup-

nými prostředky, nezaručují však doručení datagramů ani správné pořadí přenosu.

Tento protokol je využíván v aplikacích, které nepotřebují spolehlivý přenos, kterým nevadí, když se

část dat ztratí, poškodí nebo přijdou v jiném pořadí. Nevyžadují opětovné zaslání těchto chybných

nebo ztracených dat, případně o opětovné zaslání požádají samy.

V cílovém zařízení se příchozí data seřadí v pořadí, v jakém přišla. Pokud aplikace potřebuje, aby byla

data správně seřazena do původní podoby, musí si toto seřazení ohlídat sama.

UDP se na rozdíl od TCP nezabývá kontrolou toku, číslováním sekvencí, skládáním příchozích dat do

patřičného pořadí nebo opětovným zasláním nedoručených nebo poškozených dat.


Tento protokol používají pro přenos např. DNS, přenos hlasu pomocí VoIP, video, některé on-line

hry, směrovací protokol RIP, DHCP, SNMP, TFTP.

UDP je označován jako bezestavový – což znamená, že cílové zařízení nezasílá zdroji prostřednictvím

UDP protokolu zprávy o doručení.

Označuje se také za nespojovaný, což znamená, že před zahájením odesílání dat se protějšky nedo-

mlouvají na potřebných parametrech, ale ve chvíli, kdy aplikace potřebuje data vysílat, začne je ih-

ned vysílat.

Datové jednotky vytvářené protokolem UDP se nazývají datagramy.

V hlavičce datagramu jsou uvedeny doprovodné informace – zdrojový port (může být vynechán,

protože není vyžadováno, aby cílová aplikace odpovídala odesílateli na přijetí datagramu), cílový

port (identifikující cílovou aplikaci), délka a kontrolní součet. Celkové doprovodné informace v da-

tagramu přidávají k datům maximálně 8 bytů.

7.3.1 Porty

Port je šestnáctibitové číslo sloužící k identifikování zdrojové a cílové aplikace, mezi kterými probíhá

spojení. Na šestnácti bitech lze vytvořit 216 různých čísel, což jsou čísla 0-65535.

Zdrojový port slouží k identifikaci aplikace nebo služby na zdrojovém počítači, cílový port slouží

k identifikaci cílové aplikace na cílovém počítači.

Porty se používají jak pro protokol TCP, tak pro UDP.

Aby počítač, který je v roli klienta a spojuje se se serverem, věděl, jaké má být číslo cílového portu,

musí vědět, jaké aplikaci jaký port obvykle přísluší, nebo musí být nastaveno, jaký port má pro pří-

stup k cílové aplikaci použít.

Např. chce-li se webový prohlížeč na klientském počítači spojit s webovým serverem, přistupuje na

cílový port 80, pokud není stanoveno jinak. Aby server věděl, kam má odpovědět, je tato komuni-

kace opatřena i číslem zdrojového portu, který je přidělen na klientském počítači. Toto číslo je ná-

hodné jednoznačné číslo vyšší než 1023 (3).

Porty UDP

Porty UDP slouží k odesílání a příjmu zpráv UDP. Port UDP pracuje jako jednoduchá fronta zpráv

přijímající všechny datagramy určené pro program definovaný číslem portu protokolu. Programy vy-

užívající protokol UDP tedy mohou přijímat několik zpráv současně.


Servery programů, které využívají protokol UDP, přijímají zprávy odeslané na jejich čísla portů.

Všechna čísla portů UDP nižší než 1 024 (a některá vyšší čísla) jsou rezervována a registrována úřa-

dem IANA (Internet Assigned Numbers Authority).

Každý port serveru UDP je identifikován rezervovaným nebo známým číslem portu. Následující ta-

bulka obsahuje částečný seznam běžně používaných portů UDP, které používají standardní pro-

gramy pracující s protokolem UDP.

Číslo portu UDP Popis

53 Dotazy na názvy DNS

69 Protokol TFTP (Trivial File Transfer Protocol) 137 Služba názvů NetBIOS

138 Služba datagramů NetBIOS

161 Protokol SNMP (Simple Network Management Protocol)

520 Protokol RIP (Routing Information Protocol)

Tab 1: Úplný aktualizovaný seznam všech aktuálně zaregistrovaných běžně používaných portů UDP naleznete na we-bovém serveru úřadu IANA (Internet Assigned Numbers Authority) .

Socket

Jednoznačná kombinace síťové adresy IP a čísla portu se označuje jako socket. Např. když klientský

počítač přistupuje na cílový počítač s adresou 192.168.1.21 na port 80, socket jako kombince IP ad-

resy a portu je číslo 192.168.1.21:80.

Srovnání protokolů UDP a TCP

Zjednodušeně řečeno je mezi způsobem doručování dat pomocí protokolů UDP a TCP podobný roz-

díl, jako mezi telefonickým hovorem a pohlednicí. Protokol TCP pracuje podobně jako telefonický

hovor v tom smyslu, že před zahájením přenosu dat ověřuje dostupnost příjemce a jeho připrave-

nost zahájit komunikaci. Protokol UDP pracuje podobně jako pohlednice – zprávy jsou kratší a doru-

čení je sice pravděpodobné, ale ne zcela jisté.

Protokol UDP obvykle používají programy, které přenášejí data po malých objemech nebo potřebují

pracovat v reálném čase. V těchto situacích je výhodnější nižší objem provozních dat a možnosti ví-

cesměrového vysílání (například odeslání jednoho datagramu více příjemcům) protokolu UDP

než vlastnosti protokolu TCP.

Vlastnosti protokolu UDP lze postavit do přímého protikladu vůči službám a funkcím protokolu TCP.

Následující tabulka obsahuje srovnání způsobu zpracování komunikace TCP/IP podle toho, zda je

k přenosu dat použit protokol UDP nebo TCP.


UDP TCP

Nespojovaná služba, mezi hostiteli není třeba vy-tvořit relaci.

Služba orientovaná na připojení, mezi hostiteli se vytváří relace.

Protokol UDP nezaručuje doručení dat, nezajišťuje

potvrzování ani správné pořadí dat.

Protokol zaručuje dodání paketů s vyu-

žitím potvrzování a sekvenčního pře-nosu dat.

Programy, které používají protokol UDP, musí samy zajistit spolehlivost potřebnou k přenosu dat.

Programům, které používají protokol TCP, je zaručena spolehlivost přenosu dat.

Protokol UDP je rychlý, s malými požadavky na ob-jem provozních dat, a podporuje dvoustrannou ko-

munikaci i komunikaci jednoho hostitele s více hos-titeli.

Protokol TCP je pomalejší, má vyšší ná-roky na objem provozních dat a podpo-

ruje pouze dvoustrannou komunikaci.

Tab. 2: Srovnání protokolů TCP a UDP

Protokoly UDP i TCP využívají k identifikaci dat určených pro jednotlivé programy TCP/IP čísla portů.

V této kapitole jste se seznámili s vlastnostmi transportní vrstvy. Zejména je důležité

si zapamatovat, že zde jsou k dispozici dva alternativní přenosové protokoly, TCP

a UDP, které se liší svými vlastnostmi. Protokol TCP poskytuje spolehlivé spojové

služby, zatímco protokol UDP služby nespolehlivé nespojové. Mezi protokoly TCP

a UDP si mohou aplikace vybírat ten, který lépe vyhovuje jejich potřebám a požadav-

kům na přenosové služby. Oba tyto protokoly přitom využívají služeb nespolehlivého

protokolu IP na síťové vrstvě.

1. Popište význam transportní vrstvy.

2. Charakterizujte rozdíl mezi protokoly TCP a UDP.

3. Vysvětlete, co je TCP segment.






Media, 2010. 180 s. ISBN 978-80-7402-036-0.



ISBN 978-80-251-3363-7.

Kapitola 8

Aplikační vrstva, základní

protokoly aplikační vrstvy


Vysvětlit úlohu aplikační vrstvy, provést klasifikaci služeb aplikační vrstvy,

popsat základní protokoly aplikační vrstvy.

Klíčová slova:

Aplikační vrstva, protokoly HTTP, SMTP, POP, telnet, FTP, elektronická pošta, systém

DNS.

133 APLIKAČNÍ VRSTVA, ZÁKLADNÍ PROTOKOLY APLIKAČNÍ VRSTVY

8.1 Aplikační vrstva

8.1.1 Úloha aplikační vrstvy

Aplikační vrstva zajišťuje jednotlivé služby, specifické pro určité konkrétní aplikace nebo jejich sku-

piny. Definuje způsob, jakým komunikují se sítí aplikace. Název aplikační vrstvy by mohl svádět

k myšlence, že jsou zde provozovány celé aplikace, ale není tomu tak, protože jinak by musely být

aplikace standardizované (stejné uživatelské rozhraní apod.). Do této vrstvy zavedeny pouze ty části

programů (jádra), které standardizovány být mohou, jako mechanismy pro řízení databází, přenosu

pomocí elektronické pošty apod. Aplikační vrstva obsahuje služby zvenku viditelné uživatelem (elek-

tronická pošta, vzdálený terminálový přístup, přenos a vzdálené sdílení souborů).

Klasifikace služeb aplikační vrstvy

Podle síťového modelu:

model server/klient

model peer-to-peer - rovnoprávný (stejná funkce na všech komponentách).

Podle typu služeb:

Datagramové služby – mezi zdrojem dat a jejich koncovým příjemcem není navazováno

přímé spojení, a jednotlivé datové pakety (datagramy) jsou vysílány "naslepo", v dobré

víře, že jejich příjemce vůbec existuje a bude schopen je přijmout. Každý datagram je

přitom doručován nezávisle na ostatních. Použití - pro aplikace jednotného charakteru,

např. jmenné služby, čas apod.

Virtuální okruhy – předpokládá se, že mezi zdrojem dat a jejich koncovým příjemcem je

v rámci navazování spojení nejprve "vytyčena" logická cesta (virtuální okruh), po které

jsou pak postupně přenášeny jednotlivé pakety. Jednotlivé datové pakety, které jsou

pak skutečně přenášeny, nejsou označeny adresou svého konečného příjemce (která

může být relativně dlouhá), ale pouze označením příslušného virtuálního kanálu. Použití

- při přenášení velkého množství dat, kde záleží na bezchybném přenesení

Podle způsobu práce:

interaktivní – v jednu chvíli obhospodařují 1 požadavek,

procesně orientované – vytvoření spec. procesu na uspokojení našeho požadavku a poté

zrušení tohoto procesu; počet procesů je omezen (u ftp, gopher atd.).

Podle zapamatování stavu:

Stavový,

bezstavový – pamatují si stav rozpracovaní - pokračování práce tam, kde došlo k přeru-

šení; server si nemusí nic pamatovat.


8.2 Protokoly aplikační vrstvy

Aplikační vrstva slouží jako prostředník mezi síťovou aplikací a přenosem po síti.

Zdrojová a cílová zařízení spolu komunikují během síťového přenosu pomocí protokolů aplikační

vrstvy, které si musí odpovídat, aby komunikace byla úspěšná.

Protokoly definují přesná pravidla pro komunikaci síťových zařízení, specifikují, jaká a jak formáto-

vaná data se sítí posílají.

Nejznámější protokoly a služby v této vrstvě jsou:

DNS – překlad internetových jmen na IP adresy,

HTTP – přenos a zobrazení webových stránek,

SMTP – přenos e-mailů,

Telnet – vzdálený přístup přes síť k cílovému zařízení,

FTP – přenos souborů mezi dvěma systémy,

DHCP – dynamické přidělování síťových nastavení síťovému zařízení.

Pomocí čísel portů v transportní vrstvě se identifikují aplikace a služby na zdrojovém a cílovém zaří-

zení: HTTP obvykle přistupuje na port 80, DNS na port 53, SMTP na port 25, POP na port 110,

Telnet na port 23, DHCP na porty 67 a 68, FTP na porty 20 a 21.

8.2.1 HTTP – Hypertext Transfer Protocol

Protokol HTTP zajišťuje přenos požadovaných dat z webového serveru do počítače klienta a určuje

způsob komunikace serveru s klientem.

Klientský počítač zažádá o zobrazení webové stránky pomocí internetového prohlížeče. Tento poža-

davek se pošle k webovému serveru, který odpoví odesláním požadované stránky. V klientském po-

čítači se pak zaslaná data zobrazí v internetovém prohlížeči.

Uživatel zadá do internetového prohlížeče jmennou adresu (např. www.ivasp.info/index.php). Část

obsahující jméno serveru (zde např. www.ivasp.info) se pomocí DNS překladu převede na číselnou

síťovou adresu, která je použita pro spojení se serverem. Po zjištění číselné síťové adresy serveru

dojde k jeho kontaktování a vyžádání souboru (zde např. index.php). Server zašle klientovi HTML

kód, který se ve výsledku zobrazí v internetovém prohlížeči.

Webová stránka se označuje URL (Uniform Resource Locator) – je to jednoznačná adresa v síti Inter-

net.

http://www.ivasp.info/index.php

http://www.ivasp.info/


Základní tvar URL

URL adresa má obecný tvar: http://www.cokoliv.cz/adresar/index.html, kde

http – protokol komunikace,

www.cokoliv.cz - plně specifikované doménové jméno (jméno serveru), také může být použita IP

adresa serveru (např. 194.210.50.100),

adresar – adresářová cesta na zvoleném serveru k souboru,

index.html – volaný soubor v tomto adresáři.

Metody, které používá HTTP protokol, jsou GET a POST. Metoda GET je využita, když si klient vyžádá

zaslání webové stránky serverem. Metoda POST se používá v případě, že klient posílá data na server,

například když vyplní formulář na webové stránce a odešle jej na server nebo odesílá přes webové

rozhraní soubor na server.

HTTP nepatří mezi protokoly se zabezpečeným přenosem. Data se přenášejí v prostém textu a kde-

koliv po cestě jsou odposlechnutelná.

Pro šifrovaný přenos webových stránek po síti se používá protokol HTTPS (Hypertext Transfer Pro-

tocol Secure).

8.2.2 DNS – Domain Name System

DNS je služba pracující na principu klient-server. Slouží k překladu jmenných názvů na odpovídající

IP adresy. DNS zajistí tento překlad ve chvíli, kdy jej nějaká služba nebo aplikace v počítači potřebuje.

Síťová zařízení jsou identifikovatelná svou síťovou adresou. Pro snadnější práci a pamatování adres

jsou zařízením přiřazena i jména.

DNS slouží k překladu jmenných adres na jejich číselné ekvivalenty.

DNS překlady se běžně používají při přístupu k webovým stránkám, protože uživatel si snadněji za-

pamatuje jmennou adresu než IP adresu. Lépe se pamatuje například adresa www.seznam.cz než

77.75.76.3.

DNS překlady jsou uloženy na síti DNS serverů, které si tyto seznamy aktualizují a předávají. Ve chvíli,

kdy počítač požádá např. o webovou stránku, ale nezná překlad jmenné adresy na síťovou, zašle

požadavek na tento překlad svému DNS serveru, který mu odešle odpověď. Pokud ji DNS server sám

nezná, přepošle požadavek dalšímu DNS serveru, který překlad zajistí (nebo dále přepošle). Po zís-

kání odpovědi již počítač přistupuje k webové stránce pomocí získané číselné adresy.

http://www.cokoliv.cz/adresar/index.html

http://www.cokoliv.cz/

http://www.seznam.cz/


Informace o zjištěných DNS překladech si DNS server udržuje ve své cache paměti, a pokud přijde

příště dotaz na stejný překlad, už se nedotazuje jiných DNS serverů, ale použije překlad uložený ve

své paměti.

Stejně si provedené DNS překlady pamatuje i koncový počítač, a tak se příště již na DNS server ne-

musí obracet.

Počítač má ve své síťové konfiguraci uloženo, na jaký DNS server se má obracet. Tuto adresu větši-

nou dostane od svého poskytovatele internetového připojení.

V případě, že počítač leží na lokální síti a jeho přístup k Internetu mu zprostředkovává směrovač

stejně jako přeposílání DNS požadavků na DNS server ležící na Internetu, stačí, aby měl počítač na-

staven DNS server lokálního rozhraní směrovače, ke kterému je připojen. Směrovač pak může zajistit

přeposílání DNS požadavku venkovnímu DNS serveru a zpětné přeposlání výsledku počítači.

DNS servery mají stromovou strukturu. Například ve jmenné adrese mail.abcdef.cz je nejvyšší do-

ména cz, doména druhé úrovně je abcdef a doména třetí úrovně je mail.

DNS servery nejvyšší úrovně mají ve svých záznamech informaci o doménách prvního řádku (cz,

com, edu, info…).

Pro získání informací o doménách druhého řádu se server nejvyšší úrovně obrací k DNS serveru nižší

úrovně, který v sobě shromažďuje informace o doménách druhého řádu, jež příslušejí určité do-

méně prvního řádu (např. a.cz, b.cz, abcdef.cz…).

Tento DNS server předá požadavek na specifikaci domény 3. řádu dalšímu podřízenému DNS ser-

veru, který má informace o doménách třetího řádu pro příslušnou doménu druhého řádu (např.

mail.abcdef.cz, www.abcdef.cz, sprava.abcdef.cz …).

Pokud počítač potřebuje přistupovat k některé jmenné adrese na webu, požádá o překlad svůj DNS

server. Pokud ten překlad nezná, pošle dotaz ke svému nadřízenému DNS serveru. A tak to jde dál,

třeba až de kořenovému DNS serveru, jenž ví, který jeho podřízený DNS server má informace o pří-

slušné adrese. Adresy a jejich překlady si DNS server ukládá do své paměti, takže v průběhu síťového

provozu se naučí jednotlivé překlady jmen na síťové adresy a nadřízené DNS servery dotazuje méně.

8.2.3 POP, SMTP a IMAP

POP – Post Office Protocol, SMTP –Simple Mail Transfer Protocol, IMAP – Internet Message Access

Protocol

Tyto protokoly využívají pro své fungování e-mail. E-mail je aplikace typu klient-server.

http://www.abcdef.cz/


Uživatel vytvoří zprávu pomocí e-mailového klienta (např. Microsoft Outlook, Mozilla Thunder-

bird…). E-mailový klient slouží k přijímání, vytváření a odesílání elektronické pošty.

K odeslání e-mailu slouží protokol SMTP, ke stažení e-mailu ze serveru většinou protokol POP

(POP3).

SMTP slouží nejen k odeslání e-mailu z klienta na poštovní server, ale také k posílání e-mailu mezi

poštovními servery při jeho doručování do cílové poštovní schránky. Od doby svého vzniku v 80.

letech 20. století prošel mnoha změnami a vylepšeními.

SMTP server poslouchá na portu 25. Pokud chce klient poslat e-mail, připojuje se k SMTP serveru na

tomto portu.

Po vytvoření zprávy ji e-mailový klient pošle svému poštovnímu serveru a ten se rozhodne, co s ní

udělá. Pokud má příjemce svou schránku na stejném poštovním serveru, uloží e-mail do jeho

schránky. Pokud ne, odešle e-mail sítí na cílový poštovní server.

Chce-li uživatel získat zprávu z poštovního serveru, spojí se jeho e-mailový klient se svým poštovním

serverem a zprávu ze své poštovní schránky stáhne.

Spojení za účelem stažení e-mailu z poštovní schránky probíhá pomocí protokolu POP. Klient se ob-

vykle připojí k portu 110.

Pokud uživatel nemá na počítači e-mailového klienta, může se většinou se svou poštovní schránkou

na poštovním serveru spojit přes internetový prohlížeč.

Jestliže doručení e-mailu do cílové poštovní schránky selže, může to být například z důvodu, že ad-

resát nebo cílový poštovní server vůbec neexistují (pak se odesílateli zasílá zpráva o nedoručení),

nebo proto, že je cílový poštovní server dočasně nedostupný (v tom případě by měla být poštovní

zpráva po určitou dobu uložena na odesílajícím poštovním serveru, který bude po určitou dobu opa-

kovaně zkoušet e-mail doručit).

Podobně jako se pro stažení e-mailové zprávy ze serveru používá protokol POP3, je možné využít

i protokol IMAP.

IMAP potřebuje trvalé on-line spojení se serverem. Se složkami v poštovní schránce a s e-maily pra-

cuje na straně serveru. Na počítač se stahují ze serveru jen hlavičky zpráv a celá zpráva se stahuje až

v případě, že ji chce uživatel číst.

IMAP server poslouchá na portu 143.


IMAP umožňuje přistupovat k poštovní schránce na serveru z více klientů najednou. Informace

o stavu zprávy, zda byla přečtena, smazána, nebo zda na ni bylo zodpovězeno, se uchovávají na

straně serveru, takže jsou viditelné všem připojeným klientům.

V případě protokolu POP není umožněna práce se schránkou jako v případě protokolu IMAP.

IMAP umožňuje prohledávat zprávy přímo na serveru, aniž by je klient musel předtím stáhnout do

počítače uživatele.

8.2.4 FTP

FTP – File Transfer Protocol

Tento protokol slouží ke stahování a nahrávání souborů z uživatelského počítače na server a naopak.

Je to aplikační protokol typu klient-server.

Na začátku se vytvoří spojení mezi klientem a serverem. Obvykle se vyžaduje přihlášení pomocí uži-

vatelského jména a hesla. Po přihlášení získá uživatel nastavená oprávnění pro přístup k souborům

na serveru.

Obr. 8.1: Funkce FTP; zdroj: (2)

Po vytvoření spojení je možné stahovat a nahrávat soubory ze serveru a naopak.

Pro vytvoření spojení se klient připojuje k portu 21. Pro transport souborů se pokaždé připojuje

k portu 20.

TFTP (Trivial File Transfer Protocol)

Protokol FTP je "plnohodnotný" přenosový protokol, v tom smyslu že je vybaven prakticky všemi

mechanismy a vlastnostmi, které jsou zapotřebí pro přenosy celých souborů v počítačových sítích.

V některých situacích však tato jeho "plnohodnotnost" může být spíše na závadu, a to kvůli jeho

relativně velké složitosti a náročnosti na implementaci. To může vadit například bezdiskovým stani-


cím, které si potřebují pouze jednorázové stáhnout svůj tzv. boot image (soubor, obsahující vše po-

třebné k jejich startu), přičemž příslušný kód který toto zajistí, musí být co možná nejmenší, tak aby

jej bylo možné umístit do pevné paměti (např. paměti ROM) v bezdiskové stanici. Pro takovéto účely

byl vyvinut protokol TFTP (Triviální FTP), jako maximálně odlehčená verze protokolu FTP. Odlehčená

je například v tom, že nezná pojem uživatele a přístupových práv, nezná pojem aktuálního adresáře,

a neumožňuje procházet adresáři serveru, ze kterého jsou soubory stahovány - TFTP klient nemůže

na serveru nic vyhledávat, a místo toho musí "jít na jistotu" pro konkrétní soubor který potřebuje.

SFTP (Secure File Transfer Protocol)

V současné době už není považován FTP za bezpečný a z tohoto důvodu pro něj byla definována

některá bezpečnostní rozšíření a vznikl protokol SFTP.

8.2.5 DHCP

DHCP – Dynamic Host Configuration Protocol

Tato služba umožňuje síťovým zařízením, např. počítačům, získávat z DHCP serveru síťová nastavení,

jako např. IP adresu, masku podsítě, adresu brány, adresu DNS serverů atd.

Pokud má počítač ve svém síťovém nastavení uvedeno, že má získávat síťové parametry pomocí

DHCP, pak po spuštění vysílá žádost na DHCP server, aby mu poskytl potřebné údaje.

DHCP server, který žádost zaslechne, propůjčí počítači nějakou IP adresu z rozsahu, který má defi-

nován. Pošle počítači informace o všech potřebných síťových nastaveních a počítač si vše automa-

ticky nastaví.

Ve větších sítích, kde by bylo obtížné všem počítačům nastavovat síťová nastavení napevno, je vý-

hodné mít spuštěn DHCP server, který vše obstará automaticky. Pomocí DHCP často poskytuje na-

stavení svým klientům i poskytovatel Internetu.

Nevýhodou může být horší kontrolovatelnost připojovaných zařízení a v případě nedostupnosti

DHCP serveru i problém s nastavením síťových parametrů a nedostupnost sítě.

Ve chvíli, kdy počítač potřebuje zaslat DHCP nastavení, posílá do sítě vyhledávací dotaz, typu bro-

adcast (přijmou jej všechna zařízení na lokální síti), tzv. DHCP DISCOVER paket, který slouží ke zjiš-

tění, jaké jsou na síti DHCP servery.

DHCP servery, které tento dotaz přijmou, odešlou počítači síťová nastavení (IP adresu, bránu, masku

podsítě, adresu DHCP serverů, dobu zápůjčky IP adresy), tzv. DHCP OFFER paket.


Protože počítač může dostat více nabídek od různých DHCP serverů, musí všem dát najevo, jakou

nabídku přijal. Odešle do sítě broadcast s informací, jakou nabídku od jakého DHCP serveru přijal.

Jde o tzv. DHCP REQUEST paket.

Pokud nabídka serveru stále platí, odešle počítači potvrzující zprávu, tzv. DHCP ACK. Pokud nabídka

již není v platnosti, například proto, že odezva počítače trvala příliš dlouho a DHCP server již přidělil

zmíněnou adresu jinému počítači, DHCP server odešle negativní potvrzení, tzv. DHCP NAK. Pak musí

celý proces začít od začátku.

Protože síťová nastavení jsou počítači propůjčována jen na určitou dobu, je nutné před skončením

platnosti zápůjčky vyslat serveru znovu požadavek na přidělení těchto nastavení – odeslat nový

DHCP REQUEST. Server zkontroluje, zda tím nedojde k duplikaci síťových nastavení v síti, a pokud je

vše v pořádku, potvrdí zápůjčku a prodlouží její platnost.

8.2.6 Telnet

Telnet slouží ke vzdálenému přístupu k síťovému zařízení. Vytváří spojení, které se chová tak, jako

by byl počítač k vzdálenému zařízení připojen fyzicky.

Používá se textové rozhraní.

Spojení vytvořené pomocí Telnetu se nazývá virtuální terminál.

Tento protokol definuje způsob vytváření a ukončení spojení, předepisuje, jaké příkazy lze používat.

Aby bylo možné se spojit se zvoleným síťovým zařízením, které během spojení bude fungovat jako

server, musí na něm běžet serverová služba Telnet démon.

Server naslouchá na portu 23.

Obr. 8.2: Schéma služby Telnet; zdroj : (2)


Na připojovaném koncovém zařízení musí běžet klientská aplikace Telnet. Na operačním systému

Windows lze Telnet spustit z příkazového řádku.

Připojení pomocí Telnetu je potřeba na serveru chránit heslem, aby nedocházelo k nežádoucím spo-

jením. Takto připojený uživatel má stejné možnosti, jako kdyby seděl fyzicky přímo u tohoto cílového

zařízení.

Data posílaná po síti během spojení Telnet nejsou nijak šifrovaná, běží po síti v podobě prostého

textu. Pro šifrovaný přenos lze použít např. protokol SSH.

SSH

SSH- Seruce Shell

Pod tímto pojmem se skrývá jak protokol, jak i aplikace. Protokol vznikl jako náhrada Telnetu, který

data posílal v nezabezpečené formě. SSH používá šifrování přenášených dat a kontrolu integrity dat.

Oba účastníci spojení projdou fází ověřování.

Pomocí příkazového řádku lze data mezi propojenými počítači přenášet bezpečným způsobem přes

port 22.

K bezpečnému přenosu lze s využitím protokolu SSH použít protokol SCP (Secure Copy) nebo kom-

plexnější protokol SFTP (Secure File Transfer Protocol).

Programem s grafickým rozhraním využívajícím tyto bezpečné protokoly je například WinSCP.


Aplikační vrstva zajišťuje jednotlivé služby, specifické pro určité konkrétní apl ikace

nebo jejich skupiny. Definuje způsob, jakým komunikují se sítí aplikace. Aplikační

vrstva obsahuje služby zvenku viditelné uživatelem (elektronická pošta, vzdálený ter-

minálový přístup, přenos a vzdálené sdílení souborů).

Aplikační vrstva slouží jako prostředník mezi síťovou aplikací a přenosem po síti. Zdro-

jová a cílová zařízení spolu komunikují během síťového přenosu pomocí protokolů

aplikační vrstvy, které si musí odpovídat, aby komunikace byla úspěšná. Protokoly

definují přesná pravidla pro komunikaci síťových zařízení, specifikují, jaká a jak for-

mátovaná data se sítí posílají. Mezi nejznámější protokoly a služby aplikační vrstvy

patří DNS, HTTP, POP, SMTP, IMAP, Telnet, FTP, DHCP aj.

1. Popište význam aplikační vrstvy.

2. Proveďte klasifikaci služeb aplikační vrstvy.

3. Vyjmenujte některé protokoly, které spadají do aplikační vrstvy.

4. Charakterizujte rozdíl mezi protokoly pro elektronický poštovní systém POP3

a IMAP.




ISBN 978-80-251-3363-7.





Media, 2010. 180 s. ISBN 978-80-7402-036-0



Kapitola 9

Systém DNS, architektura,

doména a zóna


Popsat význam služby DNS, vysvětlit, co je doména a z jakých částí se skládá, charakterizovat vztahy mezi doménou, zónou a name serverem, uvést základní typy name serverů.

Klíčová slova:

DNS, name server, doména, subdoména, TLD, reverzní doména, zóna, autonomní

systém, resolver.

http://site.inf.upol.cz/lectures/lecture8.pdf


9.1 DNS (Domain Name System)

Všechny aplikace, které zajišťují komunikaci mezi počítači, používají k identifikaci komunikujících

uzlů IP-adresu. Pro člověka jako uživatele jsou však IP-adresy těžko zapamatovatelné. Proto se pou-

žívá místo IP-adresy název síťového rozhraní.

Pro každou IP adresu máme zavedeno jméno síťového rozhraní (počítače), přesněji řečeno domé-

nové jméno. Jedna IP-adresa může mít přiřazeno i několik doménových jmen. Vazba mezi jménem

počítače a IP adresou je definována v DNS databázi. DNS (Domain Name System) je celosvětově dis-

tribuovaná databáze. Jednotlivé části této databáze jsou umístěny na tzv. name serverech (1).

Příklad:

Chci-li se přihlásit na uzel info.pvt.net s IP adresou 194.149.104.203, použiji příkaz:

telnet info.pvt.net.

Ještě předtím, než se vlastní příkaz provede, přeloží se DNS jméno info.pvt.net na IP adresu a teprve

poté se provede příkaz:

telnet 194.149.104.203

Obr. 9.1: Překlad doménového jména; zdroj: (3)

145 SYSTÉM DNS, ARCHITEKTURA, DOMÉNA A ZÓNA

Použití IP-adres místo doménových jmen je praktické vždy, když máme podezření, že DNS nám na

počítači nepracuje korektně. Pak, ač to vypadá nezvykle, můžeme napsat např.:

ping 194.149.104.203

http://194.149.104.203

9.1.1 Domény a subdomény

Celý Internet je rozdělen do tzv. domén, tj. skupin jmen, která k sobě logicky patří. Domény specifi-

kují, patří-li jména jedné firmě, jedné zemi apod. V rámci domény je možné vytvářet podskupiny,

tzv. subdomény, např. doméně firmy lze vytvořit subdomény pro oddělení.

Doménové jméno odráží příslušnost uzlu do skupiny a podskupiny. Každá skupina má přiřazeno

jméno. Z jednotlivých jmen skupin je pak složeno doménové jméno uzlu. Např. uzel se jménem ja-

kub.firma.cz je uzel se jménem jakub v subdoméně firma domény cz.

Doménové jméno se skládá z řetězců vzájemně oddělených tečkou. Jméno se zkoumá zprava do-

leva. Nejvyšší instancí je tzv. root doména, která se vyjadřuje tečkou zcela vpravo (tato tečka bývá

často vypouštěna). V root doméně jsou definované generické domény (Top Level Domains – TLD):

edu, com, net, org, mil, int a arpa, které se používají převážně v USA, a dále podle normy ISO-3166

dvojznakové domény jednotlivých států. Pro Českou republiku je vyhrazena doména cz.

Vrcholová (TLD) doména podle typu instituce:

edu – vzdělávací instituce (harward.edu – Univezita v Harvardu),

com – komerční instituce (microsofl.com – firma Microsoft),

mil – vojenské instituce (pentagon.mil – americké ministerstvo obrany),

gov – vládní instituce (whitehouse.gov – sídlo amerického prezidenta, nasa.gov – Americký

úřad pro letectví a kosmonautiku),

org – organizace jako takové (un.org – OSN),

net – síťové organizace,

int – organizace zabývající se správou Internetu.

Naopak druhý typ vrcholových domén udává zemi, ve které se hostitel nachází.

Vrcholová doména podle státu:

cz – Česká republika,

sk – Slovensko,

de – Německo,

uk – Velká Británie, atd.


V listopadu 2000 bylo schváleno k používání dalších 7 vrcholových domén.

Nové vrcholové domény:

aero – pro subjekty podnikajicí v letecké dopravě,

biz – pro obchodní společnosti,

coop – pro subjekty družstevního typu,

info – pro libovolného žadatele,

museum – pro subjekty provozující muzejní a výstavní činnost,

name – pro osobní potřebu uživatelů,

pro – pro profesionály (právníky, lékaře,…).

V praxi se však uchytily pouze dvě z nich a to vrcholová doména biz a info. Nesmíme taky zapome-

nout na vrcholovou doménu eu, která je tou poslední zajímavou registrovanou, ale hlavně používa-

nou vrcholovou doménou.

Pro zájemce není pevně určeno, ve které vrcholové doméně se mají registrovat. Takže například

česká firma se klidně může registrovat ve vrcholové doméně com a spousta z nich to taky dělá.

Existuje několik důvodů, proč to firmy dělají:

doména 2. řádu (subdoména), o kterou mají zájem je už v doméně cz obsazená,

registrace v jiných doménách (např. v doméně com) je levnější než v doméně cz,

firma přesahuje hranice státu a tím pádem je pro ni jednodušší registrace podle typu a ne

podle státu,

pro zahraniční firmy bývá adresa se známou vrcholovou doménou com „čitelnější“ než

firma s neznámou národní doménou např. cz.

Doména cz se dělí na subdomény (domény 2. řádu) pro jednotlivé organizace: mvso.cz (pro MVŠO

o.p.s), cas.cz (pro Českou Akademii Věd), cvut.cz (pro ČVUT) atd.

Subdomény se mohou dělit na subdomény nižší úrovně. Např. entu.cas.cz (Entomologický ústav

ČAV) atd. Subdomény obsluhují jako prvky počítače.


Obr. 9.2: Stromová struktura DNS; https://ki.ujep.cz/enastenka/Opory/PSI-Kolka.pdf

9.1.2 Syntaxe jména

Syntaxe jména:

jméno je uváděno v tečkové notaci,

první řetězec je jméno počítače, další řetězec je jméno nejnižší vnořené domény,

pro jednoznačnost by na konci řetězce měla být tečka - root doména,

celé jméno může mít max. 255 znaků, jednotlivý řetězec max. 63 znaků,

řetězce mohou obsahovat písmena, číslice, pomlčky (nesmí být na začátku nebo na konci

řetězce),

možno používat malá i velká písmena.

Někdy je možné konec jména vynechat:

závěrečnou tečku je možné vynechat téměř vždy,

na počítačích uvnitř domény je možné psát pouze jméno počítače bez domény. Např. uv-

nitř domény pipex.cz, je možné psát místo počítač.abc.pipex.cz jen počítač.abc (nesmí se

ale uvést tečka na konci!).

9.1.3 Reverzní domény

Některé aplikace naopak potřebují k IP-adrese nalézt jméno, tj. nalézt tzv. reverzní záznam. Jedná

se tedy o překlad IP-adresy na doménové jméno. Tento překlad se často nazývá zpětným (reverz-

ním) překladem.

Pro účely reverzního překladu byla definována pseudodoména „in-addr.arpa“. Jméno této pseudo-domény má historický původ, jde o zkratku „inverse addresses in the Arpanet“.


Obr. 9.3: Příklad reverzní domény; zdroj: (3)

Pod doménou in-addr.arpa jsou domény jmenující se jako první číslo z IP-adresy sítě. Např. síť

194.149.101.0 patří do domény 194.in-addr.arpa. Síť 172.17 patří do domény 172.in-addr.arpa. Dále

doména 172.in-addr.arpa se dělí na subdomény, takže síť 172.17 tvoří subdoménu 17.172.in-

addr.arpa. Je-li síť 172.17 rozdělena pomocí síťové masky na subsítě, pak každá subsíť tvoří ještě

vlastní subdoménu.

Všimněte si, že domény jsou zde tvořeny jakoby IP-adresami sítí psanými ale pozpátku. Reverzní

domény pro subsítě adres třídy C jsou tvořeny podle metodiky classless in-addr.arpa. Přesto že IP-

adresa má pouze 4 bajty a klasická reverzní doména má tedy maximálně 3 čísla, jsou reverzní do-

mény pro subsítě třídy C tvořeny 4 čísly.

Příklad:

Reverzní doména pro subsí_ 194.149.150.16/28 je 16.150.149.194.in-addr.arpa (3)

9.1.4 Zóna

Často se setkáváme s otázkou: „Co je to zóna?“ „Jaký je vztah mezi doménou a zónou?“. Jak jsme již

uvedli, doména je skupina počítačů, které mají společnou pravou část svého doménového jména.

Doména je např. skupina počítačů, jejichž jméno končí cz. Doména cz je však velká. Dělí se dále na

subdomény např. pvt.cz, eunet.cz a tisíce dalších. Každou z domén druhé úrovně si většinou spra-

vuje na svých name serverech majitel domény nebo jeho poskytovatel Internetu.

Data pro doménu druhé úrovně např. pvt.cz nejsou na stejném name serveru jako doména cz. Jsou

rozložena na mnoho name serverech. Data o doméně uložená na name serveru jsou nazývána zó-

nou. Zóna tedy obsahuje jen část domény. Zóna je část prostoru jmen, kterou obhospodařuje jeden

name server.


Obr. 9.4: Ukázka zóny; zdroj: (3)

Na Obr. 9.3 je znázorněno, jak může být (hypoteticky) v doméně pvtnet.cz decentralizována kom-

petence na nižší správní celky. Takže doména pvtnet.cz obsahuje v sobě všechny subdomény, ale

zóna pvtnet.cz delegovala na jiné name servery pravomoci na zóny brn.pvtnet.cz, plz.pvtnet.cz

a ova.pvtnet.cz. Takže zóna pvtnet.cz obsahuje doménu pvtnet.cz až na tři uvedené výjimky (3).

9.1.5 Doména a autonomní systém

Na tomto místě musíme zdůraznit, že rozdělení sítě na autonomní systémy nesouvisí s rozdělením

na domény (nebo snad na zóny). Tzn., je-li podniku přiděleno jméno domény a IP adresy sítí jedním

poskytovatelem, pak při přechodu k jinému poskytovateli zůstanou podniku jména domén, ale IP-

adresy dostane od nového poskytovatele nové. Musí se tedy přečíslovat jednotlivé LAN, ale jména

počítačů a adresy elektronické pošty zůstanou beze změn.

Obr. 9.5: Domény a autonomní systémy; zdroj: (3)

Autonomní systémy dělí Internet z hlediska IP-adres (směrování), naproti tomu domény dělí Inter-

net z hlediska jmen počítačů.


9.1.6 Rezervované domény a pseudodomény

Později se ukázalo, že jako TLD (vrcholové – generické domény) je možné využít i jiné domény. Ně-

které další TLD byly rezervovány RFC-2606:

doména .test pro testování,

doména .expample pro vytváření dokumentace a příkladů,

doména .invalid pro navozování chybových stavů,

doména .localhost pro softwarovou smyčku.

Obdobně byla rezervována doména .local pro intranety. Význam této domény je obdobný jako vý-

znam sítě 10.0.0.0/8. V intranetu je tak možné využívat nejednoznačnou doménu, čímž si ulehčíme

práci se dvěma různými doménami stejného jména firma.cz – jednou v Internetu a druhou v intra-

netu.

Z výše uvedeného obrázku (obr. 9.5) je patrné, že mohou existovat i domény, které nejsou přímo

připojeny k Internetu, tj. jejichž počítače ani nepoužívají síťový protokol TCP/IP – tedy nemají ani IP-

adresu. Takovéto domény se někdy označují jako pseudodomény. Mají význam zejména pro elek-

tronickou poštu.

Pomocí pseudodomény lze řešit problém posílání elektronické pošty do jiných sítí než Internet (např.

DECnet či MS Exchange) (3).

9.1.7 Dotazy (překlady)

Přeložení jména na IP-adresu zprostředkovává tzv. resolver. Resolver je klient, který se dotazuje

name serveru. Jelikož je databáze celosvětově distribuována, nemusí nejbližší name server znát od-

pověď, proto může tento name server požádat o pomoc další name servery. Získaný překlad pak

name server vrátí jako odpověď resolveru. Veškerá komunikace se skládá z dotazů a odpovědí.

Name server po svém startu načte do paměti data pro zónu, kterou spravuje. Primární name server

načte data z lokálního disku, sekundární name server dotazem zone transfer získá pro spravované

zóny data z primárního name serveru a rovněž je uloží do paměti. Tato data primárního a sekun-

dárního name serveru se označují jako autoritativní (nezvratná).

Dále name server načte z lokálního disku do paměti data, která nejsou součástí dat jeho spravované

zóny, ale umožní mu spojení s root name servery a případně s name servery, kterým delegoval pra-

vomoc pro spravování subdomén. Tato data se označují jako neautoritativní.


Name server i resolver společně sdílejí paměť cache. Během práce do ní ukládají kladné odpovědi

na dotazy, které provedly jiné name servery, tj. ke kterým jsou jiné name servery autority. Ale z hle-

diska našeho name serveru jsou tato data opět neautoritativní – pouze šetří čas při opětovných

dotazech.

Obr. 9.6: Jmenný server a resolver (2)

Resolver

Resolver je komponenta systému zabývající se překladem IP-adresy. Resolver je klient. Resolver není

konkrétní program. Je to soustava knihovních funkcí, která se sestavuje (linkuje) s aplikačními pro-

gramy, požadujícími tyto služby (např. telnet, ftp, WWW-prohlížeč atd.). Tj. potřebuje-li např. telnet

převést jméno počítače na jeho IP-adresu, pak zavolá příslušné knihovní funkce.

Klient (např. zmíněný telnet) zavolá knihovní funkce, které zformulují dotaz a vyšlou jej na server.

Server je v UNIXu realizován programem named. Server buď překlad provede sám, nebo si sám vy-

žádá pomoc od dalších serverů, nebo zjistí, že překlad není možný.

V systému NT se resolver konfiguruje pomocí okna. Do pole doména vyplníme lokální doménu, která

se bude doplňovat ke jménům v případě, že neuvedeme na konci tečku. Pakliže překlad s touto do-

plněnou doménou i bez ní selže, pak se systém pokusí ještě doplňovat domény z okna „Pořadí hle-

dání přípony domény“.


Obr. 9.7: Konfogurace resolveru; zdroj: (3)

Name server

Name server udržuje informace pro překlad jmen počítačů na IP-adresy (resp. pro reverzní překlad).

Name server obhospodařuje nějakou část z prostoru jmen všech počítačů. Tato část se nazývá zóna.

Zóna je tvořena doménou nebo její částí. Name server totiž může pomocí věty typu NS ve své kon-

figuraci delegovat spravování subdomény na name server nižší úrovně. Name server je program,

který provádí na žádost resolveru překlad. V UNIXu je name server realizován programem named.

Podle uložení dat rozlišujeme následující typy name serverů:

Primární name server udržuje data o své zóně v databázích na disku. Pouze na primárním

name serveru má smysl editovat tyto databáze.

Sekundární name server si kopíruje databáze v pravidelných časových intervalech z primár-

ního name serveru. Tyto databáze nemá smysl na sekundárním name serveru editovat, ne-

boť budou při dalším kopírování přepsány. Primární i sekundární name servery jsou tzv. au-

toritou pro své domény, tj. jejich data pro příslušnou zónu se považují za nezvratná (autori-

tativní).


Caching only server není pro žádnou doménu ani primárním, ani sekundárním name serve-

rem (není žádnou autoritou). Avšak využívá obecné vlastnosti name serveru, tj. data, která

jím prochází, ukládá ve své paměti. Tato data se označují jako neautoritativní. Každý server

je caching server, ale slovy caching only zdůrazňujeme, že pro žádnou zónu není ani primár-

ním, ani sekundárním name serverem. (Pochopitelně i caching only server je primárním

name serverem pro zónu 0.0.127.in-addr.arpa, ale to se nepočítá.)

Root name server je name server obsluhující root doménu. Každý root name server je pri-

márním serverem, což jej odlišuje od ostatních name serverů.

Jeden name server může být pro nějakou zónu primárním serverem, pro jiné sekundárním serverem

(3).

Systém DNS reprezentuje distribuovanou databázi symbolických jmen a IP adres in-

ternetových uzlů. Vazba mezi jménem počítače a IP adresou je definována v DNS da-

tabázi. DNS (Domain Name System) je celosvětově distribuovaná databáze. Jednot-

livé části této databáze jsou umístěny na tzv. name serverech.

Celý Internet je rozdělen do tzv. domén, tj. skupin jmen, která k sobě logicky patří.

Doménové jméno se skládá z řetězců vzájemně oddělených tečkou. Jméno se zkoumá

zprava doleva. Nejvyšší instancí je tzv. root doména, která se vyjadřuje tečkou zcela

vpravo (tato tečka bývá často vypouštěna). V root doméně jsou definované generické

domény (Top Level Domains – TLD). Data o doméně uložená na name serveru jsou

nazývána zónou. Zóna tedy obsahuje jen část domény. Zóna je část prostoru jmen,

kterou obhospodařuje jeden name server. Podle uložení dat rozlišujeme různé typy

name serverů. Autonomní systémy dělí Internet z hlediska IP-adres (směrování), na-

proti tomu domény dělí Internet z hlediska jmen počítačů. Přeložení jména na IP-ad-

resu zprostředkovává tzv. resolver.

1. Popište strukturu doménového jména. Co označuje (obvykle vynechávaná)

tečka za jménem vpravo?

2. Uveďte základní generické domény.

3. Definujte pojem domény.

4. Vysvětlete pojem zóna. Jaký je vztah domény a zóny?






[2] STALLINGS, W. Data and Computer Communications (8th Edition). Prentice Hall,

2006. 901 s. ISBN: 0-13-243310-9.

[3] DOSTÁLEK, L. a A. KABELOVÁ. Velký průvodce protokoly TCP/IP a DNS 4. vy-

dání. Computer Press, Brno, 2005. ISBN 978-80-251-2236-5.



ISBN 978-80-251-3363-7.


Media, 2010. 180 s. ISBN 978-80-7402-036-0.

Kapitola 10

Služba DHCP.

Architektura, přidělování

IP adres


Vysvětlit, v čem spočívá význam funkce DHCP, popsat zprávy DHCP vyměňované mezi klientem a serverem, stručně charakterizovat proces zápůjčky DHCP.

Klíčová slova:

DHCP, DHCP server, DHCP klient, DHCPDiscover, DHCPOffer, DHCPRequest,

DHCPAck, DHCPNak.


10.1 DHCP

Protokol DHCP (Dynamic Host Configuration Protocol) zjednodušuje správu konfigurace adresy IP

pomocí automatického konfigurování adres pro síťové klienty. Standard protokolu DHCP zajišťuje

používání serverů DHCP, které jsou definovány jako jakýkoli počítač, na němž běží služba DHCP. Ser-

ver DHCP automaticky přiřazuje adresy IP a podobná nastavení konfigurace protokolu TCP/IP počí-

tačů na síti podporujících protokol DHCP.

Každé zařízení na síti založené na protokolu TCP/IP musí mít jedinečnou adresu IP, aby bylo schopno

přistupovat k síti a jejím prostředkům. Bez protokolu DHCP je nutno provést nakonfigurování proto-

kolu IP ručně, např. u nových počítačů, počítačů přesunovaných z jedné podsítě na jinou a počítačů

odebíraných ze sítě.

10.1.1 Funkce DHCP

Protokol DHCP je založen na modelu klient/server, jak je znázorněno na Obr. 10.1.

Obr. 10.1: Základní model protokolu DHCP; zdroj: (1)

Správce sítě zakládá jeden nebo více serverů DHCP, které udržují informace o konfiguraci protokolu

TCP/IP a poskytují konfiguraci adres klientům podporujícím službu DHCP ve formě nabídky zápůjčky.

157 SLUŽBA DHCP. ARCHITEKTURA, PŘIDĚLOVÁNÍ IP ADRES

Server DHCP uchovává informace o konfiguraci v databázi, která zahrnuje:

Parametry konfigurace protokolu TCP/IP platné pro všechny klienty na síti.

Platné adresy IP udržované ve fondu adres pro přiřazení klientům, stejně jako adresy vyhra-

zené pro ruční přiřazení.

Dobu trvání zápůjčky nabízenou serverem – dobu, po kterou může být adresa IP používána

před nutností obnovení zápůjčky.

Klient podporující službu DHCP při přijetí nabídky zápůjčky obdrží:

Platnou adresu IP pro síť, ke které se připojuje.

Další parametry konfigurace protokolu TCP/IP, které se označují jako možnosti DHCP.

10.1.2 Výhody protokolu DHCP

Instalací protokolu DHCP na svou rozlehlou síť získáte následující výhody:

Bezpečnou a spolehlivou konfiguraci. Protokol DHCP minimalizuje chyby v konfiguraci způ-

sobené manuální konfigurací adres IP, například chyby v psaní, stejně jako minimalizuje

konflikty adres způsobené přiřazením již aktuálně používané adresy IP dalšímu počítači.

Sníženou správu sítě.

Konfigurace protokolu TCP/IP je centralizovaná a automatizovaná.

Správci sítě mohou centrálně definovat konfigurace protokolu TCP/IP jak obecně, tak pro

konkrétní podsíť.

Klientům lze automaticky přiřazovat plný rozsah dalších konfiguračních hodnot protokolu

TCP/IP pomocí možností DHCP.

Změny adres pro konfigurace klienta, které musí být často aktualizovány, například klienti

se vzdáleným přístupem, kteří se neustále pohybují, lze provádět efektivně a automaticky

při spuštění klienta ze svého nového umístění.

Většina směrovačů může předat požadavky na konfiguraci pomocí služby DHCP, čímž se

omezují požadavky na nastavení serveru DHCP na každé podsíti, pokud k tomu není důvod.

10.1.3 Autokonfigurace protokolu IP

Klienti na platformě Windows si mohou automaticky nakonfigurovat adresu IP a masku podsítě

v případě, že je server DHCP v okamžiku spuštění systému nedostupný. Tato vlastnost nazvaná

APIPA (Automatic Private IP Addressing) je užitečná pro klienty na malých soukromých sítích.


Při autokonfiguraci klienta DHCP probíhá následující proces:

Klient DHCP se snaží lokalizovat server DHCP a získat adresu a konfiguraci.

Jestliže nelze server DHCP nalézt, případně neodpovídá, klient DHCP si sám nakonfiguruje

adresu IP a masku podsítě za použití vybrané adresy ze sítě třídy B rezervované pro Micro-

soft, 169.254.0.0 s maskou podsítě 255.255.0.0. Klient DHCP hledá konflikty adres, aby se

ujistil, že vybraná adresa již není na příslušné síti používána. Pokud je nalezen konflikt, kli-

ent vybere jinou adresu IP. Klient se pokusí o autokonfiguraci až do 10 adres.

Jakmile klient DHCP uspěje při samostatném výběru adresy, nakonfiguruje s touto adresou

IP své síťové rozhraní. Klient pak na pozadí pokračuje v pěti minutových intervalech v hle-

dání serveru DHCP. Jestliže klient najde server DHCP později, opustí svou autokonfiguraci.

Klient DHCP pak použije adresu nabídnutou serverem DHCP (a jakékoli další informace

možností DHCP) a zaktualizuje své nastavení konfigurace protokolu IP.

Jestliže již dříve klient DHCP obdržel zápůjčku serveru DHCP:

Jestliže je zápůjčka klientovi během spouštění systému stále platná (nevypršela), klient se

pokusí obnovit tuto zápůjčku.

Jestliže během snahy obnovit zápůjčku klient neuspěje při lokalizaci serveru DHCP, bude se

snažit provést příkaz ping (testuje spojení mezi dvěma síťovými zařízeními) na přednastave-

nou bránu uvedenou v zápůjčce a bude pokračovat jedním z následujících způsobů:

Jestliže je provedení příkazu ping úspěšné, klient DHCP předpokládá, že je

stále umístěn na stejné síti, odkud získal svou aktuální zápůjčku a pokračuje

v jejím užívání.

Jestliže je provedení příkazu ping neúspěšné, klient DHCP předpokládá, že

byl přesunut na síť, kde nejsou služby DHCP dostupné. Klient pak provede

autokonfiguraci své adresy IP.

10.1.4 Proces zápůjčky DHCP

Klient podporující službu DHCP obdrží od serveru DHCP zápůjčku na adresy IP. Před vyprš ením ča-

sového omezení zápůjčky musí server DHCP tuto zápůjčku klientovi obnovit nebo klient musí získat

novou zápůjčku. Zápůjčky jsou v databázi serveru DHCP uchovávány přibližně jeden den po vypršení.

Tato poskytnutá lhůta chrání zápůjčku klienta v případě, že klient a server jsou v různých časových

pásmech, jejich interní hodiny nejsou synchronizovány nebo klient je v době vypršení zápůjčky mimo

síť.


Zprávy DHCP

Tabulka popisuje zprávy DHCP vyměňované mezi klientem a serverem.

Obr. 10.2: Schéma zápůjčky DHCP; zdroj: (1)


Funkce procesu zápůjčky

Jakmile se poprvé spustí klient podporující DHCP a pokusí se připojit k síti, automaticky následuje

inicializační proces k získání zápůjčky od serveru DHCP.

Klient DHCP požaduje adresu IP prostřednictvím všesměrového vysílání zprávy DHCPDis-

cover na lokální podsíti.

Klientovi je nabídnuta adresa, když server DHCP reaguje zprávou DHCPOffer obsahující ad-

resu IP a informace o konfiguraci pro zápůjčku.

Obr. 10.3: Stavy klienta DHCP během procesu zápůjčky; zdroj: (1)


Klient sdělí přijetí nabídky výběrem nabízené adresy a odpovědí serveru pomocí zprávy

DHCPRequest.

Klientovi je přiřazena adresa a server DHCP mu pošle zprávu DHCPAck potvrzující zápůjčku.

Ve zprávě mohou být obsaženy i informace o dalších možnostech DHCP.

Poté, co klient obdrží potvrzení, nakonfiguruje si vlastnosti protokolu TCP/IP za použití ja-

kékoli informace o možnosti DHCP obsažené v odpovědi a připojí se k síti.

Ve vzácných případech může server DHCP vrátit klientovi negativní potvrzení. To se může stát, jest-

liže klient žádá neplatnou nebo duplikovanou adresu. Jestliže klient obdrží negativní potvrzení

(DHCPNak) musí klient začít celý proces zápůjčky znovu.

Obr. 10.4: Stavy klienta DHCP během procesu obnovování zápůjčky; zdroj: (1)

10.1.5 Stavy klienta DHCP v procesu zápůjčky

Cyklus klienta DHCP zahrnuje přes šest různých stavů klienta během procesu zápůjčky DHCP. Když

je klient DHCP a server DHCP na stejné podsíti, zprávy DHCPDiscover, DHCPOffer, DHCPRequest

a DHCPAck jsou posílány přes všesměrové vysílání na úrovni MAC a IP.

Aby klienti DHCP mohli komunikovat se serverem DHCP na vzdálené síti, musí připojující směrovač

nebo směrovače podporovat předávání zpráv DHCP mezi klientem DHCP a serverem DHCP za použití

služby BOOTP/DHCP Relay Agent.


Inicializace

Tento stav nastane při první inicializaci zásobníku protokolu TCP/IP na počítači klienta DHCP. Klient

ještě nemá od serveru DHCP vyžádanou adresu IP. Tento stav také nastane, pokud je klientovi ode-

přena adresa IP, kterou požaduje, nebo pokud adresa IP, kterou původně měl, byla uvolněna. Stav

inicializace je znázorněn na obrázku.

Když je klient DHCP v tomto stavu, jeho adresa IP je 0.0.0.0. Při získávání platné adresy klient pro-

střednictvím všesměrového vysílání pošle zprávu DHCPDiscover z portu UDP 68 na port UDP 67 se

zdrojovou adresou 0.0.0.0 a cílovým umístěním 255.255.255.255 (klient dosud nezná adresu serverů

DHCP). Zpráva DHCPDiscover obsahuje adresu MAC klienta DHCP a název počítače.

Obr. 10.5: Stav inicializace; zdroj: (1)

Výběr

Pak se klient přesune do stádia výběru, kdy vybírá odpověď serveru DHCP, DHCPOffer. Všechny ser-

very DHCP, které obdržely zprávu DHCPDiscover a mohou klientovi DHCP nabídnout platné adresy

IP, reagují zprávou DHCPOffer odesílanou z portu UDP 68 na port UDP 67. Zpráva DHCPOffer je po-

slána prostřednictvím všesměrového vysílání MAC a IP, protože klient DHCP ještě nemá platnou ad-

resu IP, kterou lze použít jako cílové umístění.

Server DHCP rezervuje adresu IP, aby nebyla nabízena jinému klientovi DHCP:

Zpráva DHCPOffer obsahuje adresu IP a odpovídající masku podsítě, identifikátor serveru DHCP (ad-

resu IP nabízejícího serveru DHCP) a dobu trvání zápůjčky. Stav výběru je znázorněn na obrázku.


Obr. 10.6: Stav výběru; zdroj: (1)

Klient DHCP čeká na zprávu DHCPOffer. Neobdrží-li zprávu DHCPOffer od serveru DHCP při spouštění

systému, pokusí se o to znovu čtyřikrát (v intervalech 2, 4, 8 a 16 sekund plus náhodný čas mezi 0

a 1000 milisekund). Jestliže klient DHCP neobdrží zprávu DHCPOffer po čtyřech pokusech, počká 5

minut a pak se pokouší znovu, vždy v 5minutových intervalech.

Požadavek

Poté, co klient DHCP obdrží ze serveru zprávu DHCPOffer, klient se přesune do stavu požadavku.

Klient DHCP zná adresu IP, kterou chce zapůjčit, takže pošle prostřednictvím všesměrového vysílání

zprávu DHCPRequest na všechny servery DHCP. Klient musí použít všesměrové vysílání, protože

stále nemá přiřazenou adresu IP. Stav požadavku je znázorněn na obrázku.

Obr. 10.7: Stav požadavku; zdroj: (1)


Jestliže byla adresa IP klienta známa (tzn., že počítač byl restartován a snaží se zapůjčit si původní

adresu), všesměrové vysílání sledují všechny servery DHCP. Server DHCP, který může zapůjčit poža-

dovanou adresu IP, odpoví buď úspěšným potvrzením (DHCPAck) nebo neúspěšným potvrzením

(DHCPNak). Zpráva DHCPNak je použita v případě, že požadovaná adresa IP není dostupná nebo

klient se fyzicky přesunul na jinou podsíť, která požaduje jinou adresu IP. Po obdržení zprávy

DHCPNak se klient vrací do stavu inicializace a začíná proces zápůjčky znovu (1).

Vazba

Server DHCP reaguje na zprávu DHCPRequest prostřednictvím zprávy DHCPAck. Tato zpráva obsa-

huje platnou zápůjčku na vyjednanou adresu IP a jakékoli možnosti DHCP nakonfigurované správ-

cem serveru DHCP. Stav vazby je znázorněn na obrázku.

Obr. 10.8: Stav vazby; zdroj: (1)

Server DHCP pošle zprávu DHCPAck prostřednictvím všesměrového vysílání IP. Poté, co klient DHCP

obdrží zprávu DHCPAck, dokončí inicializaci zásobníku protokolu TCP/IP. Je nyní považován za váza-

ného klienta DHCP, který může používat protokol TCP/IP ke komunikaci na síti.

Adresa IP zůstává přiřazena klientovi až do ručního uvolnění adresy klientem nebo do vypršení doby

zápůjčky a odmítnutí zápůjčky serverem DHCP.

Obnovení

Informace o adresování IP jsou zapůjčeny klientovi a klient je zodpovědný za obnovování zápůjčky.

Dle výchozího nastavení se klient DHCP snaží obnovit svou zápůjčku po uplynutí 50 procent doby

trvání zápůjčky. Kvůli obnovení zápůjčky posílá klient DHCP zprávu DHCPRequest serveru DHCP, od

kterého původně zápůjčku obdržel.


Server DHCP automaticky zápůjčku obnoví prostřednictvím zprávy DHCPAck. Tato zpráva DHCPAck

obsahuje novou zápůjčku a parametry možností DHCP. To zajišťuje, že klient DHCP může aktualizo-

vat svá nastavení protokolu TCP/IP v případě, že správce sítě změnil některá nastavení serveru

DHCP. Stav obnovení je znázorněn na obrázku.

Obr. 10.9: Stav obnovení; zdroj: (1)

Jakmile klient DHCP obnoví zápůjčku, navrátí se do stavu vazby. Zprávy o obnovení (DHCPRequest

a DHCPAck) jsou posílány jednosměrným provozem na úrovni IP a MAC.

Obnovení vazeb

Jestliže klient DHCP není schopen komunikovat se serverem DHCP, od kterého získal svou zápůjčku,

a vypršelo již 87,5 procenta doby trvání zápůjčky, bude se snažit kontaktovat jakýkoli dostupný ser-

ver DHCP pomocí zpráv DHCPRequest odesílaných prostřednictvím všesměrového vysílání. Jakýkoli

server DHCP může reagovat zprávou DHCPAck a obnovit zápůjčku, případně zprávou DHCPNak, kte-

rou donutí klienta DHCP k inicializaci a novému začátku procesu zápůjčky. Stav obnovení vazeb je

znázorněn na obrázku (1).

Obr. 10.10: Stav obnovení vazeb; zdroj: (1)


Jestliže doba zápůjčky vyprší, nebo klient obdrží zprávu DHCPNak, musí klient DHCP okamžitě

přestat užívat svou aktuální adresu IP. Jakmile k tomuto dojde, je komunikace přes protokol TCP/IP

přerušena až do doby, kdy klient získá novou adresu IP.

Protokol DHCP (Dynamic Host Configuration Protocol) byl navržen pro automatické

nastavení klienta využívajícího síťové protokoly na bázi TCP/IP. Správce sítě zakládá

jeden nebo více serverů DHCP, které udržují informace o konfiguraci protokolu

TCP/IP a poskytují konfiguraci adres klientům podporujícím službu DHCP ve formě

nabídky zápůjčky. Server DHCP přiděluje na žádost klienta nejdůležitější hodnoty pro

provoz TCP/IP sítě, kterými jsou IP adresa, maska sítě, brána (pokud existuje). Adresa

přidělena serverem klientovi je zapůjčena na konkrétní dobu a klient si musí v pří-

padě, že chce tuto adresu i nadále používat, požádat o prodloužení zápůjčky této ad-

resy.

1. Vysvětlete, k čemu se používá protokol DHCP. Jaké parametry lze jeho pro-

střednictvím předat?

2. Popište proces autokonfigurace protokolu IP.

3. Charakterizujte sekvenci zpráv protokolu během přidělování IP adresy dyna-

micky konfigurovatelné stanici.







ISBN 978-80-251-3363-7.


Media, 2010. 180 s. ISBN 978-80-7402-036-0.

Kapitola 11

Příkazy pro práci se sítí

a síťovým rozhraním v OS

Windows/Linux


Charakterizovat základní řádkové příkazy pro diagnostiku sítě, prakticky použít příkazy pro práci v síti, popsat rozdíl mezi syntaxí příkazů v OS Windows a OS Linux.

Klíčová slova:

Řádkový příkaz, ipconfig, ping, tracert, nslookup, net, route.


11.1 Základní řádkové příkazy

Proč vlastně řádkové příkazy? Odpověď je jednoduchá, dávají vám nejvyšší možnou kontrolu nad

úlohou a jsou vždy po ruce. Na druhé straně to vyžaduje od vás dobré pochopení toho, co příkazy

dělají a znalosti jejich základních přepínačů.

Někteří uživatelé považují řádkové příkazy za přežilý způsob práce při administraci sítě. Jiní si zase

bez nich svoji práci nedovedou představit. Většina z nás ale nemá takto vyhraněný postoj. Pro ně-

které příkazy existují výborné grafické nástroje, je ale mnoho příkazů, bez kterých si práci nedovedu

představit (tedy dokud bude režim příkazového řádku v systémech dostupný).

U všech dále uvedených příkazů můžete získat seznam dalších parametrů, kterými ovlivníte jejich

činnost, zadáním znaků /? za název příkazu (5).

11.1.1 Příkaz PING

Ping je prvním nástrojem, který použijete v případě síťového problému. Testuje funkčnost spojení

mezi dvěma síťovými rozhraními, při své činnosti periodicky odesílá IP datagramy a očekává odezvu

protistrany. Při úspěšném obdržení odpovědi vypíše délku zpoždění (latenci) a na závěr statistický

souhrn (1).

Syntaxe (OS Windows):

ping [-t] [–n <počet>] [-l <velikost>] [-i <ttl>] <cíl>

Parametry:

-t

Určuje, že příkaz ping má pokračovat v odesílání zpráv požadavku odezvy, dokud nebude přerušen.

Chcete-li odesílání zpráv přerušit a zobrazit statistické údaje, stiskněte kombinaci kláves

CTRL+BREAK. Chcete-li přerušit odesílání zpráv a ukončit práci příkazu ping, stiskněte kombinaci klá-

ves CTRL+C.

n Počet

Určuje počet odeslaných zpráv požadavku odezvy. Výchozí hodnota je 4.

-l Velikost

169 PŘÍKAZY PRO PRÁCI SE SÍTÍ A SÍŤOVÝM ROZHRANÍM V OS WINDOWS/LINUX

Určuje počet bajtů datového pole v odeslaných zprávách požadavku odezvy. Výchozí hodnota je 32.

Maximální hodnota parametru Velikost je 65527.

-i Doba_života

Určuje hodnotu pole TTL v záhlaví IP odeslaných zpráv požadavku odezvy. Výchozí hodnotu pole TTL

určuje hostitel. Maximální hodnota parametru Doba_života je 255.

cíl

Určuje název hostitele nebo adresu IP cíle.

/?

Zobrazí v příkazovém řádku nápovědu.

Poznámky

• Příkaz ping je možné použít k testování názvu počítače i jeho adresy IP. Je-li testování adresy IP

pomocí příkazu ping úspěšné, testování názvu počítače však nikoli, může jít o problém s překladem

adres IP. V takovém případě zkontrolujte, zda lze zadaný název počítače převést na adresu IP po-

mocí místního souboru Hosts, dotazů systému DNS (Domain Name System) nebo technologií pře-

vodu názvů systému NetBIOS.

Příklady:

ping 192.168.10.5 - cílový uzel podle IP adresy

ping -t www.google.cz - cílový uzel podle DNS jména (provede se překlad) a neskončí po 4

paketech, ale opakovaně odešle určenému hostiteli žádost o ozvěnu až do ukončení zobra-

zení statistiky a pokračování - Control-Break nebo ukončení - Control-C

ping -n 10 -l 1000 10.0.99.221 – textování cílové adresy 10.0.99.221 s použitím deseti zpráv

požadavku odezvy o délce datového pole 1 000 bajtů

Syntaxe (OS Linux):

ping [–c <počet>] [-i <pauza>] [-f] [-s <velikost>] <cíl>

Parametry

-c udává počet zaslaných paketů

-i určuje interval mezi zaslanými pakety

-f určuje, že žádosti mají být zasílány nepřetržitě maximální rychlostí


-s určuje velikost zasílaného paketu

<cíl> určuje cílovou IP adresu (nebo doménové jméno)

11.1.2 Příkaz TRACERT

tracert - je po pingu hned druhým nástrojem, který použijete v případě řešení problému se síťovým

spojením. Zatímco ping vám řekne, zdali jste vůbec připojeni, tracert vám řekne, kde se problém

vyskytuje. Vypisuje uzly (směrovače) na cestě datagramů od zdroje až k zadanému cíli. Uzly jsou

zjišťovány pomocí snížení hodnoty TTL v hlavičce datagramů. Díky výpisu jednotlivých uzlů, přes

které paket prochází, se zjistí přesná cesta k počítači nebo nějaké stanici v síti (2).


Tracert [-d ] [-h <max. přeskoků>] <cíl>

Parametry:

-d

Způsobí, že příkaz tracert nebude překládat adresy IP zprostředkujících směrovačů na jejich názvy.

Tímto lze zobrazení výstupu příkazu tracert urychlit.

-h Max. přeskoků

Určuje maximální počet směrování v cestě pro vyhledání cíle. Výchozí počet je 30 směrování.

cíl

Určuje název hostitele nebo adresu IP cíle.

Příklad:

tracert www.google.cz - sleduje cestu k cíli (přes jaké uzly

Syntaxe (OS Linux)

traceroute [-m <max. přeskoků>] <cíl>

11.1.3 Příkaz PATHPING

Pathping –je nástroj pro sledování tras kombinující funkce příkazů ping a tracert s dalšími informa-

cemi, které neposkytuje žádný z těchto příkazů. Příkaz pathping odesílá každému směrovači na cestě


k cíli po určitou dobu pakety a poté na základě vrácených paketů z jednotlivých směrování vypočí-

tává výsledek. Protože tento příkaz udává podíl ztracených paketů na každém směrovači nebo pro-

pojení, umožňuje snadné vyhledání směrovačů a propojení způsobujících potíže se sítí.

Pathping je kombinací příkazů ping a tracert, poskytující navíc některé doplňující informace. Nástroj

využívá protokol ICMP.


pathping <název domény či IP adresa>

Další parametry zjistíme zadáním: pathping /?

Příklad:

pathping -q 10 www.google.cz - dotaz na cíl podle DNS, 10 dotazů pro každý hop (zkrátí se

délka provedení)

11.1.4 Příkaz IPCONFIG

Ipconfig poskytuje diagnostické informace týkající se konfigurace sítě TCP/IP, také přijímá různé pří-

kazy protokolu a umožňuje tak systému aktualizovat nebo uvolnit svoji konfiguraci sítě.

Pokud zadáte příkaz ipconfig bez parametrů, zobrazí se podrobné informace týkající se interneto-

vého připojení. Zřejmě nejužitečnějším údajem je v tomto výpisu IP adresa výchozí brány, která

představuje IP adresu vašeho směrovače. Zadáte-li tuto IP adresu do internetového prohlížeče, zob-

razí se vám rozhraní pro konfiguraci tohoto směrovače.


ipconfig [/all] [/renew [<Adapter>]] [/release [<Adapter>] [/registerdns]]

Příkazem ipconfig /release se připojení uvolní, tj. zruší (proto tento příkaz nepoužívejte, pokud mu-

síte být připojeni k Internetu). Příkaz ipconfig /renew zajistí připojení k Internetu s novou IP adre-

sou.

Příklady:

ipconfig /all - podrobný výpis všech rozhraní

ipconfg /renew - obnoví IP adresu všech rozhraní

ipconfig /registerdns - obnoví DHCP pronájem a znovu zaregistruje adresu u DNS (5)


Syntaxe (OS Linux)

ifconfig [ethX [<adresa> netmask <maska>]]

Bez parametru vypisuje nastavení veškerých síťových rozhraní na počítači

S parametrem ethX vypisuje nebo nastavuje parametry specifikovaného rozhraní

<adresa> netmask <maska> nastavuje IP adresu počítače a masku podsítě, např.

ifconfig eth1 10.0.1.1 netmask 255.255.255.0

11.1.5 Příkaz NETSTAT

Netstat zobrazí aktivní připojení TCP portů. Přes tyto porty počítač přijímá požadavky, statistické

údaje z Ethernetu, směrovací tabulky IP, statistiky IPv4 a IPv6. Pokud netstat zadáme bez parametrů,

zobrazíme aktivní připojení TCP.


netstat [-a][-b][-n][-r]

Parametry:

-a - zobrazí všechna aktivní spojení a TCP a UDP porty na kterých naslouchají spuštěné procesy

-b - zobrazí názvy spustitelných souborů (programů), které mají otevřené spojení nebo naslouchají

na síťovém portu

-n – zobrazí aktivní připojení TCP. K zobrazení adres a čísel portů jsou ale použitý číselné hodnoty.

Tyto hodnoty příkaz nepřevádí na názvy.

-r - vypíše r obsah směrovací tabulky protokolu IP (5)

11.1.6 Příkaz NET

Net – široká paleta příkazů okolo sítí, sdílení, účtů, služeb. Připojí nebo naopak odpojí stanici od

sdíleného zdroje. Navíc umí zobrazit informace o všech síťových připojeních stanice. Je velmi vhodný

pro použití ve skriptech. Použijete-li příkaz net use bez parametrů, zobrazí se seznam síťových při-

pojení.

net use [Název zařízení] [Cesta ke sdílenému zařízení] /[Parametry]


Parametry:

/user (Udává jiné uživatelské jméno, pomocí kterého bude vytvořeno připojení. Tento parametr

nelze kombinovat s parametrem /savecred.)

/savecred (Pokud je uživatel vyzván k zadání hesla, ukládá zadané pověřovací údaje pro opakované

použití. Tento parametr nelze kombinovat s parametry /smartcard a /user.)

/smartcard (Určuje, že pro připojení k síti mají být použita pověření obsažená na kartě Smart Card.

Je-li k dispozici více karet Smart Card, budete vyzváni k upřesnění požadovaných přihlašovacích

údajů. Tento parametr nelze kombinovat s parametrem /savecred.)

/delete (Zruší určené síťové připojení. Pokud určíte připojení pomocí hvězdičky (*), budou zrušena

všechna síťová připojení.)

/persistent:yes|no (Řídí používání trvalých síťových připojení. Výchozí nastavení je určeno napo-

sledy použitým parametrem. Připojení bez zařízení nejsou trvalá. Parametr yes uloží všechna připo-

jení tak, jak jsou vytvořena, a obnoví je při příštím přihlášení. Parametr no neuloží vytvářené nebo

následující připojení. Existující připojení budou při příštím přihlášení obnovena. Pokud chcete ode-

brat trvalá připojení, použijte přepínač /delete.)

/home (Připojí uživatele k domovskému adresáři.)

Příklady:

net use - zobrazí namapované shary

net use Administrator heslo - změna hesla lokálního uživatele Administrator na heslo

net use u: \\ok\d - namapuje síťovou cestu na disk

net user uzivatel - zobrazí informace o lokálním účtu

net help user - nápověda k příkazu net user

net localgroup - vypíše existující lokální skupiny

net localgroup /domain - vypíše existující skupiny v doméně

net start jmeno - spustí službu

net stop jmeno - zastaví službu

11.1.7 Příkaz ROUTE

Route zobrazí a upraví položky v místní směrovací tabulce IP.

Syntaxe v OS Windows:


route [-f ] [-p ] [Příkaz [Cíl]

Parametry:

-f

Vymaže ze směrovací tabulky všechny položky, které nepředstavují trasy hostitelů (trasy s maskou

sítě 255.255.255.255), síťovou trasu zpětné smyčky (trasy s cílem 127.0.0.0 a maskou sítě 255.0.0.0),

ani trasy vícesměrového vysílání (trasy s cílem 224.0.0.0 a maskou sítě 240.0.0.0). Pokud je tento

parametr použit spolu s jedním z příkazů (například s příkazem add, change nebo delete), bude před

spuštěním příkazu tato tabulka smazána.

-p

Pokud je tento parametr použit spolu s příkazem add, je určená trasa přidána do registru a použita

k inicializaci směrovací tabulky IP při každém spuštění protokolu TCP/IP. Ve výchozím nastavení se

po restartování protokolu TCP/IP přidané trasy neuchovávají. Je-li tento parametr použit spolu s pří-

kazem print, zobrazí se seznam trvalých tras.

Cíl

Určuje cíl trasy v síti. Cílem může být adresa sítě IP (jejíž hostitelské bity jsou nastaveny na hodnotu

0), adresa IP trasy k hostiteli nebo adresa 0.0.0.0 jakožto výchozí trasa.

Příklady:

route print - vypíše routovací tabulku

route add default gw 192.168.0.1 - nastaví defaultní bránu na adresu 192.168.0.1

Syntaxe v OS Linux

route [add default gw <brána>]

route –n - vypíše směrovací tabulku jádra bez překladu IP adres na jména (výhodné, pokud v síti

není DNS server).

11.1.8 Příkaz NSLOOKUP

Nslookup je nejčastěji používaný diagnostický program DNS. Tento program má jednu velikou vý-

hodu: je dnes totiž obsažen prakticky v každém síťovém operačním systému (Linux, Unix, Windows

2000, Novell). Proto není nutné nic instalovat.


Programem nslookup posíláme DNS dotazy na DNS server a kontrolujeme, zda DNS server odpovídá

správně.

Parametry:

Příkaz bez parametru zobrazí jméno a adresu výchozího DNS serveru a výzvu (>) k zadávání podpří-

kazů.

ls -d domena - výpis všech záznamů (pokud mám oprávnění) = Zone Transfer

Příklady:

nslookup www.seznam.cz - vrátí záznam z primárního DNS pro zadanou doménu

Poznámka:

Program nslookup je považován za zastaralý nástroj a dnes jej nahrazuje program dig. Program dig

je nástroj pro ruční kladení otázek DNS serverům. V distribuci Fedora a Red Hat Enterprise Linux ho

najdete v balíčku bind-utils. Program dig je nástupcem programu nslookup (který není již dále vyví-

jen a nejsou v něm ani opravovány známé chyby), (4).

Syntaxe:

dig/nslookup <doménové jméno>

Další příkazy pro práci se sítí budou obsahem tutoriálů.

V kapitole byly popsány základní příkazy pro práci v síti. Zaměřili jsme se řádkové pří-

kazy, protože dávají vám nejvyšší možnou kontrolu nad úlohou a jsou vždy po ruce.

Obecně lze říct, že při jejich použití jako administrátor systémové konzoly máte mini-

mální omezení pro jejich provedení. Na druhé straně to vyžaduje od vás dobré po-

chopení toho, co příkazy dělají a znalosti jejich základních přepínačů.

V textu najdete vysvětlení např. příkazů ipconfig, ping, tracert, nslookup a dalších.

Příkaz ipconfig vypíše základní informace o adaptéru (přípona DNS podle připojení,

adresa IP, maska podsítě, výchozí brána). Pokud používáte adresu přidělenou z DHCP

serveru, a tato adresa není správná, můžete použít příkaz ipconfog/release pro uvol-

nění špatné adresy a potom příkaz ipconfig/renew pro znovunačtení adresy z DHCP


serveru. Příkaz ping pošle paket na zadanou adresu a sdělí informace o rychlosti do-

ručení. Příkaz tracert „vysleduje cestu“. Programem nslookup posíláme DNS dotazy

na DNS server a kontrolujeme, zda DNS server odpovídá správně.

1. Vyzkoušejte příkaz Ipconfig/all a vysvětlete, k čemu slouží.

2. Napište příkaz ping seznam.cz , popište obsah obrazovky.

3. Vysvětlete, k jakému účelu se používá příkaz Tracert.

4. Vyhledejte v textu příkaz, který vypisuje routovací tabulku.







ISBN 978-80-251-3363-7.


Media, 2010. 180 s. ISBN 978-80-7402-036-0.

[4] KERSLAGER, M. Analýza DNS programem dig. [online]. [cit. 2017-11-20]. Do-

stupné z: https://www.pslib.cz/milan.kerslager/Anal%C3%BDza_DNS_progra-

mem_dig

[5] LEITNER, M. Základní řádkové příkazy, bez kterých se rozhodně neobejdete.

[online]. [cit. 2017-11-30]. Dostupné z: http://svetsiti.cz/clanek.asp?cid=Za-

kladni-radkove-prikazy-bez-kterych-se-rozhodne-neobejdete-2712013

Kapitola 12

Softwarové nástroje pro

sledování a analýzu

datových toků v síti


Vysvětlit význam monitorování síťového provozu, stručně charakterizovat dohledový systém a jeho vlastnosti, popsat rozdíl mezi jednotlivými způsoby sledování zařízení,

uvést konkrétní příklady dohledových systémů.

Klíčová slova:

Monitorování síťového provozu, dohledový systém, architektura Enterprise Campus,

Nagios, Cacti, Zabbix, SCOM.


12.1 Monitorování síťového provozu

Získat přehled o stavu počítačové sítě je jedním ze základních způsobů, jak ji provozovat. Hlavním

účelem monitorování počítačových sítí je upozornit jejich správce na problémy, které mohou v síti

nastat.

Základní způsoby monitorování kontrolují dostupnost segmentu sítě a poskytují informaci o velikos-

tech datových přenosů v jednotlivých fyzických segmentech sítě. Dohled se většinou realizuje po-

mocí kontroly dostupnosti jednotlivých koncových stanic a síťových prvků a sběru statistických in-

formací z jejich rozhraní. Možnosti upozornění na problémy jsou velice malé, získáme pouze infor-

maci o závadě či přetížení síťových segmentů, což v dnešní době není dostačující.

Pokročilejší dohled síťové infrastruktury zahrnuje nástroje, které budou přímo sledovat a analyzovat

provoz v počítačové síti. Příkladem takových nástrojů jsou Network IDS systémy (v překladu Síťový

systém pro detekci průniků), které získávají přímá či nepřímá data o síťovém provozu a pokoušejí se

v nich detekovat různé druhy počítačových útoků. V případě úspěšného odhalení aktivního útoku jej

mohou buď pouze ohlásit (pasivní systémy) nebo rovnou provést automatizovanou akci vedoucí

k jeho zablokování (reaktivní systémy) (3).

12.2 Dohledové systémy

Dohledový systém je možné definovat jako prvek, který je implementován do monitorované sítě

a který periodicky zjišťuje dostupnost a stav jednotlivých uzlů a spojů. V případě problémů nebo ne-

dostupnosti některého prvku o této události informuje administrátora sítě. V některých případech

je možné pomocí dohledového systému síť také aktivně řídit, tzn., můžeme nadefinovat postupy,

které se budou provádět v případě, že se pro nás kritický uzel stane nedostupný. Dohledové systémy

mohou být nasazeny jako aplikace na serveru (případ porovnávaných systému) nebo jako samo-

statné jednoúčelové zařízení.

179 SOFTWAROVÉ NÁSTROJE PRO SLEDOVÁNÍ A ANALÝZU DATOVÝCH TOKŮ V SÍTI

12.2.1 Kategorie dohledových systémů

Základní dohledové systémy

Základní dohledové systémy pracují typicky na protokolu ICMP. Jedná se tak o systémy, které peri-

odicky vyhodnocují pouze stav sledovaného prvku a jsou schopny poskytovat informaci o jeho do-

stupnosti pouze na úrovni dostupný/nedostupný, případně přidávají informaci o době jeho odezvy.

Tento typ monitorovacího systému je vhodný pouze pro menší sítě typu LAN nebo u sítí, kde nám

nejsou schopna sledovaná zařízení poskytnout více informací.

Pokročilé dohledové systémy

Pro větší počítačové sítě je mnohem výhodnější využít pokročilé dohledové systémy. Ty typicky pra-

cují s více protokoly jako např. SNMP, CDP, SSH apod. To těmto systémům umožňuje sledovat prak-

ticky všechny informace o zařízeních v síti jako je stav spuštěných služeb, vytížení systémových pro-

středků, aktuální datový tok apod. U serverů pak typicky využívají tyto systémy lokálně spuštěné

agenty, kteří pomáhají shromažďovat data nedostupná pomocí síťových protokolů.

Tím, že mají tyto dohledové systémy mnohem více informací o dění na síti, mohou o nestandardních

situacích informovat administrátory mnohem dříve, ve většině případů ještě před samotným výpad-

kem sledovaného zařízení. Tyto systémy dále mohou vyhodnocovat a identifikovat začínající útoky

na sledovanou síť. Nasazením tohoto typu dohledového systému pak administrátor získá maximum

možných informací o stavu sítě.

Proaktivní dohledové systémy

Proaktivní systémy jsou de-facto pokročilé dohledové systémy, které ale umí síťová zařízení i ovlá-

dat. Tyto systémy jsou vhodné typicky do vysoce automatizovaného prostředí, jako jsou datacentra,

rozsáhlé sítě, vysoce dostupné clustery apod. Tyto systémy zažívají s rozvojem cloudových služeb

velký boom a výrobci prakticky všech dohledových systémů se tomuto trendu začínají přizpůsobo-

vat. Je to dáno především tím, že většina systémů umí implementovat automatizované scénáře,

které reagují na předem dané události. Tím dochází k významnému snížení nákladů na správu sítě

a zlepšení kvality poskytovaných služeb.

Systémy sledující datový tok

Samostatnou kategorií jsou pak síťové monitory, které pracují na bázi odposlechu veškeré komuni-

kace probíhající na síti. Tyto systémy jsou však extrémně náročné jak na výkon, tak zejména na zá-

zemí, které je nutné pro jejich nasazení.


Je to dáno především tím, že „odposlech“ síťové komunikace není možné provádět na jednom cen-

tralizovaném místě. Při nasazení těchto systémů jsou využívány „inteligentní“ přepínače, které

umožňují zrcadlit veškerý datový tok i na další port, do kterého je připojena jednotka pro sběr dat.

Některé systémy pak také využívají speciálních průchozích jednotek, které se zapojují přímo na pře-

nosové médium.

Tyto jednotky v dávkách odesílají data do centrálního prvku, který se stará o jejich ukládání, analýzu

a vizualizaci uživateli (2) (3).

12.2.2 Architektury

I přes fakt, že každá datová síť je v podstatě unikátní, existuje obecná představa o běžně nasazované

architektuře datových sítí s ohledem na robustnost, rychlost a spolehlivost přenosu dat. Tuto archi-

tekturu, nejlépe charakterizuje a popisuje spol. Cisco pod názvem Enterprise Campus 3.0 (1). Archi-

tektura se primárně zaměřuje na datové sítě v rámci jedné společnosti, ale její principy jsou využí-

vány i v ostatních typech sítí. Zaměříme se pouze na základní principy této architektury vhodné k po-

chopení architektur a umístění dohledových systémů. Principem této architektury je třívrstvá hie-

rarchická síť uvedená na Obr. 12.1. Zavedení hierarchie a členění sítě do vrstev umožňuje a usnad-

ňuje její budoucí růst a významně napomáhá k jednoduššímu směrování, adresaci a samostatnosti

jednotlivých částí a bloků sítě.

Základní vrstvou je vrstva přístupová. Jde o místo, kde se sítí přichází do styku uživatel a je tak nutné

na této vrstvě maximálně zabezpečit a omezit přístup do sítě nežádoucím uživatelům. Dochází zde

k rozdělení uživatelů do příslušných VLAN, nastavení a aktivaci QoS (Quality of services) apod. Tato

vrstva je obvykle přepínaná, ale čím dál častěji také směrovaná díky L3 přepínačům.

Hlavním úkolem distribuční vrstvy je propojení jádra a přístupové vrstvy. Jejím účelem je agregace,

izolace, řízení a omezení toku dat apod. Vrstva je typicky směrovaná, ale není zde kladen tak vysoký

důraz na konvergenci.

Poslední vrstvou je vrstva jádra. Vrstva jádra nemá za úkol nic jiného, než co nejrychleji směrovat

pakety a docílit tak maximálního možného výkonu. Zajímavostí je fakt, že na vrstvě jádra jsou zaří-

zení konfigurována naprosto minimálně. Je to hlavně z důvodů rychlosti, kdy požadavkem na vrstvu

není analýza datového toku, ale co nejrychlejší doručení paketu. Dalším efektem vrstvy je navíc

snadnější a méně nákladná rozšiřitelnost sítě, kdy odpadá nutnost spojení každý s každým v distri-

buční vrstvě. Výpadek na této vrstvě je kritický, proto je vyžadována vysoká konvergence.


Obr: 12.1: Vrstvy architektury Enterprise Campus 3.0 (1)

Z pohledu dohledových systémů se jeví jako jedna z nejzásadnějších otázek jejich umístění ve sledo-

vané síti. Logickým místem pro jeho umístění je vrstva jádra, která by měla zajistit maximální do-

stupnost a zároveň dohledovému systému umožnit přístup ke všem prvkům v síti napříč vrstvami.

Při nasazení dohledového systému je nutné brát zřetel na velikost monitorované sítě a podle toho

zvolit vhodnou architekturu. Obecně lze konstatovat, že se v dnešní době nejčastěji používají dvě

architektury dohledových systémů – centralizovaná a federativní (2).

12.2.3 Způsoby sledování zařízení

Dohledové systémy pro získávání informací ze sledovaných zařízení využívají tři způsoby. Prvním je

dotazování zařízení pomocí standardních protokolů jako je ICMP, TCP, SNMP apod. Tento způsob

dotazování většinou nevyžaduje od sledovaného zařízení žádné větší zásahy do konfigurace mimo

povolení výjimek ve firewallu. Zároveň se jedná o univerzální způsob získávání informací bez ohledu

na výrobce a typ zařízení. Nevýhodou je pak jistá generalizace a nedostupnost některých specializo-

vaných funkcí.


Obr 12.2: Sledování zařízení pomocí síťových protokolů (2)

Druhou možností je využívání SNMP oznámení tzv. SNMP trap. V tomto případě na rozdíl od první

varianty nedochází k cyklickému dotazování ze strany dohledového systému, ale sledovaný prvek

v případě, že nastane nějaká událost (chyba, výpadek na portu, zaplnění RAM apod.) zašle dohledo-

vému systému zprávu, ve které dohledový systém o situaci informuje a ten pak na základě předa-

ných informací provádí další akce. Tento způsob sledování se ve většině případů kombinuje s cyklic-

kým dotazováním.

Obr. 3: Sledování pomocí SNMP trap (2)

Třetí možností, jak dohledový systém získává data, je nasazení speciálního agenta na sledované za-

řízení. Ten pracuje na koncovém systému jako aplikace a s dohledovým systémem komunikuje na

principu klient-server. Výhodou je, že nemusí být použit speciální síťový protokol, protože data se

většinou přenášejí pomocí TCP/IP. Hlavním benefitem je pak možnost získávat detailní informace

o sledovaném systému a v případě proaktivního dohledového systému také možnost sledovanou

stanici ovládat. Tímto způsobem se typicky monitorují servery.

Obr. 4: Sledování zařízení pomocí instalovaného agenta (2)


12.2.4 Bezpečnost dohledových systémů

Zabezpečení dohledového systému a sledované sítě by mělo být vždy naší hlavní prioritou. Je nutné

si uvědomit fakt, že nasazením dohledového systému dojde k centralizaci veškerých informací o pro-

vozu a stavu sledované sítě na jedno místo a v případě, že by útočník k dohledovému systému získal

přístup, mohl by nerušeně sledovanou síť ovládat a odposlouchávat.

Při nasazení by tak měl být brán zřetel zejména na nastavení zabezpečeného přihlašování, omezo-

vání přístupu k dohledovému systému pouze z vybraných pracovních stanic a IP adres, využívání šif-

rovaných komunikačních protokolů při sběru dat ze síťových prvků, a pokud to sledovaná zařízení

umožňují, využít SNMP protokol verze 3. Samozřejmostí by pak mělo být zabránění fyzického pří-

stupu jak ke sledovaným zařízením, tak k samotnému dohledovému systému (3).

12.3 Vybrané dohledové systémy

12.3.1 Nagios

Nagios, za jehož vývojem stojí společnost Nagios Enterprises, je jedním z nejpopulárnějších dohle-

dových systémů na světě. Jeho první verze byla vydána v roce 1999 a v současnosti ho využívají

tisíce uživatelů a společností po celé planetě.

Jeho obliba je dána především tím, že je založen na modulární architektuře a open source běhovém

prostředí, takže je velmi snadné přizpůsobit si ho svým potřebám. Základní jádro je navíc distribuo-

váno zcela zdarma, nicméně obsahuje pouze samotný dohledový mechanismus a jakoukoliv další

funkci, kterou bychom chtěli implementovat, je nutné doinstalovat jako samostatný modul. V zá-

kladní instalaci jádra navíc není obsaženo ani konfigurační rozhraní a ani pokročilejší vizualizace dat.

Konfigurace tak probíhá výhradně přes příkazový řádek a to není z dlouhodobého hlediska příliš po-

hodlné. Z těchto důvodů může být jeho prvotní nasazení zdlouhavé a obtížné.

Naštěstí je zde i druhá cesta, jak maximálně využívat Nagios bez nutnosti insta lace a vyhledávání

jednotlivých modulů, zdlouhavého prohledávání a testovaní dostupných pluginů, kterých je celá

řada a liší se jak kvalitou, tak také podporou ze strany vývojářů.

Výhodou placené verze je ucelený balík dostupných nástrojů při zachování možnosti rozšiřitelnosti

a přizpůsobení pro konkrétní síťové a aplikační řešení. Společnosti, které navíc zvolí placenou verzi,


dostanou možnost kontaktovat technickou podporu. Proto se výběr tohoto uceleného balíku pro

produkční prostředí jeví jako nejsmysluplnější.

Obr. 5: Ukázka uživatelského rozhraní systému Nagios (2)

Po instalaci produktu dostane uživatel k dispozici kompletní webové rozhraní s množstvím doinsta-

lovaných nástrojů pro reportování, zobrazování map, automatické skenování sítě apod. Systém je

po instalaci plně připraven na monitorování síťových zařízení, aplikačních serverů a koncových sta-

nic. Pro sledování a vyhodnocování dat ze serverů a koncových stanic je využíváno lokálního agenta,

který je součástí instalace.

Samozřejmostí je sledování služeb pomocí síťových protokolů (ICMP, SSH, TELNET, TCP, …).

Z hlediska architektury je možné Nagios nasadit jako centrální dohledový systém, nebo jako skupinu

dohledových systémů s federativní architekturou.

12.3.2 Cacti

Cacti je open source dohledový systém postavený na nástroji RRDTool. Tento nástroj byl speciálně

vyvinut pro sběr a vizualizaci dat a je tak jeho využití pro dohledový systém vice než vhodné. Cacti

si, podobně jako Nagios, oblíbilo mnoho uživatelů po celém světě, nicméně vývojáři tohoto systému

k dohledovému systému přistoupili trochu jiným způsobem. Zatímco Nagios se snaží pracovat v re-

álném čase, Cacti se snaží pracovat primárně jako systém pro sběr a následnou analýzu dat. Sledo-


vání v reálném čase je zde až jako sekundární účel a upozornění na výpadky je uživateli prezento-

váno v řádech několika minut. Toto může být problém pro sítě, kde hodně záleží na dostupnosti.

Nasazení tohoto dohledového systému na tento typ datové sítě nemusí být vhodné.

Na rozdíl od Nagiosu, nemá systém Cacti žádnou placenou variantu a jeho vývoj je závislý čistě na

komunitě a koncovém uživateli. To s sebou přináší i jistá úskalí v podobě zdlouhavého nastavení pro

konkrétní sledovaná zařízení, kdy je občas nutné složitě dohledávat a nastavovat parametry pro

úlohy, zajišťující sběr dat. Nastavení se nicméně provádí přes webové rozhraní systému a tak je daný

proces sice zdlouhavý, ale z hlediska uživatele alespoň pohodlný. Podobně jako u Nagiosu je i tento

systém možné rozšířit o různé doplňky, které zajišťují nové funkce a vlastnosti systému jako je auto-

matické rozpoznávání nových zařízení na síti apod. Za zmínku pak stojí ještě projekt jménem CactiEZ.

Jde o upravenou linuxovou distribuci, po jejíž instalaci dostane uživatel k dispozici kompletní řešení

včetně běžně nasazovaných doplňků a výrazně tak usnadňuje nasazení systému.

Z hlediska architektury je systém připraven spíše na centralizovaný dohled. Pro sledování aplikač-

ních serverů je opět využito lokálních agentů, kteří slouží ke generování SNMP odpovědí na přijí-

mané dotazy. Mezi podporované protokoly patří ICMP, TCP, UDP a SNMP.

Obr. 6: Ukázka uživatelského rozhraní systému Cacti (2)

12.3.3 Zabbix

Zabbix je dalším ze zástupců svobodného software, který je překvapivě výkonným a flexibilním ře-

šením. Za jeho vývojem stojí tým Zabbix SIA a z hlediska možností nastavení a nasazení přináší

funkce, které bychom u jiných open source produktů hledali jen těžko, anebo by byly dostupné ve

formě placených doplňků.


Instalace celého systému je velmi snadná, protože vývojáři připravili ins talační balíčky pro většinu

používaných linuxových distribucí. Z hlediska sledování sítě je opět možné použití standardních sí-

ťových protokolů. Pro aplikační servery je pak připraveno mnoho lokálních agentů.

Pro správu systému má uživatel k dispozici webové rozhraní, které ale bohužel na první pohled ne-

vypadá příliš přehledně a ani práce s grafy není příliš uživatelsky přívětivá. Naopak výhodou tohoto

systému je možnost implementace SLA, evidence IT infrastruktury dle metodiky ITIL a mnoho dalších

funkcí pro správu infrastruktury společnosti. Při nasazení Zabbixu je možné využít obou typů archi-

tektur – centralizovanou i federativní.

Obr. 7: Ukázka uživatelského rozhraní systému Zabbix (3)

12.3.4 System Center Operations Manager 2012 (SCOM

2012)

SCOM 2012 je součástí nejnovějšího rodiny produktů společnosti Microsoft v oblasti správy, řízení

a monitoringu IT infrastruktury, který se souhrnně nazývá System Center 2012. Dříve byl tento pro-

dukt zaměřen výhradně na velká enterprise prostředí nicméně s příchodem verze 2012 a současným

rozvojem IT i v menších společnostech, dostává smysl implementovat tyto produkty i v těchto pro-

středích. Nasazením celé rodiny produktů pak společnost získává kompletní kontrolu nad IT a to od

řízení nakládání s daty přes správu virtualizačních a aplikačních clusterů, síťových prvků až po interní


helpdesk. Nedílnou výhodou je, že jsou tyto nástroje proaktivní, a tak je možné připravovat auto-

matizované scénáře.

Tím, že je SCOM jenom jednou součástí velkého řešení, je nutné při jeho nasazení využít poměrně

výkonný hardware a to zejména kvůli databázovému serveru MS SQL, který je pro jeho běh nutný.

K administraci celého systému je uživateli k dispozici speciální administrační konzole ve formě apli-

kace a webové rozhraní.

Pro sledování síťových zařízení systém využívá standardní síťové protokoly jako je ICMP a SNMP

a pro aplikační servery je využito nativních agentů. Z hlediska architektury jsou dostupná obě řešení

– centralizované i federativní.

Obr. 8: Ukázka uživatelského rozhraní systému SCOM 2012 (3)


Dohledový systém je aplikační nástroj umožňující správci sítě v reálném čase monito-

rovat parametry sítě nebo zpětně dohledat stav sítě v konkrétní časový okamžik. Do-

hledové systémy (často také monitorovací systémy) jsou komplexní nástroje pro cen-

tralizovanou správu a analýzu sítě. Můžeme monitorovat nejen veškeré parametry

serverů, pracovních stanic a síťových prvků, jako jsou například dostupnost, obsaze-

nost datových úložišť, teploty na důležitých hardwarových prvcích, stavy baterií v zá-

ložních zdrojích napájení, ale také spuštěné služby a aplikace na serverech i pracov-

ních stanicích. Monitorovací nástroje jsou multiplatformní a můžou tedy běžet na

všech dnes známých operačních systémech, jako jsou například UNIX, MacOS, Win-

dows a další.

1. Vysvětlete, co je dohledový systém.

2. Popište rozdíl mezi způsoby sledování zařízení.

3. Uveďte konkrétní příklady dohledových systémů.


[1] Cisco Systems, Inc. 2008. Enterprise Campus 3.0 Architecture: Overview and

Framework. [Online] 2008. [Citace: 2013. 8 13.]

Dostupné z: http://www.cisco.com/en/US/docs/solutions/Enterprise/Cam-

pus/campover.html

[2] BEZPALEC, P. Nové trendy v elektronických komunikacích: Management ICT sys-

témů. Praha: ČVUT.

[3] KŮŽEL, P. Analýza síťového provozu. Brno: Masarykova univerzita, 2006. Diplo-

mová práce.



ISBN 978-80-251-3363-7

POþÍTAþOVÉ SÍTítačové-sítě-studijní-text.pdf1.9.4 FDDI (Fiber Distributed Data Interface)...

Documents

Transcript of POþÍTAþOVÉ SÍTítačové-sítě-studijní-text.pdf1.9.4 FDDI (Fiber Distributed Data Interface)...