Opora modul 12 II

Transkript

Opora modul 12 II

Vyšší odborná škola ekonomická a zdravotnická
a Střední škola, Boskovice
MODUL 12: DATOVÉ SÍTĚ II
Studijní opora
Název projektu: Zkvalitňujeme cestu k poznání
Číslo projektu: CZ.1.07/1.1.02/01.0143
DATOVÉ SÍTĚ II
Autor:
Jiří Hlaváček
Tato studijní opora byla vytvořena pro projekt „Zkvalitňujeme cestu k poznání“
CZ.1.07/1.1.02/01.0143 Operační program Vzdělávání pro konkurenceschopnost.
Boskovice 2011
Tento projekt je spolufinancován Evropským sociálním fondem a státním rozpočtem
České republiky.
Obsah
1
2
3
4
Úvod.................................................................................................................................... 5
1.1
Cíle předmětu – kurzu .................................................................................................. 5
1.2
Struktura a cíl této studijní opory ................................................................................. 5
1.3
Použité symboly ........................................................................................................... 5
Domácí a malé podnikové sítě ............................................................................................. 6
2.1
Hardware osobního počítače........................................................................................ 6
2.2
Operační systémy......................................................................................................... 9
2.3
Připojení k síti .............................................................................................................11
2.4
Připojení k Internetu přes ISP ......................................................................................14
2.5
Adresace v sítích .........................................................................................................16
2.6
Síťové služby ...............................................................................................................18
2.7
Bezdrátové technologie ..............................................................................................20
2.8
Základy bezpečného provozu sítí .................................................................................22
2.9
Řešení problémů sítí....................................................................................................24
Středně velké podnikové sítě, sítě poskytovatelů internetu.................................................25
3.1
Internet a jeho použití .................................................................................................25
3.2
Help Desk....................................................................................................................26
3.3
Plánování inovace sítě (upgrade) .................................................................................28
3.4
Plánování adresní struktury .........................................................................................30
3.5
Konfigurace síťových zařízení ......................................................................................32
3.6
Směrování (Routing) ...................................................................................................33
3.7
Služby poskytovatele internetového připojení (ISP služby) ..........................................34
3.8
Povinnosti a odpovědnost poskytovatele internetového připojení ..............................36
3.9
Řešení problémů .........................................................................................................38
Úvod do směrování a přepínání v rozsáhlých podnikových sítích .........................................39
4.1
Zasíťování rozsáhlé podnikové sítě ..............................................................................39
4.2
Síťová infrastruktura rozsáhlé podnikové sítě ..............................................................40
4.3
Přepínání v rozsáhlé podnikové síti .............................................................................41
4.4
Adresace v rozsáhlých podnikových sítích ...................................................................44
4.5
Správa rozsáhlé podnikové sítě ...................................................................................46
4.6
Směrování a Link-State protokol ..................................................................................47
4.7
Implementace WAN propojení rozsáhlé podnikové sítě...............................................48
4.8
Filtrování provozu pomocí Access Control Lists............................................................49
Studijní opora: Datové sítě II – CCNA Discovery
Stránka 3 z 63
4.9
5
6
Řešení problémů rozsáhlých podnikových sítí ..............................................................50
Vytváření designu a podpora počítačových sítí ....................................................................52
5.1
Úvod do designových konceptů sítí .............................................................................52
5.2
Shromažďování síťových požadavků ............................................................................53
5.3
Charakteristika existující sítě .......................................................................................54
5.4
Identifikace dopadu používaného aplikačního softwaru na design sítě ........................55
5.5
Tvorba návrhu sítě ......................................................................................................56
5.6
Použití IP adresace v návrhu sítě .................................................................................58
5.7
Prototypování LAN a WAN designu sítě .......................................................................60
Literatura............................................................................................................................62
Stránka 4 z 63
Kapitola 1 – Úvod
1 Úvod
1.1 Cíle předmětu – kurzu
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Umět nastavit PC včetně OS a I/O rozhraní
Znát síťové komunikační protokoly
Umět identifikovat a navrhnout řešení síťové architektury
Umět navrhnout a realizovat lokální síťovou infrastrukturu
Znát ISO OSI model a princip zapouzdření dat při komunikaci
Umět nastavit síťové protokoly
Umět konfigurovat síťová zařízení
Umět vytvořit a konfigurovat bezdrátové spojení v rámci sítě
Umět monitorovat stav sítě a odhalovat a řešit poruchy
Umět nastavit serverové webové služby a sdílení v síti
Znát způsoby zálohování dat
Umět popsat řešení uzavřených rozsáhlých sítí
Znát různé způsoby komunikace v rozsáhlých sítích
Znát způsoby a činitele ovlivňující návrh rozsáhlých podnikových sítí
1.2 Struktura a cíl této studijní opory
Tato studijní opora slouží pro podporu úspěšného absolvování kurzů CCNA Discovery. Tato opora
je doplněna druhou oporou, která obsahuje cvičební příklad.
Struktura kapitol je téměř shodná se strukturou kurzů CCNA Discovery. V každé kapitole je na začátku stručně uveden cíl dané kapitoly a minimální čas potřebný ke zvládnutí tématu na požadované
úrovni. Věcný obsah kapitol se převážně skládá z výčtu klíčových pojmů, které jsou buď pouhým překladem odborných termínů potřebných pro pochopení interaktivních on-line materiálů (minimálně) anebo
jsou popsány či podrobněji vysvětleny technologie popisované v on-line materiálech, kde jsou doplněny
interaktivními schématy či ukázkami.
Tato opora je věcným shrnutím a vysvětlením klíčových pojmů potřebných pro úspěšné absolvování CCNA Discovery. Není však samostatně dostačujícím materiálem pro plné porozumění daných témat. Pro dokonalé zvládnutí probíraných témat je třeba kombinovat obsah této opory s on-line materiály Cisco Networking Academy a e-learningovou podporou předmětu Počítačové sítě.
1.3 Použité symboly
Časová náročnost
Úkol
Důležité
Poznámka
Stránka 5 z 63
Kapitola 2.1 – Hardware osobního počítače
2 Domácí a malé podnikové sítě
2.1 Hardware osobního počítače
Cílem kapitoly je:
- seznámit Vás s výskytem počítačového vybavení téměř ve všech oblastech lidské činnosti,
- objasnit funkce hardwaru, operačního systému a aplikačního software,
- naučit Vás rozlišit a různé typy počítačů a jejich aplikaci v běžném životě
- dokázat popsat způsob digitální reprezentace informací a vysvětlit a spočítat
velikost dat
- rozpoznat jednotlivé komponenty PC a popsat jejich funkčnost a aplikaci v praxi
Hodinová dotace: 4 vyučovací hodiny
Klíčové pojmy:
Hardware – termín označující všechny fyzicky existujících částí výpočetní techniky (lze je fyzicky uchopit).
Software – programové vybavení počítače, datová část zabezpečující chod počítače, případně výpočty,
manipulaci s daty nebo další potřebné čínnosti
Operating System – v překladu „operační systém“, používá se zkratka OS – základní software zabezpečující rozhraní mezi hardwarem a ostatním programovým vybavením. OS zabezpečuje také základní
softwarové uživatelské rozhraní mezi počítačem a uživatelem.
Application Software – aplikační programové vybavení – software mimo OS poskytující typicky nějakou
užitečnou službu uživateli – textový editor, tabulkový procesor, aplikace plánovací, aplikace účetní, hry,
atd.
Local software – lokální software – software instalovaný a běžící na konkrétním jednom počítači
Network software – síťový software – software instalovaný na síťovém serveru a poskytující služby a
funkce počítačům připojeným k tomuto serveru pomocí počítačové sítě
Storage – úložiště – hardware umožňující fyzicky uložit data počítače – hard disk, USB flash disk, paměťová karta, diskové pole, přenosný disk, atd.
Internet – celosvětová počítačová síť vzájemně propojující mnoho (většinu) menších či větších sítí na
celém světě.
Stránka 6 z 63
Server – typicky se jedná o počítač připojený k počítačové síti poskytující nějaké služby klientům. Typicky
má nainstalován speciální serverový OS. Serverem však může být i aplikace nebo může být serverem
uživatelský počítač – záleží pouze na nastavení služeb.
Mainframe – centralizovaný, výkonný, většinou dobře zabezpečený počítač (soustava více počítačů),
typicky zpracovávající klíčové aktivity větších organizací (výpočet meteorologických modelů, finanční
operace bank, složité vědecké výpočty, apod.). Přístup k těmto počítačům je pro uživatele zprostředkován přístupovým terminálem (hardware nutný pouze pro funkci uživatelského rozhraní) – typicky nemá
OS a neběží na něm žádný aplikační software.
Desktop – termín používaný pro klasický počítač pro běžného uživatele.
Workstatoin – pracovní stanice – jedná se o desktop hardwarově konfigurovaný pro práci v konkrétní
oblasti výpočetní techniky – grafika, kancelář, programování, konstruktérství, testování her. Typicky
takto označené počítače mají větší výpočetní výkon než počítače označené desktop.
Notebook – přenosný počítač s integrovaným monitorem výkonově srovnatelný s desktopy v cenově
vyšších kategoriích s pracovními stanicemi. Rozměry jsou kompromisem mezi pracovním komfortem a
přenositelností zařízení.
Handheld – přenosný počítač velikostí do ruky. V počátcích této kategorie byl GameBoy a v dnešní době
se používají herní zařízení Sony PSP, případně Nintendo DS a další. Další používaná zařízení jsou v průmyslu používané ve skladových evidencích – mají integrované čtečky čárových kódů, wifi a potřebné
softwarové vybavení.
Pocket PC – kategorie počítačů velikostně podobná kategorii Handheld. Vývoj těchto zařízení se spojil
s vývojem mobilních telefonů. Používá se také označení PDA a do této kategorie lze zahrnout i mobilní
telefony kategorie SmartPhone.
RAM – zkratka z anglického „Random-Access Memory“ – paměť s přímým přístupem používaná pro
označení operační paměti počítače
CPU – zkratka z anglického „Central Processing Unit“ – procesor počítače, sloužící k vykonávání programových instrukcí realizující binární výpočty, na kterých je postaven veškerý software.
Graphic card – grafická karta – část počítače, součást hardware zabezpečující zobrazení grafického rozhraní na monitoru pro uživatele. Může být součástí základní desky počítače nebo jako samostatná karta,
která se do základní desky zapojuje. Grafické karty existují v mnoha výkonově odlišných kategoriích.
Binary representation of information – binární reprezentace dat (informací) – všechna data uložená
v počítači nebo zpracovávaná počítačem se pro práci s hardwarem musí převést do binární (dvojkové)
soustavy. Veškerý text i čísla jsou kódovány na jedničky a nuly a pouze v takové formě je hardware počítače schopen data zpracovávat.
Bit – je nejmenší jednotka informace v počítači – jedná se o jednocifernou binární informaci, tedy jeden
bit má hodnotu buď 1, nebo 0. Označuje se malým písmenem b (např. 4b jsou čtyři bity).
Stránka 7 z 63
Byte – je další jednotka udávající počet binárních dat. 1 Byte = 8 bitů. Označuje se velkým písmenem B
(např. 4B jsou čtyři byty tedy 4x8=32 bitů, 4B = 32b). Existují další jako kilobyty (KB), megabyty (MB),
gigabyty (GB), atd. Pro přepočet se ale nepoužívá standardní poměr 1:1000, ale 1:1024
tedy: 1B = 1024KB
1MB = 1024KB = 1048576B
atd.
Frekvency – frekvence - Frekvence fyzikální veličina udávající počet opakování periodického děje za jednotku času. Má jednotku Hz (Hertz). Ve výpočetní technice se používá k určení rychlosti (souvislost
s výpočetním výkonem) procesoru, pamětí, sběrnic, atd. – potažmo tedy celého počítače.
Motherboard – základní deska – jedná se o základní součást hardware počítače poskytující napájení a
sběrnice ostatním na ni připojeným součástem, jako jsou grafická karta, procesor, zvuková karta, atd.
Základní deska je většinou řešena jako modulární část, do které lze připojovat další části hardware, může
být však řešena i jako pevně spojena se všemi dalšími komponentami (obzvláště u malých zařízení).
Chipset – čipová sada – je to jeden nebo více spolupracujících čipů (integrovaných obvodů) na základní
desce počítače. Typicky se stará o komunikaci mezi procesorem, sběrnicemi, sloty a dalšími součástmi na
základní desce
Bus – sběrnice – sada vodičů vedoucí elektrický signál (informaci) mezi dvěma koncovými umístěními na
sběrnici. V konstrukci základních desek se během vývoje používalo mnoho různých druhů sběrnic (ISA,
EISA, PCI, a další), v současnosti je nejrozšířenější sběrnice PCI-Express. Označení Bus se také používá pro
sběrnicovou topologii (architekturu) počítačové sítě.
Cvičení:
CVIČENÍ - MODUL 12: DATOVÉ SÍTĚ II.: Kapitola 1.1.1 - Kapacita datových úložišť
CVIČENÍ - MODUL 12: DATOVÉ SÍTĚ II.: Kapitola 1.1.2 - Rozlišení obrazovky
Stránka 8 z 63
Kapitola 2.2 – Operační systémy
2.2 Operační systémy
Cílem kapitoly je:
- seznámit s nejrozšířenějšími operačními systémy s jejich významem a základními funkcemi
- objasnit faktory ovlivňujícími výběr vhodného operačního systému pro aplikaci
v praxi
- vyzkoušet si instalaci a konfiguraci nejrozšířenějšího operačního systému
Microsoft Windows.
Hodinová dotace: 4 vyučovací hodiny
Klíčové pojmy:
Funkce a účel OS – jak bylo zkráceně objasněno v předchozí kapitole OS je software. Bez OS je počítač
pouze skupinou elektronických součástek navržených pro konkrétní funkci. Po startu počítače a úvodní
kontrole hardwaru (POST – Power On Self Test) má řízení funkce počítače pod kontrolou BIOS (Basic
Input Output Systém), který je součástí základní desky a po provedení všech nastavených kroků spustí
OS a předá mu kontrolu nad počítačem.
Základními funkcemi OS je:
1. abstrakce hardware – vytváří softwarové rozhraní pro hardware počítače, ke kterým přistupují ostatní aplikace běžící na daném OS chtějící pracovat s daným hardwarem. Výhodou je,
že vývojáři aplikací nemusí nutně znát veškeré funkce každého hardware, ale pouze programují pro daný OS.
2. správa prostředků – OS přiděluje prostředky (prostor v operační paměti, výpočetní čas procesoru, atd.) spouštěným a běžícím aplikacím (ostatnímu softwaru)
3. ovládání počítače – umožňuje spouštět programy, předávat spuštěným aplikacím vstupní
data, případně získávat výstupy z aplikací (zobrazení na monitoru, tisk, atd.)
Instalace OS – je postup „nahrání“ funkčního OS na počítač. OS se instaluje na pevný disk počítače do
definované části zvané „partition“. Těchto částí může být více a i instalovaných OS může být na jednom
počítači více, nedoporučuje se však více instalací OS na stejnou partition disku.
Typy instalací OS:
1. Čistá instalace – provádí se na nových počítačích nebo v případě fatální havárie systému nebo v případech kdy uživatel chce změnit OS a nelze provést upgrade z jednoho na druhý.
Všechna data na partition disku, na kterou se čistá instalace provádí, jsou vymazána.
2. Upgrade – přechod z jedné verze OS na vyšší, kdy data a instalované aplikace zůstávají a
obměňují se pouze data OS. Některé aplikace na novější verzi nemusí běžet.
Stránka 9 z 63
Kapitola 2.2 – Operační systémy
3. Dual Boot (Multi Boot) – pevný disk (nebo více disků) lze dělit na více partition a poté lze do
každé partition provést čistou instalaci různých OS, kde každý OS má vlastní prostor a po
startu počítače si uživatel vybere z nabídky, který operační systém chce načíst. Mezi OS nainstalovanými tímto způsobem nelze jednoduše přepínat. Je třeba jeden vypnout a po restartu počítače vybrat jiný.
4. Virtualizace – jedná se o techniku používanou hlavně na serverech. Umožňuje spustit ve
stejnou chvíli na počítači paralelně více operačních systémů a mezi nimi poté lze přepínat
pomocí správce virtuálních strojů. Na osobních počítačích lze v OS spustit speciální aplikaci
(Virtual PC, VMware), která poté umožňuje instalovat , a spouštět virtuální.
Patch – záplata – v případě, že existuje běžící OS, tak je třeba doinstalovávat záplaty z důvodů opravy
bezpečnostních mezer v systému a chyb v systému. Jedná se typicky o vcelku malé instalace cílené na
opravu jednoho konkrétního problému. U systému Windows dochází po nějaké době ke kumulaci
patchů do servisního balíčku (service pack), který obsahuje všechny dostupné funkční záplaty v jedné
instalaci.
Cvičení:
CVIČENÍ - MODUL 12: DATOVÉ SÍTĚ II.: Kapitola 1.2.1 - Zjišťování verze OS a instalovaného software
Stránka 10 z 63
Kapitola 2.3 – Připojení k síti
2.3 Připojení k síti
Cílem kapitoly je:
- seznámit s rozšířením a využitím počítačových sítí
- seznámit se základními principy a pravidly síťové komunikace
- naučit standardy síťové komunikace a síťové hierarchie
- seznámit se síťovými zařízeními a jejich funkcí
- získat schopnost provést základní nastavení sítě a sdílení dat
Hodinová dotace: 12 vyučovacích hodin
Klíčové pojmy:
Network – počítačová síť – obecně se jedná o označení hardwarových prostředků, sloužících k realizaci propojení počítačů a výměně dat (informací) mezi nimi. Umožňují sdílení dat, hardwarových i softwarových prostředků mezi počítači v síti.
Dělení sítí podle velikosti:
1. PAN – personal area network – osobní síť – typicky používaná pro propojení osobních zařízení
pomocí technologií krátkého dosahu (většinou bezdrátových), jako je Bluetooth a IrDA. Typicky
propojuje mobilní telefon, PDA, Notebook, apod.
2. LAN – local area network – lokální síť – síť malého rozsahu (fyzického), typicky v jedné místnosti
či budově. Výhodou je sdílení některých hardwarových prostředků (datová úložiště, tiskárny,
apod.) a možnost velmi rychlé komunikace mezi jednotlivými počítači v síti (nejčastěji 100Mb/s,
v poslední době i 1Gb/s)
3. MAN – metropolitan area network – metropolitní síť – městská síť, která umožňuje za použití
technologií typických spíše pro LAN propojit koncové počítače a LAN sítě do větší sítě za účelem
sdílení dat, vysílání videa, zvuku, případně telefonování (VoIP) přes počítačovou síť v rámci města při rychlostech typických pro LAN (100Mb/s) – všimněte si rozdílu rychlosti proti WAN (Internet)
4. WAN – wide area network – rozsáhlá počítačová síť – počítačová síť, která se rozkládá na geograficky rozsáhlém území (kraj, stát, zeměkoule). Typicky používá velmi rozmanité technické
prostředky k propojení všech svých částí a tím je dána i různá rychlost mezi jednotlivými částmi
sítě (56Kb/s – cca 1000Mb/s). Nejznámější počítačovou sítí WAN je Internet, který je v dnešní
podobě těžko popsatelný, ale téměř většina lidí na světě tuto síť používá k nějakému účelu (využití nějaké služby). V ČR podle statistik má průměrný koncový počítač připojený k Internetu rychlost připojení kolem 3Mb/s (download) – všimněte si výhody komunikace v rámci MAN
Stránka 11 z 63
Source – zdroj – myšleno v počítačové síti se jedná o počítač, který je zdrojem komunikace (posílá data –
informace)
Destination – cíl – v počítačové síti se jedná o počítač, který je příjemcem komunikace (přijímá data)
Channel – komunikační kanál sloužící k propojení zdroje a cíle (dvou počítačů). Přes tento komunikační
kanál prochází všechna data. Technické řešení tohoto komunikačního kanálu může být různorodé a bude
předmětem v některých dalších kapitolách
Protocol – v případě počítačové komunikace se vyskytuje mnoho různých protokolů a je třeba důsledně
pochopit význam použití tohoto označení.
Nejedná se o záznam (zápis) o nějaké činnosti – pro záznam činnosti se v počítači používá označení Log.
Jedná se o soubor pravidel označujících způsob komunikace pro dané technické prostředky a
typ zdroje a cíle (velice zjednodušeně). To znamená, že pokud chceme komunikovat pomocí nějaké technologie, musíme dodržovat protokol pro komunikaci danou technologií – tedy data
jsou ve smluveném tvaru, elektrické signály mají smluvené modulace, apod.
Pro lidskou komunikaci je logické aniž si to uvědomujeme, že protokoly používáme. Takovým protokolem jsou například pravidla českého jazyka. Pokud by dva lidé (zdroj a cíl) komunikovali (pokud jsou tváří v tvář, pak je komunikačním kanálem soustava hlasivky zdroje, vzduch a sluchová
soustava cíle), pak pokud by například nedodržovali jistá pravidla, jistě by se nedomluvili. Například jeden by mohl mluvit kompletně pozpátku, a je to. Samozřejmě jistě dovedete vymyslet i
výstižnější příklady – zkuste.
Ethernet – jedná se o v současnosti nejrozšířenější protokol pro komunikaci mezi počítači. Popisuje způsoby realizace hardwarového propojení počítačů. Nejčastěji používaným fyzickým médiem je UTP label,
používá se i optické vlákno a hlavně ve starších sítích koaxiální kabel (téměř již se nepoužívá)
UTP kabel – unshielded twisted pair – nestíněná kroucená dvojlinka – označní pro nejčastěji používaný
kabel k realizaci počítačové sítě LAN. Jedná se o čtyři páry měděných drátů (lanek), které jsou v každém
páru zakrouceny dohromady a pak všechny čtyři páry jsou krouceny dohromady a obaleny izolací.
Obr. 1 - UTP kabel
Stránka 12 z 63
Access Layer – přístupová vrstva – je částí sítě, kde koncoví uživatelé přistupují přes koncové počítače
k prostředkům sítě. Typicky jsou součástí všechna koncová zařízení (počítače, tiskárny, sdílená datová
úložiště, atd.) a síťová zařízení poskytující přístup do dalších částí počítačové sítě.
Distribution Layer – distribuční vrstva – u větších LAN nebo i u menších s požadavkem na oddělení některých částí bývá potřeba rozdělit síť na více přístupových vrstev z různým technickým vybavením a
různým oprávněním přístupu ke zdrojům. Distribuční vrstva zajišťuje propojení jednotlivých přístupových vrstev a umožňuje řízení a kontrolu toku dat mezi jednotlivými částmi případně, je-li celá síť připojená k Internetu, umožňuje kontrolovat a omezovat přístup ke zdrojům a službám Internetu.
Cvičení:
CVIČENÍ - MODUL 12: DATOVÉ SÍTĚ II.: Kapitola 1.3.1 - Tvorba sítě typu Peer-To-Peer
CVIČENÍ - MODUL 12: DATOVÉ SÍTĚ II.: Kapitola 1.3.2 - Tvorba sítě s centrálním síťovým prvkem
Stránka 13 z 63
Kapitola 2.4 – Připojení k Internetu přes ISP
2.4 Připojení k Internetu přes ISP
Cílem kapitoly je:
- seznámit s významem poskytovatelů připojení k Internetu (ISP) pro funkčnost
internetové komunikace
- získat přehled o technologických možnostech připojení k poskytovateli
- osvojit si pojmy IP protokol a IP pakety
- získat schopnost popsat detailně používanou kabeláž a fyzicky pracovat s UTP
kabeláží.
Internet, jak bylo zmíněno v úvodních kapitolách, je celosvětovou počítačovou sítí, vzájemně propojující další větší či menší sítě a koncové počítače. Jeho unikátní vlastností je, že není nikým
vlastněn. Existuje několik společností, které se snaží standardizovat pravidla chování uživatelů a
způsob komunikace. Internet se stále vyvíjí a poskytuje různé služby (email, WWW, sociální sítě,
datová úložiště, atd.) a další přibývají.
Klíčové pojmy:
ISP – Internet Service Provider – Poskytovatel internetových služeb – jedná se o společnost, která poskytuje koncovým uživatelům (jednotlivci, společnosti, firmy) připojení k internetu. Existuje více úrovní ISP,
podle toho, jaké služby a komu poskytují. Na první úrovni (Tier 1) jsou poskytovatelé vlastnící fyzické
linky internetu (myšleno páteřní spoje, propojení kontinentů, IXP, apod.). Tito poskytovatelé poskytují
služby poskytovatelům druhé úrovně (Tier 2), kteří jsou na úrovni státních poskytovatelů internetu (zabezpečují služby na úrovni státu, spravují fyzické linky na území státu, zabezpečují přidělování IP adres,
atd.). Poslední úrovní jsou poskytovatelé třetí úrovně, kteří zprostředkovávají internetové připojení pro
koncové uživatele. Toto rozdělení je schematické a v praxi se tyto kategorie mírně prolínají.
IP protokol – Internet protokol – je datový protokol používaný v Internetu i v ostatních sítích. Tvoří část
dvojice protokolů TCP/IP. Pomocí IP protokolu se data posílají v tzv. paketech (datagrmech). IP protokol
negarantuje doručení paketů, ani doručení ve správném pořadí, o to se stará protokol TCP.
IP Packet – IP paket – je blok dat posílaný počítačovou sítí, na které je provozován IP protokol. Paket
obsahuje dvě části – hlavičku a data. V hlavičce je uvedena adresa odesílatele a adresa příjemce a další
informace, které budou rozebrány v pozdějších kapitolách. Adresy v IP paketu jsou tzv. IP adresy (unikátní číselné označení).
Internet Cloud – Internetový mrak – schematické zobrazení struktury internetu se zobrazuje jako oblak
z nápisem internet. Reálná struktura internetu je těžko schematicky zobrazitelná, jelikož se skládá
Stránka 14 z 63
Kapitola 2.4 – Připojení k Internetu přes ISP
z mnoha sítí, směrovačů a dalších zařízení a téměř mezi každými dvěma koncovými body existuje mnoho
alternativních kanálů, kudy mohou data jít a to je důvod zjednodušovaného zobrazení.
Fiber Optic Cable – optický kabel – jeho jádro je konstruováno ze skla nebo speciálního plastu. Signál je
tímto jádrem veden světelným paprskem. Používá se na vysokorychlostní většinou páteřní spoje
Coaxial Cable – koaxiální kabel – kabel používaný hlavně pro vedení anténního signálu do televizí. Používal se na konstrukci počítačových sítí sběrnicové topologie (bus)
Cvičení:
CVIČENÍ - MODUL 12: DATOVÉ SÍTĚ II.: Kapitola 1.4.1 - Kapacita datových úložišť
CVIČENÍ - MODUL 12: DATOVÉ SÍTĚ II.: Kapitola 1.4.2 - Rozlišení obrazovky
Stránka 15 z 63
Kapitola 2.5 – Adresace v sítích
2.5 Adresace v sítích
Cílem kapitoly je:
- naučit detaily IP adresace v síti
- naučit teoreticky i prakticky zvládat nastavení získávání IP adres v PC i
v síťových zařízeních pro LAN
- zvládnout teorii přidělování IP adres DHCP serverem a související oblasti
s NAT (překlad síťových adres).
-
Klíčové pojmy:
NIC – Network Interface Card – Síťová karta – část hardwaru počítače zabezpečující propojení počítače
s počítačovou sítí.
DHCP – Dynamic Host Configuration Protocol – Protokol pro automatické přidělování IP adres. Protokol
popisující jakým způsobem může koncový počítač v síti získat platnou IP adresu od DHCP serveru automaticky, aniž by v koncovém počítači musel někdo IP adresu nastavovat.
IP Adresa – je číslo jednoznačně identifikující každý NIC připojený k počítačové síti. IP adresa je 32-bitové binární číslo (32 jedniček a nul), zapisující se jako čtveřice dekadických čísel v rozmezí 0 – 255
(4 byty = 32 bitů) – příklady: 192.168.10.1, 28.134.15.122, 232.15.87.222
Subnet Mask – maska podsítě – je 32-bitové binární číslo rozdělené na zleva určitý počet jedniček a poté
vpravo zbylý počet nul. Maska se také zapisuje jako čtveřice dekadických čísel odpovídající hodnotě vždy
daným 8 bitům čísla. Základní masky podsítí mají vždy počet jedniček násobkem osmi – příklady:
255.0.0.0 – 11111111000000000000000000000000,
255.255.0.0 – 11111111111111110000000000000000,
255.255.255.0 – 11111111111111111111111100000000.
Maska podsítě tvoří vždy dvojici s IP adresou a bity masky, které mají hodnotu 1, označují bity IP adresy,
určující identifikaci sítě a bity masky, které mají hodnotu 0, označují bity IP adresy, určující identifikaci
koncového počítače v dané síti.
IP Address Classes – třídy IP adres:
třída A – IP adresy, kde se k identifikaci sítě používá pouze prvních 8 bitů (maska 255.0.0.0) a
první osmice bitů je v rozmezí dekadické hodnoty 1 – 127. Adresy třídy A jsou přidělovány pouze
velkým společnostem (v podstatě jsou již dávno přiděleny, např. ISP Tier 1).
Příklad: IP adresa 10.0.0.1, maska 255.0.0.0
Stránka 16 z 63
Kapitola 2.5 – Adresace v sítích
třída B – IP adresy, kde se k identifikaci sítě používá prvních 16 bitů (maska 255.255.0.0) a první
osmice bitů je v rozmezí dekadické hodnoty 128 – 191. Adresy třídy B jsou typicky přidělovány
středně velkým sítím (velké firmy, ISP Tier 2 a 3, některé univerzity, apod.)
třída C – IP adresy, kde se k identifikaci sítě používá prvních 24 bitů (maska 255.255.255.0) a
první osmice bitů je v rozmezí dekadické hodnoty 192 – 223. Adresy třídy C jsou přidělovány
koncovým počítačům (serverům) nebo sítím s tzv. veřejnou IP adresou.
třída D – IP adresy, kde první osmice bitů je v rozmezí dekadické hodnoty 224 – 239. Jsou rezervovány pro multicast (posílání dat na více cílů).
třída E – IP adresy, kde první osmice bitů je v rozmezí dekadické hodnoty 240 –255. Jsou rezervovány pro experimentální účely.
NAT – Network (Native) Address Translation – překlad síťových adres – technologie používaná na směrovačích (routerech), kdy se mění IP adresa z lokální sítě (většinou neveřejná – soukromá) na adresu
veřejnou, pod kterou je reprezentovaná na pohled z vnějšku (většinou z Internetu) celá lokální síť a naopak.
Router – směrovač – síťové zařízení, oddělující jednotlivé lokální sítě se stejným adresovým prostorem
(stejnou částí IP adresy identifikující síť u všech koncových zařízení v dané síti). Router je zařízení s více
NIC a každý NIC má IP adresu odpovídající síti, do které je připojen. Router poté dokáže přesměrovávat
komunikaci s jedné sítě do jiné. K tomu si uchovává směrovací tabulky seznamy dvojic (adresa sítě - odpovídající NIC)
Cvičení:
CVIČENÍ - MODUL 12: DATOVÉ SÍTĚ II.: Kapitola 1.5.1 - Počítání IP adres s kalkulačkou v OS Windows
Stránka 17 z 63
Kapitola 2.6 – Síťové služby
2.6 Síťové služby
Cílem kapitoly je:
- seznámit s technologií klient-server a s aplikačními protokoly a službami
- osvojit si komunikaci mezi protokoly
- získat schopnost instalovat, nastavovat a používat základní aplikace pro využívání základních služeb Internetu.
Klíčové pojmy:
Klient - Server model – je architektura síťové komunikace postavená na fyzickém oddělení poskytovatele
služby (server) a uživatele služby (klient). Server i klient může být softwarové řešení (tedy běžící aplikace). Typickým příkladem jsou webové stránky uložené na serveru (samostatném počítači někde v Internetu). Pokud chce uživatel vidět nějakou stránku z daného serveru, vznese prostřednictvím klienta
(webový prohlížeč) požadavek na server a ten pošle klientovi danou stránku a ten ji zobrazí uživateli.
Výhodou je možnost nezávislé obsluhy více klientů v jednu chvíli, minimální duplicita dat a snadnější
zabezpečení citlivých dat uložených pouze na serveru.
DHCP Server – počítač, služba poskytující počítačům, připojeným do stejné sítě a nastavenou automatickou konfigurací IP adres, platné nastavení IP adres.
DNS, DNS Server – Domain Name System – systém doménových jmen – systém umožňující vzájemný
překlad mezi IP adresami a slovními jmény počítačů (např. URL adresy) –
např.: www.vassbovice.cz – 82.117.157.3
DNS server je počítač (nebo běžící služba – software) zabezpečující interpretaci jména na IP adresu a
naopak.
TCP – Transmission Control Protocol – protokol zabezpečující spojení mezi zdrojem a cílem, zaručuje
doručení paketů, jejich pořadí, chybovou kontrolu a opravu. Většina služeb počítačové sítě vyžaduje
použití TCP protokolu (http, FTP, Telnet, atd.)
HTTP – HypertText Transfer Protocol – internetový protokol určený pro posílání souborů ve formátu
html (webové stránky). Data jsou posílána v nešifrované podobě (nejsou zabezpečena). Existuje šifrované rozšíření tohoto protokolu - https
FTP – File Transfer Protocol – internetový protokol určený pro posílání souborů mezi počítači. Je nezávislý na OS (dva počítače, co si data posílají mohou mít rozdílný OS).
Telnet – komunikační protokol modelu klient-server umožňující například vzdálené řízení serverů přes
textový terminál. Není šifrovaný.
Stránka 18 z 63
Kapitola 2.6 – Síťové služby
Web, WWW – World Wide Web – je systém internetových stránek (hypertextových dokumentů), na
které se odkazuje pomocí URL adres ve webových prohlížečích, tyto stránky jsou načítány pomocí http
protokolu ze serverů. Je možné žíci, že je to služba poskytovaná Internetem pomocí http protokolu.
E-mail – internetová služba umožňující pomocí poštovních internetových protokolů(pop3, SMTP, IMAP),
na poštovních serverech a klientech realizovat elektronickou poštu.
Cvičení:
CVIČENÍ - MODUL 12: DATOVÉ SÍTĚ II.: Kapitola 1.6.1 - Monitorování DNS
CVIČENÍ - MODUL 12: DATOVÉ SÍTĚ II.: Kapitola 1.6.2 - Přenos dat pomocí FTP
Stránka 19 z 63
Kapitola 2.7 – Bezdrátové technologie
2.7 Bezdrátové technologie
Cílem kapitoly je:
- seznámit s technologiemi používanými pro realizaci bezdrátového datového
spojení
- naučit plánovat, realizovat, bezpečně provozovat a administrovat lokální bezdrátové sítě.
Klíčové pojmy:
Wireless – bezdrátový – v počítačových sítích se jedná o všechny technologie realizace spojení mezi
dvěma síťovými zařízeními jinak než fyzickým spojením – pomocí elektromagnetického vlnění. Velice
často je však toto označení používáno pro majoritní technologii – spojení na rádiové frekvenci 2,4Ghz a
5Ghz
IrDA – Infrared Direct Access – speciální port (typicky na mobilních zařízeních – mobilní telefon, PDA,
Notebook, Handheld) používající pro přenos dat infračervené světlo (λ =875nm – vlnová délka). Komunikace probíhá na krátkou vzdálenost (1m) a signál neprojde pevným materiálem (např. zeď). Přenos dosahuje rychostí od 2400b/s až po 115,2 kb/s.
Radio Frequency (RF) – rádiové frekvence – elektromagnetické vlnění zahrnující velice široké pásmo od
3Hz až po 300GHz. Pro využití počítačových sítí se používá frekvence 900MHz (902-928MHz), pro bezdrátové telefony, 2,4GHz (2,4-2,4835GHz) a 5GHz (5,725-5,850GHz) pro bezdrátové sítě.
BlueTooth – bezdrátová technologie, pracující na frekvenci 2,4GHz. Díky svému, relativně krátkému (10 100m), dosahu se využívá hlavně pro realizaci PAN sítí. Výhodou spojení oproti IrDA je, kromě vzdálenosti, možnost připojení více zařízení v jednu chvíli.
802.11 – číselné označení množiny standardů IEEE (Institute of Electrical and Electronics Engineers) definující bezdrátovou komunikaci v oblasti počítačových sítí.
802.11a – pracuje na 5GHz s maximální rychlostí přenosu dat 54Mb/s s teoretickým dosahem
v budovách cca 35m a ve volném prostranství cca 120m. Výhodou je menší provoz na této frekvenci, tedy i menší pravděpodobnost rušení.
802.11b – pracuje na 2,4GHz s maximální rychlostí přenosu dat 11Mb/s s teoretickým dosahem
v budovách cca 40m a ve volném prostranství cca 100m.
802.11g – pracuje na 2,4GHz s maximální rychlostí přenosu dat 54Mb/s s teoretickým dosahem
v budovách cca 40m a ve volném prostranství cca 100m. Je zpětně kompatibilní se zařízeními
standardu 802.11b (zařízení obou standardů mohou vzájemně komunikovat)
Stránka 20 z 63
Kapitola 2.7 – Bezdrátové technologie
802.11n – může pracovat na frekvenci 2,4GHz i 5GHz s maximální teoretikcou rychlostí přenosu
dat 150Mb/s s teoretickým dosahem v budovách cca 70m a ve volném prostranství cca 250m.
Při práci na 2,4GHz je zpětně kompatibilní se standardy 802.11b/g.
WLAN – wireless LAN – toto označení je používáno pro realizaci LAN pomocí rádiové technologie (Wi-Fi)
SSID – Service Set identifier – je označení (jméno) WLAN, které je vysíláno bezdrátovým síťovým centrálním prvkem (AP – Access Point – přístupový bod) a klienti při hledání bezdrátových sítí se může k takové
síti připojit.
Password – heslo
Site survey – proces, kdy při plánování bezdrátové sítě v nějaké lokalitě (budově, kanceláře) se provádí
fyzický průzkum šíření bezdrátového signálu, útlumu, rušení, apod. Tento průzkum vede k dobrému návrhu řešení WLAN s požadovanými parametry (dosah, kvalita signálu, bezpečnost, atd.)
Cvičení:
CVIČENÍ - MODUL 12: DATOVÉ SÍTĚ II.: Kapitola 1.7.1 - Konfigurace bezdrátového AP
CVIČENÍ - MODUL 12: DATOVÉ SÍTĚ II.: Kapitola 1.7.2 - Konfigurace zabezpečení bezdrátové síťové
komunikace
Stránka 21 z 63
Kapitola 2.8 – Základy bezpečného provozu sítí
2.8 Základy bezpečného provozu sítí
Cílem kapitoly je:
- seznámit s bezpečnostními riziky komunikace na počítačových sítích
- naučit identifikovat bezpečnostní rizika a aktivně se podílet na snižování bezpečnostních rizik v rámci osobního počítače připojeného k síti.
Klíčové pojmy:
Information Theft – krádež informací
Identity Theft – krádež identity, v rámci větších firem, kde softwarové zabezpečení je na vysoké úrovni je
jednou z možností o proniknutí do sítě je vydávání se za nějakého zaměstnance (krádež ID karty, přístupových hesel, apod.).
Data loss – ztráta dat, v případě mnoha útoků není cílem zisk dat či přístupu, ale dojde ke znehodnocení
dat, což může být v mnoha případech horší než jiné následky.
Data manipulation – manipulace z daty. V tomto případě jde o cílenou změnu dat, tak aby změna nebyla odhalitelná a útočník měl ze změny nějakou výhodu (změna známky, výmaz z registru dlužníků, atd.)
Disruption of service – narušení služby. Cílem útoku je znemožnit funkci nějaké poskytované služby (nefunkční webové stránky, nedostupný server, apod.). Ačkoli se to na první pohled nezdá následky těchto
útoků (především opakovaných) bývají velké.
Social engineering – způsob útoku, kdy se útočník pokouší většinou pod záminkou poskytnutí služby
nebo pomoci vylákat citlivé informace, případně přístupová hesla apod. (může být ve spojení s krádeží
identity).
Virus – je počítačový program šířící se bez vědomí uživatele. Nedokáže se sám spustit, ale parazituje na
spustitelných souborech a dokumentech. V případě spuštění se může dále šířit, dělat v systému pouze
nenápadné změny nebo třeba i mazat data, která chce.
Worm – je počítačový program s funkcemi a cíly podobnými jako virus, ale hlavním rozdílem je, že po
infikování převezme kontrolu na prostředky počítače a množí se dál sám. Zatížení systému počítače může vést až k jeho kolapsu.
Trojan Horse – počítačový program, který se jeví jako užitečný program, ale v pozadí se zabývá podobnými činnostmi jako viry a červi. Nešíří se sami, ale lákají uživatele na jejich použití (maskují se za aktualizace, apod.).
Security Policy – bezpečnostní strategie – hlavní faktor vedoucí k zabezpečení počítačových sítí a systémů u větších firem je zvolení a dodržování bezpečnostní strategie (dokument popisující způsob řešení
Stránka 22 z 63
Kapitola 2.8 – Základy bezpečného provozu sítí
konkrétních situací spojených s bezpečností). Strategie obsahuje popis způsobu autentizace osob, požadavky na používání hesel, přidělení práv k užívání prostředků, přístupová práva, popis způsobu údržby
sítě (jak na softwarové, tak hardwarové úrovni), a způsob řešení havarijních situací a řešení situací při
porušení bezpečnostní strategie nebo samotné bezpečnosti.
Virus protection – ochrana proti virům – neotvírání příloh u nevyžádané pošty, nespouštění neznámých
aplikací, používání antivirových programů
Spyware protection – ochrana před spywarem (program odesílající data do Internetu bez vědomí uživatele) – při instalacích aplikací sledovat, co všechno se s aplikací instaluje, používat antispyware program
Spam blocker – program na blokování spamu (nevyžádaná pošta)
Popup blocker – program pro blokování vyskakovacích oken prohlížeče – otevírání oken webového prohlížeče s webovými stránkami, které uživatel nechtěl.
Firewall – je zařízení, které slouží k řízení a zabezpečení síťového provozu. Může být řešeno hardwarově
nebo softwarově. Druhy firewallů:
Personal Firewall – softwarové řešení. Bývá součástí OS nebo samostatná aplikace. Není stavěn
na použití pro celou síť, ale zabezpečuje ochranu pro koncový počítač.
Integrated Firewall – integrovaný firewall – je součástí zařízení určeného hlavně pro jiný účel
(nejčastěji router )
Server-based Firewall – serverové řešení – aplikace určená na použití na LAN instalovaná na serveru se síťovým OS.
Appliance-based Firewall – firewall běžící na pouze k tomu určeném hardwaru. Nejdražší, ale i
nejefektivnější řešení.
Packet Filtering – filtrování paketů – technika používaná firewallem zabezpečující odchycení paketů
s konkrétními IP adresami nebo MAC adresami (fyzická adresa zařízení – daná výrobcem)
Application Filtering – filtrování aplikací – firewall filtruje provoz konkrétních aplikací
URL Filtering – filtrování adres – firewall blokuje přístup na dané webové adresy. Filtruje i s použitím
klíčových slov.
Stateful Packet Inspection (SPI) – firewall propouští pouze do sítě pouze pakety, které jsou odpovědí na
komunikaci zevnitř sítě. Dokáže blokovat DoS útoky (Denial of Service – odmítnutí služby).
Cvičení:
CVIČENÍ - MODUL 12: DATOVÉ SÍTĚ II.: Kapitola 1.8.1 - Konfigurace bezdrátového AP
Stránka 23 z 63
Kapitola 2.9 – Řešení problémů sítí
2.9 Řešení problémů sítí
Cílem kapitoly je:
- naučit řešit běžné a známé často se vyskytující závady a problémy na počítačových sítích.
- získat schopnost samostatně řešit závady, případně poskytnout rady jak závady řešit.
Klíčové pojmy:
Troubleshooting – v doslovném překladu „odstřelení problémů“ – je proces objevení, identifikace a odstranění závady či jiného funkčního problému.
Physical problems – v souvislosti s počítačovými sítěmi jde o kategorii závad či poruch na hardwaru,
které nesouvisí se softwarem. Do této kategorie patří např. uvolněná či narušená kabeláž, spálené elektronické zařízení či chybějící přívod elektrického proudu k zařízením, nefungující chlazení, apod. Pro
identifikaci těchto závad jsou velice často potřeba nejen zkušenosti, ale hlavně téměř všechny smysly
(zrak, hmat, čich, sluch). Tato kategorie bývá první, kterou je potřeba prověřit.
Connectivity problems – problémy spojení, tedy datového propojení (komunikace) mohou být způsobeny poruchou hardwaru, ale i chybným nastavením, či poškozeným softwarem. Pro identifikaci závady je
potřeba zkušeností i systematického přístupu.
Stránka 24 z 63
Kapitola 3.1 – Internet a jeho použití
3 Středně velké podnikové sítě, sítě poskytovatelů internetu
3.1 Internet a jeho použití
Cílem kapitoly je:
- zopakovat a rozšířit znalosti o standardech Internetu a systému a významu služeb ISP
- získat schopni detailně popsat základní strukturu Internetu a v praxi mapovat
cesty dat po Internetu.
Klíčové pojmy:
Dialup access – vytáčené spojení – technologie připojení k Internetu pomocí telefonní linky, kdy na straně uživatele je místo telefonu připojen modem, který zabezpečuje spojení. Maximální rychlost připojení
je 56kb/s. Tento druh připojení patří mezi levné, ale v dnešní době se již používá jen tam, kde není žádná
lepší alternativa. Spojení je funkční pouze po vytočení a propojení okruhu do Internetu.
DSL – Digital subscriber line - technologie připojení k Internetu pomocí telefonní linky, které je dražší ne
vytáčené spojení, ale uživatel má k dispozici nepřetržitý přístup k Internetu. Na straně uživatele je na
telefonní lince připojen speciální DSL modem, ze kterého je propojení do počítače realizováno ethernetem. DSL modem je schopen oddělit provoz počítačové sítě od účastnické telefonní linky – je tedy možné
v jednu chvíli přistupovat k Internetu a ve stejnou chvíli telefonovat z pevné linky. Existuje více variant,
přičemž nejpoužívanější je ADSL (Asymmetric Digital Subscriber Line), kde tok dat k uživateli a od uživatele má jinou rychlost. Typicky 8/1Mb/s a u verze ADLS2+ až 28/3,5Mb/s. Rychlost záleží i na vzdálenosti
klienta od ADSL ústředny (Max. 8km).
Cable modem – je varianta připojení k internetu nabízena společnostmi provozujícími kabelovou televizi.
Signál, po kterém jsou data je přenášen po stejném koaxiálním kabelu jako televizní vysílání. Na straně
uživatele je potřeba speciální modem, ze kterého se realizuje spojení do NIC počítače přes ethernet.
Satellite – připojení k Internetu poskytované přes satelitní televizní přijímač.
DSL Access Multiplexer (DSLAM) – je zařízení (hardware) umožňující telefonním společnostem poskytovat DSL připojení. Přes toto zařízení je veden datový tok od všech připojených koncových uživatelů do
Internetu.
Cvičení:
CVIČENÍ - MODUL 12: DATOVÉ SÍTĚ II.: Kapitola 2.1.1 - Používání trasovacích nástrojů
Stránka 25 z 63
Kapitola 3.2 – Help Desk
3.2 Help Desk
Cílem kapitoly je:
- zvládnout popsat úlohy techniků uživatelské podpory a servisních techniků
- popsat ISO/OSI model a jeho použití při odstraňování závad počítačové sítě
- poznat běžné nástroje pro diagnostiku počítačů a počítačové sítě
Klíčové pojmy:
Help Desk – oddělení uživatelské podpory – s pohledu soukromé firmy může být interní (oddělení firmy,
které typicky poskytuje podporu uživatelům počítačů) nebo externí (jiná firma, poskytující služby podpory k různým produktům, hardwarovým nebo softwarovým). Firmy zabývající se podporou mají typicky tří
úrovňové dělení techniků uživatelské podpory, kde:
Level 1 technician – technik první úrovně – komunikuje se zákazníkem (uživatelem), provádí
úvodní zjištění požadavků a sepsání protokolu k opravě. Pokud závada či porucha patří k obvyklým nebo jednodušším a je možné provést opravu vzdáleně, provede technik první úrovně opravu a problém je vyřešen.
Level 2 technician – technik druhé úrovně – komunikuje s uživatelem vzdáleně a to za předpokladu, že se technikovi první úrovně nepodařilo závadu s uživatelem identifikovat anebo je příliš
komplikovaná či specifická. Technik druhé úrovně obvykle provede opravu pomocí vzdáleného
přístupu, bez větší interakce s uživatelem.
Level 3 technician – technik třetí úrovně – jezdí fyzicky k zákazníkům (uživatelům) a řeší problémy na místě. Technik třetí úrovně je povolán v případech, že problém je extrémně komplikovaný nebo vyžaduje fyzický zásah do zařízení.
pozn.: Toto dělení představuje vcelku ideální rozložení techniků na oddělení uživatelské podpory, ale v praxi se mnohdy role jednotlivých úrovní kříží.
ISO/OSI model – je principielní standardizovaný popis realizace komunikace mezi dvěma systémy (počítačovými). Je to vrstvový model, složen ze sedmi vrstev, kde každá vrstva má zodpovědnost za konkrétní
úkony vedoucí k úspěšné realizaci komunikace. V praxi se používá TCP/IP model, který vznikl již dříve, ale
paralelně dodržuje analogii některých vrstev s ISO/OSI modelu (Některé vrstvy se shodují, některé překrývají). TCP/IP má čtyři vrstvy.
Vrstvy ISO/OSI modelu od nejnižší:
Phisical – Fyzická – specifikuje fyzické spojení mezi systémy. Charakterizuje přenosová média
(UTP, koaxiální kabel, atd.) a způsob přenosu signálu na nich.
Stránka 26 z 63
Kapitola 3.2 – Help Desk
Data Link – Linková (Spojová) – poskytuje spojení mezi koncovými systémy fyzické vrstvy. „Zabaluje“ data do logických celků vysílaných po fyzické vrstvě (rámce). Oznamuje chyby přenosu, nastavuje parametry komunikačního kanálu. Zabezpečuje identifikaci rámců fyzickými MAC adresami (Medium Access Control).
Network – Síťová – stará se o logické adresování a díky tomu umožňuje směrování v sítích. Vytváří síťové pakety.
Transport – Transportní – zajišťuje přenos dat mezi koncovými počítači. Zajišťuje kvalitu komunikace, kterou požadují vyšší vrstvy.
Session – Relační – zajišťuje datové spojení mezi dvěma komunikujícími aplikacemi
Presentation – Prezentační – zajišťuje správný tvar dat tak, jak ho očekává aplikace (šifrování,
komprimace, apod.)
Application – Aplikační – umožňuje aplikacím přístup do komunikačního systému.
Stránka 27 z 63
Kapitola 3.3 – Plánování inovace sítě (upgrade)
3.3 Plánování inovace sítě (upgrade)
Cílem kapitoly je:
- seznámit s v praxi používanými postupy při rozšiřování počítačových sítí
- vytvořit vhodné návyky při rozšiřování počítačových sítí
Postup při rozšiřování sítě:
1. Site Survey – je třeba zjistit současný stav sítě. Průzkum se zaměřuje na tyto faktory:
•
Number of users and types of equipment – počet uživatelů a druh vybavení, se kterým pracují – je logické, že před dobrým návrhem kvalitní síťové infrastruktury je třeba znát typ a
počet uživatel a jejich technické potřeby.
•
Projected growth – plánovaný rozvoj, vždy je třeba předvídat rozvoj nejen aktuální, ale i
možný budoucí a myslet na to, při návrhu infrastruktury.
•
Current Internet connectivity – současné připojení k Internetu. Je třeba zjisti, jakým způsobem je síť aktuálně připojena a bude-li tento druh připojení stačit, bude-li potřeba překonfigurovat nebo úplně změnit.
•
Application requirements – je třeba vědět jaké aplikace, tedy i jaká komunikace po síti, budou používány.
•
Existing network infrastructure and physical layout – současná síťová architektura a fyzické
rozložení. Je třeba dobře zdokumentovat současné vybavení sítě a prostorové rozestavění
sítě. Je možné, že některé stávající linky bude možné použít v nové síti a některé se budou
muset přebudovat nebo zcela nově vybudovat.
•
New services required – požadované nové služby. Je třeba vědět jaké nové služby (souborový server, poštovní server, apod.) bude potřeba na síti provozovat.
•
Security and privacy considerations – bezpečností činitelé – je třeba uvážit všechna bezpečnostní rizika nové sítě (nová uživatelská místa, služby sítě, atd.) a zaznamenat pro další postup návrhu.
•
Reliability and uptime expectations – očekávání spolehlivosti a doby životaschopnosti. Je
logické, že u různých společností je kladen různý nárok na spolehlivost provozu sítě (u některých výpadek sítě nemá fatální následky na provoz – zisk firmy, u jiných ano).
•
Budget constraints – rozpočtová omezení. Vždy je třeba brát ohled na dostupné prostředky,
které je možné na upgrade sítě použít.
Stránka 28 z 63
Kapitola 3.3 – Plánování inovace sítě (upgrade)
2. Requirements Gathering – shromažďování požadavků, výsledné informace ze Site Survey se analyzují a vyvozují se výsledky ze současného stavu a plánu. Vytvoří se Analysis Report – Analýza (dokument)
3. Selection and Design – výběr kabeláže a zařízení je založen na výsledcích předchozí analýzy. Dojde
k vytvoření několika návrhů realizace sítě a návrhy jsou diskutovány se všemi členy realizačního týmu. V této fázi by mělo dojít k odhalení případných zbylých slabin a potvrdí se výběr nakupovaného
materiálu. V rámci této sítě se tvoří prototypy sítě a testuje se funkčnost.
4. Implementation –realizace návrhu, provedení potřebných nákupů a případně stavebních úprav,
realizace infrastruktury a sítě.
5. Operation – síť je uvedena do testovacího provozu a poté zkušebně do ostrého provozu a jsou
v praxi testovány všechny služby, které má síť poskytovat.
6. Review and Evaluation – poté, co je síť vyzkoušena v ostrém provozu, je potřeba porovnat výslednou síť s úvodním plánem a projít všechny dokumentované změny a schválit výsledný stav.
pozn.: Ve všech fázích je velice důležité, aby se na plánování a realizaci podíleli síťoví technici a administrátoři
Stránka 29 z 63
Kapitola 3.4 – Plánování adresní struktury
3.4 Plánování adresní struktury
Cílem kapitoly je:
- detailně seznámit se systémem adresování v počítačové síti
- rozšířit znalosti o možnosti tvorby podsítí
- získat schopnost k navrhovaným rozšířením sítě vytvořit odpovídající adresovou strukturu, která umožní i další rozšiřování sítě
Klíčové pojmy:
IP adresa – detaily IP adresy (IPv4) a masky byly probrány v kapitole 1.5 Adresace v sítích. Možný počet
IP adres ve verzi IPv4 je 232 (4294967296) adres. Z toho je velká část rezervována pro speciální účely.
Díky technologii NAT (popsané v kapitole 1.5) je možné mít připojených více počítačů do internetu pod
jednou veřejnou adresou. Pro použití v privátních LAN sítích (navenek používají jen jednu nebo několik
veřejných adres) jsou vyhrazena tři rozmezí adres:
Třída
Rozmezí adres
Maska
A
10.0.0.0 – 10.255.255.255
255.0.0.0
Počet možných Počet koncových
sítí
počítačů
1
16777214
B
172.16.0.0 – 172.31.255.255
255.255.0.0
16
1048544
C
192.168.0.0 – 192.168.255.255
255.255.255.0
256
65024
Všechny ostatní adresy tříd A, B a C jsou přidělovány jako veřejné adresy koncovým počítačům a sítím.
Broadcast – vyslání zprávy, kterou přijmou všechny počítače patřící do cílové sítě
IP adresy jsou přidělovány koncovým počítačům a počítače v jedné podsíti musí mít stejnou část
IP adresy identifikující síť a různé části identifikující koncové počítače:
Příklad:
3 počítače v jedné síti
PC1: 192.168.10.2 255.255.255.0
PC2: 192.168.10.4 255.255.255.0
PC3: 192.168.10.8 255.255.255.0
4. počítač v jiné síti
PC4: 172.17.2.2 255.255.0.0
Pokud chceme zápisem IP adresy charakterizovat celou podsíť, napíšeme pouze část IP adresy
identifikující síť a doplníme nuly. Je nutné uvést i masku.
Sítě z výše uvedeného příkladu:
síť1: 192.168.10.0 255.255.255.0
síť2: 172.17.0.0 255.255.0.0
Stránka 30 z 63
Kapitola 3.4 – Plánování adresní struktury
Je zřejmé, že první číslo, kterým lze identifikovat koncový počítač v podsítí je 1. Nula je rezervována pro reprezentaci sítě. Stejně je rezervováno i poslední číslo z rozsahu pro určení koncových
počítačů pro broadcast.
Broadcast je v uvedených sítích:
síť1: 192.168.10.255
síť2: 172.17.255.255
Pro zkrácení zápisu je možné použít za adresu sítě místo masky pouze lomítko a číslo udávající
počet bitů určujících síťovou část adresy. Např.:
síť1: 192.168.10.0 255.255.255.0
nebo 192.168.10.0/24
síť2: 172.17.0.0 255.255.0.0
nebo 172.17.0.0/16
Cvičení:
CVIČENÍ - MODUL 12: DATOVÉ SÍTĚ II.: Kapitola 2.2.1 - Tvorba podsítí
Stránka 31 z 63
Kapitola 3.5 – Konfigurace síťových zařízení
3.5 Konfigurace síťových zařízení
Cílem kapitoly je:
- seznámit s provozem a administrací zařízení, která zabezpečují provoz podnikových sítí a propojení mezi vzdálenými lokalitami jednoho subjektu
- zvládnout základní administraci přes GUI a také administraci přes IOS CLI
Klíčové pojmy:
ISR – Integrated Service Router – jsou zařízení (hardware), které jsou oblíbeny díky modularitě zařízení,
kdy je možné integrovat do jednoho zařízení směrovač (router), přepínač (switch), i propojení na speciální WAN rozhraní (optické linky, apod.) nebo V.35 rozhraní (sériová linka).
IOS – Internetwork Operating Systém – je operační systém používaný na síťových zařízeních (routery,
switche, AP, atd.) firmy Cisco Systems.
Cisco SDM Express – SDM(Security Device Manager) – je GUI pro síťová zařízení firmy Cisco Systém, přes
které se dá provést základní konfigurace zařízení.
GUI – Graphic User Interface – grafické uživatelské rozhraní je jakékoliv aplikační rozhraní tvořeno grafickými a ovládacími prvky (tlačítka, grafická menu, náhledy, apod.)
CLI – Command Line Interface – řádkové uživatelské rozhraní je textové aplikační rozhraní, kde uživatel
zadává textové příkazy a aplikace (nebo OS) je vykonává a případné výsledky opět vrací v textové podobě.
User-mode prompt – je uživatelský mód CLI na IOS. Po přihlášení do zařízení přes CLI je nastaven tento
mód. V uživatelském módu je možné provést pouze několik málo příkazů pro monitorování provozu a
nastavení zařízení (příkazy show)
Privileged-mode prompt – je privilegovaný mód. Do něho lze přejít z uživatelského módu příkazem enable. V privilegovaném módu jsou přístupné všechny ostatní příkazy a módy nastavení. Přechod na privilegovaný mód bývá dobré zabezpečit heslem.
Cvičení:
CVIČENÍ - MODUL 12: DATOVÉ SÍTĚ II.: Kapitola 2.3.1 - Základní konfigurace routeru pomocí CLI
Stránka 32 z 63
Kapitola 3.6 – Směrování (Routing)
3.6 Směrování (Routing)
Cílem kapitoly je:
- seznámit s rozsáhlejšími systémy pod jednou správou a se systémem komunikace v rámci těchto systémů
- získat schopnost vysvětlit systém toku dat v rozsáhlé síti
- získat schopnost nastavit síťová zařízení pro směrování přes IOS CLI.
Klíčové pojmy:
Routing – směrování – je určování cest v počítačových sítích pomocí. Cesta se určuje pomocí logických
adres v síťových paketech. Cílem není předem určit celou cestu (přes několik směrovačů – routerů), ale
určit další směrovač na cestě k cíli.
Hop Count – počet skoků – jako skok je počítána cesta mezi dvěma sousedními směrovači v síti.
TTL – Time To Live – je celočíselná kladná hodnota udávající kolik skoků může ještě paket překonat, než
bude zahozen (router smaže paket v případě, že hodnota TTL je 0). Po provedení skoku je vždy hodnota
TTL snížena o 1. Tato hodnota je používána k znemožnění nekonečného putování paketů sítí a zahlcení
provozu.
Destination value – hodnota cíle – jako hodnota cíle je ve směrovací tabulce směrovače uvedena adresa
sítě cílového počítače.
Directly Connected Routes – přímo připojené cesty – jsou ve směrovací tabulce záznamy sítí, které jsou
dostupné přímo na některém z rozhraní routeru.
Static Routes – statické záznamy ve směrovací tabulce – ručně nastavené cesty. Určují, kterým rozhraním routeru se paket dostane blíž cílové síti.
Dynamically Updated Routes (Dynamic Routes) – dynamické záznamy ve směrovací tabulce. Pokud jsou
routery v síti správně nastaveny, tak si mezi sebou vyměňují informace ze směrovacích tabulek a tak
najdou nejlepší (nejkratší, nejrychlejší) cestu.
Default Route – statický záznam ve směrovací tabulce určující cestu, pokud není nalezen žádný jiný odpovídající záznam ve směrovací tabulce.
Autonomous Systems – autonomní systémy – jsou skupiny sítí, které jsou pod administrátorskou kontrolou jedné společnosti (např. ISP)
Cvičení:
CVIČENÍ - MODUL 12: DATOVÉ SÍTĚ II.: Kapitola 2.4.1 - Konfigurace RIP protokolu
Stránka 33 z 63
Kapitola 3.7 – Služby poskytovatele internetového připojení (ISP služby)
3.7 Služby poskytovatele internetového připojení (ISP služby)
Cílem kapitoly je:
- detailně seznámit se službami poskytovanými ISP a s protokoly zabezpečujícími tyto služby
- získat schopnost identifikovat jednotlivé protokoly používané pro zabezpečení
konkrétních služeb.
Klíčové pojmy:
File Server Farm – je označení pro skupinu serverů specializovaných pro poskytování úložného prostoru.
Tyto servery jsou umístěny u ISP a ISP je jejich vlastníkem. Klienti ISP si mohou zřídit jako službu poskytnutí smluveného prostoru na těchto serverech.
Mail Server Farm – je označení pro skupinu serverů specializovaných pro poskytování služeb elektronické pošty. Vlastníkem těchto serverů je opět ISP. Klienti ISP mají typicky automaticky přidělený účet elektronické pošty, obvykle ho mohou zrušit, pokud již mají vlastní účet (nebo účty).
Web Server Farm – je označení pro skupinu serverů specializovaných pro uložení a poskytování webových stránek. Vlastníkem těchto serverů je opět ISP. Klienti ISP mohou opět jako smluvní službu využít
tento prostor pro vlastní webové stránky či aplikace.
Application Layer protocols – některé protokoly aplikační vrstvy TCP/IP modelu (aplikační vrstva TCP/IP
modelu odpovídá aplikační, prezentační a relační vrstvě ISO/OSI modelu):
DNS, HTTP, FTP,DHCP – byly popsány v předchozích kapitolách
SMTP – protokol pro posílání elektronické pošty
POP3 – protokol pro přijímání elektronické pošty
IMAP – protokol pro vzdálenou správu elektronické pošty
TFTP – zjednodušený protokol pro přenos souborů po počítačové síti
Transport Layer protocols – protokoly transportní vrstvy TCP/IP modelu (transportní vrstva TCP/IP modelu odpovídá transportní vrstvě ISO/OSI modelu):
TCP – byl popsán v kapitole 1.6 Síťové služby
UDP – User Datagram Protocol – umožňuje posílat data mezi dvěma aplikacemi na různých počítačích v síti, ale na rozdíl od TCP nezaručuje a nekontroluje přijetí.
Internet Layer protocols – některé protokoly internetové vrstvy TCP/IP modelu (internetová vrstva
TCP/IP modelu odpovídá síťové vrstvě ISO/OSI modelu):
Stránka 34 z 63
Kapitola 3.7 – Služby poskytovatele internetového připojení (ISP služby)
IP Protocol – protokol definující komunikaci pomocí IP paketů. Tvoří základ komunikace Internetu. Nezaručuje doručení, pořadí doručení ani, že paket nedorazí několikrát. Tyto anomálie se řeší
na vyšších vrstvách modelu (TCP)
NAT – popsán v kapitole 1.5 Adresace v sítích
ARP – Address Resolution Protocol – používá se na síťové vrstvě k zjištění MAC adresy zařízení
ICMP – Internet Control Message Protocol – je velice často používaný protokol k zasílání chybových zpráv a různých hlášení. Na protokolu ICMP je postaven příkaz Ping
RIP, OSPF, EIGRP, BGP – jsou protokoly pro dynamické směrování. Umožňují vzájemnou komunikaci o směrovacích tabulkách směrovačů.
Network Access Layer protocols – některé protokoly vrstvy síťového rozhraní TCP/IP modelu ( vrstva
síťového rozhraní TCP/IP modelu odpovídá linkové a fyzické vrstvě ISO/OSI modelu):
PPP – Point to Point Protocol – protokol pro přímé spojení pouze dvou uzlů. Umožňuje autentizaci, šifrování a kompresi přenášených dat.
Ethernet – popsán v kapitole 1.5 Adresace v sítích
Cvičení:
CVIČENÍ - MODUL 12: DATOVÉ SÍTĚ II.: Kapitola 2.5.1 - Nastavení lokálních informací DNS
Stránka 35 z 63
Kapitola 3.8 – Povinnosti a odpovědnost poskytovatele internetového připojení
3.8 Povinnosti a odpovědnost poskytovatele internetového připojení
Cílem kapitoly je:
- seznámit se zodpovědností za bezpečnost a kvalitu poskytovaných služeb na
straně ISP a se způsoby realizace bezpečnostních opatření
- získat schopnost samostatně navrhnout bezpečnostní řešení konkrétních koncových zařízení.
Klíčové pojmy:
Password Security – bezpečnost hesel – výběr přístupových hesel je jedním důležitých momentů celé
bezpečnostní strategie. Je vždy potřeba znát možné způsoby útoku na prolomení hesel a uvážit to při
volbě hesla. Důležité je nepoužívat existující slova nebo jména (slovníkový útok). Pokud použijete slova
nebo jména je dobré je doplnit nějakou sekvencí dalších znaků nebo je různě modifikovat (např. franta.#82, $$JaNa55, apod.). Vždy je dobré používat minimálně kombinaci písmen a čísel, nejlépe však
kombinaci písmen (velkých i malých), čísel a speciálních znaků (#, %, $, *, @, atd.). Počet znaků v hesle
by měl být alespoň 8 znaků. Většina systémů používá nastavení takové, že nelze zadat slabé heslo.
Application Security – bezpečnost aplikací – je důležité, aby všechny aplikace běžící na koncových počítačích a na síti byly dobře nastavené (z pohledu zabezpečení) a měli nainstalované všechny poslední
bezpečnostní aktualizace (patch, hotfix, service pack). Aplikace, které jsou neprověřené a nemají
s pracovním provozem mnoho společného (hry, dema aplikací, apod.), by neměly být instalovány vůbec,
protože každá nepotřebná běžící aplikace navíc znamená zvýšení rizika narušení systému.
User Rights – uživatelská práva – moderní OS má možnost nastavení rozdílných oprávnění přístupu a
spouštění aplikací. Je žádoucí, aby uživatelé měli pouze ta oprávnění, která potřebují pro výkon svojí
práce. Zbytečné přidělování administrátorských práv jen zvyšuje šanci pro malware, aby uspěl.
Malware – souhrnné označení pro škodlivý software (viry, červi, atd.)
Security Scanning – skenování zabezpečení – existují nástroje pro prověření zabezpečení systému, jak
lokálního počítače, tak celé sítě. Takový nástroj může identifikovat mnoho bezpečnostních mezer, které
byly přehlédnuty a pomáhá tak vylepšit zabezpečení celého systému.
Port Filtering – fitrování portů – bezpečnostní technika používaná na serverech a síťových zařízeních
umožňující kontrolu TCP/UDP portu a blokování či povolení komunikace na základě čísla portu (aplikace,
která komunikuje).
Access Control List – ACL – bezpečnostní technika umožňující kontrolovat a řídit provoz na síti podle
IP Adres odesílatele a příjemce.
Stránka 36 z 63
Kapitola 3.8 – Povinnosti a odpovědnost poskytovatele internetového připojení
SLA – Service Level Agreement – je smlouva o poskytování služeb mezi ISP a jeho klientem. V SLA by
mělo být uvedeno: popis poskytovaných služeb, ceny za jednotlivé služby, způsoby trasování a monitorování komunikace, způsoby řešení vzniklých závad, bezpečnostní politika, způsoby možného ukončení
smlouvy, případné možnosti oboustranných sankcí a dostupnost, výkon a úroveň spolehlivosti služeb.
Backup – zálohování – je jednou z nejdůležitějších činností (služeb) v rámci výpočetní techniky. Jedná se
o nezávislé uložení důležitých dat na více médií a lokalit za účelem znemožnění ztráty dat.
Cvičení:
CVIČENÍ - MODUL 12: DATOVÉ SÍTĚ II.: Kapitola 2.6.1 - Odchytávání a zkoumání síťových packetů
Stránka 37 z 63
Kapitola 3.9 – Řešení problémů
3.9 Řešení problémů
Cílem kapitoly je:
- upevnit návyky získané při řešení známých problémů sítí
- rozšířit schopnosti řešit problémy směrovaných sítí
Klíčové pojmy:
Port numbers – čísla portů – jsou čísla v rozmezí 0 – 65535, která slouží k identifikaci komunikující aplikace na úrovni transportní vrstvy (TCP a UDP protokoly).
Well known port numbers – známá čísla portů – pro některé protokoly a aplikace jsou rezervovány konkrétní čísla portů:
20 – FTP
21 – FTP
23 – Telnet
25 – SMTP
53 – DNS
67 – DHCP (klient)
68 – DHCP (server)
69 – TFTP
80 – HTTP
110 – POP3
143 – IMAP4
443 - HTTPS
Stránka 38 z 63
Kapitola 4.1 – Zasíťování rozsáhlé podnikové sítě
4 Úvod do směrování a přepínání v rozsáhlých podnikových sítích
4.1 Zasíťování rozsáhlé podnikové sítě
Cílem kapitoly je:
- zopakovat a rozšířit znalosti o struktuře sítí LAN a WAN a způsobech toku dat
po nich
- popsat strukturu rozsáhlých firemních sítí a způsob komunikace přes VPN.
Klíčové pojmy:
Redundant routes – překlad: záložní cesty – je označení pro realizaci propojení v síti, kde mezi dvěma
body sítě (koncový počítač, router, atd.) existuje více jak jedna cesta. Takové řešení architektury sítě je
vyžadováno na místech, která jsou důležitá pro provoz celé sítě (připojení serverů, propojení firmních
poboček, apod.). Když jeden komunikační kanál vypadne, může komunikace pokračovat kanálem druhým. Navíc existuje způsob nastaven routerů tak, aby se provoz (v případě, že všechny redundantní cesty fungují) rozdělil rovnoměrně a tím kleslo zatížení jednotlivých linek.
Converged network – je síť, která umožňuje paralelní přenos dat, hlasu i videa. Toto řešení je v rámci
velkých firem výhodné, protože stačí vybudovat počítačovou síť a všechny služby poskytovat na ní a pod
jednou správou. Toto řešení však vyžaduje lepší (dražší) vybavení a profesionální administraci.
Enterprise network – je anglické označení pro velké firemní sítě zahrnující mnoho koncových počítačů,
serverů a síťových zařízení, které obvykle fungují jako Converged network a poskytují zabezpečené spojení mezi různými pobočkami (geograficky odlišné lokality), firemní centrálou a vzdálenými pracovníky
(teleworkers). V rámci takové sítě bývá mnoho redundantních cest v klíčových bodech. Celá síť sestává
z více LAN, PPP propojení a celá bývá WAN.
Teleworking – je označení práce na dálku (obvykle z domova) za podpory výpočetní techniky, kdy pracovníci (teleworkers) komunikují pomocí elektronické komunikace. Pro takové zaměstnance bývá obvykle zřízeno zabezpečené PPP propojení po veřejných linkách (VPN)
VoIP – voice over IP – je označení pro hlasovou komunikaci po IP protokolu, kde musí být obvykle dostatečná rychlost připojení (šířka pásma – bandwidth) pro zaručení dostatečně kvalitní služby. Tato služba
bývá využívána v rámci firemní komunikace i po Internetu (Skype, IP telefony, atd.)
Video conferencing – video konference – je paralelní přenášení videa z VoIP po IP protokolu, kde dva či
více uživatelů pomocí snímacích zařízení (web kamery, mikrofony) spolu komunikují a vzájemně se vidí a
slyší (monitor, televize, atd.) a komunikují, jako by byli v jedné místnosti, ačkoliv jsou každý jinde.
Stránka 39 z 63
Kapitola 4.2 – Síťová infrastruktura rozsáhlé podnikové sítě
4.2 Síťová infrastruktura rozsáhlé podnikové sítě
Cílem kapitoly je:
- objasnit nutnost dokumentovat sítě a způsob realizace dokumentace
v rozsáhlých sítích
- přehledově zvládnout technologie používané v síťových operačních centrech a
na rozhraní firemních sítí
- připomenout IOS CLI příkazy pro administraci síťových zařízení.
Klíčové pojmy:
Network infrastructure diagrams – diagramy zachycující strukturu počítačové sítě. Bývají zachycující
topologii, logické adresování, fyzické či geografické rozložení nebo mohou být i kombinované.
Physical topology – fyzická topologie, uvádí se do diagramu a nereprezentuje ani tak umístění zařízení
v rámci místnostní či budov, ale schematicky zachycuje síťová a koncová zařízení a linky propojující tato
zařízení přehledně tak, aby bylo zřejmé která část sítě je přístupová (access layer), která distribuční (distribution layer), případně páteřní (core layer).
Logical topology – logická topologie, uvádí se do diagramu, který zachycuje adresní strukturu sítě, aby
bylo jasné, která zařízení jsou sdružena v jakých podsítích a jakých logickým způsobem (na úrovni adres)
spolu mohou komunikovat.
Point of Presence – POP – místo fyzického spojení mezi poskytovatelem a klientem, kde je rozhraní zodpovědnosti za zařízení a údržbu síťě. POP je i mezi jednotlivými úrovněmi ISP (ISP tier 3 je klientem ISP
tier 2, atd.)
Out-of-band management – je označení pro správu síťového zařízení pomocí propojení na konzolový
port s využitím linky, která je mimo cestu síťového datového toku. Pro připojení je potřeba terminálový
klinet (software). Tento druh připojení pro správu je používán v případě úvodní konfigurace před zapojením do sítě, v případě, že síť je nefunkční nebo v případě, že přístup přes síťové datové spojení je
z důvodu bezpečnosti blokován.
In-band management – je označení pro správu síťového zařízení přes linku síťového spojení, která je
používána pro provoz sítě. Pro možnost použít tento druh správy je nutné, aby alespoň jedna linka do
zařízení byla funkční a je potřeba použít přístup přes Telnet, SSH nebo http rozhraní (u Cisco zařízení).
Pro tento druh připojení je dobré použít SSH (Secure Shell), protože je komunikace šifrována a také pro
přístup do konfigurace mít zvolené silné heslo.
Stránka 40 z 63
Kapitola 4.3 – Přepínání v rozsáhlé podnikové síti
4.3 Přepínání v rozsáhlé podnikové síti
Cílem kapitoly je:
- zopakovat vědomosti z oblasti přepínaných sítí a rozšířit je o používání technik
pro zabránění vzniku smyček
- osvojit si principy a praktický význam použití Virtual LAN a způsoby administrace
- získat schopnost použít příkazy rozhraní IOS CLI pro administraci VLAN.
Klíčové pojmy:
MAC Address – Medium Access Control Address – je fyzická adresa zařízení (NIC). Pokud má zařízení více
NIC, tak má každý vlastní MAC adresu. Jedná se o šest bajtů binárních dat obvykle uváděných jako šestice hexadecimálních číslic oddělených pomlčkami – např. 2A-01-3B-44-AA-F0. Tato adresa je daná výrobcem zařízení a nedá se měnit (u některých zařízení ano).
Hub – rozbočovač – je centrální síťový prvek (hvězdicová topologie) se čtyřmi a více porty (NIC). Každý
signál, který přijde na jakýkoliv port, pošle (zopakuje) na všechny porty, kromě toho odkud signál přišel.
Nerozlišuje žádné adresy, pracuje pouze na úrovni fyzické vrstvy.
Switch – přepínač - je centrální síťový prvek (hvězdicová topologie) se čtyřmi a více porty. Switch pracuje
na úrovni linkové vrstvy a rozeznává MAC adresy. Dokáže tedy přepínat (poslat) síťové rámce podle
adresy příjemce pouze na ten port, na kterém je připojen příjemce. K tomuto účelu má uloženu tabulku
MAC adres spárovanou s jednotlivými porty.
Po zapnutí switche je tabulka MAC adres prázdná a plní se při postupně probíhající komunikaci
podle těchto pravidel:
• při přijmutí rámce na port (od koncového zařízení) zkontroluje switch adresu zdroje a nemá-li ji ve svojí tabulce přidá do ní záznam (dvojici: port, ze kterého rámec přišel a MAC
adresu zdroje), protože je zřejmé, že zařízení s MAC adresou zdroje komunikuje na daný
port
• zkontroluje adresu cíle a nemá-li ji ve svojí tabulce (neví tedy, na kterém portu je připojeno zařízení s danou MAC adresou), pošle rámec na všechny svoje porty.
• pokud má MAC adresu cíle ve svojí tabulce, pošle rámec pouze na daný port.
Tímto způsobem dojde k postupnému naplnění tabulky MAC adres switche a pak nedochází ke
zbytečnému posílání dat na porty kam komunikace nepatří (jako je to u hubu).
Collision domain – kolizní doména – je část sítě sestavená z koncových zařízení a rozbočovačů. Kolizní
doména je omezena (končí) přepínačem.
Stránka 41 z 63
Kolize vznikne při komunikaci na médiu, kdy více zařízení začne na médiu komunikovat ve stejnou
chvíli. Dojde k interferenci signálu a jeho znehodnocení. Jelikož hub opakuje veškerou komunikaci
na všechny svoje porty, tak dochází k častým kolizím a ty vyžadují určitý čas k vyřešení. Mnoho
kolizí pak znemožňuje komunikaci po síti úplně. V dnešní době se používají jako síťové centrální
prvky hlavně přepínače, protože u nich kolize nevznikají.
Broadcast domain – broadcastová doména – je část sítě sestavená z koncových zařízení, rozbočovačů a
přepínačů. Broadcastová doména je omezena (končí) routerem (směrovačem).
Broadcast – na úrovni síťové vrstvy bylo vysvětleno v kapitole 2.4 Plánování adresní struktury. Na úrovni
linkové vrstvy se jedná o poslání rámce na všechny zařízení v rámci broadcastové domény. Adresa cíle je
v případě takového rámce FF-FF-FF-FF-FF-FF.
Unicast – je označení zprávy, která má určeného jednoho konkrétního příjemce (označení se používá na
linkové i síťové vrstvě).
congestion – překlad: přetížení, zahlcení – používá se v souvislosti s datovým provozem na síti.
Switching loops – smyčky v přepínané síti. Smyčka vznikne v případě, že je v broadcastové doméně více
přepínačů a mají vzájemně redundantní linky (např. jsou vzájemně propojeny na více portech).
Broadcast storm – storm - bouře – vznikne v případě, že existuje v broadcastové doméně alespoň jedna
smyčka a některé zařízení vyšle broadcast. Potom způsobeno tím, že existují redundantní spojení mezi
přepínači je vysílán broadcast donekonečna a síť je tím pádem přehlcena a prakticky nefunkční. Možnost
zapojit redundantní linky v rámci broadcastové domény je řešena pomocí STP (Spanning Tree Protocol),
který zabezpečí vyloučení problému s broadcasty.
Multiple Frame Transmissions – vícenásobné doručení rámce je dalším problémem při redundantních
spojích mezi přepínači. Je to situace, kdy je poslán rámec na přepínač a ten ho vzhledem ke svým záznamům v MAC tabulce pošle oběma (nebo všemi) redundantními linky a druhý přepínač přijme tento
rámec ze všech redundantních linek a doručí ho tolikrát cíli.
MAC Database Instability – nestabilita MAC tabulky. Je dalším problémem při redundantních spojích
mezi přepínači. Jelikož je možné, že některé zařízení je za oběma redundantními linky, tak se může střídavě přepisovat záznam v MAC tabulce pro dané zařízení.
VLAN – Virtual LAN – virtuální LAN – je technologie, kdy jeden fyzický switch je nastavením (logicky)
rozdělen na několik oddělených switchů a tím vzniká na jednom centrálním prvku několik virtuálních
sítí (VLAN). Při nastavení přepínače se ručně určí, který port patří do které VLAN. Každá VLAN tvoří samostatnou broadcastovu doménu.
Access port – přístupový port – je port (NIC), který je přidělen do jedné konkrétní VLAN.
Trunk port – je port, přes který je umožněno komunikovat všem VLAN. Tento port je sdílen všemi VLAN.
VTP – VLAN Trunking Protokol – je protokol umožňující automatické předání informací o nastavení VLAN
mezi přepínači v rámci síťového segmentu. Bez použití VTP je nutné na všech přepínačích nastavit VLAN
Stránka 42 z 63
ručně. S použitím VTP lze nastavit pouze jeden switch a ostatní vytvořené VLAN mohou převezít automaticky.
Stránka 43 z 63
Kapitola 4.5 – Adresace v rozsáhlých podnikových sítích
4.4 Adresace v rozsáhlých podnikových sítích
Cílem kapitoly je:
- rozšířit již získané vědomosti v oblasti adresování sítí o hierarchické adresování, používání VLSM, CIDR a použití NAT a PAT na rozhraní rozsáhlé počítačové sítě.
Klíčové pojmy:
Flat network – je označení pro počítačovou síť, kde je architektura sítě zvolena tak, že je příliš mnoho
zařízení v broadcast domain. Dochází k velkému zatížení sítě. Typicky všechna zařízení jsou dostupná,
aniž by komunikace prošla přes router (všechna jsou v jedné broadcastové doméně).
Hierarchical network – hierarchická síť – architektura sítě rozdělující síť do funkčních celků (jednotlivých
broadcastových domén), které nejsou větší než je nezbytně nutné. Typické je rozdělení na vrstvy (přístupovou, distribuční a páteřní).
VLSM – Variable Length Subnet Mask – technologie používaná pro co nejefektivnější využití rozsahu
adres pro síť.
Bez použití VLSM je možné použít IP adresu třídy C jen po jednu podsíť s až 254 koncovými zařízeními (0 – adresa sítě, 255 – broadcast). To je dáno tím, že maska podsítě (dělící síťovou část adresy
od časti pro identifikaci koncových zařízení) je dělena vždy po celých bytech:
192.168.1.0 - 255.255.255.0
……… pro koncová zařízení 192.168.1.1-254
Při použití VLSM je možné dělit adresu třídy C na další podsítě tím, že použijeme pro určení síťové
části adresy další bity z poslední osmice bitů. Například potřebujeme vytvořit čtyři podsítě s 50
uživateli, tak můžeme použít dělení takové, že pro každou síť bude 62 adres pro koncová zařízení.
192.168.1.0 – 255.255.255.192
192.168.1.64 – 255.255.255.192
192.168.1.128 – 255.255.255.192
192.168.1.192 – 255.255.255.192
Je zřejmé, že vždy první adresa v podsíti je adresa sítě a poslední adresa v podsíti je adresa pro
broadcast a ty nelze použít pro koncová zařízení.
Classful routing – směrování v síti pomocí IP adres bez doplnění o masku. Počítá se s použitím standardního rozdělení do tříd. Nelze použít VLSM.
Classless routing – směrování v síti pomocí IP adres doplněných o masku podsítě. Umožňuje použití
VLSM.
Stránka 44 z 63
Kapitola 4.5 – Adresace v rozsáhlých podnikových sítích
Routing protokol – směrovací protokol – je protokol umožňující výměnu obsahu směrovacích tabulek na
jednotlivých směrovačích. Automatizuje možnosti nastavení směrování (není nutné nastavovat směrovací tabulky ručně)
RIPv1 – Routing Information Protocol verze 1 – směrovací protokol používající Classful routing.
RIPv2 – Routing Information Protocol verze 2 – směrovací protokol používající Classless routing.
OSPF – Open Shortest Path First – směrovací protokol používající Classless routing.
EIGRP – Enhanced Interior Gateway Routing Protocol – směrovací protokol používající Classless routing.
Je používaný pouze na zařízeních firmy Cisco Systems
Stránka 45 z 63
Kapitola 4.5 – Správa rozsáhlé podnikové sítě
4.5 Správa rozsáhlé podnikové sítě
Cílem kapitoly je:
- rozšířit znalosti topologií sítí na oblast rozsáhlých počítačových sítí a podrobně
seznámit s protokoly používanými při směrování v rozsáhlých sítích
- popsat fungování jednotlivých protokolů, i jejich limity
- naučit základní administraci jednotlivých protokolů.
Klíčové pojmy:
distance vector routing protocols – jsou směrovací protokoly, které určují nejlepší cesty (pokud existují
redundantní cesty k cíli, volí se ta nejlepší) podle „vzdálenosti“ od daného směrovače. Protokoly s této
kategorie jsou např.:
•
všechny protokoly RIP, které používají jako vzdálenost od cíle počet skoků (hop count) – jeden
skok = cesta z routeru na router .
•
protokol EIGRP, který používá složitější kombinované způsoby počítání vzdálenosti cíle.
wildcard mask – je obdoba masky podsítě používaná k určení síťové části IP adresy a časti identifikující
koncové zařízení v podsíti. Wildcard mask vznikne invertováním (negací) všech bitů dané masky podsítě
(všechny 0 se změní na 1 a naopak).
Stránka 46 z 63
Kapitola 4.6 – Směrování a Link-State protokol
4.6 Směrování a Link-State protokol
Cílem kapitoly je:
- seznámit s jednotlivými protokoly pro směrování v rozsáhlých sítích popsat
výhody a nevýhody jednotlivých protokolů a použití v praxi
- získat schopnost provést nastavení síťových zařízení pro funkci s těmito protokoly přes IOS CLI.
Klíčové pojmy:
link-state protocols – jsou směrovací protokoly, které určují nejlepší cesty podle kvality linky od (rychlosti, spolehlivosti, apod.) daného směrovače. Protokoly s této kategorie jsou např.:
•
OSPF – který je nejpoužívanějším směrovacím protokolem uvnitř autonomních systémů.
•
IS-IS – Intermediate System To Intermediate Systém.
route summarization – sjednocení cesty – je shrnutí více záznamů směrovací tabulky do jednoho, pokud
jsou reprezentovatelné stejnou nadsítí a jsou za stejným portem (je k nim stejná cesta).
CIDR – Classless inter-Domain Routing – technologie postavená na route summarization. Díky tomu, že
routery sjednocují cesty nesou směrovací protokoly méně záznamů (dat) a tím se snižuje zatížení sítě jen
pro režijní provoz. Efekt této technologie se nejvíce projeví u páteřních směrovačů (core router) ve větších sítích).
route summarization
mějme čtyři záznamy o podsítích na portech routeru R1:
192.168.2.0/26
192.168.2.64/26
192.168.2.128/30
192.168.2.132/30
tyto záznamy reprezentují podsítě, které jsou například přímo dosažitelné s routeru R1. V případě,
že router R1 posílá informace o těchto sítích dalšímu routeru R2, který bude komunikaci pro
všechny čtyři sítě směřovat na daný router R1 může všechny tři záznamy shrnout do jedné nadsítě:
192.168.2.0/24
R2 pak může dále místo čtyř záznamů posílat jeden.
Stránka 47 z 63
Kapitola 4.7 – Implementace WAN propojení rozsáhlé podnikové sítě
4.7 Implementace WAN propojení rozsáhlé podnikové sítě
Cílem kapitoly je:
- seznámit se způsoby technické a technologické realizace vytvoření propojení
vzdálených lokalit v rozsáhlé síti.
- získat schopnost popsat jednotlivé používané technologie a standardy propojovacích linek a protokoly zabezpečující zapouzdření dat včetně zabezpečení.
Klíčové pojmy:
Serial transmission – sériový přenos – je způsob přenášení dat, kdy jednotlivé bity dat jsou vysílány postupně za sebou po jediném kanálu.
CSU/DSU – channel service unit / data service unit – jsou teoreticky dvě zařízení, která jsou ale obvykle
implementována jako jedno. Toto zařízení připravuje data pro přenos po WAN propojeních. V případě
použití analogového signálu je potřeba modem.
local loop – lokální linka (účastnická linka) – je propojení mezi vstupním bodem do sítě klienta a sítí poskytovatele (ISP). Označení vychází s technologie používané telekomunikačními společnostmi.
CPE – Customer premises equipment – zařízení telekomunikační společnosti (ISP), umístěné na straně
klienta a zabezpečující propojení se sítí ISP.
clocking signal – časovací signál – udávající rychlost (frekvenci) přenášení signálu po sériové lince
DCE – data communications equipment – označení zařízení na sériové lince udávající časování (clocking
signal. Např. modem, router.
DTE – data terminal equipment – označení zařízení komunikující na sériové lince podle časování DCE na
druhé straně linky. Např. počítač, router.
WAN line types – druhy WAN linek – používané standardy a rychlosti těchto spojení se liší na různých
kontinentech, obsahují však standardy poskytující rychlosti komunikace od 56kb/s až po cca 2,5Tb/s.
Technologie a standardy se stále vyvíjejí a požadavky na rychlost a spolehlivost WAN propojení rostou.
WAN encapsulation – zapouzdření dat (síťového paketu) na úrovni linkové vrstvy (datového rámce), se
může měnit postupně tak, jak data prochází přes různé technologie (protokoly) WAN propojení. Každé
zařízení (např. router), které přijme rámec z něj „vybalí“ datový paket a podle logické adresy cíle pozná,
kam jej má poslat a pošle ho danou cestou. Síťový paket je zapouzdřen (zabalen) do rámce protokolu
použitého na dané lince (PPP, HDLC, ATM, Frame Relay).
Stránka 48 z 63
Kapitola 4.8 – Filtrování provozu pomocí Access Control Lists
4.8 Filtrování provozu pomocí Access Control Lists
Cílem kapitoly je:
- seznámit se způsoby zajištění bezpečnosti provozu na rozsáhlé sítí a seznámit
s konkrétními řešeními
- popsat principy jednotlivých způsobů zabezpečení
- umět navrhnout a zrealizovat zabezpečení pro konkrétní situace.
Možnosti ACL (Access Contol Lists):
ACL je skupina záznamů (bezpečnostních) v rámci síťového zařízení. Jednotlivé záznamy mohou komunikaci povolovat (permit) nebo zakazovat (deny).
Záznamy mohou provádět filtrování na základě těchto vlastností:
• Source IP address – IP adresa zdroje – původce komunikace
• Destination IP address – IP adresa cíle
• MAC addresses – MAC adresy
• Protocols – použité protokoly
• Application type – typy aplikací (porty)
V jednotlivých záznamech se uvádí IP adresa a wildcard mask, pro možnost definovat část sítě, pro kterou povolení či omezení platí. Např.:
access-list 1 permit 192.168.1.0 0.0.0.255
Všechny ostatní pakety (adresy neodpovídají určenému rozsahu) jsou automaticky blokovány pomocí
deny all.
Standard ACL – je nastavení systému takové, že se v ACL uvádí jen adresa zdroje (odesílatele) a tomu se
povoluje nebo zakazuje komunikace. Tyto záznamy je třeba aplikovat vždy na routeru nejblíže cílové síti.
Neumožňuje filtrování na základě portů.
Extended ACL – v ACL se uvádí jak adresa zdroje, tak cíle a také je možné zahrnout číslo portu (tedy filtrovat jen některé aplikace). Tyto záznamy je třeba aplikovat na routeru nejblíže zdrojové sítě.
Možností Extended ACL filtrovat pomocí portů je několik:
• filtrovat jeden port – před číslo portu se uvede eq – eq 80 je záznam týkající se komunikace pouze na http protokolu
• filtrovat všechny čísla portů větší než uvedený – uvede se gt – gt 21 je záznam týkající
se všech portů s číslem větším než 21 (FTP)
• analogicky stejně filtrovat všechny čísla portů menší než uvedený – uvede se lt – lt
443 je záznam týkající se všech portů s číslem menším než 443 (https)
Stránka 49 z 63
Kapitola 4.9 – Řešení problémů rozsáhlých podnikových sítí
4.9 Řešení problémů rozsáhlých podnikových sítí
Cílem kapitoly je:
- vysvětlit důležitost stability rozsáhlých sítí
- naučit monitorovat provoz a provádět základní údržbu
- seznámit s nejčastějšími známými problémy rozsáhlých počítačových sítí a se
způsoby jejich řešení.
Klíčové pojmy:
Network downtime – Doba po kterou, je síť vypnutá nebo není schopná poskytovat požadované služby.
V rámci velkých společností se v případě takových situací (neplánovaných) může jednat i o velké finanční
ztráty (zastavená výroba, smluvní pokuty za neposkytování služeb, apod.).
Weather and natural disasters – přírodní katastrofy – mohou být jedním z důvodů poruch sítě. V takových případech je otázkou, je-li zasažena jen některá linka a je možné provést relativně rychlé vyřešení
situace nebo je-li zasažena větší část sítě a obnova vyžaduje i obnovu infrastruktury (povodně, zemětřesení, apod.)
Security breaches – prolomení zabezpečení – může být zdrojem problémů při provozu sítě. Je otázkou
zda útočník má v úmyslu útoky typu DoS, vyřazení části sítě nebo třeba vymazání záložních dat a nebo
„jen“ monitoruje tok dat. Některé útoky může být obtížné odhalit.
Man-made disasters – havárie způsobena člověkem – je jeden z velice častých důvodů výpadku podnikových sítí
Power surges – výboj elektrického proudu – rizikem na síti je, že kompletní provoz je zajištěn elektronickými zařízeními a výboj způsobený bleskem nebo třeba poruchou na elektrické síti mohou být některá
zařízení poškozena nebo vyřazena a ohrožen tak provoz sítě.
Equipment failure – chyba zařízení – na každém zařízení může dojít k výpadku, způsobeném přehřátím,
výrobní vadou nebo třeba stářím zařízení.
Misconfiguration of device – dalším ohrožením provozu nebo spolehlivosti provozu je špatně nastavené
zařízení. Je možné, že je špatně nastaven směrovací protokol nebo ACL a některá komunikace poté probíhá pomalu nebo vůbec.
Lack of resources – nedostatek prostředků – pomalé zařízení, malá rychlost k zabezpečení služeb apod.
show commands – v rámci CLI IOS je k dispozici sada příkazů začínající show. Tyto příkazy slouží k zobrazení aktuálního nastavení zařízení, zabezpečení nebo protokolů či adres portů. Tyto příkazy se používají
Stránka 50 z 63
Kapitola 4.9 – Řešení problémů rozsáhlých podnikových sítí
ke kontrole nastavení po provedení změn v nastavení nebo i v případech, kdy má administrátor podezření, že je provoz příliš nekvalitní a může to být způsobeno chybou v nastavení.
debug commands – v rámci CLI IOS je k dispozici sada příkazů začínající debug. Tyto příkazy umožňují
spustit real-time monitorování různých částí síťového provozu. Provedené operace se zobrazují v CLI
s růzými doplňujícími informacemi, podle nastavení. Tyto příkazy je vhodné použít pro monitorování
funkčnosti různých nastavení zařízení.
Stránka 51 z 63
Kapitola 5.1 – Úvod do designových konceptů sítí
5 Vytváření designu a podpora počítačových sítí
5.1 Úvod do designových konceptů sítí
Cílem kapitoly je:
- zopakovat technologie používané v počítačových sítích LAN i WAN
- získat přehled o faktorech ovlivňujících samotný návrh konkrétní sítě.
Klíčové pojmy:
Network requirements – síťové požadavky – v dnešní době je na firemní sítě kladen velký nárok a do
budoucna se budou nároky nejspíš zvyšovat, proto je třeba již při návrhu sítě dobře promyslet všechny
aktuální požadavky a možné budoucí. Obvykle se požadavky na návrh sítě dají zařadit do těchto čtyř
kategorií:
•
Scalability – rozšířitelnost
•
Availability – použitelnost, dostupnost
•
Security – bezpečnost
•
Manageability – ovladatelnost, možnost snadné konfigurace
Network backbone – síťová páteř – je jiné označení pro core layer – páteřní vrstvu sítě.
Mesh topololgy – úplná topologie – fyzická topologie sítě, kde jsou všechna zařízení vzájemně propojena
přímými propojeními. V praxi se používá spíš částečně úplná (partial mesh), kde některé propojení chybí.
Tato topologie je používaná na páteřní vrstvě sítě.
PoE – Power over Ethernet – standard pro napájení koncových a síťových zařízení přes ethernetové rozhraní a linky. Používá se velice často u IP telefonů nebo AP (Access Point)
QoS – Quality of Service – standard pro monitorování a udržení požadované rychlosti a kvality přenosu
dat pro služby či aplikace.
Stránka 52 z 63
Kapitola 5.2 – Shromažďování síťových požadavků
5.2 Shromažďování síťových požadavků
Cílem kapitoly je:
- seznámit s metodikou návrhu sítě vyvinutou společností Cisco a seznámit je
s jednotlivými fázemi této metodiky
- naučit prakticky použít nástroje pro monitorování provozu sítí.
Klíčové pojmy:
Bottom-Up network design approach – je běžný, ale ne příliš doporučeníhodný způsob postupné tvorby
návrhu sítě. Tento způsob vychází většinou ze zkušeností z konkrétním hardware. V první fázi je pořízeno
zařízení a poté jsou na zařízení „pasovány“ potřebné služby a nastavení pro podporu aplikací. Označení
bottom-up vychází s toho, že se začíná u nejnižší vrstvy (fyzické) ISO/OSI modelu.
Top-down network design approach – je způsob postupné tvorby návrhu začínající zjištěním potřeb
uživatelů (běžících aplikací), přes služby nutné k podpoře aplikací a cílených technologií až po nákup
zařízení a návrhu infrastruktury vhodné k podpoře těchto služeb a aplikací. Označení top-down vychází
s faktu, že návrh začíná u nejvyšší (aplikační) vrstvy.
Prioritizing technical requirements – je logické, že některé ideální technické požadavky bývají v rozporu.
Buď technologie vzájemně nebo například cena potřebného vybavení s rozpočtem nebo služby poskytované technologiemi nelze využít ideálně, apod. Proto je potřeba stanovit si priority mezi jednotlivými
technologiemi a službami (úrovně důležitosti), což je klíčové v konečné fázi rozhodnutí finálního návrhu.
Good Interpersonal Skills – umění udržovat dobré mezilidské vztahy – je při komplexním návrhu sítě
velice důležité, protože tým, který síť navrhuje, v ideálním případě nejedná jen mezi sebou, ale také
s budoucími uživateli, ISP, firemním managementem a v neposlední řadě i s dodavateli zařízení a dalších
služeb.
Stránka 53 z 63
Kapitola 5.3 – Charakteristika existující sítě
5.3 Charakteristika existující sítě
Cílem kapitoly je:
- seznámit s důležitostí dokumentace sítě před samotným zahájením návrhu rozšíření
- seznámit se způsoby tvorby standardní dokumentace
- zvládnout techniky pro odhalení logické architektury sítě
- tvořit diagramy dokumentující stav sítě
- zvládnout průzkum pokrytí bezdrátového připojení k síti.
Klíčové pojmy:
CDP – Cisco Discovery Protocol – je komunikační protokol linkové vrstvy firmy implementovaný na zařízeních firmy Cisco System. Tento protokol umožňuje zjišťovat údaje o sousedních, přímo připojených
síťových zařízeních, která tento protokol podporují.
Configuration files – konfigurační soubory – v rámci většiny síťových zařízení je aktuální konfigurace
uložena v souboru v paměti zařízení. Tyto soubory, lze zálohovat pro budoucí použití nebo třeba pro
nezávislé testování na stejném hardwaru mimo danou síť. Také je možné mít konfigurační soubor již
připraven a pouze ho uložit do zařízení a tím je celá konfigurace provedena. V programech jako je Cisco
Packet Tracer je možné simulovat síť a její nastavení a zjistit tak možné problémy ještě před fyzickou
aplikací. Poté je možné uložit konfigurační soubory ze všech virtuálních zařízení a přenést je na reálnou
síť a ověřit funkčnost v praxi. Tímto způsobem se dá vyhnout některým úvodním chybám.
Network documentation – síťová dokumentace – je soubor dokumentů komplexně charakterizující celou síť. Síťová dokumentace by měla obsahovat tyto dokumenty:
•
Logical and physical diagrams of the network – diagramy fyzické a logické topologie sítě.
•
Floor plans showing of network infrastructure – stavební plány s vyznačenými všemi vedeními
linek a elektrickým vedením.
•
Inventory lists of installed network equipment – seznam všeho instalovaného zařízení.
•
Current network configuration files – všechny konfigurační soubory síťových zařízení.
•
Inventory lists of network applications – seznam všech používaných aplikací na síti i koncových
zařízeních.
V případě, že dochází k jakýmkoliv změnám v rámci sítě, je potřeba tyto změny uvést v dokumentaci.
Dobře vedená dokumentace může u velkých sítí výrazně zkrátit dobu hledání poruch na síti.
Stránka 54 z 63
Kapitola 5.4 – Identifikace dopadu používaného aplikačního softwaru na design sítě
5.4 Identifikace dopadu používaného aplikačního softwaru na design sítě
Cílem kapitoly je:
- objasnit vliv používaného aplikačního software na design sítě
- seznámit se službou QoS
- popsat jak jednotlivé typy aplikací, tak jejich požadavky na síťový provoz
- naučit monitorovat toky dat po síti.
Klíčové pojmy:
Application services priorities – priority služeb aplikací – je třeba uvážit (zjistit) jaké aplikace jsou pro
klienty (uživatele) sítě nejdůležitější a které méně. U dobře navržené sítě je třeba myslet i na havarijní
situace, kdy poklesne plánovaný výkon sítě a je třeba udržet nejdůležitější služby v provozu.
Transaction-Processing Applications – aplikace pracující na principu transakčního zpracování.
Transakční zpracování dat
Obecně se jedná o sadu operací s daty (úpravy, mazání, přidávání), která se navenek jeví jako jedna atomická (nedělitelná) operace. Při transakčním zpracování dat je tedy buď provedena celá
sada operací, nebo žádná (pokud například dojde k narušení komunikace). Transakční zpracování
dat je obvykle implementováno v databázových systémech.
latency – překlad: zpoždění – používá se pro označení času například doručení paketu cíli. V rámci výpočetní techniky je tento termín používán v mnoha oblastech.
jitter – je anglické označení pro rušení analogového signálu komunikační linky vlivem posunu časování
signálu nebo přeplněním linky.
Real-Time Applications – aplikace pracující v reálném čase. Jsou služby sítě jako třeba IP telefonie používající VoIP, kde je potřeba, aby dva uživatelé mluvili a vzájemně se slyšeli v reálném čase. Reálně je potřeba, aby pakety obsahující data s přenášeným hlasem dorazili nejpozději za 150ms (jednosměrně),
jinak dochází ke ztrátám částí audiopřenosu a pro uživatel se stává služba nekomfortní nebo nepoužitelná.
QoS policies – strategie nastavení QoS – ve fázi návrhu sítě po zhodnocení priorit jednotlivých aplikací je
třeba určit minimální síťové prostředky pro klíčové služby a poté při realizaci sítě nastavit QoS podle
zvolené strategie.
Stránka 55 z 63
Kapitola 5.5 – Tvorba návrhu sítě
5.5 Tvorba návrhu sítě
Cílem kapitoly je:
- seznámit s postupem tvorby jednotlivých fází konkrétního návrhu sítě
s uvážením všech požadavků na funkčnost aplikací a služeb na síti
- popsat standardní řešení pro modelové situace
- realizovat základní typy řešení.
Klíčové pojmy:
Access Layer Requirements – v rámci návrhu sítě je třeba si vytvořit seznam funkčních požadavků v rámci přístupové vrstvy. V takovém seznamu se mohou objevit například záznamy tohoto typu:
•
Poskytovat připojení existujícím síťovým zařízením a bezdrátovým IP telefonům.
•
Vytvořit samostatné VLAN pro vzájemné oddělení VoIP, video přenosu z kamer bezpečnostního
systému, bezdrátových sítí a ostatního datového provozu
•
Vytvořit redundantní spojení s distribuční vrstvou
•
Poskytnout PoE pro IP telefony a Access Pointy
Frame Relay –
Access Point (AP) – přístupový bod – síťový prvek pro bezdrátové sítě, který poskytuje možnost připojení
bezdrátovým zařízením (klientům) se připojit do sítě. Profesionální AP firmy Cisco Systems mají IOS a
jsou plně konfigurovatelná přes CLI jako routery.
Lightweight Access Points (LAP) – AP, který nemá plně funkční IOS, ale pouze realizuje nastavení, která
jsou prováděna na centrálním prvku pro ovládání bezdrátové sítě. Použití LAP umožňuje lépe centralizova administraci bezdrátové sítě.
WLAN controller – centrálním prvku pro ovládání bezdrátové sítě společně s LAP tvoří komplexní systém AP s centrální administrací. Jednotlivé LAP jsou levnější než AP, ale použití pouze AP nevyžaduje
koupi WLAN controlleru.
Security settings on routers – bezpečnostní nastavení routeru – v případě, že je router připraven na
použití v reálné síti je potřeba ověřit, jestli zabezpečení samotného routeru je na nejvyšší možné úrovni.
Jednou z důležitých věcí je znemožnění fyzického přístupu k routeru nepovolaným osobám. V rámci nastavení routeru je třeba ověřit tyto nastavení:
•
všechny nepotřebné služby musí být vypnuté
•
všechny nepoužité porty a rozhraní musí být vypnuté
•
nastavení zaznamenávání provedených operací
Stránka 56 z 63
Kapitola 5.5 – Tvorba návrhu sítě
•
musí být zakázaný přístup přes Telnet a místo toho nastaven přístup přes SSH
•
pro administraci přes webové rozhraní je třeba nastavit protokol https
•
nastavení timeoutů (automatického odhlášení po čase nečinnosti) pro všechna konfigurační rozhraní (AUX, console port, VTY)
•
použití silných hesel a šifrování hesel (hesla jsou uložena v konfiguračních souborech a je
třeba, aby byli silně šifrované)
Stránka 57 z 63
Kapitola 5.6 – Použití IP adresace v návrhu sítě
5.6 Použití IP adresace v návrhu sítě
Cílem kapitoly je:
- zopakovat oblast adresování v počítačové síti a rozšířit schopnosti o návrh adresace pro novou síť, případně efektivní změnu adresačního schématu upgradované sítě
- popsat rozdíly mezi IPv4 a IPv6 a způsob implementace IPv6
- naučit vytvořit adresační schéma IPv4 pro modelovou LAN.
Klíčové pojmy:
Non-hierarchical addressing – nehierarchické adresování – je adresování s neefektivním využitím rozsahu IP adres. V rámci tvorby podsítí v síti není použito technologie VLSM, ale je pro každou podsíť použit
jiný rozsah IP adres.
Obr. 2 - nehierarchické adresování
Stránka 58 z 63
Kapitola 5.6 – Použití IP adresace v návrhu sítě
Hierarchical addressing – hierarchické adresování vyžaduje efektivní využití adresního rozsahu sítě pro
podsítě. Používá se VLSM a při směrování je možné použít snadno route summarization.
Obr. 3 - hierarchické adresování
IPv6 – IP protokol verze 6 – označení nastupující verze IP protokolu. Pro adresování používá 128 bitů
(IPv4 používá 32 bitů) a díky tomu lze přímo adresovat až 2128 koncových zařízení (3,4 * 1038). IPv6 adresa
se zapisuje jako sada osmi čtveřic hexadecimálních číslic.
např.: 20c1:0cb7:84c3:09d3:1219:8b3e:0380:7334
Stránka 59 z 63
Kapitola 6 – Literatura
5.7 Prototypování LAN a WAN designu sítě
Cílem kapitoly je:
- seznámit se způsoby ověřování funkčnosti navržené sítě, jednotlivých zařízení,
navržených topologií a bezpečnostních řešení
- popsat metody testování LAN a WAN sítě
- naučit provádět základní testování.
Klíčové pojmy:
prototype – prototyp – je jeden z hlavních způsobů jak ověřit funkčnost konceptu navrhované sítě. Jedná se o samostatné vystavení modelové sítě, která je plně izolovaná od praktického využití (stávající sítě
nebo zapojení do plánované infrastruktury).
výhody prototypu:
•
je fyzicky nezávislý na stávající firemní síti
•
je možné reálně vyzkoušet různé katastrofické scénáře a chování uživatelů, případně
potenciálních útočníků, bez ovlivnění stávající firemní sítě
•
je možné kdykoliv provádět jakékoliv změny na síti, protože je nezávislá na běžných
uživatelích
•
jedná se o simulované kontrolované prostředí
•
neexistují žádná rizika pro „živou“ firemní síť
nevýhody protoypu:
•
neběží na cílové infrastruktuře
•
ve většině případů nelze realizovat v cílovém rozsahu
pilot – je také způsob jak ověřit funkčnost konceptu navrhované sítě. Pilot je vystavění použití reálné
části sítě k testování (pilotnímu provozu) nových funkcí a nastavení sítě.
výhody pilotu:
•
provoz se testuje na cílové infrastruktuře – v případě, že je funkčnost v požadované
kvalitě, není nutné již zasahovat do fyzické instalace
•
je výhodný v situacích, kdy je potřeba otestovat provoz v konkrétních cílových fyzikálních podmínkách (rušení wi-fi, apod.)
•
je možné používat při neplánovaných úpravách a v nepředvídatelných situacích
nevýhody pilotu:
•
není snadno kontrolovatelný
Stránka 60 z 63
•
požaduje spolupráci cílových uživatel
•
není příliš flexibilní – nedá se do něj snadno radikálněji zasahovat
•
větší riziko ohrožení provozu stávající sítě
Network Simulation software – simulační software pro návrh a realizaci sítí – jedná se o aplikaci umožňující ve virtuálním prostředí simulovat stavbu celé sítě, nastavení a provoz služeb.
výhody simulačního software:
•
možnost testování množství zařízení bez jejich zakoupení
•
libovolné experimentování bez rizika ovlivnění existující sítě
•
možnost zpomalení či zrychlení času simulací dle potřeb
•
možnost exportu nastavení do reálných zařízení
nevýhody simulačního software:
•
některá nastavení neodpovídají reálným zařízením nebo chybí
•
nepřítomnost některých zařízení
•
nemožnost vyzkoušet rušení a další podobné vlivy
Stránka 61 z 63
6 Literatura
1. CCNA Discovery: Networking for Home and Small Businesses v4.1 [online].
2007-2009. Dos-
tupné z:
<http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet/
LMS_ID=CNAMS,Theme=ccna3theme,Style=ccna3,Language=en,Version=2,RootID=knetlcms_discovery1_en_40,Engine=static/CHAPID=null/RLOID=null/RIOID=null/index.html>.1
2. CCNA Discovery: Networking Working at a Small-to-Medium Business or ISP v4.0(1) [online].
2007-2008. Dostupné z:
3. CCNA Discovery: Introducing Routing and Switching in the Enterprise v4.0 [online]. 20072008. Dostupné z:
4. CCNA Discovery: Designing and Supporting Computer Networks v4.0(1) [online]. 2007-2008.
Dostupné z:
5. Alena Kabelová, Libor Dostálek. Velký průvodce protokoly TCP/IP a systémem DNS. 5., aktualiz.vyd. Computer press, 2008. ISBN 978-80-251-2236-5
6. Todd Lammle. Výukový průvodce přípravou na zkoušku 640-802. Computer Press, 2010.
ISBN 978-80-251-2359-1
1
Použitý informační zdroj je přístupný pouze pro registrované Instruktory Cisco Networking Acade-
my.
Stránka 62 z 63
Tato studijní opora byla spolufinancována Evropským sociálním fondem a státním rozpočtem České
republiky.

Opora modul 12 II

Transkript

Podobné dokumenty

Metodika k modulu 12 - část 2 - Vyšší odborná škola ekonomická a

iTÁLie-Řecko 2010

modul 7 distance vector routing protocols

Modelo von Neuman

Tepelné čerpadlo Panasonic Aquarea WH - Alter

Hledání chyb na směrovačích

Přenosné počítače

Nabídka Nastavení

CCNA Exploration - Základy sítí

Curriculum vitae